복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다.
회사가 복지서비스를 제공하기 위해 근로자 또는 근로자 가족의 개인 정보를 수집하면서 동의를 얻어야 하는지 여부 회사가 근로자의 복리후생을 위해 가족의 이름, 생년월일, 연락처 등의 개인 정보를 수집하는 경우, 가족구성원의 동의를 받아야 하나요?
「근로복지기본법」상 회사는 근로자 및 근로자의 가족에 대한 복리후생 제공을 위하여 가족의 개인정보를 가족구성원의 동의 없이 수집·이용할 수 있습니다. 상세설명 사업자가 정보주체의 개인정보를 이용하여 서비스를 제공하기 위해서는 정보주체로부터 개인정보 수집·이용 동의를 획득하여야 하며, 법률의 특별한 규정이 있는 경우, 법령상 의무를 준수하기 위하여 불가피한 경우, 계약의 체결·이행에 불가피한 경우 등에는 정보 주체의 동의 없이도 개인정보를 수집·이용할 수 있습니다.
본 사안의 경우, 회사에서는 「근로복지기본법」에 따라 자녀 학비 지원, 직계존속 건강 진단, 주택지원 등 근로자 및 근로자 가족에 대한 복지를 제공해야 합니다. 또한, 복지 제공이 근로조건에 포함되어 있다면, ‘근로 계약의 체결·이행에 필요한 경우’에도 필요합니다. 따라서 근로자 가족의 개별적 동의가 없더라도 개인정보 수집·이용이 가능합니다. 그러나 주민등록번호 등 고유식별정보는 법령에서 구체적으로 요구 및 허용하는 경우를 제외하고 정보주체의 별도 동의를 받아야 합니다. 23 다만, 부득이하게 가족관계 및 연령확인 등을 위한 가족관계증명서 등을 확인할 경우 에는 가족의 주민등록번호 뒷자리가 노출되지 않도록 처리한 후, 제출하는 것이 바람직 합니다.
관련법령
「개인정보 보호법」 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리 할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
「근로복지기본법」[법률 제11845호, 2013.5.28.] 제5조(사업주 및 노동조합의 책무) ① 사업주(근로자를 사용하여 사업을 행하는 자를 말한다. 이하 같다)는 해당 사업장 근로자의 복지증진을 위하여 노력하고 근로복지정책에 협력하여야 한다. ② 노동조합 및 근로자는 근로의욕 증진을 통하여 생산성 향상에 노력하고 근로복지정책에 협력하여야 한다.
「표준지침」 제6조(개인정보의 수집) ⑥ 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.
출처 개인정보 상담사례집, 안전행정부/KISA
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0) | 2016.10.30 |
| 운영모드 정리 (0) | 2016.10.26 |
| 암호문 공격 분류 (0) | 2016.10.25 |
개인정보 보유기간 책정기준표
다만,
제60조(개인정보파일 보유기간의 산정) ① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 영」에 따른 기록관리기준표를 상회할 수 없다.
③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다.
는 규정을 참조하시고, 다음과 같은 책정기준표를 참고할 수 있습니다.
개인정보파일 보유기간 책정 기준표
보유기간
대상 개인정보파일
1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
- 준영구
1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일
2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일
- 30년
1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
- 10년
1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
- 5년
1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
- 3년
1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일
2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름)
1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일
'IT, 저작권 이야기' 카테고리의 다른 글
| 아파트 관리사무소 개인정보수집은 어디까지일까요 (0) | 2016.11.03 |
|---|---|
| 임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0) | 2016.11.03 |
| 영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0) | 2016.10.30 |
| 인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0) | 2016.10.28 |
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다
TS Comment:
cctv 영상정보도 개인정보에 해당하므로, 무단으로 제3자 제공은 금지됩니다.
1. 사건의 개요
◦신청인들은 피신청인이 관리하는 아파트에 거주하는 선거관리위원으로 주민의 요청에
따라 뇌물을 수수한 입주자대표의 해임투표를 진행하고 이 결과를 아파트 게시판에
부착하였다.
◦피신청인은 신청인들이 아파트게시판에 해임투표결과를 부착하는 내용이 촬영된
CCTV정보와 선거인명부를 동의 없이 제3자인 입주자대표에게 제공하였고, 입주자
대표는 피신청인이 제공한 정보를 이용하여 신청인들을 명예훼손으로 고소하였다.
◦이에, 신청인들은 정보주체의 동의 없이 CCTV영상정보 및 선거인명부를 제3자
(입주자대표)에게 제공한 아파트관리사무소에 대한 손해배상 및 제도개선을 요구하는
분쟁조정을 신청하였다.
2. 피신청인의 주장
◦피신청인은 입주자대표에게 CCTV영상정보를 제공한 것은 「주택법」 시행규칙 제24조의
3 및 아파트관리규약에 따라 ‘범죄의 수사와 공소의 제기 및 유지에 필요한 경우’에
해당된다고 판단하였기 때문이라고 하고, 선거인명부는 제공하지 않았다고 소명함
◦또한, 신청인들이 불법선거를 저질러 입주민간의 질서를 어지럽히고도 선거 목적을
달성하지 못하자 이해당사자가 아닌 관리사무소에 개인에 대한 손해를 주장하고
있는바, 이는 신청인들의 분풀이라고 보여 진다고 주장함
3. 사실조사
가. 피신청인에 대한 법률적용 여부
◦피신청인은 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른
사람을 통하여 개인정보를 처리하는 자로서, 「개인정보 보호법」의 “개인정보처리자”에
해당하여 이 법의 적용을 받음
나. 신청인들과 피신청인과의 관계
◦신청인들은 OOOOO아파트의 입주민으로 입주자대표회의의 선거관리위원이며, 피
신청인은 동 아파트의 관리주체인 관리사무소임
다. 피신청인이 CCTV영상정보를 수집 및 입주자대표에게 제공한 경위
◦피신청인은「주택법」제55조, 동법 시행규칙 및 관리규약에 의하여 아파트단지내의
질서를 유지하도록 되어있으며, 이에 따라 CCTV를 설치해서 운영하고 있음
◦신청인들이 입주자대표 해임투표결과를 게시한 행위는 피신청인의 아파트관리규약을
위반한 행위이기 때문에 게시행위가 촬영된 CCTV영상정보를 저장 및 해당 게시물을
철거하였고, 그 사실을 서면으로 기록하여 보관하였다고 소명함
◦또한, 피신청인은 이 사안의 CCTV영상을 입주자대표의 요청에 따라 제공하였다고
소명함
라. 피신청인이 선거인명부를 수집한 경위
◦신청인들은 입주자대표 해임투표를 아파트관리사무소 선거관리위원회의 승인을 받지
않고 진행한 후에, ‘선거실시’의 승인을 요청하기 위해 선거인명부를 포함한 선거관련
문서를 피신청인에게 제공하였고 피신청인은 이를 보관함
제1절 침해유형별조정사례 81
마. 피신청인이 선거인명부를 제3자에게 제공하였는지 여부
<신청인 주장>
◦신청인들은 피신청인에게 선거인명부, 해임투표결과공고 등 해임투표와 관련된 자료를
제공했으며 피신청인은 이 자료를 보관하던 중에 정보주체의 동의 없이 해당자료를
입주자대표에게 제공하였다고 주장함
<피신청인 주장>
◦피신청인은 신청인들로부터 선거인명부와 해임투표 관련자료를 제공받았지만 선거인
명부는 입주자대표에게 제공하지 않았다고 소명함
<사실조사결과>
◦피신청인이 입주자대표에게 선거인명부를 제공하였는지 여부에 대하여는 양 당사자가
주장하는 바가 다르고, 이를 입증할 만한 자료가 없어 진위여부를 확인할 수 없었음
바. 피신청인이 CCTV영상정보를 제3자에게 제공한 경위
◦피신청인은 「주택법」 시행규칙 제24조의3 제3호 ‘범죄의 수사와 공소의 제기 및
유지에 필요한 경우’에 해당한다고 판단하여 촬영 자료를 열람·제공했다고 소명함
4. 위원회 의견
가. 피신청인이 신청인들의 개인정보를 동의 없이 제3자(입주자대표)에게 제공한 행위에
대한 책임유무
◦「개인정보 보호법」 제18조(개인정보의 목적 외 이용·제공 제한) 에서는 “개인정보
처리자는 개인정보를 최초 개인정보의 수집·이용에 따른 범위를 초과하여 이용하거나
제3자에게 제공하여서는 아니된다”고 규정한다.
「주택법」 시행규칙 제24조의3(촬영자료 열람·제공 등의 제한) 에서는 “관리주체는
폐쇄회로 텔레비전의 촬영자료를 보안 및 방범 목적 외의 용도로 활용하거나 타인에게
열람하게 하거나 제공하여서는 아니 된다”고 규정한다.
「표준 개인정보 보호지침」 제44조 제1항에서는 “영상정보처리기기운영자는 ① 정보
주체에게 동의를 얻은 경우 ② 다른 법률에 특별한 규정이 있는 경우 ③ 정보주체
또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전
동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,
재산의 이익을 위하여 필요하다고 인정되는 경우 등을 제외하고는 개인영상정보를
수집 목적이외로 이용하거나 제3자에게 제공하여서는 아니된다”고 규정한다.
[민간분야 영상정보처리기기 설치·운영 가이드라인](행정자치부)에서는 “범죄수사와
공소제기 유지를 위해 수사기관 등에서 개인정보가 포함된 자료제출을 요구하는 경
우 원칙적으로 법관의 영장이나 법원의 제출명령이 있는 경우에만 본인 동의 없이
제공할 수 있다”고 설명한다. 이는 CCTV영상정보 유출시 그 위험성이 크기 때문에
일반 개인정보 제3자 제공의 요건보다 엄격하게 규제하여 CCTV영상정보의 보호를
두텁게 하기 위한 것으로 해석된다.
◦사안에서 피신청인이 신청인들의 모습이 담긴 CCTV영상정보를 제3자인 입주자대표
에게 제공하기 위해서는 정보주체인 신청인들로부터 동의, 다른 법률의 특별한 규정이
있거나, 또는 법관의 영장이나 법원의 제출명령이 있어야 하나, 그러한 절차를 거치지
아니하였으므로 피신청인이 입주자대표에게 개인정보를 제공한 행위는 「개인정보
보호법」 제18조 및 「주택법」 시행규칙 제24조의3 규정을 위반하였다고 판단되어
아래와 같이 결정한다.
5. 위원회 결정
◦이 사건에서 피신청인은 신청인들의 개인정보가 포함된 영상정보를 신청인들로부터
동의를 받지 않고 제3자에게 제공함으로써, 신청인들로 하여금 자신의 개인정보에
대한 오·남용 우려 등 정신적 피해를 입혔음이 인정되므로, 신청인들에게 각각 금
200,000원의 손해배상금을 지급하여야 한다.
◦또한, 피신청인이 처리하고 있는 입주민들의 개인정보를 보호하기 위한 방안을 마련
해야 할 것이며, 개인정보를 취급하는 직원에 대한 개인정보보호 관련 법령 및 인식
제고 교육을 실시해야 하고, 재발방지를 위해 필요한 계획을 수립하고 이행하여야
한다. 해당계획서는 서면으로 우리 위원회에 제출하고, 이행이 완료되는 시점에 그
이행 결과를 통보하여야 한다.
출처: 개인정보보호 분쟁사례집
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0) | 2016.11.03 |
|---|---|
| 퇴직급여, 연말정산, 카드회사 관련 개인정보 (0) | 2016.11.03 |
| 복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0) | 2016.11.03 |
| 운영모드 정리 (0) | 2016.10.26 |
| 암호문 공격 분류 (0) | 2016.10.25 |
영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다.
영리목적의 광고성 정보 전송 시 광고 표시 의무 관련 분쟁조정사례입니다.
1회라는 점도 주목할 필요가있어 보입니다.
1. 사건의 개요
◦신청인은 2015. 4. 2. 피신청인이 운영하는 온라인 쇼핑몰 ‘OOO몰’로부터, 영리
목적의 광고성 이메일을 수신하였는데, 피신청인이 발송한 이메일 제목에는 “(광고)”
라는 문구가 표시되어 있지 않았다.
◦이에 신청인은 광고성 정보 발송 시 표시의무를 위반한 피신청인에 대하여 정신적
손해배상을 요구하는 분쟁조정을 신청하였다.
2. 피신청인의 주장
◦해당 민원 건은 ‘15.4.2. 당사가 “(광고)”문구를 누락한 채 신청인에게 광고성 이메일을
발송하였고, 이에 대하여 신청인이 한국인터넷진흥원 불법스팸대응센터에 신고 접수 함
(’15.4.14.)
- ‘15.4.16. 한국인터넷진흥원 불법스팸대응센터에 소명자료를 제출하였으나, 신청인이
동일 내용으로 분쟁조정을 신청한 건임
◦당사는 기존 광고성 메일 전송 시에는 “(광고)”문구를 누락 없이 기재하여 발송해
왔으며, 디폴트로 “(광고)” 문구가 들어가 있기는 하지만, 광고 메일 외에 공지메일
등을 전송 할 경우에는 제목에서 “(광고)” 문구를 삭제해서 보내야하기 때문에 담당자가
제목 수정 시 삭제하고 발송해 왔음
- 본 건은 이메일 발송 작업 진행 시, 담당자가 제목을 수정하는 과정에서 실수로
앞의 “(광고)” 부분까지 삭제해서 신청인이 해당 이메일을 받아보게 된 건으로,
2015 개인정보분쟁조정 사례집
94
현재 이메일 발송시스템에 “광고문구 체크박스”를 만들어 광고 이메일 발송 시
“(광고)” 문구를 체크 할 수 있도록 하고, “(광고)”문구를 삭제할 경우에는 ‘안내
메시지 팝업’을 통하여 재차 체크할 수 있도록 개선 조치하였음
3. 사실관계 조사
가. 피신청인에 대한 법률적용 여부
◦피신청인은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 규정된 “전자적
전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자”에 해당되어, 이 법의
규정을 적용함
나. 피신청인과 신청인과의 관계
◦신청인은 피신청인이 운영하는 홈페이지의 통합 회원으로, 광고목적의 이메일 수신에
동의하였으며 현재까지 수신동의 관련 사항이 변동된 이력은 없는 것으로 확인됨
다. 피신청인이 신청인에게 광고성 정보 발송 시 제목 부분에“(광고)”표시를 하였는지
여부
◦피신청인이 운영하는 온라인 쇼핑몰 ‘OOO몰’은 ‘15년 1월 부터 ’15년 4월까지 약
180여회 신청인에게 광고성 정보를 발송하였고, 이 기간 중 ‘15. 4. 2. 발송된 해당
이메일 1회를 제외하고는 제목에 (광고)표시 의무를 준수한 것으로 확인됨
4. 위원회 의견
◦「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”이라 한다)
제50조(영리목적의 광고성 정보 제한) 제4항에서는 영리목적의 광고성 정보를 전자
우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 전송하는 자는 대통령령으로
제3장 주요 피해구제 사례분석
제1절 침해유형별조정사례 95
정하는 바에 따라, 전송정보의 유형 및 주요내용, 전송자의 명칭 및 연락처, 수신
거부의 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항 등에 대하여 광고성
정보에 구체적으로 밝혀야 한다고 규정한다.
같은 법 시행령 제61조(영리목적의 광고성 정보 전송기준) 제3항에서는 법 제50조
제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는
해당 정보의 제목이 시작되는 부분에“(광고)”표시를 명시해야 한다고 규정한다.
◦사안에서 피신청인이 신청인에게 발송한 이메일의 내용은 판매제품에 대한 소개 및
할인 등 이벤트에 대한 정보로 「정보통신망법」에 규정된 영리목적의 광고성 정보에
해당한다고 판단되는바, 피신청인은 이를 전자우편 등을 통하여 신청인에게 전송할
경우, 관련법령에 규정된 의무를 준수하여야 하나, 제목 시작 부분에 “(광고)”표시를
하지 않는 등 표시의무를 준수하지 않음으로써, 「정보통신망법」 제50조 제4항 등
관련 규정을 충실히 이행하지 않은 것으로 판단된다. 그러나 이로 인하여 신청인에게
정신적으로 위자할 만한 손해가 발생하였다고 보기는 어렵다고 판단되어 아래와 같이
결정한다.
5. 위원회 결정
◦「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”이라 한다)
제50조(영리목적의 광고성 정보 제한) 제4항에서는 영리목적의 광고성 정보를 전자
우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 전송하는 자는 대통령령으로
제3장 주요 피해구제 사례분석
제1절 침해유형별조정사례 95
정하는 바에 따라, 전송정보의 유형 및 주요내용, 전송자의 명칭 및 연락처, 수신
거부의 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항 등에 대하여 광고성
정보에 구체적으로 밝혀야 한다고 규정한다.
같은 법 시행령 제61조(영리목적의 광고성 정보 전송기준) 제3항에서는 법 제50조
제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는
해당 정보의 제목이 시작되는 부분에“(광고)”표시를 명시해야 한다고 규정한다.
◦사안에서 피신청인이 신청인에게 발송한 이메일의 내용은 판매제품에 대한 소개 및
할인 등 이벤트에 대한 정보로 「정보통신망법」에 규정된 영리목적의 광고성 정보에
해당한다고 판단되는바, 피신청인은 이를 전자우편 등을 통하여 신청인에게 전송할
경우, 관련법령에 규정된 의무를 준수하여야 하나, 제목 시작 부분에 “(광고)”표시를
하지 않는 등 표시의무를 준수하지 않음으로써, 「정보통신망법」 제50조 제4항 등
관련 규정을 충실히 이행하지 않은 것으로 판단된다. 그러나 이로 인하여 신청인에게
정신적으로 위자할 만한 손해가 발생하였다고 보기는 어렵다고 판단되어 아래와 같이
결정한다.
출처: 개인정보분쟁조정사례집
'IT, 저작권 이야기' 카테고리의 다른 글
| 임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0) | 2016.11.03 |
|---|---|
| 개인정보 보유기간 책정기준표 (0) | 2016.10.30 |
| 인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0) | 2016.10.28 |
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구
환자 보호자의 주민등록번호를 동의 없이 수집한
의료기관에 대한 제도개선 요구
- 손해배상 청구를 기각한 사례입니다.
1. 사건개요
◦2015.7.29. 신청인은 유선을 통하여 피신청인의 고객센터 상담원과 인터넷서비스 신규가입에 대한 상담을 진행하였다.
◦상담과정에서 신청인이 서비스 가입 의사를 명확히 밝히지 않는 등 신규가입 절차가
원만히 진행되지 않았음에도 불구하고, 피신청인의 상담원은 신청인의 주민등록번호등 개인정보를 수집하였다.
◦이에 신청인은 서비스 가입 문의 시 주민등록번호를 수집한 피신청인에 대하여 손해배상을 요구하는 분쟁조정을 신청하였다.
2. 피신청인 주장
◦신청인과 당사 상담원과의 서비스 무료제공 개월 수에 대하여 조율이 되지 않은 상태
에서 가입절차가 진행되어 발생한 건으로, 당사는 고객에게 상품가입 진행 시 상품설명에 대해서 충분히 제공하고, 고객이 명확한 가입의사를 밝힌 경우 개인정보를 수취하여 가입을 진행하겠음
◦또한 재발방지를 위해서 고객센터 내부적으로 개인정보 취득 전 고객동의를 확인 후 진행하여 개인정보를 좀 더 민감하게 다룰 수 있도록 노력하겠음
3. 사실조사
가. 피신청인에 대한 법률적용 여부
◦피신청인은 「전기통신사업법」의 기간통신사업자로서 「정보통신망 이용촉진 및 정보
보호 등에 관한 법률」에 따른 정보통신서비스 제공자에 해당되어 이 법의 적용을 받음
나. 피신청인과 신청인과의 관계
◦신청인은 피신청인이 제공하는 인터넷 및 이동통신 서비스 관련 이용사실이 없음
다. 피신청인이 신청인의 주민등록번호를 수집한 상세경위
◦신청인은 2015.7.29. 인터넷 및 TV 서비스 신규가입을 위하여 피신청인의 고객센터와 유선상담을 진행함
◦상담 시, 신규가입과 관련한 프로모션 사항에 대하여 신청인 및 피신청인 간 합의점을찾지 못한 상태로 통화가 계속됨
◦계속된 통화에도 프로모션 조건에 대하여 신청인과 합의점을 찾지 못하자, 피신청인의상담원은 자신의 개인 휴대전화 번호를 알려 드릴테니, 가입 가능하실 때 연락주시면도움을 드리겠다고 응대 하면서, 신청인의 성명, 주민등록번호, 주소 등 개인정보를수집함
◦피신청인의 상담원은 통화 초반 일반 대리점에서는 현금 2-30만원을 지급한다는
신청인의 주장에, 그것은 불법으로 받으시게 되면 환수 당할 수 있으니 절대 받으시면 안된다고 수차례 안내하였으나, 신청인과의 언쟁 이후 통화 종료 직전에는 현금2-30만원을 받으실 수 있는 방법을 확인했다며 신청인에게 일반 대리점을 통해가입하는 것을 권고 하는 등 일관된 안내를 하고 있지 않았던 것으로 확인됨
라. 유선을 통하여 피신청인의 인터넷 및 TV 등 서비스 가입 시 주어지는 프로모션에대하여 단순문의 하였을 경우, 이루어지는 절차
◦피신청인은 단순한 프로모션 문의에 대해서는 개인정보를 취득하지 않고 있으며, 문의후 가입 의사를 밝힌 경우에만 가입 진행을 위해 개인정보를 수집한다고 소명함
마. 유선을 통하여 피신청인의 인터넷 및 TV 등 서비스에 대한 가입의사를 밝혔을 경우,이루어지는 절차
◦고객이 가입의사를 나타냈을 경우, 피신청인은 이름, 주민번호, 주소를 확인하여설치가 가능한 지역인지 확인 후, 휴대전화 인증 등으로 본인확인을 진행함
- 이후 기타 사항(요금 납부방법, 설치일 등)에 대하여 확인하고, 개인정보 활용에대한 고지 및 고객 동의를 얻으면 가입이 종료됨
4. 위원회 의견
◦「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’이라 한다)
제22조(개인정보의 수집․이용 동의 등)제1항에서는 정보통신 서비스 제공자는 이용자의
개인정보를 수집하는 경우에는 개인정보의 수집·이용 목적, 수집하는 개인정보의
항목, 개인정보의 보유 및 이용기간 등을 이용자에게 알리고 동의를 받아야 한다고
규정한다.
◦사안에서 신청인은 피신청인의 인터넷․TV서비스의 신규가입을 위하여 피신청인과
상담을 진행하였고, 해당 서비스에 가입하지 않았음에도 주민등록번호 등 개인정보를 피신청인에게 제공하였다. 그러나 상담내용을 살펴보면, 긴 상담통화 과정에서 신청인과피신청인은 자신이 주장하는 서비스 가입조건 등에 대하여 서로가 동의한 것으로오인함에 따라 신규 가입을 위해 필요한 개인정보가 수집된 것이고, 이것은 신청인과피신청인 간 명확한 의사소통이 이루어지지 않아 발생된 상황으로, 위와 같은 상황을종합적으로 고려하였을 때, 이용자의 개인정보 수집·이용 시 동의 절차를 충실히이행하지 않은 피신청인의 책임은 인정되나, 이로 인하여 신청인이 금전적으로 배상할만한 정신적 피해를 입었다고 보기는 어렵다고 판단되어 아래와 같이 결정한다.
5. 위원회 결정
◦신청인의 피신청인에 대한 손해배상 청구를 기각한다.
◦피신청인은 고객의 유선 문의 또는 서비스 가입절차 진행시, 수집․이용하는 개인정보에 대하여 관련법령에 따라 명확히 고지하고, 동의를 얻을 수 있도록 절차를 개선하고,고객센터 등 고객 문의사항에 대응하는 직원들에 대한 개인정보보호 관련 법령 및 인식제고 교육 등 재발방지 조치에 필요한 계획을 수립하고 이행하여야 한다. 해당계획서는 서면으로 우리 위원회에 제출하고, 이행이 완료되는 시점에 그 이행 결과를
통보하여야 한다.
출처: 개인정보 분쟁조정 사례집
'IT, 저작권 이야기' 카테고리의 다른 글
| 개인정보 보유기간 책정기준표 (0) | 2016.10.30 |
|---|---|
| 영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0) | 2016.10.30 |
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
임직원 이메일 정보가 개인정보인지 여부
개인정보의 개념
회사에서 직원의 개인정보파일을 만들려고 하는데 직원들의 이메일이 개인
정보에 해당하나요?
개인정보는 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을
통하여 개인을 알아볼 수 있는 정보뿐만 아니라, 해당 정보만으로는 특정 개인을
알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것은 모두
개인정보에 포함됩니다.
※ 성명, 이메일 주소, 특히 주민등록번호는 원고들 개개인에 대한 식별수단으로서 그 유출로
인하여 신분도용의 문제까지 발생할 수 있는 중요 정보이고, 더구나 이들 정보가 ‘성명, 주민등록번호, 이메일 주소’ 또는 ‘성명, 이메일 주소’의 형태로 서로 결합됨으로써 개인의 식별가능성이 훨씬 커지며, 상품이나 서비스를 제공하는 사업자에게는 홍보활동 등의 유용한 영업수단이 된다고 볼 수 있음(서울고법 2007.11.27. 선고 2007나33059 판결)
상세설명
일반적으로 개인정보란 생존하는, 개인에 관한 정보로서 특정 개인을 식별하거나
식별할 수 있는 모든 정보입니다.
여기서 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人) 또는 단체의 정보는 해당되지 않습니다.
따라서 법인의 상호, 영업소재지, 대표이사의 성명, 이사·감사 등 임원 정보, 자산,
영업실적 등의 정보는 개인정보의 범위에 해당하지 않습니다.
개인에 관한 정보란 당해 개인에 대한 사실·판단·평가 등 개인에 관한 정보를 말합
니다. 따라서 현행 「개인정보 보호법」, 「정보통신망법」은 개인정보에 대한 구체적이고
세부적인 기준이나 요건을 규정하고 있지 않으므로 특정 개인과 관련된 모든 정보는
개인정보에 해당된다고 볼 수 있습니다.
또한 개인정보로 인정되기 위해서는 해당 정보가 특정 개인을 식별하거나 식별 가능
해야 합니다. 따라서 해당 개인정보가 이미 통계적으로 변환되어 특정 개인이라는 사실을 식별할 수 없다면 개인정보라고 할 수 없습니다.
해당 정보만으로 개인을 식별할 수 있는 경우뿐만 아니라 다른 정보와 쉽게 결합해서
특정 개인의 식별이 가능한 경우에도 그 정보를 개인정보로 규정하고 있습니다.
예를 들어, 주민등록번호는 개인마다 고유한 것으로 개인을 손쉽게 식별할 수 있으므로 개인정보에 해당됩니다. 이와 달리 주소, 전화번호, 이메일 등이 독자적으로 노출되었을 때에는 개인을 식별할 수 없습니다. 하지만 다른 정보와 결합하면 특정 개인을 식별할 수 있게 되므로 개인정보로 볼 수 있습니다.
개인정보는 성명, 주민등록번호 등 인적사항에서부터 사회·경제적 지위와 상태, 교육,
건강·의료, 재산, 문화 활동 및 정치적 성향과 같은 내면의 비밀에 이르기까지 그 종류가 매우 다양하고 폭넓습니다.
또한 사업자의 서비스에 이용자가 직접 회원으로 가입하거나 등록할 때, 사업자에게
제공하는 정보뿐만 아니라 이용자가 서비스를 이용하는 과정에서 생성되는 통화내역,
로그기록, 구매내역 등도 개인정보가 될 수 있습니다.
출처: 안전행정부, KISA 개인정보보호 상담사례집
'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글
| 개인정보는 개인에 관한 정보이여야 한다 (0) | 2017.01.09 |
|---|---|
| 공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0) | 2016.12.17 |
| 내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0) | 2016.12.17 |
| 학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0) | 2016.12.17 |
| 내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0) | 2016.11.03 |
개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행)
◉ 행정자치부고시 제2016-35호
개인정보의 안전성 확보조치 기준
[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2014.12.30, 일부개정]
제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. “개인정보취급자”란 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
13. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체계를 말한다.
14. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
16. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
17. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결․분리할 수 있는 저장매체를 말한다.
18. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
20. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
제3조(안전조치 기준 적용) 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.
제4조(내부 관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검․관리하여야 한다.
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출․변조․훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립․시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관․관리하여야 한다.
② 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위․변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
제10조(관리용 단말기의 안전조치) 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출․입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
제12조(재해․재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해․재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각․파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
부 칙
제1조(시행일) 이 고시는 2016년 9월 1일부터 시행한다.
제2조(적용례) 영 제21조의2제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조제4항을 적용하지 아니한다.
[별표]
|
개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 | ||
|
유형 |
적용 대상 |
안전조치 기준 |
|
유형1 (완화) |
․1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
· 제5조:제2항부터 제5항까지 · 제6조:제1항, 제3항, 제6항 및 제7항 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형2 (표준) |
․100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
․10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
|
· 제4조:제1항제1호부터 제11호까지 및 제 15호, 제3항부터 제4항까지 · 제5조 · 제6조:제1항부터 제7항까지 · 제7조:제1항부터 제5항까지, 제7항 · 제8조 · 제9조 · 제10조 · 제11조 · 제13조 |
|
유형3 (강화) |
․10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
․100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
· 제4조부터 제13조까지 |
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 표준 개인정보 유출사고 대응 매뉴얼 (0) | 2017.01.09 |
|---|---|
| 개인정보 안전성 확보조치 기준 (0) | 2017.01.09 |
| 개인정보보호 소득세법 기부금 영수증처리 (0) | 2016.11.03 |
| 스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0) | 2016.10.24 |
| 사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0) | 2016.10.24 |
필수자료: 개인정보 수집,제공 작성 가이드라인
출처:PRIVACY.GO.K
개인정보_수집제공_동의서_작성_가이드라인.hwp
정보주체의 개인정보 보호를 위해 도입된 개인정보의 수집‧제공 동의 제도가 내용도 복잡하고 형식적으로 이뤄져 국민 불편을 초래하고 있으며, 동의가 필요 없는 사항도 관행적으로 동의를 받는 등 문제점을 야기하고 있어, 형식화된 동의제도 개선 및 실질적인 개인정보 자기결정권 보장을 위해 붙임과 같이『개인정보 수집/제공 동의서 가이드라인』을 마련하였습니다.
|
개인정보 수집․제공 동의서 작성 가이드라인 |
|
동의서 작성절차 및 유의사항 |
관계법령 | |
|
준비 단계 | ||
|
① 업무처리에 필요한 개인정보 파악 | ||
|
○ 처리하고자 하는 업무에 꼭 필요한 최소한의 개인정보는 어떤 것들이 있는지 파악합니다. ※ A업무 처리 시(예시) : 성명, 전화번호, 이메일, 주소, 성별, 나이 |
개인정보 보호법(이하 ‘법) 제16조제1항 | |
|
○ 고유식별정보나 민감정보는 일반 개인정보와 구분하여 처리하여야 하므로 처리하고자 하는 개인정보 중에 고유식별정보나 민감정보가 있는지 확인해야 합니다. * 고유식별정보 : 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 ** 민감정보 : 사상‧신념, 노동조합‧정당의 가입‧탈퇴. 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료 등 |
법 제23조, 제24조 | |
|
② 개인정보의 보유기간 확인 | ||
|
○ 개인정보 처리방침이나 관련 법령 등을 통해 수집‧이용할 개인 정보의 보유기간을 확인합니다.
○ 일시적인 개인정보 수집․이용 등 보유기간이 따로 명시되어 있지 않다면 업무의 특성을 고려하여 필요최소한의 보유기간을 설정하시면 됩니다. |
법 제21조, 제30조 | |
|
③ 수집․이용에 정보주체의 동의가 필요한지 확인 | ||
|
○ 개인정보를 수집‧이용하기 위해서는 다음 중 어느 하나에 해당하지 않는다면 반드시 정보주체의 동의를 받아야 합니다.
|
법 제15조 제1항
| |
|
○ 민감정보 또는 고유식별정보*를 처리하기 위해서는 정보주체의 별도 동의가 필요합니다. 다만, 법령에서 민감정보 또는 고유식별정보의 처리를 요구하거나 허용하는 경우에는 동의를 받지 않고 개인정보의 수집‧이용이 가능합니다. * 주민등록번호는 법령의 근거가 있거나 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요한 경우에만 수집․이용 가능 |
법 제23조, 제24조, 제24조의2
| |
|
○ ‘정보통신서비스 제공자’인 경우에는 「정보통신망 이용 촉진 및 정보보호에 관한 법률」 제22조제2항에 따라 다음의 어느 하나에
|
정보통신망법 제22조 | |
|
○ 수집‧이용하고자 하는 개인정보의 정보주체가 만14세 미만의 아동인 경우에는 해당 아동의 법정대리인의 동의를 받아야 합니다. |
법 제22조 제5항 | |
|
⑤ 개인정보의 제3자 제공 여부 파악 | ||
|
○ 개인정보처리자가 수집한 개인정보를 제3자에게 제공하려는 개인정보가 어떠한 것이 있는지 파악합니다.
○ 이 경우 다음의 사항을 확인해야 합니다.
|
법 제17조 제1항 | |
|
○ 개인정보를 제3자에게 제공하기 위해서는 정보주체의 별도의 동의가 필요합니다. 다만, 다음 각 호 어느 하나의 수집목적 범위에서 제공하는 경우 정보주체의 동의 없이도 가능합니다.
|
법 제17조 제1항 | |
|
|
정보통신망법 제24조의2 | |
|
○ 개인정보를 국외의 제3자에게 제공할 때에도 정보주체의 동의를 받아야 합니다.
|
법 제17조 제3항 | |
|
○ 제3자 제공하고자 하는 개인정보의 정보주체가 만14세 미만의 아동인 경우에는 해당 아동의 법정대리인의 동의를 받아야 합니다. |
법 제22조 제5항 | |
|
⑥ 개인정보의 수집‧이용 및 제3자 제공에 대한 동의 거부시 불이익 검토 | ||
|
○ 개인정보 수집‧이용 및 제3자 제공에 대하여 정보주체가 동의하지 않을 경우 정보주체에게 어떠한 불이익이 있는지 검토합니다. ※ 예시) 고객맞춤형 서비스 제한, 마일리지‧포인트 적립 불가 등 |
법 제15조, 제17조, 제18조 | |
|
⑦ 개인정보 처리업무 위탁 여부 검토 | ||
|
○ 개인정보처리자가 개인정보 처리가 수반되는 업무처리를 위탁 하고자 할 때에는 별도 동의 없이 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 게재하면 됩니다. |
법 제26조 | |
|
○ 정보통신서비스 제공자는 제3자에게 개인정보 수집·보관·처리·이용·제공·관리·파기 등의 업무를 위탁하는 경우 정보조체에게 위탁을 받는 자와 그 업무내용을 알리고 동의를 받아야 합니다. ※ 다만, 정보통신서비스의 제공에 관한 계약 이행, 정보주체 편의 증진 등을 위하여 필요한 경우로서 개인정보취급방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우에는 동의를 받지 않아도 됨 |
정보통신망법 제25조 | |
|
※ 최초 수집 이후 당초 수집목적의 범위를 벗어나 이용‧제공이 필요한 경우 | ||
|
○ 개인정보를 당초 수집한 목적의 범위를 벗어나 이용하거나 제3자에게 제공하고자 하는 경우 정보주체의 동의를 받아야 합니다.
○ 그러나 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우로서 아래의 어느 하나에 해당하는 경우에는 정보주체의 동의없이 개인정보를 당초 수집한 목적의 범위를 벗어나 이용하거나 제3자에게 제공할 수 있습니다.(다만, 4번~8번은 공공기관에만 해당)
|
법 제18조 | |
|
※ 동의를 받은 사항(항목, 목적, 보유‧이용 기간 등)을 변경하는 경우그 사실을 알리고 동의를 받아야 합니다
※ 개인정보의 목적외 이용․제공 동의서 작성시 유의사항
○ 업무여건 변화 등으로 인하여 이미 수집․이용 중인 개인정보를 당초 수집 목적의 범위를 초과하여 이용하거나 제3자에게 제공하여야 하는 경우에는 해당하는 정보주체로부터 별도의 동의서를 받아야 합니다.
○ 이 경우 일반 동의서 양식을 그대로 사용하여도 무방합니다. | ||
|
작성 단계 | ||||||||||||||||
|
① 동의서 제목 기재 | ||||||||||||||||
|
○ 개인정보 수집‧이용에 대한 동의를 받고자 한다는 것을 정보주체가 쉽게 알 수 있도록 동의서 상단에 기재합니다.
※ 예시) ○○회원 가입을 위한 개인정보 수집‧이용 동의서,○○이벤트 참가를 위한 개인정보 수집‧이용 동의서
○ 개인정보 수집‧이용과 함께 제3자 제공을 하려고 하는 경우에는 이에 대한 동의도 받는다는 것을 명시해야 합니다.
※ 예시) ○○회원 가입을 위한 개인정보 수집‧이용 및 제3자 제공 동의서 |
| |||||||||||||||
|
② 동의서 작성 안내 | ||||||||||||||||
|
○ 개인정보 수집‧이용(및 제공)에 대한 안내와 동의서 작성 시 정보주체가 주의하여야 할 사항 등을 기재합니다.
※ 예시) ○○회원 가입을 위하여 아래의 개인정보 수집‧이용( 및 제공)에 대한 내용을 자세히 읽어 보신 후 동의 여부를 결정하여 주시기 바랍니다. |
| |||||||||||||||
|
③ 개인정보 수집‧이용 내역 기재 | ||||||||||||||||
|
○ ‘준비단계’의 ①, ②번에서 검토된 내용을 바탕으로 개인정보 수집․이용 내역을 아래의 예시를 참고하여 작성합니다.
|
법 제15조, 제22조 제3항
표준개인정보보호지침 제13조 | |||||||||||||||
|
④ 동의 거부권 및 동의 거부에 따른 불이익 안내 | ||||||||||||||||
|
○ 정보주체는 위 개인정보 수집‧이용에 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재합니다. ※ 예시) 위와 같이 개인정보를 수집‧이용하는데 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 일부 서비스 받으실 수 없습니다. |
법 제15조 제2항 | |||||||||||||||
|
⑤ 정보주체의 동의여부 확인 | ||||||||||||||||
|
○ 정보주체가 개인정보 수집‧이용에 동의하는지에 대한 의사를 명확하게 표시할 수 있도록 작성합니다
○ 수집‧이용하고자 하는 개인정보의 정보주체가 만14세 미만의 아동이라면 반드시 법정대리인의 동의를 받아야 합니다.
※ 이 경우 법정대리인의 성명, 연락처 등 동의를 받기 위해 필요한 최소한의 개인정보는 법정대리인의 동의 없이 해당 아동으로부터 수집 가능
|
법 제15조, 제22조제5항 | |||||||||||||||
|
⑥ 민감정보 처리에 대한 동의여부 확인(필요시) | ||||||||||||||||
|
○ ‘준비단계’ ③번에서 민감정보를 처리하기 위하여 정보주체의 동의가 필요하다고 검토되었다면 아래의 예시와 같이 동의서를 별도로 작성하여야 합니다.
※ 다만, 법령의 근거 등으로 정보주체의 동의가 필요없다고 검토되었다면 아래의 ⑨번에서 그 내용을 안내하시면 됩니다.
○ 정보주체는 위 민감정보 처링에 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재합니다.
|
법 제23조, 제22조제5항 | |||||||||||||||
|
⑦ 고유식별정보 처리에 대한 동의여부 확인(필요시) | ||||||||||||||||
|
○ ‘준비단계’ ③번에서 고유식별정보를 처리하기 위해 정보주체의 동의가 필요하다고 검토되었다면 아래의 예시와 같이 동의서를 별도로 작성하여야 합니다. ※ 다만, 법령의 근거 등으로 정보주체의 동의가 필요없다고 검토되었다면 아래의 ⑨번에서 그 내용을 안내하시면 됩니다.
○ 위 고유식별정보 처리에 동의를 거부할 권리가 있다는 사실과 동의 거부에 따른 불이익이 있는 경우 그 불이익 내용을 기재합니다.
○ 고유식별정보중 주민등록번호는 정보주체의 동의를 받아서는 처리할 수 없으며, 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우나 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에만 처리할 수 있음을 유의하시기 바랍니다.
|
법 제24조, 제24조의2, 제22조제5항 | |||||||||||||||
|
⑧ 개인정보 제3자 제공 내역 기재 및 정보주체의 동의여부 확인(필요시) | ||||||||||||||||
|
○ ‘준비단계’의 ⑤번에서 파악된 개인정보 제3자 제공 내역이 ‘준비단계’ ⑥번에서 정보주체의 동의를 받아야 한다고 검토되었다면 아래의 예시와 같이 동의서를 별도로 작성합니다.
○ 정보주체는 위 개인정보 제공에 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재합니다.
|
법 제17조, 제18조 | |||||||||||||||
|
⑨ 정보주체의 동의없이 수집‧이용하는 개인정보 내역 고지 | ||||||||||||||||
|
○ ‘준비단계’ ③번에서 정보주체의 동의없이 개인정보를 수집‧이용할 수 있다고 확인된 사항을 예시와 같이 작성합니다.
|
개인정보보호 표준지침 제13조제2항 | |||||||||||||||
|
⑩ 개인정보처리 업무위탁에 대한 동의여부 확인(정보통신망서비스 제공자에 한함) | ||||||||||||||||
|
○ 정보통신망서비스 제공자는 개인정보 처리 업무를 제3자에게 위탁하고자 한다면 위탁받는 자와 그 업무내용을 정보주체에게 알리고 동의를 받아야 합니다. 다만, 정보통신 서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 위 사항을 공개하거나 전자우편 등으로 이용자에게 알린 경우에는 동의 절차를 거치지 아니할 수 있습니다.
※ 그 외 개인정보처리자는 위탁자와 위탁하는 업무내용을 홈페이지에 게재하면 됩니다. 홈페이지가 없는 경우에는 그 내용을 사무실에 게시하거나 관보, 주요 일간지, 소식지 등에 게재할 수 있습니다. |
정보통신망법 제25조 | |||||||||||||||
|
붙임 |
동의서 작성 사례 |
인사/노무
|
운전직 채용을 위한 개인정보 수집‧이용 및 제3자 제공 동의서(예시) | ||||||||||||||||||||||||||
|
당사는 운전직 직원 채용을 아래와 같이 개인정보를 수집‧이용 및 제3자 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.
□ 개인정보 수집‧이용 내역
※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? (예, 아니오)
□ 민감정보 처리 내역
※ 위의 민감정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.
☞ 위와 같이 민감정보를 처리하는데 동의하십니까? (예, 아니오)
□ 고유식별정보 수집‧이용 내역
※ 위의 고유식별정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.
☞ 위와 같이 고유식별정보를 처리하는데 동의하십니까?(예, 아니오)
□ 개인정보 3자 제공 내역
※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 제3자에게 제공하는데 동의하십니까? (예, 아니오) 년 월 일 본인 성명 (서명 또는 인) 00회사 귀중 |
학교
|
현장체험학습을 위한 개인정보 수집‧이용 및 제공 동의서(예시) | |||||||||||||||||||||||||||
|
본교는 2015년 ○월 ○○일 실시할 예정인 현장체험학습과 관련하여 아래와 같이 개인정보를 수집‧이용 및 제3자에게 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.
□ 개인정보 수집‧이용 내역
※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 현장체험학습에 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)
□ 민감정보 처리 내역
※ 위의 민감정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 현장체험학습에 제한을 받을 수 있습니다.
☞ 위와 같이 민감정보를 처리하는데 동의하십니까? (예, 아니오)
□ 개인정보 제3자 제공 내역
※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 현장체험학습에 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)
년 월 일
본인 성명 (서명 또는 인) 법정대리인 성명 (서명 또는 인) 00학교장 귀중 |
병원
|
문자알림서비스 가입을 위한 개인정보 수집‧이용, 제공 동의서(예시) | |||||||||||||||||||||
|
○○병원은 문자알림 서비스 제공을 위하여 아래와 같이 개인정보를 수집‧이용 및 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.
□ 개인정보 수집‧이용 내역
※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)
□ 개인정보 제3자 제공 내역
※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)
년 월 일 본인 성명 (서명 또는 인) 법정대리인 성명 (서명 또는 인) 00병원장 귀중 |
여행업
|
멤버십 회원 가입을 위한 개인정보 수집‧이용 및 제공 동의서(예시) | ||||||||||||||
|
○○여행사의 멤버십 회원제 운영을 위하여 아래와 같이 개인정보를 수집‧이용 및 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.
□ 개인정보 수집‧이용 내역
※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)
□ 개인정보 3자 제공 내역
※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)
년 월 일
본인 성명 (서명 또는 인)
○○여행사 귀중 |
건설
|
홈페이지 회원 가입을 위한 개인정보 수집‧이용 및 제3자 제공 동의서(예시) | ||||||||||||||
|
○○건설사 홈페이지 회원제 운영을 위하여 아래와 같이 개인정보를 수집․이용 및 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.
□ 개인정보 수집‧이용 내역
※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)
□ 개인정보 제3자 제공 내역
※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)
년 월 일 본인 성명 (인 또는 서명) ○○건설사 대표 귀중 |
유선방송사
|
유선방송 가입을 위한 개인정보 수집‧이용 및 제공, 위탁 동의서(예시) | ||||||||||||||||||
|
○○유선방송의 케이블TV 가입을 위하여 아래와 같이 개인정보를 수집‧이용 및제공, 위탁하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.
□ 개인정보 수집‧이용 내역
※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)
□ 개인정보 3자 제공 내역
※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.
☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)
□ 개인정보 취급업무 위탁 내역
위와 같이 개인정보 취급업무를 위탁 하는데 동의하십니까? (예, 아니오)
년 월 일
본인 성명 (서명 또는 인)
○○케이블방송사 귀중 |
'IT, 저작권 이야기' 카테고리의 다른 글
| 영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0) | 2016.10.30 |
|---|---|
| 인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0) | 2016.10.28 |
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
| 유럽 사법재판소 판결 유동IP 주소는 개인정보 (0) | 2016.10.24 |
표준개인정보보호지침(출처: 행자부 고시 제2016-21호)
|
「표준 개인정보보호 지침(고시)」 |
◉ 행정자치부 고시 제2016-21호
표준 개인정보 보호지침
제1장 총칙
제1조(목적) 이 지침은 「개인정보 보호법」(이하 "법"이라 한다) 제12조제1항에 따른 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다.
제2조(용어의 정의) 이 지침에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보 처리"란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
2. "개인정보처리자"란 업무를 목적으로 법 제2조제4호에 따른 개인정보파일을 운용하기 위하여 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인 등을 말한다.
3. "공공기관"이란 법 제2조제6호 및 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제2조에 따른 기관을 말한다.
4. "친목단체"란 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로서 자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 가진 사람간의 친목도모를 위한 각종 동창회, 동호회, 향우회, 반상회 및 동아리 등의 모임을 말한다.
5. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
6. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
7. "개인정보처리시스템"이란 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.
8. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 영 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.
9. "개인영상정보"란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.
10. "영상정보처리기기운영자"란 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.
11. "공개된 장소"란 공원, 도로, 지하철, 상가 내부, 주차장 등 불특정 또는 다수가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.
제3조(적용범위) 이 지침은 전자적 파일과 인쇄물, 서면 등 모든 형태의 개인정보파일을 운용하는 개인정보처리자에게 적용된다.
제4조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성과 최신성을 유지하도록 하여야 하고, 개인정보를 처리하는 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 통하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리가 보장될 수 있도록 합리적인 절차와 방법 등을 마련하여야 한다.
⑥ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에도 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무 목적을 달성할 수 있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
제5조(다른 지침과의 관계) 중앙행정기관의 장이 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하는 경우에는 이 지침에 부합되도록 하여야 한다.
제2장 개인정보 처리 기준
제1절 개인정보의 처리
제6조(개인정보의 수집·이용) ① 개인정보의 "수집"이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.
② 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체로부터 사전에 동의를 받은 경우
2. 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
3. 법령에서 개인정보처리자에게 구체적인 의무를 부과하고 있고, 개인정보처리자가 개인정보를 수집·이용하지 않고는 그 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
4. 공공기관이 개인정보를 수집·이용하지 않고는 법령 등에서 정한 소관 업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우
5. 개인정보를 수집·이용하지 않고는 정보주체와 계약을 체결하고, 체결된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
6. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다)의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
7. 개인정보처리자가 법령 또는 정보주체와의 계약 등에 따른 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 다만, 이 경우 개인정보의 수집·이용은 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니한 경우에 한한다.
③ 개인정보처리자는 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 "명함등"이라 함)를 제공받음으로써 개인정보를 수집하는 경우 명함등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
④ 개인정보처리자는 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지등"이라 함)에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
⑤ 개인정보처리자는 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집·이용할 수 있다.
⑥ 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.
제7조(개인정보의 제공) ① 개인정보의 "제공"이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다.
② 법 제17조의 "제3자"란 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인(명백히 대리의 범위 내에 있는 것에 한한다)과 법 제26조제2항에 따른 수탁자는 제외한다(이하 같다).
③ 개인정보처리자가 법 제17조제2항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.
제8조(개인정보의 목적 외 이용·제공) ① 개인정보처리자가 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서를 포함한다. 이하 같다)로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다.
② 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 자는 해당 개인정보를 제공받는 자와 개인정보의 안전성 확보 조치에 관한 책임관계를 명확히 하여야 한다.
③ 개인정보처리자가 법 제18조제3항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.
④ 개인정보처리자가 법 제18조제2항제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다.
제9조(개인정보 수집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다.
1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.
제10조(개인정보의 파기방법 및 절차) ① 개인정보처리자는 개인정보의 보유 기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다.
② 영 제16조제1항제1호의 ‘복원이 불가능한 방법’이란 현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다.
③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다.
④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.
⑤ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제55조 및 제56조를 적용한다.
제11조(법령에 따른 개인정보의 보존) ① 개인정보처리자가 법 제21조제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 한다.
② 제1항에 따라 개인정보를 분리하여 저장·관리하는 경우에는 개인정보 처리방침 등을 통하여 법령에 근거하여 해당 개인정보 또는 개인정보파일을 저장·관리한다는 점을 정보주체가 알 수 있도록 하여야 한다.
제12조(동의를 받는 방법) ① 개인정보처리자가 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 하며, 정보주체의 동의는 동의가 필요한 개인정보에 한한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.
② 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 법 제18조제3항 각 호의 사항을 알리고 동의를 받아야 한다.
1. 개인정보를 수집·이용하고자 하는 경우로서 법 제15조제1항제2호 내지 제6호에 해당하지 않은 경우
2. 법 제18조제2항에 따라 개인정보를 수집 목적 외의 용도로 이용하거나 제공하고자 하는 경우
3. 법 제22조제3항에 해당하여 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하고자 하는 경우
4. 주민등록번호 외의 고유식별정보 처리가 필요한 경우로서 법령에 고유식별정보 처리 근거가 없는 경우
5. 민감정보를 처리하고자 하는 경우로서 법령에 민감정보 처리 근거가 없는 경우
③ 개인정보처리자는 제2항 각 호에 해당하여 개인정보를 처리하고자 하는 경우에는 정보주체에게 동의 또는 동의 거부를 선택할 수 있음을 명시적으로 알려야 한다.
④ 개인정보처리자는 법 제15조제1항제2호 내지 제6호에 따라 정보주체의 동의 없이 개인정보를 수집하는 경우에는 개인정보를 수집할 수 있는 법적 근거 등을 정보주체에게 알리기 위해 노력하여야 한다.
⑤ 개인정보처리자가 영 제17조제1항제2호의 규정에 따라 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다.
⑥ 개인정보처리자가 친목단체를 운영하기 위하여 다음 각 호의 어느 하나에 해당하는 개인정보를 수집하는 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있다.
1. 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항
2. 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부현황에 관한 사항
3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항
4. 기타 친목단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항
⑦ 개인정보처리자가 정보주체의 동의를 받기 위하여 동의서를 작성하는 경우에는 「개인정보 수집·제공 동의서 작성 가이드라인」을 준수하여야 한다.
제13조(법정대리인의 동의) ① 영 제17조제3항에 따라 개인정보처리자가 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.
② 개인정보처리자는 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다.
제14조(정보주체의 사전 동의를 받을 수 없는 경우) 개인정보처리자가 법 제15조제1항제5호 및 법 제18조제2항제3호에 따라 정보주체의 사전 동의 없이 개인정보를 수집·이용 또는 제공한 경우 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집·이용 또는 제공한 사실과 그 사유 및 이용내역을 알려야 한다.
제15조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.
② 개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.
③ 개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.
제2절 개인정보 처리의 위탁
제16조(수탁자의 선정 시 고려사항) 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)가 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등 개인정보 처리 및 보호 역량을 종합적으로 고려하여야 한다.
제17조(개인정보 보호 조치의무) 수탁자는 위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적 조치를 하여야 한다.
제3절 개인정보 처리방침 작성
제18조(개인정보 처리방침의 작성기준 등) ① 개인정보처리자가 개인정보 처리방침을 작성하는 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.
② 개인정보처리자는 처리하는 개인정보가 개인정보의 처리 목적에 필요한 최소한이라는 점을 밝혀야 한다.
제19조(개인정보 처리방침의 기재사항) 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.
1. 개인정보의 처리 목적
2. 처리하는 개인정보의 항목
3. 개인정보의 처리 및 보유 기간
4. 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
5. 개인정보의 파기에 관한 사항
6. 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
7. 영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
8. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항
10. 개인정보 보호책임자에 관한 사항
11. 개인정보의 열람청구를 접수·처리하는 부서
12. 정보주체의 권익침해에 대한 구제방법
제20조(개인정보 처리방침의 공개) ① 개인정보처리자가 법 제30조제2항에 따라 개인정보 처리방침을 수립하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며, 이 경우 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
② 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리상의 하자가 있는 경우에는 영 제31조제3항 각 호의 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다. 이 경우에도 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
③ 개인정보처리자가 영 제31조제3항제3호의 방법으로 개인정보 처리방침을 공개하는 경우에는 간행물·소식지·홍보지·청구서 등이 발행될 때마다 계속하여 게재하여야 한다.
제21조(개인정보 처리방침의 변경) 개인정보처리자가 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.
제4절 개인정보 보호책임자
제22조(개인정보 보호책임자의 공개) ① 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.
② 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이 경우 개인정보 보호책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 공개할 수 있다.
제23조(개인정보 보호책임자의 교육) 영 제32조제3항에 따라 행정자치부장관이 개설 운영할 수 있는 개인정보 보호책임자에 대한 교육의 내용은 다음 각 호와 같다.
1. 개인정보 보호 관련 법령 및 제도의 내용
2. 법 제31조제2항 및 영 제32조제1항 각 호의 업무수행에 필요한 사항
3. 그 밖에 개인정보처리자의 개인정보 보호를 위하여 필요한 사항
제24조(교육계획의 수립 및 시행) ① 행정자치부장관은 매년 초 당해 연도 개인정보 보호책임자 교육계획을 수립하여 시행한다.
② 행정자치부장관은 제1항의 교육계획에 따라 사단법인 한국개인정보보호협의회 등의 단체에 개인정보 보호책임자 교육을 실시하게 할 수 있다.
③ 행정자치부장관은 개인정보 보호책임자가 지리적·경제적 여건에 구애받지 않고 편리하게 교육을 받은 수 있는 여건 조성을 위해 노력하여야 한다.
제5절 개인정보 유출 통지 및 신고 등
제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
제26조(유출 통지시기 및 항목) ① 개인정보처리자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 제1항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.
1. 정보주체에게 유출이 발생한 사실
2. 제1항의 통지항목 중 확인된 사항
③ 개인정보처리자는 개인정보 유출 사고를 인지하지 못해 유출 사고가 발생한 시점으로부터 5일 이내에 해당 정보주체에게 개인정보 유출 통지를 하지 아니한 경우에는 실제 유출 사고를 알게 된 시점을 입증하여야 한다.
제27조(유출 통지방법) ① 개인정보처리자는 정보주체에게 제26조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다.
② 개인정보처리자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제26조제1항 각 호의 사항을 공개할 수 있다.
제28조(개인정보 유출신고 등) ① 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 행정자치부장관 또는 영 제39조제2항의 전문기관에게 신고하여야 한다.
② 제1항에 따른 신고는 별지 제1호서식에 따른 개인정보 유출신고서를 통하여 하여야 한다.
③ 개인정보처리자는 전자우편, 팩스 또는 영 제39조제2항에 따른 전문기관의 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제26조제1항의 사항을 신고한 후, 별지 제1호서식에 따른 개인정보 유출신고서를 제출할 수 있다.
④ 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제26조제1항에 따른 통지와 함께 인터넷 홈페이지 등에 정보주체가 알아보기 쉽도록 제26조제1항 각 호의 사항을 7일 이상 게재하여야 한다.
제29조(개인정보 유출 사고 대응 매뉴얼 등) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리자는 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 「개인정보 유출 사고 대응 매뉴얼」을 마련하여야 한다.
1. 법 제2조제6호에 따른 공공기관
2. 그 밖에 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자
② 제1항에 따른 개인정보 유출 사고 대응 매뉴얼에는 유출 통지·조회 절차, 영업점·인터넷회선 확충 등 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등을 포함하여야 한다.
③ 개인정보처리자는 개인정보 유출에 따른 피해복구 조치 등을 수행함에 있어 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력하여야 한다.
제30조(개인정보 침해 사실의 신고 처리 등) ① 개인정보처리자의 개인정보 처리로 인하여 개인정보에 관한 권리 또는 이익을 침해받은 사람은 법 제62조제2항에 따른 개인정보침해 신고센터에 침해 사실을 신고할 수 있다.
② 제1항에 따른 개인정보침해 신고센터는 다음 각 호의 업무를 수행한다.
1. 개인정보 처리와 관련한 신고의 접수·상담
2. 개인정보 침해 신고에 대한 사실 조사·확인 및 관계자의 의견 청취
3. 개인정보처리자에 대한 개인정보 침해 사실 안내 및 시정 유도
4. 사실 조사 결과가 정보주체의 권리 또는 이익 침해 사실이 없는 것으로 판단되는 경우 신고의 종결 처리
5. 법 제43조에 따른 개인정보 분쟁조정위원회 조정 안내 등을 통한 고충 해소 지원
제6절 정보주체의 권리 보장
제31조(개인정보 열람 연기 사유의 소멸) ① 개인정보처리자가 법 제35조제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다.
② 정보주체로부터 영 제41조제1항제4호의 규정에 따른 개인정보의 제3자 제공 현황의 열람청구를 받은 개인정보처리자는 국가안보에 긴요한 사안으로 법 제35조제4항제3호마목의 규정에 따른 업무를 수행하는데 중대한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.
제32조(개인정보의 정정·삭제) ① 개인정보처리자가 법 제36조제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
② 정보주체의 정정·삭제 요구가 법 제36조제1항 단서에 해당하는 경우에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거법령의 내용을 정보주체에게 알려야 한다.
제33조(개인정보의 처리정지) ① 개인정보처리자가 정보주체로부터 법 제37조제1항에 따라 개인정보처리를 정지하도록 요구받은 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보 처리의 일부 또는 전부를 정지하여야 한다. 다만, 법 제37조제2항 단서에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
② 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등 정보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알려야 한다.
제34조(권리행사의 방법 및 절차) ① 개인정보처리자는 정보주체가 법 제38조제1항에 따른 열람등요구를 하는 경우에는 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다.
② 제1항의 규정은 영 제46조에 따라 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 영 제47조에 따른 수수료와 우송료의 정산에도 준용한다.
제3장 영상정보처리기기 설치·운영
제1절 영상정보처리기기의 설치
제35조(적용범위) 이 장은 영상정보처리기기운영자가 공개된 장소에 설치·운영하는 영상정보처리기기와 이 기기를 통하여 처리되는 개인영상정보를 대상으로 한다.
제36조(영상정보처리기기 운영·관리 지침) ① 영상정보처리기기 운영·관리 지침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
② 영상정보처리기기 운영·관리 지침을 마련한 경우에는 법 제30조에 따른 개인정보 처리방침을 정하지 아니하거나, 영상정보처리기기 설치·운영에 관한 사항을 법 제30조에 따른 개인정보 처리방침에 포함하여 정할 수 있다.
제37조(관리책임자의 지정) ① 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 관리책임자를 지정하여야 한다.
② 제1항의 관리책임자는 법 제31조제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행한다.
1. 개인영상정보 보호 계획의 수립 및 시행
2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
4. 개인영상정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인영상정보 보호 교육 계획 수립 및 시행
6. 개인영상정보 파일의 보호 및 파기에 대한 관리·감독
7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
③ 법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 관리책임자의 업무를 수행할 수 있다.
제38조(사전의견 수렴) 영상정보처리기기의 설치 목적 변경에 따른 추가 설치 등의 경우에도 영 제23조제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
제39조(안내판의 설치) ① 영상정보처리기기운영자는 정보주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 법 제25조제4항 본문에 따라 다음 각 호의 사항을 기재한 안내판 설치 등 필요한 조치를 하여야 한다.
1. 설치목적 및 장소
2. 촬영범위 및 시간
3. 관리책임자의 성명 또는 직책 및 연락처
4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
② 제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 영상정보처리기기운영자가 안내판의 크기, 설치위치 등을 자율적으로 정할 수 있다.
③ 공공기관의 장이 기관 내 또는 기관 간에 영상정보처리기기의 효율적 관리 및 정보 연계 등을 위해 용도별·지역별 영상정보처리기기를 물리적·관리적으로 통합하여 설치·운영(이하 ‘통합관리’라 한다)하는 경우에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 제1항에 따른 안내판에 기재하여야 한다.
제2절 개인영상정보의 처리
제40조(개인영상정보 이용·제3자 제공 등 제한 등) ① 영상정보처리기기운영자는 다음 각 호의 경우를 제외하고는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하여서는 아니 된다. 다만 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
1. 정보주체에게 동의를 얻은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우
5. 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
제41조(보관 및 파기) ① 영상정보처리기기운영자는 수집한 개인영상정보를 영상정보처리기기 운영·관리 방침에 명시한 보관 기간이 만료한 때에는 지체 없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니하다.
② 영상정보처리기기운영자가 그 사정에 따라 보유 목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 한다.
③ 개인영상정보의 파기 방법은 다음 각 호의 어느 하나와 같다.
1. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각
2. 전자기적(電磁氣的) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구 삭제
제42조(이용·제3자 제공·파기의 기록 및 관리) ① 영상정보처리기기운영자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 경우에는 다음 각 호의 사항을 기록하고 이를 관리하여야 한다.
1. 개인영상정보 파일의 명칭
2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭
3. 이용 또는 제공의 목적
4. 법령상 이용 또는 제공근거가 있는 경우 그 근거
5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간
6. 이용 또는 제공의 형태
② 영상정보처리기기운영자가 개인영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리하여야 한다.
1. 파기하는 개인영상정보 파일의 명칭
2. 개인영상정보 파기 일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 관한 확인 시기)
3. 개인영상정보 파기 담당자
제43조(영상정보처리기기 설치 및 관리 등의 위탁) ① 영상정보처리기기운영자가 영 제26조제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁하는 경우에는 그 내용을 정보주체가 언제든지 쉽게 확인할 수 있도록 영 제24조에 따른 안내판 및 영 제27조에 따른 영상정보처리기기 운영·관리 방침에 수탁자의 명칭 등을 공개하여야 한다.
② 영상정보처리기기운영자가 영 제26조제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁할 경우에는 그 사무를 위탁받은 자가 개인영상정보를 안전하게 처리하고 있는지를 관리·감독하여야 한다.
제3절 개인영상정보의 열람등 요구
제44조(정보주체의 열람등 요구) ① 정보주체는 영상정보처리기기운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인(이하 "열람등"이라 한다)을 해당 영상정보처리기기운영자에게 요구할 수 있다. 이 경우 정보주체가 열람등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한한다.
② 영상정보처리기기운영자가 공공기관인 경우에는 해당 기관의 장에게 별지 제2호서식에 따른 개인영상정보 열람·존재확인 청구서(전자문서를 포함한다)로 하여야 한다.
③ 영상정보처리기기운영자는 제1항에 따른 요구를 받았을 때에는 지체 없이 필요한 조치를 취하여야 한다. 이때에 영상정보처리기기운영자는 열람등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야 한다.
④ 제3항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 영상정보처리기기운영자는 정보주체의 개인영상정보 열람등 요구를 거부할 수 있다. 이 경우 영상정보처리기기운영자는 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지하여야 한다.
1. 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)
2. 개인영상정보의 보관기간이 경과하여 파기한 경우
3. 기타 정보주체의 열람등 요구를 거부할 만한 정당한 사유가 존재하는 경우
⑤ 영상정보처리기기운영자는 제3항 및 제4항에 따른 조치를 취하는 경우 다음 각 호의 사항을 기록하고 관리하여야 한다.
1. 개인영상정보 열람등을 요구한 정보주체의 성명 및 연락처
2. 정보주체가 열람등을 요구한 개인영상정보 파일의 명칭 및 내용
3. 개인영상정보 열람등의 목적
4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유
5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유
⑥ 정보주체는 영상정보처리기기운영자에게 정보주체 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개인영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보처리기기운영자가 해당 파기조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다.
제45조(개인영상정보 관리대장) 제42조제1항 및 제2항, 제44조제5항 및 제6항에 따른 기록 및 관리는 별지 제3호서식에 따른 ‘개인영상정보 관리대장’을 활용할 수 있다.
제46조(정보주체 이외의 자의 개인영상정보 보호) 영상정보처리기기운영자는 제44조제2항에 따른 열람등 조치를 취하는 경우, 만일 정보주체 이외의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해의 우려가 있는 경우에는 해당되는 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 취하여야 한다.
제4절 개인영상정보 보호 조치
제47조(개인영상정보의 안전성 확보를 위한 조치) 영상정보처리기기운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법 제29조 및 영 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행, 다만 「개인정보의 안전성 확보조치 기준 고시」제2조제4호에 따른 ‘소상공인’은 내부관리계획을 수립하지 아니할 수 있다.
2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
4. 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
제48조(개인영상정보처리기기의 설치·운영에 대한 점검) ① 공공기관의 장이 영상정보처리기기를 설치·운영하는 경우에는 이 지침의 준수 여부에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 행정자치부장관에게 통보하고 영 제34조제3항에 따른 시스템에 등록하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.
1. 영상정보처리기기의 운영·관리 방침에 열거된 사항
2. 관리책임자의 업무 수행 현황
3. 영상정보처리기기의 설치 및 운영 현황
4. 개인영상정보 수집 및 이용·제공·파기 현황
5. 위탁 및 수탁자에 대한 관리·감독 현황
6. 정보주체의 권리행사에 대한 조치 현황
7. 기술적·관리적·물리적 조치 현황
8. 영상정보처리기 설치·운영의 필요성 지속 여부 등
② 공공기관의 장은 제1항과 제3항에 따른 영상정보처리기기 설치·운영에 대한 자체점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 한다.
③ 공공기관 외의 영상정보처리기기운영자는 영상정보처리기기 설치·운영으로 인하여 정보주체의 개인영상정보의 침해가 우려되는 경우에는 자체점검 등 개인영상정보의 침해 방지를 위해 적극 노력하여야 한다.
제4장 공공기관 개인정보파일 등록·공개
제1절 총칙
제49조(적용대상) 이 장의 적용대상은 다음과 같다.
1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
2. 「국가인권위원회법」에 따른 국가인권위원회
3. 「공공기관의 운영에 관한 법률」에 따른 공공기관
4. 「지방공기업법」에 따른 지방공사 및 지방공단
5. 특별법에 의하여 설립된 특수법인
6. 「초·중등교육법」,「고등교육법」및 그 밖의 다른 법률에 따라 설치된 각급 학교
제50조(적용제외) 이 장은 다음 각 호의 어느 하나에 해당하는 개인정보파일에 관하여는 적용하지 아니한다.
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보파일
2. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보파일
가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
다. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
라. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
마. 다른 법령에 따라 비밀로 분류된 개인정보파일
3. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보파일
가. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
4. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
5. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일
6.「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일
제2절 개인정보파일의 등록주체와 절차
제51조(개인정보파일 등록 주체) ① 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자는 그 현황을 행정자치부에 등록하여야 한다.
② 중앙행정기관, 광역자치단체, 특별자치시도, 기초자치단체는 행정자치부에 직접 등록하여야 한다.
③ 교육청 및 각급 학교 등은 교육부를 통하여 행정자치부에 등록하여야 한다.
④ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 행정자치부에 등록하여야 한다.
제52조(개인정보파일 등록 및 변경 신청) ① 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보 보호책임자에게 개인정보파일 등록을 신청하여야 한다.
② 개인정보파일 등록 신청 사항은 다음의 각 호와 같다. 신청은 「개인정보 보호법 시행규칙」(이하 "시행규칙"이라 한다) 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용할 수 있다.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일의 명칭
3. 개인정보파일의 운영 근거 및 목적
4. 개인정보파일에 기록되는 개인정보의 항목
5. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
6. 개인정보의 처리 방법
7. 개인정보의 보유 기간
8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수·처리하는 부서
11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
12. 법 제33조제1항에 따른 개인정보 영향평가를 받은 개인정보파일의 경우에는 그 영향평가의 결과
③ 개인정보취급자는 등록한 사항이 변경된 경우에는 시행규칙 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용하여 개인정보 보호책임자에게 변경을 신청하여야 한다.
제53조(개인정보파일 등록 및 변경 확인) ① 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 행정자치부에 등록하여야 한다.
② 교육청 및 각급 학교 등의 개인정보 보호책임자는 교육부에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 교육부의 확인을 받아 행정자치부에 등록하여야 한다.
③ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 행정자치부에 등록하여야 한다.
④ 제1항부터 제3항의 등록은 60일 이내에 하여야 한다.
제54조(개인정보파일 표준목록 등록과 관리) ① 특별지방행정기관, 지방자치단체, 교육기관(학교 포함) 등 전국적으로 단일한 공통업무를 집행하고 있는 기관은 각 중앙행정기관에서 제공하는 ‘개인정보파일 표준목록’에 따라 등록해야 한다.
② 전국 단일의 공통업무와 관련된 개인정보파일 표준목록은 해당 중앙부처에서 등록·관리해야 한다.
제55조(개인정보파일의 파기) ① 공공기관은 개인정보파일의 보유기간 경과, 처리 목적 달성 등 개인정보파일이 불필요하게 되었을 때에는 지체 없이 그 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 공공기관은 개인정보파일의 보유기간, 처리 목적 등을 반영한 개인정보 파기계획을 수립·시행하여야 한다. 다만, 영 제30조제1항제1호에 따른 내부 관리계획이 수립되어 있는 경우에는 내부 관리계획에 개인정보 파기계획을 포함하여 시행할 수 있다.
③ 개인정보취급자는 보유기간 경과, 처리 목적 달성 등 파기 사유가 발생한 개인정보파일을 선정하고, 별지 제4호서식에 따른 개인정보파일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기재하여 개인정보 보호책임자의 승인을 받아 개인정보를 파기하여야 한다.
④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 별지 제5호서식에 따른 개인정보파일 파기 관리대장을 작성하여야 한다.
제56조(개인정보파일 등록 사실의 삭제) ① 개인정보취급자는 제55조에 따라 개인정보파일을 파기한 경우, 법 제32조에 따른 개인정보파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청해야 한다.
② 개인정보파일 등록의 삭제를 요청받은 개인정보 보호책임자는 그 사실을 확인하고, 지체 없이 등록 사실을 삭제한 후 그 사실을 행정자치부에 통보한다.
제57조(등록·파기에 대한 개선권고) ① 공공기관의 개인정보 보호책임자는 제53조제1항에 따라 검토한 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우에는 개선을 권고할 수 있다.
② 교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보 보호책임자는 제53조제2항 및 제53조제3항에 따라 검토한 개인정보파일이 과다하게 운용된다고 판단되거나, 등록되지 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고할 수 있다.
③ 행정자치부장관은 개인정보파일의 등록사항과 그 내용을 검토하고 다음 각 호의 어느 하나에 해당되는 경우에는 법 제32조제3항에 따라 해당 공공기관의 개인정보 보호책임자에게 개선을 권고할 수 있다.
1. 개인정보파일이 과다하게 운용된다고 판단되는 경우
2. 등록하지 않은 개인정보파일이 있는 경우
3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일을 계속 보유하고 있는 경우
4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등록사항에 포함하지 않은 경우
5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우
④ 행정자치부장관은 제3항에 따라 개선을 권고한 경우에는 그 내용 및 결과에 대하여 개인정보 보호위원회의 심의·의결을 거쳐 공표할 수 있다.
⑤ 행정자치부장관은 공공기관의 개인정보파일 등록·파기 현황에 대한 점검을 실시할 수 있다.
제3절 개인정보파일의 관리 및 공개
제58조(개인정보파일대장 작성) 공공기관은 1개의 개인정보파일에 1개의 개인정보파일대장을 작성해야 한다.
제59조(개인정보파일 이용·제공 관리) 공공기관은 법 제18조제2항 각 호에 따라 제3자가 개인정보파일의 이용·제공을 요청한 경우에는 각각의 이용·제공 가능 여부를 확인하고 별지 제6호서식의 ‘개인정보 목적 외 이용·제공대장’에 기록하여 관리해야 한다.
제60조(개인정보파일 보유기간의 산정) ① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 영」에 따른 기록관리기준표를 상회할 수 없다.
③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다.
제61조(개인정보파일 현황 공개 및 방법) ① 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 포함하여 관리해야 한다.
② 행정자치부장관은 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다.
③ 행정자치부는 전 공공기관의 개인정보파일 등록 및 삭제 현황을 종합하여 매년 공개해야 하며, 개인정보파일 현황 공개에 관한 업무를 전자적으로 처리하기 위하여 정보시스템을 구축·운영할 수 있다.
제5장 보칙
제62조(친목단체에 대한 벌칙조항의 적용배제) ① 친목단체의 개인정보처리자에 대하여는 법 제75조제1항제1호, 법 제75조제2항제1호, 법 제75조제3항제7호 및 법 제75조제3항제8호의 벌칙을 적용하지 아니한다.
② 제1항에서 규정한 사항을 제외한 벌칙규정은 친목단체의 개인정보처리자에 대하여도 적용한다.
제63조(처리 중인 개인정보에 관한 경과조치) ① 법 시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 영, 시행규칙 및 이 지침에 따라야 한다.
② 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리자는 정보주체의 동의를 받아야 한다.
③ 법 시행 전에 개인정보를 수집한 개인정보처리자는 기존의 수집목적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주체의 동의를 받을 목적으로 법 시행 전에 수집한 개인정보를 이용할 수 있다.
부칙<제2016-00호,2016.6.00.> 이 규정은 발령한 날부터 시행한다.
|
[별지 제1호서식] | |||||||
|
개인정보 유출신고서 | |||||||
|
기관명 |
| ||||||
|
정보주체에의 통지 여부 |
| ||||||
|
유출된 개인정보의 항목 및 규모 |
| ||||||
|
유출된 시점과 그 경위 |
| ||||||
|
유출피해 최소화 대책ㆍ조치 및 결과 |
| ||||||
|
정보주체가 할 수 있는 피해 최소화 방법 및 구제절차 |
| ||||||
|
담당부서ㆍ담당자 및 연락처 |
|
성명 |
부서 |
직위 |
연락처 | ||
|
개인정보 보호책임자 |
|
|
|
| |||
|
개인정보 취급자 |
|
|
|
| |||
|
|
| ||||||
|
유출신고접수기관 |
기관명 |
담당자명 |
연락처 | ||||
|
|
|
| |||||
|
[별지 제2호서식] |
(앞 쪽) | ||||||
|
개인영상정보(□ 존재확인 □ 열람 ) 청구서 ※ 아래 유의사항을 읽고 굵은 선 안쪽의 사항만 적어 주시기 바랍니다. |
처리기한 | ||||||
|
10일 이내 | |||||||
|
청구인 |
성명 |
|
전화번호 |
| |||
|
생년월일 |
|
정보주체와의 관계 |
| ||||
|
주소 |
| ||||||
|
정보주체의 인적사항 |
성명 |
|
전화번호 |
| |||
|
생년월일 |
| ||||||
|
주소 |
| ||||||
|
청구내용 (구체적으로 요청하지 않으면 처리가 곤란할 수 있음) |
영상정보기록기간 |
(예 : 2011.01.01 18:30 ~ 2011.01.01 19:00)
| |||||
|
영상정보처리기기 설치장소 |
(예 : 00시 00구 00대로 0 인근 CCTV)
| ||||||
|
청구 목적 및 사유 |
| ||||||
|
「표준 개인정보 보호지침」제44조에 따라 위와 같이 개인영상정보의 존재확인, 열람을 청구합니다. 년 월 일 청구인 (서명 또는 인) ○○○○ 귀하 | |||||||
|
담당자의 청구인에 대한 확인 서명 |
| ||||||
|
|
| ||||||
[별지 제3호서식]
개인영상정보 관리대장
|
번호 |
구분 |
일시 |
파일명/ 형태 |
담당자 |
목적/ 사유 |
이용․ 제공받는 제3자 /열람등 요구자 |
이용․ 제공 근거 |
이용․제공 형태 |
기간 |
|
1 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
|
2 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
|
3 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
|
4 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
|
5 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
|
6 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
|
7 |
□ 이용 □ 제공 □ 열람 □ 파기 |
|
|
|
|
|
|
|
|
[별지 제4호서식]
개인정보파일 파기 요청서
|
작성일 |
|
작성자 |
| ||||
|
파기 대상 개인정보파일 |
| ||||||
|
생성일자 |
|
개인정보취급자 |
| ||||
|
주요 대상업무 |
|
현재 보관건수 |
| ||||
|
파기 사유 |
| ||||||
|
파기 일정 |
| ||||||
|
특기사항 |
| ||||||
|
파기 승인일 |
|
승인자 (개인정보 보호책임자) |
| ||||
|
파기 장소 |
| ||||||
|
파기 방법 |
| ||||||
|
파기 수행자 |
|
입회자 |
| ||||
|
폐기 확인 방법 |
| ||||||
|
백업 조치 유무 |
| ||||||
|
매체 폐기 여부 |
| ||||||
[별지 제5호서식]
개인정보파일 파기 관리대장
|
번호 |
개인정보 파일명 |
자료의 종류 |
생성일 |
폐기일 |
폐기사유 |
처리담당자 |
처리부서장 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[별지 제6호서식]
개인정보 목적 외 이용․제공 대장
|
구분 |
주요내용 |
|
① 개인정보파일명 |
|
|
② 이용․제공받는 기관 |
|
|
③ 이용․제공일자 |
|
|
④ 이용․제공주기 |
|
|
⑤ 이용․제공형태 |
|
|
⑥ 이용․제공목적 |
|
|
⑦ 이용․제공근거 |
|
|
⑧ 이용․제공항목 |
|
|
⑨ 비고 |
|
[별표 1호]
개인정보파일 보유기간 책정 기준표
|
보유기간 |
대상 개인정보파일 |
|
영구 |
1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 |
|
준영구 |
1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일 2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일 |
|
30년 |
1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 |
|
10년 |
1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 |
|
5년 |
1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 |
|
3년 |
1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일 2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름) |
|
1년 |
1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일 |
'IT, 저작권 이야기' 카테고리의 다른 글
| 인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0) | 2016.10.28 |
|---|---|
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
| 인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0) | 2016.10.26 |
| 유럽 사법재판소 판결 유동IP 주소는 개인정보 (0) | 2016.10.24 |
| 개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0) | 2016.10.24 |
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회)
|
「인터넷 자기게시물 접근배제요청권 가이드라인」(안) |
2016. 04.
|
|
|
1. |
|
기본방향 |
o 2014년 유럽사법재판소(ECJ)가 이용자의 시효가 지난 채무 관련 기사에 대해 검색사업자의 검색목록 삭제 책임을 인정한 이후, 소위 ‘잊힐 권리’의 도입방안에 대해 활발한 국내외 논의가 이루어지고 있으나,
- 세부내용에 있어서는 다양한 주장과 시각이 제기되고, 해당 권리가 적용된 EU에서도 프라이버시와 표현의 자유 등 권리 간의 균형과 조화 및 법제화 방안에 대한 논란이 지속
o 한국의 경우 EU와 달리 제3자 게시물에 대해 임시조치 등* 기존 구제수단이 있으나, 자기게시물의 경우 회원 탈퇴 등으로 관리권을 상실한 경우 이용자의 명백한 의사에도 불구하고 구제가 곤란
* 저작권법상 구제수단(복제자료), 언론중재법상 구제수단(언론기사), 정보통신망법상 구제수단(제3자 권리침해 게시물) 등 기존 제도를 적극 활용 가능
o 이에 따라, 사각지대에 있는 자기게시물에 대한 관리권을 상실한 이용자를 효과적으로 구제하면서도 표현의 자유 침해 등 부작용을 최소화할 수 있도록 필요최소한의 범위에서 가이드라인을 마련
|
2. |
|
목 적 |
o 본 가이드라인은 헌법상의 개인정보 자기결정권, 행복추구권 및 사생활의 비밀과 자유, 그리고, 정보통신망법상의 정보통신서비스제공자의 책무 등에 근거하여 이용자 본인이 인터넷상 게시한 게시물에 대하여 타인의 접근 배제를 요청할 수 있는 권리 (이하 “자기게시물 접근배제요청권”이라 한다)를 보장
o 정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자 권익을 보호할 책무를 부담하므로, 이용자의 자기게시물 접근배제요청 의사를 존중하여 표현의 자유 및 알권리 등과 적절한 조화를 이루도록 노력
|
|
|
< 자기게시물 접근배제요청 개요 > |
|
| |||||||||||
|
|
|
|
| ||||||||||||
|
| |||||||||||||||
|
3. |
|
이용자 본인의 접근배제 요청 |
[권리행사 대상 : 자기게시물 및 사자(死者)게시물]
o 정보통신망을 통하여 이용자 본인이 게시한 글(댓글 포함), 사진, 동영상 및 이에 준하는 기타 게시물
o 사자(死者)가 생전에 접근배제요청권의 행사를 위임한 지정인 또는 사자(死者)의 유족*이 접근배제를 요청하는 경우, 사자(死者)가 정보통신망을 통하여 게시한 글(댓글 포함), 사진, 동영상 및 이에 준하는 기타 게시물(지정인과 유족의 의견이 다른 경우에는 특별한 사정이 없는 한 지정인의 의견에 따른다)
* 유족 : 사망한 사람의 배우자와 직계비속으로 한정하되, 배우자와 직계비속이 모두 없는 경우에는 직계존속이, 직계존속도 없는 경우에는 형제자매가 그 유족이 되며, 같은 순위의 유족이 2명 이상 있는 경우에는 유족 전원이 합의하여 요청권 행사
※ 지정인이나 유족은 사망사실증명서, 접근배제요청인 지정서(p.9 참조)나 가족관계증명서 등 사자(死者)와의 관계 증명을 위해 필요한 서류 및 접근배제 요청 게시물이 사자가 게시한 게시물임을 입증할 수 있는 자료를 제출하여 접근배제 요청
< 권리행사 대상 예시 >
|
◈ 자기 게시물에 댓글이 달려 게시물 내용을 인터넷에서 삭제하기 어려운 경우
◈ 회원 탈퇴 또는 1년간 계정 미사용 등으로 회원정보가 파기됨에 따라 이용자 본인이 직접 삭제하기 어려운 게시물인 경우
◈ 회원 계정정보를 분실하여 이용자 본인이 삭제하기 어려운 경우
◈ 게시판 관리자가 사업의 폐지 등으로 사이트 관리를 중단한 경우 (검색서비스 사업자에 대해서 검색목록 배제의 방법으로 접근배제를 요청)
◈ 사자(死者)가 생전에 접근배제요청권의 행사를 위임한 지정인 또는 유족이 사자(死者)의 인터넷 게시물에 대한 접근배제를 요청하는 경우
◈ 게시판 관리자가 게시물 삭제 권한을 제공하지 않아, 이용자가 스스로 게시물을 삭제할 수 없는 경우 |
[권리행사 주체 및 상대방]
o (주체) 자연인 누구든지 가능(법인 제외)
o (상대방) 정보통신망을 이용한 게시판을 직접 관리‧운영하는 정보통신서비스 제공자(이하 ‘게시판 관리자’) 또는 정보통신망을 이용한 검색 서비스를 제공하는 사업자(이하 ‘검색서비스 사업자’)
※ 국내에서 한국어 서비스를 제공하는 해외 사업자 포함
[요청 방법 및 절차]
o 자기게시물 접근배제요청권을 행사하고자 하는 자는 우선 이용자 본인이 직접 해당 게시물을 삭제할 수 있는지 시도
※ 이용자 본인이 직접 해당 게시물을 삭제할 수 있는 경우, 사업자는 자기게시물 접근배제요청 거부 가능
o 이용자 본인이 직접 게시물을 삭제하기 어려운 경우, 게시판 관리자에게 인터넷에 게재된 자기게시물의 접근배제를 요청
※ 타인의 게시물에 대하여 부당한 방법을 통해 허위로 접근배제를 요청하는 경우, 관련 법률에 따라 민사‧형사상의 책임을 부담할 수 있음
- 이용자 본인(이하 ‘요청인’)은 접근배제요청시 아래와 같이 요청인이 게시한 자기게시물임을 입증할 수 있는 자료 등을 첨부
< 자기게시물 접근배제 요청시 제출하여야 하는 항목 >
|
1. 접근배제를 원하는 게시물 및 게시물의 위치자료(URL) 2. 요청인이 해당 게시물을 게시하였다는 사실을 입증할 수 있는 자료 3. 접근배제를 요청하는 사유 |
※ [별지 2] 자기게시물 접근배제 요청서(예시) 참조(p.10)
o 게시판 관리자가 접근배제 조치를 취하는 경우, 검색목록의 배제를 추가적으로 원하는 요청인은 게시판 관리자의 접근배제 조치사실을 입증할 수 있는 자료(접근배제통보서)를 첨부하여 검색서비스 사업자에게 검색목록 배제를 요청
o 다만, 게시판 관리자의 사이트 관리 중단 등 특별한 사유*로 인해 게시판 관리자가 접근배제 조치를 취하지 않는 경우, 요청인은 증빙자료**를 첨부하여 검색서비스 사업자에게 검색목록 배제를 요청
* 특별한 사유 : ① 게시판 관리자가 사업을 폐지한 경우, ② 기타 게시판이 사실상 운영되지 않아 게시물 접근배제가 어렵다고 검색서비스 사업자가 판단하는 경우
** 자기게시물 접근배제 요청시의 제출항목, 특별한 사유 중 ①에 해당하는 경우에는 국세청 홈페이지에서 확인한 폐업확인 자료 등
|
4. |
|
사업자의 접근배제 판단‧조치 |
[접근배제 판단·조치]
o 게시판 관리자의 경우
- 게시판 관리자는 요청인이 제출한 입증자료를 종합적으로 고려하여 해당 게시물이 이용자 본인의 자기게시물이라고 합리적으로 판단되는 경우, 해당 게시물에 대한 블라인드 처리 방법으로 지체없이 접근배제 조치 실시
< 자기게시물 판단방법 예시 >
|
그림 예시 |
설명 |
|
|
<이용자 본인이 게시하였음을 확인할 수 있는 다양한 입증자료를 종합적으로 고려>
o 게시물*에서 나타나는 성별‧나이‧직장‧학교‧거주지역‧사진 및 동영상 인물 등 각종 정보와의 동일성 확인
* 접근배제 요청 게시물, 동일 서비스 내에 같은 ID/별명/IP주소로 게시한 타 게시물 |
※ 허위 신청 등으로 인해 부당하게 게시물이 삭제될 가능성이 있으므로, 게시판 관리자는 해당 게시물을 블라인드 처리하여 게시물에 대한 제3자의 접근을 방지
o 검색서비스 사업자의 경우
- (게시판 관리자가 접근배제 조치를 취한 경우) 검색서비스 사업자는 요청인의 접근배제요청서 및 게시판 관리자의 접근배제통보서를 기초로 지체없이 캐시 등을 삭제하여 검색목록에서 배제하는 방법으로 접근배제 조치를 실시
- (게시판 관리자가 접근배제 조치를 취하지 않은 경우) 게시판 관리자의 사이트 관리 중단 등 특별한 사유*가 있어 요청인이 검색서비스 사업자에게 곧바로 검색목록 배제를 요청하는 경우, 검색서비스 사업자는 증빙자료를 기초로 검색목록 배제 여부를 결정하여 조치
* 특별한 사유 : ① 게시판 관리자가 사업을 폐지한 경우, ② 기타 게시판이 사실상 운영되지 않아 게시물 접근배제가 어렵다고 검색서비스 사업자가 판단하는 경우
[접근배제 예외기준]
o 게시판 관리자 및 검색서비스 사업자(이하 ‘게시판 관리자 등’)는 아래의 경우, 요청인의 접근배제요청 거부 가능
- 접근배제를 요청받은 게시물이 다른 법률 또는 법령에서 위임한 명령 등에 따라 접근차단 또는 삭제가 금지되어 게시판 관리자 등이 해당 게시물의 보존의무를 부담하는 경우 (법원의 증거보전결정 등에 따라 보존의무가 있는 경우 등 포함)
- 접근배제를 요청받은 게시물이 공익과 상당한 관련성이 있는 경우 (정무직 공무원 등 공인이 자신의 공적 업무와 관련하여 게시한 게시물인 경우 혹은 공직자 및 언론기관 관계인 등이 게시한 게시물이 그 업무에 관한 것으로서 공적 관심사에 해당하는 경우)
|
5. |
|
결과 통보 및 제3자의 이의신청 |
[접근배제 결과 통보]
o 제출 자료에 의해 자기게시물임이 입증되어 접근배제 조치를 취한 경우, 게시판 관리자 등은 접근배제 결정 게시물 및 그 위치자료, 접근배제 일시 등을 우편․모사전송․전자우편 등의 방법 중 하나 이상으로 접근배제 요청인에게 통보
- 게시판 관리자는 접근배제 조치를 한 게시물에 대해서, 게시자의 요청으로 접근배제 조치를 하였다는 사실을 해당 게시물 자리에 공시하는 등의 방법으로 제3자가 알 수 있도록 조치
o 자기게시물임이 입증되지 않거나 접근배제 예외기준에 해당하여 접근배제 요청을 거부하는 경우, 게시판 관리자 등은 접근배제 거부게시물 및 그 위치자료, 거부사유 등을 우편․모사전송․전자우편 등의 방법 중 하나 이상으로 접근배제 요청인에게 통보
[제3자의 이의신청]
o 이의신청 주체 : 해당 게시물에 대해, 접근배제 요청인이 게시한 것이 아니라 자신이 게시한 것임을 주장하는 제3자
o 접근배제 조치된 게시물에 관하여 권리를 주장하는 이의신청인은 게시판 관리자 등에게 접근재개를 요구하는 사유 및 이에 대한 입증자료를 첨부하여 접근재개를 요청
o 게시판 관리자 등은 이의신청인의 제출 자료에 의하여 이의신청 사유가 입증된 경우 즉시 접근재개 조치를 취하고, 접근배제 요청인 및 이의신청인에게 접근배제 결과통보와 동일한 방법으로 접근재개 게시물, 접근재개 예정일, 접근재개 사유 등을 통보
※ [별지3] 접근재개 요청서(예시) 참조(p.12)
[접근배제‧재개 거부]
o 사업자는 요청인 또는 이의신청인이 제출한 입증자료가 불충분한 경우 추가적인 입증자료를 요청할 수 있으며, 입증이 충분치 않다고 판단되는 경우 접근배제‧재개 요청 거부 가능
|
[별지 제1호] (앞쪽) | ||||||||
|
※ 접수일자 |
|
※ 접수번호 |
| |||||
|
접근배제요청인 지정서 | ||||||||
|
신청인 |
성 명 |
|
전자우편 |
| ||||
|
전화번호 |
| |||||||
|
지정인 |
성 명 |
|
전자우편 |
| ||||
|
전화번호 |
| |||||||
|
신청인과의 관계 |
| |||||||
|
지정 대상 게시판 관리자 (또는 검색서비스사업자) |
| |||||||
|
지정 사유 |
| |||||||
|
지정인의 접근배제요청 제한 범위 |
(제한 사항이 없을 경우 생략) | |||||||
|
위와 같이 접근배제요청인을 지정합니다. 년 월 일 (서명 또는 인)
게시판 관리자 ○ ○ ○ ○ ○ 귀하 (또는 검색서비스사업자) | ||||||||
|
<개인정보의 수집 및 이용 동의 안내> 1. 수집하려는 개인정보의 항목 - 신청인 및 지정인의 성명, 전화번호, 전자우편, 신청인과 지정인의 인적 관계 2. 개인정보의 수집 및 이용 목적 - 본인 식별 절차 및 자기게시물 접근배제요청인 지정업무, 접근배제 요청업무의 처리 3. 개인정보의 이용 및 보유기간 - 수집된 정보는 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 보유 4. 동의를 거부할 권리가 있으며, 거부시 접근배제요청인 지정 및 접근배제 요청 업무 처리에 제한이 있을 수 있습니다.
본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다.
신청인 (서명 또는 인) 지정인 (서명 또는 인) | ||||||||
|
210mm×297mm(일반용지60g/㎡(재활용품)) | ||||||||
|
[별지 제2호] (앞쪽) | ||||||||
|
※ 접수일자 |
|
※ 접수번호 |
| |||||
|
자기게시물 접근배제 요청서 | ||||||||
|
접근배제 요청인 (권리 주장자) |
성 명 |
|
전자우편 |
| ||||
|
전화번호 |
| |||||||
|
접근배제 요청 게시물 |
※ 대량일 경우 뒤쪽 사용
| |||||||
|
접근배제 요청 게시물의 위치자료(URL) |
※ 대량일 경우 뒤쪽 사용
| |||||||
|
자기게시물 접근배제 요청 사유 |
| |||||||
|
위와 같이 게시물의 접근배제를 요청하오니 즉시 조치하여 주시기 바랍니다. 년 월 일 신청인 (서명 또는 인)
게시판 관리자 ○ ○ ○ ○ ○ 귀하 (또는 검색서비스사업자) | ||||||||
|
<개인정보의 수집 및 이용 동의 안내> 1. 수집하려는 개인정보의 항목 - 성명, 전화번호, 전자우편, 요청인이 제출한 자기게시물 입증자료에 포함된 ID, IP주소 등의 개인정보 (요청인의 제출 자료에 따라서 수집 개인정보가 상이할 수 있음) 2. 개인정보의 수집 및 이용 목적 - 본인 식별 절차 및 자기게시물 접근배제 요청 처리 3. 개인정보의 보유 및 이용기간 - 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 4. 동의를 거부할 권리가 있으며, 거부시 접근배제 요청 처리에 제한이 있을 수 있습니다.
본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다.
신청인 (서명 또는 인) | ||||||||
|
※ 첨부서류 1. 요청인 또는 사자(死者)가 해당 게시물을 게시하였다는 사실을 입증할 수 있는 자료 2. 사자(死者) 게시물에 대하여 접근배제요청 지정인이 접근배제를 요청하는 경우, 지정 사실을 입증할 수 있는 접근배제요청인지정서 | ||||||||
|
210mm×297mm(일반용지60g/㎡(재활용품)) | ||||||||
|
(뒤쪽) | ||
|
No |
접근배제 요청 게시물 |
접근배제 요청 게시물의 위치자료(URL) |
|
1 |
|
|
|
2 |
|
|
|
3 |
|
|
|
4 |
|
|
|
5 |
|
|
|
6 |
|
|
|
7 |
|
|
|
8 |
|
|
|
9 |
|
|
|
10 |
|
|
|
11 |
|
|
|
12 |
|
|
|
13 |
|
|
|
14 |
|
|
|
15 |
|
|
|
[별지 제3호] (앞쪽) | ||||||||
|
※ 접수일자 |
|
※ 접수번호 |
| |||||
|
접근재개 요청서 | ||||||||
|
접근재개 요청인 (이의신청인) |
성 명 |
|
전자우편 |
| ||||
|
전화번호 |
| |||||||
|
재개 요청 게시물 |
※ 대량일 경우 뒤쪽 사용
| |||||||
|
재개 요청 게시물의 위치자료 (URL) |
※ 대량일 경우 뒤쪽 사용
| |||||||
|
중단 일시 |
| |||||||
|
접근재개 요청 사유 |
| |||||||
|
위와 같이 검색배제 게시물의 접근재개를 요청합니다. 년 월 일 (서명 또는 인)
게시판 관리자 ○ ○ ○ ○ ○ 귀하 (또는 검색서비스사업자) | ||||||||
|
<개인정보의 수집 및 이용 동의 안내> 1. 수집하려는 개인정보의 항목 - 성명, 전화번호, 전자우편, 요청인이 제출한 접근재개 사유의 입증자료에 포함된 ID, IP주소 등의 개인정보 (요청인의 제출 자료에 따라서 수집 개인정보가 상이할 수 있음) 2. 개인정보의 수집 및 이용 목적 - 본인 식별 절차 및 자기게시물 접근재개 요청 처리 3. 개인정보의 보유 및 이용기간 - 수집된 정보는 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 4. 동의를 거부할 권리가 있으며, 거부시 접근재개 요청 처리에 제한이 있을 수 있습니다.
본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다.
신청인 (서명 또는 인) | ||||||||
|
※ 첨부서류 1. 접근재개 사유가 존재함을 입증할 수 있는 자료
| ||||||||
|
210mm×297mm(일반용지60g/㎡(재활용품)) | ||||||||
|
(뒤쪽) | ||
|
No |
접근재개 요청 게시물 |
접근재개 요청 게시물의 위치자료 (URL) |
|
1 |
|
|
|
2 |
|
|
|
3 |
|
|
|
4 |
|
|
|
5 |
|
|
|
6 |
|
|
|
7 |
|
|
|
8 |
|
|
|
9 |
|
|
|
10 |
|
|
|
11 |
|
|
|
12 |
|
|
|
13 |
|
|
|
14 |
|
|
|
15 |
|
|
'IT, 저작권 이야기' 카테고리의 다른 글
| 필수자료: 개인정보 수집,제공 작성 가이드라인 (0) | 2016.10.26 |
|---|---|
| 표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0) | 2016.10.26 |
| 유럽 사법재판소 판결 유동IP 주소는 개인정보 (0) | 2016.10.24 |
| 개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0) | 2016.10.24 |
| KT 유출사고 (0) | 2016.10.24 |