제29조의2(결합전문기관의 지정 및 지정 취소) ① 법 제28조의3제1항에 따른 전문기관(이하 “결합전문기관”이라 한다)의 지정 기준은 다음 각 호와 같다.

1. 보호위원회가 정하여 고시하는 바에 따라 가명정보의 결합ㆍ반출 업무를 담당하는 조직을 구성하고, 개인정보 보호와 관련된 자격이나 경력을 갖춘 사람을 3명 이상 상시 고용할 것

2. 보호위원회가 정하여 고시하는 바에 따라 가명정보를 안전하게 결합하기 위하여 필요한 공간, 시설 및 장비를 구축하고 가명정보의 결합ㆍ반출 관련 정책 및 절차 등을 마련할 것

3. 보호위원회가 정하여 고시하는 기준에 따른 재정 능력을 갖출 것

4. 최근 3년 이내에 법 제66조에 따른 공표 내용에 포함된 적이 없을 것

② 법인, 단체 또는 기관이 법 제28조의3제1항에 따라 결합전문기관으로 지정을 받으려는 경우에는 보호위원회가 정하여 고시하는 결합전문기관 지정신청서에 다음 각 호의 서류(전자문서를 포함한다. 이하 같다)를 첨부하여 보호위원회 또는 관계 중앙행정기관의 장에게 제출해야 한다.

1. 정관 또는 규약

2. 제1항에 따른 지정 기준을 갖추었음을 증명할 수 있는 서류로서 보호위원회가 정하여 고시하는 서류

③ 보호위원회 또는 관계 중앙행정기관의 장은 제2항에 따라 지정신청서를 제출한 법인, 단체 또는 기관이 제1항에 따른 지정 기준에 적합한 경우에는 결합전문기관으로 지정할 수 있다.

④ 결합전문기관 지정의 유효기간은 지정을 받은 날부터 3년으로 하며, 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 유효기간의 연장을 신청하면 제1항에 따른 지정 기준에 적합한 경우에는 결합전문기관으로 재지정할 수 있다.

⑤ 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 다음 각 호의 어느 하나에 해당하는 경우에는 결합전문기관의 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우에는 지정을 취소해야 한다.

1. 거짓이나 부정한 방법으로 결합전문기관으로 지정을 받은 경우

2. 결합전문기관 스스로 지정 취소를 요청하거나 폐업한 경우

3. 제1항에 따른 결합전문기관의 지정 기준을 충족하지 못하게 된 경우

4. 결합 및 반출 등과 관련된 정보의 유출 등 개인정보 침해사고가 발생한 경우

5. 그 밖에 법 또는 이 영에 따른 의무를 위반한 경우

⑥ 보호위원회 또는 관계 중앙행정기관의 장은 제5항에 따라 결합전문기관의 지정을 취소하려는 경우에는 청문을 해야 한다.

⑦ 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관을 지정, 재지정 또는 지정 취소한 경우에는 이를 관보에 공고하거나 보호위원회 또는 해당 관계 중앙행정기관의 홈페이지에 게시해야 한다. 이 경우 관계 중앙행정기관의 장이 결합전문기관을 지정, 재지정, 또는 지정 취소한 경우에는 보호위원회에 통보해야 한다.

⑧ 제1항부터 제7항까지에서 규정한 사항 외에 결합전문기관의 지정, 재지정 및 지정 취소 등에 필요한 사항은 보호위원회가 정하여 고시한다.

[본조신설 2020. 8. 4.]

  제29조의3(개인정보처리자 간 가명정보의 결합 및 반출 등) ① 결합전문기관에 가명정보의 결합을 신청하려는 개인정보처리자(이하 “결합신청자”라 한다)는 보호위원회가 정하여 고시하는 결합신청서에 다음 각 호의 서류를 첨부하여 결합전문기관에 제출해야 한다.

1. 사업자등록증, 법인등기부등본 등 결합신청자 관련 서류

2. 결합 대상 가명정보에 관한 서류

3. 결합 목적을 증명할 수 있는 서류

4. 그 밖에 가명정보의 결합 및 반출에 필요하다고 보호위원회가 정하여 고시하는 서류

② 결합전문기관은 법 제28조의3제1항에 따라 가명정보를 결합하는 경우에는 특정 개인을 알아볼 수 없도록 해야 한다. 이 경우 보호위원회는 필요하면 한국인터넷진흥원 또는 보호위원회가 지정하여 고시하는 기관으로 하여금 특정 개인을 알아볼 수 없도록 하는 데에 필요한 업무를 지원하도록 할 수 있다.

③ 결합신청자는 법 제28조의3제2항에 따라 결합전문기관이 결합한 정보를 결합전문기관 외부로 반출하려는 경우에는 결합전문기관에 설치된 안전성 확보에 필요한 기술적ㆍ관리적ㆍ물리적 조치가 된 공간에서 제2항에 따라 결합된 정보를 가명정보 또는 법 제58조의2에 해당하는 정보로 처리한 뒤 결합전문기관의 승인을 받아야 한다.

④ 결합전문기관은 다음 각 호의 기준을 충족하는 경우에는 법 제28조의3제2항에 따른 반출을 승인해야 한다. 이 경우 결합전문기관은 결합된 정보의 반출을 승인하기 위하여 반출심사위원회를 구성해야 한다.

1. 결합 목적과 반출 정보가 관련성이 있을 것

2. 특정 개인을 알아볼 가능성이 없을 것

3. 반출 정보에 대한 안전조치 계획이 있을 것

⑤ 결합전문기관은 결합 및 반출 등에 필요한 비용을 결합신청자에게 청구할 수 있다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 가명정보의 결합 절차와 방법, 반출 및 승인 등에 필요한 사항은 보호위원회가 정하여 고시한다.

[본조신설 2020. 8. 4.]

  제29조의4(결합전문기관의 관리ㆍ감독 등) ① 보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관을 지정한 경우에는 해당 결합전문기관의 업무 수행능력 및 기술ㆍ시설 유지 여부 등을 관리ㆍ감독해야 한다.

② 결합전문기관은 제1항에 따른 관리ㆍ감독을 위하여 다음 각 호의 서류를 매년 보호위원회 또는 관계 중앙행정기관의 장에게 제출해야 한다.

1. 가명정보의 결합ㆍ반출 실적보고서

2. 결합전문기관의 지정 기준을 유지하고 있음을 증명할 수 있는 서류

3. 가명정보의 안전성 확보에 필요한 조치를 하고 있음을 증명할 수 있는 서류로서 보호위원회가 정하여 고시하는 서류

③ 보호위원회는 다음 각 호의 사항을 관리ㆍ감독해야 한다.

1. 결합전문기관의 가명정보의 결합 및 반출 승인 과정에서의 법 위반 여부

2. 결합신청자의 가명정보 처리 실태

3. 그 밖에 가명정보의 안전한 처리를 위하여 필요한 사항으로서 보호위원회가 정하여 고시하는 사항

[본조신설 2020. 8. 4.]