BeatMK

제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ㆍ감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.

⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

제32조(개인정보 보호책임자의 업무 및 지정요건 등) ① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다.

1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행

2. 개인정보 보호 관련 자료의 관리

3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.  <개정 2016. 7. 22.>

1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원

나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원

다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원

라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장

마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원

바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원

사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람

아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람

가. 사업주 또는 대표자

나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 다만, 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다.

④ 보호위원회는 개인정보 보호책임자가 법 제31조제2항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설ㆍ운영하는 등 지원을 할 수 있다.  

제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) ① 신용정보회사등은 신용정보의 수집ㆍ처리ㆍ이용 및 보호 등에 대하여 금융위원회가 정하는 신용정보 관리기준을 준수하여야 한다.  <개정 2015. 3. 11.>

② 신용정보회사등은 다음 각 호의 구분에 따라 개인신용정보의 처리에 대한 기록을 3년간 보존하여야 한다.  <개정 2020. 2. 4.>

1. 개인신용정보를 수집ㆍ이용한 경우

가. 수집ㆍ이용한 날짜

나. 수집ㆍ이용한 정보의 항목

다. 수집ㆍ이용한 사유와 근거

2. 개인신용정보를 제공하거나 제공받은 경우

가. 제공하거나 제공받은 날짜

나. 제공하거나 제공받은 정보의 항목

다. 제공하거나 제공받은 사유와 근거

3. 개인신용정보를 폐기한 경우

가. 폐기한 날짜

나. 폐기한 정보의 항목

다. 폐기한 사유와 근거

4. 그 밖에 대통령령으로 정하는 사항

③ 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공ㆍ이용자는 제4항에 따른 업무를 하는 신용정보관리ㆍ보호인을 1명 이상 지정하여야 한다. 다만, 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 자는 신용정보관리ㆍ보호인을 임원(신용정보의 관리ㆍ보호 등을 총괄하는 지위에 있는 사람으로서 대통령령으로 정하는 사람을 포함한다)으로 하여야 한다.

④ 제3항에 따른 신용정보관리ㆍ보호인은 다음 각 호의 업무를 수행한다.

1. 개인신용정보의 경우에는 다음 각 목의 업무

가. 「개인정보 보호법」 제31조제2항제1호부터 제5호까지의 업무

나. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검

다. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무

2. 기업신용정보의 경우 다음 각 목의 업무

가. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 계획의 수립 및 시행

나. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선

다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제

라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영

마. 임직원 및 전속 모집인 등에 대한 신용정보보호 교육계획의 수립 및 시행

바. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검

사. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무

⑤ 신용정보관리ㆍ보호인의 업무수행에 관하여는 「개인정보 보호법」 제31조제3항 및 제5항의 규정을 준용한다. 

⑥ 대통령령으로 정하는 신용정보회사등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를 대통령령으로 정하는 절차와 방법에 따라 정기적으로 점검하고, 그 결과를 금융위원회에 제출하여야 한다.

⑦ 제3항에 따른 신용정보관리ㆍ보호인의 자격요건과 그 밖에 지정에 필요한 사항, 제6항에 따른 제출 방법에 대해서는 대통령령으로 정한다.

⑧ 「금융지주회사법」 제48조의2제6항에 따라 선임된 고객정보관리인이 제6항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리ㆍ보호인으로 본다.

제17조(신용정보관리ㆍ보호인의 지정 등) ① 법 제20조제3항 본문에서 “대통령령으로 정하는 신용정보제공ㆍ이용자”란 제5조제2항제1호부터 제21호까지 및 제21조제2항제1호부터 제21호까지의 규정에 해당하는 자를 말한다. 

② 법 제20조제3항 단서에서 “총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. 

1. 종합신용정보집중기관

2. 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 및 본인신용정보관리회사

3. 신용조사회사, 채권추심회사 및 제1항에서 정하는 자로서 직전 사업연도 말 기준으로 총자산이 2조원 이상이고 상시 종업원 수가 300명 이상인 자. 이 경우 상시 종업원 수의 산정방식은 금융위원회가 정하여 고시한다.

③ 법 제20조제3항 본문에 따라 지정하는 신용정보관리ㆍ보호인은 다음 각 호의 어느 하나에 해당하는 사람으로 하여야 한다.

1. 사내이사

2. 집행임원(「상법」 제408조의2에 따라 집행임원을 둔 경우로 한정한다)

3. 「상법」제401조의2제1항제3호에 해당하는 자로서 신용정보의 제공ㆍ활용ㆍ보호 및 관리 등에 관한 업무집행 권한이 있는 사람

4. 그 밖에 신용정보의 제공ㆍ활용ㆍ보호 및 관리 등을 총괄하는 위치에 있는 직원

④ 법 제20조제3항 단서에서 “대통령령으로 정하는 사람”이란 제3항제2호 또는 제3호에 해당하는 사람을 말한다.

⑤ 제3항 및 제4항에도 불구하고 신용정보회사등은 다른 법령에 따라 준법감시인을 두는 경우에는 그를 신용정보관리ㆍ보호인으로 지정할 수 있다. 다만, 법 제20조제3항 단서에 해당하는 경우 신용정보관리ㆍ보호인으로 지정될 수 있는 준법감시인은 제3항제1호부터 제3호까지의 규정의 어느 하나에 해당하는 사람으로 하여야 한다.

⑥ 제5항에 따라 준법감시인을 신용정보관리ㆍ보호인으로 지정한 경우에는 법 제20조제4항 각 호의 업무에 관한 사항을 준법감시인 선임의 근거가 된 법령에 따른 내부통제기준에 반영하여야 한다.

⑦ 법 제20조제6항에서 “대통령령으로 정하는 신용정보회사등”이란 다음 각 호의 기관을 말한다. 

1. 신용정보회사, 본인신용정보관리회사, 채권추심회사 및 신용정보집중기관

2. 제5조제2항제1호부터 제20호까지의 규정에 따른 금융기관(제14호, 제17호 및 제19호에 따른 금융기관은 제외한다)

3. 제21조제2항제4호, 제5호, 제8호, 제16호, 제18호 및 제19호(직전 사업연도 말 기준으로 총 자산이 100억원을 초과하는 기관에 한정한다)의 기관

4. 그 밖에 금융위원회가 정하여 고시하는 기관

⑧ 법 제20조제6항에서 “대통령령으로 정하는 절차와 방법”이란 신용정보관리ㆍ보호인이 법 제20조제4항제1호 각 목에 따른 업무에 대하여 연 1회 이상 점검을 실시한 후, 그 결과를 대표자 및 이사회에 보고하고 금융위원회가 정하여 고시하는 기준과 서식에 따라 금융위원회에 제출하는 것을 말한다.