개인정보 보호법 시행령

제31조(개인정보 처리방침의 내용 및 공개방법 등)

① 법 제30조제1항제8호에서 "대통령령으로 정한 사항"이란 다음 각 호의 사항을 말한다. <개정 2016.9.29, 2020.8.4, 2023.9.12, 2024.3.12>

1. 처리하는 개인정보의 항목

2. 법 제28조의8제1항 각 호에 따라 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 같은 조 제2항 각 호의 사항

3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항

4. 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명

② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.

③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다. <개정 2023.9.12>

1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법

2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법

3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법

4. 재화나 서비스를 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

제31조의2(개인정보 처리방침의 평가 대상 및 절차)

① 보호위원회는 법 제30조의2제1항에 따라 개인정보 처리방침을 평가하는 경우 다음 각 호의 사항을 종합적으로 고려하여 평가 대상을 선정한다. <개정 2024.3.12>

1. 개인정보처리자의 유형 및 매출액(매출액을 산정하지 않는 경우에는 「법인세법」 제4조제3항제1호에 따른 수익사업에서 생기는 소득을 말하며, 이하 제32조 및 제48조의7에서 "매출액등"이라 한다) 규모

2. 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모

3. 개인정보 처리의 법적 근거 및 방식

4. 법 위반행위 발생 여부

5. 아동ㆍ청소년 등 정보주체의 특성

② 보호위원회는 제1항에 따라 평가 대상 개인정보 처리방침을 선정한 경우에는 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용ㆍ일정 및 절차 등이 포함된 평가계획을 통보해야 한다.

③ 보호위원회는 법 제30조의2에 따른 개인정보 처리방침의 평가에 필요한 경우에는 해당 개인정보처리자에게 의견을 제출하도록 요청할 수 있다.

④ 보호위원회는 법 제30조의2에 따라 개인정보 처리방침을 평가한 후 그 결과를 지체 없이 해당 개인정보처리자에게 통보해야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 개인정보 처리방침 평가를 위한 세부적인 대상 선정 기준과 절차는 보호위원회가 정하여 고시한다.