제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.2.4, 2023.3.14>

   ② 보호위원회는 대통령령으로 정하는 인력ㆍ설비 및 그 밖에 필요한 요건을 갖춘 자를 영향평가를 수행하는 기관(이하 "평가기관"이라 한다)으로 지정할 수 있으며, 공공기관의 장은 영향평가를 평가기관에 의뢰하여야 한다. <신설 2023.3.14>

   ③ 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다. <개정 2023.3.14>

1. 처리하는 개인정보의 수

2. 개인정보의 제3자 제공 여부

3. 정보주체의 권리를 해할 가능성 및 그 위험 정도

4. 그 밖에 대통령령으로 정한 사항

   ④ 보호위원회는 제1항에 따라 제출받은 영향평가 결과에 대하여 의견을 제시할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.2.4, 2023.3.14>

   ⑤ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다. <개정 2023.3.14>

   ⑥ 보호위원회는 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.2.4, 2023.3.14>

   ⑦ 보호위원회는 제2항에 따라 지정된 평가기관이 다음 각 호의 어느 하나에 해당하는 경우에는 평가기관의 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우에는 평가기관의 지정을 취소하여야 한다. <신설 2023.3.14>

1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우

2. 지정된 평가기관 스스로 지정취소를 원하거나 폐업한 경우

3. 제2항에 따른 지정요건을 충족하지 못하게 된 경우

4. 고의 또는 중대한 과실로 영향평가업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우

5. 그 밖에 대통령령으로 정하는 사유에 해당하는 경우

   ⑧ 보호위원회는 제7항에 따라 지정을 취소하는 경우에는 「행정절차법」에 따른 청문을 실시하여야 한다. <신설 2023.3.14>

   ⑨ 제1항에 따른 영향평가의 기준ㆍ방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다. <개정 2023.3.14>

   ⑩ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다. <개정 2023.3.14>

   ⑪ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다. <개정 2023.3.14>

제34조(개인정보 유출 등의 통지ㆍ신고) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 "유출등"이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. <개정 2023.3.14>

1. 유출등이 된 개인정보의 항목

2. 유출등이 된 시점과 그 경위

3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

   ② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. <개정 2023.3.14>

   ③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.2.4, 2023.3.14>

   ④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다. <개정 2023.3.14>

  [제목개정 2023.3.14]

제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.

   ② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.2.4>

   ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.

   ④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.

1. 법률에 따라 열람이 금지되거나 제한되는 경우

2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

가. 조세의 부과ㆍ징수 또는 환급에 관한 업무

나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무

다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무

라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

   ⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.

제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

   ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

   ③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

   ④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.

   ⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.

   ⑥ 제1항ㆍ제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. <개정 2023.3.14>

   ② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. <개정 2023.3.14>

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

   ③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. 다만, 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 아니할 수 있다. <신설 2023.3.14>

   ④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. <개정 2023.3.14>

   ⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. <개정 2023.3.14>

   ⑥ 제1항부터 제5항까지의 규정에 따른 처리정지의 요구, 동의 철회, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다. <개정 2023.3.14>

제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 및 동의 철회, 제37조의2에 따른 거부ㆍ설명 등의 요구(이하 "열람등요구"라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. <개정 2020.2.4, 2023.3.14>

   ② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.

   ③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. 다만, 제35조의2제2항에 따른 전송 요구의 경우에는 전송을 위해 추가로 필요한 설비 등을 함께 고려하여 수수료를 산정할 수 있다. <개정 2023.3.14>

   ④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 이 경우 열람등요구의 방법과 절차는 해당 개인정보의 수집 방법과 절차보다 어렵지 아니하도록 하여야 한다. <개정 2023.3.14>

   ⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.