표준 개인정보 보호지침 스터디 (1) : 개인정보보호법, 개보법 시행령과 같이보면 좋은!
새해가 밝았어요 (ノへ ̄、)
올해도 호랑이처럼 열심히 달려보겠읍니다..!
표준 개인정보 보호지침을 공부해보려 해요.. 올해 cppg 자격증 따는게 목표임.
제1장 총칙
제1조(목적) 이 표준 개인정보 보호지침은 개인정보보호법 제12조 제1항에 따라 개인정보처리자가 준수해야 하는 개인정보 처리 기준, 개인정보 침해 유형, 예방조치 등에 관한 세부사항을 정함을 목적으로 한다.
개인정보보호법 제12조 1항에서는 보호위원회가 개인정보 보호지침을 정하여 개인정보처리자에게 준수를 권장할 수 있다고 규정하고 있다. 이 개인정보처리방침은 개인정보보호위원회가 만들었으며 개인정보처리자가 지켜야할 방침이다.
제2조(용어의 정의)
1. 개인정보 처리 : 개인정보 수집, 생성, 기록, 저장 등 하는 행위
2. 개인정보 처리자 : 개인정보 처리하는 공공기관, 사업자, 협회, 동창회 등
3. 공공기관 : 개인정보 보호법 시행령 2조에 따른 기관
4. 친목단체 : 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로 친목도모를 위한 동아리 모임
5. 개인정보 보호책임자 : 개인정보처리자의 개인정보 처리에 관한 업무 총괄
6. 개인정보 취급자 : 개인정보처리자의 지휘, 감독으로 개인정보 처리 업무를 담당하는 자
7. 개인정보처리시스템 : 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템
8. 영상정보처리기기 : 일정 공간에 지속적으로 설치되어 사물이나 사람 영상을 촬영하거나 이를 유무선망을 통해 전송하는 일체의 장치
9. 개인영상정보 : 영상정보처리기기에 의해 촬영, 처리되는 영상정보 중 개인 사생활과 관련된 영상
10. 영상정보처리기기 운영자 : 개보법 제25조 제1항에 따라 영상정보처리기기를 설치, 운영하는 자
11. 공개된 장소 : 정보주체가 접근, 통행하는 데 제한을 받지 않는 장소
12. 개인정보파일 : 개인정보를 쉽게 검색할 수 있도록 체계적으로 배열하거나 구성한 개인정보의 집합물
음 그냥 읽어보면 된다.!
제3조(적용범위) 이 지침은 전자적 처리 여부 불문, 수기문서 포함한 모든 형태의 개인정보파일을 운용하는 개인정보처리자에게 적용됨
제4조(개인정보 보호 원칙)
- 개인정보를 수집하는 목적은 수집 당시 특정되어야 하고 개인정보처리자는 그 목적 달성을 위해 필요한 범위에서만 처리해야 한다.
- 개인정보처리자는 개인정보 내용이 사실에 부합하게 정확하고, 최신 상태를 유지해야하며 처리과정에서 개인정보를 부당하게 변경, 훼손하면 안된다.
- 개인정보처리자는 정보주체 권리가 침해받을 가능성, 위험에 상응하는 적절한 보안조치를 통해 개인정보를 안전하게 관리해야 한다.
- 개인정보처리자는 개인정보 처리방침 등 개인정보 처리에 관한 사항을 공개해야 하며 정보주체의 권리가 보장되도록 합리적 절차를 마련해야 한다.
- 개인정보처리자는 필요한 범위에서 개인정보를 처리할 때에도 사생활침해를 최소화하는 방법으로 처리해야 한다.
- 개인정보처리자는 구체적인 업무 특성상 가능하면 개인을 알아볼 수 없는 형태로 개인정보를 처리해야 한다.
제5조(다른 지침과의 관계) 중앙행정기관 장이 소관분야 개인정보 보호지침을 정할 때 표준지침에 부합되도록 해야 한다.
지금 공부중인 이 표준 개인정보 보호지침을 기준으로 부합되게 소관분야 개인정보 보호지침을 정할 수 있다.
제2장 개인정보 처리기준
제1절 개인정보의 처리
제6조(개인정보의 수집)
1. 개인정보 수집이란 정보주체로부터 개인정보를 제공받는 것뿐만 아니라 정보주체에 대한 모든 형태의 개인정보를 취득하는 것이다.
2. 개인정보처리자는 아래 이유로 개인정보 수집이 가능하며 그 범위에서 이용할 수 있다.
- 사전 동의 받은 경우
- 법에서 수집을 구체적으로 허용하는 경우
- 법에서 구체적으로 허용하는 개인정보처리자의 의무를 위해 개인정보 수집이 꼭 필요한 경우
- 공공기관이 개인정보 수집 없이 법에서 정한 소관업무를 수행하기 어려운 경우
- 개인정보 수집 없이 정보주체와의 계약 의무를 이행하는 것이 어려운 경우
- 정보주체의 신체, 생명, 재산 피해를 방지해야 할 상황인데 정보주체가 의사표시를 못하거나 주소불명이어서 사전에 동의를 못받는 경우
- 개인정보처리자가 법령 또는 정보주체와의 계약에 따른 이익을 달성하기 위해 필요한 경우(합리적인 범위 초과X)
3. 개인정보처리자가 명함을 제공받음으로써 개인정보를 수집할 때 정보주체가 동의의사를 표시하거나 / 정황 상 통 념상 동의 의사가 있었다고 인정되는 범위에서만 이용할 수 있다.
4. 개인정보처리자가 인터넷 홈페이지에서 개인정보를 수집할 때 본인 개인정보를 인터넷에 게시하거나 허용한 정보주체의 동의의사가 명확히 표시되거나 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
5. 개인정보처리자는 정보주체가 대리인을 통해 법률행위나 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집, 이용할 수 있다.
6. 근로자와 사용자가 근로계약 체결 시 임금지급, 교육, 증명서 발급 등을 위해 근로자의 동의 없이 개인정보를 수집 이용할 수 있다.
정보주체의 개인정보를 아무때나 수집하면 안되고 특정한 경우에만 수집해야한다.
제7조(정보주체의 사전동의를 받을 수 없는 경우) 개인정보처리자가 개인정보보호법 제15조제1항제5호, 제18조제2항제3호에 따라 정보주체의 사전동의 없이 개인정보 수집, 이용한 경우 당해 사유가 해소되면 개인정보 처리를 즉시 중단해야 하고 정보주체에게 사전동의 없이 개인정보 수집, 이용 사실과 그 사유, 이용내역을 알려야 한다.
개인정보보호법 제15조제1항제5호 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
개인정보보호법 제18조제2항제3호 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
음 이것은.. 예를 들어 어떤 사람이 엄청 큰 교통사고를 당해서 의식 분명인데? 엄청 급박한데? 당장 수술실로 옮겨야 할 때 휴대폰도 잠겨있어서 보호자에게 전화도 못할 때 일단 개인정보 갖다 써서 의료보험 이런거 확인하고 혈액형도 확인해서 일단은 살려내고, 의식이 돌아오면 우리가 당신 살리려고 주민번호 뭐 뭐뭐,,, 수집했다. 이런식으로 알리라는 얘기다! 물론 살아나면 개인정보처리를 중단하던가 동의를 다시 받던가 해야함
제8조(개인정보의 제공)
- 개인정보의 제공이란 개인정보의 이전, 공동으로 개인정보를 이용할 수 있는 상태를 초래하는 모든 행위를 말한다.
- 법 제17조의 제3자란 정보주체와 그 법정대리인으로부터 개인정보를 실질적으로 수집, 보유한 개인정보처리자 제외한 모든자를 말하며 법 제26조2항의 수탁자는 제외한다.
- 법 제17조제2항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알릴 때 그 성명과 연락처를 함께 알려야 한다.
제26조2항의 수탁자 : 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자
제17조제2항 : 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
제9조(개인정보의 목적 외 이용 등)
- 법 제18조의 제3자란 정보주체와 그 법정대리인으로부터 개인정보를 실질적으로 수집, 보유한 개인정보처리자 제외한 모든자를 말하며 법 제26조2항의 수탁자는 제외한다.
- 개인정보처리자가 법 제18조제2항에 따라 개인정보를 목적 외 용도로 제3자에게 제공하는 경우 제공과 동시에 또는 필요할 때 개인정보를 제공받는 자에게 이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나 개인정보 안전성을 위해 구체적 조치를 마련하도록 문서로 요청해야 한다. 요청을 받으면 조치를 취하고 그 사실을 개인정보처리자에게 문서로 알려야한다.
- 법 제18조제2항에 따라 개인정보를 목적 외 용도로 제3자 제공하면 개인정보 제공하는자, 제공받는 자는 책임관계를 명확히 해야한다.
- 개인정보처리자가 법 제18조제3항제1호에 따라 개인정보 제공받는 자를 알릴 때 성명, 연락처를 함께 알려야 한다.
- 개인정보처리자가 법 제18조제2항제4호에 따라 개인정보를 제3자에 제공하는 경우 다른 정보와 결합해도 알아볼 수 없는 형태로 제공해야 한다.
8조는 같은 목적으로 개인정보가 필요한 제3자에게 개인정보를 주는 것이지만
9조는 다른 목적으로 개인정보가 필요한 제3자에게 개인정보를 준다는 점에서 차이가 있다.
2항은 원래 개인정보 처리자 -> 제3자 이렇게 개인정보 줄 때 굵은 글씨 처리한 것들을 하라는 뜻이다.
제10조(개인정보 수집출처 등 고지)
- 개인정보처리자가 정보주체 외로부터 수집한 개인정보를 처리할 때 정보주체 요구 이후 3일 내에 법 제20조제1항 각 호의 모든 사항을 정보주체에 알려야 한다.
- 법 제20조제2항 각 호에 근거하여 1호를 거절할 때 정당한 사유가 없으면 3일 내에 거부 근거, 사유를 알려야 한다.
법 제20조 제1항 각 호
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
제11조(개인정보의 파기방법 및 절차)
- 개인정보처리자는 개인정보 보유기간이 경과되면 정당한 사유가 없으면 보유기간 종료일부터 5일 내 / 개인정보 처리목적 달성, 해당 서비스 폐지, 사업 종료 등 개인정보가 불필요하면 정당한 사유가 없으면 처리 불필요 인정일로부터 5일 내에 개인정보 파기해야 한다.
- 시행령 제16조제2호의 복원이 불가능한 방법이란 사회통념상 현재 기술수준에서 적절한 비용이 소요되는 방법을 말한다.
- 개인정보처리자는 개인정보 파기에 관한 사항을 기록, 관리해야 한다.
- 개인정보파기의 시행 및 확인은 개인정보 보호책임자 책임 하에 수행된다.
- 개인정보 보호책임자는 개인정보 파기 후 파기결과를 확인해야 한다.
- 개인정보처리자 중 공공기관의 개인정보파일 파기에 관해서는 제62조, 63조를 적용한다.
음.. 5일내에 파기하라는거랑 처리자, 책임자 분리해서 기억하는거!!
제12조(법령에 따른 개인정보의 보존) 개인정보처리자가 법 제21조제1항 단서에 따라 개인정보를 파기하지 않고 보존해야 하는 경우에는 법령에 따라 개인정보나 개인정보파일을 보존한다고 표시해야 한다.
법 제21조제1항 : 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
제13조(동의를 받는 방법)
- 개인정보처리자는 법 제15조제1항제1호에 따라 개인정보의 수집, 이용을 위하여 정보주체의 동의를 받고자 할 때 기본적인 서비스 제공을 위해 필요한 최소한의 개인정보와 부가적인 서비스 제공을 위해 필요한 최소한의 개인정보를 구분하여 정보주체에 알리고 동의를 받아야한다.
- 개인정보처리자가 법 제15조제1항제1호, 법 제17조제1항제1호, 법 제23조제1호, 법 제24조제1항제1호에 따라 개인정보 처리를 위하여 정보주체 동의를 얻고자 할 때 정보주체 동의가 필요한지 안필요한지 구분하고, 필요하지 않을 땐 정보주체 동의없이 개인정보 처리할 수 있다고 밝히고 사유를 알려야 한다.
- 개인정보처리자는 법 제18조제2항제1호에 따라 정보주체로부터 별도 동의를 받고자 할 때 정보주체가 다른 개인정보처리의 목적과 별도로 동의여부를 표시할 수 있도록 조치를 취하고 동의를 받아야 한다.
- 개인정보처리자가 시행령 제17조제1항제2호의 규정에 따라 전화에 의한 동의와 관련하여 녹취할 때 녹취사실을 알려야 한다.
- 개인정보처리자가 친목단체 운영을 위해 각 호에 해당하는 개인정보를 수집할 때는 제1항에 의한 의무는 지지 않는다.
- 친목단체 가입 위한 성명, 연락처, 공동 관심사나 목표 관련 인적사항
- 비용 납부 현황에 관한 사항
- 친목 활동에 대한 구성원 참석여부
- 구성원이 다른구성원에게 알리기를 원하는 생일, 취향, 가족 등 사항
법 제15조제1항제1호, 제17조제1항제1호, 제18조제2항제1호 : 정보주체의 동의를 받은 경우
-> 이때는 필수개인정보 / 선택개인정보 나누라는 뜻
시행령 제17조제1항제2호 : 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
-> 녹취 사실을 알리라는 뜻!
친목단체 운영으로 개인정보 수집할 땐 이름, 연락처, 참석여부 등의 개인정보는 필수 개인정보/ 선택 개인정보 안나눠도 상관없다고 한다.
제14조(법정대리인의 동의)
- 시행령 제17조제2항에 따라 개인정보처리자가 법정대리인의 이름, 연락처 수집할 땐 아동에게 법정대리인의 이름, 연락처 수집하는 이유를 알려야 한다.
- 시행령 제17조제1항 각 호의 동의를 얻는 방법은 법 제22조제5항에 따라 법정대리인으로부터 동의를 얻을 때도 적용된다.
- 개인정보처리자는 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용해야하며, 법정대리인이 동의를 거부하면 수집일로부터 5일 내에 파기해야 한다.
제15조(민감정보 처리)
- 개인정보처리자가 법 제23조제1호에 따라 민감정보 처리를 위해 동의를 받고자 할 땐 개인정보와 민감정보를 구분하여 민감정보에 대해서는 정보주체가 별도로 동의하도록 조치해야 한다.
- 개인정보처리자는 1항의 동의를 받을 때 각 호를 정보주체에 알려야한다.
- 민감정보의 수집 이용 목적
- 수집 민감정보 항목
- 민감정보의 보유 및 이용기간
- 동의 거부할 권리 있다는 사실, 거부 시 불이익
법 제23조제1호 : 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
제16조(고유식별정보 처리에 대한 동의)
- 개인정보처리자가 법 제24조제1항제1호에 따라 고유식별정보의 처리를 위하여 정보주체에게 동의를 받으려 할 때 개인정보와 고유식별정보를 구분하여 고유식별정보에 대해서는 별도 동의를 받도록 조치를 취해야한다.
- 개인정보처리자는 1항에 따른 동의를 받을 때, 어느 사항을 변경할 때 각 호의 사항을 정보주체에게 알려야한다.
- 고유식별정보의 수집 이용 목적
- 수집 고유식별정보 항목
- 고유식별정보의 보유 및 이용기간
- 동의 거부할 권리 있다는 사실, 거부 시 불이익
15조는 민감정보 얘기, 16조는 고유식별정보 얘기. 틀은 똑같다.
제17조(주민등록번호 이외의 회원가입 방법 제공)
시행령 제20조제1항제2호의 "홈페이지를 이용한 정보주체의 수"는 홈페이지 방문자 수를 말한다.개인정보처리자가 시행령 제20조1항에 따라 주민등록번호를 안쓰고도 회원가입하는 방법을 제공해야하면, 정보주체는 홈페이지에 대체수단으로 회원가입할 수 있다고 알려야한다. 그리고 한 화면에 주민등록번호 이용방법/ 대체수단 이용방법을 제공해야 한다.
지금 이 시행령이 삭제되어있는데, 아마 주민등록번호로 회원가입하는거 없어져서 그런것 아닐까..
제18조(개인정보취급자에 대한 감독)
- 개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리범위를 업무상 필요한 한도 내에서 최소한으로 제한해야 한다.
- 개인정보처리자는 개인정보 처리시스템 접근권한을 최소한으로 업무자에게 차등부여하고 접근권한 관리 조치를 해야한다.
- 개인정보처리자는 보안서약서를 제출하게 하는 등 적절한 관리감독을 해야하며 인사이동 등 개인정보취급자 업무가 변경되면 개인정보에 대한 접근권한도 변경해야 한다.
최소, 최소, 최소, !!!