개인정보 보호법 시행령
제42조
제42조(개인정보 열람의 제한ㆍ연기 및 거절)
① 개인정보처리자는 제41조제1항에 따른 열람 요구 사항 중 일부가 법 제35조제4항 각 호의 어느 하나에 해당하는 경우에는 그 일부에 대하여 열람을 제한할 수 있으며, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 하여야 한다.
② 개인정보처리자가 법 제35조제3항 후단에 따라 정보주체의 열람을 연기하거나 같은 조 제4항에 따라 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기 또는 거절의 사유 및 이의제기방법을 보호위원회가 정하여 고시하는 열람의 연기ㆍ거절 통지서로 해당 정보주체에게 알려야 한다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.8.4>
제42조의2(정보전송자 기준) 법 제35조의2제1항 각 호 외의 부분 및 제2항 각 호 외의 부분에서 "대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 각각 다음 각 호의 어느 하나에 해당하는 자(이하 "정보전송자"라 한다)를 말한다.
1. 보건의료 관련 기관, 법인 및 단체 중 다음 각 목의 어느 하나에 해당하는 자(이하 "보건의료정보전송자"라 한다)
가. 질병관리청
나. 「국민건강보험법」 제13조에 따른 국민건강보험공단 및 같은 법 제62조에 따른 건강보험심사평가원
다. 「의료법」 제3조의4에 따른 상급종합병원
라. 그 밖에 「보건의료기본법」 제3조제4호에 따른 보건의료기관 중 개인정보를 전송할 수 있는 기술적ㆍ재정적 능력과 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수 등을 고려하여 보호위원회가 보건복지부장관과 협의하여 고시하는 자
2. 통신 관련 기관, 법인 및 단체 중 다음 각 목의 어느 하나에 해당하는 자(이하 "통신정보전송자"라 한다)
가. 「전파법」 제10조에 따라 주파수를 할당받아 이동통신서비스를 제공하는 자로서 정보주체와 이동통신서비스의 이용에 관한 계약을 체결한 자
나. 그 밖에 「전기통신사업법」 제5조제2항에 따른 기간통신사업을 경영하는 자 중 개인정보를 전송할 수 있는 기술적ㆍ재정적 능력과 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수 등을 고려하여 보호위원회와 과학기술정보통신부장관이 공동으로 정하여 고시하는 자
3. 에너지 관련 기관, 법인 및 단체 중 다음 각 목의 어느 하나에 해당하는 자(이하 "에너지정보전송자"라 한다)
가. 「전기사업법」 제2조제10호에 따른 전기판매사업자
나. 다음의 어느 하나에 해당하는 자 중 개인정보를 전송할 수 있는 기술적ㆍ재정적 능력과 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수 등을 고려하여 보호위원회와 산업통상자원부장관이 공동으로 정하여 고시하는 자
1) 「도시가스사업법」 제2조제2호에 따른 도시가스사업자
2) 그 밖의 「도시가스사업법」 제2조제1호의2에 따른 도시가스사업 관련 기관, 법인 및 단체
제42조의3(일반수신자 기준)
① 법 제35조의2제2항제2호에서 "대통령령으로 정하는 시설 및 기술 기준을 충족하는 자"란 고유의 업무를 수행하는 과정에서 수집한 정보의 진위 여부 등을 확인하기 위하여 개인정보를 전송받는 자로서 다음 각 호의 사항에 관하여 보호위원회가 정하여 고시하는 시설 및 기술을 갖춘 자를 말한다.
1. 표준 전송 절차, 전송시스템 연계 및 전송 보안 기준 등을 충족하는 전송 요구 관련 시스템
2. 전송 이력의 기록ㆍ보관 및 전송받은 개인정보의 분리 보관을 위한 시스템
3. 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 탐지 및 차단 시스템
4. 개인정보에 대한 접근권한 관리 및 접근 통제 시스템
② 법 제29조에 따른 안전조치의무를 이행하고 제1항에 따른 시설 및 기술을 갖춘 자(이하 "일반수신자"라 한다)는 법 제35조의2제2항에 따른 전송 요구(이하 "제3자전송요구"라 한다)에 따라 개인정보를 전송받는 업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에는 그 사실을 미리 제42조의9제1항제1호에 따른 중계전문기관(이하 "중계전문기관"이라 한다)에 통지하고 법 제35조의4제2항에 따른 개인정보 전송 지원 플랫폼(이하 "개인정보전송지원플랫폼"이라 한다)에 등재해야 한다.
제42조의4(전송 요구 대상 정보의 범위)
① 정보주체는 법 제35조의2제1항 또는 제2항에 따라 정보전송자에 대하여 다음 각 호의 구분에 따른 개인정보를 자신, 법 제35조의3제1항에 따라 지정을 받은 개인정보관리 전문기관(이하 "개인정보관리 전문기관"이라 한다) 또는 일반수신자에게 전송할 것을 요구할 수 있다.
1. 보건의료정보전송자: 다음 각 목의 보건의료 관련 정보 중 정보주체의 이익, 전송에 필요한 시간ㆍ비용 및 기술적으로 전송 가능한 합리적인 범위 등을 고려하여 보호위원회가 보건복지부장관과 협의하여 고시하는 정보(이하 "보건의료전송정보"라 한다)로서 해당 보건의료정보전송자가 보유하는 정보
가. 「의료법」 제22조 및 제23조에 따른 진료기록 등 진료와 관련하여 생성된 정보
나. 「약사법」 제30조에 따른 조제기록 등 조제와 관련하여 생성된 정보
다. 「의료기기법」 제2조제1항에 따른 의료기기를 통하여 생성ㆍ수집된 정보
라. 그 밖에 가목부터 다목까지와 유사한 보건의료 관련 정보
2. 통신정보전송자: 「전기통신사업법」 제2조제11호에 따른 기간통신역무를 제공함에 따라 생성된 이용자의 가입정보, 이용정보, 이용요금의 청구정보 및 납부정보 등의 정보 중 정보주체의 이익, 전송에 필요한 시간ㆍ비용 및 기술적으로 전송 가능한 합리적인 범위 등을 고려하여 보호위원회와 과학기술정보통신부장관이 공동으로 정하여 고시하는 정보(이하 "통신전송정보"라 한다)로서 해당 통신정보전송자가 보유하는 정보
3. 에너지정보전송자: 다음 각 목의 에너지 관련 정보 중 정보주체의 이익, 전송에 필요한 시간ㆍ비용 및 기술적으로 전송 가능한 합리적인 범위 등을 고려하여 보호위원회와 산업통상자원부장관이 공동으로 정하여 고시하는 정보(이하 "에너지전송정보"라 한다)로서 해당 에너지정보전송자가 보유하는 정보
가. 「전기사업법」 제14조에 따른 전기 공급에 따라 생성된 에너지 사용량 정보, 전기요금의 청구정보 및 납부정보 등의 정보
나. 「도시가스사업법」 제19조에 따른 도시가스 공급에 따라 생성된 에너지 사용량 정보, 도시가스 요금의 청구정보 및 납부정보 등의 정보
다. 그 밖에 가목 및 나목과 유사한 에너지 관련 정보
② 정보주체는 제1항에 따른 정보 외에 법 제35조의2제1항에 따라 정보전송자가 보유하는 정보로서 시간, 비용, 기술 등을 고려하여 정보주체에게 전송할 수 있다고 해당 정보전송자가 자율적으로 정한 정보(이하 "자율전송정보"라 한다)를 자신에게 전송할 것을 요구할 수 있다.
③ 정보주체는 법 제35조의2제2항에 따라 정보전송자에 대하여 보건의료전송정보, 통신전송정보 및 에너지전송정보를 개인정보관리 전문기관 또는 일반수신자에게 전송할 것을 요구하는 경우 제1항에도 불구하고 전송받는 자에 따라 보호위원회가 정하여 고시하는 정보는 전송을 요구할 수 없다.
④ 보호위원회(제1항제2호 및 제3호에 따라 보호위원회와 공동으로 정하여 고시하는 관계 중앙행정기관의 장을 포함한다)는 제1항 각 호의 정보가 「전자정부법」 제43조의2제1항에 따른 행정기관등이 보유하는 본인정보에 해당하는 경우에는 제1항에 따라 고시하기 전에 전송 요구의 대상이 되는 정보 및 전송방법에 대하여 행정안전부장관과 미리 협의해야 한다.
제42조의5(전송 요구의 방법 등)
① 정보주체는 법 제35조의2제1항에 따른 전송 요구(이하 "본인전송요구"라 한다)를 하는 경우에는 전송 요구 목적 및 전송을 요구하는 개인정보를 특정해야 한다.
② 정보주체는 제3자전송요구를 하는 경우에는 다음 각 호의 사항을 특정해야 한다.
1. 전송 요구 목적
2. 전송 요구를 받는 자
3. 개인정보를 전송받는 자
4. 전송을 요구하는 개인정보
5. 정기적 전송을 요구하는지 여부 및 요구하는 경우 그 주기[제4항에 따라 정보전송자에게 제42조의9제1항제2호에 따른 일반전문기관(이하 "일반전문기관"이라 한다) 및 같은 항 제3호에 따른 특수전문기관(이하 "특수전문기관"이라 한다)에 대한 제3자전송요구를 하는 경우에 한정한다]
6. 전송 요구의 종료시점
7. 전송을 요구하는 개인정보의 보유 및 이용기간
③ 정보주체는 개인정보관리 전문기관 또는 일반수신자를 통하여 정보전송자에게 제3자전송요구를 할 수 있다. 이 경우 개인정보관리 전문기관 또는 일반수신자는 제2항 각 호의 사항에 대하여 정보주체가 그 내용을 명확하게 인지하고 제3자전송요구를 할 수 있도록 미리 알려야 한다.
④ 정보주체는 정보전송자에게 일반전문기관 및 특수전문기관에 대한 제3자전송요구를 하는 경우 같은 내역의 개인정보를 정기적으로 전송할 것을 요구할 수 있다.
⑤ 정보주체는 제1항부터 제4항까지의 규정에 따른 전송 요구를 변경하거나 철회할 수 있다. 이 경우 정보전송자, 개인정보관리 전문기관 및 일반수신자는 전송 요구 변경 및 철회의 방법ㆍ절차가 전송 요구 당시의 방법ㆍ절차보다 어렵지 않도록 해야 한다.
제42조의6(개인정보 전송의 기한 및 방법 등)
① 법 제35조의2제1항 및 제2항에 따라 전송 요구를 받은 정보전송자는 정보시스템 장애 등으로 전송이 지연되거나 불가능한 사유가 없으면 지체 없이 개인정보를 전송해야 한다. 이 경우 정보전송자는 지체 없이 전송할 수 없는 정당한 사유가 있는 경우에는 정보주체에게 그 사유를 알리고 전송을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 개인정보를 전송해야 한다.
② 정보전송자는 개인정보를 전송하는 경우 개인정보의 정확성, 완전성 및 최신성을 유지해야 한다.
③ 정보전송자는 전송의 안전성 및 신뢰성이 보장될 수 있도록 다음 각 호의 방식(본인전송요구의 경우에는 제1호에 한정한다)에 따라 개인정보를 전송해야 한다.
1. 정보 전송 시 안전한 암호 알고리즘으로 암호화하여 전송하는 방식
2. 정보전송자와 개인정보관리 전문기관 및 일반수신자 간에 미리 협의하여 정하는 방식
3. 정보전송자와 개인정보관리 전문기관 및 일반수신자 간 상호 식별ㆍ인증할 수 있는 방식
4. 정보전송자와 개인정보관리 전문기관 및 일반수신자 간 상호 확인할 수 있는 방식
④ 정보전송자는 제3자전송요구에 따라 개인정보를 전송하는 경우에는 중계전문기관을 통하여 전송해야 한다. 이 경우 정보전송자는 보건의료전송정보에 대해서는 중계전문기관을 통하여 특수전문기관에만 전송해야 한다.
⑤ 정보전송자는 정보주체가 법 제35조의2제1항에 따라 개인정보 전송을 요구하고 전송 내역 등을 확인할 수 있도록 본인전송요구 방법, 전송 현황 및 내역을 확인할 수 있는 방법을 인터넷 홈페이지 등에 게재해야 한다. 다만, 보건의료정보전송자 및 에너지정보전송자의 경우에는 중계전문기관이 대신하여 게재할 수 있다.
⑥ 일반수신자는 제3자전송요구에 따라 개인정보를 전송받는 경우 다음 각 호의 어느 하나에 해당하는 행위로 인하여 정보주체의 이익을 침해하거나 전송 처리 체계를 저해하지 않도록 노력해야 한다.
1. 법 제16조제1항을 위반하여 전송 요구 목적과 관련 없는 개인정보를 전송하도록 요구하는 행위
2. 법 제16조제3항에 따른 서비스 운영을 위하여 필수적인 경우가 아닌데도 전송받은 정보에 대한 제3자 제공 동의를 전송 요구와 동시에 받는 행위
3. 법 제35조의2제1항ㆍ제2항에 따른 전송 요구 또는 법 제38조제1항에 따른 권리에 대한 대리 행사를 강요하거나 부당하게 유도하는 행위
4. 법 제35조의3제1항에 따른 개인정보관리 전문기관의 지정을 받지 않고 같은 항 각 호의 업무를 수행하는 행위
5. 정보주체의 동의 없이 제42조의5제2항에 따른 전송 요구 내용을 변경하여 개인정보를 요구하는 행위
6. 자기 또는 제3자의 이익을 위하여 특정 정보주체의 이익을 침해하는 행위
7. 정보주체의 전송 요구를 이유로 개인정보처리자의 전산설비에 지속적ㆍ반복적으로 접근하여 장애를 일으키는 행위
8. 그 밖에 제1호부터 제7호까지와 유사한 행위로서 정보주체의 이익을 침해하거나 전송 처리 체계를 저해하는 행위
⑦ 일반전문기관, 특수전문기관 및 일반수신자는 제1호에 따른 정보주체의 접근수단을 제2호의 방식으로 사용ㆍ보관함으로써 보건의료전송정보, 통신전송정보 및 에너지전송정보를 수집해서는 안 된다.
1. 다음 각 목에 따른 정보주체의 접근수단
가. 「전자서명법」 제2조제3호에 따른 전자서명생성정보 및 같은 조 제6호에 따른 인증서
나. 제3자전송요구를 위하여 정보전송자에 등록된 정보주체의 식별자 또는 인증정보
다. 정보주체의 생체정보
2. 다음 각 목의 방법을 통하여 정보주체의 이름으로 열람하는 방식
가. 제1호의 접근수단을 직접 보관하는 방법
나. 제1호의 접근수단에 접근할 수 있는 권한을 확보하는 방법
다. 제1호의 접근수단에 대한 지배권, 이용권 또는 접근권 등을 사실상 확보하는 방법
⑧ 개인정보관리 전문기관 및 일반수신자는 개인정보관리 전문기관 및 일반수신자로서 처리하는 정보와 다른 개인정보처리자로서 처리하는 정보를 분리하여 보관해야 한다. 다만, 특수전문기관(「의료법」 제3조에 따른 의료기관에 한정한다)이 같은 법 제23조의2제1항에 따른 전자의무기록시스템으로 보건의료전송정보를 진료 목적으로 전송받는 경우로서 같은 법 제23조제2항에 따라 전자의무기록을 안전하게 관리ㆍ보존하는 경우에는 분리 보관을 하지 않을 수 있다.
⑨ 정보전송자, 개인정보관리 전문기관 및 일반수신자는 다음 각 호의 보건의료전송정보, 통신전송정보, 에너지전송정보 및 자율전송정보(이하 "전송요구대상정보"라 한다) 전송 내역을 3년간 보관해야 한다. 다만, 정보전송자의 경우 중계전문기관이 대신 보관할 수 있다.
1. 제42조의5제2항 각 호의 사항
2. 정보주체의 전송 요구에 따른 정보 송수신 기록
3. 전송 요구의 철회, 거절 및 전송 중단 내역 및 사유
⑩ 일반전문기관 및 특수전문기관은 제9항에 따른 전송요구대상정보 전송 내역을 제15조의3제4항 각 호의 어느 하나에 해당하는 방법으로 연 1회 이상 정보주체에게 알려야 한다. 다만, 정보주체가 통지에 대한 거부의사를 표시한 경우에는 통지를 생략할 수 있다.
⑪ 보호위원회 및 관계 중앙행정기관의 장은 예산의 범위에서 정보전송자에 대하여 개인정보의 전송에 필요한 시설 및 기술의 구축ㆍ운영 비용 등 전송 요구의 이행에 필요한 비용을 지원할 수 있다.
제42조의7(전송 요구 시 적용이 배제되는 법률의 규정) 법 제35조의2제4항제3호에서 "대통령령으로 정하는 법률의 규정"이란 다음 각 호의 규정을 말한다.
1. 「신용정보의 이용 및 보호에 관한 법률」 제32조
2. 「금융실명거래 및 비밀보장에 관한 법률」 제4조
3. 법 제17조 및 제18조
4. 「여신전문금융업법」 제54조의5
5. 「온라인투자연계금융업 및 이용자 보호에 관한 법률」 제33조제4항
6. 「외국환거래법」 제21조
7. 「의료법」 제21조제2항
8. 「약사법」 제30조제3항
9. 「생명윤리 및 안전에 관한 법률」 제52조제2항
10. 「상속세 및 증여세법」 제85조제2항
11. 「국제조세조정에 관한 법률」 제57조
12. 「지능형전력망의 구축 및 이용촉진에 관한 법률」 제23조제3항
제42조의8(전송 요구의 거절 및 전송 중단 등)
① 법 제35조의2제6항에서 "정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우"란 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
1. 법 제22조의2제1항에 따른 법정대리인 동의 여부가 확인되지 않는 경우
2. 법 제35조제4항에 따른 열람의 제한 또는 거절 사유에 해당하는 경우
3. 법 제35조의2제1항 및 제2항에 따른 전송요구대상정보의 전송이 제3자의 권리나 정당한 이익을 침해하는 경우
4. 법 제38조제1항에 따른 대리인 여부가 확인되지 않는 경우
5. 제42조의5제1항 및 제2항에 따른 전송 요구 사항이 특정되지 않는 경우
6. 정보주체의 본인 여부가 확인되지 않는 경우
7. 정보주체의 인증정보를 탈취하는 등 부당한 방법에 의한 전송 요구임을 알게 된 경우
8. 정보주체 본인, 일반전문기관, 특수전문기관 또는 일반수신자가 아닌 자에게 전송해 줄 것을 요구하는 경우
9. 개인정보가 범죄에 악용되는 등 부정한 방법으로 사용되어 정보주체의 이익을 명백히 침해하는 경우
10. 정보주체가 동일한 개인정보에 대하여 정당한 사유 없이 과도하게 반복적으로 전송을 요구하여 업무에 지장을 초래하는 경우
11. 정보주체가 제3자의 기망이나 협박 때문에 전송 요구를 한 것으로 의심될 만한 정황이 확인되는 등 전송 요구를 거절하거나 전송을 중단할 합리적 사유가 있는 경우
② 정보전송자는 제1항 각 호의 어느 하나에 해당하는 사유로 정보주체의 전송 요구를 거절하거나 전송을 중단한 경우에는 지체 없이 해당 사실 및 그 사유를 정보주체에게 통지해야 한다. 다만, 정보주체가 개인정보관리 전문기관 또는 일반수신자를 통하여 전송 요구를 하는 경우에는 해당 개인정보관리 전문기관 또는 일반수신자를 통하여 통지할 수 있다.
제42조의9(개인정보관리 전문기관의 업무 등)
① 개인정보관리 전문기관은 다음 각 호와 같이 구분한다.
1. 중계전문기관: 법 제35조의3제1항제1호 및 제2호에 따른 업무로서 개인정보 전송 중계에 필요한 기능을 제공하고 관련 시스템을 운영하는 업무 및 정보전송자의 전송을 지원하는 업무(이하 "중계업무"라 한다)를 수행하는 자
2. 일반전문기관: 법 제35조의3제1항제3호에 따른 업무로서 통합조회, 맞춤형 서비스, 연구, 교육 등을 위하여 정보전송자로부터 전송받은 개인정보(보건의료전송정보는 제외한다)를 관리ㆍ분석하는 업무를 수행하는 자
3. 특수전문기관: 법 제35조의3제1항제3호에 따른 업무로서 통합조회, 맞춤형 서비스, 연구, 교육 등을 위하여 정보전송자로부터 전송받은 보건의료전송정보를 관리ㆍ분석하는 업무를 수행하는 자
② 중계전문기관은 일반전문기관, 특수전문기관 및 일반수신자 업무를 함께 수행해서는 안 된다.
③ 중계전문기관은 중계업무를 수행하기 위하여 필요한 경우에는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의5제1항에 따른 연계정보를 처리할 수 있다.
④ 보호위원회 또는 관계 중앙행정기관의 장은 예산의 범위에서 중계전문기관의 운영에 필요한 비용을 지원할 수 있다.
제42조의10(개인정보관리 전문기관의 지정 신청 등)
① 법 제35조의3제1항에 따라 개인정보관리 전문기관으로 지정받으려는 자는 제2항에 따른 지정권자에게 다음 각 호의 서류를 제출하여 지정을 신청해야 한다. 이 경우 개인정보관리 전문기관으로 지정받으려는 자는 개인정보전송지원플랫폼을 통하여 제출할 수 있다.
1. 지정신청서
2. 정관 또는 규약(법 제2조제6호가목에 해당하는 공공기관에 대해서는 적용하지 않는다)
3. 사업계획서
4. 개인정보 관리 계획서
5. 최근 3년간의 재무제표(법 제2조제6호가목에 해당하는 공공기관에 대해서는 적용하지 않는다)
6. 법 제35조의3제2항에 따른 지정요건을 갖추었음을 증명할 수 있는 서류
② 법 제35조의3제1항에 따라 개인정보관리 전문기관을 지정할 수 있는 자(이하 "지정권자"라 한다)는 다음 각 호와 같다.
1. 중계전문기관: 보호위원회 또는 중계전문기관이 전송받으려는 정보와 관련된 관계 중앙행정기관의 장. 다만, 보건의료전송정보에 관한 중계전문기관의 경우에는 보건복지부장관으로 한다.
2. 일반전문기관: 보호위원회 또는 일반전문기관이 전송받으려는 정보와 관련된 관계 중앙행정기관의 장
3. 특수전문기관: 보건복지부장관
③ 제1항에 따른 지정 신청을 받은 지정권자는 「전자정부법」 제36조제1항에 따른 행정정보의 공동이용을 통하여 법인 등기사항증명서(개인정보관리 전문기관으로 지정받으려는 자가 법인인 경우에 한정한다)를 확인해야 한다.
④ 개인정보관리 전문기관으로 지정받으려는 자는 제1항에 따른 지정 신청을 하기 전에 지정권자에게 제42조의11에 따른 지정요건 세부기준을 갖추었는지에 대한 예비심사를 신청할 수 있다.
제42조의11(개인정보관리 전문기관의 지정요건 세부기준)
① 법 제35조의3제2항에 따른 개인정보관리 전문기관의 지정요건별 세부기준은 다음 각 호와 같다.
1. 다음 각 목의 기술수준 및 전문성을 모두 갖출 것
가. 정보주체의 권리와 이익 등을 증대하고 정보주체와의 이해상충을 방지하기 위한 사업계획이 타당하고 건전할 것
나. 개인정보관리 전문기관 업무를 위한 개인정보 관리 계획이 적정할 것
다. 개인정보관리 전문기관 업무를 효과적으로 수행하기 위하여 보호위원회가 정하여 고시하는 설비 및 기술을 갖추고 있을 것
2. 다음 각 목의 안전성 확보조치 수준을 모두 갖출 것
가. 법 제29조에 따른 안전조치의무를 이행하기 위한 요건을 갖출 것
나. 개인정보관리 전문기관을 안전하게 운영하기 위하여 보호위원회가 정하여 고시하는 보호체계를 적정하게 갖출 것
3. 다음 각 목의 재정능력을 모두 갖출 것(법 제2조제6호가목에 해당하는 공공기관에 대해서는 적용하지 않는다)
가. 재무구조가 건전하고 안전성이 있을 것
나. 다음의 구분에 따른 자본금[법인의 경우에는 납입자본금(비영리법인의 경우에는 기본재산)을 말하고, 법인이 아닌 단체의 경우에는 해당 단체가 보유하는 자산의 가액을 말한다. 이하 이 목에서 같다]을 갖출 것
1) 중계전문기관: 자본금 10억원 이상
2) 일반전문기관 및 특수전문기관: 자본금 1억원 이상
다. 손해배상책임의 이행을 위한 보험 또는 공제에 가입하거나 준비금을 적립할 것(법 제39조의7제2항 각 호의 어느 하나에 해당하는 자에 대해서는 적용하지 않는다). 이 경우 보험ㆍ공제의 최저가입금액 또는 준비금의 최소적립금액의 기준은 별표 1의2와 같다.
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 기관ㆍ법인 또는 단체가 개인정보관리 전문기관으로 지정받으려는 경우 지정권자는 보호위원회에 요청(보호위원회가 지정권자인 경우는 제외한다)하여 보호위원회의 심의ㆍ의결을 거친 후 제1항 각 호에 따른 지정요건 세부기준 중 일부 또는 전부에 대한 심사 없이 해당 지정요건 세부기준을 갖춘 것으로 처리할 수 있다. 다만, 제1항 각 호에 따른 지정요건 세부기준 전부에 대한 심사를 생략할 수 있는 경우는 제1호 및 제2호의 기관ㆍ법인 또는 단체가 개인정보관리 전문기관으로 지정받으려는 경우에 한정한다.
1. 「의료법」 제3조에 따른 의료기관(보건의료전송정보를 전송받는 경우에 한정한다)
2. 중앙행정기관 또는 지방자치단체
3. 제2호 외의 공공기관
제42조의12(개인정보관리 전문기관의 지정 등)
① 지정권자는 제42조의10제1항에 따라 지정을 신청한 자가 제42조의11에 따른 지정요건 세부기준을 갖추었다고 인정하는 경우에는 그 자를 개인정보관리 전문기관으로 지정할 수 있다. 이 경우 지정권자는 제42조의10제1항에 따라 지정을 신청한 자가 지정요건 세부기준의 일부를 충족하지 못한 경우에는 일정 기간 내에 그 기준을 충족할 것을 조건으로 지정할 수 있고, 지정 후 그 조건의 이행 여부를 확인해야 한다.
② 개인정보관리 전문기관은 다음 각 호의 사항(보호위원회가 정하여 고시하는 경미한 내용은 제외한다)을 변경하려는 경우 미리 지정권자의 승인을 받아야 한다.
1. 사업계획서(전송받으려는 정보의 추가 또는 변경을 포함한다)
2. 개인정보 관리 계획서
③ 개인정보관리 전문기관 지정의 유효기간은 3년으로 한다.
④ 지정권자는 개인정보관리 전문기관이 제3항에 따른 지정 유효기간의 연장을 신청하면 제42조의11에 따른 지정요건 세부기준에 적합하다고 인정하는 경우에는 개인정보관리 전문기관으로 재지정할 수 있다.
⑤ 지정권자(보호위원회는 제외한다)는 다음 각 호의 결정을 하려면 보호위원회와 미리 협의해야 한다.
1. 제1항에 따른 지정 및 제4항에 따른 재지정(중계전문기관에 한정한다)
2. 제2항에 따른 변경 승인(일반전문기관 및 특수전문기관의 경우에는 전송요구대상정보와 관련되는 경우에 한정한다)
⑥ 지정권자(제1호의 경우에는 보호위원회를 제외한다)는 제1항에 따른 지정, 제2항에 따른 변경 승인 및 제4항에 따른 재지정을 한 경우에는 그에 관한 다음 각 호의 조치를 해야 한다.
1. 보호위원회에 통지
2. 관보에 공고하거나 지정권자의 홈페이지에 게시(변경 승인의 경우는 제외한다)
⑦ 중계전문기관은 중계업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에는 중지 또는 폐지 예정일의 6개월 전까지 지정권자에게 통보해야 한다. 이 경우 지정권자는 해당 중계전문기관에게 다음 각 호의 어느 하나에 해당하는 조치를 하도록 명할 수 있다.
1. 해당 중계전문기관이 보유하고 있는 개인정보의 파기(다른 법령에 따라 보존해야 하는 경우는 제외한다)
2. 수행 중인 업무의 다른 중계전문기관으로의 이전
3. 업무 중지ㆍ폐지 예정 사실의 다음 각 목의 자에 대한 통지
가. 해당 중계전문기관이 보유하고 있는 개인정보의 정보주체
나. 해당 중계전문기관에 정보를 전송하는 정보전송자
다. 해당 중계전문기관으로부터 정보를 전송받는 일반전문기관, 특수전문기관 및 일반수신자
⑧ 일반전문기관 및 특수전문기관은 개인정보 전송 관련 업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에는 그 사실을 미리 중계전문기관에 통지하고 개인정보전송지원플랫폼에 등재해야 한다.
제42조의13(개인정보관리 전문기관의 금지행위) 법 제35조의3제3항제2호에서 "대통령령으로 정하는 행위"란 별표 1의3에 따른 행위를 말한다.
제42조의14(개인정보관리 전문기관의 지정취소 등)
① 지정권자는 법 제35조의3제4항에 따라 개인정보관리 전문기관이 제42조의12제1항 후단에 따른 조건을 이행하지 않은 경우에는 개인정보관리 전문기관의 지정을 취소할 수 있다.
② 지정권자(보호위원회는 제외한다)는 개인정보관리 전문기관의 지정을 취소하려면 보호위원회와 미리 협의해야 한다.
③ 지정권자(제1호의 경우에는 보호위원회를 제외한다)는 개인정보관리 전문기관의 지정을 취소한 경우에는 그에 관한 다음 각 호의 조치를 해야 한다.
1. 보호위원회에 통지
2. 관보에 공고하거나 지정권자의 홈페이지에 게시
제42조의15(개인정보 전송 요구에 대한 보호위원회의 관리ㆍ감독)
① 보호위원회는 법 제35조의4제1항에 따라 정보전송자 현황을 관리ㆍ감독하기 위하여 개인정보처리자에게 정보전송자 여부 확인에 필요한 자료의 제출을 요구할 수 있다.
② 보호위원회는 본인전송요구 및 제3자전송요구에 대한 정보전송자의 이행 여부, 개인정보관리 전문기관의 지정요건 충족 여부 및 일반수신자의 시설ㆍ기술 기준 충족 여부 등에 관한 사항을 관리ㆍ감독하기 위하여 정보전송자, 개인정보관리 전문기관 및 일반수신자에게 다음 각 호의 구분에 따른 자료의 제출을 요구할 수 있으며, 자료 제출을 요구받은 자는 특별한 사정이 없으면 그 요구에 따라야 한다.
1. 정보전송자: 제42조의6제9항에 따른 개인정보 전송 내역에 관한 자료
2. 개인정보관리 전문기관: 다음 각 목의 자료
가. 제1호의 자료
나. 개인정보의 처리 및 관리에 관한 자료
다. 전송 요구 방법에 관한 자료(일반전문기관 및 특수전문기관에 한정한다)
라. 개인정보관리 전문기관의 지정요건을 충족하고 있음을 증명할 수 있는 자료
3. 일반수신자: 다음 각 목의 자료
가. 제1호 및 제2호나목의 자료
나. 전송 요구 방법에 관한 자료
다. 제42조의3제1항에 따른 시설 및 기술을 갖추었음을 증명할 수 있는 자료
제42조의16(개인정보전송지원플랫폼의 구축 및 운영 등)
① 보호위원회는 제3자전송요구와 관련하여 개인정보의 안전하고 효율적인 전송을 위하여 필요한 경우에는 정보전송자, 개인정보관리 전문기관 및 일반수신자가 개인정보전송지원플랫폼에 등재하게 해야 한다.
② 제1항에 따라 개인정보전송지원플랫폼에 등재된 정보전송자, 일반전문기관, 특수전문기관 및 일반수신자는 제3자전송요구에 따라 개인정보를 전송하거나 전송받는 경우 중계전문기관을 통하여 개인정보전송플랫폼에 다음 각 호의 자료를 제출해야 한다.
1. 제42조의6제9항에 따른 개인정보 전송 내역
2. 전송받은 정보의 제3자 제공 동의 내역(정보전송자는 제외한다)
③ 보호위원회는 개인정보 전송 이력의 효율적 관리를 위하여 필요한 경우에는 다른 법령에 따라 개인정보 전송을 지원하는 정보시스템을 운영하는 자에게 개인정보전송지원플랫폼과 연계하여 정보주체의 전송 요구 내역 등을 제공할 것을 요청할 수 있다.