[Legal] 개인정보 침해에 관한 기준 및 절차

개인정보보호위원회(“PDPC”)는 최근 2019년 개인정보보호법(“PDPA”) 16(4)항 및 37(4)항에 따라 개인정보 침해 기준 및 절차에 관한 통지("통지")를 발표했습니다.

6/2/2023

'개인 데이터'(PDPA에 정의됨)의 위반은 의도적, 고의, 과실, 무단 또는 불법 행위 또는 컴퓨터 범죄, 사이버 위협, 결함, 사고 또는 기타 사건의 원인을 초래할 수 있는 개인 데이터의 무단 또는 불법적인 손실, 접근, 사용, 변경, 수정 또는 공개로 이어지는 보안 조치 위반을 의미합니다.

통지는 '데이터 관리자'(PDPA에 정의됨)가 개인 데이터 위반을 초래할 수 있는 사고를 알게 된 후 취해야 하는 절차를 간략하게 설명합니다. 주요 기준 및 절차는 다음과 같습니다.

1) 위반 사실을 통보받은 후

• 정보의 신뢰성을 평가·점검하고, 개인정보에 관한 조직적 대책, 기술적 대책, 물리적 대책 등 침해 사실을 지체 없이 조사합니다.

• 위반이 발생했다고 추정할 근거가 있는지 조사합니다.

• 위험 평가를 수행하여 위반이 '데이터 주체'(PDPA에 정의됨)의 권리와 자유에 대한 위험을 초래할 가능성이 있는지 여부를 결정합니다.

• 위반을 완화하거나 개인 데이터를 검색하고 유사한 위반을 방지하기 위한 조치, 프로세스 또는 기술을 구현합니다.

2) 위반행위가 정보 주체의 권리와 자유를 위협할 우려가 있는 경우

• 위반 사실을 알게 된 후 72시간 이내에 PDPC 사무실에 지체 없이 통지합니다.

3) 위반행위로 인하여 정보 주체의 권리와 자유가 중대한 위해를 초래할 우려가 있는 경우

• 지체 없이 데이터 주체에게 위반 사실과 구제 조치를 통지합니다.

• 그러한 위반 및 유사한 위반을 예방 및 대응하고 개인 데이터를 검색 및 복원하기 위해 필요하고 적절한 조치를 취합니다.

데이터 컨트롤러는 또한 '데이터 프로세서'(PDPA에 정의됨)와의 계약에 데이터 프로세서가 개인 데이터 위반 사실을 알게 된 후 72시간 이내에 데이터 컨트롤러에게 통지해야 한다는 조항을 포함해야 합니다.

 

데이터 컨트롤러가 정해진 기간 내에 통지를 제공할 수 없는 경우, 지연에 대한 만족스러운 설명을 제공할 수 있고 PDPC에 위반 사실을 인지한 후 15일 이내에 통지할 수 있는 경우 지연에 대한 벌금을 면제하도록 PDPC에 요청할 수 있습니다.

Want to know more?