一、个人信息保护委员会选定2024年度个人信息处理方针评估领域及评估对象

个人信息保护委员会(下称“个人信息委员会”)于2024年6月12日召开第十次全体会议,审议通过了《2024年度个人信息处理方针评估计划》。2024年度个人信息处理方针评估领域定为①科技巨头、②网络购物、③网络平台(外卖订餐、住宿旅行)、④医院/医疗院、⑤网络视频服务(OTT)、⑥娱乐(游戏、网络漫画)、⑦人工智能招聘等七个领域。

* 关于各评估领域的具体评估对象机构(韩文版)请点击【此处】。

 

二、评估权限的依据和评估标准

个人信息委员会的个人信息处理方针评估权限的依据为自2023年9月15日起实施的修订后的《个人信息保护法》第30条之2规定,其评估标准如下:

→评估标准(参照《个人信息保护法》第30条之2第1款)

①(适当性)是否适当地规定了《个人信息保护法》项下的法定记载事项
②(可读性)是否制作得通俗易懂
③(可访问性)披露方式是否能让信息主体易于确认 

 

三、违规制裁

个人信息委员会经个人信息处理方针评估结果,认为有必要改善时,可以建议个人信息处理者依《个人信息保护法》第61条第2款予以改善(《个人信息保护法》第30条之2)。此外,个人信息委员会可以依据《个人信息保护法》第61条的规定,公布改善建议的内容和结果(《个人信息保护法》第66条)。

 

四、启示

【风险程度上——评估标准②可读性】

医疗保健领域特别是存在以下特殊性,即(i)主要处理敏感信息,(ii)除了信息主体的同意外,还需要根据《医疗法》、《关于应急医疗的法律》等法律处理个人信息的情况较多,(iii)存在大量的非结构化数据等。因此,我们认为上述第2项中提到的、《个人信息保护法》第30条之2第1款项下的评估标准中,主要可能发生问题的事项应为第②可读性部分。

⇒解决方案:个人信息委员会于2024年4月修订了《个人信息处理方针编制指南》。我们认为,仔细参考该编制指南的<编制示例>部分,修改个人信息处理方针将非常重要。

* 如果您需要个人信息委员会2024年4月修订的《个人信息处理方针编制指南》(韩文版),请点击[此处]。


【风险程度中——评估标准①适当性】

个人信息委员会在医疗保健领域共选定5家机构。但,根据《个人信息保护法》第30条,即使未入选评估对象,仍有义务制定和披露包括法定记载事项在内的个人信息处理方针。

⇒解决方案:有必要确认个人信息处理方针是否已根据《个人信息保护法》第30条规定反映所有法定记载信息,以及当前的个人信息处理事项是否记载正确。


【风险程度中——评估标准③可访问性】

个人信息处理者制定或变更个人信息处理方针时,应在互联网主页上持续公示,此时,应使用“个人信息处理方针”的名称,并利用字体大小、颜色等,与其他公告事项相区分,以便信息主体易于查阅(《个人信息保护委员会个人信息保护指南》第28条第1款)。实务中,外资企业出现问题的情况较多,有必要使用“个人信息处理方针”的标题,并营造在主页上用户点击该等链接即可查阅个人信息处理方针的环境。

世宗律师事务所的医疗保健团队由在健康福利部、食品药品处、健康保险审查评估院、制药公司等整个保健、医疗行业拥有丰富经验的成员提供专业咨询。如需了解有关个人信息保护委员会2024年个人信息处理方针评估领域和评估对象选定的更多专业内容或有任何疑问,请随时联系我们世宗。