국가정보_뉴질랜드
법률체계
1개요
뉴질랜드는 ‘93년 제정된 개인정보보호법(Privacy Act 1993, 이하 보호법 1993)을 ’20년에 개정하여 같은 해 12월 1일부터 시행 중
’20년 개인정보보호법(Privacy Act 2020, 이하 보호법 2020)은 공공·민간 구분 없이 개인정보를 처리하는 모든 개인, 조직, 사업자(person, organisation, business)에 적용 *적용 제외 : 법원과 재판소, 언론, 정치인의 공식 활동 등
의료·통신·국방·연금 등 특정 유형에서의 개인정보 처리에 대한 행동규약(Code of Practice)을 6종* 발표 * < 참고 > Ⅱ. 감독기관의 업무 참고
2개인정보보호법(Privacy Act 2020)
보호법 2020은 OPC 커미셔너의 역할과 기능, 개인정보보호 원칙과 행동규약, 개인정보 보호 관련 민원과 조사 절차, 심각한 개인정보 침해사고 발생 시 통지 의무, 개인정보의 공유 등에 관한 내용을 담고 있으며, 개정으로 인한 주요 변화는 아래와 같음
(개인정보 침해 통지 제도 도입) 심각한 피해를 입었다고 판단 또는 피해가 야기될 가능성이 있을 시 OPC와 개인에 통지하는 제도로, OPC는 제도 안내를 위해 개인정보 침해에 관한 지침을 발간
(행정처분 권한) 법률 위반행위에 대하여 OPC는 행정처분을 통해 시정을 요구할 수 있음
(개인정보 제공 명령 권한) OPC는 개인정보 처리자에게 자신의 개인정보를 열람하고자 하는 정보주체에게 정보를 제공하도록 명령할 수 있음
(국외이전 제한) 새로 추가된 개인정보보호 원칙 12번에 따라 개인정보 처리자는 개인정보를 이전받는 제3국의 조직 또는 처리자가 뉴질랜드 보호법의 적용을 받거나 그에 상응하는 보호조치를 제공하는 경우에만 개인정보를 역외에 제공할 수 있음
(적용범위 확대) 사무실이 역외에 있어도 뉴질랜드에서 사업을 영위하는 경우 보호법 적용
(범법행위 규정 확대) 타인을 사칭하거나 타인의 허락을 받은 것처럼 행동하여 개인정보 처리자가 제3자의 개인정보에 접근하도록 오도하는 행위 및 개인정보 열람 요구를 인지한 상태에서 개인정보를 파기하는 행위를 범법행위로 추가 규정
보호법 2020은 보호법 1993과 같이 원칙 기반의 접근방식을 유지
보호법 2020은 수집의 목적, 방법, 정보주체의 권리와 신규 추가된 개인정보 국외이전 등 13개의 원칙을 규정
No | 원칙 | 내용 |
---|---|---|
1 |
수집 목적 |
조직의 기능이나 활동과 관련된 합법적 목적에 필요한 경우에만 개인정보를 수집해야 함 |
2 |
정보의 출처 - 정보주체로부터
수집 |
개인정보는 정보주체로부터 직접 수집되어야 함 단, 정보주체가 제3자로부터의 수집을 허락한 경우 또는 공개된 정보인 경우, 법 집행에 필요한 경우 등은 예외로 함 |
3 |
수집 관련 정보주체에게 알려야 할 내용 |
개인정보의 수집 사실과 수집 목적, 개인정보 수집 및 보유자의 연락처, 수집 근거, 개인정보를 제공하지 않았을 때의 결과 등을 정보주체에게 알려야 함 |
4 |
수집 방법 |
개인정보는 적법한 수단으로 상황에 맞게 공정하고 합리적인 방식으로 수집되어야 함 |
5 |
저장 및 보안 |
개인정보 처리자는 개인정보의 손실, 허가되지 않은 접근, 사용, 수정 또는 공개 및 기타 오용을 막기 위한 보호조치를 취해야 함 |
6 |
개인정보 열람권 |
정보주체는 개인정보 처리자의 개인정보 보유 여부를 확인하고 개인정보의 열람을 요구할 권리가 있음 |
7 |
개인정보 정정권 |
정보주체는 개인정보의 정정을 요구할 권리가 있음 |
8 |
정보 사용 전 정확성 확보 |
개인정보를 사용하거나 공개하기 전에 개인정보의 정확성, 최신 여부, 완전성, 관련성 및 오도 여부를 확인해야 함 |
9 |
개인정보의 보유 기한 |
개인정보 처리자는 개인정보를 적법한 목적에 필요한 기한 이상으로 보유해서는 안 됨 |
10 |
개인정보의 이용 제한 |
개인정보 처리자는 개인정보를 적법한 목적에 필요한 기한 이상으로 보유해서는 안 됨 |
11 |
개인정보의 공개 |
개인정보 처리자는 개인정보를 다른 기관이나 제3자에게 공개해서는 안 됨 단, 개인정보의 공개가 원래의 수집 또는 획득 목적과 연관되거나 정보주체의 허가를 받았거나 법 집행에 필요한 경우, 또는 공공 보건이나 공공안전을 위한 경우 등은 예외로 함 |
12 |
개인정보 역외이전 |
개인정보 처리자는 개인정보를 이전받는 제3국의 조직 또는 처리자가 뉴질랜드 보호법의 적용을 받거나 그에 상응하는 보호조치를 제공하는 경우에만 개인정보를 역외에 제공할 수 있음 |
13 |
고유 식별자 |
개인정보 처리자는 조직의 효율적 역할 수행에 고유 식별자가 필요한 경우에 한해 개인에게 고유 식별자를 할당할 수 있음 |