개인정보보호위원회에서 개인정보 처리방침 작성지침 세 번째 개정본을 공개했다. 개인정보 처리방침의 중요성이 점점 더 높아지는 만큼 개인정보 처리방침에 포함해야 할 내용들이 많아, 실무자들은 한 번씩 꼭 읽어볼 필요가 있다고 생각한다.
https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20806
개인정보 포털
개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.
www.privacy.go.kr
이전 버전 대비 가장 큰 변화는 개인정보 처리자가 자동화된 결정을 하는 경우 그 기준과 절차, 개인정보가 처리되는 방식을 기재하는 방법을 신규로 포함한 것이다. ('자동화된 결정에 관한 사항'을 신규로 17번에 포함하고 이후 내용은 하나씩 뒤로 밀려짐)
※ 이미지 출처 : 개인정보보호위원회 「개인정보 처리방침 작성지침」 2025.4
변경 내용을 요약해보면 다음과 같다.
1. (7페이지) 해외 사업자는 어떤 경우에 개인정보보호법 적용대상이 되어 개인정보 처리방침 작성지침을 준수해야 하는지 이전 버전 대비 상세히 명시
> 전 세계적으로 재화 또는 서비스 제공 OR 해외에서 한국인 또는 한국 정보주체의 개인정보 처리 OR 한국 영토 내에서 개인정보 처리
2. (14페이지) 개인정보 처리방침을 제목, 서문, 본문 순으로 구성할 것을 권장
> 주요 개인정보 처리 표시(라벨링)와 개인정보 처리방침 전문으로 구분하여 구성해야 한다는 내용이 삭제됨 (라벨링 관련 내용이 삭제되었는지 확인 필요)
3. (14페이지) 개인정보 처리방침은 첫 화면에서 바로 찾을 수 있도록 공개해야 하나, 앱에 한해 서비스 메뉴 또는 설정의 첫 화면에서 공개할 수 있음
> 이전 버전에서는 웹/앱을 구분하지 않고 '메뉴에서 바로 찾을 수 있도록 공개'라고 기재되어 있었으나 앱 환경의 다양성을 고려해 공개방식을 개선함
4. (21페이지) 정보주체 이외로부터 수집한 개인정보가 있을 경우 수집한 개인정보의 항목과 법적 근거를 기재해야 함
> 이전 버전에서는 언급이 없었으나 새로이 추가한 내용. (정보주체의 동의 없이) 정보주체 이외로부터 수집한이란 단서를 포함하는 게 적절했을 것 같은 내용.
※ 이미지 출처 : 개인정보보호위원회 「개인정보 처리방침 작성지침」 2025.4
5. (27페이지) 개인정보의 보유·이용 기간을 특정할 수 없는 경우 보유·이용 기간을 결정하는데 사용한 기준을 기재할 수 있음
> 이전 버전에서는 언급이 없었으나 새로이 추가한 내용.
6. (33페이지) 개인정보를 제공받는 제3자를 특정하기 어려운 사정이 있는 경우, 특별한 사정 및 제3자의 유형을 기재할 수 있음
> 이전 버전에서는 언급이 없었으나 새로이 추가한 내용.
7. (39페이지) 국외 이전의 법적 근거와 개인정보 보호법 제28조의8제2항 각호의 사항을 기재해야 하는 경우에 국외 이전 뿐만 아니라 국외 이전된 개인정보를 재이전하는 경우도 포함됨
> 이전 버전에서는 언급이 없었으나 새로이 추가한 내용으로, 재국외 이전까지 트래킹 하고 있어야할 필요가 있음
8. (39페이지) 조약 또는 국제협정에 근거해 개인정보 국외 이전이 있는 경우 조약, 협정명과 해당되는 조문까지 구체적으로 작성해야 함
> 이전 버전에서는 언급이 없었으나 새로이 추가한 내용.
9. (43페이지) 개인정보 국외 이전 중 보관에 해당할 경우 작성 예시를 포함함
> 이전 버전에서는 언급이 없었으나 새로이 추가한 내용.
10. (49페이지) 정보주체를 식별하지 않고 (맞춤형 광고 제공 목적으로) 행태정보를 처리할 경우 개인정보처리방침에 기재해야 할 내용을 명시함
> 행태정보를 수집·이용하는 경우 기재사항 : ① 식별하지 않고 처리하는 점 안내, ② 수집 항목, ③ 수집 방법, ④ 수집 목적, ⑤ 보유·이용 기간, ⑥ 정보주체의 거부 방법
> 수집한 행태정보를 제3자에게 제공하는 경우 기재사항 : ① 식별하지 않고 처리하는 점 안내, ② 제공받는 자, ③ 제공항목, ④ 제공받는 자의 이용 목적, ⑤ 제공받는 자의 보유·이용 기간
11. (50페이지) 제3자의 웹‧앱에서 개인정보를 자동으로 수집하는 경우 관련 사항을 개인정보 처리방침에 포함해야 함
> 이전 버전에서는 '기재할 것을 권고'로 되어 있었으나 '공개하여야 함'으로 변경 됨
> 이전 버전 예시에서는 수집 사실에 대해서만 간략히 포함하면 되었으나 이번 버전 예시에서는 법적 근거, 수집 항목, 수집 방법, 수집 목적, 보유‧이용기간을 포함하고 있음
12. (50페이지) 작성 예시에 '정보주체를 식별하여 행태정보를 처리하고, 해당 행태정보를 처리한 개인정보 항목에 기재한 경우' 추가
13. (59페이지) '정보주체와 법정대리인의 권리・의무 및 행사방법에 관한 사항'에 개인정보 전송요구권 행사 방법을 기재해야 함
> 본인 대상 전송요그의 경우 본인전송요구 방법, 전송 현황 및 내역을 확인할 수 있는 방법 기재(단, 보건의료 및 에너지 정보 전송자의 경우 중계 전문기관이 대신 기재 가능)
> 제3자 대상 전송요구의 경우 정보를 전송 받고자 하는 정보 수신자가 운영하는 서비스를 통하여 요구가 가능하며, 정보 수신자 현황 및 제3자 전송요구 현황 등은 개인정보 전송 지원 플랫폼에서 확인 가능하다는 등의 행사방법 기재 필요
※ 이미지 출처 : 개인정보보호위원회 「개인정보 처리방침 작성지침」 2025.4
14. (61페이지) 자동화된 결정을 하는 경우 기준과 절차, 개인정보가 처리되는 방식 등을 기재해야 함
> 이전 버전에서는 '정보주체와 법정대리인의 권리・의무 및 행사방법에 관한 사항'에 거부‧설명 등 요구를 할 수 있다는 사실을 포함하는 정도로만 언급이 되어 있었으나, 개인정보 보호법 제37조의2(자동화된 결정에 대한 정보주체의 권리 등) 제4항의 공개 의무를 개인정보 처리방침을 통해 할 수 있도록 관련 내용을 포함해 개인정보 처리방침 작성지침이 개정 됨
> 개인정보 보호법 제37조의2는 2024년 3월부터 시행한 내용이라 이전 버전의 개인정보 처리방침 작성지침에 포함이 되었어야 하는 내용 같은데, 왜 이번부터 포함이 된건지는 정확히 모르겠다.
| 개인정보 보호법 제37조의2(자동화된 결정에 대한 정보주체의 권리 등) ④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다. 동법 시행령 제44조의4(자동화된 결정의 기준과 절차 등의 공개) ① 개인정보처리자는 법 제37조의2제4항에 따라 다음 각 호의 사항을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등을 통해 공개해야 한다. 다만, 인터넷 홈페이지 등을 운영하지 않거나 지속적으로 알려야 할 필요가 없는 경우에는 미리 서면등의 방법으로 정보주체에게 알릴 수 있다. 1. 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위 2. 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계 3. 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차 4. 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목 5. 자동화된 결정에 대하여 정보주체가 거부ㆍ설명등 요구를 할 수 있다는 사실과 그 방법 및 절차 |
15. (67페이지) 권익침해 구제와 관련해 나열해야 하는 전문기관 목록에서 대검찰청이 삭제됨
16. (72페이지) AI 개발 및 서비스를 제공하는 개인정보처리자는 학습데이터 수집·이용 기준을 미리 정하고, 이를 기재할 것을 권장함을 명시
> 예) AI 시스템 개발에 필요한 데이터 양, 범주(민감정보, 행태정보 등) 등을 고려하여, 공개된 개인정보의 주요 수집 출처, 수집 방법, 안전성 확보 조치 방안 등
17. (77페이지) PART 4의 제목이 '주요 개인정보 처리 표시(라벨링) 방법' 대신 '개인정보 처리방침 공개 방법'으로 수정 됨
18. (78페이지) 개인정보 처리방침을 모바일 앱에서 공개하는 경우 정보주체가 쉽게 확인할 수 있는 위치의 예시가 변경됨
> 회원가입, 설정 등이 추가 됨
19. (90페이지) 간단하게 개인정보 처리방침의 내용을 공개하고자 하는 경우, 라벨링을 활용하라는 문구가 권고적에서 의무적 성격으로 변경되었음
> 이전 버전에서는 "간단하게 개인정보 처리방침의 내용을 공개하고자 하는 경우, 주요 개인정보 처리 표시(라벨링)를 활용할 수 있음"으로 적혀 있었으나 이번 버전에서는 "주요 개인정보 처리 표시(라벨링)를 활용하여 수집하는 개인정보 항목, 제3자 제공, 개인정보 담당 부서 (열람 창구)에 관한 사항은 반드시 포함하여 기호로 구성 필요" 으로 변경되었음
20. (126페이지) '쿠키 허용/차단 방법', '맞춤형 광고 허용/차단 방법', '맞춤형 광고 허용/차단 방법', '제3자 행태정보 수집 허용/차단 방법'을 부록으로 별도로, 이전 버전 대비 상세히 다룸
'(개인)정보보호 동향' 카테고리의 다른 글
| [자료] 본인확인기관 지정심사 설명회 발표자료 (0) | 2025.04.07 |
|---|---|
| [자료] 맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안 (0) | 2025.03.06 |
| 2025년 지방기능경기대회 기술위원(심사장, 심사위원) 공개모집 (0) | 2025.02.15 |
| [자료] 개인정보 질의 응답 모음집 (3) | 2025.01.03 |
| 다이렉트 자동차보험 판매 12개 손해보험사 개인정보 보호법 위반으로 처분 (0) | 2024.12.19 |
