개인정보 보호법 시행령
제32조
제32조(개인정보 보호책임자의 업무 및 지정요건 등)
① 법 제31조제1항 단서에서 "종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 「소상공인기본법」 제2조제1항에 따른 소상공인에 해당하는 개인정보처리자를 말한다. <신설 2024.3.12>
② 법 제31조제3항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다. <개정 2024.3.12>
1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
2. 개인정보 처리와 관련된 인적ㆍ물적 자원 및 정보의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
③ 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016.7.22, 2024.3.12>
1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 "고위공무원"이라 한다) 또는 그에 상당하는 공무원
나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
바. 시ㆍ군 및 자치구: 4급 이상 공무원 또는 그에 상당하는 공무원
사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람. 다만, 제4항제2호에 해당하는 경우에는 교직원을 말한다.
아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
④ 다음 각 호의 어느 하나에 해당하는 개인정보처리자(공공기관의 경우에는 제2조제2호부터 제5호까지에 해당하는 경우로 한정한다)는 제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정해야 한다. <개정 2024.3.12>
1. 연간 매출액등이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자(제2조제5호에 따른 각급 학교 및 「의료법」 제3조에 따른 의료기관은 제외한다)
가. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
나. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
2. 직전 연도 12월 31일 기준으로 재학생 수(대학원 재학생 수를 포함한다)가 2만명 이상인 「고등교육법」 제2조에 따른 학교
3. 「의료법」 제3조의4에 따른 상급종합병원
4. 공공시스템운영기관
⑤ 보호위원회는 개인정보 보호책임자가 법 제31조제3항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설ㆍ운영하는 등 지원을 할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.8.4, 2024.3.12>
⑥ 개인정보처리자(법 제31조제2항에 따라 사업주 또는 대표자가 개인정보 보호책임자가 되는 경우는 제외한다)는 법 제31조제6항에 따른 개인정보 보호책임자의 독립성 보장을 위해 다음 각 호의 사항을 준수해야 한다. <신설 2024.3.12>
1. 개인정보 처리와 관련된 정보에 대한 개인정보 보호책임자의 접근 보장
2. 개인정보 보호책임자가 개인정보 보호 계획의 수립ㆍ시행 및 그 결과에 관하여 정기적으로 대표자 또는 이사회에 직접 보고할 수 있는 체계의 구축
3. 개인정보 보호책임자의 업무 수행에 적합한 조직체계의 마련 및 인적ㆍ물적 자원의 제공
제32조의2(개인정보 보호책임자 협의회의 사업 범위 등)
① 법 제31조제7항에서 "대통령령으로 정하는 공동의 사업"이란 다음 각 호의 사업을 말한다.
1. 개인정보처리자의 개인정보 보호 강화를 위한 정책의 조사, 연구 및 수립 지원
2. 개인정보 침해사고 분석 및 대책 연구
3. 개인정보 보호책임자 지정ㆍ운영, 업무 수행 현황 등 실태 파악 및 제도 개선을 위한 연구
4. 개인정보 보호책임자 교육 등 개인정보 보호책임자의 개인정보 보호 역량 및 전문성 향상
5. 개인정보 보호책임자의 업무와 관련된 국내외 주요 동향의 조사, 분석 및 공유
6. 그 밖에 개인정보처리시스템 등의 안전한 관리를 위해 필요한 사업
② 보호위원회는 법 제31조제8항에 따라 예산의 범위에서 개인정보 보호책임자 협의회의 운영과 사업에 필요한 행정적ㆍ기술적 지원을 할 수 있다.
제32조의3(국내대리인 지정 대상자의 범위 등)
① 법 제31조의2제1항 각 호 외의 부분 전단에서 "대통령령으로 정하는 자"란 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 전년도(법인인 경우에는 전 사업연도를 말한다) 전체 매출액이 1조원 이상인 자
2. 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자
3. 법 제63조제1항에 따라 관계 물품ㆍ서류 등 자료의 제출을 요구받은 자로서 국내대리인을 지정할 필요가 있다고 보호위원회가 심의ㆍ의결한 자
② 제1항제1호에 따른 전체 매출액은 전년도 평균환율을 적용하여 원화로 환산한 금액을 기준으로 한다.
③ 법 제31조의2제2항제2호에서 "대통령령으로 정하는 법인"이란 다음 각 호의 어느 하나에 해당하는 법인을 말한다. <신설 2025.9.23>
1. 해당 개인정보처리자가 대표이사를 임면하거나 임원의 100분의 50 이상을 선임하거나 선임할 수 있는 법인
2. 해당 개인정보처리자가 발행주식총수 또는 출자총액의 100분의 30 이상을 출자한 법인
④ 법 제31조의2제1항에 따라 국내대리인을 지정한 개인정보처리자는 같은 조 제3항에 따라 국내대리인이 업무를 충실히 수행하도록 다음 각 호에 따라 관리ㆍ감독해야 한다. <신설 2025.9.23>
1. 국내대리인에 대하여 연 1회 이상 국내대리인의 업무에 대한 교육 실시
2. 다음 각 목의 사항에 대한 점검
가. 국내대리인이 업무수행에 대한 계획을 수립하였는지 여부
나. 국내대리인이 업무수행에 대한 계획을 이행하였는지 여부
다. 나목에 따른 계획 이행 여부 점검 결과 개선이 필요한 사항을 개선하였는지 여부