개인정보 안전성 확보조치 기준
◉ 행정자치부고시 제2016-35호
개인정보의 안전성 확보조치 기준
[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2014.12.30, 일부개정]
제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. “개인정보취급자”란 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
13. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체계를 말한다.
14. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
16. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
17. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결․분리할 수 있는 저장매체를 말한다.
18. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
20. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
제3조(안전조치 기준 적용) 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.
제4조(내부 관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검․관리하여야 한다.
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출․변조․훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립․시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관․관리하여야 한다.
② 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위․변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
제10조(관리용 단말기의 안전조치) 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출․입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
제12조(재해․재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해․재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각․파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
부 칙
제1조(시행일) 이 고시는 2016년 9월 1일부터 시행한다.
제2조(적용례) 영 제21조의2제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조제4항을 적용하지 아니한다.
[별표]
|
개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 | ||
|
유형 |
적용 대상 |
안전조치 기준 |
|
유형1 (완화) |
․1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
· 제5조:제2항부터 제5항까지 · 제6조:제1항, 제3항, 제6항 및 제7항 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형2 (표준) |
․100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
․10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
|
· 제4조:제1항제1호부터 제11호까지 및 제 15호, 제3항부터 제4항까지 · 제5조 · 제6조:제1항부터 제7항까지 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형3 (강화) |
․10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
· 제4조부터 제13조까지 |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 개인정보보호 교육 (0) | 2017.01.12 |
|---|---|
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0) | 2016.10.27 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리
OO공사에서 고객만족도 조사를 위해 설문조사를 위탁하면서 자신들이 수집
보유하고 있던 고객의 개인정보를 외부 리서치업체에 제공할 수 있나요?
OO공사는 법령이 정하고 있는 고객만족도 조사 업무에 한해서 정보주체의
별도 동의는 필요 없으나, 이 경우에도 「개인정보 보호법」 제26조에 따른 위탁
절차를 준수하여야 합니다.
개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 ① 위탁
업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, ② 개인정보의 기술적·관리적
보호조치에 관한 사항, ③ 위탁업무의 목적 및 범위, ④ 재위탁 제한에 관한 사항, ⑤
개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항, ⑥ 위탁업무와 관련하여
보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, ⑦ 수탁자가 준수하여야 할
의무를 위반한 경우의 손해배상 등에 관한 사항이 포함된 문서에 의하여야 합니다.
위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는
훼손되지 아니하도록 수탁자를 교육하고, 수탁자가 개인정보를 안전하게 처리하는지를
감독하여야 하며, 수탁자는 개인정보처리자가 준수하여야 할 사항 및 위·수탁 계약의
내용을 확인·점검하여야 합니다.
「개인정보 보호법」
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이
포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는
위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를
정보주체가 언제든지 수탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·
변조 또는 훼손되기 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는
대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야
한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지
아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가
개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용
하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여
발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지
및 제59조를 준용한다.
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 병원 개인정보, 제3자제공 위탁시 주의사항 (0) | 2017.01.18 |
|---|---|
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부
위탁하였습니다. B사가 개인정보를 TM업체에 팔았다면, 이에 대한 손해배상
책임은 누구에게 있는건가요?
수탁자가 「개인정보 보호법」을 위반하여 정보주체에게 손해가 발생한 경우,
정보주체는 위탁사(A사)나 수탁사(B사) 중 어느 한 쪽에 손해배상을 청구할
수 있습니다.
「개인정보 보호법」 제26조에서 위탁자는 수탁자가 개인정보를 안전하게 처리하는지를
관리·감독하도록 규정하고 있습니다.
위탁자는 업무위탁 계약서를 통해 취급 목적 등 수탁자가 행할 수 있는 개인정보
취급업무의 범위를 구체적으로 적시하고 수탁자가 위탁업무와 관련해 부여받은
업무범위를 벗어나지 않도록 수시로 관리·감독할 책임이 있습니다.
따라서 수탁자가 위탁받은 업무와 관련하여 「개인정보 보호법」을 위반하여 정보주체에게
손해를 끼쳐 민사상의 손해배상 책임을 질 경우, 수탁자를 개인정보처리자의 소속 직원으로
간주하며, 손해를 입은 정보주체는 위탁자나 수탁자 중 어느 한 쪽에 손해배상을 청구할 수
있고, 위탁자는 수탁자에게 구상권을 행사할 수 있습니다.
또한, 수탁자가 관련 법률을 위반한 경우, 수탁자 역시 행정처분 혹은 형사처벌의
대상이 될 수 있습니다.
「개인정보 보호법」
제26조(업무위탁에 따른 개인정보의 처리 제한)
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지
아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가
개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나
제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한
손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지
및 제59조를 준용한다.
출처: 개인정보상담사례집
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 병원 개인정보처리방침 (0) | 2017.01.12 |
|---|---|
| 병원 개인정보 (0) | 2017.01.12 |
| 비밀번호 일방향 암호화 홈페이지 로그인 (0) | 2016.11.03 |
| 동호회 개인정보보호 암호화 (0) | 2016.11.03 |
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에
내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에
위탁할 때, 개인정보 위탁에 대한 별도의 동의를 받아야 하나요?
내부 직원에 대한 교육 위탁은 별도의 동의가 필요하지 않지만 직원에게 위탁
내용과 수탁자를 고지해야 합니다.
업무처리 의뢰(업무위탁)에 관한 사항을 문서로 작성하여야 하고, 개인정보를 제공받은
업체와 업무의 내용을 내부 게시판 등을 통해 직원들에게 공개하도록 하여야 합니다.
업무처리를 위탁할 때 사용하는 계약서가 따로 형식은 정해져 있지 않지만, ① 업무
위탁 목적 이외의 다른 목적으로 개인정보를 이용할 수 없다는 것, ② 개인정보를 안전
하게 관리하기 위해 취해야할 조치, ③ 위탁업무의 목적, ④ 재위탁 제한에 관한 사항,
⑤ 위탁업무와 관련하여 개인정보의 관리현황을 점검하고 감독할 수 있다는 것, ⑥ 손해
배상 등에 관한 사항 등이 포함된 문서로 작성하여야 하고, 직원정보를 제공받은 업체가
이를 잘 관리할 수 있도록 관리·감독하여야 합니다.
참고로 안전행정부에서는「개인정보 보호법」제26조 제1항에 따라 위탁계약에 있어
개인정보 처리에 관하여 문서로 정하여야 하는 최소한의 사항을 표준적으로 작성한
표준 개인정보처리위탁 계약서(안)을 마련하였습니다. 개인정보처리업무를 위탁하거나
위탁업무에 개인정보 처리가 포함된 경우에는 표준 개인정보처리위탁 계약서의 내용을
위탁계약서에 첨부하거나 반영하여 사용할 수 있으며, 위탁계약이나 위탁업무의 내용
등에 따라 세부적인 내용은 달라질 수 있습니다.
「개인정보 보호법」
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이
포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는
위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를
정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야
한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령
령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는
업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지
아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가
개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나
제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한
손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조
까지 및 제59조를 준용한다.
출처: 개인정보보호 상담사례집
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
| 임직원 이메일 정보가 개인정보인지 여부 (0) | 2016.10.28 |
학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부
위하여 수강생의 사진, 이름, 학교 등의 정보를 현수막에 기재할 수 있나요?
학원은 학원운영을 위해 법령에 따라 수집한 수강생의 개인정보를 수집 목적
이외로 사용할 수 없습니다. 따라서 수강생의 개인정보를 이용하기 위해서는
해당 수강생 등에게 개인정보 수집·이용에 관한 사항을 알리고 동의를 받아야
합니다.
학원은 「학원의 설립·운영 및 과외교습에 관한 법률 시행규칙」에 따라 수강생 대장
작성을 위해 성명, 생년월일, 주소 등을 수강생의 동의 없이 수집·이용할 수 있습니다.
또한, 학원은 수강생 대장 작성 외에 학원 홍보 및 효율적인 강의 제공을 위해 수강생의
개인정보를 별도의 동의절차를 통해 수집·이용할 수 있습니다.
그러나 수강생 중 합격생의 정보를 학원 홈페이지, 현수막 기재 등을 통한 홍보목적에
활용하는 것은 당초 수집목적 외의 용도로 불특정 제3자에게 개인정보를 제공하는 것에
해당합니다.
따라서 이러한 경우, 해당 수강생의 개인정보를 이용하기 위해서는 해당 수강생이나
법정대리인에게 개인정보 수집·이용에 관한 사항을 알리고, 동의를 받아야 합니다.
「개인정보 보호법」
제18조(개인정보의 이용·제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항
및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보
주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적
외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는
공공기관의 경우로 한정한다.
1. 정보주체로부터 별도의 동의를 받은 경우
제22조(동의를 받는 방법)
⑤ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를
받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기
위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수
있다.
「학원의 설립·운영 및 과외교습에 관한 법률 시행규칙」
제16조(장부 및 서류 비치 등)
학원 또는 교습소는 별표에 따른 장부 및 서류를 갖추어 두고 기록·유지하여야 한다.
- 수강생 대장 : 등록번호, 성명, 생년월일, 주소, 전화번호, 입원연월일, 퇴원연월일
출처: 2013 개인정보상담사례집
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
| 임직원 이메일 정보가 개인정보인지 여부 (0) | 2016.10.28 |
노동조합이 회사에게 단체교섭을 이유로 직원의 근무 관련 개인정보를
근무성적, 급여내역 등)를 요청하는 경우, 제공할 수 있나요?
회사에서 보유하고 있는 직원의 근무 관련 정보를 노동조합에 제공하기 위해서는
원칙적으로 해당 직원의 동의를 얻어야 합니다.
「노동조합 및 노동관계조정법」 제30조는 노동조합과 사용자의 성실한 교섭 의무와
정당한 이유 없는 교섭 및 단체협약의 체결거부 금지 등의 원칙을 규정하고 있지만,
사용자가 근로자의 동의 없이 해당 근로자의 개인정보를 노동조합 등 제3자에게 제공
할 수 있도록 허용하는 내용을 포함하고 있지 않습니다.
따라서 회사에서 보유하고 있는 직원의 개인정보를 노동조합에 제공하기 위해서는
원칙적으로 해당 직원에게 개인정보 제3자 제공 동의를 받아야 합니다.
정보주체의 개인정보를 제3자에게 제공하는 경우, ① 개인정보를 제공받는 자, ② 제공
받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보 항목, ④ 제공받는 자의 개인정보
보유 및 이용기간, ⑤ 동의를 거부할 권리 및 불이익이 있는 경우, 불이익 고지 등을 정보
주체에게 알리고 동의를 얻어야 합니다.
「개인정보 보호법」
제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를
제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를
제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체
에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를
받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그
불이익의 내용
「노동조합 및 노동관계조정법」[법률 제12630호, 2014.5.20.]
제30조(교섭등의 원칙)
① 노동조합과 사용자 또는 사용자단체는 신의에 따라 성실히 교섭하고 단체협약을 체결하여야
하며 그 권한을 남용하여서는 아니된다.
② 노동조합과 사용자 또는 사용자단체는 정당한 이유없이 교섭 또는 단체협약의 체결을 거부
하거나 해태하여서는 아니된다.
※ 개인정보보호상담사례집 (2013)
'IT, 저작권 이야기' 카테고리의 다른 글
| US SWISS 프라이버시 쉴드 (0) | 2017.01.12 |
|---|---|
| FINRA 14.4백만 달러 부과처분 (0) | 2017.01.09 |
| 서로 다른 지역에서 같은 상호를 쓰는 병원들 간에 환자진료기록의 (0) | 2016.12.17 |
| 경찰관이 직무 수행을 위해 구청에서 처리하는 주민의 전입신고서 (0) | 2016.12.17 |
| 대학병원에서 재직했던 의사가 근무 중에 알게 된 환자정보를 이용 (0) | 2016.12.17 |
서로 다른 지역에서 같은 상호를 쓰는 병원들 간에 환자진료기록의
|
|
서로 다른 지역에서 같은 상호를 쓰는 병원들 간에 환자진료기록의 공유가 가능한지 여부 |
|
질문 |
서로 다른 지역에서 같은 상호를 사용하며 주요 진료기술이나 마케팅, 재료 구입 등을 공유하는 병원의 각 지점병원들은 환자의 진료기록과 개인정보를 공유해도 되나요? |
|
답변 |
같은 상호를 쓰는 병원이라 하더라도 원칙적으로 환자의 진료기록이나 개인 정보를 공유해서는 안 됩니다. 다만 「의료법」에 따라 환자의 진료를 위해 불가피 하거나, 환자나 환자 보호자의 동의를 받은 경우에는 다른 지점에 진료정보를 제공할 수 있습니다. |
|
설명 |
「개인정보 보호법」은 개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우 에는 해당 법률을 따르도록 하고 있어 진료기록과 관련한 개인정보에 관하여는 「의료법」이 우선 적용됩니다. 의료인은 「의료법」에 따라 다른 의료인으로부터 진료기록의 내용 확인이나 환자의 진료경과에 대한 소견 등을 송부할 것을 요청받은 경우, 해당 환자의 의식이 없거나 응급환자인 경우 또는 환자의 보호자가 없어 동의를 받을 수 없는 경우를 제외하고는 해당 환자나 환자 보호자의 동의를 받도록 규정하고 있습니다. 따라서 병원에서 환자나 환자 보호자의 동의 없이 일률적으로 타 의료기관에 환자 진료기록 등을 공유하는 것은 「의료법」에 저촉될 수 있습니다.
또한 병원에서 환자진료기록 등 개인정보를 병원 홍보나 마케팅 자료로 다른 지점에 제공하고자 하는 경우, 환자에게 ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등을 알리고 동의를 받아야 합니다. |
|
법령 |
「개인정보 보호법」 제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다. 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다. |
출처: 행자부 개인정보보호상담사례집
'IT, 저작권 이야기' 카테고리의 다른 글
| FINRA 14.4백만 달러 부과처분 (0) | 2017.01.09 |
|---|---|
| 노동조합이 회사에게 단체교섭을 이유로 직원의 근무 관련 개인정보를 (0) | 2016.12.17 |
| 경찰관이 직무 수행을 위해 구청에서 처리하는 주민의 전입신고서 (0) | 2016.12.17 |
| 대학병원에서 재직했던 의사가 근무 중에 알게 된 환자정보를 이용 (0) | 2016.12.17 |
| 개인정보보호 교육과 관련한 Q&A (0) | 2016.12.17 |
경찰관이 직무 수행을 위해 구청에서 처리하는 주민의 전입신고서
|
|
경찰관이 직무 수행을 위해 구청에서 처리하는 주민의 전입신고서 등의 개인정보를 요청시, 제공 가능 여부 |
|
질문 |
사법경찰관 등 수사기관이 범죄 수사와 관련하여 구청에서 처리하는 주민들의 전입신고 관련 정보를 요청할 경우, 구청에서는 정보주체의 동의 없이 제공 할 수 있나요? |
|
답변 |
정보주체 또는 제3자의 이익을 부당하게 침해하는 경우를 제외하고, 수사기관이 범죄의 수사와 공소의 제기 및 유지를 위하여 불가피한 경우, 필요최소한의 범위에 한하여 정보주체의 동의 없이 제공 가능합니다. |
|
설명 |
개인정보처리자가 보유하고 있는 개인정보를 수집·이용 목적 이외의 용도로 제공하기 위해서는 다른 법률에 특별한 규정이 있거나 정보주체의 동의를 받아야 합니다. 공공기관의 경우, 수사기관이 범죄수사, 공소제기 및 유지를 위해서 필요하다고 요청하는 경우, 해당 개인정보를 정보주체의 별도 동의 없이 수사기관에 제공할 수 있습니다. 다만, 범죄수사 등을 위한 경우라 하더라도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우에는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없습니다. 특히 임의수사의 경우에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당 사건과 관계가 있다고 인정할 수 있는 경우에 한하여 극히 제한적으로 개인정보를 제공하여야 할 것이며, 범죄의 형태나 경중, 정보주체가 받을 불이익의 정도 등 제반 사정을 종합적으로 고려하여 가능한 개인정보자기결정권에 대한 침해가 되지 않도록 해야 합니다. |
|
법령 |
「개인정보 보호법」 제18조(개인정보의 이용·제공 제한) ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보 주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 「형사소송법」[법률 제12576호, 2014.5.14.] 제199조(수사와 필요한 조사) ① 수사에 관하여는 그 목적을 달성하기 위하여 필요한 조사를 할 수 있다. 다만, 강제처분은 이 법률에 특별한 규정이 있는 경우에 한하며, 필요한 최소한도의 범위 안에서만 하여야 한다. ② 수사에 관하여는 공무소 기타 공사단체에 조회하여 필요한 사항의 보고를 요구할 수 있다. 「경찰관 직무집행법」[법률 제12600호, 2014.5.20.] 제8조(사실의 확인 등) ① 경찰관서의 장은 직무 수행에 필요하다고 인정되는 상당한 이유가 있을 때에는 국가기관이나 공사(公私) 단체 등에 직무 수행에 관련된 사실을 조회할 수 있다. 다만, 긴급한 경우에는 소속 경찰관으로 하여금 현장에 나가 해당 기관 또는 단체의 장의 협조를 받아 그 사실을 확인하게 할 수 있다. |
참조: 개인정보보호 상담사례집
'IT, 저작권 이야기' 카테고리의 다른 글
| 노동조합이 회사에게 단체교섭을 이유로 직원의 근무 관련 개인정보를 (0) | 2016.12.17 |
|---|---|
| 서로 다른 지역에서 같은 상호를 쓰는 병원들 간에 환자진료기록의 (0) | 2016.12.17 |
| 대학병원에서 재직했던 의사가 근무 중에 알게 된 환자정보를 이용 (0) | 2016.12.17 |
| 개인정보보호 교육과 관련한 Q&A (0) | 2016.12.17 |
| 직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0) | 2016.11.03 |
대학병원에서 재직했던 의사가 근무 중에 알게 된 환자정보를 이용
대학병원에서 재직했던 의사가 근무 중에 알게 된 환자정보를 이용
하여 퇴직 후 개업을 알리는 문자를 발송하는 것이 위법한지 여부
- 사례
1년 전에 대학병원에서 진료를 받았습니다. 그리고 며칠 전, 그 당시 진료를
담당했던 의사로부터 개업인사 문자가 왔습니다. 대학병원 퇴직 후 개업하는
의사가 대학병원에서 진료목적으로 수집한 개인정보를 이용하여 개업인사
문자를 보낼 수 있나요?
- 답변
의료기관(대학병원)이 「의료법」에 근거하여 수집하는 개인정보는 진료의 목적
으로만 사용하여야 하며, 개인정보를 제3자에게 제공하기 위해서는 별도의
개인정보 수집·이용 동의가 필요합니다. 따라서 이러한 동의가 없었다면, 개인
정보를 제공할 수 없고, 이를 이용하여 문자를 보내서는 안 됩니다.
- 상세설명
개인정보처리자가 보유하고 있는 개인정보를 수집·이용 목적 이외의 용도로 제공하기
위해서는 다른 법률에 특별한 규정이 있거나 정보주체의 동의를 받아야 합니다.
공공기관의 경우, 수사기관이 범죄수사, 공소제기 및 유지를 위해서 필요하다고 요청
하는 경우, 해당 개인정보를 정보주체의 별도 동의 없이 수사기관에 제공할 수 있습니다.
다만, 범죄수사 등을 위한 경우라 하더라도 정보주체 또는 제3자의 이익을 부당하게
침해할 우려가 있는 경우에는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없습니다.
특히 임의수사의 경우에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당
사건과 관계가 있다고 인정할 수 있는 경우에 한하여 극히 제한적으로 개인정보를 제공하여야 할 것이며, 범죄의 형태나 경중, 정보주체가 받을 불이익의 정도 등 제반 사정을 종합적으로 고려하여 가능한 개인정보자기결정권에 대한 침해가 되지 않도록 해야 합니다.
관계없는 홍보문자 등을 목적으로 개인정보를 이용하고자 하는 경우에는
해당 정보주체의
동의를 별도로 획득하여야 합니다.
정보주체의 동의를 받을 때에는 ① 개인정보의 수집·이용 목적, ② 수집하려는 개인
정보 항목, ③개인정보의 보유 및 이용기간, ④ 동의를 거부할 권리가 있다는 사실과
그에 따른 불이익을 알리고 동의를 받아야 합니다.
- 근거
「개인정보 보호법」
제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며
그 수집 목적의 범위에서 이용할 수 있다.
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
제18조(개인정보의 이용·제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항
및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보
주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적
외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는
공공기관의 경우로 한정한다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
2. 제18조제1항·제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용
하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를
제공받은 자
출처: 개인정보보호상담사례집 참조
'IT, 저작권 이야기' 카테고리의 다른 글
| 서로 다른 지역에서 같은 상호를 쓰는 병원들 간에 환자진료기록의 (0) | 2016.12.17 |
|---|---|
| 경찰관이 직무 수행을 위해 구청에서 처리하는 주민의 전입신고서 (0) | 2016.12.17 |
| 개인정보보호 교육과 관련한 Q&A (0) | 2016.12.17 |
| 직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0) | 2016.11.03 |
| 리콜을 위한 개인정보수집시 동의여부 (0) | 2016.11.03 |
개인정보보호 교육과 관련한 Q&A
교육 Q & A
|
Q |
|
개인정보 보호교육은 작은 사업장에서도 모두 꼭 해야 하는지? |
개인정보를 취급하는 사업장이면 직원 수에 관계없이 개인정보를 처리(수집, 저장, 기록, 보유, 검색, 제공 등)하는 개인정보 취급자는 교육을 받아야 합니다. 교육 방법은 종합지원 포털에서 사이버 교육(수료증 출력 가능), 동영상 교육 자료를 이용한 자체교육, 강사 초빙 교육 등이 있고(팩스 등으로 광고하는 업체에서 교육을 받을 필요는 없음), 사업장 내부적으로 결과 자료(ex. 회사 내부 문서(사진 첨부하면 좋음))를 증빙자료로 만들어 놓으면 됩니다.
|
Q |
|
개인정보취급자 대상 교육에는 온라인 교육도 인정되나요? |
개인정보보호 종합지원 포털(www.privacy.go.kr) 홈페이지 및 기타 온라인 교육 홈페이지에서 제공하는 온라인 교육을 수강하여 수료증이나 증빙자료가 발급되는 경우 교육으로 인정됩니다.
|
Q |
|
사내 교육이 아닌 외부에서 개인정보 보호교육을 수강한 경우 인정이 되나요? |
개인정보 보호 교육을 수강했다는 증빙자료가 발급되는 경우 외부에서 수강한 개인정보보호 교육 역시 인정됩니다.
|
Q |
|
개인정보 보호교육의 연간 지정 횟수나 의무 수강시간이 있나요? |
개인정보보호 교육의 연간 지정 횟수나 의무 수강시간은 법적으로 규정되어 있지는 않지만 연간 1~2회의 교육을 수행하는 것을 권고합니다.
알림마당>공지사항>개인정보보호 교육 안내
<개인정보보호 교육 안내>
공공기관과 민간기업은 「개인정보 보호법」 제28조에 따라 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보 취급자에게 정기적으로 필요한 교육을 실시하여야 합니다.
교육은 사내(자체)교육, 사이버교육, 위탁교육, 외부강사 초빙 교육 등 해당 기관(기업)의 상황을 고려하여 선택하시기 바랍니다.
그런데, 최근 개인정보보호 교육과 관련하여 일부에서 교육을 무료로 실시하여 준다 하며 기관(기업)을 방문하여 금융상품을 홍보하는 등 교육과 관련한 피해사례가 있으니 이에 대한 주의가 요구됩니다.
행정자치부는 각 기관(기업)에서 개인정보취급자의 개인정보보호 교육을 위해 사이버교육을 운영하고 있으며, 각 기관(기업)에서 자체적으로 개인정보보호 교육을 수행할 수 있도록 개인정보보호 교육 및 홍보 자료를 공개, 제공하고 있습니다. 또한, 외부 강사를 초빙하여 교육을 진행 할 수 있도록 개인정보보호 전문강사단을 운영하고 있으니 이를 활용하여 개인정보보호 교육을 실시하여 주시기 바랍니다.
행정자치부에서 제공하는 개인정보보호 교육 자료
(붙임 한글파일에 상세 설명이 있으니 참고하시기 바랍니다)
① 사이버교육
o 개인정보보호 종합지원 포털>> 배움터 >> 사이버교육
- (교육과정) 4개 과정 중 택
- (수강) 기관(기업)에서 필요로 하는 과정을 택할 수 있으며, 교육수료 후 수료증 발급 됨
※ 수강신청 시 실명인증 단계에서 아이핀(I-PIN) 회원이 아닌 경우 회원가입 가능
② 자체교육
o (교육자료) 개인정보보호 종합지원 포털>> 자료마당 >> 교육자료( 최근 자료로 활용 )
※ 교육자료 검색(민간분야, 의료) 및 다운로드 가능
o (홍보자료) 개인정보보호 종합지원 포털>> 자료마당 >> 홍보자료( 교육 동영상
15번 자료)
※ 개인정보보호 홍보물(인쇄물), 동영상 다운로드 가능
③ 개인정보보호 전문강사
o 개인정보보호 종합지원 포털>> 배움터 >> 개인정보보호 전문강사 검색
※ 기관(기업)에서 교육계획을 수립 후 전문강사와 직접 연락해 강의료 등 협의 후 진행
출처: PRIVACY.GO.KR
'IT, 저작권 이야기' 카테고리의 다른 글
| 경찰관이 직무 수행을 위해 구청에서 처리하는 주민의 전입신고서 (0) | 2016.12.17 |
|---|---|
| 대학병원에서 재직했던 의사가 근무 중에 알게 된 환자정보를 이용 (0) | 2016.12.17 |
| 직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0) | 2016.11.03 |
| 리콜을 위한 개인정보수집시 동의여부 (0) | 2016.11.03 |
| 아파트 관리사무소 개인정보수집은 어디까지일까요 (0) | 2016.11.03 |