국가정보_뉴질랜드

법률체계

1개요

뉴질랜드는 ‘93년 제정된 개인정보보호법(Privacy Act 1993, 이하 보호법 1993)을 ’20년에 개정하여 같은 해 12월 1일부터 시행 중

’20년 개인정보보호법(Privacy Act 2020, 이하 보호법 2020)은 공공·민간 구분 없이 개인정보를 처리하는 모든 개인, 조직, 사업자(person, organisation, business)에 적용 *적용 제외 : 법원과 재판소, 언론, 정치인의 공식 활동 등

의료·통신·국방·연금 등 특정 유형에서의 개인정보 처리에 대한 행동규약(Code of Practice)을 6종* 발표 * < 참고 > Ⅱ. 감독기관의 업무 참고

2개인정보보호법(Privacy Act 2020)

보호법 2020은 OPC 커미셔너의 역할과 기능, 개인정보보호 원칙과 행동규약, 개인정보 보호 관련 민원과 조사 절차, 심각한 개인정보 침해사고 발생 시 통지 의무, 개인정보의 공유 등에 관한 내용을 담고 있으며, 개정으로 인한 주요 변화는 아래와 같음

  • (개인정보 침해 통지 제도 도입) 심각한 피해를 입었다고 판단 또는 피해가 야기될 가능성이 있을 시 OPC와 개인에 통지하는 제도로, OPC는 제도 안내를 위해 개인정보 침해에 관한 지침을 발간

  • (행정처분 권한) 법률 위반행위에 대하여 OPC는 행정처분을 통해 시정을 요구할 수 있음

  • (개인정보 제공 명령 권한) OPC는 개인정보 처리자에게 자신의 개인정보를 열람하고자 하는 정보주체에게 정보를 제공하도록 명령할 수 있음

  • (국외이전 제한) 새로 추가된 개인정보보호 원칙 12번에 따라 개인정보 처리자는 개인정보를 이전받는 제3국의 조직 또는 처리자가 뉴질랜드 보호법의 적용을 받거나 그에 상응하는 보호조치를 제공하는 경우에만 개인정보를 역외에 제공할 수 있음

  • (적용범위 확대) 사무실이 역외에 있어도 뉴질랜드에서 사업을 영위하는 경우 보호법 적용

  • (범법행위 규정 확대) 타인을 사칭하거나 타인의 허락을 받은 것처럼 행동하여 개인정보 처리자가 제3자의 개인정보에 접근하도록 오도하는 행위 및 개인정보 열람 요구를 인지한 상태에서 개인정보를 파기하는 행위를 범법행위로 추가 규정

보호법 2020은 보호법 1993과 같이 원칙 기반의 접근방식을 유지

  • 보호법 2020은 수집의 목적, 방법, 정보주체의 권리와 신규 추가된 개인정보 국외이전 등 13개의 원칙을 규정

[표 1]뉴질랜드 개인정보 보호법 2020 개인정보 처리 원칙
No 원칙 내용
1

수집 목적
(Purpose for collection)

조직의 기능이나 활동과 관련된 합법적 목적에 필요한 경우에만 개인정보를 수집해야 함

2

정보의 출처 - 정보주체로부터 수집
(Source of information - collection from the individual)

개인정보는 정보주체로부터 직접 수집되어야 함

단, 정보주체가 제3자로부터의 수집을 허락한 경우 또는 공개된 정보인 경우, 법 집행에 필요한 경우 등은 예외로 함

3

수집 관련 정보주체에게 알려야 할 내용
(What to tell the individual aboutcollection)

개인정보의 수집 사실과 수집 목적, 개인정보 수집 및 보유자의 연락처, 수집 근거, 개인정보를 제공하지 않았을 때의 결과 등을 정보주체에게 알려야 함

4

수집 방법
(Manner of collection)

개인정보는 적법한 수단으로 상황에 맞게 공정하고 합리적인 방식으로 수집되어야 함

5

저장 및 보안
(Storage and security of information)

개인정보 처리자는 개인정보의 손실, 허가되지 않은 접근, 사용, 수정 또는 공개 및 기타 오용을 막기 위한 보호조치를 취해야 함

6

개인정보 열람권
(Access to their information)

정보주체는 개인정보 처리자의 개인정보 보유 여부를 확인하고 개인정보의 열람을 요구할 권리가 있음

7

개인정보 정정권
(Correction of personal information)

정보주체는 개인정보의 정정을 요구할 권리가 있음

8

정보 사용 전 정확성 확보
(Accuracy of personal information)

개인정보를 사용하거나 공개하기 전에 개인정보의 정확성, 최신 여부, 완전성, 관련성 및 오도 여부를 확인해야 함

9

개인정보의 보유 기한
(Retention of personal information)

개인정보 처리자는 개인정보를 적법한 목적에 필요한 기한 이상으로 보유해서는 안 됨
10

개인정보의 이용 제한
(Limits on use of personal information)

개인정보 처리자는 개인정보를 적법한 목적에 필요한 기한 이상으로 보유해서는 안 됨
11

개인정보의 공개
(Disclosure of personal information)

개인정보 처리자는 개인정보를 다른 기관이나 제3자에게 공개해서는 안 됨

단, 개인정보의 공개가 원래의 수집 또는 획득 목적과 연관되거나 정보주체의 허가를 받았거나 법 집행에 필요한 경우, 또는 공공 보건이나 공공안전을 위한 경우 등은 예외로 함
12

개인정보 역외이전
(Disclosure outside New Zealand)

개인정보 처리자는 개인정보를 이전받는 제3국의 조직 또는 처리자가 뉴질랜드 보호법의 적용을 받거나 그에 상응하는 보호조치를 제공하는 경우에만 개인정보를 역외에 제공할 수 있음
13

고유 식별자
(Unique identifiers)

개인정보 처리자는 조직의 효율적 역할 수행에 고유 식별자가 필요한 경우에 한해 개인에게 고유 식별자를 할당할 수 있음
top