1. 개인정보 보호법 규정
제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
⑥ 제1항ㆍ제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
2. 개인정보 정정ᆞ삭제 요구의 주체
개인정보의 정정ᆞ삭제를 요구할 수 있는 사람은 개인정보처리자가 보유하고 있는 자신의 개인정보를 열람한 정보주체이다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
3. 개인정보 정정ᆞ삭제 요구 대상
개인정보 정정ᆞ삭제 요구의 대상이 되는 개인정보는 개인정보처리자가 보유하고 있는 개인정보 가운데 정보주체가 열람할 수 있는 개인정보에 한정됨. 따라서 개인정보처리자가 열람을 제한하거나 거절할 수 있는 개인정보는 정정·삭제 요구권이 인정되지 않는다.
4. 개인정보 정정ᆞ삭제 요구 방법 및 절차
정보주체가 자신의 개인정보에 대한 정정ᆞ삭제를 개인정보처리자에게 요구하고자 할 때에는 개인정보처리자가 마련한 방법과 절차에 따라 개인정보의 정정ᆞ삭제를 요구할 수 있다.
개인정보처리자가 정보주체의 개인정보 정정ᆞ삭제 요구 방법과 절차를 마련하는 경우 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 않도록 하여야 하고, 다음의 사항을 준수하여야 한다.
개인정보 정정ᆞ삭제 요구 방법 및 절차를 마련할 때 주의하여야 하는 사항
- 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것
- 개인정보를 수집한 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가 있는 경우를 제외하고는 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 정정ᆞ삭제를 요구할 수 있도록 할 것
- 인터넷 홈페이지를 운영하는 공공기관은 홈페이지에 정정ᆞ삭제 요구 방법과 절차를 공개할 것
5. 개인정보의 정정ᆞ삭제 요구에 대한 대응
(1) 증거자료의 조사 등
개인정보처리자는 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ᆞ삭제 등 필요한 조치를 한 후 그 결과를 “개인정보 정정ᆞ삭제 요구에 대한 결과통지서”로 해당 정보주체에게 알려야 한다.
그렇지만, 정보주체가 삭제를 요구한 개인정보가 다른 법령에서 수집대상으로 명시되어 있는 경우에 개인정보처리자는 해당 개인정보를 보존하여야 한다. 따라서 해당 개인정보의 삭제를 요구받은 개인정보처리자는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거 법령의 내용을 정보주체에게 알려야 한다.
개인정보처리자는 개인정보를 조사할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
(2) 개인정보 정정ᆞ삭제 등 조치 및 통지
개인정보처리자는 정정ᆞ삭제를 요구받은 경우 그 개인정보를 조사하여 그 결과 정보주체의 요구가 정당하다고 판단되면 개인정보 정정ᆞ삭제요구를 받은 날부터 10일 이내에 정보주체의 요구에 따라 해당 개인정보의 정정ᆞ삭제 등의 조치를 하여야 한다.
정정ᆞ삭제 등의 조치를 한 후 그 결과를 “개인정보 정정ᆞ삭제 요구에 대한 결과통지서”로 해당 정보주체에게 알려야 한다.
개인정보처리자가 개인정보를 삭제할 때에는 “복구 또는 재생되지 아니하도록” 완전파괴, 전용 소자장비 이용 삭제, 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 등의 방법으로 조치하여야 한다.
(3) 정정ᆞ삭제 요구사항의 통지 등
다른 개인정보처리자로부터 개인정보를 제공받아 개인정보파일을 처리하는 개인정보처리자는 정보주체로부터 개인정보의 정정 또는 삭제 요구를 받은 때에는 그 요구에 따라 해당 개인정보를 정정ᆞ삭제하거나 그 개인정보 정정·삭제 요구 사항을 해당 개인정보를 제공한 기관의 장에게 지체없이 알리고 그 처리결과에 따라 필요한 조치를 하여야 한다.
필요한 조치의 방법과 절차는 ‘(2) 개인정보 정정ᆞ삭제 등 조치 및 통지’에 따른다.
(4) 삭제 거부의 통지
다른 법령에서 그 개인정보가 수집대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
이 경우 개인정보처리자는 개인정보 정정ᆞ삭제 요구서를 받은 날부터 10일 이내에 삭제의 요구에 따르지 않기로 한 사실, 그 이유와 이의제기 방법을 “개인정보 정정ᆞ삭제 요구에 대한 결과통지서”로 해당 정보주체에게 알려야 한다.
6. 가명정보의 적용 제외
가명정보에는 이름, 연락처 등 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 정보주체는 가명정보에 대하여 정정·삭제 요구권을 행사할 수 없다.