개인정보 영향평가

개인정보 영향평가개인정보 영향평가 수행체계(개인정보종합포털_개인정보 영향평가 수행안내서 참고)

 

정의 : PIA(Privacy Impact Assessment)의 약자로, 사업주체가 개인정보를 취급하는 새로운 정보시스템을 도입하거나, 개인정보를 취급하고 있는 기존 정보시스템의 중대한 변경 시 등 시스템을 대상으로 개인정보의 침해 위험성을 사전에 조사,예측, 검토하고 침해요인을 분석하여 개선하도록 하는 사전 예방조치이다.

 

개인정보 영향평가 대상(조건을 충족하는 공공기관 의무) :

조건 : 일정규모의 개인정보를 취급할 경우.

일정규모란 ?

- 기준1) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반될 경우.

- 기준2) 공공기관 내부 또는 외부에서 구축 · 운영하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계한 결과 50만명 이상의 정보주체에 관한 개인정보가 포함될 경우.

- 기준3) 100만명 이상의 정보주체에 관한 개인정보파일을 처리할 경우.

 

위의 의무기준을 충족한다고, 아래의 사업들이 진행되는 경우 영향평가를 실시하여야 한다..

 

1) 개인정보를 다량 보유 · 관리하는 정보시스템의 신규 구축 사업

2) 신기술 또는 기존 기술의 통합으로 프라이버시 침해 가능성이 있는 기술을 사용하는 사업

3) 개인정보를 보유 · 관리하는 기존 정보시스템을 변경하는 사업

4) 개인정보의 수집 · 이용 · 보관 · 파기 등 개인정보의 라이플사이클 내의 중대한 개인정보 침해 위험이 발생할 가능성이 있는 사업

 

단, 개인정보의 수집 · 이용 등과 관련된 새로운 정보시스템의 구축이 기존 프로그램이나 시스템에 대한 경미한 변경인 경우에는 개인정보 영향평가를 수행하지 않을 수 있다.

 

영향평가 결과 제출 및 심사 : 안전행정부장관

 

ㅇ영향평가 수행체계 및 절차

개인정보 영향평가 수행체계(개인정보종합포털_개인정보 영향평가 수행안내서 참고)

* 영향평가는 행정안전부장관이 지정한 영향평가기에 의뢰하여 영향평가를 수행하고 그 결과를 사업 완료 후 2개월 이내에 행정안전부장관에게 제출

* 영향평가서를 제출한 날로부터 1년 이내에 개선사항 이행확인서를 행정안전부장관에게 제출

 

개인정보 영향평가 절차(개인정보종합포털_개인정보 영향평가 수행안내서 참고)

ㅁㄴㅇ