728x90
반응형
SMALL
| 3. 개인정보 처리 단계별 요구사항 - 수보제파권 |
||
| 3.1 개인정보 수집 시 보호조치 | 수 - 제동 주민간 영홍 | 3.1.1 개인정보 수집제한 3.1.2 개인정보 수집동의 3.1.3 주민등록번호 처리제한 3.1.4 민감정보및고유식별정보처리제한 3.1.5 간접수집 시 보호조치 3.1.6 영상정보처리기기 설치.운영 3.1.7 홍보및 마케팅 목적 활용시 조치 |
| 3.2 개인정보 보유 및 이용시 보호조치 | 보 - 현품표 단목 | 3.2.1 개인정보 현황관리 3.2.2 개인정보 품질보장 3.2.3 개인정보 표시제한 및 이용시 보호조치 3.2.4 이용자 단말기 접근 보호 3.2.5 개인정보 목적외 이용 및 제공 |
| 3.3 개인정보 제공 시 보호조치 | 제 - 3위영국 | 3.3.1 개인정보 제3자 제공 3.3.2 업무위탁에 따른 정보주체 고지 3.3.3 영업의 양수에 따른 개인정보이전 3.3.4 개인정보의 국외이전 |
| 3.4 개인정보 파기 시 보호조치 | 파 - 파목휴 | 3.4.1 개인정보의 파기 3.4.2 처리목적 달성 후 보유 시 조치 3.4.3 휴면 이용자 관리 |
| 3.5 정보주체 권리보장 | 권 - 처권통 | 3.5.1 개인정보처리방침 공개 3.5.2 정보추제 권리보장 3.5.2 이용내역 통지 |
3.2 개인정보 보유 및 이용시 보호조치 (현품표 단목)
| 항목 | 설명 및 사례 | keyword |
| 3.2.1 개인정보 현황관리 | 1)수집.보유하는 개인정보의 항목,보유량,처리목적,기간 등 현황을 정기적 으로 관리 - 개인정보현황표, 개인정보흐름표, 개인정보흐름도 2)공공기관이 개인정보파일을 운용,변경하는 경우 법률에서 정한 관계 기관의 장에 등록 ① 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록․변경 사항을 검토하고 그 적정성을 판단한 후 행정안전부에 60일 이내에 등록 ② 중앙행정기관,지방자치단체의 소속기관,기타 공공기관은 개인정보 파일 등록 ․변경검토 및 적정성 판단을 상위기관에 요청한 후 ,상위 관리기관의 확인을 받아서 -> 행안부에 60일 이내 등록 ③ 국회,법원,헌재,중앙선관위는 국회규칙,대법원규칙, 헌재규칙,중앙 선관위규칙을 따름 3)공공기관은 개인정보파일의 보유현황을 개인정보처리방침에 공개 • 단 아래 개인정보파일은 행안부에 등록안해도 됨. 국범 조내비 통안 공영 1금 1.국가,안전,외교상비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 2.범죄의 수사,공소제기및유지,형및 감호의 집행,교정처분,보호처분 ,보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일 3.[조세범처벌법]에 따른 범칙행위조사 및 [관세법]에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일. 4.공공기관의 내부적 업부처리만을 위하여 사용되는 개인정보파일 5.다른 법령에 따라 비밀로 분류된 개인정보파일 6.[통계법]에 따라 수집되는 개인정보파일 7.국가안전보장과 관련한 정보분석을 목적으로 수집제공 요청되는 개인정보파일 8.공중위생등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일 9.영상정보처리기기를 통하여 처리되는 개인정보파일 10.자료.물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하지 않고 폐기할 목적으로 수집된 개인정보파일 11.[금융실명거래및 비밀보장에 관한법률] 에 따른 금융기관이 금융업무 취급을 위해 보유하는 파일 <개인정보파일 등록항목> 명운항 처보반 명수담열 거평 - 개인정보파일 명칭 - 개인정보파일의 운영근거 및 목적 - 개인정보파일에 기록되는 개인정보 항목 - 개인정보 처리방법 - 개인정보 보유기간 - 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자 - 개인정보파일을 운용하는 공공기관의 명칭 - 개인정보파일로 보유하고 있는 개인정보의 정보주체수 - 해당 공공기관에서 개인정보처리 업무를 담당하는 부서 - 개인정보의 열람요구를 접수.처리하는 부서 - 열람을 제한하거나 거절할수 있는 개인정보의 범위및 제한 또는 거절 사유 - 개인정보 영향평가를 실시한 경우 그 결과 첨부 * 파기에 대해서는 언급이 없다. |
현황 정기적 관리, 공공기관 개인정보파일 등록, 처리방침 공개 |
| 3.2.2 개인정보 품질보장 (주로 회원정보 변경 관련) |
•정확성,완전성,최신성이 보장되도록 정보주체에게 관리절차를 제공 - 회원정보변경 시 본인확인절차 - 온라인회원에서는 개인정보변경방법을 제공하나 오프라인 회원에게 는 제공하지 않는 경우 |
최신화, 정보주체 개인정보 품질(정확성, 완전성, 최신성) 유지 |
| 3.2.3 개인정표 표시제한 및 이용 시 보호조치 Like마비 |
•개인정보의 조회및 출력시 용도를 특정하고 출력항목을 최소화 •개인정보의 조회및 출력시 불필요한 개인정보는 마스킹처리 등 표시 제한조치 수행 •종이등 인쇄물등에 개인정보 유출 방지 •검색시 Like검색등 과도한 검색이 안되게 •비식별화하여 이용.제공시 재식별화의 위험을 방지하고 '개인정보 비식 별 조치 가이드라인' 에 따른 적정성 평가 수행 •가명처리기법만 단독 활용된 경우는 충분한 비식별 조치로 보기 어려움 <비식별화> 구성 - 3전과(법비) : 3명이상 전문가중 외부전문가 과반수 (법률전문가, 비식별화 기법 전문가 1명씩) 기법 - 가총삭범마 : 가명처리/총계처리/데이터삭제/데이터범주화 /데이터마스킹 프라이버시보호모델 - KLT : K-익명성 / L-다양성 / T-근접성 |
출력항목 최소화, 마스킹 기준, 출력물 보호조치, 검색(일치,복합), 비식별 적정성평가, 재식별 모니터링 |
| 3.2.4 이용자 단말기 접근 보호 | •정보주체의 이동통신단말기내의 기능이나 정보이용 시 명확하게 알리 고 동의를 받아야 한다 - 2G폰, 단순 블루투스,와이파이 공기계는 제외 •이동통신단말장치 내에서 해당 접근권한에 대한 정보주체의 동의및 철회방법을 마련해야 한다. |
이동통신단말장치 접근권한 고지, 동의, 거부권, 동의 및 철회방법 마련 |
| 3.2.5 개인정보 목적 외 이용 및 제공 | •동의를 받은 목적 또는 법령에 초과하여 이용,제공시 추가 동의를 받거나 법령에 적합한지 확인 - 목적외 이용,제공이 가능한 경우 (개인정보보호법) 동법 급통 소약 범법형 1.별도 동의를 받은 경우 2.법령에 특별한 규정이 있는 경우 3.사전동의를 받을수 없는 경우로서 급박한 생명… 4.통계작성 및 학술연구 등의 목적으로 특정개인을 알아볼수 없는 형태로 개인정보를 제공하는 경우 (단 동의받은 개인정보를제공) 이하는 공공기관만 해당하며 관보,홈페이지에 공개해야함. (소약범법형) 5.법률에서 정한 소관업무수행으로 보호위원회의심의.의결을 거친 경우 6.조약, 국제협정을 위해 외국에 제공 7.범죄의 수사와 공소제기 및 유지를 위하여 8.법원의 재판업무 수행 9.형및 보호 감호처분의 집행 •개인정보를 목적외 용도로 제3자에게 제공하는 경우 제공받는 자에게 안정성 확보조치를 요청해야 함. 1)공공기관이 위 사유에따라 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공하는 경우 그 내용을 관보,인터넷 홈 페이지에 게제하여 야 한다. (즉 동의 안받는 대신 게제해서 알려야 함) - 단, ①동의를 받았거나, ②범죄의 수사등에 관련된 경우 게제하지 않아도 된다. - 게제시점 : 이용.제공한 날로부터 30일 이내 게제기간 : 홈페이지에 게제하는 경우 10일 이상 예) 상품배송을 목적으로 수입한 개인정보를 동의받지 않고 상품의 통신판매,광고등에 이용 예) 경품행사때문에 수집한 개인정보를 자사의 할인판매행사 안내문자 발송에 이용한 경우 예) 공공기간이 민원인의 개인정보를 목적외로 타기관에 제공한 경우 관보,홈페이지에 게제안한 경우 2)공공기관이 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공 하는 경우 '제공대장' 을 관리해야함. [개인정보보호법 시행령] 제15조 (개인정보의 목적외 이용 또는 제3자 제공의 관리) <목적외 이용 및 제3자 제공 대장 기록 항목> 명명 목항기 근형 1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭 2. 이용기관 또는 제공받는 기관의 명칭 3. 이용 목적 또는 제공받는 목적 4. 이용 또는 제공의 법적 근거 5. 이용하거나 제공하는 개인정보의 항목 6. 이용 또는 제공 날짜,주기 또는 기간 7. 이용하거나 제공하는 형태 |
목적 내 외 별도 동의, 법적 근거, 제3자 안전조치, 공공기관은 ①관보, 홈페이지에 게제 ②제공대장 작성 정통망법에서는 목적외이용을 허용하는 조항은 없다. '소약범법형' 은 공공기관이 (1) 민감정보,고유식별정보를 동의없이 처리가능한 경우 (2) 동의없이 목적외이용.제공이 가능한 경우 (단, 요경우는 관보,홈페이지 게시(30일 이내, 10일이상) 및 제공대장 기록) |
3.3 개인정보 제공 시 보호조치 (3위영국)
| 항목 | 설명 및 사례 | keyword |
| 3.3.1 개인정보 제3자 제공 | •개인정보를 제3자에게 제공하는 경우 명확하게 고지해서 동의를 별도 받거나, 법령에 규정이 있어야 함. - 제3자란 정보주체와 그 정보주체의 개인정보를 수집 보유하고 있는 개인정보처리자를 제외한 모든 자 (회사내 타부서및 타조직은 제3자가 아님) - 여기서 말하는 제3자의 제공은 개인정보를 제공하는 자와 정보주체간의 계약이행을 위한것이 아니라 제공받는 자의 이익을 위해 수집하는 경우이다. 만일 제공받는자의 이익을 위해서 제3자에게 제공하는 것은 '위탁' 이다. - 3자 제공 예시 1.저장매체나 출력물을 통한 물리적인 이전 2.네트워크를 통한 전송 3.제3자의 접근권한 부여 4.제3자와 개인정보 공유 5.기타 개인정보의 이전,공동이용상태를 초래하는 모든행위 •개인정보를 제3자에게 제공할 수있는 경우 개인정보보호법 정보통신망법 동법소급 / 동요법 1.정보주체의 동의를 받음 1.이용자의 동의를 받음 2.법률에 규정, 법령상 의무준수 불가피 2.요금정산을 위하여 3.공공기관이 소관업무 3.법률에 규정 4.사전동의받을수 없는 급박한 생명,신체.재산상 •개인정보 제3자 제공 동의시 알려야할 사항 개인정보보호법(목항기거자) 정보통신망법(목항기자) 1.제공받는자 1.제공받는자 2.제공받는자의 이용목적 2.제공받는자의 이용목적 3.제공하는 개인정보 항목 3.제공하는 개인정보 항목 4.제공받는자의 보유및 이용기간 4.제공받는자의 보유및 이용기간 5.동의를 거부할 권리 |
별도 동의, 거부권, 예외 법령 규정, 제3자 제공내역 기록보관, 제3자 보호절차 통제 공공기관 소관업무 예 - 건강보험공단이 법률에 의해 진료내역을 수집하는 경우 급한한 이익 예 - 조난.홍수로부터 실종되거나 고립된 사람을 구조하기위하여 연락처, 주소, 위치정보 등 개인정보를 수집 - 아파트안에 화재가 발생되어 집안에 있는 자녀를 구하기위해 부모의 핸드폰 번호를 수집하는 경우 - 의식불명이나 중태에 빠진 환자를 치료하기 위해 개인정보를 수집하는 경우 - 고객이 보이스피싱에 걸린것으로 보여 은행이 임시로 자금이체를 중단시키고 고객 애게 사실확인을 하고자하는 경우 |
| 3.3.2 업무 위탁에 따른 정보주체 고지 | •개인정보 처리업무를 제3자에게 위탁하는 경우 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 지속적으로 공개해야 한다. (수탁자가 아무리 많아도 해당 수탁자명을 모두 열거) • 정통망법상으로는 위탁시에도 동의를 받아야 함. 개인정보보보법 정통망법 1.위탁시 동의 불필요 1.위탁시 동의 필요 *단, 홍보,판매업무를 위탁할때에는 - 처리위탁 받은 자 위탁하는 업무의 내용과 수탁자를 - 처리위탁하는 업무내용 정보주체에게 고지해야 한다. * 단, 계약을 이행하고 이용자 편의증진을 위하여 개인정보처리방침 을 통하여 위탁사실을 공개한 경우 동의 안받아도 됨 (고지와 동의절차 안받아도 됨) •홍보,판매를 권유하는 업무를 위탁하는 경우 서면, 전자우편,모사전송 ,전화,문자를 통하여 정보주체에게 알려야 한다.(동의X, 공개X, 고지O) •위탁하는 업무의 내용이 변경된 경우 내용을 알리거나 필요한 경우 동의를 받아야 한다. •수탁자가 다시 재위탁하는 경우 위탁자의 사전동의를 받아야 한다. •정보통신서비스 제공자(즉 정통망법 적용대상자)이면서 정보통신서비스 제공에 관한 계약이행과 무관한 개인정보 처리업무를 위탁하면서 개인 정보 처리방침에만 공개하는 것으로 갈음하여 이용자의 동의를 받지 않는 것은 안된다. |
위탁 내용과 수탁자 공개, 필요시 동의, 홍보 또는 판매업무 위탁시 통지, 재위탁 시 사전 동의 개보법 정통망법 동의 X 동의 O 홍보,판매 계약,편의 고지 공개 (개고 망공) |
| 3.3.3 업무의 양수 등에 따른 개인정보의 이전 | •영업의 전부 또는 일부의 양도.합병 등으로 개인정보를 다른 사람에게 이전하는 경우 다음 사항을 정보주체에게 알려야 한다. (사자철) 1.개인정보를 이전하려는 사실 2.이전받는자의 성명,주소,전화번호 및 연락처 (이전하는 자의 정보는 고지 안해도 됨) 3.이용자가 개인정보 이전을 원하지 아니하는 경우 그 동의를 철회할 수 있는 방법과 절차 •알리는 방법 1.전자우편,서면,모사전송,전화. 또는 이와 유사한방법 2.정보주체에게 직접 알릴수 없는 경우에는 - 홈페이지에 30일 이상 기재로 갈음 가능 - 홈페이지가 없는 경우 양도자의 보기쉬운 장소에 30일 이상 게시 또는 일간신문에 1회이상 공고 •양수자는 법적 통지요건에 해당하는 경우 개인정보를 이전받은 사실을 정보주체에게 지체없이 알려야한다. •통지의무 대상 통지의무대상 개인정보보호법(개통면) 정통망법(망통통) 양도자 통지필요 통지필요 양수자 통지필요 통지필요 단, 양도자가 이미 이전 사실을 알린경우 면제 •이전받은 자가 목적외로 개인정보를 이용,제공하려는 경우 별도로 정보주체에게 동의를 받아야함. |
양도·합병 이전 시 통지 (개통면 망통통), 통지요건(사실, 받는자, 아니), 본래 목적 |
| 3.3.4 개인정보의 국외이전 | • 개인정보를 국외의 제3자에게 제공하는 경우 내용을 알리고 동의를 받아야 한다 •정보통신서비스 제공자로서 계약을 이행하고 이용자 편의 증진을 위하 여 필요한 경우로서 그 내용을 이용자에게 알리는 것으로 동의를 갈음 할수 있다. • 동의시 고지사항 개인정보법 - 목항기거자 정보통신망법 - 목항기자 국일방 - 이전되는 개인정보 항목 - 이전되는 국가. 이전일시, 이전방법 (국일방) - 이전받는 자의 성명 - 이전받는 개인정보의 목적및 보유.이용기간 예) 정보통신서비스제공자(정보통신망법)가 필수적인 서비스제공을 위하여 해외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가.이전방법 등 관련사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우 (계약이행및 편의증진은 동의 안받는 대신 공개및 고지해야 함) -> 반면 개인정보처리자. 즉 개인정보보호법에서는 무조건 국외이전은 정보주체에게 동의를 받아야 한다는 뜻 •개인정보 국외이전에 관한 계약 시 고려사항 개인정보보호법 정통망법 개인정보보호법을 위반하는 아래 사항을 미리 협의 내용으로 계약을 체결하면 1.개인정보보호를 위한 기술적관리적 조치 안됨 2.개인정보 침해에 대한 고충처리,분행 해결 사항 3.그밖에 개인정보보호를 위한 필요조치 |
고지(목항기거자 목항기자 국일방자) &동의, 동의갈음, 국외이전 계약, 국외 보호조치 |
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 유사 인증기준 항목 비교 (1/2) (0) | 2021.01.19 |
|---|---|
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3) (0) | 2021.01.17 |
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3) (0) | 2021.01.13 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3) (0) | 2021.01.11 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3) (0) | 2021.01.07 |