개인정보 보호법 시행령

제29조의9(국가 등에 대한 개인정보 보호 수준 인정)

① 보호위원회는 법 제28조의8제1항제5호에 따라 개인정보가 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 장에서 "이전"이라 한다)되는 국가 또는 국제기구(이하 "이전대상국등"이라 한다)의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 인정하려는 경우에는 다음 각 호의 사항을 종합적으로 고려해야 한다.

1. 이전대상국등의 법령, 규정 또는 규칙 등 개인정보 보호체계가 법 제3조에서 정하는 개인정보 보호 원칙에 부합하고, 법 제4조에서 정하는 정보주체의 권리를 충분히 보장하고 있는지 여부

2. 이전대상국등에 개인정보 보호체계를 보장하고 집행할 책임이 있는 독립적 감독기관이 존재하는지 여부

3. 이전대상국등의 공공기관(이와 유사한 사무를 수행하는 기관을 포함한다)이 법률에 따라 개인정보를 처리하는지 여부 및 이에 대한 피해구제 절차 등 정보주체에 대한 보호수단이 존재하고 실질적으로 보장되는지 여부

4. 이전대상국등에 정보주체가 쉽게 접근할 수 있는 피해구제 절차가 존재하는지 여부 및 피해구제 절차가 정보주체를 효과적으로 보호하고 있는지 여부

5. 이전대상국등의 감독기관이 보호위원회와 정보주체의 권리 보호에 관하여 원활한 상호 협력이 가능한지 여부

6. 그 밖에 이전대상국등의 개인정보 보호체계, 정보주체의 권리보장 범위, 피해구제 절차 등의 개인정보 보호 수준을 인정하기 위해 필요한 사항으로서 보호위원회가 정하여 고시하는 사항

② 보호위원회는 제1항에 따른 인정을 하려는 경우에는 다음 각 호의 절차를 거쳐야 한다.

1. 국외이전전문위원회의 평가

2. 정책협의회의 협의

③ 보호위원회는 제1항에 따른 인정을 할 때에는 정보주체의 권리 보호 등을 위하여 필요한 경우 이전대상국등으로 이전되는 개인정보의 범위, 이전받는 개인정보처리자의 범위, 인정 기간, 국외 이전의 조건 등을 이전대상국등별로 달리 정할 수 있다.

④ 보호위원회는 제1항에 따른 인정을 한 경우에는 인정 기간 동안 이전대상국등의 개인정보 보호수준이 법에 따른 수준과 실질적으로 동등한 수준을 유지하고 있는지 점검해야 한다.

⑤ 보호위원회는 제1항에 따른 인정을 받은 이전대상국등의 개인정보 보호체계, 정보주체의 권리보장 범위, 피해구제 절차 등의 수준이 변경된 경우에는 해당 이전대상국등의 의견을 듣고 해당 이전대상국등에 대한 인정을 취소하거나 그 내용을 변경할 수 있다.

⑥ 보호위원회가 제1항에 따른 인정을 하거나 제5항에 따라 인정을 취소하거나 그 내용을 변경하는 경우에는 그 사실을 관보에 고시하고 보호위원회 인터넷 홈페이지에 게재해야 한다.

⑦ 제1항부터 제6항까지에서 규정한 사항 외에 이전대상국등에 대한 인정에 필요한 사항은 보호위원회가 정하여 고시한다.