제1조(목적)

이 지침은 「개인정보 보호법」(이하 "법"이라 한다) 제12조제1항에 따른 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다.

제2조(용어의 정의)

이 지침에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보 처리"란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
2. "개인정보처리자"란 업무를 목적으로 법 제2조제4호에 따른 개인정보파일을 운용하기 위하여 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인 등을 말한다.
3. "공공기관"이란 법 제2조제6호 및 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제2조에 따른 기관을 말한다.
4. "친목단체"란 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로서 자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 가진 사람 간의 친목도모를 위한 각종 동창회, 동호회, 향우회, 반상회 및 동아리 등의 모임을 말한다.
5. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
6. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
7. "개인정보처리시스템"이란 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.
8. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 영 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.
9. "개인영상정보"란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.
10. "영상정보처리기기운영자"란 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.
11. "공개된 장소"란 공원, 도로, 지하철, 상가 내부, 주차장 등 불특정 또는 다수가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.

제3조(적용범위)

이 지침은 전자적 파일과 인쇄물, 서면 등 모든 형태의 개인정보파일을 운용하는 개인정보처리자에게 적용된다.

제4조(개인정보 보호 원칙)

① 개인정보처리자는 개인정보 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 정확성과 최신성을 유지해야 하며, 훼손되지 않도록 해야 한다.

④ 개인정보처리자는 적절한 관리적·기술적·물리적 보호조치를 통해 개인정보를 안전하게 관리해야 한다.

⑤ 개인정보처리자는 개인정보 처리방침을 공개하고 정보주체의 권리를 보장해야 한다.

⑥ 개인정보처리자는 사생활 침해를 최소화하는 방법으로 처리해야 한다.

⑦ 가능한 경우 개인정보는 익명 처리해야 한다.

⑧ 법령을 준수하고 신뢰 확보를 위해 노력해야 한다.

제5조(다른 지침과의 관계)

중앙행정기관의 장이 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하는 경우에는 이 지침에 부합되도록 하여야 한다.

제6조(개인정보의 수집·이용)

① 개인정보의 "수집"이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.

② 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체로부터 사전에 동의를 받은 경우
2. 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
3. 법령에서 개인정보처리자에게 구체적인 의무를 부과하고 있고, 개인정보를 수집·이용하지 않고는 그 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
4. 공공기관이 개인정보를 수집·이용하지 않고는 법령 등에서 정한 소관 업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우
5. 개인정보를 수집·이용하지 않고는 정보주체와 계약을 체결하고, 체결된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
6. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
7. 개인정보처리자가 법령 또는 정보주체와의 계약 등에 따른 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
(단, 이 경우 개인정보의 수집·이용은 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니해야 한다.)

③ 개인정보처리자는 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 "명함등")를 제공받아 개인정보를 수집하는 경우, 사회통념상 동의 의사가 인정되는 범위 내에서만 이용할 수 있다.

④ 개인정보처리자는 인터넷 홈페이지 등 공개된 매체에서 개인정보를 수집하는 경우, 동의 의사가 명확히 표시되었거나 사회통념상 동의가 인정되는 범위 내에서만 이용할 수 있다.

⑤ 개인정보처리자는 계약 상대방이 대리인을 통하여 의사표시를 하는 경우, 대리권 확인을 위한 목적에 한하여 대리인의 개인정보를 수집·이용할 수 있다.

⑥ 근로계약 체결 시 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 복지 제공을 위해 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.

제7조(개인정보의 제공)

① 개인정보의 "제공"이란 개인정보의 저장 매체나 출력물 등을 물리적으로 이전하거나, 네트워크를 통한 전송, 제3자의 접근권한 부여, 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다.

② 법 제17조의 "제3자"란 정보주체와 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인 및 수탁자는 제외한다.

③ 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인명)과 연락처를 함께 알려야 한다.

제8조(개인정보의 목적 외 이용·제공)

① 개인정보를 목적 외로 제공하는 경우, 제공받는 자에게 이용 목적, 방법, 기간 등을 제한하고 안전성 확보 조치를 문서로 요청해야 한다.
요청을 받은 자는 조치를 취하고 그 사실을 문서로 알려야 한다.

② 개인정보 제공 시 안전성 확보 조치에 대한 책임관계를 명확히 해야 한다.

③ 제공받는 자를 알릴 경우 성명(법인명)과 연락처를 함께 알려야 한다.

제9조(개인정보 수집 출처 등 고지)

① 정보주체 이외로부터 개인정보를 수집한 경우, 정당한 사유가 없으면 요구일로부터 3일 이내에 고지해야 한다.
다만 다음의 경우 제외된다.
1. 특정 개인정보파일에 포함된 경우
2. 타인의 생명·재산 등에 위험이 있는 경우

② 고지를 거부하는 경우, 3일 이내에 거부 사유를 알려야 한다.

제10조(개인정보의 파기방법 및 절차)

① 보유기간 경과 또는 목적 달성 시 5일 이내 개인정보를 파기해야 한다.

② 복원이 불가능한 방법으로 파기해야 한다.

③ 파기 관련 사항을 기록·관리해야 한다.

④ 개인정보 보호책임자는 파기 결과를 확인해야 한다.

⑤ 공공기관은 별도 규정을 따른다.

제11조(법령에 따른 개인정보의 보존)

① 법령에 따라 보존해야 하는 경우 분리하여 저장·관리해야 한다.

② 해당 사실을 처리방침 등을 통해 공개해야 한다.

제12조(동의를 받는 방법)

① 동의가 필요한 개인정보와 아닌 것을 구분해야 하며, 입증 책임은 개인정보처리자에게 있다.

② 다음의 경우 동의를 받아야 한다.
1. 일반적인 수집·이용
2. 목적 외 이용 또는 제공
3. 마케팅·홍보 목적 이용
4. 고유식별정보 처리
5. 민감정보 처리

③ 동의 또는 거부 선택 가능함을 명시해야 한다.

④ 동의 없이 수집하는 경우 법적 근거를 알리기 위해 노력해야 한다.

⑤ 전화 동의 시 녹취 사실을 알려야 한다.

⑥ 친목단체는 일부 개인정보를 동의 없이 수집 가능하다.
1. 성명 및 연락처
2. 회비 납부 정보
3. 활동 참여 정보
4. 친교 관련 정보

⑦ 동의서는 가이드라인을 준수해야 한다.

제13조(법정대리인의 동의)

① 법정대리인 정보를 수집할 때 수집 목적을 안내해야 한다.

② 동의 확인 목적 외 사용 금지하며, 동의 없으면 5일 이내 파기해야 한다.

제14조(정보주체의 사전 동의를 받을 수 없는 경우)

사전 동의 없이 개인정보를 처리한 경우, 사유 해소 즉시 처리 중단 및 수집·이용 사실과 사유를 알려야 한다.

제15조(개인정보취급자에 대한 감독)

① 개인정보취급자는 최소한으로 지정하고, 처리 범위를 최소화해야 한다.

② 접근권한을 업무에 따라 차등 부여하고 관리해야 한다.

③ 보안서약서 제출 등 관리·감독을 해야 하며, 인사 변경 시 권한을 변경 또는 말소해야 한다.

제16조(수탁자의 선정 시 고려사항)

개인정보 처리 업무를 위탁하는 경우, 수탁자의 인력, 시설, 재정, 기술, 책임능력 등 개인정보 보호 역량을 종합적으로 고려하여 선정해야 한다.

제17조(개인정보 보호 조치의무)

수탁자는 「개인정보의 안전성 확보조치 기준」에 따라 관리적·기술적·물리적 보호조치를 수행해야 한다.

제18조(개인정보 처리방침의 작성기준 등)

① 개인정보 처리방침은 법령에 따른 사항을 명확히 구분하여 쉽게 이해할 수 있도록 작성해야 한다.

② 처리하는 개인정보가 최소한이라는 점을 밝혀야 한다.

제19조(개인정보 처리방침의 기재사항)

개인정보 처리방침에는 다음 사항을 포함해야 한다.
1. 개인정보 처리 목적
2. 처리 항목
3. 보유 기간
4. 제3자 제공 사항 (해당 시)
5. 파기 절차 및 방법
6. 위탁 관련 사항 (해당 시)
7. 안전성 확보조치
8. 정보주체 권리 및 행사 방법
9. 처리방침 변경
10. 개인정보 보호책임자
11. 열람청구 부서
12. 권익침해 구제 방법

제20조(개인정보 처리방침의 공개)

① 홈페이지를 통해 지속적으로 공개해야 하며, 쉽게 확인할 수 있도록 표시해야 한다.

② 홈페이지가 없는 경우 다음 방법으로 공개할 수 있다.
1. 안내문 게시
2. 간행물·소식지 게재
3. 기타 공개 방법

③ 간행물 공개 시 지속적으로 게재해야 한다.

제21조(개인정보 처리방침의 변경)

변경 시 시행일과 변경 내용을 공개하고, 변경 전·후를 비교하여 쉽게 확인할 수 있도록 해야 한다.

제22조(개인정보 보호책임자의 공개)

① 보호책임자 지정 또는 변경 시 성명, 부서, 연락처를 공개해야 한다.

② 고충처리 가능한 연락처를 함께 공개해야 한다.

제23조(개인정보 보호책임자의 교육)

교육 내용은 다음과 같다.
1. 개인정보 보호 법령
2. 업무 수행 관련 사항
3. 기타 보호 관련 사항

제24조(교육계획의 수립 및 시행)

① 매년 교육계획을 수립·시행해야 한다.

② 외부기관에 교육을 위탁할 수 있다.

③ 누구나 교육받을 수 있도록 환경을 조성해야 한다.

제25조(개인정보의 유출)

개인정보 유출이란 다음에 해당하는 경우를 말한다.
1. 문서·저장장치 분실 또는 도난
2. 시스템 무단 접근
3. 오전송 또는 실수 전달
4. 기타 무단 제공

제26조(유출 통지시기 및 항목)

① 유출 인지 시 5일 이내 통지해야 한다.
1. 유출 항목
2. 발생 시점 및 경위
3. 피해 최소화 방법
4. 대응조치
5. 신고 연락처

② 일부만 확인된 경우 우선 통지 후 추가 안내 가능

③ 통지 지연 시 입증 필요

제27조(유출 통지방법)

① 서면, 이메일, 문자, 전화 등으로 통지해야 한다.

② 홈페이지 공개 병행 가능

제28조(개인정보 유출신고 등)

① 1천명 이상 유출 시 5일 이내 신고해야 한다.

② 신고서는 지정 양식을 사용한다.

③ 긴급 시 전화 후 서면 제출 가능

④ 홈페이지에 7일 이상 공개해야 한다.

제29조(개인정보 유출 사고 대응 매뉴얼 등)

① 공공기관 및 대규모 처리자는 대응 매뉴얼을 마련해야 한다.

② 매뉴얼에는 대응 절차, 민원 대응, 피해 구제 등이 포함되어야 한다.

③ 피해 최소화를 위해 노력해야 한다.

제30조(개인정보 침해 사실의 신고 처리 등)

① 침해 발생 시 신고센터에 신고 가능

② 신고센터는 다음 업무를 수행한다.
1. 접수 및 상담
2. 사실 조사
3. 시정 유도
4. 종결 처리
5. 분쟁조정 안내

제31조(개인정보 열람 연기 사유의 소멸)

① 열람 연기 사유가 소멸한 경우, 10일 이내 열람하도록 해야 한다.

② 제3자 제공 현황 열람 요청 시 국가안보 등 사유가 있는 경우 제3자 의견을 조회 후 결정할 수 있다.

제32조(개인정보의 정정·삭제)

① 정정·삭제 요구 시 10일 이내 조치 후 결과를 통지해야 한다.

② 삭제 불가 시 법적 근거를 안내해야 한다.

제33조(개인정보의 처리정지)

① 처리정지 요구 시 10일 이내 처리정지해야 한다.

② 정지된 개인정보는 파기 등 조치를 하고 결과를 통지해야 한다.

제34조(권리행사의 방법 및 절차)

① 정보주체가 쉽게 권리를 행사할 수 있도록 간편한 방법을 제공해야 한다.

② 불필요한 서류 요구나 절차를 추가할 수 없다.

제35조(적용범위)

공개된 장소에 설치된 영상정보처리기기 및 개인영상정보에 적용된다.

제36조(영상정보처리기기 운영·관리 지침)

① 운영·관리 지침은 공개해야 한다.

② 개인정보 처리방침에 포함하여 작성할 수 있다.

제37조(관리책임자의 지정)

① 관리책임자를 지정해야 한다.

② 주요 업무는 다음과 같다.
1. 보호 계획 수립
2. 운영 실태 점검
3. 민원 처리
4. 내부 통제 구축
5. 교육 시행
6. 파일 관리·파기
7. 기타 보호 업무

③ 개인정보 보호책임자가 겸임 가능

제38조(사전의견 수렴)

설치 목적 변경 또는 추가 설치 시 전문가 및 이해관계자 의견을 수렴해야 한다.

제39조(안내판의 설치)

① 다음 내용을 포함한 안내판을 설치해야 한다.
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 정보
4. 위탁 시 수탁자 정보

② 누구나 쉽게 확인 가능해야 한다.

③ 통합관리 시 관련 내용 추가 기재

제40조(개인영상정보 이용·제3자 제공 제한)

다음 경우 외 이용 또는 제공 금지
1. 동의 받은 경우
2. 법령 근거
3. 긴급 상황
4. 통계·연구(비식별)
5. 법적 업무 수행
6. 국제협정 이행
7. 수사 목적
8. 재판 업무
9. 형 집행

제41조(보관 및 파기)

① 보관기간 만료 시 즉시 파기

② 보관기간 설정 어려울 경우 30일 이내

③ 파기 방법
1. 출력물 → 파쇄/소각
2. 파일 → 복구 불가 삭제

제42조(이용·제공·파기 기록 관리)

① 이용 또는 제공 시 기록사항
1. 파일명
2. 제공 대상
3. 목적
4. 법적 근거
5. 기간
6. 형태

② 파기 시 기록사항
1. 파일명
2. 파기 일시
3. 담당자

제43조(영상정보처리기기 위탁)

① 위탁 시 수탁자 정보 공개

② 수탁자 관리·감독 필요

제44조(정보주체의 열람등 요구)

① 본인 영상 또는 긴급 필요 영상에 대해 열람 요구 가능

② 공공기관은 지정 양식 사용

③ 요구 시 신분 확인 후 조치해야 한다.

④ 다음 경우 거부 가능
1. 수사 등 지장
2. 이미 파기
3. 정당한 사유 존재

⑤ 기록 관리 사항
1. 요청자 정보
2. 영상 내용
3. 목적
4. 거부 사유
5. 제공 내용

⑥ 본인 영상에 한해 파기 요구 가능

제45조(개인영상정보 관리대장)

기록 관리를 위해 관리대장을 활용할 수 있다.

제46조(정보주체 이외의 자 보호)

타인의 얼굴 등 식별 정보는 마스킹 등 보호조치를 해야 한다.

제47조(개인영상정보의 안전성 확보를 위한 조치)

영상정보처리기기운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법 제29조 및 영 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행, 다만 「개인정보의 안전성 확보조치 기준 고시」제2조제4호에 따른 ‘소상공인’은 내부관리계획을 수립하지 아니할 수 있다.
2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
4. 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

제48조(개인영상정보처리기기의 설치·운영에 대한 점검)

① 공공기관의 장이 영상정보처리기기를 설치·운영하는 경우에는 이 지침의 준수 여부에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 보호위원회에게 통보하고 영 제34조제3항에 따른 시스템에 등록하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.
1. 영상정보처리기기의 운영·관리 방침에 열거된 사항
2. 관리책임자의 업무 수행 현황
3. 영상정보처리기기의 설치 및 운영 현황
4. 개인영상정보 수집 및 이용·제공·파기 현황
5. 위탁 및 수탁자에 대한 관리·감독 현황
6. 정보주체의 권리행사에 대한 조치 현황
7. 기술적·관리적·물리적 조치 현황
8. 영상정보처리기 설치·운영의 필요성 지속 여부 등

② 공공기관의 장은 제1항과 제3항에 따른 영상정보처리기기 설치·운영에 대한 자체점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 한다.

③ 공공기관 외의 영상정보처리기기운영자는 영상정보처리기기 설치·운영으로 인하여 정보주체의 개인영상정보의 침해가 우려되는 경우에는 자체점검 등 개인영상정보의 침해 방지를 위해 적극 노력하여야 한다.

제49조(적용대상)

이 장의 적용대상은 다음과 같다.
1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
2. 「국가인권위원회법」에 따른 국가인권위원회
3. 「공공기관의 운영에 관한 법률」에 따른 공공기관
4. 「지방공기업법」에 따른 지방공사 및 지방공단
5. 특별법에 의하여 설립된 특수법인
6. 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교

제50조(적용제외)

이 장은 다음 각 호의 어느 하나에 해당하는 개인정보파일에 관하여는 적용하지 아니한다.
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보파일
2. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보파일

가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일

다. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일

라. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일

마. 다른 법령에 따라 비밀로 분류된 개인정보파일
3. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보파일

바. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일

사. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일

아. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
4. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
5. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일
6. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일

제51조(개인정보파일 등록 주체)

① 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자는 그 현황을 보호위원회에 등록하여야 한다.

② 중앙행정기관, 광역자치단체, 특별자치시도, 기초자치단체는 보호위원회에 직접 등록하여야 한다.

③ 교육청 및 각급 학교 등은 교육부를 통하여 보호위원회에 등록하여야 한다.

④ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 보호위원회에 등록하여야 한다.

제52조(개인정보파일 등록 및 변경 신청)

① 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보 보호책임자에게 개인정보파일 등록을 신청하여야 한다.

② 개인정보파일 등록 신청 사항은 다음의 각 호와 같다. 신청은 「개인정보 보호법 고시」(이하 "고시"라 한다) 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용할 수.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일의 명칭
3. 개인정보파일의 운영 근거 및 목적
4. 개인정보파일에 기록되는 개인정보의 항목
5. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
6. 개인정보의 처리 방법
7. 개인정보의 보유 기간
8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수·처리하는 부서
11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
12. 법 제33조제1항에 따른 개인정보 영향평가를 받은 개인정보파일의 경우에는 그 영향평가의 결과

③ 개인정보취급자는 등록한 사항이 변경된 경우에는 고시 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용하여 개인정보 보호책임자에게 변경을 신청하여야 한다.

제53조(개인정보파일 등록 및 변경 확인)

① 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 보호위원회에 등록하여야 한다.

② 교육청 및 각급 학교 등의 개인정보 보호책임자는 교육부에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 교육부의 확인을 받아 보호위원회에 등록하여야 한다.

③ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 보호위원회에 등록하여야 한다.

④ 제1항부터 제3항의 등록은 60일 이내에 하여야 한다.

제54조(개인정보파일 표준목록 등록과 관리)

① 특별지방행정기관, 지방자치단체, 교육기관(학교 포함) 등 전국적으로 단일한 공통업무를 집행하고 있는 기관은 각 중앙행정기관에서 제공하는 ‘개인정보파일 표준목록’에 따라 등록해야 한다.

② 전국 단일의 공통업무와 관련된 개인정보파일 표준목록은 해당 중앙부처에서 등록·관리해야 한다.

제55조(개인정보파일의 파기)

① 공공기관은 개인정보파일의 보유기간 경과, 처리 목적 달성 등 개인정보파일이 불필요하게 되었을 때에는 지체 없이 그 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

② 공공기관은 개인정보파일의 보유기간, 처리 목적 등을 반영한 개인정보 파기계획을 수립·시행하여야 한다. 다만, 영 제30조제1항제1호에 따른 내부 관리계획이 수립되어 있는 경우에는 내부 관리계획에 개인정보 파기계획을 포함하여 시행할 수 있다.

③ 개인정보취급자는 보유기간 경과, 처리 목적 달성 등 파기 사유가 발생한 개인정보파일을 선정하고, 별지 제4호서식에 따른 개인정보파일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기재하여 개인정보 보호책임자의 승인을 받아 개인정보를 파기하여야 한다.

④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 별지 제5호서식에 따른 개인정보파일 파기 관리대장을 작성하여야 한다.

제56조(개인정보파일 등록 사실의 삭제)

① 개인정보취급자는 제55조에 따라 개인정보파일을 파기한 경우, 법 제32조에 따른 개인정보파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청해야 한다.

② 개인정보파일 등록의 삭제를 요청받은 개인정보 보호책임자는 그 사실을 확인하고, 지체 없이 등록 사실을 삭제한 후 그 사실을 보호위원회에 통보한다.

제57조(등록·파기에 대한 개선권고)

① 공공기관의 개인정보 보호책임자는 제53조제1항에 따라 검토한 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우에는 개선을 권고할 수 있다.

② 교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보 보호책임자는 제53조제2항 및 제53조제3항에 따라 검토한 개인정보파일이 과다하게 운용된다고 판단되거나, 등록되지 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고할 수 있다.

③ 보호위원회는 개인정보파일의 등록사항과 그 내용을 검토하고 다음 각 호의 어느 하나에 해당되는 경우에는 법 제32조제3항에 따라 해당 공공기관의 개인정보 보호책임자에게 개선을 권고할 수 있다.
1. 개인정보파일이 과다하게 운용된다고 판단되는 경우
2. 등록하지 않은 개인정보파일이 있는 경우
3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일을 계속 보유하고 있는 경우
4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등록사항에 포함하지 않은 경우
5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우

④ 보호위원회는 제3항에 따라 개선을 권고한 경우에는 그 내용 및 결과에 대하여 개인정보 보호위원회의 심의·의결을 거쳐 공표할 수 있다.

⑤ 보호위원회는 공공기관의 개인정보파일 등록·파기 현황에 대한 점검을 실시할 수 .

제58조(개인정보파일대장 작성)

공공기관은 1개의 개인정보파일에 1개의 개인정보파일대장을 작성해야 한다.

제59조(개인정보파일 이용·제공 관리)

공공기관은 법 제18조제2항 각 호에 따라 제3자가 개인정보파일의 이용·제공을 요청한 경우에는 각각의 이용·제공 가능 여부를 확인하고 별지 제6호서식의 ‘개인정보 목적 외 이용·제공대장’에 기록하여 관리해야 한다.

제60조(개인정보파일 보유기간의 산정)

① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.

② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과 「공공기록물 관리에 관한 법률 시행령」에 따른 기록관리기준표를 상회할 수 없다.

③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다.

제61조(개인정보파일 현황 공개 및 방법)

① 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 포함하여 관리해야 한다.

② 보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다.

③ 보호위원회는 전 공공기관의 개인정보파일 등록 및 삭제 현황을 종합하여 매년 공개해야 하며, 개인정보파일 현황 공개에 관한 업무를 전자적으로 처리하기 위하여 정보시스템을 구축·운영할 수 있다.

제62조(친목단체에 대한 벌칙조항의 적용배제)

① 친목단체의 개인정보처리자에 대하여는 법 제75조제1항제1호, 법 제75조제2항제1호, 법 제75조제4항제8호 및 법 제75조제4항제8호의 벌칙을 적용하지 아니한다.

② 제1항에서 규정한 사항을 제외한 벌칙규정은 친목단체의 개인정보처리자에 대하여도 적용한다.

제63조(처리 중인 개인정보에 관한 경과조치)

① 법 시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 영, 고시 및 이 지침에 따라야 한다.

② 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리자는 정보주체의 동의를 받아야 한다.

③ 법 시행 전에 개인정보를 수집한 개인정보처리자는 기존의 수집목적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주체의 동의를 받을 목적으로 법 시행 전에 수집한 개인정보를 이용할 수 있다.