? 'IT, 저작권 이야기/[TS] 사례연구' 카테고리의 글 목록 :: 기술신뢰자 취미생활

레스토랑에서 수집한 개인정보는 어떻게 되었을까? 개업안내문자를 알아보자.

Posted by techshield
2017. 2. 9. 22:56 IT, 저작권 이야기/[TS] 사례연구

질문:

2년전에 예약한 적이 있는 ◯◯레스토랑에서 이벤트 문자가 수신되었습니다.
A시에서 꽤 유명한 ◯◯레스토랑에 가족들과 식사를 하기 위해 ◯◯레스토랑 전화번
호로 저녁 예약을 하였습니다.

담당 매니저 B씨가 정말 친절하여 좋은 기억이 있었으
나 직장이 C시로 이전하면서 2년 넘게 ◯◯레스토랑을 가지 못하였습니다.

그런데 우리 가족을 담당했던 ◯◯레스토랑 매니저 B씨가 ◯◯레스토랑에서 나와 C시에 개업
을 하였다며 개업 안내 문자를 보내왔습니다. ◯◯레스토랑에 저녁 식사 예약을 위해
제공한 개인정보를 B씨가 이용할 수 있는지 궁금합니다.

 

 

답변:

개인정보를 수집한 목적 외로 이용하면 형사처벌을 받을 수 있습니다.
◯◯레스토랑은 식사 예약을 위해서 정보주체의 동의 없이 이름, 전화번호 등을 수집
할 수 있습니다. 다만, ◯◯레스토랑이 식사 예약을 위해서 수집한 개인정보이므로 식
사 예약자 확인, 예약 내용 안내, 식사 제공 등의 목적에 한해서만 이용이 가능합니다.
또한, 정보주체가 개인정보를 제공한 목적인 식당 예약 등의 목적이 전부 달성된 경우
에는 지체 없이 파기 등 필요한 조치를 하여야 합니다.


이 사례의 경우, ◯◯레스토랑은 식사 예약을 목적으로 수집한 정보주체의 개인정보를
식사가 제공된 이후인 2년이 지나서도 파기 등 필요한 조치를 하지 않고 보관하고 있
어 개인정보 미파기가 의심되며,

 

개인정보 취급자라고 할 수 있는 담당 매니저 B씨가
◯◯레스토랑을 퇴사하는 과정에서 예약자 명단을 무단으로 취득하여 외부로 반출한
혐의 및 이를 이용하여 식사 예약의 목적이 아닌

 

담당 매니저 B씨의 영업자 홍보의 목적으로 이용한 혐의가 있습니다.

 

특히, 개인정보 취급자가 개인정보를 무단으로 외부로 반출하거나 수집한 목적과 다르게 이용할 경우에는 형사처벌을 받을 수도 있으므로
개인정보처리자는 항상 개인정보 취급자에 대한 적절한 교육 및 관리·감독을 하여야
합니다.

 

출처: KISA, 개인정보상담사례집

관련링크

개인정보가 포함된 행정심판 답변서 송달의 경우 인권침해 가능성이 있다.

개인정보 준 미래에셋·라이나 생명보험 벌금형

인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다.

 

휴대전화번호 뒷자리 4자리는 개인정보에 해당할 수 있다.

Posted by techshield
2017. 2. 9. 15:50 IT, 저작권 이야기/[TS] 사례연구

대전지법 논산지원 2013. 8. 9. 선고 2013 고단18 판결

 

휴대전화번호 뒷자리 4자리 사례

 

사례

경찰공무원인 피고인 피해자 신고에 따라 피고인 등의 도박 현장을 단속한 다음 훈 방 조치하였는데, 그 후 피고인 으로부터 신고자의 전화번호를 알려달라는 부탁을 받고 휴대전 화번호 뒷자리 4를 알려 주었다고 하여 개인정보 보호법 위반으로 기소된 사안에서,

 

 

휴대전화 사용이 보편화되면서

휴대전화번호 뒷자리 4자에 전화번호 사용자의 정체성이 담기는 현상이 심화되고 있어

휴대전화번호 뒷자리 4자만으로도 전화번호 사용자가 누구인지 식별할 수 있는 점 등을 종합할 때,

 

피고인 피고인 에게 제공한 휴대전화번호 뒷자리 4자는 살아있는 개인인 관한 정보로서 임을 알아볼 수 있는 정보이거나,

 

적어도 다른 정보와 쉽게 결합하여 임을 알아볼 수 있는 정보여서 개인정보 보호법 제2조 제1호 에 규정된개인정보에 해당한다는 이유로 피고인들에게 유죄를 선고한 사례가 있습니다.

 

출처: 한국인터넷진흥원, 개인정보보호 상담사례집

 

TS Comment:

따라서 개인을 식별할 수 있는 정보가 정해진 것은 아니며,

해당 정보를 통해 개인을 식별할 수 있을 경우 구체적인 사례에 따라 개인정보에 해당할 수 있습니다.

 

 

 

 

 

공개된 유명연예인 사진 등을 영리목적으로 사용한 사건(민사)

Posted by techshield
2017. 2. 1. 23:45 IT, 저작권 이야기/[TS] 사례연구

공개된 유명연예인 사진 등을 영리목적으로 사용한 사건(민사)

 

공개된 유명연예인의 사진 등을 동의 없이 모바일앱을 통하여 영리 목적으로 사용한 경우 불법행위에 해당하는 지가 쟁점인 판례

 

[사건번호]

서울고등법원 2014. 4. 3. 선고 20132022827 판결 (원심 : 서울중앙지방법원 2013. 10. 1. 선고 2013가합509239 판결)

 

1) 쟁점 : 휴대용기기 애플리케이션을 통하여 무단으로 유명연예인들의 사진과 성명을 사용한 행위가 자기정보에 대한 통제권, 초상권, 성명권을 침해하는 불법행위에 해당하는지 여부

 

2) 사실관계 : 피고들이 연예인인 원고들의 사진을 허락받은 범위를 벗어나 이용하였다.

 

3) 판결내용 : 이 사건 앱에서 사용한 사진이 원고들의 허락하에 이미 인터넷에 공개된 사진이라고 하더라도 이는 연예인인 원고들이 자신에 대한 홍보에 필요한 한도 내에서 인터넷 이용자들에게 이를 공개하여 이용하도록 한 것이라고 보아야 한다. 이 사건 앱과 같이 다른 기업이 영리 목적으로 그 사진을 함부로 사용하는 것은 원고들이 예상하거나 허락한 범위를 넘는 것으로서 원고들의 자기 정보에 대한 통제권 및 초상과 성명이 영리적으로 이용당하지 않을 권리를 정면으로 침해하는 위법한 행위이다. 이 사건 앱에서 원고들의 초상과 성명을 사용한 행위는 원고들의 자기 정보에 대한 통제권 및 초상·성명이 영리적으로 이용당하지 않을 권리를 침해하는 행위로서

그러한 사실만으로도 특별한 사정이 없으면 정신적 고통이 수반된다고 보아야 하고, 반드시 이 사건 앱을 통한 원고들 사진의 실제 현출 여부나 횟수가 특정되어야만 비로소 정신적 고통을 인정할 수 있게 되는 것이 아니다.

 

4) 결론 : 원고의 손해배상 청구 인용

 

 

관련링크:

 

관리소장도 개인정보처리자에 해당할 수 있다.

 

개인정보위험도분석 기준 및 해설서

 

일동 후디스 디코디 개인정보 위반

 

개인정보 준 미래에셋·라이나 생명보험 벌금형

 

개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다.

 

 

 

 

 

개인휴대전화 개인정보, 병원 요양원 개인정보, 병원 진료기록 개인정보

Posted by techshield
2017. 1. 25. 16:16 IT, 저작권 이야기/[TS] 사례연구

개인이 휴대전화 카메라로 타인의 영상정보 촬영의 위법 여부 며칠 전 지하철에서 할아버지와 학생이 언성을 높이면서 싸우고 있는데, 맞은편에 서 있던 사람이 휴대전화 카메라로 몸싸움 장면을 촬영하고 있었 습니다. 다른 사람을 함부로 촬영하여 인터넷에 올리는 행위는 개인정보 침해 아닌가요?

다른 사람의 영상을 무단으로 촬영하여 인터넷 등에 올리는 경우정보통신망법상 명예훼손 등에 따라 처벌받을 수 있습니다.

상세설명 개인정보 보호법은 기본적으로 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인에게 적용되기 때문에 사적·개인적 목적으로 영상을 촬영하는 행위는개인정보 보호법이 적용되지 않습니다. 다만, 다른 사람의 영상을 무단으로 촬영하여 인터넷 등에 올리는 경우 정보통신망법에 따라 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 사실을 드러내어 다른 사람의 명예를 훼손한 경우 정보통신망법70조에 따라 처벌받을 수 있습니다

관련법령 정보통신망법70(벌칙) 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 사실을 드러내어 다른 사람의 명예를 훼손한 자는 3년 이하의 징역이나 금고 또는 2천만원 이하의 벌금에 처한다. 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 거짓의 사실을 드러내어 다른 사람의 명예를 훼손한 자는 7년 이하의 징역, 10년 이하의 자격정지 또는 5천만원 이하의 벌금

 

병원이나 요양원에서 환자의 안전관리 등의 목적으로 영상정보처리 기기를 설치하는 경우, 정보주체의 동의 획득 여부 환자의 안전관리 등의 목적으로 병원 입원실 또는 요양원 침실 등에 영상 정보처리기기를 설치하는 것이 가능한가요?

병원의 입원실 또는 요양원 입소자의 생활공간인 침실 등은 비공개 장소에 해당하므로 영상정보처리기기를 설치·운영하기 위해서는 환자 또는 요양원 입소자의 동의를 받아야 합니다. 상세설명 병원의 입원실 또는 요양원 입소자의 생활공간인 침실 등은 비공개 장소에 해당하므로 영상정보처리기기를 설치·운영하기 위해서는 개인정보 보호법에 따라 환자 또는 요양원 입소자의 동의를 받아야 합니다.

개별적인 동의를 받았기 때문에 영상정보처리기기 안내판을 설치할 법적 의무는 없으나 정보주체의 알 권리 및 사생활 보호차원에서 이러한 경우에도 해당 장소가 영상정보 처리기기 설치지역임을 표시하는 안내판을 설치하는 것이 바람직합니다.

그러나 이 경우에도 개인정보 보호법에 따라 화장실, 목욕실, 발한실 등 사생활 침해 우려가 큰 장소에는 영상정보처리기기를 설치할 수 없으므로, 병원 입원실 또는 요양원 침실에서 신체의 주요 부위가 노출되는 등 사생활 침해우려가 크다면 영상정보 처리기기를 설치해서는 안 됩니다.

 

병원 진료기록 삭제 요청시, 즉시 삭제처리가 가능한지 여부 병원 진료를 위해 주민등록번호, 성명, 주소 등을 제공하였으나, 진료과정 에서 마음 상하는 일이 있어 앞으로 이 병원을 방문할 생각이 없습니다. 병원에 개인정보 삭제를 요청하였더니, 불가하다고 하는데 위법 아닌가요?

병원은 의료법에 따라 진료기록을 10년간 보존해야 하므로 10년간은 진료 기록부에 기재된 개인정보를 환자의 요청에 따라 삭제할 수 없습니다.

다만, 이 경우에 병원은 수집한 개인정보를 다른 목적으로 이용할 수 없습니다. 상세설명 개인정보 보호법에 따라 정보주체는 자신의 개인정보에 대해서 삭제를 요청할 수 있습니다.

그러나 다른 법령에서 그 개인정보가 수집대상으로 명시되고 있고, 일정기간 보존하도록 규정하고 있는 경우, 개인정보처리자(병원)는 정보주체의 삭제요청이 있더라도 법에서 정한 보유기간 동안 개인정보를 파기하지 않고 보존하여야 합니다.

병원은 의료법 시행규칙14(진료기록부 등의 기재사항)에 따라서 환자의 성명, 주소, 주민등록번호 등이 기재된 진료기록부를 작성해야 하고, 작성된 진료기록부를 의료법에 따라 최소한 10년간 보존해야 합니다. 진료에 관한 기록의 보존 - 환자 명부 : 5, 진료기록부 : 10, 처방전 : 2, 수술기록 : 10, 검사소견기록 : 5년 등 다만, 의료기관이 10년 이상 보관하고 있는 진료기록에 대하여 환자가 자신의 개인 정보 삭제를 요청하는 경우에는 의료법에 따른 보존기간이 경과하였으므로, 삭제 등의 필요한 조치를 하여야 합니다.

출처: 개인정보보호상담사례집, 안행부, KISA

cctv 설치 개인정보

Posted by techshield
2017. 1. 23. 23:12 IT, 저작권 이야기/[TS] 사례연구

입출입이 제한적인 복지시설에서의 영상정보처리기기 설치 가능 여부
우리시설은 신생아 및 아동을 보호하고 양육하는 아동복지시설로 언어적
의사소통이 어려운 영아들을 위한 보호와 권익을 위해 영상정보처리기기를
설치하고자 하는데 문제가 되지 않을까요?

참고로 영아 시설 내부는 위생 및 안전상의 문제로 보안이 철저하여 일반인이 들어갈 수 없습니다.

해당 아동복지시설은 비공개로 보이므로 촬영의 대상이 되는 정보주체 또는
보호자의 동의를 받아야만 영상정보처리기기 설치가 가능합니다.


상세설명
개인정보 보호법상 영상정보처리기기의 설치, 운영에 관한 내용은 설치장소가
공개된 장소인지 비공개된 장소인지에 따라 달라집니다.
공개되지 아니한 장소에 영상정보처리기기를 설치하는 경우에는 개인정보 보호법
15조의 일반원칙이 적용되어 제15조 제1항 제2호 내지 제6호까지의 예외사항에 해당
하지 아니하는 한 개인영상정보의 수집, 이용에 대하여 정보주체의 동의를 받아야 합니다.
, 전체 거주인과 상시 출입인, 간헐적 출입인 등 해당 공간을 출입하는 모든 사람들에게
다음 각 호의 사항을 알리고 명시적인 동의를 받아야 할 것이며, 14세 미만의 경우에는
법정대리인의 동의를 받아야 할 것입니다.
1. 개인정보의 수집, 이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는
그 불이익의 내용

 

비공개 장소에서는 이와 같이 개인정보 보호법에 따라 개별 동의를 받아야 하는 것이
원칙이나, 반면 사업장 내 근로자 감시 설비의 설치와 관련해서는 근로자참여 및
협력증진에 관한 법률에서 노사간의 협의사항으로 규정하고 있으므로 비공개 장소에서
영상정보처리기기와 같은 근로자감시장비를 설치, 운영함에 있어서는 근로 모니터링
목적의 영상정보처리기기 설치 범위 및 사생활 침해 방지조치 등을 노사 협의로 정하여
설치, 운영할 수 있을 것입니다.
안전행정부에서는 공공, 민간부문의 영상정보처리기기 설치, 운영 및 개인영상정보
보호에 대하여 준수해야 할 사항을 업무담당자가 쉽게 이해할 수 있도록 공공, 민간
분야 영상정보처리기기 설치, 운영 가이드라인를 제공하고 있으니 참고하시기 바랍니다.

 

출처: 개인정보보호상담사례집, 안행부

 

관련링크

동업자에 대한 CCTV 감시에 대해 손해배상 책임이 있다.

개인영상정보보호법 제정법률안 입법예고

인권위에서 사업장 전자감시에 대한 근로자의 개인정보보호 결정문이 나왔습니다.

아파트 단지내 cctv, 공공기관 cctv

cctv 설치 개인정보

개인정보의 처리위탁 및 개인정보의 범위

정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다

표준개인정보보호지침(출처: 행자부 고시 제2016-21호)

고용종료 후 개인정보보호

Posted by techshield
2017. 1. 22. 17:49 IT, 저작권 이야기/[TS] 사례연구

4. 고용 종료 단계

채용 준비

채용 결정

고용 유지

고용 종료

< 주요 점검 사항 >

퇴직 근로자 개인정보의 열람권 보장

퇴직 근로자 개인정보의 제3자 제공

퇴직 근로자 친목모임을 위한 개인정보 수집제공

 

 

. 퇴직 근로자의 개인정보 파기 및 경력증명서 발급

퇴직 근로자의 각종 개인정보는 퇴직 후 경력증명 및 근로계약에 관한 정보를 제외하고 지체 없이 삭제

- 근로자의 경력 증명 등에 관한 정보는 근로자 퇴직 후 3년간 별도 보관(근로기준법 제39조 및 동법 시행령 제19)

- 퇴직 근로자 경력증명을 위하여 3년 이상 경력증명 정보를 보관하고자 하는 경우, 퇴직 시점에 퇴직 근로자의 동의를 얻어 보관

* 근무지 이탈 등의 사유로 퇴직하는 경우 동의를 얻기 힘들 수 있으므로, 입사 시 또는 취업규칙 등에 안내하고 동의 받아두는 방법 활용 가능

보관 기간이 종료된 개인정보는 복구 또는 재생되지 않도록 파기

* , 사업체 등 개인정보처리자가 개인정보를 제공하는 경우에는 정보주체의 동의 필요

 

 

. 퇴직 근로자의 개인정보 제공

퇴직 근로자의 개인정보 제공 요구에 대하여는 다른 법령에 특별한 규정이 없는 한 해당 근로자의 동의를 받은 후 정보를 제공해야 함

순수 친목단체로서 퇴직근로자 모임은 동의 없이 개인정보를 수집할 수 있으나 회사가 제공하고자 할 경우 정보주체의 동의 필요

FAQ

고용 종료 단계

Q5

 

 

퇴사한 직원의 개인정보는 언제 파기해야 하나요?

 

 

답변) 퇴사 후 3년이 지나고, 보유기간이 종료된 후 5일 이내에 파기하세요.

 

 

근로기준법에서 퇴직근로자의 사용증명서 청구권 행사기간을 3년으로 하고 있습니. 따라서 사용증명서 발급을 위한 퇴직근로자 개인정보 보존연한은 최소 3년입니다.

, 경력증명 등 퇴직근로자의 사용증명서 발급을 위해 3년 이상 보관할 필요가 있는 경우, 근로자에게 동의를 받아서 보관하면 됩니다.

관련법률 : 개인정보 보호법 제21(개인정보의 파기), 위반 시 3천만원 이하의 과태료

근로기준법 제39(사용증명서), 근로기준법 시행령 제19(사용증명서의 청구)

 

 

Q5-1

 

 

개인정보 파기는 어떻게 해야 하나요?

답변) 개인정보가 복구 또는 재생되지 않도록 해야 합니다.

컴퓨터에 저장된 파일 형태일 경우 복원이 불가능한 상태로 영구 삭제하시고, 기록물, 인쇄물, 서면 등의 형태일 경우 파쇄 또는 소각해야 합니다.

관련법률 : 개인정보 보호법 제21(개인정보의 파기) 1, 위반 시 3천만원 이하의 과태료

 

 

Q5-2

 

 

이 법 시행전부터 보관하고 있던 퇴직자의 개인정보에 대하여 보관에 관한 동의를 받거나 파기하여야 하나요?

답변) 그렇지 않습니다. 경력증명 등을 위한 목적으로 보관이용하고 있던 퇴직근로자의 개인정보는 해당 목적으로만 사용하는 경우에는 추가적인 동의 없이 파기하지 않고 이용하실 수 있습니다.

다만 주민등록번호 등 고유식별정보에 관하여는 개인정보보호법 제29조에 따라 안전조치를 해야 할 의무가 있습니다.

퇴직근로자의 개인정보를 이용하여 마케팅을 하는 등 원래의 보유목적과 다른 용도로 이용하시고자 하는 경우에는 동의를 받으셔야 합니다.

관련법률 : 개인정보 보호법 표준지침 제67(처리 중인 개인정보에 관한 경과조치)

 

고용유지단계 개인정보보호

Posted by techshield
2017. 1. 22. 17:48 IT, 저작권 이야기/[TS] 사례연구

 

FAQ

고용 유지 단계

Q3

 

인사관리시스템과 인사담당자의 PC를 안전하게 관리하기 위해 취해야할 조치는 무엇인가요?

 

답변) 비밀번호 설정, 백신 소프트웨어 설치, 방화벽 가능, 암호화 기능 등을 적용해야 합니다.

 

관계자(관리자, 담당직원)만 컴퓨터를 이용할 수 있도록 비밀번호를 설정하세요.

- 2자리(영문/숫자 등) 조합은 10자리 이상으로

- 3자리(영문/숫자/특수문자) 조합은 8자리 이상으로 하세요.

- 비밀번호는 적어도 6개월에 1번 이상 변경하세요.

비밀번호 설정은 컴퓨터의 제어판사용자 계정암호변경에서 가능

백신 소프트웨어를 설치하고 주기적으로(매일) 업데이트 하세요.

백신 소프트웨어는 ‘www.118.or.kr' '다운로드유료 백신에서 설치가능

컴퓨터의 윈도우즈(Windows)등 운영체제에서 지원하는 방화벽(Firewall) 기능을 적용 하세요.

윈도우즈 방화벽 기능은 제어판시스템 및 보안'Windows 방화벽에서 적용 가능

회원의 개인정보가 들어있는 파일은 안전한 암호 S/W를 이용해 암호화하세요.

- 주민등록번호를 저장하여 관리하는 경우, 상용 암호화 소프트웨어 또는 암호화 알고리즘을 사용하여 저장하세요.

기타 참고사항

문의 및 연락처 : 기술지원(02-405-5432, 4841, 5683) 또는 국번없이 118’

참고자료 : www.privacy.go.kr 참고

관련법률 : 개인정보 보호법 제29(안전조치의무), 위반 시 3천만원 이하의 과태료, 위반하여 분실/도난/유출 등 발생 시 2년 이하 징역 또는 1천만원 이하 벌금

 

Q3-1

 

 

위탁교육 등을 위해 외부 업체에 직원의 개인정보를 제공하려고 하는데, 어떻게 해야 하나요?

답변) 업무처리 의뢰(업무위탁)에 관한 사항은 문서로 작성하세요.

개인정보를 제공받은 업체와 업무의 내용을 내부 게시판 등을 통해 직원들에게 공개하세요.

직원정보를 제공받은 업체가 이를 잘 관리할 수 있도록 감독하세요.

관련법률 : 개인정보 보호법 제26(업무위탁에 따른 개인정보의 처리 제한) 1, 위반 시 1천만원 이하의 과태료

같은 법 제26조 제2, 3항 위만 시 3천만원 이하 과태료

 

Q3-2

 

 

개인정보 업무처리를 외부 업체에 위탁했는데 그 업체의 과실로 손해가 발생한 경우 손해배상책임은 누구에게 있나요?

답변) 위탁자와 수탁자 모두에게 있습니다.

개인정보 보호법 제26조 제6항은 손해배상책임에 대해서 수탁자를 위탁자의 소속직원으로 본다고 규정하여 위탁자에게도 사용자로서 관리책임을 부과하고 있습니다.

- 업무를 위탁한 사업자는 위탁받은 사업자가 개인정보보호 규정을 준수하도록 관리하고 감독할 의무가 있습니다.

손해를 입은 정보주체(근로자 등)는 위탁자나 수탁자 중 어느 한 쪽에 손해배상을 청구할 수 있고, 위탁자는 수탁자에게 구상권을 행사할 수 있습니다.

관련법률 : 개인정보 보호법 제26(업무위탁에 따른 개인정보의 처리 제한) 6

 

 

Q3-3

 

 

업무처리를 위탁할 때 사용하는 계약서가 따로 있나요?

답변) 형식은 정해져 있지 않지만 아래 사항이 계약서에 반드시 포함되어야 합니다.

업무위탁 목적 이외의 다른 목적으로 개인정보를 이용할 수 없다는 것

개인정보를 안전하게 관리하기 위해 취해야할 조치

위탁업무의 목적

재위탁 제한에 관한 사항

위탁업무와 관련하여 개인정보의 관리현황을 점검하고 감독할 수 있다는 것

손해배상 등에 관한 사항 등

관련법률 : 개인정보 보호법 제26(업무위탁에 따른 개인정보의 처리 제한) 1, 위반 시 1천만원 이하의 과태료

 

Q3-4

 

 

수기 형태의 인사기록은 어떻게 보관해야 하나요?

답변) 잠금장치가 마련된 별도의 장소에 안전하게 보관하여야 합니다.

관련법률 : 개인정보 보호법 제29(안전조치의무), 위반 시 3천만원 이하의 과태료, 위반하여 분실/도난/유출 등 발생 시 2년 이하 징역 또는 1천만원 이하 벌금

 

 

Q3-6

 

 

중소 영세 기업은 직원의 개인정보 보호를 위하여 어떠한 안전 조치를 하여야 하나요?

답변) 수기로 주민등록번호가 포함된 직원 정보를 관리하는 경우 시건장치 및 접근제한 등을 통한 안전조치를 하시면 되고, 업무용 PC로 직원 정보를 관리하시는 경우 다음과 같은 안전조치를 하시면 됩니다.

업무용 PC에 비밀번호 설정

- 비밀번호는 2자리(영문/숫자 등) 조합은 10자리 이상으로, 3자리(영문/숫자/특수문자) 조합은 8자리 이상으로 하시고, 적어도 6개월에 1번 이상 변경하세요.

비밀번호 설정은 컴퓨터의 제어판사용자 계정암호변경에서 가능

업무용 PC의 운영체제(윈도우 등)에 제공되는 침입차단 기능(방화벽 등) 활용

악성프로그램 차단을 위한 백신프로그램 설치

기타 참고사항

문의 및 연락처 : 기술지원(02-405-5432, 4841, 5683) 또는 국번없이 118’

참고자료 : www.privacy.go.kr 참고

관련법률 :

     개인정보 보호법 제29(안전조치의무), 위반 시 3천만원 이하의 과태료, 위반하여 분실/도난/유출 등 발생 시 2년 이하 징역 또는 1천만원 이하 벌금

  출처: 인사노무분야가이드라인(안행부 2012)

채용결정단계 개인정보보호

Posted by techshield
2017. 1. 22. 17:46 IT, 저작권 이야기/[TS] 사례연구

2. 채용 결정 단계

 

채용 준비

채용 결정

고용 유지

고용 종료

< 주요 점검 사항 >

법령준수를 위한 개인정보의 수집 : 근로자명부, 임금대장 등

근로계약의 체결이행을 위해 반드시 필요한 근로자 정보는 동의 없이 수집

: 인력 배치, 후생복지 등을 위한 개인정보 등

개인정보 처리 동의가 반드시 필요한 사항에 대해 동의 확보

: 근로계약의 체결이행을 위해 제3 제공이 필요한 경우 등

 

. 법령준수를 위한 근로자 개인정보의 수집

근로기준법 등의 법령상 의무준수를 위하여 근로자 개인정보를 수집이용할 경우 근로자의 동의 없이 처리

- 근로계약서, 근로자 명부, 임금대장 등을 작성하기 위한 개인정보 수집이 그 대표적인 예시임

 

< 법령에 따른 근로자 개인정보 수집 예시 >

 

근로자 명부

임금대장

수집 항목

성명, 성별, 생년월일, 주소, 이력, 종사하는 업무의 종류, 고용 또는 고용갱신 연월일, 계약기간(정한 경우), 그 밖의 고용에 관한 사항, 해고, 퇴직 또는 사망한 경우에는 그 연월일과 사유

성명, 주민등록번호, 고용 연월일, 종사하는 업무, 임금 및 가족수당의 계산기초가 되는 사항, 근로일수, 근로시간수, 연장근로, 야간근로 또는 휴일근로를 시킨 경우에는 그 시간 수, 기본급, 수당, 그 밖의 임금의 내역별 금액 등

법령 근거

근로기준법 제41, 동법 시행령 제20

근로기준법 제48, 동법 시행령 제27

고유식별정보의 수집

- 고유식별정보의 처리는 원칙적으로 금지되나, 소득세법에 따른 연말정산 등과 같이 법령상 의무준수를 위하여 불가피한 경우 근로자 및 근로자의 가족 등의 동의 없이 처리

 

. 근로계약의 체결이행을 위해 반드시 필요한 근로자 정보의 수집

근로계약서에는 본인확인을 위해 필요한 최소 사항(주소, 연락처, 성명)만 기록하여 불필요한 개인정보(주민등록번호 등)의 처리 방지

* 고용노동부가 제시한 표준근로계약서는 참고1 참조

인사업무(근무성적평가연봉계약인사발령교육훈련복리후생) 근로계약 이행을 위해 반드시 필요한 개인정보처리는 근로자 동의 없이 수집이용

- 가족에 대한 복리후생 제공을 위하여 가족 개인정보를 수집이용하는 경우에 가족동의 불필요

* 자녀 학비 지원, 직계존속 건강진단, 주택지원 등 근로자 가족에 대한 혜택은 근로복지기본법 제5조에 따른 기업의 근로자에 대한 복지 제공의무(법령상 의무)로 해석됨

* 가족관계 및 연령확인 등을 위한 증명서 제출 시 가족의 주민등록번호 뒷자리를 가린 후, 관련 서류를 발급받도록 하면 고유식별정보 수집에 대한 동의 불필요

 

. 개인정보 처리 동의가 반드시 필요한 사항에 대한 동의

업무 수행을 위해 반드시 개인정보 처리가 필요한 경우로서 그 처리에 대한 동의가 필요한 경우에는 최초 근로계약 체결 시 동의 획득

- 근로자 개인정보의 제3자 제공이 반드시 필요한 경우

예시) 여행사 직원정보(연락처 등)의 항공사 제공, 용역 발주회사 등에 대한 근로자(컨설턴트 및 프로젝트 담당자) 개인정보 제공, 계열사간 인사교류를 위한 인사정보의 제공 등

- 회사 운영 홈페이지 등을 통해 근로자 정보의 공개가 필요한 경우

예시) 영업사원 연락처 등의 공개, 고객만족도 제고를 위한 담당자 업무 및 연락처 공개 등

개인정보 처리 동의는 사규(또는 취업규칙) 등에 관련 내용을 정리하여 취업규칙(또는 사규) 준수 동의를 받거나, 별도의 동의서를 통한 동의 등 다양한 방법을 활용

- , 사규를 통하여 동의를 대체하는 개인정보 처리 내용은 업무 수행에 필수 불가결한 것에 한하며,

- 개인정보 처리에 관하여 포괄적 동의가 되지 않도록 구체적 목적 단위별로 작성

* 개인정보의 수집이용 동의를 받는 방법은 P.7, 3자 제공 동의를 받는 방법은 p.9 참고

< 계약서 작성 시 유의 사항 >

필요최소한의 개인정보만 수집

- 근로계약 체결 및 이행을 위한 필수적 정보는 동의 없이 수집 가능

* , 고유식별정보 및 민감정보는 별도 동의 필요

- 근로자명부, 임금대장 작성 등 관계 법령 준수를 위해서는 동의 없이 개인정보 수집 가능

* 고유식별정보 수집도 동의 필요 없음

업무의 특성상 반드시 필요한 개인정보 제3자 제공 및 공개는 사내 규정 또는 동의서 등에 정리하여 안내하고 동의 확보

 

출처: 개인정보보호 가이드라인 인사노무편행정안전부고용노동부(2012)

 

 

채용전형 단계 개인정보보호 인사 개인정보

Posted by techshield
2017. 1. 18. 23:56 IT, 저작권 이야기/[TS] 사례연구

. 채용전형 단계

채용단계별 개인정보 수집

- 모집 공고 후, 입사 지원서 접수, 필기시험, 면접 등 채용 전형과정에서는 해당 전형과정에 필요한 개인정보만 수집

- 입사지원서 작성단계에서 채용 이후에 필요한 개인정보까지 수집하는 경우 탈락자의 개인정보까지 불필요하게 수집하는 결과 초래

* 채용전형 단계별로 필요한 개인정보를 수집하는 경우, 지원자가 해당 전형과정에 필요한 자료를 더욱 충실하게 작성할 것을 기대할 수 있음

< 전형단계별로 수집하는 개인정보 예시 >

전형 단계

서류전형

필기시험

면접

수집 정보

학점, 외국어 성적,

자격증 보유여부, 관련 경력 등

필기시험 성적

인성 / 기타경험 /논문제목 / 지도교수 / 포부 등

* 위 예시는 회사에서 요구하는 인재상 및 선발방법 등에 따라 변동 가능

* , 종교 등 민감정보의 수집이 필요한 경우에는 별도 동의를 얻어서 수집이용

* 이력서, 입사지원서, 자기소개서 등의 서식을 검토하여 인재 선발과 관련 없는 정보(주민번호, 호적관계, 본적 등)를 일괄적으로 수집하는 양식은 수정보완

< 채용전형 시 유의사항 >

서류전형

- 입사지원서 및 증빙서류 등을 통한 주민등록번호 수집 불가

* 본인 확인이 필요한 경우 주소, 전화번호 등 활용

* 증빙서류(자격, 학위, 경력 증명서 등)에 주민등록번호가 기재되는 경우 뒷자리는 마스킹 처리하여 발급받도록 안내

- 직무와 무관한 정보(정치적 성향, 가족의 직업, 신체정보 등) 수집 불가

* 채용대행사 및 시중에 유통되는 입사지원서 및 이력서 양식을 활용할 경우, 반드시 필요한 항목에 ‘필수’를 표기하여 불필요한 개인정보의 수집 방지

* 자기소개서에 직무와 무관한 사생활 정보, 민감정보 등를 기재하지 않도록 안내

- 실무편의를 위해 서류전형 단계에서 면접 및 입사 이후에 필요한 개인정보까지 일괄적으로 수집 불가

- 본인으로부터 직접 개인정보를 수집하는 것이 원칙이며, 3자로부터 제공받는 것이 불가피한 경우 관련 내용(출처, 수집 내용 등) 고지

- 입사지원자가 제출한 각종 개인정보(학력, 경력, 자격, 성적 등) 진위 확인이 필요한 경우, 관련 증명서 활용

* 입사지원자의 성명, 주민번호 등을 해당 증명서 생성(발급)기관에 제공하고 관련 증명서의 진위를 확인하는 방법은 새로운 개인정보의 수집을 수반하므로 가급적 활용하지 않는 것이 바람직

신체검사

직무수행 가능여부 등의 판단을 위해 신체검사를 실시할 경, 필요 최소한의 건강정보를 수집

 

 

합격 통보

- 격여부는 당사자에게 직접 통보가 될 수 있도록 전화, 이메 활용(홈페이지를 통한 통보는 비밀번호 등으로 본인 확인 후 실시)

 

 

채용전형 종료 후 파기 및 보관

- 채용전형 및 이의신청 절차 등이 종료된 후 입사지원자의 개인정보는 지체 없이(5일 이내) 파기하는 것이 원칙

- 인재의 수시선발 등을 위해 탈락자의 개인정보 보관이용이 필요한 경우, 기간을 정하여 당사자로부터 동의 확보

* 동의를 얻어서 보관이용하는 중이라도 정보주체의 요구가 있는 경우 즉시 삭제 후 정보주체에게 통지

* 동의를 얻어서 보관하는 경우 기업이 동의사실에 대한 입증책임 등을 부담

 

. 입사지원자 권익보호

○ 불필요한 개인정보의 3자 제공 금지

- 입사지원자의 개인정보를 법률근거 등의 정당한 사유 없이 3자에게 제공할 수 없으며, 제공이 필요할 경우 당사자의 동의를 획득한 후 처리

○ 채용 전형을 온라인 채용업체 등에 위탁할 경우, 관리 감독 철저

- 입사지원자의 개인정보처리 위탁은 문서로 처리

- 개인정보보호 관계 법령 위반에 따른 손해배상 책임에 대하여는 수탁자를 사업자(위탁자)의 소속직원으로 간주

* 위탁업무 내용과 개인정보 처리업무 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개

○ 채용시험 성적 열람요구가 있을 경우, 공개하는 것이 원칙

- 입사지원자의 채용시험 성적은 개인정보이므로 성적 열람에 대한 요구가 있는 경우 정보주체에게 공개하는 것이 원칙

* 입사지원자의 성적확인 요구에 대응하기 위한 절차 마련 필요

- 생명신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 등에는 열람의 제한 또는 거절 가능(개인정보 보호법 제35조 제4)

* 다만, 시험문제 및 면접기법 등은 개인정보가 아니므로 개인정보 보호법에 따른 공개대상이 아님

                  출처: 개인정보보호 가이드라인 인사노무편행정안전부고용노동부(2012)

 

 

채용기획 단계 개인정보 수집

Posted by techshield
2017. 1. 18. 23:54 IT, 저작권 이야기/[TS] 사례연구

           

. 채용기획 단계

개인정보 최소수집원칙에 근거한 채용계획 수립

- 개별 기업별로 인재선발에 반드시 필요한 개인정보의 종류를 결정하고 개인정보의 수집이용 계획 수립

* 개별 기업이 선호하는 인재상, 채용예정직위 직무특성, 채용방법 등에 따라 반드시 필요한 개인정보는 상이할 수 있음

* , 반드시 필요한 개인정보 수집에 관한 입증책임은 채용기업이 부담하므로, 채용전형에 필요 없는 개인정보(본적, 주민번호 등)는 수집하지 않도록 주의

< 최소한의 개인정보 예시 >

- 지원자 확인 및 연락에 필요한 정보 : 이름, 전화번호, 주소

- 지원자의 직무수행능력을 평가하는데 필요한 정보 : 학력, 성적, 자격사항 (채용예정 직위의 직무수행을 위해 학력, 경력, 자격이 요구되는 경우)

- 기업이 채용을 위해 반드시 필요하다고 인정한 개인정보는 보주체의 동의 없이 수집이용 가능

* , 정보주체로부터 직접 수집하지 않은 경우에는 정보주체의 요구가 있을 경우, 수집내용(출처, 수집 목적) 등을 고지해야 함

- 고유식별정보(주민등록번호 등) 및 민감정보(종교, 정치적 견해 등) 수집이용 원칙적으로 금지

* , 채용 전형과정에서 장애인, 국가유공자, 고령자 등의 우대를 위해 관련 정보를 수집하는 것은 해당 법령에 근거한 것이므로 별도 동의 없이 처리 가능

* 아동·청소년 관련 교육기관 등에 취업하고자 하는 자에 대한 성범죄의 경력 조회는 아동청소년의 성 보호에 관련 법률 제44조 제3항에 따라 본인의 동의를 얻어 실시

 

< 채용방법 및 개인정보 수집 유형별 준수사항 >

채용 및 개인정보 수집 유형

사례

준수사항

온라인

채용

개인정보

직접수집

- 인터넷 공개모집

- 사이버 취업박람회(설명회)

- 사용자 운영 인재DB

- 반드시 필요한 정보만 요구

- 해킹 등에 따른 유노출 주의

개인정보

간접수집

- 온라인 채용 대행업체*

- 인물 DB

- 반드시 필요한 정보만 수집

- 출처목적 등 고지(지원자 요청시)

- 위탁계약은 문서로 처리

오프라인

채용

개인정보

직접수집

- 기업설명회/취업박람회

- 캠퍼스 채용(출장면접)

- 인턴제/산학장학생제도

- 현장 및 지원자 방문(walk-ins) 채용

- 언론매체를 통한 모집광고

- 종업원 채용 추천

- 내부 모집(배치전환, 재고용, 사내공모 등)

- 반드시 필요한 정보만 수집

- 입사지원자 정보 취급자의 최소화

개인정보

간접수집

- 지도교수(또는 교사)의 추천

- 취업알선 기관 활용(파견업체, 채용대행업체, 헤드헌터)

- 반드시 필요한 정보만 수집

- 출처목적 등 고지(지원자 요청시)

* 온라인 채용 대행업체 등은 주민등록번호 등 채용과정에 꼭 필요하지 않은 정보를 수집하지 않도록 하여야 하며, 입사지원자의 개인정보를 열람한 업체를 확인할 수 있도록 관련 기록을 관리하여야 함

입사지원자 개인정보의 안전한 관리를 위한 계획 수립

- 입사지원서 접수 업무 담당자 등 전형단계별 개인정보 취급자를 필요최소한으로 지정하여, 개인정보의 유노출 가능성 최소화

- 채용대행업체 등에게 입사지원자의 개인정보 처리를 위탁할 경우 관련 계약을 문서로 처리하고 안전한 관리 및 감독을 위한 계획 수립 및 시행

* 대행업체의 법 위반에 의해 발생하는 손해배상 책임에 대하여는 대행업체를 위탁기업의 소속직원으로 봄(개인정보 보호법 제26조 제6)

   출처: 개인정보보호 가이드라인 인사노무편행정안전부고용노동부(2012)