개인정보 보호법

제31조(개인정보 보호책임자의 지정 등)

① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다. <개정 2023.3.14>

② 제1항 단서에 따라 개인정보 보호책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다. <신설 2023.3.14>

③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. <개정 2023.3.14>

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ㆍ감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

④ 개인정보 보호책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. <개정 2023.3.14>

⑤ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. <개정 2023.3.14>

⑥ 개인정보처리자는 개인정보 보호책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다. <개정 2023.3.14>

⑦ 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성ㆍ운영할 수 있다. <신설 2023.3.14>

⑧ 보호위원회는 제7항에 따른 개인정보 보호책임자 협의회의 활동에 필요한 지원을 할 수 있다. <신설 2023.3.14>

⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다. <개정 2023.3.14>

제31조의2(국내대리인의 지정)

① 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 다음 각 호의 사항을 대리하는 자(이하 "국내대리인"이라 한다)를 지정하여야 한다. 이 경우 국내대리인의 지정은 문서로 하여야 한다. <개정 2023.3.14, 2025.4.1>

1. 제31조제3항제3호에 따른 개인정보 처리와 관련한 불만의 처리 및 피해 구제 업무

2. 제34조제1항 및 제3항에 따른 개인정보 유출 등의 통지 및 신고

3. 제63조제1항에 따른 물품ㆍ서류 등 자료의 제출

② 국내대리인은 국내에 주소 또는 영업소가 있어야 한다. 이 경우 다음 각 호의 어느 하나에 해당하는 법인이 있는 개인정보처리자는 그 법인 중에서 국내대리인을 지정하여야 한다. <개정 2023.3.14, 2025.4.1>

1. 해당 개인정보처리자가 설립한 국내 법인

2. 해당 개인정보처리자가 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내 법인으로서 대통령령으로 정하는 법인

③ 제1항에 따라 국내대리인을 지정한 개인정보처리자는 국내대리인이 업무를 충실히 수행하도록 대통령령으로 정하는 바에 따라 교육하고 업무현황을 점검하는 등의 관리ㆍ감독을 하여야 한다. <신설 2025.4.1>

④ 개인정보처리자는 제1항에 따라 국내대리인을 지정하는 경우에는 다음 각 호의 사항을 개인정보 처리방침에 포함하여야 한다. <개정 2023.3.14, 2025.4.1>

1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)

2. 국내대리인의 주소(법인의 경우에는 영업소의 소재지를 말한다), 전화번호 및 전자우편 주소

⑤ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 개인정보처리자가 그 행위를 한 것으로 본다. <개정 2023.3.14, 2025.4.1>