개인정보 보호법 시행령

제29조(영업양도 등에 따른 개인정보 이전의 통지)

① 법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 "대통령령으로 정하는 방법"이란 서면등의 방법을 말한다.

② 법 제27조제1항에 따라 개인정보를 이전하려는 자(이하 이 항에서 "영업양도자등"이라 한다)가 과실 없이 제1항에 따른 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지에 게재할 수 없는 정당한 사유가 있는 경우에는 다음 각 호의 어느 하나의 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 있다. <개정 2020.8.4>

1. 영업양도자등의 사업장등의 보기 쉬운 장소에 30일 이상 게시하는 방법

2. 영업양도자등의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 또는 같은 조 제2호에 따른 일반일간신문ㆍ일반주간신문 또는 인터넷신문에 싣는 방법

제29조의2(결합전문기관의 지정 및 지정 취소)

① 법 제28조의3제1항에 따른 전문기관(이하 "결합전문기관"이라 한다)의 지정 기준은 다음 각 호와 같다. <개정 2025.2.25>

1. 보호위원회가 정하여 고시하는 바에 따라 가명정보의 결합ㆍ반출 업무를 담당하는 조직을 구성하고, 개인정보 보호와 관련된 자격이나 경력을 갖춘 사람을 3명 이상 상시 고용할 것

2. 보호위원회가 정하여 고시하는 바에 따라 가명정보를 안전하게 결합하기 위하여 필요한 공간, 시설 및 장비를 구축하고 가명정보의 결합ㆍ반출 관련 정책 및 절차 등을 마련할 것

3. 보호위원회가 정하여 고시하는 기준에 따른 재정 능력을 갖출 것

4. 최근 3년 이내에 법 제66조제1항에 따라 공표되거나 같은 조 제2항에 따른 공표명령을 받은 사실이 없을 것

5. 최근 1년 이내에 제4항에 따른 유효기간 연장 신청을 하였으나 재지정되지 않은 사실 또는 제5항에 따라 지정 취소된 사실이 없을 것

② 법인, 단체 또는 기관이 법 제28조의3제1항에 따라 결합전문기관으로 지정을 받으려는 경우에는 보호위원회가 정하여 고시하는 결합전문기관 지정신청서에 다음 각 호의 서류(전자문서를 포함한다. 이하 같다)를 첨부하여 보호위원회 또는 관계 중앙행정기관의 장에게 제출해야 한다.

1. 정관 또는 규약

2. 제1항에 따른 지정 기준을 갖추었음을 증명할 수 있는 서류로서 보호위원회가 정하여 고시하는 서류

③ 보호위원회 또는 관계 중앙행정기관의 장은 제2항에 따라 지정신청서를 제출한 법인, 단체 또는 기관이 제1항에 따른 지정 기준에 적합한 경우에는 결합전문기관으로 지정할 수 있다.

④ 결합전문기관 지정의 유효기간은 지정을 받은 날부터 3년으로 하며, 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 유효기간의 연장을 신청하면 다음 각 호의 사항을 검토하여 결합전문기관으로 재지정할 수 있다. <개정 2025.2.25>

1. 제1항에 따른 지정 기준에 적합한지 여부

2. 향후 업무 수행 계획이 지정 목적 달성에 적합한지 여부

3. 지정 목적에 따라 업무를 제대로 수행했는지 여부

4. 제29조의3제5항에 따른 비용을 과다하게 청구하는 등 결합을 부당하게 제한했는지 여부

⑤ 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 다음 각 호의 어느 하나에 해당하는 경우에는 결합전문기관의 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우에는 지정을 취소해야 한다.

1. 거짓이나 부정한 방법으로 결합전문기관으로 지정을 받은 경우

2. 결합전문기관 스스로 지정 취소를 요청하거나 폐업한 경우

3. 제1항에 따른 결합전문기관의 지정 기준을 충족하지 못하게 된 경우

4. 결합 및 반출 등과 관련된 정보의 유출 등 개인정보 침해사고가 발생한 경우

5. 그 밖에 법 또는 이 영에 따른 의무를 위반한 경우

⑥ 보호위원회 또는 관계 중앙행정기관의 장은 제5항에 따라 결합전문기관의 지정을 취소하려는 경우에는 청문을 해야 한다.

⑦ 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관을 지정, 재지정 또는 지정 취소한 경우에는 이를 관보에 공고하거나 보호위원회 또는 해당 관계 중앙행정기관의 홈페이지에 게시해야 한다. 이 경우 관계 중앙행정기관의 장이 결합전문기관을 지정, 재지정, 또는 지정 취소한 경우에는 보호위원회에 통보해야 한다.

⑧ 제1항부터 제7항까지에서 규정한 사항 외에 결합전문기관의 지정, 재지정 및 지정 취소 등에 필요한 사항은 보호위원회가 정하여 고시한다.

제29조의3(개인정보처리자 간 가명정보의 결합 및 반출 등)

① 결합전문기관에 가명정보의 결합을 신청하려는 개인정보처리자(이하 "결합신청자"라 한다)는 보호위원회가 정하여 고시하는 결합신청서에 다음 각 호의 서류를 첨부하여 결합전문기관에 제출해야 한다.

1. 사업자등록증, 법인등기부등본 등 결합신청자 관련 서류

2. 결합 대상 가명정보에 관한 서류

3. 결합 목적을 증명할 수 있는 서류

4. 그 밖에 가명정보의 결합 및 반출에 필요하다고 보호위원회가 정하여 고시하는 서류

② 결합전문기관은 법 제28조의3제1항에 따라 가명정보를 결합하는 경우에는 특정 개인을 알아볼 수 없도록 해야 한다. 이 경우 보호위원회는 필요하면 한국인터넷진흥원 또는 보호위원회가 지정하여 고시하는 기관으로 하여금 특정 개인을 알아볼 수 없도록 하는 데에 필요한 업무를 지원하도록 할 수 있다.

③ 결합신청자는 법 제28조의3제2항에 따라 결합전문기관이 결합한 정보를 결합전문기관 외부로 반출하려는 경우에는 결합전문기관에 설치된 안전성 확보에 필요한 기술적ㆍ관리적ㆍ물리적 조치가 된 공간에서 제2항에 따라 결합된 정보를 가명정보 또는 법 제58조의2에 해당하는 정보로 처리한 뒤 결합전문기관의 승인을 받아야 한다.

④ 결합전문기관은 다음 각 호의 기준을 충족하는 경우에는 법 제28조의3제2항에 따른 반출을 승인해야 한다. 이 경우 결합전문기관은 결합된 정보의 반출을 승인하기 위하여 반출심사위원회를 구성해야 한다.

1. 결합 목적과 반출 정보가 관련성이 있을 것

2. 특정 개인을 알아볼 가능성이 없을 것

3. 반출 정보에 대한 안전조치 계획이 있을 것

⑤ 결합전문기관은 결합 및 반출 등에 필요한 비용을 결합신청자에게 청구할 수 있다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 가명정보의 결합 절차와 방법, 반출 및 승인 등에 필요한 사항은 보호위원회가 정하여 고시한다.

제29조의4(결합전문기관의 관리ㆍ감독 등)

① 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관을 지정한 경우에는 해당 결합전문기관의 업무 수행능력 및 기술ㆍ시설 유지 여부 등을 관리ㆍ감독해야 한다.

② 결합전문기관은 제1항에 따른 관리ㆍ감독을 위하여 다음 각 호의 서류를 보호위원회가 정하여 고시하는 바에 따라 보호위원회 또는 관계 중앙행정기관의 장에게 제출해야 한다. <개정 2025.2.25>

1. 가명정보의 결합ㆍ반출 실적보고서

2. 결합전문기관의 지정 기준을 유지하고 있음을 증명할 수 있는 서류

3. 가명정보의 안전성 확보에 필요한 조치를 하고 있음을 증명할 수 있는 서류로서 보호위원회가 정하여 고시하는 서류

③ 보호위원회는 다음 각 호의 사항을 관리ㆍ감독해야 한다.

1. 결합전문기관의 가명정보의 결합 및 반출 승인 과정에서의 법 위반 여부

2. 결합신청자의 가명정보 처리 실태

3. 그 밖에 가명정보의 안전한 처리를 위하여 필요한 사항으로서 보호위원회가 정하여 고시하는 사항

제29조의5(가명정보에 대한 안전성 확보 조치)

① 개인정보처리자는 법 제28조의4제1항에 따라 가명정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보(이하 이 조에서 "추가정보"라 한다)에 대하여 다음 각 호의 안전성 확보 조치를 해야 한다. <개정 2021.2.2, 2023.9.12>

1. 제30조에 따른 안전성 확보 조치

2. 가명정보와 추가정보의 분리 보관. 다만, 추가정보가 불필요한 경우에는 추가정보를 파기해야 한다.

3. 가명정보와 추가정보에 대한 접근 권한의 분리. 다만, 「소상공인기본법」 제2조에 따른 소상공인으로서 가명정보를 취급할 자를 추가로 둘 여력이 없는 경우 등 접근 권한의 분리가 어려운 정당한 사유가 있는 경우에는 업무 수행에 필요한 최소한의 접근 권한만 부여하고 접근 권한의 보유 현황을 기록으로 보관하는 등 접근 권한을 관리ㆍ통제해야 한다.

② 법 제28조의4제3항에서 "대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다. <개정 2023.9.12>

1. 가명정보 처리의 목적

2. 가명처리한 개인정보의 항목

3. 가명정보의 이용내역

4. 제3자 제공 시 제공받는 자

5. 가명정보의 처리 기간(법 제28조의4제2항에 따라 가명정보의 처리 기간을 별도로 정한 경우로 한정한다)

6. 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항

제29조의6 삭제 <2023.9.12>

제29조의7(개인정보의 국외 처리위탁ㆍ보관 시 정보주체에게 알리는 방법) 법 제28조의8제1항제3호나목에서 "전자우편 등 대통령령으로 정하는 방법"이란 서면등의 방법을 말한다.

제29조의8(개인정보의 국외 이전 인증)

① 보호위원회는 법 제28조의8제1항제4호 각 목 외의 부분에 따른 인증을 고시하려는 경우에는 다음 각 호의 순서에 따른 절차를 모두 거쳐야 한다.

1. 제34조의6에 따른 개인정보 보호 인증 전문기관의 평가

2. 제5조제1항제1호에 따른 개인정보의 국외 이전 분야 전문위원회(이하 "국외이전전문위원회"라 한다)의 평가

3. 정책협의회의 협의

② 보호위원회는 법 제28조의8제1항제4호 각 목 외의 부분에 따른 인증을 고시할 때에는 5년의 범위에서 유효 기간을 정하여 고시할 수 있다.

③ 제1항 및 제2항에서 규정한 사항 외에 인증의 고시 절차 등에 관하여 필요한 사항은 보호위원회가 정하여 고시한다.

제29조의9(국가 등에 대한 개인정보 보호 수준 인정)

① 보호위원회는 법 제28조의8제1항제5호에 따라 개인정보가 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 장에서 "이전"이라 한다)되는 국가 또는 국제기구(이하 "이전대상국등"이라 한다)의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 인정하려는 경우에는 다음 각 호의 사항을 종합적으로 고려해야 한다.

1. 이전대상국등의 법령, 규정 또는 규칙 등 개인정보 보호체계가 법 제3조에서 정하는 개인정보 보호 원칙에 부합하고, 법 제4조에서 정하는 정보주체의 권리를 충분히 보장하고 있는지 여부

2. 이전대상국등에 개인정보 보호체계를 보장하고 집행할 책임이 있는 독립적 감독기관이 존재하는지 여부

3. 이전대상국등의 공공기관(이와 유사한 사무를 수행하는 기관을 포함한다)이 법률에 따라 개인정보를 처리하는지 여부 및 이에 대한 피해구제 절차 등 정보주체에 대한 보호수단이 존재하고 실질적으로 보장되는지 여부

4. 이전대상국등에 정보주체가 쉽게 접근할 수 있는 피해구제 절차가 존재하는지 여부 및 피해구제 절차가 정보주체를 효과적으로 보호하고 있는지 여부

5. 이전대상국등의 감독기관이 보호위원회와 정보주체의 권리 보호에 관하여 원활한 상호 협력이 가능한지 여부

6. 그 밖에 이전대상국등의 개인정보 보호체계, 정보주체의 권리보장 범위, 피해구제 절차 등의 개인정보 보호 수준을 인정하기 위해 필요한 사항으로서 보호위원회가 정하여 고시하는 사항

② 보호위원회는 제1항에 따른 인정을 하려는 경우에는 다음 각 호의 절차를 거쳐야 한다.

1. 국외이전전문위원회의 평가

2. 정책협의회의 협의

③ 보호위원회는 제1항에 따른 인정을 할 때에는 정보주체의 권리 보호 등을 위하여 필요한 경우 이전대상국등으로 이전되는 개인정보의 범위, 이전받는 개인정보처리자의 범위, 인정 기간, 국외 이전의 조건 등을 이전대상국등별로 달리 정할 수 있다.

④ 보호위원회는 제1항에 따른 인정을 한 경우에는 인정 기간 동안 이전대상국등의 개인정보 보호수준이 법에 따른 수준과 실질적으로 동등한 수준을 유지하고 있는지 점검해야 한다.

⑤ 보호위원회는 제1항에 따른 인정을 받은 이전대상국등의 개인정보 보호체계, 정보주체의 권리보장 범위, 피해구제 절차 등의 수준이 변경된 경우에는 해당 이전대상국등의 의견을 듣고 해당 이전대상국등에 대한 인정을 취소하거나 그 내용을 변경할 수 있다.

⑥ 보호위원회가 제1항에 따른 인정을 하거나 제5항에 따라 인정을 취소하거나 그 내용을 변경하는 경우에는 그 사실을 관보에 고시하고 보호위원회 인터넷 홈페이지에 게재해야 한다.

⑦ 제1항부터 제6항까지에서 규정한 사항 외에 이전대상국등에 대한 인정에 필요한 사항은 보호위원회가 정하여 고시한다.

제29조의10(개인정보의 국외 이전 시 보호조치 등)

① 개인정보처리자는 법 제28조의8제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우에는 같은 조 제4항에 따라 다음 각 호의 보호조치를 해야 한다.

1. 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치

2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치

② 개인정보처리자는 법 제28조의8제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우에는 제1항 각 호의 사항에 관하여 이전받는 자와 미리 협의하고 이를 계약내용 등에 반영해야 한다.

제29조의11(국외 이전 중지 명령의 기준 등)

① 보호위원회는 법 제28조의9제1항에 따라 개인정보의 국외 이전을 중지할 것을 명하려는 경우에는 다음 각 호의 사항을 종합적으로 고려해야 한다.

1. 국외로 이전되었거나 추가적인 국외 이전이 예상되는 개인정보의 유형 및 규모

2. 법 제28조의8제1항, 제4항 또는 제5항 위반의 중대성

3. 정보주체에게 발생하거나 발생할 우려가 있는 피해가 중대하거나 회복하기 어려운 피해인지 여부

4. 국외 이전의 중지를 명하는 것이 중지를 명하지 않는 것보다 명백히 정보주체에게 이익이 되는지 여부

5. 법 제64조제1항 각 호에 해당하는 조치를 통해 개인정보의 보호 및 침해 방지가 가능한지 여부

6. 개인정보를 이전받는 자나 개인정보가 이전되는 이전대상국등이 정보주체의 피해구제를 위한 실효적인 수단을 갖추고 있는지 여부

7. 개인정보를 이전받는 자나 개인정보가 이전되는 이전대상국등에서 중대한 개인정보 침해가 발생하는 등 개인정보를 적정하게 보호하기 어렵다고 인정할 만한 사유가 존재하는지 여부

② 보호위원회는 법 제28조의9제1항에 따라 개인정보의 국외 이전을 중지할 것을 명하려는 경우에는 국외이전전문위원회의 평가를 거쳐야 한다.

③ 보호위원회는 법 제28조의9제1항에 따라 개인정보의 국외 이전을 중지할 것을 명할 때에는 개인정보처리자에게 중지명령의 내용, 사유, 이의 제기 절차ㆍ방법 및 그 밖에 필요한 사항을 문서로 알려야 한다.

④ 제1항부터 제3항까지에서 규정한 사항 외에 개인정보의 국외 이전 중지 명령의 기준 등에 관하여 필요한 사항은 보호위원회가 정하여 고시한다.

제29조의12(국외 이전 중지 명령에 대한 이의 제기)

① 법 제28조의9제2항에 따라 이의를 제기하려는 자는 같은 조 제1항에 따른 국외 이전 중지 명령을 받은 날부터 7일 이내에 보호위원회가 정하는 이의신청서에 이의신청 사유를 증명할 수 있는 서류를 첨부하여 보호위원회에 제출해야 한다.

② 보호위원회는 제1항에 따라 이의신청서를 제출받은 날부터 30일 이내에 그 처리결과를 해당 개인정보처리자에게 문서로 알려야 한다.

③ 제1항 및 제2항에서 규정한 사항 외에 이의 제기의 절차 등에 관하여 필요한 사항은 보호위원회가 정하여 고시한다.