개인정보 보호법 시행령

제42조의11(개인정보관리 전문기관의 지정요건 세부기준)

① 법 제35조의3제2항에 따른 개인정보관리 전문기관의 지정요건별 세부기준은 다음 각 호와 같다.

1. 다음 각 목의 기술수준 및 전문성을 모두 갖출 것

가. 정보주체의 권리와 이익 등을 증대하고 정보주체와의 이해상충을 방지하기 위한 사업계획이 타당하고 건전할 것

나. 개인정보관리 전문기관 업무를 위한 개인정보 관리 계획이 적정할 것

다. 개인정보관리 전문기관 업무를 효과적으로 수행하기 위하여 보호위원회가 정하여 고시하는 설비 및 기술을 갖추고 있을 것

2. 다음 각 목의 안전성 확보조치 수준을 모두 갖출 것

가. 법 제29조에 따른 안전조치의무를 이행하기 위한 요건을 갖출 것

나. 개인정보관리 전문기관을 안전하게 운영하기 위하여 보호위원회가 정하여 고시하는 보호체계를 적정하게 갖출 것

3. 다음 각 목의 재정능력을 모두 갖출 것(법 제2조제6호가목에 해당하는 공공기관에 대해서는 적용하지 않는다)

가. 재무구조가 건전하고 안전성이 있을 것

나. 다음의 구분에 따른 자본금[법인의 경우에는 납입자본금(비영리법인의 경우에는 기본재산)을 말하고, 법인이 아닌 단체의 경우에는 해당 단체가 보유하는 자산의 가액을 말한다. 이하 이 목에서 같다]을 갖출 것

1) 중계전문기관: 자본금 10억원 이상

2) 일반전문기관 및 특수전문기관: 자본금 1억원 이상

다. 손해배상책임의 이행을 위한 보험 또는 공제에 가입하거나 준비금을 적립할 것(법 제39조의7제2항 각 호의 어느 하나에 해당하는 자에 대해서는 적용하지 않는다). 이 경우 보험ㆍ공제의 최저가입금액 또는 준비금의 최소적립금액의 기준은 별표 1의2와 같다.

② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 기관ㆍ법인 또는 단체가 개인정보관리 전문기관으로 지정받으려는 경우 지정권자는 보호위원회에 요청(보호위원회가 지정권자인 경우는 제외한다)하여 보호위원회의 심의ㆍ의결을 거친 후 제1항 각 호에 따른 지정요건 세부기준 중 일부 또는 전부에 대한 심사 없이 해당 지정요건 세부기준을 갖춘 것으로 처리할 수 있다. 다만, 제1항 각 호에 따른 지정요건 세부기준 전부에 대한 심사를 생략할 수 있는 경우는 제1호 및 제2호의 기관ㆍ법인 또는 단체가 개인정보관리 전문기관으로 지정받으려는 경우에 한정한다.

1. 「의료법」 제3조에 따른 의료기관(보건의료전송정보를 전송받는 경우에 한정한다)

2. 중앙행정기관 또는 지방자치단체

3. 제2호 외의 공공기관