퇴사자 개인정보 및 보유기간, 파기
퇴사자의 개인정보도 퇴사후에는 파기하야 하는 것이 원칙입니다.
원칙적으로 보유기간 종료한 후 5일 이내에 파기해야 합니다(※ 하기 행정안전부 가이드 참조)
다만, 국세기본법을 근거로 하여 5년간 보유해야 하는 정보도 있으므로,
DB 정보에 따라 개인정보 보유기간을 별도로 작성하는 것이 바람직할 것입니다.
FAQ 고용 종료 단계 Q5 퇴사한 직원의 개인정보는 언제 파기해야 하나요? 답변 답변: 퇴사 후 3년이 지나고, 보유기간이 종료된 후 5일 이내에 파기하세요. ○ 근로기준법에서 퇴직근로자의 사용증명서 청구권 행사기간을 3년으로 하고 있습니다. 따라서 사용증명서 발급을 위한 퇴직근로자 개인정보 보존연한은 최소 3년입니다. ○ 단, 경력증명 등 퇴직근로자의 사용증명서 발급을 위해 3년 이상 보관할 필요가 있는 경우, 근로자에게 동의를 받아서 보관하면 됩니다. ※ 관련법률 : 개인정보 보호법 제21조(개인정보의 파기), 위반 시 3천만원 이하의 과태료 근로기준법 제39조(사용증명서), 근로기준법 시행령 제19조(사용증명서의 청구)
Q5-1 개인정보 파기는 어떻게 해야 하나요? 답변) 개인정보가 복구 또는 재생되지 않도록 해야 합니다. ○ 컴퓨터에 저장된 파일 형태일 경우 복원이 불가능한 상태로 영구 삭제하시고, 기록물, 인쇄물, 서면 등의 형태일 경우 파쇄 또는 소각해야 합니다. ※ 관련법률 : 개인정보 보호법 제21조(개인정보의 파기) 제1항, 위반 시 3천만원 이하의 과태료
Q5-2 이 법 시행전부터 보관하고 있던 퇴직자의 개인정보에 대하여 보관에 관한 동의를 받거나 파기하여야 하나요? 답변) 그렇지 않습니다. 경력증명 등을 위한 목적으로 보관․이용하고 있던 퇴직근로자의 개인정보는 해당 목적으로만 사용하는 경우에는 추가적인 동의 없이 파기하지 않고 이용하실 수 있습니다. ○ 다만 주민등록번호 등 고유식별정보에 관하여는 개인정보보호법 제29조에 따라 안전조치를 해야 할 의무가 있습니다. ○ 퇴직근로자의 개인정보를 이용하여 마케팅을 하는 등 원래의 보유목적과 다른 용도로 이용하시고자 하는 경우에는 동의를 받으셔야 합니다. ※ 관련법률 : 개인정보 보호법 표준지침 제67조(처리 중인 개인정보에 관한 경과조치) 출처: 인사노무분야개인정보보호가이드라인(행안부)
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 의료기관 개인정보 수집이용동의서 (0) | 2017.01.25 |
|---|---|
| 신입사원 입사지원, 경력사원 입사지원서, 업무수행(위탁) 업체에 대한 직원정보 제공 동의서(예시) (0) | 2017.01.18 |
| 개인정보 보유기간 (0) | 2017.01.18 |
| 개인정보보호 교육 (0) | 2017.01.12 |
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
개인정보 보유기간
개인정보는 목적 범위 내에서만 사용하고 목적 달성시 파기하는 것이 원칙입니다.
다만,
제60조(개인정보파일 보유기간의 산정) ① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 영」에 따른 기록관리기준표를 상회할 수 없다.
③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다.
는 규정을 참조하시고, 다음과 같은 책정기준표를 참고할 수 있습니다.
개인정보파일 보유기간 책정 기준표
보유기간
대상 개인정보파일
영구
1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
준영구
1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일
2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일
30년
1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
10년
1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
5년
1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3년
1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일
2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름)
1년
1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 신입사원 입사지원, 경력사원 입사지원서, 업무수행(위탁) 업체에 대한 직원정보 제공 동의서(예시) (0) | 2017.01.18 |
|---|---|
| 퇴사자 개인정보 및 보유기간, 파기 (0) | 2017.01.18 |
| 개인정보보호 교육 (0) | 2017.01.12 |
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
개인정보보호 교육
|
Q |
|
개인정보 보호교육은 작은 사업장에서도 모두 꼭 해야 하는지? |
개인정보를 취급하는 사업장이면 직원 수에 관계없이 개인정보를 처리(수집, 저장, 기록, 보유, 검색, 제공 등)하는 개인정보 취급자는 교육을 받아야 합니다. 교육 방법은 종합지원 포털에서 사이버 교육(수료증 출력 가능), 동영상 교육 자료를 이용한 자체교육, 강사 초빙 교육 등이 있고(팩스 등으로 광고하는 업체에서 교육을 받을 필요는 없음), 사업장 내부적으로 결과 자료(ex. 회사 내부 문서(사진 첨부하면 좋음))를 증빙자료로 만들어 놓으면 됩니다.
|
Q |
|
개인정보취급자 대상 교육에는 온라인 교육도 인정되나요? |
개인정보보호 종합지원 포털(www.privacy.go.kr) 홈페이지 및 기타 온라인 교육 홈페이지에서 제공하는 온라인 교육을 수강하여 수료증이나 증빙자료가 발급되는 경우 교육으로 인정됩니다.
|
Q |
|
사내 교육이 아닌 외부에서 개인정보 보호교육을 수강한 경우 인정이 되나요? |
개인정보 보호 교육을 수강했다는 증빙자료가 발급되는 경우 외부에서 수강한 개인정보보호 교육 역시 인정됩니다.
|
Q |
|
개인정보 보호교육의 연간 지정 횟수나 의무 수강시간이 있나요? |
개인정보보호 교육의 연간 지정 횟수나 의무 수강시간은 법적으로 규정되어 있지는 않지만 연간 1~2회의 교육을 수행하는 것을 권고합니다.
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 퇴사자 개인정보 및 보유기간, 파기 (0) | 2017.01.18 |
|---|---|
| 개인정보 보유기간 (0) | 2017.01.18 |
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
표준 개인정보 유출사고 대응 매뉴얼
표준 유출사고 대응 매뉴얼입니다.
출처: 행정자치부, 한국인터넷진흥원
|
1 |
개요 |
1.1 목적
‘개인정보 유출사고 대응 매뉴얼’은 ‘개인정보 보호법’ 및 같은법 시행령, 시행규칙에 따라 개인정보 유출사고에 대한 신속하고 체계적인 대응을 목적으로 한다.
※ 관련근거 : 표준 개인정보 보호지침 제29조(개인정보 유출 사고 대응 매뉴얼 등)
1.2 법적 근거
개인정보 보호법(법률 제13423호) 및 시행령, 시행규칙
표준 개인정보보호 지침(행정자치부고시 제2016-21호)
개인정보의 안전성 확보조치 기준(행정자치부고시 제2014-7호)
1.3 적용범위
해킹, 분실, 도난 등으로 인해 개인정보가 내·외부자에 의하여 유출된 경우에 적용된다.
유출된 개인정보의 종류, 수량, 암호화 여부, 유출시기, 개인정보취급자의 고의․과실 여부 등을 묻지 아니한다.
|
가이드 |
|
|
|
o 단 1건만 유출되어도 정보주체(예: 고객, 회원)에 대한 통지 등 의무를 이행하고, 1만명 이상 유출 된 경우 행정자치부 및 한국인터넷진흥원에 신고 o 유출된 정보(예: 비밀번호, 계좌번호 등)가 암호화되어 있어도 정보주체 통지 의무 이행 | ||
|
가이드 |
|
|
|
개인정보 유출의 개념
표준 개인정보보호지침 제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다. 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 | ||
1.4 단계별 프로세스
|
가이드 |
|
|
|
o 기관의 개인정보처리 형태에 따라 조직체계, 업무분장, 비상연락체계가 상이하므로 본 양식을 참고하여 작성(다음 예시가 의무사항은 아님) | ||
|
단계 |
|
상세 업무 |
|
비고 |
|
|
|
|
|
|
|
사고인지 및 긴급조치 |
|
○ 개인정보 유출사고 신고 접수 및 사고인지 ○ 유출사고 대응센터 소집 및 유관기관 협조체계 확인 ○ 피해 최소화를 위한 긴급조치 수행 ※ 유출된 개인정보 삭제조치 및 기술지원 요청 |
|
|
|
↓ |
|
|
|
|
|
정보주체 유출통지 |
|
○ 정보주체에게 개인정보 유출사실 통지(5일이내) |
|
세부내용 2.1 참고 |
|
↓ |
|
|
|
|
|
개인정보 유출신고 |
|
○ 1만명 이상의 개인정보 유출시 행정자치부 또는 한국인터넷진흥원(privacy.go.kr)에 유출신고 |
|
세부내용 2.1 참고 |
|
↓ |
|
|
|
|
|
민원대응반 운영 |
|
○ 개인정보 유출사고 규모 및 성격에 따라 민원대응반 구성 |
|
세부내용 2.2 참고 |
|
↓ |
|
|
|
|
|
고객민원 대응 |
|
○ 2차 피해 방지를 위한 고객 민원 대응 및 고객 불안 해소 조치 |
|
세부내용 2.3~4 참고 |
|
↓ |
|
|
|
|
|
피해구제 절차 |
|
○ 개인정보 유출에 대한 피해구제 절차 안내 |
|
세부내용 2.5 참고 |
|
↓ |
|
|
|
|
|
보안기능 강화 |
|
○ 사고 원인 분석 및 보안 강화·기능 개선 |
|
|
|
↓ |
|
|
|
|
|
결과 보고 |
|
○ 기관장 및 이사회에 개인정보 유출사고 결과보고서 작성 및 보고 |
|
|
|
↓ |
|
|
|
|
|
재발방지 |
|
○ 개인정보 유출사고 사례 전파 교육 및 개선 대책 시행 |
|
|
1.5 유출대응 업무수행 체계
조직체계(유출사고 대응센터)
|
|
|
|
|
|
정보보호위원회 |
|
|
|
|
| ||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
총괄대응본부 (본부장: 개인정보보호책임자) |
|
|
|
|
| ||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
분석반 |
|
복구반 |
|
민원대응반 |
|
홍보반 |
|
법무반 | ||||||
업무분장
|
조직별 |
담당자 |
담당 업무 |
|
개인정보보호 책임자 |
•유출사고 대응 총괄 지휘 | |
|
총괄대응본부 |
○○팀장 |
•유출사고 인지, 접수, 전파 •유출사고 대응 절차 수립 •정보주체에게 유출사실 통지 •행정자치부 또는 전문기관에 유출통지 사실 신고 |
|
분석반 |
○○팀장 |
•유출 사실 확인, 조사 및 원인 분석 •사고내용 세부조사 |
|
복구반 |
○○팀장 |
•외부요인에 의한 유출의 경우, 유관 기관과 협조하여 사고 처리 지원 •시스템 복구 및 백업(유지보수/협력업체 포함) |
|
민원대응반 (온라인, 오프라인) |
○○팀장 |
•고객 개별 통지문 안내에 따른 후속업무(민원 등) 진행 •고객상담센터, 소비자보호 방안 마련(필요시 유관부서와 협조) |
|
홍보반 |
○○팀장 |
•유출사고 관련 대외기관(언론사 등) 대응 •유출사고 대고객 안내문 문구 최종 검토 |
|
법무반 |
○○팀장 |
•법률상 대응방안, 의사결정 사항 등 정책적 판단사항 검토 및 결정 •유출사고 관련 수사기관 경과사항 대응 및 대책반 공유 |
비상연락망
- 유출사고 대응센터
|
조직별 |
담당자 |
전화번호 |
이메일 |
|
개인정보보호책임자 |
성함, 직책 명시 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
총괄대응본부 |
○○팀장 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
분석반 |
○○팀장 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
복구반 |
○○팀장 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
민원대응반 |
○○팀장 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
홍보반 |
○○팀장 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
법무반 |
○○팀장 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
- 협력업체/유지보수업체
|
업체명 |
담당 시스템 |
담당자 |
전화번호 |
이메일 |
|
ㅇㅇ기업 |
ㅇㅇ시스템 |
성함, 직책 명시 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
ㅇㅇ기업 |
ㅇㅇ시스템 |
성함, 직책 명시 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
ㅇㅇ기업 |
ㅇㅇ시스템 |
성함, 직책 명시 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
ㅇㅇ기업 |
ㅇㅇ시스템 |
성함, 직책 명시 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
ㅇㅇ기업 |
ㅇㅇ시스템 |
성함, 직책 명시 |
02-000-0000 (010-000-0000) |
OOO@ooo.kr |
|
2 |
개인정보 유출 사고 대응 필수 절차 |
2.1 유출 통지·조회 절차
|
가이드 |
|
|
|
o 개인정보처리자는 개인정보보호법제34조제1항에 따른 통지 절차를 마련하고 이에 대한 내용을 다음에 기술 o 개인정보처리자는 1만명 이상 정보주체의 개인정보 유출 사고 발생 시 당국에 대한 신고관련 절차를 마련하고 이에 대한 내용을 다음에 기술 o 개인정보처리자는 고객(정보주체)이 홈페이지 등을 통해 자신의 개인정보가 유출되었는지 확인할 수 있는 절차를 만들고 이에 대한 내용을 다음에 기술 o (개인정보 처리 업무 위탁 시) 1차적인 유출 신고 및 통지 의무는 위탁자에게 있으므로, 유출사고 발생 시 수탁자와의 대응 절차를 마련하고 이에 대한 내용을 다음에 기술 | ||
총괄대응본부는 유출 인원 등을 확인하여 [붙임1]의 양식을 유출통지 방법에 따라 이용하여 정보주체들에게 유출 통지
- 통지 항목 : ①유출된 개인정보의 항목, ②유출 시점과 및 그 경위, ③피해 최소화를 위한 정보주체의 조치방법, ④기관의 대응조치 및 피해구제 절차, ⑤피해 신고 접수 담당부서 및 연락처
수탁사업자가 수탁 업무를 처리하는 과정에서 개인정보가 유출된 경우 즉시 위탁자에게 보고하도록 위·수탁계약서에 명시하고, 수탁사업자로부터 보고 받은 시점에서 지체 없이 유출 통지
1만명 이상 유출시에는 홈페이지에 필수 유출통지 5개 항목을 7일 이상 공지하고, 정보주체가 유출 여부를 확인할 수 있는 별도 페이지(http://ooo.com/119) 제공
- 1만명 이하 유출시에도 유출사실을 홈페이지에 공개하여 정보주체가 피해를 예방할 수 있도록 하는 것이 바람직함
- 아이핀, 핸드폰 인증 등을 통한 정보주체 본인 확인 후 개인정보 유출 결과 조회
2.2 유출통지 신고 절차
(1만명 이상 유출시) 인지 시점으로부터 5일 이내 행정자치부 또는 한국인터넷진흥원에 유출 신고
※ 신고방법 : privacy.go.kr 접속 - 사업자 – 개인정보 민원 – 개인정보 유출신고
- 이후 OOO홈페이지(개인정보처리자의 인터넷 홈페이지)에 필수 유출통지 5개 항목을 7일 이상 게재
(신고해야 할 내용) 정보주체에 대한 유출 통지 결과 및 피해 최소화를 위한 조치 결과
2.3 현장 혼잡 최소화 조치
|
가이드 |
|
|
|
o 물리적으로 개인정보가 소실되거나 운영 중인 개인정보가 침해당했을 경우, 해당 현장 혼잡 최소화를 위한 절차를 마련하고 이에 대한 내용을 다음에 기술 | ||
총괄대응본부은 O층 OO회의실에 오프라인 창구를 개설
- 전화, 메일, 홈페이지, SNS 등 한 가지 이상의 채널을 선택하여 단일화된 민원대응 창구를 구축
|
구분 |
채널 |
상세 내용 |
|
오프라인 |
3층 00회의실 |
|
|
온라인 中 택 1 |
전화 |
02-000-0000 |
|
메일 |
privacy@ooo.ooo | |
|
홈페이지 |
https://ooo.ooo | |
|
SNS |
#OOOO |
복구반은 유출된 시스템의 이용을 제한하고 별도의 임시 시스템 구축을 통하여 기관의 업무 혼잡 방지
분석반은 대외 수사 기관에 협조 할 수 있는 전담 인력 구성 및 대응
2.4 고객 민원 대응 조치
|
가이드 |
|
|
|
o 개인정보처리자는 고객(정보주체) 민원을 처리할 수 있는 체계를 만들고 이에 대한 내용을 다음에 기술 | ||
민원대응반은 유관부서(총괄대응본부, 법무반)과 협의하여 피해자 구제방안, 수사 진행상황 등에 대한 외부 질의 답변 방향 결정
협의 방안을 토대로 민원대응 매뉴얼 작성 및 배포
민원대응 전담 인력·회선 확보 및 대응 매뉴얼 교육
대외적 접촉창구는 민원대응반으로 단일화하여 사내 및 대민 OOO홈페이지(http://ooo.com)에 공지하고 타 팀에서 외부로부터 개인정보 유출관련 질문을 받으면 최대한 민원대응반으로 연결
기본적으로 민원대응반을 통해서 1차 민원 대응을 하고, 다음과 같은 경우 해당 부서에서 응대
|
문의별 |
담당부서 |
|
유출 확인 문의 대응 |
OO 팀 or OO반 |
|
피해구제 관련 문의 대응 |
OO 팀 or OO반 |
|
기타(OOO) |
OO 팀 or OO반 |
유출 규모와 상황을 고려하여 원활한 민원 처리를 위해 OO 통신사와 통신회선 증설 및 인터넷회선 확충과 관련된 계약수립
2.5 고객 불안 해소 조치
|
가이드 |
|
|
|
o 개인정보처리자는 고객(정보주체)이 유출된 개인정보로 인한 불안을 해소할 수 있는 체계를 마련하고 이에 대한 내용을 다음에 기술 | ||
OOO홈페이지(http://ooo.com)에 유출 피해 최소화를 위해 현재 기관에서 실시하고 있는 노력에 대한 사항 공지(1일 1회 업데이트)
비밀번호, 신용카드번호 등 유출 시 비밀번호 변경, 카드 재발급 등을 할 수 있도록 유출 통지 시 함께 안내
※ 보이스피싱, 문자피싱 등 금융사기 예방을 위한 차단신청 기능(www.anti-phishing.or.kr) 등을 구체적으로 안내
[개인정보 유출 항목별 2차 피해 예방을 위한 안내사항]
|
구분 |
세부 안내 사항 |
|
아이디, 비밀번호 유출 |
- 비밀번호 변경 안내 |
|
카드번호 유출 |
- 카드 재발급 절차 안내 |
|
다량의 개인정보 유출 |
- 보이스피싱 등 2차 피해 예방 안내 |
2.6 피해자 구제 조치
|
가이드 |
|
|
|
o 개인정보처리자는 고객(정보주체)의 피해를 구제할 수 있는 절차를 마련하고, 이에 대한 내용을 다음에 기술 | ||
시스템 오류 등 서비스 장애로 인한 고객의 민원 발생 시 유관부서와 협의하여 해결
(정보주체 요청이 있을 시) 회원 탈퇴 방법 안내 및 정보주체의 개인정보 삭제 조치
|
붙임 1 |
유출통지 방법 |
|
유출통지 방법 |
|
붙임 1 |
유출통지 방법 |
|
유출통지 방법 |
|
개인정보 유출 표준 통지문안 (예시) |
※ 유출된 항목, 유출된 시점과 경위가 확인되지 않아 통지문에 포함하지 않은 경우 추후 확인되면 반드시 추가 통지
|
표준 통지문안 예시 |
부가 설명 |
|
귀하의 개인정보는 ○○○시스템에 저장‧보관하다가 ○○○○년 ○○월경 해커에 의한 해킹으로 유출되었습니다. |
<유출된 시점과 경위> - 유출된 시점과 경위를 상세하게 설명 |
|
유출된 개인정보 항목은 이름, 아이디(ID), 비밀번호(P/W), 주민등록번호, 이메일, 연락처 총 6개입니다. |
<유출된 항목> - 유출된 항목을 누락 없이 모두 나열 |
|
유출 사실을 인지한 후 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 하였습니다. 또한, 유지보수업체 서버에 있던 귀하의 개인정보는 즉시 삭제 조치하였습니다. |
<개인정보처리자의 대응조치> - 예시된 항목 외에도 조치한 내용 설명 |
|
혹시 모를 피해를 최소화하기 위하여 귀하의 비밀번호를 변경하여 주시기 바랍니다.
그리고 개인정보 악용으로 의심되는 전화, 메일 등을 받으시거나 기타 궁금하신 사항은 연락주시면 친절하게 안내해 드리고, 신속하게 대응하도록 하겠습니다. |
<피해 최소화를 위한 정보주체의 조치방법> - 유출 경위에 따라 정보주체가 할 수 있는 방법을 안내 - 예방 가능한 방법을 모두 안내 |
|
아울러, 피해가 발생하였거나 예상되는 경우에는 아래 담당부서에 신고하시면 성실하게 안내와 상담을 해 드리겠습니다. |
<개인정보처리자의 피해 구제절차> - 보상이나 배상이 결정된 경우에는 그 내용을 상세히 기재 - 감독기관 등을 통한 구제절차도 안내 |
|
‣ 피해 등 접수 담당부서 : 0000과 ‣ 피해 등 접수 전화번호 : 02-2345-6789 ‣ 피해 등 접수 e-메일주소 : abcd@efgh.co.kr |
<피해 등 신고 접수 담당부서 및 연락처> - 전담처리부서 안내를 원칙으로 하되, 대량 유출로 일시적으로 콜센터 등 다른 부서를 지정한 경우 해당 부서를 안내 |
|
붙임 2 |
개인정보 유출 신고기관 연락처 |
□ 개인정보 유출 신고
|
기 관 명 |
전화번호 |
인터넷사이트 |
|
행정자치부 |
- |
https://www.privacy.go.kr/ (개인정보보호 종합지원포털) |
|
한국인터넷 진흥원 |
118 (Fax:02-405-5229) | |
|
방송통신 위원회 |
- |
https://www.i-privacy.kr (개인정보보호포털) http://www.kcc.go.kr (방송통신위원회) |
□ 관련기관 연락처
|
기 관 명 |
전화번호 |
인터넷사이트 |
|
대검찰청 사이버범죄 수사단 |
1301 |
http://www.spo.go.kr/minwon |
|
경찰청 사이버안전국 |
182 |
http://cyberbureau.police.go.kr |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 개인정보 보유기간 (0) | 2017.01.18 |
|---|---|
| 개인정보보호 교육 (0) | 2017.01.12 |
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
개인정보 안전성 확보조치 기준
◉ 행정자치부고시 제2016-35호
개인정보의 안전성 확보조치 기준
[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2014.12.30, 일부개정]
제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. “개인정보취급자”란 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
13. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체계를 말한다.
14. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
16. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
17. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결․분리할 수 있는 저장매체를 말한다.
18. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
20. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
제3조(안전조치 기준 적용) 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.
제4조(내부 관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검․관리하여야 한다.
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출․변조․훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립․시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관․관리하여야 한다.
② 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위․변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
제10조(관리용 단말기의 안전조치) 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출․입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
제12조(재해․재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해․재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각․파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
부 칙
제1조(시행일) 이 고시는 2016년 9월 1일부터 시행한다.
제2조(적용례) 영 제21조의2제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조제4항을 적용하지 아니한다.
[별표]
|
개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 | ||
|
유형 |
적용 대상 |
안전조치 기준 |
|
유형1 (완화) |
․1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
· 제5조:제2항부터 제5항까지 · 제6조:제1항, 제3항, 제6항 및 제7항 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형2 (표준) |
․100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
․10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
|
· 제4조:제1항제1호부터 제11호까지 및 제 15호, 제3항부터 제4항까지 · 제5조 · 제6조:제1항부터 제7항까지 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형3 (강화) |
․10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
· 제4조부터 제13조까지 |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 개인정보보호 교육 (0) | 2017.01.12 |
|---|---|
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
개인정보보호 소득세법 기부금 영수증처리
기부금영수증 신청 시, 정보주체의 동의 없는 주민등록번호 처리
가능 여부
비영리단체에서 연말정산을 위해 후원자들에게 기부금영수증이나 발급명세서를
발급하려면 주민등록번호가 필요한데, 이러한 경우에도 반드시 정보주체의
동의를 받고 처리해야 하나요?
후원자에게 기부금영수증을 발급하거나 기부금영수증 발급명세서를 발급하는
경우 「소득세법」에 따라 기부자(후원자)의 개인정보 및 주민등록번호를 기재
하여야 하므로 정보주체의 동의 없이 주민등록번호를 처리할 수 있습니다.
상세설명
「개인정보 보호법」 제24조 제1항에 따르면, 개인정보처리자는 법령에서 구체적으로 처리를 요구하거나 허용한 경우에는 제한적으로 주민등록 번호 처리가 가능합니다.
「소득세법」 제160조의3 제3항에 따르면, “기부금영수증을 발급하는 자는 해당 과세
기간의 기부금영수증 총 발급 건수 및 금액 등을 기재한 기부금영수증 발급명세서를
해당 과세기간의 다음 연도 6월 30일까지 같은 법 제168조 제5항에 따른
관할 세무서장에게 제출하여야 한다.”고 규정하고 있습니다.
따라서, 후원자에게 기부금영수증을 발급하거나 기부금영수증 발급명세서를 제출하는
경우 「소득세법 시행령」제208조의3에 따라 기부자(후원자)의 개인정보 및 주민등록
번호를 기재하여야 하므로 주민등록번호를 처리할 수 있는 법령상의 근거가 있다고
할 것입니다.
다만 정보주체가 이와 같이 법령에 따라 주민등록번호를 처리하는 경우에도 회원
가입시부터 주민등록번호 제공을 강제할 수 없으며, 기부금영수증이나 발급명세서
발급시에만 주민등록번호를 수집·이용하여야 합니다.
관련법령
「소득세법」
제160조의3(기부금영수증 발급명세의 작성·보관의무 등)
③ 기부금영수증을 발급하는 자는 해당 과세기간의 기부금영수증 총 발급 건수 및 금액 등을
기재한 기부금영수증 발급명세서를 해당 과세기간의 다음 연도 6월 30일까지 제168조제5항에
따른 관할 세무서장에게 제출하여야 한다.
「소득세법 시행령」
제208조의3(기부금영수증 발급명세의 작성·보관의무)
① 법 제160조의3제1항에서 “대통령령으로 정하는 기부자별 발급명세”란 다음 각 호의 내용이
모두 포함된 것을 말한다. <개정 2008.2.29., 2010.2.18., 2014.2.21.>
1. 기부자의 성명, 주민등록번호 및 주소(기부자가 법인인 경우에는 상호, 사업자등록번호와
「법인세법 시행령」 제7조제1항제2호 본문에 따른 본점등의 소재지)
2. 기부금액
3. 기부금 기부일자
4. 기부금영수증 발급일자
5. 그 밖에 기획재정부령으로 정하는 사항
② 법 제160조의3제3항의 기부금영수증 발급명세서는 기획재정부령으로 정하는 서식에 따른다.
<개정 2008.2.29.>
출처: 개인정보 상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
| 사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0) | 2016.10.24 |
개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행)
◉ 행정자치부고시 제2016-35호
개인정보의 안전성 확보조치 기준
[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2014.12.30, 일부개정]
제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. “개인정보취급자”란 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
13. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체계를 말한다.
14. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
16. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
17. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결․분리할 수 있는 저장매체를 말한다.
18. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
20. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
제3조(안전조치 기준 적용) 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.
제4조(내부 관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검․관리하여야 한다.
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출․변조․훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립․시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관․관리하여야 한다.
② 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위․변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
제10조(관리용 단말기의 안전조치) 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출․입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
제12조(재해․재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해․재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각․파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
부 칙
제1조(시행일) 이 고시는 2016년 9월 1일부터 시행한다.
제2조(적용례) 영 제21조의2제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조제4항을 적용하지 아니한다.
[별표]
|
개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 | ||
|
유형 |
적용 대상 |
안전조치 기준 |
|
유형1 (완화) |
․1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
· 제5조:제2항부터 제5항까지 · 제6조:제1항, 제3항, 제6항 및 제7항 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형2 (표준) |
․100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
․10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
|
· 제4조:제1항제1호부터 제11호까지 및 제 15호, 제3항부터 제4항까지 · 제5조 · 제6조:제1항부터 제7항까지 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형3 (강화) |
․10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
· 제4조부터 제13조까지 |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
| 사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0) | 2016.10.24 |
스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원)
|
법률조항 |
조항 문구 |
주요 내용 |
위반시 조치 |
|
제30조 |
이용자의 권리 등 |
o 본인 관련하여 열람, 제공 및 오류정정 요구 가능 (➁항) 1. 이용자의 개인정보 2. 이용자의 개인정보 이용 및 제3자 제공 현황 3. 제3자 제공자에게 이용자의 개인정보 수집·이용·제공 등의 동의한 현황 |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자가 동의 철회 요구시 지체없이 필요한 조치(➂항) | |||
|
o 이용자가 열람 또는 제공 요구시 지체없이 조치 (➃항) | |||
|
o 이용자가 오류 정정 요구시 지체없이 정정 또는 못하는 사유를 고지하는 등 필요한 조치하고, 그 경우 이용자의 개인정보 이용·제공 불가 (➄항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
o 동의 철회, 열람·제공 또는 오류의 정정을 요구하는 방법은 수집방법보다 쉬워야 함 (➅항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
o 영업양수자등에 대해서도 이 조항을 준용(➆항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
제30조의2 |
개인정보 이용내역의 통지 |
o 대통령령이 정하는 기준*에 해당 하는 자는 동의를 받고 수집한 이용자의 개인정보의 이용내역(제3자 제공 및 취급위탁 포함)을 주기적으로 통지 의무 (➀항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자에게 통지해야 하는 정보의 종류, 통지 주기 및 방법 등은 대통령령으로 정함 (➁항) | |||
|
제31조 |
법정대리인의 권리 |
o 만14세 미만 아동의 개인정보 수집·이용·제공 등의 동의는 법정 대리인의 동의를 획득해야 하고, 그 아동에게 필요 최소한 법정대리인의 정보 요구 가능 (➀항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과징금 (매출액 3% 이하) o 시정명령 (제64조4항) |
|
o 법정대리인의 동의 철회,열람 또는 오류 정정의요구는 제30조➂항~➄항을 준용 (➁항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
제32조 |
손해배상 |
o 이용자가 손해를 입으면 손해배상 청구 가능, 단, 고의 및 과실이 없음에 대한 책임은 정보통신사업자 제공자등이 입증 의무 |
- |
|
제63조 |
국외 이전 개인정보의 보호 |
o 망법을 위반하는 내용으로 국제계약 체결 불가(➀항) |
o 시정명령 (제64조4항) |
|
o 개인정보 국외 이전시 이용자의 동의 의무(➁항) | |||
|
o ➁항에 따른 동의시 사전 고지 사항(➂항) - 이전되는 개인정보 항목 - 이전되는 국가, 이전일시 및 이전방법 - 이전받는 자의 성명(법인은 명칭, 책임자 연락처) - 이전받는 자의 개인정보 이용목적 및 보유·이용기간 | |||
|
o 동의 받아 국외 이전시 보호조치 강구(➃항) | |||
|
제67조 |
방송사업자에 대한 준용 |
o 지상파·종합유선·위성·방송채널사용사업자·공동체라디오·중계유선·음악유선·전송망사업자전광판방송사업자는 시청자의 개인정보 수집·이용 또는 제공하는 경우 제22조부터 제32조까지 준용(➀항) |
해당 벌칙 적용 |
|
o 수탁자에 관해서는 제22조부터 24조의2와 제26조부터 제31조까지 준용 (➁항) |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0) | 2016.10.24 |
사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원)
|
법률조항 |
조항 문구 |
주요 내용 |
위반시 조치 |
|
제30조 |
이용자의 권리 등 |
o 본인 관련하여 열람, 제공 및 오류정정 요구 가능 (➁항) 1. 이용자의 개인정보 2. 이용자의 개인정보 이용 및 제3자 제공 현황 3. 제3자 제공자에게 이용자의 개인정보 수집·이용·제공 등의 동의한 현황 |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자가 동의 철회 요구시 지체없이 필요한 조치(➂항) | |||
|
o 이용자가 열람 또는 제공 요구시 지체없이 조치 (➃항) | |||
|
o 이용자가 오류 정정 요구시 지체없이 정정 또는 못하는 사유를 고지하는 등 필요한 조치하고, 그 경우 이용자의 개인정보 이용·제공 불가 (➄항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
o 동의 철회, 열람·제공 또는 오류의 정정을 요구하는 방법은 수집방법보다 쉬워야 함 (➅항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
o 영업양수자등에 대해서도 이 조항을 준용(➆항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항) | ||
|
제30조의2 |
개인정보 이용내역의 통지 |
o 대통령령이 정하는 기준*에 해당 하는 자는 동의를 받고 수집한 이용자의 개인정보의 이용내역(제3자 제공 및 취급위탁 포함)을 주기적으로 통지 의무 (➀항) |
o 과태료 (3천만원이하) o 시정명령 (제64조4항) |
|
o 이용자에게 통지해야 하는 정보의 종류, 통지 주기 및 방법 등은 대통령령으로 정함 (➁항) | |||
|
제31조 |
법정대리인의 권리 |
o 만14세 미만 아동의 개인정보 수집·이용·제공 등의 동의는 법정 대리인의 동의를 획득해야 하고, 그 아동에게 필요 최소한 법정대리인의 정보 요구 가능 (➀항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과징금 (매출액 3% 이하) o 시정명령 (제64조4항) |
|
o 법정대리인의 동의 철회,열람 또는 오류 정정의요구는 제30조➂항~➄항을 준용 (➁항) |
o 징역 (5년 이하), 벌금 (5천만원 이하) o 과태료 (3천만원이하) o 시정명령 (제64조4항) | ||
|
제32조 |
손해배상 |
o 이용자가 손해를 입으면 손해배상 청구 가능, 단, 고의 및 과실이 없음에 대한 책임은 정보통신사업자 제공자등이 입증 의무 |
- |
|
제63조 |
국외 이전 개인정보의 보호 |
o 망법을 위반하는 내용으로 국제계약 체결 불가(➀항) |
o 시정명령 (제64조4항) |
|
o 개인정보 국외 이전시 이용자의 동의 의무(➁항) | |||
|
o ➁항에 따른 동의시 사전 고지 사항(➂항) - 이전되는 개인정보 항목 - 이전되는 국가, 이전일시 및 이전방법 - 이전받는 자의 성명(법인은 명칭, 책임자 연락처) - 이전받는 자의 개인정보 이용목적 및 보유·이용기간 | |||
|
o 동의 받아 국외 이전시 보호조치 강구(➃항) | |||
|
제67조 |
방송사업자에 대한 준용 |
o 지상파·종합유선·위성·방송채널사용사업자·공동체라디오·중계유선·음악유선·전송망사업자전광판방송사업자는 시청자의 개인정보 수집·이용 또는 제공하는 경우 제22조부터 제32조까지 준용(➀항) |
해당 벌칙 적용 |
|
o 수탁자에 관해서는 제22조부터 24조의2와 제26조부터 제31조까지 준용 (➁항) |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |