제31조 (개인정보 보호책임자의 지정 등)

**①** 개인정보처리자는 개인정보의 처리 및 보호에 관한 업무를 총괄해서 담당할 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다. <개정 2023.3.14, 2026.3.10>

**②** 제1항 단서에 따라 개인정보 보호책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다. <신설 2023.3.14>

**③** 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 다음 각 호의 사항을 준수하여야 한다. <신설 2026.3.10>

1. 개인정보 보호책임자를 지정하거나 그 지정을 변경 또는 해제할 때에는 이사회(법인인 경우로 한정한다. 이하 같다)의 의결을 거칠 것
2. 보호위원회에 대통령령으로 정하는 바에 따라 개인정보 보호책임자 지정ㆍ변경 또는 해제에 관한 사항을 신고할 것

**④** 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. <개정 2023.3.14, 2026.3.10>

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 보호에 필요한 전문 인력의 관리 및 예산의 확보
3. 사업주 또는 대표자 및 이사회에 대한 개인정보 보호 현황 및 주요 사항의 보고
4. 개인정보 처리 및 보호의 실태와 관행에 대한 정기적인 조사 및 개선
5. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
6. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
7. 개인정보 보호 교육 계획의 수립 및 시행
8. 개인정보파일의 보호 및 관리ㆍ감독
9. 그 밖에 개인정보의 적절한 처리 및 보호를 위하여 대통령령으로 정한 업무

**⑤** 개인정보 보호책임자는 제4항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. <개정 2023.3.14, 2026.3.10>

**⑥** 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. <개정 2023.3.14, 2026.3.10>

**⑦** 개인정보처리자는 개인정보 보호책임자가 제4항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다. <개정 2023.3.14, 2026.3.10>

**⑧** 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성ㆍ운영할 수 있다. <신설 2023.3.14, 2026.3.10>

**⑨** 보호위원회는 제8항에 따른 개인정보 보호책임자 협의회의 활동에 필요한 지원을 할 수 있다. <신설 2023.3.14, 2026.3.10>

**⑩** 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항제2호에 따른 신고의 방법 및 절차, 제4항에 따른 업무 및 제7항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다. <개정 2023.3.14, 2026.3.10>