by sisw.com



【 적용대상 】
 ◦ 개인정보는 수집방법과 무관하게 개인정보보호법의 적용대상임
 ◦ 수집방법 : ①웹사이트 회원가입 ②게시판 등 글쓰기 ③온라인 서식 ④오프라인(수기) 서식  ⑤제3자(타 기관) 제공  ⑥전화, 문자메시지 등

【 개인정보의 수집 및 이용 】
1. 홈페이지(메인 또는 연계)에서 회원가입을 할 때, 주민등록번호를 사용하지 않고 가입할 수 있는 대체가입수단(i-PIN 등)을 제공하여야 함(법제24조)
√ 연계홈페이지라 함은 해당기관의 사업 또는 업무별 필요에 의해 메인홈페이지 외에 추가적으로 개설․운영되고 있는 홈페이지를 말함 (1개 이상일 수 있음)

2. 수집하고 있는 개인정보에 대해 정보주체의 동의를 받지 않고도 처리할 수 있는 별도의 법적 근거가 있어야 함(법제15조)

3. 개인정보 수집에 대한 별도의 법적 근거가 없는 경우
 ◦ 개인정보를 수집․처리(홈페이지 회원가입, 게시판, 온․오프라인 서식 등 모든 경우 포함)할 때, 정보주체로부터 동의를 모두 받아야 함(법제15조)
 ◦ 민감정보(사상·신념, 건강 등)를 처리하는 경우, 일반 개인정보의 처리에 대한 동의와 별도로 동의를 받아야 함(법제23조)
√ ‘별도 동의’라 함은 일반 개인정보 수집을 위해 동의를 받고, 그 와는  별도로 민감정보 수집에 대해 추가로 동의를 받는 것을 말함
 ◦ 고유식별정보(주민번호, 운전면허번호, 여권번호, 외국인등록번호)를 처리하는 경우, 일반 개인정보의 처리에 대한 동의와 별도로 동의 필요함(법제24조)
 ◦ 14세 미만 아동의 개인정보를 처리하는 경우, 법정대리인의 동의 필요(법제22조)
 ◦ 정보주체로부터 동의를 받을 때, 다음 사항을 정보주체가 명확하게 인지할 수 있도록 안내하여야 함(법제15조)
       • 개인정보의 수집 · 이용 목적
       • 수집하고자 하는 개인정보의 항목
       • 개인정보의 보유 및 이용 기간
       • 동의를 거부할 권리와 동의 거부에 따른 불이익 내용

4. 개인정보 수집 시, 목적에 필요한 최소한의 정보를 수집하여야 함 (입증책임 있음)(법제16조)

5. 정보주체가 필수정보 외의 개인정보(선택정보) 수집에 동의하지 않아도 재화 또는 서비스를 이용 가능하도록 하여야 함(법제22조)

6. 영상정보처리기기(CCTV, 네트워크 카메라)를 설치·운영하는 경우(법제25조)
 ◦ 영상정보처리기기 운영·관리 방침을 마련하여 공개하여야 함
 ◦ 정보주체가 쉽게 인식할 수 있도록 안내판 설치
    - 설치 목적/장소, 촬영 범위/시간, 관리책임자의 성명/연락처, 수탁자 명칭/연락처

【 개인정보의 제공 및 위탁 】
7. 개인정보를 제3자에게 제공(공유 포함)하는 경우(법제17조)
 ◦ 정보주체의 동의를 모두 받아야 함
 ◦ 정보주체의 동의를 받지 않아도 되는 경우
   ① 다른 법률에 특별한 규정이 있는 경우
   ② 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
   ③ 사전 동의를 받을 수 없는 경우로써 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익에 필요한 경우

8. 개인정보를 목적 외 용도로 이용하는 경우(법제18조)
 ◦ 법률 등의 근거가 없으면 정보주체의 별도 동의를 모두 받아야 함

9. 개인정보 처리 업무를 제3자에게 위탁하는 경우(법제26조)
 ◦ 법제26조의 내용이 포함된 문서에 의하여 처리하여야 함
√ (법제26조제1항) 위탁업무의 목적 및 범위, 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적․관리적 보호 조치에 관한 사항 등
 ◦ 위탁하는 업무의 내용과 위탁받아 처리하는 자(수탁자)에 대해 정보주체가 쉽게 확인할 수 있도록 공개(인터넷 홈페이지 또는 관보, 신문 등)하여야 함

10. 수탁자가 개인정보를 처리하는 과정에서 법 위반으로 발생한 손해배상책임이 위탁자에게 있음(법제26조)

11. 수탁자는 개인정보처리자(타기관)로부터 위탁받은 업무 범위를 초과하여 개인정보를 이용하거나, 제3자에게 제공하면 안됨(법제26조)

【 개인정보의 저장 및 관리 】
12. 개인정보 보유부서는 ‘개인정보처리방침’을 수립/공개하여야 함(법제30조)
      • 개인정보의 처리 목적
      • 처리하는 개인정보 항목
      • 개인정보의 처리 및 보유 기간
      • 제3자 제공에 관한 사항 (해당되는 경우에 한함)
      • 처리의 위탁에 관한 사항 (해당되는 경우에 한함)
      • 정보주체의 권리․의무 및 그 행사방법에 관한 사항
      • 개인정보의 파기에 관한 사항
      • 개인정보의 안전성 확보조치에 관한 사항

13. 운용하고 있는 개인정보파일을 개인정보보호법 규정에 따라 행정안전부에 모두 등록하여야 함(법제32조)
√ 개인정보파일이란? 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말함

14. 개인정보의 안전성 확보조치
 ◦ 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립․시행 등
 ◦ 개인정보에 대한 접근통제 및 접근권한의 제한․관리 조치 등
 ◦ 개인정보를 안전하게 저장․전송할 수 있는 암호화기술 또는 이에 상응하는 조치 등
 ◦ 개인정보 접속기록의 보관 및 위조․변조 방지를 위한 조치 등
 ◦ 개인정보에 대한 보안프로그램의 설치 및 갱신․점검 조치 등
 ◦ 개인정보를 물리적으로 안전하게 보관하기 위한 조치 등
 ◦ 주관부서는 기관내 개인정보보호에 대한 정기적인 자체감사 실시

15. 아래의 경우 개인정보 영향평가를 하여야 함(법제33조)
  ① 5만명 이상의 민감정보 또는 고유식별정보 처리가 수반되는 경우
  ② 다른 개인정보파일과 연계하려는 경우로써 연계 결과 50만명 이상의 개인정보가 포함되는 경우
  ③ 100만명 이상의 개인정보 처리가 수반되는 경우
√ 현재 운영중인 개인정보파일의 경우는 ‘16.9.30.(시행후 5년)까지 영향평가를 완료하고 결과를 행정안전부장관에게 제출해야 함.

【 개인정보의 파기 】
16. 개인정보의 보유기간 경과, 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때, 지체없이 그 개인정보를 파기하여야 함(법제21조)
 ◦ 다른 법령에 따라 파기하지 않고 보존해야 할 경우, 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하여야 함(법제21조)

【 정보주체의 권리 】
17. 개인정보의 열람, 정정·삭제, 처리정지 등 정보주체의 권리를 보장하기 위한 구체적인 방법과 절차를 마련하여 공개하여야 함(법제35~38조)

18. 개인정보보호법 위반 행위로 인하여 정보주체가 손해를 입을 경우, 손해배상을 청구할 수 있음(법제39조)

【 개인정보 사고대응 】
19. 개인정보가 유출되었음을 알았을 때에는 서면 등의 방법으로 지체없이 해당 정보주체에게 알려야 함(항목, 경위, 구제절차 등)(법제34조)
√ 1만명 이상 유출시에는 행안부장관 또는 전문기관(KISA/NIA)에 신고

20. 개인정보 침해사고(유출 등) 발생시, 개인정보보호법에 근거하여 개인정보에 관한 (집단)분쟁조정 및 단체소송의 대상이 될 수 있음(법제40~57조)


※ 기타사항 : 개인정보보호법, 시행령, 시행규칙, 표준지침 등 준수요망

Posted by EFP