.png)
|
개정안에 따르면 CPO 지정·변경·해제 시 이사회 의결 및 개인정보위 신고 의무는 현행 전문 CPO 지정 의무 대상과 동일하게 적용된다. 대상은 연 매출액 또는 수입이 1800억원 이상이면서 5만명 이상의 민감정보·고유식별정보 또는 100만명 이상의 개인정보를 처리하는 사업자, 재학생 2만명 이상 대학, 상급종합병원, 공공시스템운영기관 등이다. 해당 기관은 CPO 관련 의무가 발생한 날부터 1개월 이내에 개인정보위에 신고해야 하며, 부득이한 경우 1개월 연장이 가능하다.
개인정보 보호 인증(ISMS-P) 의무 대상도 구체화했다. 공공시스템운영기관 중 개인정보위가 고시하는 기관, 이동통신사업자, 본인확인기관과 함께 전년도 매출 1조원 이상, 정보통신서비스 부문 매출 100억원 이상, 국내 정보주체 수가 최근 3개월 기준 일평균 3000만명 이상인 사업자는 2028년 말까지 ISMS-P 인증을 받아야 한다.
개인정보 유출 가능성 통지 제도도 신설된다. 개인정보처리시스템에 대한 불법 접근 사실을 인지했거나 개인정보가 불법 거래·유통되고 있음을 알게 된 경우 정보주체에게 72시간 이내 통지해야 한다. 기존 분실·도난·유출뿐 아니라 개인정보 위조·변조·훼손 역시 통지·신고 대상에 포함된다.
과태료 부과 기준도 손질했다. 경미한 위반행위에 대해 과태료를 면제하고 경고 처분을 한 경우에도 동일 위반행위가 재발하면 이를 위반 이력으로 산정해 가중 처분에 반영하도록 했다. 위반 횟수별 과태료 부과 금액 체계도 법제처 지침에 맞춰 정비했다.
이번 시행령 개정안에 대하여 의견이 있는 기관ㆍ단체 또는 개인은 7월 13일까지 국민참여입법센터, 개인정보위 전자우편 및 일반우편 등으로 의견을 제출할 수 있다. 개인정보위는 입법예고 기간 동안 각계 의견을 수렴해 시행령 개정안을 확정할 예정이다.
