“개인정보 영향평가”란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음의 어느 하나에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항을 도출하기 위한 평가(이하 “영향평가”라 함)를 말합니다(「개인정보 보호법」 제33조제1항 전단 및 「개인정보 보호법 시행령」 제35조).
구축·운용하거나 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 「개인정보보호법」 제23조에 따른 민감정보(이하 "민감정보"라 함) 또는 고유식별정보의 처리가 수반되는 개인정보파일
구축·운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
구축·운용하거나 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일(이 경우 영향평가 대상은 변경된 부분으로 한정함)
공공기관의 장은 개인정보 영향평가의 대상에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 해야 합니다(「개인정보 보호법」 제33조제1항 전단).
※ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함함)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따릅니다(「개인정보 보호법」 제33조제7항).
이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 '평가기관'이라 함) 중에서 의뢰하여야 합니다(「개인정보 보호법」 제33조제1항 후단).
영향평가를 의뢰받은 평가기관은 그 평가기준에 따라 개인정보파일의 운용함에 따른 개인정보 침해의 위험요인을 분석·평가한 후 다음의 사항이 포함된 평가 결과를 영향평가서로 작성하여 해당 공공기관의 장에게 보내야 합니다.(「개인정보 보호법」 제33조제1항 및 「개인정보 보호법 시행령」 제38조제2항).
1. 개인정보파일 운용과 관련된 사업의 개요 및 개인정보파일 운용의 목적
2. 영향평가 대상 개인정보파일의 개요
3. 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석·평가 및 개선이 필요한 사항
4. 영향평가 수행 인력 및 비용
공공기관의 장은 개인정보 영향평가의 대상인 개인정보파일을 구축·운용 또는 변경하기 전에 평가기관으로터 받은 영향평가서를 행정안전부장관에게 제출하여야 합니다(「개인정보 보호법 시행령」 제38조제2항).
※ 영향평가서에 위 3.에 따른 개선 필요 사항이 포함된 경우에는 그에 대한 조치 내용을 포함하여 제출해야 합니다(「개인정보 보호법 시행령」 제38조제2항).
공공기관의 장은 영향평가를 한 개인정보파일을 등록할 때에는 영향평가 결과를 함께 첨부해야 합니다(「개인정보 보호법」 제33조제4항).