개인정보의 처리위탁 및 개인정보의 범위
다. 개인정보 처리 위탁 ① 위탁 방법 ○ 사용자가 근로자 등의 개인정보 처리업무(연말정산․입사지원서 처리사무 등)를 위탁하는 경우 아래 사항이 포함된 문서에 의하여야 함 * 이 경우에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조 제1항에서 요구하는 개인정보 취급위탁에 대한 동의는 필요 없음 - 위탁업무 수행 목적 외 개인정보의 처리금지에 관한 사항 - 개인정보의 기술적․관리적 보호조치에 관한 사항 - 위탁업무의 목적과 범위 및 재위탁 제한에 관한 사항 - 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항 - 수탁자 준수의무 위반 시 손해배상 등 책임에 관한 사항
< 개인정보의 제3자 제공과 개인정보처리 업무 위탁의 구분 >
제3자 제공 : 제3자가 자신의 이익을 위하여 개인정보를 처리할 수 있도록 개인정보를 제공하는 것 업무 위탁 : 처리자의 이익을 위하여, (처리자의 감독 하에) 제3자로 하여금 처리업무를 대행하게 하는 것
② 위탁에 관한 사항 공개
○ 위탁업무 내용과 개인정보 처리업무 수탁자를 근로자 등이 언제든지 쉽게 확인할 수 있도록 내부 게시판 등을 통해 공개
* 입사지원자, 퇴직자를 제외한 근로자의 개인정보 처리 위탁에 관한 내용은 내부 게시판, 내부 간행물 또는 계약서 등을 통해 관련 근로자에게만 공개 가능
③ 수탁자 감독
○ 수탁자가 개인정보를 안전하게 처리할 수 있도록 감독해야 함
④ 손해배상 책임
○ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에 개인정보 보호법을 위반하여 발생한 손해배상 책임에 대하여는 수탁자를 위탁자의 소속직원으로 간주
|
< 수탁자의 의무 > 개인정보 처리업무 수탁자는 개인정보 처리업무에 관하여 수집․이용, 제공, 보관 등과 관련하여 개인정보처리자에게 부과되는 의무를 준수하여야 함 |
< 개인정보의 예시 >
|
구분 |
내용 | |
|
일반정보 |
이름, 주민등록번호, 주소, 전화번호, 생년월일, 이메일 주소, ID/PW, 가족관계 및 가족구성원의 정보, IP 주소 | |
|
신체적 정보 |
신체 |
얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게 |
|
의료/건강 |
건강상태, 진료기록, 신체장애, 장애등급 | |
|
정신적 정보 |
기호/성향 |
도서·비디오 대여기록, 신문·잡지 구독정보, 여행 등 활동 내역, 인터넷 검색내역 |
|
신념/사상 |
종교 및 활동내역, 정당·노조 가입여부 및 활동내역 | |
|
재산적 정보 |
금융 |
소득정보, 신용카드번호 및 비밀번호, 통장계좌번호 및 비밀번호, 동산·부동산 보유내역, 저축내역 |
|
신용 |
개인신용평가정보, 대출·담보설정 내역, 신용카드 사용내역 | |
|
사회적 정보 |
교육 |
학력, 성적, 출석상황, 자격증 보유내역, 상벌기록, 생활기록부 |
|
범죄 등 |
전과·범죄기록, 재판기록, 과태료 납부내역 | |
|
근로 |
직장, 근무처, 근로경력, 상벌기록, 직무평가기록 | |
|
기타 |
통신 |
통화내역, 인터넷 접속내역, 이메일, 문자메시지 |
|
위치 |
IP주소, GPS 등에 의한 개인위치정보 | |
|
병역 |
병역여부, 기간, 군번, 계급, 근무부대, 주특기 | |
|
화상 |
CCTV 등 영상매체를 통해 수집된 화상정보 | |
출처: 『개인정보보호 가이드라인 – 인사․노무편』 행정안전부․고용노동부(2012)
관련링크:
표준개인정보보호지침(출처: 행자부 고시 제2016-21호)
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 채용전형 단계 개인정보보호 인사 개인정보 (0) | 2017.01.18 |
|---|---|
| 채용기획 단계 개인정보 수집 (0) | 2017.01.18 |
| 졸업앨범 개인정보 마케팅 (0) | 2017.01.18 |
| 병원 개인정보, 제3자제공 위탁시 주의사항 (0) | 2017.01.18 |
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
졸업앨범 개인정보 마케팅
질문
졸업앨범에 있는 개인정보를 수집하여 TM 등에 이용하는 행위
제가 올해 대학교를 졸업했는데, 영어잡지사에서 자꾸 연락이 옵니다. 다른
졸업생들에게도 전화가 오는 걸 보니 졸업생 명부를 수집해서 이용하는 것
같은데 문제가 있는 것 아닌가요?
답변
졸업생 명부는 원칙적으로 동문들 간의 친목도모 등 최초 공개된 목적 내에
서만 이용할 수 있습니다. 따라서 영어잡지사의 TM 등의 마케팅에는 이용
할 수 없습니다.
상세설명
공개된 개인정보는 당초 공개된 목적 내에서만 이용할 수 있습니다. 예컨대 동창회
명부라면 해당 회원들의 상호 연락 및 친목 도모에만 이용될 수 있으며, 회원의 동의를
얻지 않은 마케팅 행위 등에는 이용할 수 없습니다.
공개된 목적과 다른 목적으로 개인정보를 이용하고자 할 경우, 개인정보의 수집·이용
목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간을 모두 이용자에게 알리고
동의를 받아야 합니다. 또한 동의를 얻어야 할 사항은 정보주체가 명확하게 인지하고
확인할 수 있도록 표시해야 합니다.
전화권유판매 수신거부의사 등록시스템(www.donotcall.go.kr/teldeny)
전화권유판매 수신거부의사 등록시스템이란?
- 소비자가 전화권유판매에 대하여 수신거부의사를 등록하는 것으로 홈페이지를 이용하여 수신
거부를 등록하였을 경우, 사업자는 수신거부 대조를 통하여 소유하고 있는 소비자 목록에서
제외하여야 합니다.
- 수신거부 대조는 30일에 1회 이상 실시하여야 하며, 대조를 하지 않을 경우 법적 조치가
취해질 수 있습니다.
- 사업자는 「방문판매 등에 관한 법률」개정으로 2014년 1월부터 전화권유사업자는 반드시
‘전화권유판매 수신거부의사 등록시스템’에 등록하고 동 시스템을 이용하여야 합니다.
관련법령 「방문판매 등에 관한 법률」
제42조(전화권유판매 수신거부의사 등록시스템 등)
② 전화권유판매자는 전화권유판매를 하려는 경우에는 대통령령으로 정하는 바에 따라 등록
시스템에서 소비자의 수신거부의사 등록 여부를 확인하여야 하며, 전화권유판매 수신거부의사를
등록한 소비자에게 전화권유판매를 하여서는 아니 된다. 다만, 전화권유판매업자가 총리령으로
정하는 바에 따라 소비자로부터 개별적인 동의를 받은 경우에는 그러하지 아니하다.
「방문판매 등에 관한 법률 시행령」
제49조(전화권유판매 수신거부의사의 확인방법 등)
① 법 제42조제2항 본문에 따라 전화권유판매를 하려는 전화권유판매자는 법 제42조제1항에 따른
전화권유판매 수신거부의사 등록시스템(이하 이 조에서 “등록시스템”이라 한다)에 공정거래
위원회가 확인하여 게시한 소비자의 전화권유판매 수신거부의사를 월 1회 이상 확인하여야 한다.
② 공정거래위원회는 법 제42조제4항에 따라 등록시스템의 운영을 위탁할 기관 또는 단체를
선정하는 경우에는 관계 분야 전문가의 의견을 들어 다음 각 호의 기준을 모두 충족하는 기관
또는 단체 중에서 선정한다.
1. 등록시스템 운영에 필요한 법률지식 및 전산지식을 갖춘 전문인력을 보유할 것
2. 등록시스템의 안정적 운영과 개인정보 보호에 필요한 전산설비 등 물적 시설을 갖출 것
「방문판매 등에 관한 법률 시행규칙」
제24조(수신거부의사 확인의 예외)
법 제42조 제2항 단서에 따라 전화권유판매업자는 전화권유판매의 대상과 방법, 전화권유판매
수신동의 철회 방법 등을 소비자에게 고지하고 미리 동의를 받은 경우에만 전화권유판매 수신
거부의사 등록시스템에서 소비자의 전화권유판매 수신거부의사를 확인하지 아니고 전화권유
판매를 할 수 있다.
출처: 개인정보보호상담사례집, 안행부,KISA
관련링크
개인정보보호법 집단소송제도 도입의 건(이학영 의원 대표발의)
레스토랑에서 수집한 개인정보는 어떻게 되었을까? 개업안내문자를 알아보자.
개인정보가 포함된 행정심판 답변서 송달의 경우 인권침해 가능성이 있다.
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 채용기획 단계 개인정보 수집 (0) | 2017.01.18 |
|---|---|
| 개인정보의 처리위탁 및 개인정보의 범위 (0) | 2017.01.18 |
| 병원 개인정보, 제3자제공 위탁시 주의사항 (0) | 2017.01.18 |
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
병원 개인정보, 제3자제공 위탁시 주의사항
http://www.ddaily.co.kr/news/article.html?no=127743
TS Comment:
휴면계정에 대한 개인정보 유효기간이 1년으로 변경되었습니다.
이에 따라 개인정보를 취급하는 사업자는 분리보관(논리적 분리도 가능),
또는 해당 정보를 파기해야 합니다.
물론 전자상거래법상 최대 5년까지 보유할 수 있는 규정이 있으나,
특히, 마케팅사용시에는 거래기록 및 마케팅 동의를 반드시 확인해야 합니다.
병원에서도 개인정보를 많이 수집하여, 사용하고 있습니다.
또한 병원에서는 제약회사에서의 설문조사 요청 등에 따라
개인정보 요청에 따른 다양한 개인정보 제공이나,
병원개인정보위탁사례가 발생할 수 있습니다.
그런데,
보건복지부, 안행부가 발간한 가이드 라인에는 병원개인정보를 제3자에게 이전시에는 반드시 동의를 받아야 합니다.
※ 보건복지부, 안행부 가이드라인 참조
TS COMMENT:
병원에는 민감한 환자의 개인정보가 많이 있습니다. 따라서 병원개인정보를 이전하는 경우에는 각별히 주의가 필요합니다.
개인정보보호법에는 개인정보의 제3자제공, 개인정보 위탁과 관련하여
엄격한 벌칙규정이 있습니다.
상기 내용에서 보는 바와 같이
5년이하의 "징역형"도 있으므로 개인정보이전시 주의하시기 바랍니다.
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보의 처리위탁 및 개인정보의 범위 (0) | 2017.01.18 |
|---|---|
| 졸업앨범 개인정보 마케팅 (0) | 2017.01.18 |
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
개인정보는 개인에 관한 정보이여야 한다
‘개인에 관한’ 정보이여야 한다
개인정보의 주체는 자연인이어야 하며, 법인 또는 단체에 관한 정보는 개인정보에 해당하지 않는다. 따라서 법인 또는 단체의 이름, 소재지 주소, 대표 연락처(이메일 주소 또는 전화번호), 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 또한, 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액, 납세액 등은 사업체의 운영과 관련한 정보로서 원칙적으로 개인정보에 해당하지 않는다.
그러나 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보인 대표자를 포함한 임원진과 업무 담당자의 이름·주민등록번호·자택주소 및 개인 연락처, 사진 등 그 자체가 개인을 식별할 수 있는 정보는 개별 상황 또는 맥락에 따라 법인 등의 정보에 그치지 않고 개인정보로 취급 될 수
있다.
사람이 아닌 사물에 관한 정보는 원칙적으로 개인정보에 해당하지 않는다. 그러나 해당 사물 등의 제조자 또는 소유자 등을 나타내는 정보는 개인정보에 해당한다. 예를 들어, 특정 건물이나 아파트의 소유자가 자연인인 경우, 그 건물이나 아파트의 주소가 특정 소유자를 알아보는데
이용된다면 개인정보에 해당한다.
‘개인에 관한 정보’는 반드시 특정 1인만에 관한 정보이어야 한다는 의미가 아니며, 직·간접적으로 2인 이상에 관한 정보는 각자의 정보에 해당한다. SNS에 단체 사진을 올린다면 사진의 영상정보는 사진에 있는 인물 모두의 개인정보에 해당하며, 의사가 특정 아동의 심리치료를 위해 진료 기록을
작성하면서 아동의 부모 행태 등을 포함하였다면 그 진료기록은 아동과 부모 모두의 개인정보에 해당한다. 다만, 특정 개인에 관한 정보임을 알아볼 수 없도록 통계적으로 변환된 ‘○○기업 평균연봉’, ‘○○대학 졸업생 취업률’ 등은 개인정보에 해당하지 않는다.
이처럼 개인정보 해당성 여부는 구체적 상황에 따라 다르게 평가될 수 있다. 예를 들어 ‘휴대전화번호 뒤 4자리’를 개인정보라고 본 판례가 있으나, 이는 다른 정보와의 결합가능성 등을
고려하여 개인 식별가능성이 있으므로 개인정보로 본 것이다. 만약 다른 결합 가능 정보가 일체없이 오로지 휴대전화번호 뒤 4자리만 있는 경우에는 개인정보에 해당하지 않는다고 보아야 할 것이다.
판례 휴대전화번호 뒤 4자리
대전지법 논산지원(2013고단17 판결)은 「휴대전화번호 뒷자리 4자」에 대하여, “휴대전화번호 뒷자리 4자만으로도그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있다”고 하여
「개인정보보호법」 제2조제1호에 규정된 개인정보에 해당된다고 판시하고 있다.
※ 출처: 개인정보보호법 해설서
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 졸업앨범 개인정보 마케팅 (0) | 2017.01.18 |
|---|---|
| 병원 개인정보, 제3자제공 위탁시 주의사항 (0) | 2017.01.18 |
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리
OO공사에서 고객만족도 조사를 위해 설문조사를 위탁하면서 자신들이 수집
보유하고 있던 고객의 개인정보를 외부 리서치업체에 제공할 수 있나요?
OO공사는 법령이 정하고 있는 고객만족도 조사 업무에 한해서 정보주체의
별도 동의는 필요 없으나, 이 경우에도 「개인정보 보호법」 제26조에 따른 위탁
절차를 준수하여야 합니다.
개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 ① 위탁
업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, ② 개인정보의 기술적·관리적
보호조치에 관한 사항, ③ 위탁업무의 목적 및 범위, ④ 재위탁 제한에 관한 사항, ⑤
개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항, ⑥ 위탁업무와 관련하여
보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, ⑦ 수탁자가 준수하여야 할
의무를 위반한 경우의 손해배상 등에 관한 사항이 포함된 문서에 의하여야 합니다.
위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는
훼손되지 아니하도록 수탁자를 교육하고, 수탁자가 개인정보를 안전하게 처리하는지를
감독하여야 하며, 수탁자는 개인정보처리자가 준수하여야 할 사항 및 위·수탁 계약의
내용을 확인·점검하여야 합니다.
「개인정보 보호법」
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이
포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는
위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를
정보주체가 언제든지 수탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·
변조 또는 훼손되기 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는
대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야
한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지
아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가
개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용
하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여
발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지
및 제59조를 준용한다.
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 병원 개인정보, 제3자제공 위탁시 주의사항 (0) | 2017.01.18 |
|---|---|
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에
내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에
위탁할 때, 개인정보 위탁에 대한 별도의 동의를 받아야 하나요?
내부 직원에 대한 교육 위탁은 별도의 동의가 필요하지 않지만 직원에게 위탁
내용과 수탁자를 고지해야 합니다.
업무처리 의뢰(업무위탁)에 관한 사항을 문서로 작성하여야 하고, 개인정보를 제공받은
업체와 업무의 내용을 내부 게시판 등을 통해 직원들에게 공개하도록 하여야 합니다.
업무처리를 위탁할 때 사용하는 계약서가 따로 형식은 정해져 있지 않지만, ① 업무
위탁 목적 이외의 다른 목적으로 개인정보를 이용할 수 없다는 것, ② 개인정보를 안전
하게 관리하기 위해 취해야할 조치, ③ 위탁업무의 목적, ④ 재위탁 제한에 관한 사항,
⑤ 위탁업무와 관련하여 개인정보의 관리현황을 점검하고 감독할 수 있다는 것, ⑥ 손해
배상 등에 관한 사항 등이 포함된 문서로 작성하여야 하고, 직원정보를 제공받은 업체가
이를 잘 관리할 수 있도록 관리·감독하여야 합니다.
참고로 안전행정부에서는「개인정보 보호법」제26조 제1항에 따라 위탁계약에 있어
개인정보 처리에 관하여 문서로 정하여야 하는 최소한의 사항을 표준적으로 작성한
표준 개인정보처리위탁 계약서(안)을 마련하였습니다. 개인정보처리업무를 위탁하거나
위탁업무에 개인정보 처리가 포함된 경우에는 표준 개인정보처리위탁 계약서의 내용을
위탁계약서에 첨부하거나 반영하여 사용할 수 있으며, 위탁계약이나 위탁업무의 내용
등에 따라 세부적인 내용은 달라질 수 있습니다.
「개인정보 보호법」
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이
포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는
위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를
정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야
한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령
령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는
업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지
아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가
개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나
제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한
손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조
까지 및 제59조를 준용한다.
출처: 개인정보보호 상담사례집
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
| 임직원 이메일 정보가 개인정보인지 여부 (0) | 2016.10.28 |
학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부
위하여 수강생의 사진, 이름, 학교 등의 정보를 현수막에 기재할 수 있나요?
학원은 학원운영을 위해 법령에 따라 수집한 수강생의 개인정보를 수집 목적
이외로 사용할 수 없습니다. 따라서 수강생의 개인정보를 이용하기 위해서는
해당 수강생 등에게 개인정보 수집·이용에 관한 사항을 알리고 동의를 받아야
합니다.
학원은 「학원의 설립·운영 및 과외교습에 관한 법률 시행규칙」에 따라 수강생 대장
작성을 위해 성명, 생년월일, 주소 등을 수강생의 동의 없이 수집·이용할 수 있습니다.
또한, 학원은 수강생 대장 작성 외에 학원 홍보 및 효율적인 강의 제공을 위해 수강생의
개인정보를 별도의 동의절차를 통해 수집·이용할 수 있습니다.
그러나 수강생 중 합격생의 정보를 학원 홈페이지, 현수막 기재 등을 통한 홍보목적에
활용하는 것은 당초 수집목적 외의 용도로 불특정 제3자에게 개인정보를 제공하는 것에
해당합니다.
따라서 이러한 경우, 해당 수강생의 개인정보를 이용하기 위해서는 해당 수강생이나
법정대리인에게 개인정보 수집·이용에 관한 사항을 알리고, 동의를 받아야 합니다.
「개인정보 보호법」
제18조(개인정보의 이용·제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항
및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보
주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적
외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는
공공기관의 경우로 한정한다.
1. 정보주체로부터 별도의 동의를 받은 경우
제22조(동의를 받는 방법)
⑤ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를
받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기
위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수
있다.
「학원의 설립·운영 및 과외교습에 관한 법률 시행규칙」
제16조(장부 및 서류 비치 등)
학원 또는 교습소는 별표에 따른 장부 및 서류를 갖추어 두고 기록·유지하여야 한다.
- 수강생 대장 : 등록번호, 성명, 생년월일, 주소, 전화번호, 입원연월일, 퇴원연월일
출처: 2013 개인정보상담사례집
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
| 임직원 이메일 정보가 개인정보인지 여부 (0) | 2016.10.28 |
내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다.
1. 내부 임직원용 개인정보처리방침과 개인정보 수집ㆍ이용 동의서의 개인정보 수집 목적에 주요 업무, 주요 서비스를 명기하고 기타 관련사항들은 업무지원이라고 포괄적으로 명시할 수 있나요 ?
개인정보처리방침을 공개하고 및 개인정보 수집ㆍ이용 동의서를 징 구하는 이유는 정보주체에게 개인정보처리자의 개인정보처리현황을 알리기 위한 것이므로 개인정보 수집·이용 목적은 최대한 구체적으로 가능한 업무목적을 기재하셔야 합니다. o 구체적으로 명시한 수집ㆍ이용 목적 외에 부수적인 업무목적을 모두 나열하기가 어려운 경우 ‘기타 업무지원’이라고 표기할 수 있으나, 이 경우에도 '기타 업무지원 등'에 대한 내용은 정보주체들이 예측가능하 고 합리적인 범위내의 업무나42 서비스를 의미해야 합니다.
2. 채용시 입사지원자의 개인정보를 수집ㆍ이용할 때 유의 사항은
무엇인가요?
회사는 「개인정보 보호법」 제15조제1항제4호에 따라 채용을 위하여 반드시 필요한 개인정보는 입사지원자의 동의 없이 수집하여 이용할 수 있으며, 채용계약 체결을 위한 필수적인 정보가 아닌 경우 「개인정 보 보호법」 제15조제1항제1호에 따라 반드시 입사지원자의 동의를 받 아야 합니다.
채용과정이 종료되면 입사지원자의 개인정보는 더 이상 불필요하게 되었으므로, 회사는 탈락자의 개인정보를 지체없이 파기하여야 합니다. 다만, 인재 DB 등을 구축하여 상시채용시스템을 운영하는 경우 보유기 간을 명시하고 입사지원자의43동의를 받아 보관할 수 있습니다.
3. 회사감사부서에서 감사의 목적으로 임직원 가족의 주민등록번호, 주소, 성명, 연락처 등을 이용하여 임직원의 비리를 조사할 수 있나요?
회사는 「개인정보 보호법」 제15조제1항에 따라 수집한 개인정보를 수집한 목적 범위에서만 이용해야 하므로, 복리후생제공 등을 위해 수 집한 직원가족의 개인정보를 감사목적으로 이용하기 위해서는 「개인정 보 보호법」 제18조제2항제1호에 따라 직원가족의 별도의 동의를 받아 야 합니다.
출처: 개인정보보호종합포털
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 임직원 이메일 정보가 개인정보인지 여부 (0) | 2016.10.28 |
임직원 이메일 정보가 개인정보인지 여부
개인정보의 개념
회사에서 직원의 개인정보파일을 만들려고 하는데 직원들의 이메일이 개인
정보에 해당하나요?
개인정보는 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을
통하여 개인을 알아볼 수 있는 정보뿐만 아니라, 해당 정보만으로는 특정 개인을
알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것은 모두
개인정보에 포함됩니다.
※ 성명, 이메일 주소, 특히 주민등록번호는 원고들 개개인에 대한 식별수단으로서 그 유출로
인하여 신분도용의 문제까지 발생할 수 있는 중요 정보이고, 더구나 이들 정보가 ‘성명, 주민등록번호, 이메일 주소’ 또는 ‘성명, 이메일 주소’의 형태로 서로 결합됨으로써 개인의 식별가능성이 훨씬 커지며, 상품이나 서비스를 제공하는 사업자에게는 홍보활동 등의 유용한 영업수단이 된다고 볼 수 있음(서울고법 2007.11.27. 선고 2007나33059 판결)
상세설명
일반적으로 개인정보란 생존하는, 개인에 관한 정보로서 특정 개인을 식별하거나
식별할 수 있는 모든 정보입니다.
여기서 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人) 또는 단체의 정보는 해당되지 않습니다.
따라서 법인의 상호, 영업소재지, 대표이사의 성명, 이사·감사 등 임원 정보, 자산,
영업실적 등의 정보는 개인정보의 범위에 해당하지 않습니다.
개인에 관한 정보란 당해 개인에 대한 사실·판단·평가 등 개인에 관한 정보를 말합
니다. 따라서 현행 「개인정보 보호법」, 「정보통신망법」은 개인정보에 대한 구체적이고
세부적인 기준이나 요건을 규정하고 있지 않으므로 특정 개인과 관련된 모든 정보는
개인정보에 해당된다고 볼 수 있습니다.
또한 개인정보로 인정되기 위해서는 해당 정보가 특정 개인을 식별하거나 식별 가능
해야 합니다. 따라서 해당 개인정보가 이미 통계적으로 변환되어 특정 개인이라는 사실을 식별할 수 없다면 개인정보라고 할 수 없습니다.
해당 정보만으로 개인을 식별할 수 있는 경우뿐만 아니라 다른 정보와 쉽게 결합해서
특정 개인의 식별이 가능한 경우에도 그 정보를 개인정보로 규정하고 있습니다.
예를 들어, 주민등록번호는 개인마다 고유한 것으로 개인을 손쉽게 식별할 수 있으므로 개인정보에 해당됩니다. 이와 달리 주소, 전화번호, 이메일 등이 독자적으로 노출되었을 때에는 개인을 식별할 수 없습니다. 하지만 다른 정보와 결합하면 특정 개인을 식별할 수 있게 되므로 개인정보로 볼 수 있습니다.
개인정보는 성명, 주민등록번호 등 인적사항에서부터 사회·경제적 지위와 상태, 교육,
건강·의료, 재산, 문화 활동 및 정치적 성향과 같은 내면의 비밀에 이르기까지 그 종류가 매우 다양하고 폭넓습니다.
또한 사업자의 서비스에 이용자가 직접 회원으로 가입하거나 등록할 때, 사업자에게
제공하는 정보뿐만 아니라 이용자가 서비스를 이용하는 과정에서 생성되는 통화내역,
로그기록, 구매내역 등도 개인정보가 될 수 있습니다.
출처: 안전행정부, KISA 개인정보보호 상담사례집
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |