개인정보 보호법 시행령

제34조

제34조(개인정보파일의 등록 및 공개 등)

① 개인정보파일(법 제32조제2항 및 이 영 제33조제2항에 따른 개인정보파일은 제외한다. 이하 이 조에서 같다)을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 보호위원회가 정하여 고시하는 바에 따라 보호위원회에 법 제32조제1항 및 이 영 제33조제1항에 따른 등록사항(이하 "등록사항"이라 한다)의 등록을 신청하여야 한다. 등록 후 등록한 사항이 변경된 경우에도 또한 같다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.8.4, 2023.9.12>

② 보호위원회는 법 제32조제4항에 따라 개인정보파일의 등록 현황을 공개하는 경우 이를 보호위원회가 구축하는 인터넷 사이트에 게재해야 한다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.8.4, 2023.9.12>

③ 보호위원회는 제1항에 따른 개인정보파일의 등록사항을 등록하거나 변경하는 업무를 전자적으로 처리할 수 있도록 시스템을 구축ㆍ운영할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.8.4>

제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등)

① 보호위원회는 제30조제1항 각 호의 사항을 고려하여 개인정보 보호의 관리적ㆍ기술적ㆍ물리적 보호대책의 수립 등을 포함한 법 제32조의2제1항에 따른 인증의 기준을 정하여 고시한다. <개정 2017.7.26, 2020.8.4, 2023.9.12>

② 법 제32조의2제1항 따라 개인정보 보호의 인증을 받으려는 자(이하 이 조 및 제34조의3에서 "신청인"이라 한다)는 다음 각 호의 사항이 포함된 개인정보 보호 인증신청서(전자문서로 된 신청서를 포함한다)를 제34조의6에 따른 개인정보 보호 인증 전문기관(이하 "인증기관"이라 한다)에 제출하여야 한다. <개정 2024.3.12>

1. 인증 대상 개인정보 처리시스템의 목록

2. 개인정보 관리체계를 수립ㆍ운영하는 방법과 절차

3. 개인정보 관리체계 및 보호대책 구현과 관련되는 문서 목록

③ 인증기관은 제2항에 따른 인증신청서를 받은 경우에는 신청인과 인증의 범위 및 일정 등에 관하여 협의하여야 한다.

④ 법 제32조의2제1항에 따른 개인정보 보호 인증심사는 제34조의8에 따른 개인정보 보호 인증심사원이 서면심사 또는 현장심사의 방법으로 실시한다.

⑤ 인증기관은 제4항에 따른 인증심사의 결과를 심의하기 위하여 정보보호에 관한 학식과 경험이 풍부한 사람을 위원으로 하는 인증위원회를 설치ㆍ운영하여야 한다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 인증신청, 인증심사, 인증위원회의 설치ㆍ운영 및 인증서의 발급 등 개인정보 보호 인증에 필요한 세부사항은 보호위원회가 정하여 고시한다. <개정 2017.7.26, 2020.8.4>

제34조의3(개인정보 보호 인증의 수수료)

① 신청인은 인증기관에 개인정보 보호 인증 심사에 소요되는 수수료를 납부하여야 한다.

② 보호위원회는 개인정보 보호 인증 심사에 투입되는 인증 심사원의 수 및 인증심사에 필요한 일수 등을 고려하여 제1항에 따른 수수료 산정을 위한 구체적인 기준을 정하여 고시한다. <개정 2017.7.26, 2020.8.4>

제34조의4(인증취소)

① 인증기관은 법 제32조의2제3항에 따라 개인정보 보호 인증을 취소하려는 경우에는 제34조의2제5항에 따른 인증위원회의 심의ㆍ의결을 거쳐야 한다.

② 보호위원회 또는 인증기관은 법 제32조의2제3항에 따라 인증을 취소한 경우에는 그 사실을 당사자에게 통보하고, 관보 또는 인증기관의 홈페이지에 공고하거나 게시해야 한다. <개정 2017.7.26, 2020.8.4>

제34조의5(인증의 사후관리)

① 법 제32조의2제4항에 따른 사후관리 심사는 서면심사 또는 현장심사의 방법으로 실시한다.

② 인증기관은 제1항에 따른 사후관리를 실시한 결과 법 제32조의2제3항 각 호의 사유를 발견한 경우에는 제34조의2제5항에 따른 인증위원회의 심의를 거쳐 그 결과를 보호위원회에 제출해야 한다. <개정 2017.7.26, 2020.8.4>

제34조의6(개인정보 보호 인증 전문기관)

① 법 제32조의2제5항에서 "대통령령으로 정하는 전문기관"이란 다음 각 호의 기관을 말한다. <개정 2016.9.29, 2017.7.26, 2020.8.4>

1. 한국인터넷진흥원

2. 다음 각 목의 요건을 모두 충족하는 법인, 단체 또는 기관 중에서 보호위원회가 지정ㆍ고시하는 법인, 단체 또는 기관

가. 제34조의8에 따른 개인정보 보호 인증심사원 5명 이상을 보유할 것

나. 보호위원회가 실시하는 업무수행 요건ㆍ능력 심사에서 적합하다고 인정받을 것

② 제1항제2호에 해당하는 법인, 단체 또는 기관의 지정과 그 지정의 취소에 필요한 세부기준 등은 보호위원회가 정하여 고시한다. <개정 2017.7.26, 2020.8.4>

제34조의7(인증의 표시 및 홍보) 법 제32조의2제6항에 따라 인증을 받은 자가 인증 받은 내용을 표시하거나 홍보하려는 경우에는 보호위원회가 정하여 고시하는 개인정보 보호 인증표시를 사용할 수 있다. 이 경우 인증의 범위와 유효기간을 함께 표시해야 한다. <개정 2017.7.26, 2020.8.4>

제34조의8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건)

① 인증기관은 법 제32조의2제7항에 따라 개인정보 보호에 관한 전문지식을 갖춘 사람으로서 인증심사에 필요한 전문 교육과정을 이수하고 시험에 합격한 사람에게 개인정보 보호 인증심사원(이하 "인증심사원"이라 한다)의 자격을 부여한다.

② 인증기관은 법 제32조의2제7항에 따라 인증심사원이 다음 각 호의 어느 하나에 해당하는 경우 그 자격을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 자격을 취소하여야 한다.

1. 거짓이나 부정한 방법으로 인증심사원 자격을 취득한 경우

2. 개인정보 보호 인증 심사와 관련하여 금전, 금품, 이익 등을 부당하게 수수한 경우

3. 개인정보 보호 인증 심사 과정에서 취득한 정보를 누설하거나 정당한 사유 없이 업무상 목적 외의 용도로 사용한 경우

③ 제1항 및 제2항에 따른 전문 교육과정의 이수, 인증심사원 자격의 부여 및 취소 등에 관한 세부 사항은 보호위원회가 정하여 고시한다. <개정 2017.7.26, 2020.8.4>

제40조의2(노출된 개인정보의 삭제ㆍ차단 요청 기관) 법 제34조의2제2항에서 "대통령령으로 지정한 전문기관"이란 한국인터넷진흥원을 말한다.