개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 합니다(「개인정보 보호법」 제21조제1항 본문).
이를 위반하여 개인정보를 파기하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제4호).
※ “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함함)를 말합니다(「개인정보 보호법」 제2조제1호).
1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
※ "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다((「개인정보 보호법」 제2조제1호의2).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다(「개인정보 보호법」 제21조제2항).
개인정보의 파기는 다음의 구분에 따른 방법으로 해야 합니다(「개인정보 보호법 시행령」 제16조제1항 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시 제2023-6호, 2023. 9. 22. 발령·시행) 제13조제1항).
전자적 파일 형태인 경우: 전용 소자장비 이용, 데이터가 복원되지 않는 초기화 또는 덮어쓰기 등 복원이 불가능한 방법으로 영구 삭제(다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보로 처리하여 복원이 불가능하도록 조치)
전자적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각(완전 파기가 어려울 경우 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제)