지난 9월 15일 개정된 개인정보보호법 시행으로 정보통신서비스 제공자와 오프라인 개인정보처리자에 대한 규제가 일원화 되었다. 이에 따라 개인정보보호법 위반시 대응절차를 숙지해야 할 필요성이 대두됐다.   

바뀌기 전의 개인정보보호법은 정보통신서비스 제공자에 관한 특례규정을 두고 개인정보 유출의 문제가 발생했을 때 거쳐야 하는 일련의 절차를 규정했다.

그런데 개정된 개인정보보호법은 정보통신서비스 제공자에 대한 특례규정을 일반규정으로 바꾸었다. 이에 오프라인 개인정보처리자도 개인정보가 유출되었을 때의 대응절차를 알아야 할 필요가 생긴 것이다.

주요 내용은 다음과 같다.

모든 개인정보처리자는 개인정보의 분실·도난·유출사실을 안 때로부터 24시간 이내에 해당 이용자에게 이를 지체없이 알려야 한다. 그리고 개인정보보호위원회 또는 개인정보침해 신고센터 등에 이 사실을 신고해야 한다. 

또 대통령령에서 정한 기준에 해당하는 개인정보처리자는 수집한 개인정보의 이용·제공내역이나 이용·제공내역을 확인할 수 있는 정보시스템 접속방법을 정보주체에게 주기적으로 통지해야 한다.

개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려해 대통령령에서 정한 기준에 해당되는 자는 손해배상책임의 이행을 위해 보험 또는 공제에 가입해야 한다. 준비금 적립 등의 조치도 취해야 한다.

아울러 국내에 주소 또는 영업소가 없는 개인정보처리자는 매출액, 개인정보의 보유 규모 등을 고려해 국내대리인을 지정해야 한다.

참고로 이번에 바뀐 개인정보보호법은 과징금 부과 규정을 정비하면서 과징금 상한을 개인정보처리자 '전체 매출액의 100분의 3'으로 상향시켰다. 

이전까지는 위반행위의 심각성에 비례해 과징금이 부과되도록 하기 위해 과징금 산정기준을 ‘전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액’으로 규정했다.

이 경우 처분대상자인 개인정보처리자가 ‘위반행위와 관련이 없는 매출액’을 입증해야 하는 어려움이 존재했다.