제31조의2(개인정보 처리방침의 평가 대상 및 절차) ① 보호위원회는 법 제30조의2제1항에 따라 개인정보 처리방침을 평가하는 경우 다음 각 호의 사항을 종합적으로 고려하여 평가 대상을 선정한다. <개정 2024. 3. 12.>

1. 개인정보처리자의 유형 및 매출액(매출액을 산정하지 않는 경우에는 「법인세법」 제4조제3항제1호에 따른 수익사업에서 생기는 소득을 말하며, 이하 제32조 및 제48조의7에서 “매출액등”이라 한다) 규모

2. 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모

3. 개인정보 처리의 법적 근거 및 방식

4. 법 위반행위 발생 여부

5. 아동ㆍ청소년 등 정보주체의 특성

② 보호위원회는 제1항에 따라 평가 대상 개인정보 처리방침을 선정한 경우에는 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용ㆍ일정 및 절차 등이 포함된 평가계획을 통보해야 한다.

③ 보호위원회는 법 제30조의2에 따른 개인정보 처리방침의 평가에 필요한 경우에는 해당 개인정보처리자에게 의견을 제출하도록 요청할 수 있다.

④ 보호위원회는 법 제30조의2에 따라 개인정보 처리방침을 평가한 후 그 결과를 지체 없이 해당 개인정보처리자에게 통보해야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 개인정보 처리방침 평가를 위한 세부적인 대상 선정 기준과 절차는 보호위원회가 정하여 고시한다.

[본조신설 2023. 9. 12.]