728x90
반응형
SMALL
| 3.1. 개인정보 수집 제한 | |
| (일과단가) | 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
| 사례 1 : 회원가입 시 서비스 제공을 위해 필요한 최소한의 정보 외의 기타 정보들을 수집하면서 필수항목과 선택항목으로 구분하지 않고 일괄로 동의를 받는 경우 사례 2 : 회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보 항목에 서비스 제공을 위해 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우 사례 3 : 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대해 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우 (개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등) 사례 4 : 홈페이지 회원가입 화면에서 선택사항에 대해 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우 기타 1 : 채용시 부모님의 직업등 업무와 직접적인 연관이 없는 개인정보를 수집하고 있음. 기타 2 : 횸페이지 회원가입 시 선택사항 동의를 하지 않으면 회원가입이 불가능 (반대로 민감정보인 건강상태를 필수정보로 분류하고 동의하지 않으면 회원가입을 거부하는건 가능) |
|
| 3.1.2 개인정보의 수집 동의 | |
| (거등미비14) | 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
| 사례 1 : 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우 (목항기거를 명확하게 표시하여야 한다) -> 단 거부에 대한 고지는 개보법(목항기거) 에서만 나오지 망법(목항기)에서는 없다 사례 2 : 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~등ʼ과 같이 포괄적으로 안내하는 경우 사례 3 : 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제 ․ 배송 정보를 미리 필수 항목으로 수집하는 경우 사례 4 : Q&A, 게시판을 통해 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우 사례 5 : 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우 |
|
| 3.1.3 주민등록번호 처리 제한 | |
| 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
|
| 사례 1 : 홈페이지 가입과 관련하여 실명확인, 단순 회원관리 목적을 위해 정보주체(이용자)의 동의에 근거하여 주민등록번호를 수집한 경우 사례 2 : 정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우 사례 3 : 비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒷 7자리를 수집하지만, 관련된 법적 근거가 없는 경우 사례 4 : 채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우 사례 5 : 콜센터에 상품, 서비스 관련 문의 시 본인확인을 위해 주민등록번호를 수집한 경우 사례 6 : 주민등록번호 수집 법정주의 시행 이전에 수집하여 저장하고 있던 주민등록번호를 현재 법적 근거가 없음에도 파기하지 않고 보관하고 있는 경우 -> D기관은 주민등록번호 수정법정주의 시행 이전에 수집.저장했던 주민등록번호를 감사원 규칙에 근거하여 계속 보관하고 있다. (O) ("법률,대통령령,국회규칙,대법원규칙 ,헌법재판소규칙,중앙선거관리위원회규칙 및 감사원규칙에서 주민등록번호 처리를 요구를 허용한 경우" 에 해당되기 때문) 사례 7 : 주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체수단을 제공하지 아니하고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우 기타 : EEE기업은 영업상목적을 위하여 이용자의 주민등록번호 수집.이용이 불가피한 정보통신서비스제공자로서 방송통신위원회의 고시에 근거하여 주민등록번호를 수집하였다. (O) ("정보통신서비스제공자로서 방송통신위원회에서 고시한 경우" 에 해당됨) |
|
| 3.1.4 민감정보 및 고유식별정보의 처리 제한 | |
| 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
|
| 사례 1 : 장애인에 대한 요금감면 등 혜택 부여를 위해 장애여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우 사례 2 : 회원가입 시 외국인에 한해 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우 사례 3 : 민감정보 또는 고유식별정보에 대하여 별도 동의를 받으면서 고지해야 할 4가지 사항 중에 일부를 누락 하거나 잘못된 내용으로 고지하는 경우 (동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등) 기타 : 병력과 운전면허번호을 묶어서 한꺼번에 별도 동의를 받는 경우 * 단, 유전정보와 범죄경력정보는 공공기관의 업무수행시에는 민감정보로 보지 않기 때문에 동의 필요없다. 예) 경찰서는 업무수행을 위해 정보주체의 유전자정보를 별도의 동의없이 수집이 가능하다. |
|
| 3.1.5 간접수집 보호조치 |
|
| 수집출처요구 3개월내통지 쿠키수집시 동의 (5,100,3,3) |
3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
| 사례 1 : 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구 에 대한 처리절차가 존재하지 않는 경우 사례 2 : 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나 이에 대해 해당 정보주체에게 3개월 내에 통지하지 않은 경우(단, 제공받은 사업자가 5만명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만명 이상 정보주체의 개인정보를 처리하 는 경우) 사례 3 : 서비스 제공과 직접 관련이 없는 타겟 마케팅 목적으로 쿠키에 포함된 개인정보를 동의받지 않고 수집하 는 경우 (반대로 계약이행에 필요한 경우 동의없이 쿠키정보 수집이 가능하다는 뜻.) 기타 : 정보주체 이외로부터 수집한 개인정보를 처리하는 A회사는 정보주체에게 알린 사실, 알린시기, 알린방법 등 수집출처에 대해 알린기록을 5년간 보관.관리하였다 (X) -> 개인정보 파기시 까지 보관해야 한다. 1.인터넷등 공개된 개인정보 2.다른사람으로부터 받은 개인정보 3.쿠키등 자동수집장치 등 위 3가지의 사례가 나오면 '3.1.5 간접수집 보호조치' 에 해당 |
|
| 3.1.6 영상정보처리기기 설치 ․ 운영 | |
| 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
|
| 사례 1 : 영상정보처리기기 안내판의 고지 문구가 일부 누락 되어 운영되고 있거나 영상정보처리기기 운영 ․ 관리 방침을 수립 ․ 운영하고 있지 않는 경우 사례 2 : 영상정보처리기기 운영 ․ 관리 방침을 수립 운영하고 있으나 방침의 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수 되지 않는 등 관리가 미흡한 경우 사례 3 : 영상정보처리기기의 설치 ․ 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보의 관리현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보처리기기 업무 위탁 계약 서에 명시하지 않은 경우 사례 4 : 영상정보처리기기의 설치 ․ 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우 |
|
| 3.1.7 홍보 및 마케팅 목적 활용 시 조치 | |
| ( 포괄 PUSH DEFAULT 2년) | 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.1 개인정보 수집 시 보호조치 - 제동 주민간 영홍 |
| 사례 1 : ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등과 같이 목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의를 받는 경우 사례 2 : 모바일 앱에서 광고성 정보전송(앱푸시)에 대해 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우 사례 3 : 온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대해 디폴트로 체크되어 있는 경우 사례 4 : 광고성 정보 수신동의 여부에 대해 매 2년 마다 확인을 하지 않은 경우 |
|
| 3.2.1 개인정보 현황관리 | |
| (누등상) | 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.2 개인정보 보유 및 이용시 보호조치 - 현품표 단목 |
| 사례 1 : 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통해 목록을 관리하고 있으나 그 중 일부 홈페이 지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우 사례 2 : 신규 개인정보파일을 구축한지 2개월이 경과하였으나, 해당 개인정보파일을 행정안전부에 등록하지 않은 경우 사례 3 : 행정안전부에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우 |
|
| 3.2.2 개인정보 품질보장 | |
| 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.2 개인정보 보유 및 이용시 보호조치 - 현품표 단목 |
|
| 사례 1 : 인터넷 홈페이지를 통해 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의 통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우 사례 2 : 온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우 |
|
| 3.2.3 개인정보 표시제한 및 이용 시 보호조치 | |
| (Like마비) | 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.2 개인정보 보유 및 이용시 보호조치 - 현품표 단목 |
| 사례 1 : 개인정보 표시제한 조치 표준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대해 개인정보처리시스템 화면 별로 서로 다른 마스킹 기준이 적용된 경우 사례 2 : 개인정보처리시스템의 화면 상에서는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통해 마스킹되지 않은 전체 개인정보가 노출되는 경우 사례 3 : 개인정보 검색 화면에서 전체적으로 like 검색이 허용되어 성씨만으로도 불필요하게 과도한 개인정보가 조회되는 경우 사례 4 : 개인정보를 동의 받은 목적을 벗어나 빅데이터 분석에 활용하기 위해 비식별 조치를 하면서 ʻ개인정보 비식별 조치 가이드라인ʼ에 따른 공식적인 적정성 평가 절차를 거치지 않고 내부 인원만으로 적정성 평가 를 수행한 경우 |
|
| 3.2.4 이용자 단말기 접근 보호 | |
| 3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.2 개인정보 보유 및 이용시 보호조치 - 현품표 단목 |
|
| 사례 1 : 스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인정보 영역에 접근할 수 있는 권한을 과도하게 설정한 경우 사례 2 : 정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내 저장되어 있는 정보 및 설치된 기능에 접근하면 서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우 사례 3 : 스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우 사례 4 : 접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서 선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대해 거부할 수 없도록 하고 있는 경우 |
|
| 3.2.5 개인정보 목적 외 이용 및 제공 | |
| 동법급통 소약범법형 |
3. 개인정보 처리단계별 요구사항 - 수보제 파권 3.2 개인정보 보유 및 이용시 보호조치 - 현품표 단목 |
| 사례 1 : 상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사 상품의 통신판매 광고에 이용한 경우 사례 2 : 고객 만족도 조사, 경품 행사에 응모하기 위해 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송 에 이용한 경우 사례 3 : 공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우 (제공한후 30일 이내, 10일 이상 게시) 사례 4 : 공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ʻ개인정보 목적 외 이용 및 제3자 제공 대장ʼ에 관련 사항을 기록하지 않은 경우 (범죄의 경우에는 관보 또는 인터넷에 게시안해도 됨) 기타 : 사단법인 남극연구소에서 남극협정을 준수하기 위해 국제기구에 남극 방문신청자의 개인정보를 동의없이 제공하였다. (조약,그밖의 국제협정을 이행하기 위해 정보주체의 동의없이 외국정부 또는 국제기구에 개인정보를 제공하는 것은 '공공기관'에만 해당된다.) 기타 : 법원에서 재판 수행을 위해 등기소로부터 건물주의 개인정보를 제공받았고 이를 법원 홈페이지에 게시하였다.(X) -> 개인정보를 제공받는자가 아닌 개인정보를 제공하는 자의 홈페이지에 게시하여야 한다. 기타 : 교통사고를 당한 의식불명의 환자의 가족에 연락하기 위해 119 구급대가 환자의 신원을 병원에 제공하였다.(O) -> 급박한 상황 기타 : 공공기관에서 소관업무를 수행하기 위하여 개인정보를 제3자에게 제공 후 관보에 게재하였다. (X) -> 보호위원회의 심의를 거쳐야 한다. |
|
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 키워드별 정리(1/10) (0) | 2021.02.04 |
|---|---|
| ISMS-P 결함사례 (7/7) (0) | 2021.02.04 |
| ISMS-P 결함사례 (5/7) (0) | 2021.02.01 |
| ISMS-P 결함사례 (4/7) (0) | 2021.01.29 |
| ISMS-P 결함사례 (3/7) (0) | 2021.01.27 |