국가정보_튀르키예
법률체계
1개요
튀르키예의 개인정보보호 관련 법체계는 ▲헌법 ▲튀르키예 개인정보보호법(Kişisel Verilerin Korunması Kanunu) 등 양대 축을 중심으로, 개인정보보호법 하위법령과 기타 유관법률에서 규정하고 있는 개인정보보호 관련 조항이 이를 뒷받침하는 형태로 구성
▶ 헌법1)
튀르키예 헌법 제20조는 개인의 사생활 및 가족생활의 자유를 규정하면서 명시적으로
개인정보를 보호받을 권리를 보장
모든 사람은 자신의 개인정보보호를 요구할 권리를 지니며, 이 권리에는 자신의 개인
정보에 관련한 정보를 제공받을 권리, 개인정보를 열람, 정정 및 삭제 요청할 수
있는 권리, 목적에 맞게 개인정보를 사용하고 있는지 여부를 통보받을 권리 등을 포함
현행 헌법인 ‘80년 헌법은 제정 당시 개인정보보호에 관한 권리를 담고 있지 않았으나,
튀르키예가 EU 가입을 준비하며 EU 회원국에 준하는 법체계를 완비하기 위해 ’10년
개헌을 단행함으로써 본격적으로 헌법적 권리로 구체화 됨2)
1)
https://www.anayasa.gov.tr/tr/mevzuat/anayasa/
2)
https://news.bloomberglaw.com/privacy-and-data-security/privacy-and-data-protection-in-turkey-inching-towards-a-european-framework
▶ 개인정보보호법(Kişisel Verilerin Korunması Kanunu3))
튀르키예 개인정보보호법은 ‘16년 3월 의회를 통과한 후 4월 7일자 관보에 게재된 이래
현재 시행 중
튀르키예는 ‘81년 1월 ’개인정보 자동처리와 관련한 개인의 보호에 관한 협약4)(유럽평의회
제108호 협약)에 서명한 이래 약 35년 간 포괄적 개인정보보호법 제정 과정을 거침
‘05년 유럽연합 가입 협상을 시작하면서 유럽연합으로부터 개인정보보호법 및 개인
정보 감독기구의 도입을 요구받으면서 법률 제정의 필요성이 재차 제기됨
이에 따라 튀르키예 법무부는 당시 유럽연합 전역에서 활용되고 있던 ‘95년 EU 개인
정보보호 지침(Directive 95/46/EC, GDPR의 전신)을 기준으로 법률안 구성에 나섰으며,
이후 ’10년 헌법 개정을 거쳐 ‘16년 3월에서야 최종 법률안이 의회를 통과5)함으로써
튀르키예 최초의 개인정보보호법이 제정되기에 이름
개인정보보호법은 총 7장 33개 조항으로 이루어져 있으며, ▲개인정보 처리(제2장)
▲권리 및 의무(제3장) ▲요청, 민원제기, 컨트롤러 등록부(제4장) ▲범죄 및 경범죄(제5장)
▲개인정보 감독기구 및 조직(제6장) 등으로 구성
3)
튀르키예 개인정보보호법은 KVKK라는 약어로 널리 통용되고 있으나, 튀르키예 개인정보 감독기구 또한 약어로
KVKK를 활용하고 있어 이 보고서에서는 혼동 방지를 위해 개인정보보호법에는 약어를 사용하지 않기로 함
4)
The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
(CETS No. 108) (‘81. 1. 28.)
5)
https://www.computerweekly.com/news/450280254/Citizens-will-be-stripped-naked-by-Turkeys-data-law
▶ 개인정보보호법 하위법령
개인정보보호법 하위법령은 튀르키예 개인정보 감독기구가 제정하는 것으로, 개인정보
보호법을 시행하는 데에 있어 특정 조항에 대한 보다 세부적인 사항을 규정하며 대표적으로
아래의 규정이 제정된 된 바 있음
(개인정보 삭제, 파기 또는 익명화에 관한 규정6)) 자동 또는 비자동적 방식으로 처리되는
개인정보의 삭제, 파기 또는 익명화에 관한 절차 및 원칙을 규정한 것으로 ‘17년 10월 제정
데이터 컨트롤러 등록부에 관한 규정7)) 컨트롤러가 개인정보를 처리하기 이전에 등록부
등재의무가 부여되는데, 해당 등록부의 설치 및 관리에 관한 절차와 원칙을 규정하고
있으며 ‘17년 12월 제정.
(개인정보 감독기구 업무절차 및 원칙에 관한 규정8)) ‘17년 11월 제정된 규정으로 개인
정보 감독기구의 업무절차 및 원칙, 의무, 권한, 책임과 이사회의 의무 및 권한을 상술
6)
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
7)
Veri Sorumluları Sicili Hakkında Yönetmelik
8)
Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
▶ 그 외 관련 법령
형법 (Türk Ceza Kanunu)
튀르키예 형법은 제135조~제138조에서 개인정보보호 침해 유형에 따라 다양한 형벌 조항을 규정
개인정보 불법 기록(제135조제1항), 개인의 정치관·철학관·종교관 및 인종, 윤리적 경향,
건강 상태 기록(제135조제2항), 개인정보의 불법적 제공, 유포, 취득(제136조), 공무원의
직무를 남용하거나 특정 직업이 제공하는 편의를 이용한 개인정보의 불법적 제공,
유포, 취득(제137조), 기간만료 개인정보 파기 의무 해태(제138조) 등의 행위에 대해
짧게는 1년, 길게는 8년의 징역이 부과됨
전자통신법 (Elektronik Haberleşme Kanunu)
전자통신법은 제51조에서 전자통신 분야에서 개인정보를 사용하기 위한 일반적인
원칙을 규정
통신 사업자는 가입자/사용자에게 개인정보의 처리에 관해 명확히 통지하고 명시적
동의를 얻은 경우에만 통신망을 사용하여 단말기에 정보를 저장하거나 저장된 정보에
접근할 수 있음 (제51조제3항)
통신 사업자는 자신의 네트워크 및 가입자/사용자의 개인정보 보안을 위해 적절한
기술적 및 관리적 조치를 취해야 함 (제51조제4항)
통신 트래픽 정보 및 위치정보는 관련자의 명시적인 동의가 있어야만 국외 이전이
가능하며 (제51조제6항), 통신 사업자는 가입자/사용자에게 위치정보 처리를 거부할 수
있는 기회를 제공해야 함 (제51조제8항)
전자상거래 규제에 관한 법률 (Elektronik Ticaretin Düzenlenmesi Hakkında Kanun)
동법은 전자상거래에 관한 원칙과 절차를 규정함으로써, 전자상거래 목적의 통신,
전자상거래 서비스 제공업체 및 중개 서비스 제공업체의 책임, 전자 통신을 이용해
체결한 계약, 전자상거래에 관한 정보제공 의무 및 제재 등을 다룸
제10조에서는 서비스 제공업체 및 중개 서비스 제공업체의 개인정보보호 의무를
선언적으로 규정9)
서비스 제공업체 및 중개 서비스 제공업체는 소비자로부터 수집한 개인정보의 보관
및 보안에 책임을 지며, 소비자의 동의가 있어야만 제3자와 공유하거나 다른 용도로
사용할 수 있음
9)
다만, 동 조항은 ‘22.년 7월 1일자 공포된 전자상거래 규제에 관한 법률 일부개정법률(Elektronik Ticaretin Düzenlenmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun, 법률번호 제7416호) 제4조에 따라 ’23년 1월 1일자 폐지될 예정
튀르키예의 개인정보보호 관련 법체계는 ▲헌법 ▲튀르키예 개인정보보호법(Kişisel Verilerin Korunması Kanunu) 등 양대 축을 중심으로, 개인정보보호법 하위법령과 기타 유관법률에서 규정하고 있는 개인정보보호 관련 조항이 이를 뒷받침하는 형태로 구성
▶ 헌법1)
튀르키예 헌법 제20조는 개인의 사생활 및 가족생활의 자유를 규정하면서 명시적으로 개인정보를 보호받을 권리를 보장
모든 사람은 자신의 개인정보보호를 요구할 권리를 지니며, 이 권리에는 자신의 개인 정보에 관련한 정보를 제공받을 권리, 개인정보를 열람, 정정 및 삭제 요청할 수 있는 권리, 목적에 맞게 개인정보를 사용하고 있는지 여부를 통보받을 권리 등을 포함
현행 헌법인 ‘80년 헌법은 제정 당시 개인정보보호에 관한 권리를 담고 있지 않았으나, 튀르키예가 EU 가입을 준비하며 EU 회원국에 준하는 법체계를 완비하기 위해 ’10년 개헌을 단행함으로써 본격적으로 헌법적 권리로 구체화 됨2)
1)
https://www.anayasa.gov.tr/tr/mevzuat/anayasa/
2)
https://news.bloomberglaw.com/privacy-and-data-security/privacy-and-data-protection-in-turkey-inching-towards-a-european-framework
▶ 개인정보보호법(Kişisel Verilerin Korunması Kanunu3))
튀르키예 개인정보보호법은 ‘16년 3월 의회를 통과한 후 4월 7일자 관보에 게재된 이래 현재 시행 중
튀르키예는 ‘81년 1월 ’개인정보 자동처리와 관련한 개인의 보호에 관한 협약4)(유럽평의회 제108호 협약)에 서명한 이래 약 35년 간 포괄적 개인정보보호법 제정 과정을 거침
‘05년 유럽연합 가입 협상을 시작하면서 유럽연합으로부터 개인정보보호법 및 개인 정보 감독기구의 도입을 요구받으면서 법률 제정의 필요성이 재차 제기됨
이에 따라 튀르키예 법무부는 당시 유럽연합 전역에서 활용되고 있던 ‘95년 EU 개인 정보보호 지침(Directive 95/46/EC, GDPR의 전신)을 기준으로 법률안 구성에 나섰으며, 이후 ’10년 헌법 개정을 거쳐 ‘16년 3월에서야 최종 법률안이 의회를 통과5)함으로써 튀르키예 최초의 개인정보보호법이 제정되기에 이름
개인정보보호법은 총 7장 33개 조항으로 이루어져 있으며, ▲개인정보 처리(제2장) ▲권리 및 의무(제3장) ▲요청, 민원제기, 컨트롤러 등록부(제4장) ▲범죄 및 경범죄(제5장) ▲개인정보 감독기구 및 조직(제6장) 등으로 구성
3)
튀르키예 개인정보보호법은 KVKK라는 약어로 널리 통용되고 있으나, 튀르키예 개인정보 감독기구 또한 약어로
KVKK를 활용하고 있어 이 보고서에서는 혼동 방지를 위해 개인정보보호법에는 약어를 사용하지 않기로 함
4)
The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
(CETS No. 108) (‘81. 1. 28.)
5)
https://www.computerweekly.com/news/450280254/Citizens-will-be-stripped-naked-by-Turkeys-data-law
▶ 개인정보보호법 하위법령
개인정보보호법 하위법령은 튀르키예 개인정보 감독기구가 제정하는 것으로, 개인정보 보호법을 시행하는 데에 있어 특정 조항에 대한 보다 세부적인 사항을 규정하며 대표적으로 아래의 규정이 제정된 된 바 있음
(개인정보 삭제, 파기 또는 익명화에 관한 규정6)) 자동 또는 비자동적 방식으로 처리되는 개인정보의 삭제, 파기 또는 익명화에 관한 절차 및 원칙을 규정한 것으로 ‘17년 10월 제정
데이터 컨트롤러 등록부에 관한 규정7)) 컨트롤러가 개인정보를 처리하기 이전에 등록부 등재의무가 부여되는데, 해당 등록부의 설치 및 관리에 관한 절차와 원칙을 규정하고 있으며 ‘17년 12월 제정.
(개인정보 감독기구 업무절차 및 원칙에 관한 규정8)) ‘17년 11월 제정된 규정으로 개인 정보 감독기구의 업무절차 및 원칙, 의무, 권한, 책임과 이사회의 의무 및 권한을 상술
6)
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
7)
Veri Sorumluları Sicili Hakkında Yönetmelik
8)
Kişisel Verileri Koruma Kurulu Çalışma Usul ve Esaslarına Dair Yönetmelik
▶ 그 외 관련 법령
형법 (Türk Ceza Kanunu)
튀르키예 형법은 제135조~제138조에서 개인정보보호 침해 유형에 따라 다양한 형벌 조항을 규정
개인정보 불법 기록(제135조제1항), 개인의 정치관·철학관·종교관 및 인종, 윤리적 경향, 건강 상태 기록(제135조제2항), 개인정보의 불법적 제공, 유포, 취득(제136조), 공무원의 직무를 남용하거나 특정 직업이 제공하는 편의를 이용한 개인정보의 불법적 제공, 유포, 취득(제137조), 기간만료 개인정보 파기 의무 해태(제138조) 등의 행위에 대해 짧게는 1년, 길게는 8년의 징역이 부과됨
전자통신법 (Elektronik Haberleşme Kanunu)
전자통신법은 제51조에서 전자통신 분야에서 개인정보를 사용하기 위한 일반적인 원칙을 규정
통신 사업자는 가입자/사용자에게 개인정보의 처리에 관해 명확히 통지하고 명시적 동의를 얻은 경우에만 통신망을 사용하여 단말기에 정보를 저장하거나 저장된 정보에 접근할 수 있음 (제51조제3항)
통신 사업자는 자신의 네트워크 및 가입자/사용자의 개인정보 보안을 위해 적절한 기술적 및 관리적 조치를 취해야 함 (제51조제4항)
통신 트래픽 정보 및 위치정보는 관련자의 명시적인 동의가 있어야만 국외 이전이 가능하며 (제51조제6항), 통신 사업자는 가입자/사용자에게 위치정보 처리를 거부할 수 있는 기회를 제공해야 함 (제51조제8항)
전자상거래 규제에 관한 법률 (Elektronik Ticaretin Düzenlenmesi Hakkında Kanun)
동법은 전자상거래에 관한 원칙과 절차를 규정함으로써, 전자상거래 목적의 통신, 전자상거래 서비스 제공업체 및 중개 서비스 제공업체의 책임, 전자 통신을 이용해 체결한 계약, 전자상거래에 관한 정보제공 의무 및 제재 등을 다룸
제10조에서는 서비스 제공업체 및 중개 서비스 제공업체의 개인정보보호 의무를 선언적으로 규정9)
서비스 제공업체 및 중개 서비스 제공업체는 소비자로부터 수집한 개인정보의 보관 및 보안에 책임을 지며, 소비자의 동의가 있어야만 제3자와 공유하거나 다른 용도로 사용할 수 있음
9) 다만, 동 조항은 ‘22.년 7월 1일자 공포된 전자상거래 규제에 관한 법률 일부개정법률(Elektronik Ticaretin Düzenlenmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun, 법률번호 제7416호) 제4조에 따라 ’23년 1월 1일자 폐지될 예정
2개인정보 처리자 의무사항
가. 데이터 컨트롤러
▶ (정보주체 권리강화) 튀르키예 개인정보보호법은 정보주체의 권리로서 정보를 제공받을권리10)
, 열람권, 정정권, 삭제권을 규정
동법은 정보주체가 각 권리를 행사할 수 있음을 선언적으로만 규정하고 있으며 세부적인
권리행사 절차나 방식은 법률에서는 따로 규정하고 있지 않고 하위법령이나 지침에서 구체화하고 있음
또한, 정보주체의 권리 중 처리 제한권, 반대권, 이동권 관련 조항은 별도로 두고 있지 않음
정보주체 권리
조항
세부 내용
제10조 정보 제공 의무
컨트롤러는 개인정보를 수집할 때 정보주체에게 다음을 알릴 의무가 있음
▲컨트롤러와 그 대리인의 신원 ▲개인정보 처리 목적 ▲개인정보를
이전받게 되는 수령인 및 이전 목적 ▲개인정보 수집 방법 및 법적 근거
▲동법 제11조에 언급된 권리
제11조제1항 제a)호~제ç)호 열람권
정보주체는 컨트롤러에 자신에 대한 다음의 사항을 요청할 권리가 있음
▲자신과 관련된 개인정보 처리 여부 ▲자신과 관련된 개인정보가
처리되는 경우 그 정보 ▲자신의 개인정보 처리 목적 및 해당 개인
정보가 의도된 목적에 맞게 사용되는지 여부 ▲국내 또는 국외에서
개인정보가 제3자에게 이전되는 경우 그 제3자 정보
제11조제1항 제d)호 정정권
정보주체는 컨트롤러에게 불완전하거나 부정확한 개인정보의 정정을
요청할 수 있음
제7조 제11조제1항 제e)호 삭제권
정보주체는 컨트롤러에게 개인정보의 삭제 또는 파기를 요청할 수 있음
(제11조제1항제e)호)
컨트롤러는 개인정보의 처리 사유가 더 이상 유효하지 않은 경우
직권으로 또는 정보주체의 요구에 따라 개인정보를 삭제, 파기 또는
익명화할 의무를 지님 (제7조)
10)
실제로는 컨트롤러의 정보주체에 대한 ‘정보 제공 의무’ 형태로 규정되어 있으며(제10조), 해당 의무의 수혜대상이 정보주체가 됨에 따라 컨트롤러의 정보 제공 의무는 간접적으로 정보주체의 ‘정보를 제공받을권리’로 해석이 가능
▶ (컨트롤러 의무사항) 개인정보보호법은 컨트롤러의 기타 의무사항으로서 아래 사항을 나열
컨트롤러 기타 의무사항
조항
의무사항 세부 내용
제12조제1항 적절한 기술적 관리적 조치
컨트롤러는 ▲불법적인 개인정보 처리 방지 ▲개인정보에 대한 불법적
접근 방지 ▲개인정보보호 등을 위한 적절한 수준의 보안을 제공하기
위해 필요한 모든 기술적·관리적 조치를 취해야 함
제12조제3항 감사
컨트롤러는 동법의 이행을 보장하기 위해 자신의 조직에 필요한 감사를
수행하거나 수행토록 할 의무가 있음
제12조제4항 정보 비공개
컨트롤러는 자신이 알게 된 개인정보를 동법에 반하여 누구에게도
공개해서는 안 되며, 처리 목적 이외의 목적으로 사용할 수 없음
정보 비공개 의무는 퇴임, 임기만료 등 (업무 기간이 종료된) 후에도 계속되어야 함
제12조제5항 위반사항 통지
처리된 개인정보를 타인이 불법적으로 취득한 경우, 컨트롤러는 지체
없이 위반사항을 정보주체에 통지하고 개인정보 감독기구에 알려야 함
감독기구는 필요한 경우 공식 웹사이트 또는 기타 적절하다고 판단한 방법을 통해 위반사항을 발표할 수 있음
제13조 등록부 등록
컨트롤러는 개인정보 처리를 시작하기 전에 감독기구가 관리하는
컨트롤러 등록부에 등록할 의무가 있으며, 해당 등록 신청에는 아래의
정보가 포함되어야 함
▲컨트롤러와 그 대리인의 신원 및 주소 ▲개인정보 처리 목적
▲정보주체 범주 및 해당 정보주체의 개인정보 범주에 관한 설명
▲개인정보를 이전받게 되는 수령인 및 수령인 범주 ▲국외로 이전될
것으로 예상되는 개인정보 ▲개인정보의 보안과 관련하여 취해진 조치
▲개인정보 처리 목적에 필요한 최대 보관기간
▶ EU GDPR과 튀르키예 개인정보보호법 비교
컨트롤러 기타 의무사항
구분
GDPR
튀르키예 개인정보보호법
아동 보호
기준 연령 : 16세
동의는 명확하고 평범한 언어여야 하며 서면으로 필요한 경우 다른 문제와 분리
아동의 기준 : 16세 미만 아동의 동의는 친권자가 승인한 경우에만 유효 (제8조제1항)
아동과 성인의 개인정보를 별도로 구분하지 않음
DPO 지정
컨트롤러와 프로세서는 다음 중 하나 이상을 충족하는 경우 DPO를 임명
공공기관
개인정보 주체에 대한 정기적/체계적 모니터링을 해야 하는 조직)
민감한 개인정보의 대규모 처리가 기본 활동인 조직(제37조제1항)
DPO 지정의무 없음
개인정보 영향평가 (DPIA) 의무 대상
자동화된 처리(프로파일링 포함)에 근거한 개인에 대한 체계적이고 광범위한 평가로, 해당 평가를 바탕으로 한 법적 효력을 미치거나 이와
유사하게 중대한 영향을 미치는 경우 결정이 해당 정보주체에게
민감정보 또는 범죄정보에 대한 대규모 처리를 하는 경우
공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 경우(제35조제3항)
개인정보 영향평가 의무 없음
개인정보 처리 활동의 기록 의무 대상
종업원 수 250명 이상의 기업
단, 개인정보의 처리가 다음 중 하나에 해당하는 경우 종업원 수에 관계없이 의무 대상
정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보 처리
민감정보 처리
범죄경력 및 범죄행위에 관련된 개인정보 처리(제30조제5항)
처리 활동 기록 의무 없음
나. 데이터 프로세서
▶ 데이터 프로세서는 개인정보 보안과 관련하여 컨트롤러와 함께 공동으로 의무를 부담
컨트롤러를 대신하여 다른 자연인 또는 법인이 개인정보를 처리하는 경우, 데이터
컨트롤러는 ▲불법적인 개인정보 처리 방지 ▲개인정보에 대한 불법적 접근 방지
▲개인정보 보호 등을 위한 적절한 수준의 보안을 제공하기 위해 개인정보를 대신 처리한
자연인 또는 법인과 함께 공동으로 책임을 짐 (제12조제2항)
데이터 프로세서는 컨트롤러와 함께 자신이 알게 된 개인정보를 동법에 반하여 누구에게도
공개해서는 안 되며 처리 목적 이외의 목적으로 사용할 수 없고, 해당 의무는 퇴임, 임기
만료 후에도 계속되어야 함 (제12조제4항)
프로세서가 상기 개인정보 보안과 관련한 의무를 위반할 경우 과징금 처분의 대상이 됨
(제18조제b)항)
가. 데이터 컨트롤러
▶ (정보주체 권리강화) 튀르키예 개인정보보호법은 정보주체의 권리로서 정보를 제공받을권리10) , 열람권, 정정권, 삭제권을 규정
동법은 정보주체가 각 권리를 행사할 수 있음을 선언적으로만 규정하고 있으며 세부적인 권리행사 절차나 방식은 법률에서는 따로 규정하고 있지 않고 하위법령이나 지침에서 구체화하고 있음
또한, 정보주체의 권리 중 처리 제한권, 반대권, 이동권 관련 조항은 별도로 두고 있지 않음
| 조항 | 세부 내용 |
|---|---|
| 제10조 정보 제공 의무 |
컨트롤러는 개인정보를 수집할 때 정보주체에게 다음을 알릴 의무가 있음 ▲컨트롤러와 그 대리인의 신원 ▲개인정보 처리 목적 ▲개인정보를 이전받게 되는 수령인 및 이전 목적 ▲개인정보 수집 방법 및 법적 근거 ▲동법 제11조에 언급된 권리 |
| 제11조제1항 제a)호~제ç)호 열람권 |
정보주체는 컨트롤러에 자신에 대한 다음의 사항을 요청할 권리가 있음 ▲자신과 관련된 개인정보 처리 여부 ▲자신과 관련된 개인정보가 처리되는 경우 그 정보 ▲자신의 개인정보 처리 목적 및 해당 개인 정보가 의도된 목적에 맞게 사용되는지 여부 ▲국내 또는 국외에서 개인정보가 제3자에게 이전되는 경우 그 제3자 정보 |
| 제11조제1항 제d)호 정정권 |
정보주체는 컨트롤러에게 불완전하거나 부정확한 개인정보의 정정을 요청할 수 있음 |
| 제7조 제11조제1항 제e)호 삭제권 |
정보주체는 컨트롤러에게 개인정보의 삭제 또는 파기를 요청할 수 있음 (제11조제1항제e)호) 컨트롤러는 개인정보의 처리 사유가 더 이상 유효하지 않은 경우 직권으로 또는 정보주체의 요구에 따라 개인정보를 삭제, 파기 또는 익명화할 의무를 지님 (제7조) |
10) 실제로는 컨트롤러의 정보주체에 대한 ‘정보 제공 의무’ 형태로 규정되어 있으며(제10조), 해당 의무의 수혜대상이 정보주체가 됨에 따라 컨트롤러의 정보 제공 의무는 간접적으로 정보주체의 ‘정보를 제공받을권리’로 해석이 가능
▶ (컨트롤러 의무사항) 개인정보보호법은 컨트롤러의 기타 의무사항으로서 아래 사항을 나열
| 조항 | 의무사항 세부 내용 |
|---|---|
| 제12조제1항 적절한 기술적 관리적 조치 |
컨트롤러는 ▲불법적인 개인정보 처리 방지 ▲개인정보에 대한 불법적 접근 방지 ▲개인정보보호 등을 위한 적절한 수준의 보안을 제공하기 위해 필요한 모든 기술적·관리적 조치를 취해야 함 |
| 제12조제3항 감사 |
컨트롤러는 동법의 이행을 보장하기 위해 자신의 조직에 필요한 감사를 수행하거나 수행토록 할 의무가 있음 |
| 제12조제4항 정보 비공개 |
컨트롤러는 자신이 알게 된 개인정보를 동법에 반하여 누구에게도 공개해서는 안 되며, 처리 목적 이외의 목적으로 사용할 수 없음 정보 비공개 의무는 퇴임, 임기만료 등 (업무 기간이 종료된) 후에도 계속되어야 함 |
| 제12조제5항 위반사항 통지 |
처리된 개인정보를 타인이 불법적으로 취득한 경우, 컨트롤러는 지체 없이 위반사항을 정보주체에 통지하고 개인정보 감독기구에 알려야 함 감독기구는 필요한 경우 공식 웹사이트 또는 기타 적절하다고 판단한 방법을 통해 위반사항을 발표할 수 있음 |
| 제13조 등록부 등록 |
컨트롤러는 개인정보 처리를 시작하기 전에 감독기구가 관리하는 컨트롤러 등록부에 등록할 의무가 있으며, 해당 등록 신청에는 아래의 정보가 포함되어야 함 ▲컨트롤러와 그 대리인의 신원 및 주소 ▲개인정보 처리 목적 ▲정보주체 범주 및 해당 정보주체의 개인정보 범주에 관한 설명 ▲개인정보를 이전받게 되는 수령인 및 수령인 범주 ▲국외로 이전될 것으로 예상되는 개인정보 ▲개인정보의 보안과 관련하여 취해진 조치 ▲개인정보 처리 목적에 필요한 최대 보관기간 |
▶ EU GDPR과 튀르키예 개인정보보호법 비교
| 구분 | GDPR | 튀르키예 개인정보보호법 |
|---|---|---|
| 아동 보호 |
기준 연령 : 16세 동의는 명확하고 평범한 언어여야 하며 서면으로 필요한 경우 다른 문제와 분리 아동의 기준 : 16세 미만 아동의 동의는 친권자가 승인한 경우에만 유효 (제8조제1항) |
아동과 성인의 개인정보를 별도로 구분하지 않음 |
| DPO 지정 |
컨트롤러와 프로세서는 다음 중 하나 이상을 충족하는 경우 DPO를 임명 공공기관 개인정보 주체에 대한 정기적/체계적 모니터링을 해야 하는 조직) 민감한 개인정보의 대규모 처리가 기본 활동인 조직(제37조제1항) |
DPO 지정의무 없음 |
| 개인정보 영향평가 (DPIA) 의무 대상 |
자동화된 처리(프로파일링 포함)에 근거한 개인에 대한 체계적이고 광범위한 평가로, 해당 평가를 바탕으로 한 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 경우 결정이 해당 정보주체에게 민감정보 또는 범죄정보에 대한 대규모 처리를 하는 경우 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 경우(제35조제3항) |
개인정보 영향평가 의무 없음 |
| 개인정보 처리 활동의 기록 의무 대상 |
종업원 수 250명 이상의 기업 단, 개인정보의 처리가 다음 중 하나에 해당하는 경우 종업원 수에 관계없이 의무 대상 정보주체의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보 처리 민감정보 처리 범죄경력 및 범죄행위에 관련된 개인정보 처리(제30조제5항) |
처리 활동 기록 의무 없음 |
나. 데이터 프로세서
▶ 데이터 프로세서는 개인정보 보안과 관련하여 컨트롤러와 함께 공동으로 의무를 부담
컨트롤러를 대신하여 다른 자연인 또는 법인이 개인정보를 처리하는 경우, 데이터 컨트롤러는 ▲불법적인 개인정보 처리 방지 ▲개인정보에 대한 불법적 접근 방지 ▲개인정보 보호 등을 위한 적절한 수준의 보안을 제공하기 위해 개인정보를 대신 처리한 자연인 또는 법인과 함께 공동으로 책임을 짐 (제12조제2항)
데이터 프로세서는 컨트롤러와 함께 자신이 알게 된 개인정보를 동법에 반하여 누구에게도 공개해서는 안 되며 처리 목적 이외의 목적으로 사용할 수 없고, 해당 의무는 퇴임, 임기 만료 후에도 계속되어야 함 (제12조제4항)
프로세서가 상기 개인정보 보안과 관련한 의무를 위반할 경우 과징금 처분의 대상이 됨 (제18조제b)항)
3행정처분 법적 근거
▶ 동법 제15조에서는 KVKK의 조사 권한 및 시정조치 결정 권한 등을 규정
동법 제15조
조항
세부 내용
제1항 조사 권한
KVKK는 개인정보 침해에 대해 알게 된 경우 민원 제기를 통해 혹은
직권으로 소관사항에 대해 필요한 조사를 수행
제5항 시정조치 결정
민원제기 또는 직권으로 조사를 수행한 결과 위반사항이 파악된 경우
KVKK는 컨트롤러로 하여금 침해를 시정할 것을 결정하고 관련 당사자에게 이를 통지
제6항 위반행위 공시 권한
민원제기 또는 직권으로 조사를 수행한 결과 위반사항이 광범위하다고
판단되는 경우, KVKK는 의결을 통해 해당 내용을 공시
제7항 직권조치 결정
KVKK는 회복이 어렵거나 불가능한 손해가 발생한 경우, 또는 명백한
법률 위반이 있는 경우 개인정보 처리 또는 개인정보 국외이전을
중단할 것을 결정할 수 있음
▶ 제18조는 경미한 개인정보보호 위반행위에 대한 과징금 부과 조항을 두고 있으며, 제17조에
근거해서는 튀르키예 형법을 준용하여 심각한 범죄행위에 대해 형사처벌을 내릴 수 있음
제10조(정보 제공 의무)를 이행하지 않은 자에 대해서는 5,000리라~1만 리라(약 270~540
미국 달러), 제12조(개인정보 보안 관련 의무)를 이행하지 않은 자에 대해서는 1만 5,000리라 ~
100만 리라(약 810~5만 4,000 미국 달러)의 과징금을 부과 (제18조제1항제a)호~제b)호)
제15조에 따라 KVKK가 내린 결정을 이행하지 않는 자에 대해서는 2만 5,000리라~100만 리라
(약 1,350 ~ 5만 4,000 미국 달러)의 과징금을 부과함 (제18조제1항제c)호)
제16조에 규정된 데이터 컨트롤러 등록부의 등록 의무를 위반할 경우에는 2만 리라~100만 리라
(약 1,080 ~ 5만 4,000 미국 달러)의 과징금이 부과됨 (제18조제1항제ç)호)
개인정보에 관한 범죄의 처벌에는 형법 제135조~140조가 적용 (제17조제1항)
불법적으로 개인정보를 기록한 자는 1년 이상 3년 이하, 개인정보를 불법적으로 제공,
유포, 입수한 자는 2년 이상 4년 이하의 징역에 처함 (형법 제135조~제136조)
법률이 정하는 기간이 만료되었음에도 불구하고 시스템 내 자료를 파기할 의무가 있는
자가 직무를 수행하지 않을 경우 1년 이상 2년 이하의 징역에 처함 (형법 제138조)
기타 개인정보보호법 제7조의 규정에 반하여 개인정보를 삭제하거나 익명화하지 않을
경우 형법 제138조에 따라 처벌 (제17조제2항)
▶ 국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
개인정보보호법 제3조는 ‘컨트롤러’를 개인정보 처리의 목적과 수단을 결정하고 개인정보
파일링 시스템의 구축 및 관리를 책임지는 자연인 또는 법인으로 정의하고 있고 법률이
공공과 민간기관을 구분하지 않으므로11), 국가기관도 동법의 적용 대상인 컨트롤러에 포함
제19조는 KVKK를 동법에서 부여하고 있는 의무를 수행하기 위해 설립된 공공법인으로서
행정 및 재정적 자율성을 지닌 기관으로 규정
KVKK는 직무 범위 내에서 조사 및 감사를 수행하고, 민원제기 또는 직권으로 컨트롤러의
위반 혐의를 알게 된 경우 법률에 따라 개인정보를 처리하는지 여부를 확인하며 필요한
경우 임시 조치 및 행정적 제재를 결정할 수 있음 (제20조, 제22조)
단, 제18조제3항에 따라 컨트롤러인 국가기관에 대해서는 행정 과징금을 부과할 수
없고, 공공기관 등의 책임자에 대해 징계규정에 따라 조치를 취하고 그 결과를 KVKK에
보고하도록 지시하는 것만 허용
KVKK는 최근 정부부처 등 국가기관에 대해 권한을 행사한 사례가 한 차례 있음
KVKK는 최근 정부부처 등 국가기관에 대해 권한을 행사한 사례
대상(처분일시)
주요 내용
보건부12)(sağlık Bakanlığı)(‘21.8.)
(사건 개요) 보건부 산하 공공병원 직원이 양육권이 없는 부모에게 자녀의 건강기록을 제공
이혼 소송이 진행 중인 민원인(양육권자)은 배우자 측(자녀 학대로 인해
양육권 상실)이 자신의 자녀의 건강기록을 취득한 사실을 인지
보건부 산하 공공병원이 배우자 측 변호사의 요구에 따라 해당 건강
기록을 제공하였다는 정보를 확인
이에 민원인은 부모의 동의 없이 개인정보를 처리한 공공병원을
상대로 KVKK에 민원을 접수했으며 KVKK는 조사에 착수
KVKK는 본 사안과 관련, 부모 이혼 시 양육권이 없는 당사자는 관련
법령에 따라 개인정보보호 및 아동과 보호자의 이익 범위 내에서만
아동의 건강정보 열람이 가능하다고 판단
또한, 변호사일지라도 일반 위임장으로는 건강정보 제공을 요청할 수
없고 위임장상에 민감정보의 처리 및 이전에 관한 정보주체의 명시적인
동의가 있어야 건강정보 제공 요청이 가능하다고 봄
그러나 이 사안에서는 병원에 근무하는 의사가 변호사의 위임장에
특별한 규정이 없었음에도 아동의 건강기록을 제3자에게 법률상 근거 없이 제공한 것으로 밝혀짐
또한 병원의 환자기록 행정 직원도 권한 없이 해당 기록을 열람할
수 있었으며 누가 어떤 데이터를 보았는지 여부에 대한 로그 기록도
전혀 남아 있지 않았음
KVKK는 결과적으로 컨트롤러가 제8조의 개인정보 이전 요건을 갖추
지 못한 채 정보를 제3자에게 제공했으며, 결국 제12조의 개인정보
보안에 관한 기술적·관리적 조치를 이행하지 않은 것으로 결론
(조치 내용) KVKK는 컨트롤러인 보건부에 다음의 지시를 따를 것을 결정
보건부는 소속 직원이 준수할 수 있는 체계적이고 명확한 정책을
마련해야 하고, 개인정보보호와 관련한 교육을 제공하면서 해당 교육에서
직원의 개인정보 처리에 대한 허가 범위를 명확히 알려야 함
개인정보 보안을 보장하기 위한 기술적 조치로서 병원 자동화 시스템의
로그가 유지될 수 있도록 시스템을 업데이트하고 KVKK에 결과를
보고해야 함
병원의 모든 의사 및 환자 등록 담당자가 모든 환자 기록에 접근할 수
있는 현재 상황을 대신하여, 환자의 검사 및 치료에 종사하는 직원과
의사만 해당 정보를 열람할 수 있도록 권한 부여 범위를 명확하게
설정해야 함
병원 자동화 시스템에서 환자 기록을 인쇄하기 위한 특정 절차 설정
및 권한 있는 자를 지정해야 함
보건부는 컨트롤러로서 개인정보보호법 제8조 및 제12조를 위반한
것으로서, 제18조제3항에 따라 해당 병원에 근무하는 사건의 책임자를
징계 규정에 따라 필요한 조치를 취하고 그 결과를 KVKK에 보고해야 함
12)
https://www.kvkk.gov.tr/Icerik/7406/Summary-of-the-Board-Decision-on-Sharing-health-personal-data-with-thenon-custodial-parent-by-unauthorized-employees-in-the-hospital
https://blog.lexpera.com.tr/savunma-hakki-ve-kisisel-veri-gerilimi-avukatin-delilleri-kullanirken-kisisel-veri-ile-adil-yargilanma-hakki-arasindaki-imtihani/
https://www.mondaq.com/turkey/privacy-protection/1147342/ki351isel-verileri-koruma-kurumu-tarafindan-27122021-tarihinde-yayinlanan-karar-zetleri
▶ 동법 제15조에서는 KVKK의 조사 권한 및 시정조치 결정 권한 등을 규정
| 조항 | 세부 내용 |
|---|---|
| 제1항 조사 권한 |
KVKK는 개인정보 침해에 대해 알게 된 경우 민원 제기를 통해 혹은 직권으로 소관사항에 대해 필요한 조사를 수행 |
| 제5항 시정조치 결정 |
민원제기 또는 직권으로 조사를 수행한 결과 위반사항이 파악된 경우 KVKK는 컨트롤러로 하여금 침해를 시정할 것을 결정하고 관련 당사자에게 이를 통지 |
| 제6항 위반행위 공시 권한 |
민원제기 또는 직권으로 조사를 수행한 결과 위반사항이 광범위하다고 판단되는 경우, KVKK는 의결을 통해 해당 내용을 공시 |
| 제7항 직권조치 결정 |
KVKK는 회복이 어렵거나 불가능한 손해가 발생한 경우, 또는 명백한 법률 위반이 있는 경우 개인정보 처리 또는 개인정보 국외이전을 중단할 것을 결정할 수 있음 |
▶ 제18조는 경미한 개인정보보호 위반행위에 대한 과징금 부과 조항을 두고 있으며, 제17조에 근거해서는 튀르키예 형법을 준용하여 심각한 범죄행위에 대해 형사처벌을 내릴 수 있음
제10조(정보 제공 의무)를 이행하지 않은 자에 대해서는 5,000리라~1만 리라(약 270~540 미국 달러), 제12조(개인정보 보안 관련 의무)를 이행하지 않은 자에 대해서는 1만 5,000리라 ~ 100만 리라(약 810~5만 4,000 미국 달러)의 과징금을 부과 (제18조제1항제a)호~제b)호)
제15조에 따라 KVKK가 내린 결정을 이행하지 않는 자에 대해서는 2만 5,000리라~100만 리라 (약 1,350 ~ 5만 4,000 미국 달러)의 과징금을 부과함 (제18조제1항제c)호)
제16조에 규정된 데이터 컨트롤러 등록부의 등록 의무를 위반할 경우에는 2만 리라~100만 리라 (약 1,080 ~ 5만 4,000 미국 달러)의 과징금이 부과됨 (제18조제1항제ç)호)
개인정보에 관한 범죄의 처벌에는 형법 제135조~140조가 적용 (제17조제1항)
불법적으로 개인정보를 기록한 자는 1년 이상 3년 이하, 개인정보를 불법적으로 제공, 유포, 입수한 자는 2년 이상 4년 이하의 징역에 처함 (형법 제135조~제136조)
법률이 정하는 기간이 만료되었음에도 불구하고 시스템 내 자료를 파기할 의무가 있는 자가 직무를 수행하지 않을 경우 1년 이상 2년 이하의 징역에 처함 (형법 제138조)
기타 개인정보보호법 제7조의 규정에 반하여 개인정보를 삭제하거나 익명화하지 않을 경우 형법 제138조에 따라 처벌 (제17조제2항)
▶ 국가기관(법무부 등)에 대한 개인정보보호법 적용 조항, 행정처분 및 권고 사례
개인정보보호법 제3조는 ‘컨트롤러’를 개인정보 처리의 목적과 수단을 결정하고 개인정보 파일링 시스템의 구축 및 관리를 책임지는 자연인 또는 법인으로 정의하고 있고 법률이 공공과 민간기관을 구분하지 않으므로11), 국가기관도 동법의 적용 대상인 컨트롤러에 포함
제19조는 KVKK를 동법에서 부여하고 있는 의무를 수행하기 위해 설립된 공공법인으로서 행정 및 재정적 자율성을 지닌 기관으로 규정
KVKK는 직무 범위 내에서 조사 및 감사를 수행하고, 민원제기 또는 직권으로 컨트롤러의 위반 혐의를 알게 된 경우 법률에 따라 개인정보를 처리하는지 여부를 확인하며 필요한 경우 임시 조치 및 행정적 제재를 결정할 수 있음 (제20조, 제22조)
단, 제18조제3항에 따라 컨트롤러인 국가기관에 대해서는 행정 과징금을 부과할 수 없고, 공공기관 등의 책임자에 대해 징계규정에 따라 조치를 취하고 그 결과를 KVKK에 보고하도록 지시하는 것만 허용
KVKK는 최근 정부부처 등 국가기관에 대해 권한을 행사한 사례가 한 차례 있음
| 대상(처분일시) | 주요 내용 |
|---|---|
| 보건부12)(sağlık Bakanlığı)(‘21.8.) |
(사건 개요) 보건부 산하 공공병원 직원이 양육권이 없는 부모에게 자녀의 건강기록을 제공 이혼 소송이 진행 중인 민원인(양육권자)은 배우자 측(자녀 학대로 인해 양육권 상실)이 자신의 자녀의 건강기록을 취득한 사실을 인지 보건부 산하 공공병원이 배우자 측 변호사의 요구에 따라 해당 건강 기록을 제공하였다는 정보를 확인 이에 민원인은 부모의 동의 없이 개인정보를 처리한 공공병원을 상대로 KVKK에 민원을 접수했으며 KVKK는 조사에 착수 KVKK는 본 사안과 관련, 부모 이혼 시 양육권이 없는 당사자는 관련 법령에 따라 개인정보보호 및 아동과 보호자의 이익 범위 내에서만 아동의 건강정보 열람이 가능하다고 판단 또한, 변호사일지라도 일반 위임장으로는 건강정보 제공을 요청할 수 없고 위임장상에 민감정보의 처리 및 이전에 관한 정보주체의 명시적인 동의가 있어야 건강정보 제공 요청이 가능하다고 봄 그러나 이 사안에서는 병원에 근무하는 의사가 변호사의 위임장에 특별한 규정이 없었음에도 아동의 건강기록을 제3자에게 법률상 근거 없이 제공한 것으로 밝혀짐 또한 병원의 환자기록 행정 직원도 권한 없이 해당 기록을 열람할 수 있었으며 누가 어떤 데이터를 보았는지 여부에 대한 로그 기록도 전혀 남아 있지 않았음 KVKK는 결과적으로 컨트롤러가 제8조의 개인정보 이전 요건을 갖추 지 못한 채 정보를 제3자에게 제공했으며, 결국 제12조의 개인정보 보안에 관한 기술적·관리적 조치를 이행하지 않은 것으로 결론 (조치 내용) KVKK는 컨트롤러인 보건부에 다음의 지시를 따를 것을 결정 보건부는 소속 직원이 준수할 수 있는 체계적이고 명확한 정책을 마련해야 하고, 개인정보보호와 관련한 교육을 제공하면서 해당 교육에서 직원의 개인정보 처리에 대한 허가 범위를 명확히 알려야 함 개인정보 보안을 보장하기 위한 기술적 조치로서 병원 자동화 시스템의 로그가 유지될 수 있도록 시스템을 업데이트하고 KVKK에 결과를 보고해야 함 병원의 모든 의사 및 환자 등록 담당자가 모든 환자 기록에 접근할 수 있는 현재 상황을 대신하여, 환자의 검사 및 치료에 종사하는 직원과 의사만 해당 정보를 열람할 수 있도록 권한 부여 범위를 명확하게 설정해야 함 병원 자동화 시스템에서 환자 기록을 인쇄하기 위한 특정 절차 설정 및 권한 있는 자를 지정해야 함 보건부는 컨트롤러로서 개인정보보호법 제8조 및 제12조를 위반한 것으로서, 제18조제3항에 따라 해당 병원에 근무하는 사건의 책임자를 징계 규정에 따라 필요한 조치를 취하고 그 결과를 KVKK에 보고해야 함 |
12)
https://www.kvkk.gov.tr/Icerik/7406/Summary-of-the-Board-Decision-on-Sharing-health-personal-data-with-thenon-custodial-parent-by-unauthorized-employees-in-the-hospital
https://blog.lexpera.com.tr/savunma-hakki-ve-kisisel-veri-gerilimi-avukatin-delilleri-kullanirken-kisisel-veri-ile-adil-yargilanma-hakki-arasindaki-imtihani/
https://www.mondaq.com/turkey/privacy-protection/1147342/ki351isel-verileri-koruma-kurumu-tarafindan-27122021-tarihinde-yayinlanan-karar-zetleri
4개인정보 국외이전 조항
▶ 개인정보보호법 제9조는 개인정보의 국외 이전에 관한 요건을 명시
개인정보는 기본적으로 정보주체의 명시적인 동의를 근거로 국외로 이전될 수 있음 (제1항)
또한, 개인정보가 동법 제5조제2항13) 및 제6조제3항14)에 따른 요건 중 하나를 충족하면서
개인정보가 이전될 제3국이 ▲적절한 보호를 제공하거나 ▲그렇지 않을 경우, 튀르키예
및 제3국의 컨트롤러가 서면으로 적절한 보호 제공을 약속하고 KVKK의 승인을 얻은 경우
정보주체의 명시적인 동의 없이 국외로 이전될 수 있음 (제2항)
13)
동법 제5조제2항에서는 정보주체의 명시적 동의 없이 개인정보를 처리할 수 있는 요건으로서 ▲법률에
명시적인 규정이 있는 경우 ▲신체장애로 인하여 동의를 표할 수 없거나 본인 또는 타인의 생명 보호 등을
위해 필요할 경우 ▲계약의 성립 또는 이행을 위해 필요한 경우 ▲컨트롤러가 법적 의무를 준수하기 위해
필요한 경우 ▲개인정보를 정보주체가 직접 공개한 경우 ▲개인정보 처리가 권리의 확립, 행사 또는 보호를
위해 필요한 경우 ▲컨트롤러의 정당한 이익을 위해 필요한 경우 등 7가지 경우를 열거
14)
특정 범주의 개인정보 처리 요건과 관련, 건강 및 성생활 이외의 특정 범주 개인정보는 법률이 정하는 경우에는 정보주체의 명시적인 동의 없이 처리될 수 있으며, 건강 및 성생활과 관련된 개인정보는 공중 보건, 예방의학, 의료진단, 치료 및 간호 서비스, 의료 서비스의 계획 및 관리, 자금 조달 목적의 경우에만 정보주체의 동의 없이 처리가 가능
▶ 개인정보보호법 제9조는 개인정보의 국외 이전에 관한 요건을 명시
개인정보는 기본적으로 정보주체의 명시적인 동의를 근거로 국외로 이전될 수 있음 (제1항)
또한, 개인정보가 동법 제5조제2항13) 및 제6조제3항14)에 따른 요건 중 하나를 충족하면서 개인정보가 이전될 제3국이 ▲적절한 보호를 제공하거나 ▲그렇지 않을 경우, 튀르키예 및 제3국의 컨트롤러가 서면으로 적절한 보호 제공을 약속하고 KVKK의 승인을 얻은 경우 정보주체의 명시적인 동의 없이 국외로 이전될 수 있음 (제2항)
13)
동법 제5조제2항에서는 정보주체의 명시적 동의 없이 개인정보를 처리할 수 있는 요건으로서 ▲법률에
명시적인 규정이 있는 경우 ▲신체장애로 인하여 동의를 표할 수 없거나 본인 또는 타인의 생명 보호 등을
위해 필요할 경우 ▲계약의 성립 또는 이행을 위해 필요한 경우 ▲컨트롤러가 법적 의무를 준수하기 위해
필요한 경우 ▲개인정보를 정보주체가 직접 공개한 경우 ▲개인정보 처리가 권리의 확립, 행사 또는 보호를
위해 필요한 경우 ▲컨트롤러의 정당한 이익을 위해 필요한 경우 등 7가지 경우를 열거
14)
특정 범주의 개인정보 처리 요건과 관련, 건강 및 성생활 이외의 특정 범주 개인정보는 법률이 정하는 경우에는 정보주체의 명시적인 동의 없이 처리될 수 있으며, 건강 및 성생활과 관련된 개인정보는 공중 보건, 예방의학, 의료진단, 치료 및 간호 서비스, 의료 서비스의 계획 및 관리, 자금 조달 목적의 경우에만 정보주체의 동의 없이 처리가 가능
5개인정보 법제 준수 지원 현황
개인정보 법제 준수 지원 현황
지침/가이드라인
개요
발행일
AI를 활용한 개인정보 처리 권장사항115)
AI를 활용하는 다양한 이해관계자를 위한 개인
정보 처리 관련 권장사항 제시
‘21.9.15.
생체정보 처리 시 고려사항16)
생체정보 처리에 있어 컨트롤러가 고려해야 할
사항 및 취해야 할 조치 등 제시
‘21.9.16.
15) https://kvkk.gov.tr/SharedFolderServer/CMSFiles/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf
16) https://dataprotection.ie/sites/default/files/uploads/2021-08/Redacting%20Documents%20and%20Records.pdf
▶ AI를 활용한 개인정보 처리 권장사항
동 지침은 KVKK가 인공지능 분야의 개발자, 제조업체, 서비스 제공업체 및 의사결정자를
위한 개인정보보호 관련 권장사항을 소개
기본적으로, 인공지능 애플리케이션을 개발하고 구현하는 자는 이해관계자의 기본권 및
자유를 존중하고 권리 침해를 발생시키지 않아야 하며, 인공지능 및 개인정보 수집 연구
시에는 법률 준수, 정확성, 비례성, 책임성, 투명성, 목적 제한 등 개인정보보호 원칙을
모두 준수해야 함
특히, 개발자, 제조업체 및 서비스 제공업체의 경우 인공지능 활용 시 다음의 구체적인
사항을 따를 것을 권장
설계 시 국내 및 국제 규정에 부합하는 개인정보보호 접근 방식을 준수하고, 기본적인
권리와 자유에 미칠 수 있는 부정적인 결과를 고려하여 적절한 위험 방지 및 완화
조치를 기반으로 신중한 접근 방식을 채택해야 함
또한, 개인정보를 활용하더라도 개인정보의 품질, 성격, 출처, 양, 범주 및 내용을 평가
하여 그 활용이 최소한으로 이루어져야 함
개발된 알고리즘 모델의 정확성 여부는 개발 이후에도 지속적으로 모니터링되어야 하
고, 해당 모델이 개인과 사회에 미칠 영향에 대해서는 신중하게 평가되어야 함
▶ 생체정보 처리 시 고려사항
동 지침은 생체 개인정보의 정의, 처리 방법, 처리 중 따라야 할 원칙, 취해야 할 조치 등
생체 개인정보 처리 시 고려해야 할 점 등을 제시
개인정보보호법에는 생체정보를 별도로 정의 내리지 않고 있지만 생체정보라 함은 정보
처리의 결과로 생리적, 물리적, 행동적 특성과 같은 개인의 특징이 드러나면서, 그 특징이
특정인을 식별하거나 신원을 확인하는 데 도움이 되는 개인정보를 의미
생체정보는 그 처리 과정에서 반드시 개인정보보호법 제4조에 명시된 개인정보 처리의
일반 원칙17)과 함께, 아래의 원칙이 더불어 준수되어야 함
▲생체정보 처리가 기본적 권리와 자유의 본질을 보장할 것 ▲처리 방법 및 처리
활동이 목적 달성에 적합하고 비례할 것 ▲정보주체가 동법 제10조에 따라 정보를
제공받을 것 ▲필요한 기간 동안만 생체정보를 보관하고, 필요가 소멸된 후에는 지체
없이 해당 정보를 파기할 것 ▲생체정보 처리 시 당사자의 명시적인 동의를 얻을 것
컨트롤러는 생체정보 처리와 관련하여 아래와 같은 기술적 및 관리적 조치를 취해야 함
생체정보는 암호화 방법을 사용하여 클라우드 시스템에만 저장되어야 하고, 암호화 시
보안상 적절한 암호화 방법을 사용하여 현재 기술에 따라 암호화해야 함
컨트롤러는 시스템에 대한 무단 접근 발생 시 ▲시스템 관리자 경고 ▲생체정보
삭제 혹은 관련 내용 보고 등과 같은 일련의 대응 조치를 구현해야 함
컨트롤러는 시스템에서 인증된 장비, 라이센스가 부여된 최신 소프트웨어를 사용해야 함
생체정보 이용에 대한 명시적 동의가 없거나 생체 인식 솔루션을 사용할 수 없는 사람을
위해서, 별도의 제한이나 추가 비용을 부과하지 않고 대체 시스템을 제공해야 함
생체 인식이 실패(예: 신원확인 실패, 보안구역 출입승인 실패 등)할 경우를 대비해
대응 방안을 수립해야 함
인가된 사람의 생체정보 시스템에 대한 접근 메커니즘을 수립하고 관리하며 책임자를
식별하고 문서화해야 함
17) 동법 제4조에서는 개인정보 처리의 일반원칙으로서 적법성 및 공정성, 정확성 및 최신성, 목적의 제한성, 보관
기간 최소성 등을 규정
| 지침/가이드라인 | 개요 | 발행일 |
|---|---|---|
| AI를 활용한 개인정보 처리 권장사항115) |
AI를 활용하는 다양한 이해관계자를 위한 개인 정보 처리 관련 권장사항 제시 |
‘21.9.15. |
| 생체정보 처리 시 고려사항16) |
생체정보 처리에 있어 컨트롤러가 고려해야 할 사항 및 취해야 할 조치 등 제시 |
‘21.9.16. |
15) https://kvkk.gov.tr/SharedFolderServer/CMSFiles/25a1162f-0e61-4a43-98d0-3e7d057ac31a.pdf
16) https://dataprotection.ie/sites/default/files/uploads/2021-08/Redacting%20Documents%20and%20Records.pdf
▶ AI를 활용한 개인정보 처리 권장사항
동 지침은 KVKK가 인공지능 분야의 개발자, 제조업체, 서비스 제공업체 및 의사결정자를 위한 개인정보보호 관련 권장사항을 소개
기본적으로, 인공지능 애플리케이션을 개발하고 구현하는 자는 이해관계자의 기본권 및 자유를 존중하고 권리 침해를 발생시키지 않아야 하며, 인공지능 및 개인정보 수집 연구 시에는 법률 준수, 정확성, 비례성, 책임성, 투명성, 목적 제한 등 개인정보보호 원칙을 모두 준수해야 함
특히, 개발자, 제조업체 및 서비스 제공업체의 경우 인공지능 활용 시 다음의 구체적인 사항을 따를 것을 권장
설계 시 국내 및 국제 규정에 부합하는 개인정보보호 접근 방식을 준수하고, 기본적인 권리와 자유에 미칠 수 있는 부정적인 결과를 고려하여 적절한 위험 방지 및 완화 조치를 기반으로 신중한 접근 방식을 채택해야 함
또한, 개인정보를 활용하더라도 개인정보의 품질, 성격, 출처, 양, 범주 및 내용을 평가 하여 그 활용이 최소한으로 이루어져야 함
개발된 알고리즘 모델의 정확성 여부는 개발 이후에도 지속적으로 모니터링되어야 하 고, 해당 모델이 개인과 사회에 미칠 영향에 대해서는 신중하게 평가되어야 함
▶ 생체정보 처리 시 고려사항
동 지침은 생체 개인정보의 정의, 처리 방법, 처리 중 따라야 할 원칙, 취해야 할 조치 등 생체 개인정보 처리 시 고려해야 할 점 등을 제시
개인정보보호법에는 생체정보를 별도로 정의 내리지 않고 있지만 생체정보라 함은 정보 처리의 결과로 생리적, 물리적, 행동적 특성과 같은 개인의 특징이 드러나면서, 그 특징이 특정인을 식별하거나 신원을 확인하는 데 도움이 되는 개인정보를 의미
생체정보는 그 처리 과정에서 반드시 개인정보보호법 제4조에 명시된 개인정보 처리의 일반 원칙17)과 함께, 아래의 원칙이 더불어 준수되어야 함
▲생체정보 처리가 기본적 권리와 자유의 본질을 보장할 것 ▲처리 방법 및 처리 활동이 목적 달성에 적합하고 비례할 것 ▲정보주체가 동법 제10조에 따라 정보를 제공받을 것 ▲필요한 기간 동안만 생체정보를 보관하고, 필요가 소멸된 후에는 지체 없이 해당 정보를 파기할 것 ▲생체정보 처리 시 당사자의 명시적인 동의를 얻을 것
컨트롤러는 생체정보 처리와 관련하여 아래와 같은 기술적 및 관리적 조치를 취해야 함
생체정보는 암호화 방법을 사용하여 클라우드 시스템에만 저장되어야 하고, 암호화 시 보안상 적절한 암호화 방법을 사용하여 현재 기술에 따라 암호화해야 함
컨트롤러는 시스템에 대한 무단 접근 발생 시 ▲시스템 관리자 경고 ▲생체정보 삭제 혹은 관련 내용 보고 등과 같은 일련의 대응 조치를 구현해야 함
컨트롤러는 시스템에서 인증된 장비, 라이센스가 부여된 최신 소프트웨어를 사용해야 함
생체정보 이용에 대한 명시적 동의가 없거나 생체 인식 솔루션을 사용할 수 없는 사람을 위해서, 별도의 제한이나 추가 비용을 부과하지 않고 대체 시스템을 제공해야 함
생체 인식이 실패(예: 신원확인 실패, 보안구역 출입승인 실패 등)할 경우를 대비해 대응 방안을 수립해야 함
인가된 사람의 생체정보 시스템에 대한 접근 메커니즘을 수립하고 관리하며 책임자를 식별하고 문서화해야 함
17) 동법 제4조에서는 개인정보 처리의 일반원칙으로서 적법성 및 공정성, 정확성 및 최신성, 목적의 제한성, 보관 기간 최소성 등을 규정
