개인정보 보호법 시행령 [2025. 9. 23., 일부개정]

[시행 2025. 10. 2.] [대통령령 제35780호, 2025. 9. 23., 일부개정]

【제정·개정이유】

[일부개정]

◇ 개정이유

  국내대리인 제도를 내실 있게 운영하기 위하여 국내에 주소 또는 영업소가 없는 개인정보처리자가 국내대리인을 지정하는 경우, 해당 개인정보처리자가 설립한 국내 법인이나 해당 개인정보처리자가 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내 법인이 있는 경우에는 그 법인 중에서 국내대리인을 지정하도록 하고 이를 위반하여 국내대리인을 지정하는 경우 2천만원 이하의 과태료를 부과하는 등의 내용으로 「개인정보 보호법」이 개정(법률 제20897호, 2025. 4. 1. 공포, 10. 2. 시행)됨에 따라, 국내에 주소 또는 영업소가 없는 개인정보처리자가 지정해야 하는 국내대리인의 기준 및 과태료의 부과기준 등 법률에서 위임된 사항과 그 시행에 필요한 사항을 정하는 한편,

  지방자치단체 출자ㆍ출연 기관의 개인정보처리의 안전성을 높이기 위해 이들 기관을 개인정보처리자인 공공기관에 추가하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완하려는 것임.

◇ 주요내용

  가. 법 적용 대상 공공기관의 범위 및 개인정보 보호수준 평가 대상 기관 확대(제2조제3호의2 신설, 제13조의2제1항제3호)

    1) 지방자치단체 출자ㆍ출연 기관이 「개인정보 보호법」에 따라 개인정보를 안전하게 처리하도록 하기 위하여, 「개인정보 보호법」의 적용 대상이 되는 공공기관에 지방자치단체 출자ㆍ출연 기관을 추가함.

    2) 개인정보 보호 정책ㆍ업무의 수행 및 「개인정보 보호법」에 따른 의무의 준수 여부 등의 평가 대상 기관으로 지방자치단체 출자ㆍ출연 기관을 추가할 수 있도록 함.

  나. 국내에 주소 또는 영업소가 없는 개인정보처리자가 지정해야 하는 국내대리인의 기준 및 국내대리인에 대한 관리ㆍ감독 의무의 내용(제32조의3제3항 및 제4항 신설)

    1) 국내에 주소 또는 영업소가 없는 개인정보처리자가 국내대리인으로 지정해야 하는 국내법인으로서 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내 법인을 해당 개인정보처리자가 대표이사를 임면하거나 임원의 100분의 50 이상을 선임하거나 선임할 수 있는 법인과 발행주식총수 또는 출자총액 100분의 30 이상을 출자한 법인으로 정함.

    2) 국내에 주소 또는 영업소가 없는 개인정보처리자의 국내대리인에 대한 관리ㆍ감독 의무의 내용을 국내대리인에 대한 연 1회 이상의 교육 실시 및 국내대리인의 업무수행 계획 수립 여부 등에 대한 점검으로 정함.

  다. 과태료 부과기준(별표 2 제2호허목부터 노목까지 신설)

    1) 국내에 주소 또는 영업소가 없는 개인정보처리자가 해당 개인정보처리자가 설립한 국내 법인이나 지배적인 영향력을 행사하는 국내 법인 중에서 국내대리인을 지정하지 않았거나 국내대리인에 대한 관리ㆍ감독 의무를 이행하지 않은 경우 각각 2,000만원의 과태료를 부과하도록 함.

    2) 국내에 주소 또는 영업소가 없는 개인정보처리자가 국내대리인의 성명ㆍ주소ㆍ전화번호 및 전자우편 주소를 개인정보 처리방침에 포함하지 않은 경우 1차 위반 시 200만원, 2차 위반 시 400만원, 3차 이상 위반 시 800만원의 과태료를 부과하도록 함.

<법제처 제공>

【제정·개정문】

국무회의의 심의를 거친 개인정보 보호법 시행령 일부개정령을 이에 공포한다.

          대통령        이재명 (인)

    2025년 9월 23일

          국무총리        김민석

          국무위원 행정안전부 장관(개인정보 보호위원회 소관)        윤호중

⊙대통령령 제35780호

개인정보 보호법 시행령 일부개정령

개인정보 보호법 시행령 일부를 다음과 같이 개정한다.

제2조에 제3호의2를 다음과 같이 신설한다.

  3의2. 「지방자치단체 출자ㆍ출연 기관의 운영에 관한 법률」 제5조에 따라 지정ㆍ고시된 출자기관 또는 출연기관

제13조의2제1항제3호 중 "제2조제4호"를 "제2조제3호의2, 제4호"로 한다.

제32조의3의 제목 "(국내대리인 지정 대상자의 범위)"를 "(국내대리인 지정 대상자의 범위 등)"으로 하고, 같은 조에 제3항 및 제4항을 각각 다음과 같이 신설한다.

  ③ 법 제31조의2제2항제2호에서 "대통령령으로 정하는 법인"이란 다음 각 호의 어느 하나에 해당하는 법인을 말한다.

  1. 해당 개인정보처리자가 대표이사를 임면하거나 임원의 100분의 50 이상을 선임하거나 선임할 수 있는 법인

  2. 해당 개인정보처리자가 발행주식총수 또는 출자총액의 100분의 30 이상을 출자한 법인

  ④ 법 제31조의2제1항에 따라 국내대리인을 지정한 개인정보처리자는 같은 조 제3항에 따라 국내대리인이 업무를 충실히 수행하도록 다음 각 호에 따라 관리ㆍ감독해야 한다.

  1. 국내대리인에 대하여 연 1회 이상 국내대리인의 업무에 대한 교육 실시

  2. 다음 각 목의 사항에 대한 점검

    가. 국내대리인이 업무수행에 대한 계획을 수립하였는지 여부

    나. 국내대리인이 업무수행에 대한 계획을 이행하였는지 여부

    다. 나목에 따른 계획 이행 여부 점검 결과 개선이 필요한 사항을 개선하였는지 여부

제62조제3항제6호부터 제11호까지를 각각 제9호부터 제14호까지로 하고, 같은 항 제4호 및 제5호를 각각 제5호 및 제6호로 하며, 같은 항에 제4호, 제7호 및 제8호를 각각 다음과 같이 신설한다.

  4. 법 제11조의2제1항에 따른 개인정보 보호수준 평가 및 같은 조 제2항에 따른 평가 자료의 제출 요청

  7. 법 제13조제3호에 따른 개인정보 보호 인증마크의 시행 지원

  8. 법 제13조제4호에 따른 개인정보처리자의 자율적인 규약의 시행 지원

별표 2 제2호허목부터 구목까지를 각각 도목부터 루목까지로 하고, 같은 호에 허목부터 노목까지를 각각 다음과 같이 신설한다.

          부칙

제1조(시행일) 이 영은 2025년 10월 2일부터 시행한다.

제2조(개인정보파일의 등록에 관한 특례) 제2조제3호의2의 개정규정에 따라 새로 법의 적용대상이 되는 공공기관의 장은 이 영 시행 당시 개인정보파일을 운용하고 있는 경우 제34조제1항에도 불구하고 이 영 시행일부터 60일 이내에 해당 개인정보파일을 법 제32조에 따라 보호위원회에 등록해야 한다.

제3조(개인정보 영향평가에 관한 특례) 제2조제3호의2의 개정규정에 따라 새로 법의 적용대상이 되는 공공기관의 장은 이 영 시행 당시 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 제35조 각 호의 어느 하나에 해당하는 개인정보파일을 운용하고 있는 경우 영향평가를 실시하고 그 결과를 이 영 시행일부터 2년 이내에 법 제33조에 따라 보호위원회에 제출해야 한다.