※ 다만, 다음의 사항에 대하여 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 합니다(「개인정보 보호법」 제17조제1항제1호부터 제4호까지 및 「개인정보 보호법 시행령」 제15조의2제2항 단서).
√ 개인정보를 제공받는 자
√ 개인정보를 제공받는 자의 개인정보 이용 목적
√ 제공하는 개인정보의 항목
√ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
또한, 위와 같은 개인정보처리자는 위와 같이 개인정보의 수집 출처 등을 정보주체에게 알린 경우 다음의 사항을 해당 개인정보를 파기할 때까지 보관·관리해야 합니다(「개인정보 보호법 시행령」 제15조의2제3항).
정보주체에게 알린 사실
알린 시기
알린 방법
이를 위반하여 정보주체에게 위의 각 사실을 알리지 않은 자는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제3호).
정보주체에게 통지할 필요가 없는 경우
다음의 어느 하나에 해당하는 경우에는 정보주체에게 위의 사실을 알릴 필요가 없습니다. 다만, 「개인정보 보호법」에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한합니다(「개인정보 보호법」 제20조제4항).
고지를 요구하는 대상이 되는 개인정보가 다음의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
√ 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
√ 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
√ 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
√ 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
√ 다른 법령에 따라 비밀로 분류된 개인정보파일
고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
개인정보처리자는 개인정보를 수집·이용 범위를 초과하여 이용하거나 제3자에 대한 제공범위를 초과하여 제3자에게 제공해서는 안 됩니다(「개인정보 보호법」 제18조제1항).
이를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제2호).
개인정보의 목적 외 이용 및 제3자에 대한 제공이 허용되는 경우
다음의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공(이하 “목적 외 이용 등”이라 함)할 수 있습니다. 다만, 아래 5.부터 9.까지의 경우는 공공기관의 경우로 한정합니다(「개인정보 보호법」 제18조제2항).
1. 정보주체로부터 별도의 동의를 받은 경우
개인정보처리자가 정보주체로부터 동의를 받을 때에는 다음의 사항을 정보주체에게 알려야 합니다. 다음의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 합니다(「개인정보 보호법」 제18조제3항).
√ 개인정보를 제공받는 자
√ 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말함)
√ 이용 또는 제공하는 개인정보의 항목
√ 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말함)
√ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제1호).
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 미리 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
이를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제2호).
목적 외 이용 등에 관한 사항의 공개
공공기관은 위의 2.부터 6.까지, 8. 및 9.에 따라 개인정보를 목적 외 이용 등을 하는 경우에는 개인정보를 목적 외 이용 등을 한 날부터 30일 이내에 다음의 사항을 관보 또는 인터넷 홈페이지에 게재해야 합니다. 이 경우 인터넷 홈페이지에 게재할 때에는 10일 이상 계속 게재하되, 게재를 시작하는 날은 목적 외 이용 등을 한 날부터 30일 이내여야 합니다(「개인정보 보호법」 제18조제4항 및 「개인정보 보호법 시행규칙」 제2조).
목적 외 이용 등을 한 날짜
목적 외 이용 등의 법적 근거
목적 외 이용 등의 목적
목적 외 이용 등을 한 개인정보의 항목
개인정보처리자는 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있는 사유 중 어느 하나에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청해야 합니다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 해야 합니다(「개인정보 보호법」 제18조제5항).
개인정보를 제공받은 자의 이용·제공 제한
개인정보처리자로부터 개인정보를 제공받은 자는 다음의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공해서는 안 됩니다(「개인정보 보호법」 제19조).
정보주체로부터 별도의 동의를 받은 경우
다른 법률에 특별한 규정이 있는 경우
이를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제2호).
정보주체 이외로부터 수집한 개인정보 처리에 대한 통지
개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음의 모든 사실을 정보주체에게 알려야 합니다(「개인정보 보호법」 제20조제1항).
개인정보의 수집 출처
개인정보의 처리 목적
개인정보 처리의 정지를 요구할 권리가 있다는 사실
이를 위반하여 정보주체에게 위의 각 사실을 알리지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제3호).
개인정보처리자는 개인정보의 처리에 대하여 정보주체(14세 미만 아동의 정보수집의 경우에는 그 법정대리인을 포함함. 이하 같음)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 합니다(「개인정보 보호법」 제22조제1항).
이 경우 개인정보처리자는 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 개인정보의 수집·이용 목적, 수집·이용하려는 개인정보의 항목 등 중요한 내용을 명확히 표시하여 알아보기 쉽게 해야 합니다(「개인정보 보호법」 제22조제2항).
개인정보처리자는 개인정보를 수집·이용 또는 제공하거나 민감정보나 고유식별정보를 처리함에 있어서 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분해야 합니다(「개인정보 보호법」 제22조제3항 전단).
이 경우 정보주체의 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담합니다(「개인정보 보호법」 제22조제3항 후단).
개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 합니다(「개인정보 보호법」 제22조제4항).
정보주체의 동의를 얻는 방법에 관한 위의 사항을 위반하여 동의를 얻은 자는 1천만원 이하의 과태료를 부과받습니니다(「개인정보 보호법」 제75조제3항제2호).
개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분한 것 중 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 않거나, 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리하려는 경우 및 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하려는 경우에 정보주체가 이에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부해서는 안 됩니다(「개인정보 보호법」 제22조제5항).
법정대리인의 동의
개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 정보주체의 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 합니다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있습니다(「개인정보 보호법」 제22조제6항).
※ 아동의 법정대리인은 대부분의 경우 친권자인 부모입니다. 다만 부모가 사망하는 등의 사유로 친권자가 없는 경우에는 미성년후견인이 법정대리인이 됩니다(「민법」 제928조). 후견인은 친권자인 부모의 유언에 따른 지정이 없는 경우 가정법원의 직권으로 또는 미성년자, 친족, 이해관계인, 검사, 지방자치단체의 장의 청구에 따라 미성년후견인을 선임합니다(「민법」 제932조).
이를 위반하여 법정대리인의 동의를 받지 않은 자는 5천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제1항제2호).
개인정보의 수집 제한 
필요 최소한의 정보 수집
개인정보처리자는 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 합니다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담합니다(
'개인정보처리자'란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(