비밀번호 일방향 암호화 홈페이지 로그인
홈페이지의 로그인 비밀번호의 일방향 암호화 여부
회원가입한 협회 홈페이지에 방문하여 비밀번호 찾기를 진행하였더니, 제 비밀
번호 일부를 이메일로 알려주었습니다. 비밀번호는 일방향 암호화 한다고 들었
는데 위반 아닌가요?
개인정보처리자는 비밀번호가 복호화되지 않도록 반드시 일방향 암호화하여
저장하여야 하며, 이용자가 비밀번호 분실 등을 이유로 재발급을 원하는 경우에는
이용자에게 임의의 비밀번호를 부여하고, 회원정보에 등록된 이메일 등으로
부여된 임의의 비밀번호를 전송하고 이용자가 확인 후 사이트에 접속하여 비밀
번호를 다시 설정할 수 있도록 하여야 합니다.
상세설명
개인정보처리자는 비밀번호를 저장하는 경우, 복호화되지 않도록 일방향 암호화하여
저장해야 합니다.
암호화는 개인정보취급자의 실수 또는 외부 공격자의 침입 등으로 인해 개인정보가
비인가자에게 유·노출되더라도 그 주요 내용을 확인할 수 없게 하는 보안기술을 의미
합니다.
주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트워크를 통해
전송될 경우, 불법적인 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한
보호조치가 제공되어야 합니다.
일방향 암호화란 해쉬(Hash) 함수를 이용하여 암호화된 값을 생성하는 방식을 의미합니다. 즉, 암호화하여 저장한 값으로 다시 원본 값을 유추하거나 복호화 할 수 없는
방식을 말합니다.
예를 들어, 사업자가 회원들의 비밀번호를 일방향 암호화하였다면 어느 누구도 일방향
암호화된 비밀번호를 복호화하여 원래의 비밀번호를 확인할 수 없어야 합니다.
따라서 부득이하게 회원들이 비밀번호를 분실하거나 재발급을 요청하는 경우,
별도의
임시번호를 부여하여 비밀번호가 복호화 되지 않고 일방향 암호화하여 사용될 수
있도록 하여야 합니다.
출처: 2013 개인정보보호상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 병원 개인정보 (0) | 2017.01.12 |
|---|---|
| 개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0) | 2016.12.17 |
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
동호회 개인정보보호 암호화
동호회의 경우, 수집한 개인정보를 암호화 저장해야 하는지 여부
동호회의 경우, 친목도모를 위해 이름과 연락처 정도만을 수집하고 있는데,
이를 암호화 저장해야 하나요?
동호회, 동창회 등 친목도모를 위한 단체를 운영하기 위해서 이름과 연락처
정도만의 개인정보를 처리하는 경우에는 별도의 암호화 저장 의무는 없습니다.
상세설명
개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인
정보를 처리하는 경우에는 개인정보의 수집·이용, 개인정보처리방침의 수립 및 공개,
개인정보보호책임자의 지정 등은 적용하지 아니합니다. 친목단체는 업무적 성격
보다는 사적 모임의 성격이 강하기 때문에 이 법의 일부 적용을 배제한 것입니다.
따라서 친목단체는 목적범위 내에서 정보주체의 동의 없이 회원의 최소한의 개인정보를
수집·이용하는 것이 가능하지만, 친목단체의 설립 목적을 벗어난 이용·제공에 대해서는
「개인정보 보호법」일반원칙에 따라 처리하여야 합니다.
친목단체의 설립 목적 범위 내에서 개인정보를 처리하는 경우에도 개인정보의 최소
수집 원칙, 개인정보의 기술적·관리적 보호조치, 고유식별정보 및 민감정보의 처리 제한,
수탁자에 대한 관리·감독, 개인정보 유출 통지 및 신고 의무, 개인정보 파기, 정보주체의
권리보호 등의 규정은 모두 그대로 적용됩니다.
동호회, 동창회 등 친목도모를 위한 단체를 위해서 이름과 연락처를 수집하는 경우에
해당 개인정보는 암호화 저장 대상이 아니므로 암호화 저장 의무가 없습니다.
출처: 2013 개인정보보호상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0) | 2016.12.17 |
|---|---|
| 비밀번호 일방향 암호화 홈페이지 로그인 (0) | 2016.11.03 |
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
개인정보보호 소득세법 기부금 영수증처리
기부금영수증 신청 시, 정보주체의 동의 없는 주민등록번호 처리
가능 여부
비영리단체에서 연말정산을 위해 후원자들에게 기부금영수증이나 발급명세서를
발급하려면 주민등록번호가 필요한데, 이러한 경우에도 반드시 정보주체의
동의를 받고 처리해야 하나요?
후원자에게 기부금영수증을 발급하거나 기부금영수증 발급명세서를 발급하는
경우 「소득세법」에 따라 기부자(후원자)의 개인정보 및 주민등록번호를 기재
하여야 하므로 정보주체의 동의 없이 주민등록번호를 처리할 수 있습니다.
상세설명
「개인정보 보호법」 제24조 제1항에 따르면, 개인정보처리자는 법령에서 구체적으로 처리를 요구하거나 허용한 경우에는 제한적으로 주민등록 번호 처리가 가능합니다.
「소득세법」 제160조의3 제3항에 따르면, “기부금영수증을 발급하는 자는 해당 과세
기간의 기부금영수증 총 발급 건수 및 금액 등을 기재한 기부금영수증 발급명세서를
해당 과세기간의 다음 연도 6월 30일까지 같은 법 제168조 제5항에 따른
관할 세무서장에게 제출하여야 한다.”고 규정하고 있습니다.
따라서, 후원자에게 기부금영수증을 발급하거나 기부금영수증 발급명세서를 제출하는
경우 「소득세법 시행령」제208조의3에 따라 기부자(후원자)의 개인정보 및 주민등록
번호를 기재하여야 하므로 주민등록번호를 처리할 수 있는 법령상의 근거가 있다고
할 것입니다.
다만 정보주체가 이와 같이 법령에 따라 주민등록번호를 처리하는 경우에도 회원
가입시부터 주민등록번호 제공을 강제할 수 없으며, 기부금영수증이나 발급명세서
발급시에만 주민등록번호를 수집·이용하여야 합니다.
관련법령
「소득세법」
제160조의3(기부금영수증 발급명세의 작성·보관의무 등)
③ 기부금영수증을 발급하는 자는 해당 과세기간의 기부금영수증 총 발급 건수 및 금액 등을
기재한 기부금영수증 발급명세서를 해당 과세기간의 다음 연도 6월 30일까지 제168조제5항에
따른 관할 세무서장에게 제출하여야 한다.
「소득세법 시행령」
제208조의3(기부금영수증 발급명세의 작성·보관의무)
① 법 제160조의3제1항에서 “대통령령으로 정하는 기부자별 발급명세”란 다음 각 호의 내용이
모두 포함된 것을 말한다. <개정 2008.2.29., 2010.2.18., 2014.2.21.>
1. 기부자의 성명, 주민등록번호 및 주소(기부자가 법인인 경우에는 상호, 사업자등록번호와
「법인세법 시행령」 제7조제1항제2호 본문에 따른 본점등의 소재지)
2. 기부금액
3. 기부금 기부일자
4. 기부금영수증 발급일자
5. 그 밖에 기획재정부령으로 정하는 사항
② 법 제160조의3제3항의 기부금영수증 발급명세서는 기획재정부령으로 정하는 서식에 따른다.
<개정 2008.2.29.>
출처: 개인정보 상담사례집 안행부, KISA
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
| 사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0) | 2016.10.24 |
리콜을 위한 개인정보수집시 동의여부
제품 판매시, 리콜업무를 대비하여 동의 없이 고객의 개인정보 수집
가능 여부
사후 발생 가능한 리콜업무수행을 위해 제품 판매시에 고객의 개인정보를
수집하려는데 정보주체의 동의 없이도 가능한가요?
향후 발생할 수 있는 리콜업무를 대비하여 제품 판매시, 미리 모든 고객의
개인정보를 수집하는 것은 「개인정보 보호법」에 따른 법령상 의무를 준수하기
위하여 불가피한 경우로 보기 어려우므로, 고객의 개인정보를 수집할 때에는
정보주체의 동의를 받아 수집해야 합니다.
상세설명
「소비자기본법」 및 「제조물 책임법」에 따라 물품 등으로 인해 생명·신체 또는 재산에
손해가 발생할 경우, 사업자는 손해를 배상할 의무가 있으며, 물품 등으로 인하여 소비자에게 위해가 발생하지 아니하도록 필요한 조치를 강구하여야 합니다.
일반적으로 손해배상은 소비자가 직접 손해배상을 청구하거나, 소비자에게 제공한 물품등의 결함으로 인하여 소비자의 생명·신체 또는 재산에 위해를 끼치거나 끼칠 우려가 있는 경우 사업자는 스스로 또는 중앙행정기관의 장의 권고나 명령에 의해 소비자에게 유통된
제품에 대하여 리콜조치를 취하게 됩니다. 이때 손해배상의 처리나 리콜업무의 수행에 필요한 소비자의 개인정보를 수집·이용할 수 있습니다.
※ 리콜이란 물품의 결함으로 신체·재산상의 위해가 발생하거나 발생할 우려가 있는 결함이 발견된 경우, 해당 물품에 대하여 수리·교환·환급 등의 방법으로 소비자의 피해를 예방하기위한 제도
「제조물 책임법」의 입법 목적 및 취지, 규정 내용 등에 비추어 보면, 제조업자가 손해를
배상할 책임이 인정되는 ‘결함’이라 함은 제품이 통상 갖추어야 할 안전성을 결여함으로써 그 제조물로 인하여 그 이용자 또는 제3자에게 생명, 신체, 기타 재산상의 피해를 발생시킬 위험성을 가지고 있는 것을 말하며, 안전성과 관련되는 손해를 발생시키지 않는 단순한 품질의 하자는 「제조물 책임법」의 적용대상이 아닙니다.
(2009. 8. 20. 선고 2008가합27878판결)
따라서, 리콜은 ‘결함’의 의미를 좁게 해석하는 바, 리콜의무가 발생할 가능성은 낮으나 제품 판매시 리콜의무를 이행하기 위해 개인정보를 고객의 동의 없이 수집하는 것은 의무 준수를 위한 불가피한 경우에 해당하지 아니하므로 소비자의 동의를 받는 경우에한하여 개인정보를 수집하여야 합니다.
출처: 개인정보보호 상담사례집(2013) 안행부, 키사
'IT, 저작권 이야기' 카테고리의 다른 글
| 개인정보보호 교육과 관련한 Q&A (0) | 2016.12.17 |
|---|---|
| 직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0) | 2016.11.03 |
| 아파트 관리사무소 개인정보수집은 어디까지일까요 (0) | 2016.11.03 |
| 임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0) | 2016.11.03 |
| 개인정보 보유기간 책정기준표 (0) | 2016.10.30 |
아파트 관리사무소 개인정보수집은 어디까지일까요
아파트 관리사무소에 차량 출입 등록시, 가족의 주민등록번호가 기재
되어 있는 주민등록등본 수집 가능 여부
관리사무소가 차량 출입 등록을 하려는 입주민에게 가족의 주민등록번호가
기재되어있는 주민등록등본과 차량등록증을 제출하라고 하는데,「개인정보
보호법」상 문제가 없나요?
아파트 관리사무소에서 주차된 차량이 입주민의 차량인지 여부를 확인하고자
필요한 범위 내에서 개인정보를 수집하는 것은 일정 부분 필요하다고 볼 수
있으나, 이를 초과하는 개인정보 수집은 개인의 동의를 얻어야 합니다. 특히
주민등록번호는 법령에서 허용하는 경우를 제외하고는 수집이 엄격히 제한
됩니다.
상세설명
차량 출입 등록시, 해당 입주민의 차량번호, 동호수, 성명, 전화번호 등을 수집하는
것은 아파트 관리사무소가 주차된 차량이 입주민의 차량인지 여부를 식별하고 필요한
연락 등을 취하기 위한 필요 최소한의 개인정보에 해당됩니다.
다만, 단순한 차량등록을 위해 입주민 또는 가족 전체의 주민등록번호가 기재된 주민
등록등본과 차량등록증을 수집하여 관리하는 것은 업무 목적에 필요한 범위를 벗어난
과도한 개인정보 수집으로 볼 수 있으며, 주민등록번호까지 수집해야할 불가피성이
있다고 보기도 어렵습니다.
출처: 개인정보보호 상담사례집 2013
참고조항
「개인정보 보호법」 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다. ② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. ③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니 한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리 할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 |
'IT, 저작권 이야기' 카테고리의 다른 글
| 직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0) | 2016.11.03 |
|---|---|
| 리콜을 위한 개인정보수집시 동의여부 (0) | 2016.11.03 |
| 임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0) | 2016.11.03 |
| 개인정보 보유기간 책정기준표 (0) | 2016.10.30 |
| 영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0) | 2016.10.30 |
임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요
채용전형 시 유의사항 >
○ 서류전형
- 입사지원서 및 증빙서류 등을 통한 주민등록번호 수집 불가 * 본인 확인이 필요한 경우 주소, 전화번호 등 활용
- 채용전형과 무관한 정보(정치적 성향, 가족의 직업, 신체정보 등) 수집 불가 * 채용대행사 및 시중에 유통되는 입사지원서 및 이력서 양식을 활용할 경우, 반드시 필요한 항목에 ‘필수’를 표기하여 불필요한 개인정보의 수집 방지
* 자기소개서에 전형과 무관한 사생활 정보, 민감정보 등를 기재하지 않도록 안내 - 행정편의를 위해 서류전형 단계에서 면접 및 입사 이후에 필요한 개인 정보까지 일괄적으로 수집하는 것은 금지
- 본인으로부터 직접 개인정보를 수집하는 것이 원칙이며, 제3자로부터 제공받는 것이 불가피한 경우 관련 정보주체로부터 내용(출처, 수집 내용 등)을 알려주어야 함
- 입사지원자가 제출한 각종 개인정보(학력, 경력, 자격, 성적 등)의 진위 확인이 필요한 경우, 관련 증명서 활용 * 입사지원자의 성명, 주민등록번호 등을 해당 증명서 생성(발급)기관에 제공하고 관련 증명서의 진위를 확인하는 방법은 새로운 개인정보의 수집을 수반하므로 가급적 활용하지 않는 것이 바람직함
○ 신체검사
- 직무수행 가능여부 등의 판단을 위해 신체검사를 실시할 경우, 필요한 범위에서 최소한의 건강정보를 수집해야 하며 지원자의 동의를 받아 실시 * 채용예정업무의 특성에 따라 수집 정보의 종류 및 범위를 결정
○ 합격 통보
- 합격여부는 당사자에게 직접 통보가 될 수 있도록 전화, 이메일 등을 활용(홈페이지를 통한 통보는 비밀번호 등으로 본인 확인 후 실시)
○ 전형 종료 후 파기 및 보관
- 전형 및 이의신청 절차 등이 종료된 후 입사지원자의 개인정보는 지체 없이(5일 이내) 파기하는 것이 원칙
- 인재의 수시선발 등을 위해 탈락자의 개인정보 보관 ․ 이용이 필요한 경우, 기간을 정하여 당사자로부터 별도 동의를 받아야 함
* 별도 동의를 받아서 보관․ 이용하는 중이라도 정보주체의 삭제 요구가 있는 경우 즉시 삭제 후 정보주체에게 통지
* 별도 동의를 받아서 보관하는 경우 기업이 그 동의사실에 대한 입증책임 등을 부담
입사지원자 권익보호
○ 개인정보의 제3자 제공 금지 - 입사지원자의 개인정보를 법률근거 등의 정당한 사유 없이 제3자에게 제공할 수 없으며, 제공이 필요할 경우 당사자의 동의가 있는 경우 등 제3자 제공 허용요건에 해당하는 경우 제공
○ 채용 전형을 온라인 채용대행업체 등에 위탁할 경우, 관리 감독 철저 - 입사지원자의 개인정보처리 위탁은 필수적 기재사항이 기재된 문서로 처리(표준 개인정보처리 위탁 계약서
참고) - 개인정보보호 관계 법령 위반에 따른 손해배상 책임에 대하여는 수탁자를 사용자(위탁자)의 소속직원으로 간주 * 위탁업무 내용과 개인정보 처리업무 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 사용자의 인터넷 홈페이지 등에 게재·공개
○ 채용시험 성적 열람요구가 있을 경우, 공개하는 것이 원칙
- 입사지원자의 채용시험 성적은 개인정보이므로 성적 열람에 대한 요구가 있는 경우 해당 정보주체가 본인임을 확인한 후 본인에게 직접 공개하는 것이 원칙 * 입사지원자의 채용시험 성적확인 요구에 대응하기 위한 절차 마련 필요
- 생명 ․ 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 등에는 열람의 제한 또는 거절 가능(개인정보 보호법 제35조 제4항)
* 다만, 시험문제 및 면접기법 등은 개인정보가 아니므로 개인정보 보호법에 따른 공개대상이 아님
출처: 개인정보보호 가이드라인 – 인사・노무편 행정자치부・고용노동부(2015)
'IT, 저작권 이야기' 카테고리의 다른 글
| 리콜을 위한 개인정보수집시 동의여부 (0) | 2016.11.03 |
|---|---|
| 아파트 관리사무소 개인정보수집은 어디까지일까요 (0) | 2016.11.03 |
| 개인정보 보유기간 책정기준표 (0) | 2016.10.30 |
| 영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0) | 2016.10.30 |
| 인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0) | 2016.10.28 |
개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의
- < 개인정보 자기결정권 > - 인간의 존엄과 가치, 행복추구권을 규정한 「헌법」 제10조제1문에서 도출되는 일반적 인격권 및 「헌법」 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리 - 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리 - 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한 되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함. - 또한 그러한 개인정보를 대상으로 한 조사 ․ 수집 ․ 보관 ․ 처리 ․ 이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당함 (헌재 2005. 5. 26. 99헌마513등, 공보 105, 666, 672)
- OECD 가이드라인
OECD 가이드라인
목적에 필요한 최소한 범위안에서 적법하고 정당하게 수집
수집 제한의 원칙
처리목적 범위 안에서 정확성·완전성·최신성 보장 정보 정확성의 원칙
처리목적의 명확화 목적 명확화 원칙
필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지 이용 제한의 원칙
정보주체의 권리침해 위험성 등을 고려, 안전성 확보 안전성 확보 원칙
개인정보 처리사항 공개(처리방침 공개, 법 제30조) 공개의 원칙
열람청구권 등 정보주체의 권리보장 정보주체 참여 원칙
개인정보처리자의 책임준수·실천, 신뢰성 확보 노력 책임의 원칙
- 신입사원 채용을 위해 입사지원서를 받으려고 합니다. 개인정보를 얻기 위해서 지원자의 동의를 받아야 하나요?
답변) 민감정보, 고유식별정보를 제외하고 채용을 위해 필요한 최소한의 개인정보에 관하여는 동의 없이 수집할 수 있습니다. ○ ‘계약의 체결’에는 계약 체결을 위한 준비단계도 포함됩니다. 회사가 근로계약 체결 전에 지원자의 이력서 등을 수집 ․ 이용하는 경우가 이에 해당됩니다. ○ 일반적으로 주민번호는 채용 전형을 위해서는 수집할 수 없으며, 법령에 구체적인 근거가 있는 경우에만 수집 가능합니다. ○ 최소한의 개인정보 예시 - 지원자를 확인하는데 필요한 이름, 생년월일 - 지원자와 연락하는데 필요한 연락처, 주소 - 지원자의 직무수행능력을 평가하는데 필요한 학력, 성적, 자격사항 등 (채용예정 직위의 직무수행을 위해 관련 학력, 경력이 요구되는 경우) ○ 참고로 온라인 채용사이트 운영자 및 채용대행사 등은 구직자에게 개인정보 처리에 대해 구체적으로 안내하고 동의를 받은 후 동의 받은 범위에서만 관련 정보를 활용 ․ 제공하여야 합니다. ※ 관련법률 : 개인정보 보호법 제15조(개인정보의 수집․ 이용) 제1항 제4호, 위반 시 5천만원 이하의 과태료
출처: 개인정보보호 가이드라인 – 인사・노무편 행정자치부・고용노동부(2015)
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 비밀번호 일방향 암호화 홈페이지 로그인 (0) | 2016.11.03 |
|---|---|
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
퇴직급여, 연말정산, 카드회사 관련 개인정보
사용자가 「근로자퇴직급여 보장법」에 따라 퇴직연 금사업자와 퇴직연금운용관리계약 또는 자산관리 계약을 체결하여 연금 또는 자산을 관리하도록 하 는 경우, 직원의 개인정보를 퇴직연금사업자에게 제공할 때 직원의 동의가 필요한가요?
o 사용자가 퇴직연금운용관리계약 또는 자산관리계약을 체결하여 퇴직금제도에 관한 자신의 업무를 퇴직연금사업자에게 위탁하고 근 로자의 개인정보를 제공하는 경우 「개인정보 보호법」 제26조에 따른 업무위탁에 따른 것으로 직원의 동의를 받지 않아도 됩니다. o 다만, 이 경우에도 퇴직연금사업자는 퇴직연금가입자의 성명, 주소 등의 개인정보를 퇴직연금의 운용과 관련된 업무수행에 필요한 범위 에서만 사용하여야 합니다.
회사가 직원교육, 연말정산업무를 외부교육업체, 연 말정산업체에 위탁하는 경우 직원의 개인정보를 제 공할 때 동의를 받아야 하는지?
o 회사는 「개인정보 보호법」 제26조에 따라 개인정보처리가 수 반되는 업무인 직원교육 및 직원의 연말정산업무를 외부 업체에 위탁할 수 있으며, 위탁업무 수행을 위해 직원의 개인정보를 제 공하는 경우 직원의 동의를 필요로 하지 않습니다. o 다만, 이 경우에도 직원교육, 연말정산 등 근로자 개인정보처 리가 수반되는 업무의 위탁은 반드시 문서에 의하여야 하며, 위 탁업무 내용을 직원이 언제든지 쉽게 확인할 수 있도록 내부 게 시판 등을 통해 직원들에게49 공개하여야 합니다.
카드회사로부터 직원의 재직유무, 근무부서, 직위 등의 개인정보를 문의하는 경우 알려줄 수 있는지?
o 회사는 「개인정보 보호법」 제18조제2항제1호에 따라 재직유무, 근무 부서, 직위 등을 카드회사에게 알려주기 위해서는 해당 직원의 별도의 동의를 받아야 합니다. o 신용카드사업자는 「여신전문금융업법」 제14조 및 동법 시행령 제6 조의7에 따라 신용카드 또는 직불카드를 발급하기 전에 카드신청자의 재직여부 등을 확인할 필요가 있는 경우 카드신청자에게 재직증명서 등을 제출하도록 한 후 제출된 재직증명서의 진위여부를 회사에 확인 할 수 있습니다.
출처: 개인정보보호종합포털
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
|---|---|
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |
내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다.
1. 내부 임직원용 개인정보처리방침과 개인정보 수집ㆍ이용 동의서의 개인정보 수집 목적에 주요 업무, 주요 서비스를 명기하고 기타 관련사항들은 업무지원이라고 포괄적으로 명시할 수 있나요 ?
개인정보처리방침을 공개하고 및 개인정보 수집ㆍ이용 동의서를 징 구하는 이유는 정보주체에게 개인정보처리자의 개인정보처리현황을 알리기 위한 것이므로 개인정보 수집·이용 목적은 최대한 구체적으로 가능한 업무목적을 기재하셔야 합니다. o 구체적으로 명시한 수집ㆍ이용 목적 외에 부수적인 업무목적을 모두 나열하기가 어려운 경우 ‘기타 업무지원’이라고 표기할 수 있으나, 이 경우에도 '기타 업무지원 등'에 대한 내용은 정보주체들이 예측가능하 고 합리적인 범위내의 업무나42 서비스를 의미해야 합니다.
2. 채용시 입사지원자의 개인정보를 수집ㆍ이용할 때 유의 사항은
무엇인가요?
회사는 「개인정보 보호법」 제15조제1항제4호에 따라 채용을 위하여 반드시 필요한 개인정보는 입사지원자의 동의 없이 수집하여 이용할 수 있으며, 채용계약 체결을 위한 필수적인 정보가 아닌 경우 「개인정 보 보호법」 제15조제1항제1호에 따라 반드시 입사지원자의 동의를 받 아야 합니다.
채용과정이 종료되면 입사지원자의 개인정보는 더 이상 불필요하게 되었으므로, 회사는 탈락자의 개인정보를 지체없이 파기하여야 합니다. 다만, 인재 DB 등을 구축하여 상시채용시스템을 운영하는 경우 보유기 간을 명시하고 입사지원자의43동의를 받아 보관할 수 있습니다.
3. 회사감사부서에서 감사의 목적으로 임직원 가족의 주민등록번호, 주소, 성명, 연락처 등을 이용하여 임직원의 비리를 조사할 수 있나요?
회사는 「개인정보 보호법」 제15조제1항에 따라 수집한 개인정보를 수집한 목적 범위에서만 이용해야 하므로, 복리후생제공 등을 위해 수 집한 직원가족의 개인정보를 감사목적으로 이용하기 위해서는 「개인정 보 보호법」 제18조제2항제1호에 따라 직원가족의 별도의 동의를 받아 야 합니다.
출처: 개인정보보호종합포털
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 임직원 이메일 정보가 개인정보인지 여부 (0) | 2016.10.28 |
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다.
회사가 복지서비스를 제공하기 위해 근로자 또는 근로자 가족의 개인 정보를 수집하면서 동의를 얻어야 하는지 여부 회사가 근로자의 복리후생을 위해 가족의 이름, 생년월일, 연락처 등의 개인 정보를 수집하는 경우, 가족구성원의 동의를 받아야 하나요?
「근로복지기본법」상 회사는 근로자 및 근로자의 가족에 대한 복리후생 제공을 위하여 가족의 개인정보를 가족구성원의 동의 없이 수집·이용할 수 있습니다. 상세설명 사업자가 정보주체의 개인정보를 이용하여 서비스를 제공하기 위해서는 정보주체로부터 개인정보 수집·이용 동의를 획득하여야 하며, 법률의 특별한 규정이 있는 경우, 법령상 의무를 준수하기 위하여 불가피한 경우, 계약의 체결·이행에 불가피한 경우 등에는 정보 주체의 동의 없이도 개인정보를 수집·이용할 수 있습니다.
본 사안의 경우, 회사에서는 「근로복지기본법」에 따라 자녀 학비 지원, 직계존속 건강 진단, 주택지원 등 근로자 및 근로자 가족에 대한 복지를 제공해야 합니다. 또한, 복지 제공이 근로조건에 포함되어 있다면, ‘근로 계약의 체결·이행에 필요한 경우’에도 필요합니다. 따라서 근로자 가족의 개별적 동의가 없더라도 개인정보 수집·이용이 가능합니다. 그러나 주민등록번호 등 고유식별정보는 법령에서 구체적으로 요구 및 허용하는 경우를 제외하고 정보주체의 별도 동의를 받아야 합니다. 23 다만, 부득이하게 가족관계 및 연령확인 등을 위한 가족관계증명서 등을 확인할 경우 에는 가족의 주민등록번호 뒷자리가 노출되지 않도록 처리한 후, 제출하는 것이 바람직 합니다.
관련법령
「개인정보 보호법」 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리 할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
「근로복지기본법」[법률 제11845호, 2013.5.28.] 제5조(사업주 및 노동조합의 책무) ① 사업주(근로자를 사용하여 사업을 행하는 자를 말한다. 이하 같다)는 해당 사업장 근로자의 복지증진을 위하여 노력하고 근로복지정책에 협력하여야 한다. ② 노동조합 및 근로자는 근로의욕 증진을 통하여 생산성 향상에 노력하고 근로복지정책에 협력하여야 한다.
「표준지침」 제6조(개인정보의 수집) ⑥ 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.
출처 개인정보 상담사례집, 안전행정부/KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |
| 암호문 공격 분류 (0) | 2016.10.25 |