개인정보보호법 §30 기준

개인정보처리방침
필수 항목 12가지

홈페이지·앱을 운영한다면 개인정보처리방침을 반드시 공개해야 합니다.
누락하면 과태료 최대 1천만 원이 부과될 수 있습니다. 아래 12개 항목을 하나씩 확인해 보세요.

필수 항목 수
12개
개인정보보호법 §30 기준
미작성 시 제재
1천만 원
이하 과태료 (§75④8호)
변경 시 사전 공지
7일
전 홈페이지 공지 의무
필수 작성 항목

12가지 체크리스트

개인정보보호법 제30조 제1항 및 관련 고시가 요구하는 항목입니다.

1
개인정보의 처리 목적
개인정보보호법 §30①1호

어떤 서비스를 제공하기 위해 개인정보를 수집·이용하는지 명시해야 합니다.

작성 예시

서비스 상담 신청, 회원가입·로그인, 구매·결제 처리 등 목적별로 구분하여 작성

포괄적인 '서비스 제공'만 기재하면 불충분 — 목적별로 분리 기재 필요

2
개인정보의 처리 및 보유 기간
개인정보보호법 §30①2호

수집 시점부터 파기까지의 기간을 명시해야 합니다. 법령에 의한 보존 의무가 있으면 해당 법령과 기간을 함께 적습니다.

작성 예시

상담 완료 후 1년 / 전자상거래법에 의한 계약기록 5년 보관

'이용 목적 달성 시까지'만 기재하면 부족 — 구체적 기간 또는 법령 근거 필수

3
개인정보의 제3자 제공
개인정보보호법 §30①3호

제3자에게 개인정보를 제공하는 경우 제공받는 자, 목적, 항목, 보유 기간을 모두 기재해야 합니다.

작성 예시

제3자 제공 없음 / 또는 결제 대행사·배송사 등 제공처·제공 목적·보유 기간 명시

제공 사실을 숨기거나 '동의 하에'라고만 쓰면 부족 — 제공처별 구체 항목 기재

4
개인정보처리의 위탁
개인정보보호법 §30①4호

외부 업체(결제사, 클라우드, 배송사 등)에 처리를 위탁하는 경우 수탁자와 위탁 업무를 공개해야 합니다.

작성 예시

AWS(서버 운영), 토스페이먼츠(결제 처리), Supabase(데이터베이스 관리) 등

위탁 업체가 실제로 있음에도 '해당 없음'으로 기재하는 사례 多 — 반드시 확인

5
정보주체의 권리·의무 및 행사방법
개인정보보호법 §30①5호

이용자가 언제든지 열람·정정·삭제·처리정지를 요청할 수 있음을 알리고, 요청 방법(서면·전자우편·전화 등)을 명시해야 합니다.

작성 예시

contact@example.com으로 이메일 요청 시 10일 이내 조치 / 개인정보보호법 시행령 §41조①

'문의하세요'만 기재하면 불충분 — 처리 기한·방법·법적 근거 함께 명시

6
처리하는 개인정보의 항목
개인정보보호법 §30①6호

수집하는 개인정보 항목을 필수·선택으로 구분하여 모두 열거해야 합니다. 자동으로 수집되는 IP·쿠키·접속 로그도 포함합니다.

작성 예시

필수: 성명, 이메일, 연락처 / 자동 수집: IP 주소, 쿠키, 방문 일시, 브라우저 정보

자동 수집 항목(접속 로그·IP·쿠키)을 빠뜨리는 사례 많음

7
개인정보의 파기에 관한 사항
개인정보보호법 §30①7호

보유 기간이 지나거나 처리 목적이 달성되면 지체 없이 파기해야 합니다. 파기 절차와 방법을 구체적으로 기재해야 합니다.

작성 예시

전자 파일: 복원 불가 기술적 방법으로 삭제 / 서면: 파쇄·소각 / 파기 책임자 지정

'파기합니다' 한 줄만 기재하면 불충분 — 절차·방법·담당자 체계 명시

8
개인정보의 안전성 확보조치
개인정보보호법 §30①8호

관리적·기술적·물리적 안전조치 현황을 기재해야 합니다. 개인정보보호법 시행령 §30조의 기준을 충족해야 합니다.

작성 예시

접근 권한 관리, 접근 통제, 암호화, 보안 프로그램, 물리적 보관 구역 출입 통제 등

단순한 '보안 조치를 취합니다'는 불충분 — 실제 적용 중인 조치를 구체 기재

9
개인정보 보호책임자
개인정보보호법 §30①9호

개인정보 처리에 관한 업무를 총괄하는 책임자의 성명·직책·연락처를 반드시 공개해야 합니다.

작성 예시

성명: 홍길동 / 직책: 대표 / 연락처: contact@example.com

가장 많이 빠뜨리는 항목 중 하나 — 실명·연락처 공개 필수 (미공개 시 과태료 대상)

10
권익침해 구제방법
개인정보보호법 §30①10호

개인정보 침해로 피해를 입은 경우 개인정보분쟁조정위원회, 개인정보침해신고센터 등에 도움을 받을 수 있음을 안내해야 합니다.

작성 예시

개인정보침해신고센터 (privacy.kisa.or.kr, 국번없이 118) / 개인정보분쟁조정위원회 (www.kopico.go.kr)

이 항목을 아예 빠뜨리거나 연락처 없이 기관명만 기재하는 사례 多

11
국외 이전
개인정보보호법 §28의8

개인정보를 국외로 이전(클라우드 서버가 해외에 위치한 경우 포함)하는 경우 이전받는 자·국가·목적·보유 기간·이전 거부 방법 등을 고지해야 합니다.

작성 예시

AWS us-east-1(미국)에서 서비스 운영 시 — 이전받는 자(AWS, Inc.), 이전 국가(미국), 이전 목적, 보유 기간 명시

AWS·Vercel·Supabase 등 해외 클라우드 사용 시 대부분 해당 — 많이 누락됨

12
개인정보처리방침 변경 및 시행일
개인정보보호법 §30①

처리방침을 변경할 경우 시행 7일 전부터 홈페이지에 공지해야 합니다. 시행일도 명시해야 합니다.

작성 예시

시행일: 2026년 O월 O일 / 변경 시 홈페이지 공지 후 7일 경과 후 시행

시행일 없이 '최신 버전'만 표기하는 경우 행정지도 대상이 될 수 있음

자주 빠뜨리는 케이스

해외 클라우드 사용 시 — 국외 이전 고지 필수

AWS, Vercel, Supabase, Cloudflare 등 서버가 해외에 있는 서비스를 사용하면 국외 이전에 해당합니다. 2023년 9월 15일 개정 개인정보보호법(§28의8) 시행 이후 처리방침에 반드시 명시해야 합니다.

이전받는 자(기업명) 이전 국가 이전 목적 보유 기간 이전 거부 방법
서버 저장 없는 도구(체크리스트·계산기) — 처리 항목 '없음'으로 명시

브라우저에서만 동작하고 서버로 데이터를 전송하지 않는 무저장 도구는, 해당 도구의 처리 항목을 '없음'으로 명시하면 됩니다. 단 사이트 전체에 걸쳐 접속 로그·회원 정보 등 다른 개인정보 처리가 있다면 처리방침 자체는 여전히 필요합니다.

Cloudflare 접속 기록 — 수탁자 고지 또는 제10조 별도 고지 방식

Cloudflare를 통해 서비스를 제공하는 경우 IP 주소·접속 시각·User-Agent 등 기술적 접속 정보가 자동으로 수집될 수 있습니다. 회사가 직접 수집하지 않더라도 처리방침에 Cloudflare의 역할과 해당 사의 개인정보처리방침 링크를 별도 고지하는 것이 권장됩니다.

자주 묻는 질문

Q1. 개인정보처리방침을 작성하지 않으면 어떻게 되나요?

개인정보보호법 제30조 제1항에 따라 개인정보를 처리하는 자는 처리방침을 수립·공개할 의무가 있습니다. 미작성·미공개 시 과태료 1천만 원 이하(동법 §75④8호)가 부과될 수 있으며, 개인정보보호위원회의 시정명령 대상이 됩니다.

Q2. 개인정보처리방침은 반드시 홈페이지에 공개해야 하나요?

네. 개인정보보호법 시행령 제31조에 따라 인터넷 홈페이지를 운영하는 경우 처리방침을 홈페이지에 상시 공개해야 합니다. 이용자가 쉽게 확인할 수 있도록 첫 화면 또는 연결 화면에 배치하여야 합니다.

Q3. 고객 데이터를 서버에 저장하지 않는 도구(체크리스트, 계산기 등)도 개인정보처리방침이 필요한가요?

서버에 데이터를 저장하지 않는 '무저장 아키텍처' 도구의 경우, 해당 도구 자체의 개인정보 수집은 없지만 사이트 전체적으로 회원 가입·상담 신청·접속 로그(클라우드플레어 등) 처리가 있다면 처리방침은 여전히 필요합니다. 무저장 도구에 해당하는 항목은 '처리 항목: 없음'으로 명시하면 됩니다.

Q4. AWS, Vercel, Supabase 등 해외 클라우드를 쓰면 국외 이전 고지가 필요한가요?

네. 2023년 개인정보보호법 개정(§28의8)으로 클라우드 서버가 해외에 위치한 경우에도 국외 이전으로 간주됩니다. 이전받는 자, 이전 국가, 이전 목적, 보유 기간, 이전 거부 방법을 처리방침에 고지해야 합니다.

Q5. 개인정보처리방침에 보호책임자 실명과 연락처를 꼭 넣어야 하나요?

네. 개인정보보호법 §30①9호에 따라 보호책임자의 성명, 직책, 연락처(전화번호 또는 이메일)를 반드시 공개해야 합니다. 연락처 없이 기관명만 기재하거나 항목 자체를 누락하면 법령 위반입니다.

Q6. 처리방침을 변경할 때 사전 공지는 며칠 전에 해야 하나요?

개인정보보호법 §30②에 따라 처리방침 변경 시 시행 7일 전부터 홈페이지에 공지해야 합니다. 단, 정보주체에게 불리한 중요 변경(처리 목적·항목·제3자 제공 등)은 30일 전 고지가 권장됩니다.

청효행정사법인 행정 대행

처리방침 작성·검토가 필요하신가요?

행정사가 직접 법령 기준에 맞게 작성하거나 기존 처리방침의 누락 항목을 검토합니다. 서비스 유형(쇼핑몰·SaaS·무저장 도구 등)에 맞춘 맞춤 작성이 가능합니다.

무료 서비스 보기