개인정보 국외 이전 운영 등에 관한 규정

개인정보 국외 이전 운영 등에 관한 규정

[시행 2023. 10. 16.] [개인정보보호위원회고시 제2023-11호, 2023. 10. 16., 제정]

개인정보보호위원회(국제협력담당관), 02-2100-2485

개인정보 국외 이전 운영 등에 관한 규정(개인정보보호위원회고시)(제2023-11호)(20231016).pdf

0.08MB

       제1장 총칙

제1조(목적) 이 고시는 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제5조, 제29조의8, 제29조의9, 제29조의11, 제29조의12에 따라 개인정보의 국외 이전에 관하여 필요한 사항을 정함을 목적으로 한다.

제2조(정의) 이 고시에서 사용하는 용어의 정의는 다음과 같다.

1. "국외이전전문위원회"는 영 제5조제1항에 따라 개인정보 보호 관련 전문가 등으로 구성된 개인정보 국외 이전 분야의 전문위원회를 말한다. 

2. "개인정보 국외 이전 인증"이란 영 제29조의8제1항에 따라 개인정보 보호위원회(이하 "보호위원회"라 한다)가 고시하는 인증을 말한다. 

3. "개인정보 보호 인증 전문기관"이란 영 제34조의6에 따른 개인정보 보호 인증 전문기관을 말한다. 

4. "이전대상국등"이란 법 제28조의8제1항제5호에 따라 개인정보가 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 ‘이전’이라 한다)되는 국가 또는 국제기구를 말한다. 

       제2장 국외이전전문위원회 운영 등

제3조(국외이전전문위원회 위원의 임기) 국외이전전문위원회 위원(이하 ‘위원’이라 한다)의 임기는 위촉된 날로부터 3년으로 하되 연임할 수 있다. 다만, 영 제5조제2항제1호에 해당하는 위원의 임기는 해당 직위에 재직하는 기간으로 한다.

제4조(국외이전전문위원회 운영) ① 국외이전전문위원회 회의는 보호위원회의 요청에 따라 국외이전전문위원회 위원장이 소집한다.

② 국외이전전문위원회 위원장이 부득이한 사유로 그 직무를 수행할 수 없는 때에는 국외이전전문위원회 위원장이 미리 지명한 위원이 그 직무를 대행한다. 

③ 국외이전전문위원회는 재적위원 과반수의 출석으로 개회하고 출석위원 과반수의 찬성으로 의결한다. 

④ 국외이전전문위원회는 필요한 경우 관계기관의 공무원 및 이해관계인에게 국외이전전문위원회 회의 출석 또는 의견 제출을 요청할 수 있다. 

⑤ 국외이전전문위원회 회의는 공개하지 않는다. 다만, 다음 각 호의 사항을 포함한 회의록을 작성하여 보관하여야 하며, 국외이전전문위원회 위원장이 필요하다고 인정하면 녹음 또는 녹화를 할 수 있다. 

1. 회의 일시 및 장소 

2. 회의에 참석한 위원 명단 

3. 회의 안건 및 내용 

⑥ 국외이전전문위원회 위원장이 안건을 검토한 결과 사안이 긴급을 요하거나 토론을 요하지 아니한다고 판단되는 경우, 국외이전전문위원회 회의를 서면으로 개최할 수 있다. 

제5조(간사 등) ① 국외이전전문위원회에 간사 1인을 두되, 간사는 보호위원회 사무처 소속 공무원 중에서 개인정보의 국외 이전 업무를 담당하는 부서의 장이 된다.

② 간사는 다음 각 호의 업무를 수행한다. 

1. 국외이전전문위원회 위원장의 국외이전전문위원회 운영에 관한 보좌 

2. 국외이전전문위원회 회의록 작성 및 보관 

3. 국외이전전문위원회의 업무에 관한 사무처리 등 

제6조(소위원회) 국외이전전문위원회 위원장은 국외이전전문위원회 업무를 효율적으로 수행하기 위하여 필요하다고 인정될 경우 일부 위원으로 구성되는 소위원회를 둘 수 있다.

제7조(위원의 제척 사유) 위원은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 평가에 관여하지 못한다

1. 위원 본인과 직접적인 이해관계가 있는 사항 

2. 위원 본인과 친족관계에 있거나 있었던 자와 관련된 사항 

3. 위원이 해당 사안에 관하여 증언, 감정, 법률자문을 한 경우 

4. 위원이 해당 사안에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우 

5. 위원이나 위원이 속한 공공기관ㆍ법인 또는 단체 등이 조언 등 지원을 하고 있는 자와 이해관계가 있는 경우 

제8조(위원의 해임 및 해촉) 보호위원회 위원장은 위원이 다음 각 호의 어느 하나에 해당하는 경우에는 해당 위원을 해임 또는 해촉할 수 있다.

1. 심신장애로 인하여 직무를 수행할 수 없게 된 경우 

2. 직무와 관련된 비위사실이 있는 경우 

3. 직무 태만, 품위 손상, 그 밖의 사유로 인하여 위원의 직을 유지하는 것이 적합하지 아니하다고 인정되는 경우 

4. 위원 스스로 직무를 수행하는 것이 곤란하다고 의사를 밝히는 경우 

제9조(수당과 여비) 국외이전전문위원회와 제6조에 따른 소위원회의 회의에 출석한 위원 등에게는 예산의 범위에서 수당과 여비를 지급할 수 있다. 다만, 공무원인 위원이 그 소관 업무와 직접적으로 관련되어 출석하는 경우에는 그러하지 아니하다.

제10조(운영세칙) 국외이전전문위원회의 운영에 관하여 이 규정에서 정하지 아니한 세부적 사항은 국외이전전문위원회의 의결을 거쳐 국외이전전문위원회 위원장이 정한다.

       제3장 개인정보 국외 이전 인증

제11조(인증에 대한 개인정보 보호 인증 전문기관의 평가) 개인정보 보호 인증 전문기관이 영 제29조의8제1항제1호에 따라 평가를 할 때에는 별표1의 기준에 따라 해당 인증의 개인정보 보호 수준, 정보주체의 권리 보호 적절성 등을 평가하고 그 내용을 보호위원회에 제출하여야 한다.

제12조(인증에 대한 국외이전전문위원회의 평가) 국외이전전문위원회가 영 제29조의8제1항제2호에 따라 평가를 할 때에는 별표1의 기준에 따라 해당 인증의 개인정보 보호 수준, 정보주체의 권리 보호 적절성 등을 평가하고 그 내용을 보호위원회에 제출하여야 한다.

제13조(인증에 대한 정책협의회의 협의) 보호위원회는 영 제29조의8제1항제3호에 따라 정책협의회를 개최하여 해당 인증에 대하여 관계기관과 협의하여야 한다.

제14조(인증에 대한 보호위원회 심의ㆍ의결) 보호위원회는 제11조에 따른 개인정보 보호 인증 전문기관 평가 내용, 제12조에 따른 국외이전전문위원회 평가 내용, 제13조에 따른 정책협의회 협의 내용 등을 종합적으로 고려하여, 보호위원회의 심의ㆍ의결을 거쳐 법 제28조의8제1항제4호에 따라 고시하는 인증을 정한다.

제15조(개인정보 국외 이전 인증) 제14조에 따라 보호위원회가 정하는 인증은 별표2와 같다.

제16조(유효기간과 갱신) ① 보호위원회는 영 제29조의8제2항에 따른 유효기간 만료 전에 해당 인증의 유효기간 갱신 여부를 심의하고, 이를 갱신할 수 있다.

② 제1항에 따른 심의를 하려는 경우 제11조부터 제14조까지의 절차를 거쳐야 한다. 

제17조(인증의 제외) 보호위원회는 이 장에 따라 고시한 인증의 개인정보 보호 수준이 법 제32조의2에 따른 개인정보 보호 인증의 개인정보 보호 수준에 미치지 못한다고 판단하는 경우 해당 인증에 대해 제11조부터 제14조까지의 절차를 거쳐 해당 인증을 별표2에서 제외할 수 있다.

       제4장 국가 등에 대한 개인정보 보호 수준 인정

제18조(이전대상국등 인정에 대한 국외이전전문위원회 평가) 국외이전전문위원회가 영 제29조의9제2항에 따라 평가를 할 때에는 영 제29조의9제1항 각 호의 사항에 따라 이전대상국등의 개인정보 보호 수준, 정보주체의 권리 보호 적절성 등을 평가하고 펑가 내용을 보호위원회에 제출하여야 한다.

제19조(이전대상국등 인정에 대한 정책협의회의 협의) 보호위원회는 영 제29조의9제2항제2호에 따라 정책협의회를 개최하여 해당 이전대상국등 인정에 대해 관계기관과 협의하여야 한다.

제20조(이전대상국등 인정에 대한 보호위원회 심의ㆍ의결) 보호위원회는 제18조에 따른 국외이전전문위원회 평가 내용 및 제19조에 따른 정책협의회 협의 내용 등을 종합적으로 고려하여, 보호위원회의 심의ㆍ의결을 거쳐 법 제28조의8제1항제5호에 따라 이전대상국등의 인정 여부를 정한다.

제21조(이전대상국등 인정기간 및 갱신) ① 보호위원회는 영 제29조의9제3항에 따른 이전대상국등의 인정 기간 만료 전에 갱신 여부를 심의하고, 이를 연장할 수 있다.

② 제1항에 따른 심의를 하려는 경우 제18조부터 제20조까지의 절차를 거쳐야 한다. 

제22조(이전대상국등 인정의 내용변경 및 취소 등) 보호위원회는 영 제29조9제5항에 따라 인정을 취소하거나 그 내용을 변경할 경우에는 해당 이전대상국등의 의견을 듣고 제18조부터 제20조까지의 절차를 거쳐야 한다.

       제5장 개인정보 국외 이전 중지 명령

제23조(국외 이전 중지 명령에 대한 국외이전전문위원회 평가 등) 국외이전전문위원회가 영 제29조의11제2항에 따른 평가를 할 때에는 영 제29조의11제1항 각 호의 사항에 따라 법령 위반의 중대성, 피해의 심각성 등을 평가하고 평가 내용을 보호위원회에 제출하여야 한다.

제24조(국외 이전 중지 명령에 대한 보호위원회 심의ㆍ의결) ① 보호위원회는 국외이전전문위원회 평가 내용 등을 고려하여 보호위원회의 심의ㆍ의결을 거쳐 해당 개인정보처리자에 대한 개인정보 국외 이전 중지를 명한다.

② 보호위원회는 중지 명령 심의에 필요한 경우 해당 개인정보처리자에게 관련 자료를 요청할 수 있다. 

제25조(국외 이전 중지 명령의 통보 등) 영 제29조의11제3항에 따라 개인정보처리자에게 국외 이전 중지를 명하는 문서는 별지 제1호 서식에 따른다.

제26조(국외 이전 중지 명령 이의 제기 등) ① 영 제29조의12제1항에 따라 보호위원회가 정하는 이의신청서는 별지 제2호의 서식에 따른다.

② 보호위원회는 제1항에 따른 중지 명령 이의제기를 받은 경우에는 30일 이내에 중지 명령 해제 여부를 결정하고 그 내용을 신청인에게 문서로 알려야 한다. 

제27조(국외 이전 중지 명령의 해제) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우 개인정보의 국외 이전 중지 명령을 해제할 수 있다.

1. 보호위원회가 법 제28조의9제1항 각 호의 어느 하나에 해당하지 않는다고 인정하는 경우 

2. 보호위원회가 개인정보처리자의 법 제28조의9제2항에 따른 이의제기가 정당하다고 인정하는 경우 

3. 그 밖에 보호위원회가 필요하다고 인정하는 경우 

② 법 제28조의9에 따라 국외 이전의 중지를 명령받은 개인정보처리자가 제1항제1호에 따라 중지 명령의 해제를 요청하려는 경우에는 별지 제3호의 서식과 이를 증명하는데 필요한 서류를 첨부하여 보호위원회에 제출하여야 한다. 

③ 보호위원회는 제1항에 따라 중지 명령을 해제할 때에는 해당 개인정보처리자에게 문서로 알려야 한다. 

       제6장 보 칙

제28조(재검토기한) 보호위원회는 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 2023년 9월 15일 기준으로 매 3년이 되는 시점(매 3년째의 9월 14일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

부      칙 <제2023-11호, 2023.10.16.>

이 고시는 공포한 날부터 시행한다.