개인정보 유출사고 발생시 회사에서는 어떻게 대처를 해야 하나요?
안녕하세요? 가끔 이름있는 기업들이 개인정보 유출사고가 발생하는 뉴스를 종종 듣는데요~ 이런 회사들은 개인정보 유출사고 발생시 회사에서는 어떻게 대처를 해야 하는 건가요?
안녕하세요. 윤관열 변호사입니다.
우선 사고의 경위를 경영자와 개인정보보호책임자에게 보고하고, 법에 따라 일정 범위 이상이 유출되었을 경우 관계 기관에 신고하고 피해자들에게 해당 사고의 경위에 대해 충분하 설명을 하셔야 할 것으로 사료됩니다.
안녕하세요. 길한솔 변호사입니다.
개인정보보호법에 따라 그 처리자는 안전조치의무를 부담하는데,
같은 법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24>
그 처리자는 개인정보의 유출에 대해서 해당 정보주체에게 아래와 같은 사항을 알리고,
유출 등에 따른 피해 최소화를 위하여 대책을 마련하여 필요한 조치를 취하여야 합니다.
제34조(개인정보 유출 등의 통지ㆍ신고) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. <개정 2023. 3. 14.>
1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. <개정 2023. 3. 14.>
③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4., 2023. 3. 14.>
④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다. <개정 2023. 3. 14.>
[제목개정 2023. 3. 14.]