개인정보 영향평가 수행안내서 part3(개인정보 영향평가 항목) 대상기관 개인정보 보호 관리체계 항목

출처: https://www.kisa.or.kr/2060301/form?postSeq=63&lang_type=KO#fnPostAttachDownload

해당 포스트는 상기 개인정보 영향평가 수행안내서를 기준으로 작성됩니다.

---

 

개인정보 영향평가 항목 설명

1. 대상기관 개인정보보호 관리체계

1.1.1 개인정보 보호책임자의 지정 : 개인정보 보호책임자를 법령 기준에 따라 지정하고 있는가?

1. 개인정보 보호책임자는 인사발령 등을 통해 공식적으로 지정되어야 한다.
2. 개인정보 보호책임자는 개인정보 처리에 관한 업무를 총괄하여 책임질 수 있도록 법적 요건을 충족하는 자로 지정되어야 한다.

• 개인정보 보호책임자는 개인정보 처리에 관한 전반적인 사항을 결정하고 이로 인한 제반 결과에 대하여 책임을 지는 자이므로 개인정보 수집·이용·제공 등에 대하여 실질적인 권한을 가지고 있어야 하며 조직 내에서 어느 정도 독자적인 의사결정을 할 수 있는 지위에 있는 자이어야 한다.
• 개인정보처리자는 개인정보 법규 준수, 유출 및 오᛫남용 방지 등 개인정보처리자의 개인정보보호 활동을 촉진하기 위하여 법적 지정 기준에 따른 개인정보 보호책임자를 지정하여야 한다.
• 민간사업자는 대표자 또는 임원, 임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장을 개인정보 보호책임자로 지정하여야 한다.
• 개인정보 보호책임자를 지정᛫변경한 경우 모든 직원들이 알 수 있도록 지침, 임명장, 인사발령 등의 절차를 통해 지정사실을 공식화하여야 하며, 또한 개인정보처리방침 내 책임자의 지정 및 변경사실 등을 공개하여야 한다.

1.1.2 개인정보 보호책임자 역할 수행 : 개인정보 보호책임자에게 법령 등에서 정하는 역할 및 책임에 관한 사항을 정책화하고, 이에 근거해 관련 업무를 수행하도록 하고 있는가?

1. 개인정보 보호책임자에게 법령 등에서 정하는 책임 및 역할이 공식적으로 부여되어야 한다.
2. 개인정보 보호책임자는 개인정보 보호계획의 수립᛫시행, 개인정보처리 실태 및 관행의 조사᛫개선 등 관련 업무를 실제로 수행하여야 한다.

• 개인정보 보호책임자의 업무는 총괄책임자로서 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 등의 업무를 수행하며, 개인정보 보호책임자는 분야별로 개인정보 보호관리자, 개인정보 보호담당자 등을 두어 업무를 하게 할 수 있다.
• 개인정보 보호책임자의 역할 및 책임은 내부 관리계획, 개인정보보호지침 등 문서로 정의되어 승인되어야 한다.
• 개인정보 보호책임자는 법령 등에서 부여한 역할 및 책임을 실질적으로 수행하여야 하며, 내부관리체계 강화를 위하여 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받아야 한다. 또한 법령 등 위반사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요 시 해당 기관장에게 개선조치를 보고하여야 한다.

<개인정보 보호책임자의 역할>
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 법 제30조에 따른 개인정보 처리방침의 수립᛫변경 및 시행
8. 개인정보 처리와 관련된 인적·물적 자원 및 정보의 관리
9. 처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기

1.2.1 내부 관리계획 수립 : 개인정보가 분실‧도난‧유출‧위조‧변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 필수 사항을 포함하는 내부 관리계획을 수립·시행하고 있는가?

1. 내부 관리계획을 수립하고 내부 의사결정 절차를 통해 공식적으로 시행하여야 한다.
2. 내부 관리계획에는 「개인정보의 안전성 확보조치 기준」에 명시된 모든 내용이 포함되어야 한다.
① 개인정보 보호 조직의 구성 및 운영에 관한 사항
② 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
③ 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
④ 개인정보취급자에 대한 관리 ·감독 및 교육에 관한 사항
⑤ 접근 권한의 관리에 관한 사항
⑥ 접근 통제에 관한 사항
⑦ 개인정보의 암호화 조치에 관한 사항
⑧ 접속기록 보관 및 점검에 관한 사항
⑨ 악성프로그램 등 방지에 관한 사항
⑩ 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
⑪ 물리적 안전조치에 관한 사항
⑫ 출력·복사 시 안전조치에 관한 사항
⑬ 개인정보의 파기에 관한 사항
⑭ 개인정보 유출사고 대응 계획 수립 ·시행에 관한 사항
⑮ 위험 분석 및 관리에 관한 사항
⑯ 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
⑰ 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
⑱ 그 밖에 개인정보 보호를 위하여 필요한 사항
※ [최신법령 개정사항] 고시 제12조(출력·복사시 안전조치) 및 제13조(개인정보의 파기)를 내부관리계획 수립 대상에 포함(「개인정보의 안전성 확보조치 기준」 ’25.10.31. 개정, ’26.10.31. 시행)
3. 개인정보 보호책임자 변경, 개인정보 보호법 개정 등 내부 관리계획 관련 사항에 중요한 변경이 있는 경우, 이를 반영하여 수정·시행하고 그 수정이력을 관리하여야 한다.
4. 내부 관리계획은 이해관계자에게 배포되고 공유되어야 한다.

• 개인정보처리자는 개인정보의 안전한 처리를 위하여 ‘내부 관리계획’을 수립하고 내부 의사결정 절차를 통하여 공식적으로 수립᛫시행하여야 한다.
• 내부 관리계획은 「개인정보의 안전성 확보조치 기준」 고시 제4조 제1항에서 명시된 사항을 모두 포함하여야 한다. (다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인‧개인‧단체는 내부 관리계획을 수립하지 않을 수 있음)
• 내부 관리계획의 문서 제목은 가급적 “내부 관리계획”이라는 용어를 사용하는 것이 바람직하나, 개인정보처리자의 내부 상황에 따라 다른 용어를 사용할 수 있다.

1.2.2  내부 관리계획 수립 :  개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연 1회 이상 점검·관리하고 있는가?

1. 개인정보 보호책임자는 내부 관리계획의 이행 실태를 연 1회 이상 점검하여야 한다.
2. 내부 관리계획 이행실태 점검후 문제점이 발견된 경우 이에 대한 조치계획을 수립하여 이행하여야 한다.

• 개인정보 보호책임자는 내부 관리계획에 명시된 사항들이 제대로 준수되고 있는지에 대해 연 1회 이상 이행실태를 점검하여야 한다.
• 이행실태 점검은 조직 내부에서 직접 수행하거나 외부 전문가를 활용할 수 있으며, 대상기관의 개인정보 처리업무 환경 전반에 대하여 내부 관리계획의 이행실태가 충실히 점검될 수 있도록 점검계획을 수립‧이행할 필요가 있다.
• 내부 관리계획 이행실태 점검결과는 개인정보 보호책임자에게 보고되어야 하며, 문제점으로 발견된 사항에 대해서는 조치계획을 수립하여 지속적으로 관리하여야 한다.

1.2.3 개인정보보호 연간 계획 수립 : 개인정보보호 교육, 실태 점검 등 개인정보 보호 활동에 대한 연간 수행계획을 수립·시행하고 있는가?

1. 개인정보보호 연간 계획이 수립되어, 내부 승인절차에 따라 시행되어야 한다.
2. 개인정보보호 연간 계획에는 아래와 같은 사항이 모두 포함되어야 한다.
① 개인정보보호 조직, 인력
② 개인정보보호 활동 계획 및 이에 따른 예산
③ 개인정보보호 실태 점검 계획(수탁자 포함)
④ 개인정보보호 교육 계획(책임자, 담당자, 취급자/일반직원 대상) 등
※ 실질적인 실행이 가능하도록 일정, 담당자, 예산 등 구체적인 방안 포함 필요
3. 개인정보 연간 계획에 따라 개인정보보호 활동이 이행되고 있는지 여부에 대해 정기적으로 검토하여 개인정보 보호책임자에게 보고하여야 한다.

• 개인정보처리자는 취급하는 개인정보가 분실᛫도난᛫누출᛫변조 또는 훼손되지 아니하도록 안전성을 확보하기 위하여 개인정보 보호활동에 대한 조직 내부의 개인정보보호 연간 계획을 수립하고, 개인정보 처리와 관련된 모든 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 하여야 한다.
• 개인정보보호 활동은 임기응변식이 아니라 체계적이고 전사적인 계획 내에서 수행될 수 있도록장기적인 관점에서 개인정보보호 마스터플랜을 수립하고, 매년 1년 단위의 계획을 수립할 것을 권장한다
• 개인정보보호 연간계획은 개인정보처리자가 개인정보보호 활동을 체계적으로 하기 위해 필요한 사항이 모두 포함되어 있어야 한다.
• 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 하며, 개인정보취급자의 지위·직책, 담당 업무의 내용, 업무 숙련도 등에 따라 교육 내용도 각기 다를 수 있도록 상세 교육절차를 수립하여야 한다.
• 교육 방법은 집체교육 뿐 아니라 조직의 환경을 고려하여 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하도록 하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수도 있다.
• 교육은 사내교육, 외부교육, 위탁교육 등 여러 종류가 있을 수 있으며, 연간 교육계획을 수립하여 모든 개인정보취급자가 일정 시간 이상 교육에 참여할 수 있도록 하여야 한다.
• 교육은 매년 정기적으로 실시할 수 있도록 하며, 교육 수행 결과를 기록하고 다음 교육에 반영할 수 있도록 절차를 수립할 것을 권장한다.
• 개인정보처리자는 개인정보 보호책임자 및 개인정보취급자를 대상으로 매년 정기적으로 개인정보보호 교육을 실시하여야 한다. 특히, 개인정보취급자가 고객의 개인정보를 훼손·침해· 누설할 경우에는 중벌에 처해지므로, 교육 시 이러한 점을 개인정보취급자에게 인식시키기 위해 노력해야 한다.
• 개인정보보호 교육의 구체적인 사항에는 교육을 하는 목적, 교육 대상, 교육 내용(프로그램 등 포함), 교육 일정 및 방법 등을 포함하여야 하며, 내부 결재를 얻은 “○○○○년 개인정보보호 교육 계획(안)”과 같은 문서를 통해 관리하여야 한다.

<개인정보보호 연간계획에 포함되어야 할 사항>
1. 개인정보보호 조직, 인력
2. 개인정보보호 활동 계획 및 이에 따른 예산
3. 개인정보보호 실태 점검 계획(수탁자 포함)
4. 개인정보보호 교육 계획(책임자, 담당자, 취급자/일반직원 대상) 등

1.3.1 침해사고 신고방법 안내 : 개인정보 침해사실을 신고할 수 있는 방법을 정보주체에게 안내하고 있는가?

1. 개인정보 침해(권리 침해, 개인정보 유출 등)에 대해 신고할 수 있는 방법을 정보주체가 쉽게 확인할 수 있도록 안내하여야 한다.

• 정보주체의 권리 침해, 개인정보 유출 등 개인정보 침해 사실을 신고할 수 있는 방법을 개인정보처리방침 또는 인터넷 홈페이지의 별도 메뉴 등을 통하여 정보주체가 쉽게 확인할 수 있도록 안내하여야 한다.
• 개인정보처리자의 개인정보 처리로 인해 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보보호위원회에 그 침해 사실을 신고할 수 있다. 권리᛫이익을 침해받은 정보주체 자신뿐만 아니라 그의 법정대리인이나 임의대리인도 정보주체를 대신하여 신고할 수 있다.
• 개인정보보호위원회는 개인정보 침해신고 접수·처리 등에 관한 업무를 효율적으로 수행하기 위하여 한국인터넷진흥원(KISA)을 전문기관으로 지정하고 있으며(영 제59조), 이에 따라 한국인터넷진흥원은 개인정보침해 신고센터(http://privacy.kisa.or.kr)를 설치·운영하고 있다. 개인정보침해 신고센터는 개인정보 처리와 관련한 신고의 접수·상담, 접수된 사건에 대한 사실의 조사·확인 및 관계자 의견청취, 그 밖에 이들 업무와 관련된 부수적 업무를 수행한다.

1.3.2 유출사고 대응 : 개인정보 유출 신고᛫통지 절차, 긴급 연락체계, 사고 대응 조직 구성 등을 포함한 개인정보 침해사고 대응절차를 수립하여 실시하고 있는가?

1. 개인정보 침해사고(권리침해, 개인정보 유출 등)에 대한 대응절차가 마련되어 내부 승인절차를 통해 공식적으로 시행되어야 한다.
2. 개인정보 침해사고 대응절차에는 아래와 같은 사항이 모두 포함되어야 한다.
① 개인정보 유출 시 신고 및 통지 절차
② 비상연락망 등 긴급 연락체계
③ 사고 대응조직 구성 및 업무분장(R&R)
④ 침해사고 유형별 조치 방법 및 절차
⑤ 정보주체 피해구제 방법
3. 개인정보 침해사고 대응절차를 이해관계자들이 인지할 수 있도록 공유하여야 한다.
4. 개인정보 침해사고에 대비한 모의훈련을 연 1회 이상 정기적으로 실시해야 한다. (권고사항)

• 개인정보 유·노출 및 침해사고를 통하여 발생할 수 있는 사회적, 경제적 피해 등 2차 피해를 예방하기 위하여 개인정보 침해사고 대응 범위, 절차, 담당자᛫부서별 업무, 피해구제 방법, 비상연락망᛫연락체계 등 침해사고 대응절차 마련을 권장한다.
  • 침해사고 시 조치방법
  • 업무분장 및 연락체계
  • 유출통지 등 침해구제 방법
  • 침해신고 방법
• 개인정보 유출사고 발생 시 정당한 사유가 없는 한 72시간 이내에 해당 정보주체에게 다음 각 호의 사항을 포함하여 유출사실을 통보하고, 유출 확산방지를 위한 기술적ㆍ관리적 조치 등의 유출사고에 대응 할 수 있는 절차를 수립하고 실시하여야 한다.
  • 1. 유출등이 된 개인정보의 항목
  • 2. 유출등이 된 시점과 그 경위
  • 3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
  • 4. 개인정보처리자의 대응조치 및 피해 구제절차
  • 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
• 1천명 이상의 개인정보 유출 등이 된 경우, 민감정보 또는 고유식별정보가 유출 등이 된 경우, 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우에 기관은 정보주체에 대한 통지 및 조치결과를 72시간 이내에 개인정보보호위원회 또는 전문기관(한국인터넷진흥원)에 유출사고 사실을 신고하고, 서면 등의 방법으로 정보주체에게 알려야 한다. 단, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 인터넷 홈페이지에 정보주체가 쉽게 알 수 있도록 30일 이상 게시하는 것으로 통지를 갈음할 수 있다.
• 유출사고 발생 시 기관이 대응하기 위해 필요한 모든 내용을 포함하고 있는 절차를 수립하여야 한다. 접속경로 차단, 시스템 일시정지, 암호 등의 변경, 유출 원인 분석, 유출된 개인정보의 삭제, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 임시 대응조치에서부터 유사사고 발생 방지대책 수립 및 시행 등과 같은 장래의 피해 예방조치 등을 포함하여야 한다.
• 침해사고에 대비하여 개인정보취급자 대상 교육 및 모의훈련 실시, 사내 정보시스템 (인트라넷) 게시 등으로 신속하고 효율적으로 대응할 수 있는 체계를 구축할 것을 권장한다.

1.4.1 정보주체 권리보장 절차 수립 : 개인정보 열람, 정정᛫삭제, 처리정지, 수집출처 통지 등 정보주체의 권리보장과 요구에 대한 처리절차를 수립하여 실시하고 있는가?

1. 정보주체의 개인정보 열람, 정정᛫삭제, 처리정지, 동의 철회, 수집출처 요구에 대하여 대응할 수 있는 처리절차를 수립하여 공식적으로 시행하여야 한다.
2. 정보주체 요구 처리절차에는 아래와 같은 사항이 모두 포함되어야 한다.
① 정보주체 요구 유형(열람, 정정᛫삭제, 처리정지, 동의 철회, 수집출처 요구)에 따른 대응 절차
② 정보주체 요구 접수 부서 및 담당자
③ 정보주체 요구 관리대장 양식
④ 정보주체 또는 법정대리인 본인 여부를 확인할 수 있는 절차
⑤ 정보주체 요구 거절 기준 및 이에 따른 절차 등
3. 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 한다.
4. 정보주체 권리보장 절차를 이해관계자들이 준수할 수 있도록 공유하여야 한다.
5. 개인정보처리자가 개인정보 보호법 제17조제1항제1호(제3자 제공 동의)에 따라 정보주체 이외로부터 수집한 경우 개인정보 보호법 시행령 제15조의2 제1항에 해당하는 개인정보처리자는 정보주체에게 수집 출처 통지 등 의무를 준수하여야 한다. (이 경우는 해당하는 개인정보처리자에 한함)

• 정보주체의 개인정보 열람, 정정᛫삭제 및 처리정지에 대한 처리 절차를 수립하여야 하며 관련된 신청 양식을 만들고 신청을 처리한 내역을 기록하고 관리하여야 한다.
• 열람에는 사본의 교부를 포함하며, 정보주체가 직접 제공한 개인정보 이외에 제3자 또는 공개된 소스로부터 수집한 개인정보, 개인정보처리자가 생산한 개인정보(신용평가, 인사평가, 거래내역, 진료기록 등), 서비스제공 등의 과정에서 자동적으로 생성된 개인정보(수발신 내역, 입출기록, 쿠키, 로그기록 등) 등도 열람요구의 대상이 된다.
• 개인정보 열람, 정정᛫삭제 및 처리정지 요청에 대한 처리절차는, 법률에서 정한 열람, 정정, 삭제 및 처리정지 등의 요구가 제외되는 대상을 정의하고, 정보주체의 요구가 정당하게 거부되었음을 고지하는 절차를 포함하여 수립하여야 한다.
• 개인정보 열람, 정정 및 삭제 처리에 대한 정보주체의 요구에 대하여, 정당한 사유가 없는 한 10일 이내에 열람, 정정 및 삭제에 대한 처리결과를 정보주체에게 알려야 한다.
• 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실 등을 알려야 한다. “표준 개인정보 보호지침”에서는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 관련 사항을 정보주체에게 알리도록 명시하고 있다.
• 「개인정보 보호법」 제20조제2항에 따라 정보주체의 제3자 제공 동의에 근거하여 개인정보를 제공받아 처리하는 때에는 정보주체의 요구가 없더라도 개인정보의 수집 출처, 개인정보의 처리 목적, 개인정보 처리의 정지를 요구하거나 철회할 권리가 있다는 사실 등을 정보주체에게 알려야 한다.

• 정보주체의 권리행사 방법 및 절차는 최소한 개인정보 수집절차 또는 회원가입 절차에 준해서 알기 쉽고 편리하여야 하며, 개인정보 수집 시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구해서는 안 된다. 또한, 정보주체가 편리하게 선택할 수 있도록 가급적 다양한 권리행사 방법을 마련하여 제공하여야 한다. 예컨대 방문, 서면, 전화, 전자우편, 인터넷 웹사이트 등 다양한 방법으로 정보주체가 열람᛫정정᛫삭제᛫처리 정지 등을 요구할 수 있도록 하여야 한다.
• 개인정보처리자는 개인정보 열람요구, 정정ㆍ삭제요구, 처리정지요구, 수집출처 요구 등을 받은 때에는 열람 등의 요구를 한 자가 본인이거나 정당한 대리인인지를 확인하여야 한다. 대리인의 경우에는 대리인 자신에 관한 신원확인 뿐만 아니라 정보주체와 대리인 사이의 대리관계를 증명할 수 있는 위임장 및 인감 또는 법정대리인의 경우에는 법정대리인임을 확인할 수 있는 서면(주민등록등본, 가족관계증명서 등)을 추가로 확인하여야 한다.
• 개인정보처리자가 공공기관인 경우에는 「전자정부법」 제36조제1항에 따른 행정정보의 공동이용을 통하여 신분확인이 가능하면 행정정보의 공동이용을 통하여 확인하여야 한다. 다만, 해당 공공기관이 행정정보의 공동이용을 할 수 없거나 정보주체가 확인에 동의하지 아니하는 경우에는 그러하지 아니하다.
• 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 처리정지 요구권은 개인정보처리 활동에 대한 정지를 요구하는 것으로 동의 철회권보다는 그 개념이 넓다. 동의 철회권은 정보주체 자신이 동의한 것에 대해서만 동의를 철회할 수 있으나, 처리정지 요구권은 정보주체 자신이 처리에 동의하지 아니한 것에 대해서는 처리정지를 요구할 수 있는 일종의 법정 해지권과 같은 성격의 것이라고 할 수 있다. 정보주체는 처리정지 요구의 이유를 댈 필요가 없으며 언제든지 요구가 가능하다.

<열람요구 항목(영 제41조 제1항)>
1. 개인정보의 항목 및 내용
2. 개인정보의 수집᛫이용의 목적
3. 개인정보 보유 및 이용 기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 대하여 동의한 사실 및 내용

<열람 제한ㆍ거절 사유(법 제35조 제4항)>
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과·징수 또는 환급에 관한 업무
나. 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금᛫급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

1.4.2 정보주체 권리보장 방법 안내 : 정보주체의 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하고 있는가?

1. 정보주체의 개인정보 열람, 정정·삭제, 처리정지, 수집출처 요구에 대한 개인정보처리자의 조치에 불복이 있는 경우 이의를 제기할 수 있는 절차를 마련해야 한다.
2. 정보주체의 요구에 대한 처리결과 통지 시에, 처리 결과에 대한 불복이 있는 경우 이의를 제기할 수 있는 방법을 함께 안내하여야 한다.

• 열람 등의 요구에 대한 거절 조치에 대하여 불복이 있는 경우 정보주체가 이의를 제기할 수 있도록개인정보처리자는 필요한 절차를 마련하고 안내하여야 한다. 이 경우 이의제기 절차는 공정하게 운영될 수 있도록 외부전문가를 참여시키거나 내부의 견제장치가 마련되어 있어야 한다.
• 정보주체의 개인정보 열람, 정정᛫삭제, 처리정지, 수집출처 요구 등에 대한 처리 결과를 통지할 때에는 처리 결과에 불복이 있는 경우 이에 대한 이의를 제기할 수 있는 방법을 함께 안내하는 것이 권고된다.

1.4.3 정보주체 권리보장 방법 안내 : 개인정보의 이용‧제공 내역이나 이용‧제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하고 있는가?

1. 아래의 정하는 기준에 해당하는 개인정보처리자는 수집한 개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다.
① 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는자
② 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
2. 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균을 기준으로 산정한다.
3. 정보주체에게 통지해야 하는 정보는 아래와 같다.
① 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목
② 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목 (다만, 통신비밀보호법 제13조, 제13조의2, 제13조의4 및 전기통신사업법 제83조제3항에 따라 제공한 정보는 제외한다.)
4. 개인정보 이용·제공 내역에 따른 통지는 아래에 해당하는 방법으로 연 1회 이상 해야 한다.
① 서면, 전자우편, 전화, 문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
② 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법(개인정보의 이용제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 통지하는 경우로 한정한다)

• 개인정보 이용·제공 내역 통지의 대상이 되는 정보주체는 중 다음의 정보주체는 통지대상에서 제외하도록 한다.

• 개인정보 이용·제공 내역 통지로 인하여 수사 중인 상황이 노출될 경우 수사목적 달성에 지장을 초래할 수 있으므로 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 통지 대상 정보에서 제외된다.(영 제15조의3 제3항제2호)
• 개인정보처리자는 연 1회 이상 개인정보 이용·제공 내역을 주기적으로 정보주체에게 통지하여야하며, 그 시기는 개인정보처리자 등이 자유롭게 결정할 수 있다.
• 개인정보 이용·제공 내역 통지는 서면, 전자우편, 팩스, 전화, 문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법으로 하여야 한다.
• 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법으로 하여야 한다. 이때, 알리는 방법으로는 개인정보의 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 통지하는 경우로 한정한다.