반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례가 도입됐다. 반복적·중대한 위반행위란 ▲ 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 ▲ 고의 또는 중대한 과실로 1천만명 이상 대규모 피해를 초래한 경우 ▲ 시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등을 말한다
'유출 가능성 통지제'를 도입해 개인정보 처리자가 유출 등의 가능성이 있음을 알게 됐을 때 지체 없이 정보주체에게 해당 사실을 통지하도록 의무화했다.
개인정보 분실·도난·유출뿐만 아니라 위조·변조·훼손도 '유출 등 사고'의 범위에 포함해 통지·신고 대상이 되도록 했다. 이와 함께 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다.
사업주나 대표자(CEO), 개인정보보호책임자(CPO)의 책임도 강화된다. 이를 위해 CEO에 개인정보 처리와 보호의 최종책임자로서 관리·감독 의무를 명확히 부여했다.
공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다.
이를 통해 해당 기업과 기관이 개인정보 보호 수준을 스스로 강화하도록 하고, 실효성 있는 개인정보 보호 관리체계를 구축하고자 했다고 개인정보보호위는 설명했다. ISMS-P 인증 의무화 대상 범위는 개인정보 보호법 시행령 개정 과정에서 구체화할 예정이다.
개정 법률은 9월 11일부터 시행된다. 다만 ISMS-P 인증 의무화 규정은 관련 예산 확보 등에 드는 기간을 고려해 2027년 7월 1일부터 시행될 예정이다.
https://n.news.naver.com/mnews/article/001/0015947273
