제 1절 개인정보의 수집, 이용, 제공 등
(1) 15조 개인정보의 수집 이용
| 1항 다음 각 호에 해당 할 경우 개인정보를 수집할 수 있어
- 정보 주체의 동의
- 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피
- 공공기관이 소관의 업무를 수행하기 위해 불가피
- 정보주체와의 계약 체결 및 이행 과정에서 요청에 따른 조치를 이행하기 위해
- 의사표시 안되는 상태, 사전동의 받을 수 있는 경우에 정보주체의 이익을 위해 인정
- 개인정보처리자의 정당한 이익 달성, 명백히 정보주체의 권리보다 우선, 합리적 범위
- 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요할 경우
| 2항 정보를 수집할 땐 동의를 받아야해
- 개인정보처리자는 1항 1호에 따른 동의를 받을 때 다음을 알려야 함
- 개인정보의 수집, 이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 이에 따른 불이익 → online의 경우 생략 가능
- opt-in(default NO) / opt-out(default YES)
| 3항 개인정보의 추가적인 이용, 제공
- 정보주체의 동의 없이 개인정보를 이용할 수 있는 경우
- 수집 목적과 합리적으로 관련 된 범위에서 → 예측 가능해?
- 정보주체에게 불이익이 발생하는지 여부 → 이익을 부당하게 침해해?
- 암호화 등 안전성 확보를 위한 조치를 했는지 여부 → 가명처리/암호화
- 대통령령으로 정하는 바에 따라
- 각 호의 고려사항 판단 기준을 미리 공개, 개인정보보호책임자가 점검
- LP음반사례(한국에 대입X), 약국에서 약을 잘못 가져가서 병원에 연락처 물어본 경우(합리적O)
(2) 16조 개인정보의 수집 제한
- 1항 목적에 필요한 최소한의 개인정보를 수집: 최소한의 여부는 개인정보 처리자가 입증 책임
- 2항 동의하지 않을 수 있다는 사실 구체적으로 알려야함
- 3항 선택 수집에 동의하지 않았더라도 재화 또는 서비스 제공 거부 X
| 사례
- 열화상 카메라에 개인정보 저장 → 정보주체 동의 없는 개인영상정보 저장
- 선택 항목 미입력을 이유로 서비스 제공 거부
- 채용 시 불필요한 신체, 공교, 가족사항 수집
(3) 17조 개인정보의 제3자 제공
| 1항 아래의 경우 정보주체의 개인정보를 제 3자에게 제공할 수 있어
- 정보주체의 동의를 받은 경우
- 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
| 2항 아래 중 하나라도 변경되면 정보주체에게 알려야 해
- 개인정보를 제공받는 자(수탁자)
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- 동의를 거부할 수 있다는 항목 및 불이익 내용
- 3항 : 개인정보를 국외 제3자에게 제공할 땐 알리고 동의 받아야해
- 4항 : 당초 수집 목적과 합리적으로 관련된 범위 + 필요 조치 + 불이익X → 동의 없이 제공해도 돼
(4) 18조 개인정보의 목적 외 이용/제공 제한
| 1항 개인정보처리자는 15, 17조를 벗어나는 제 3자 제공을 하면 안돼
| 2항 정보주체의 이익을 부당하게 침해하는게 아니면 아래의 경우엔 제 3자 제공을 해도 돼
- 정보주체로 별도의 동의
- 다른 법률에 특별한 규정
- 급박한 생명, 신체, 재산의 이익이 걸렸을 때 의사표명이 어려운 경우
- 다른 법률에서 정하는 소관의 업무 → 공공기관
- 외국, 국제기구에 제공하기 위해 → 공공기관
- 범죄의 수사와 공소 제기 및 유지
- 법원의 재판업무 수행
- 형의 감호 및 보호처분
| 3항 목적 외 제공을 할 땐 다음을 알려야해
- 개인정보의 수집, 이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 이에 따른 불이익
- 4항 : 제공의 법적 근거, 목적 및 범위는 고시에 따라 인터넷 홈페이지에 게재해야 해
- 5항 : 개인정보를 목적 외 용도로 제 3자에게 제공하는 경우 제공받는 자 안전조치 해야해
(5) 19조 개인정보를 제공받는 자의 이용/제공 제한
- 개인정보처리자로부터 개인정보를 제공받는 자는 목적에 맞게 사용해야 해
- 예외 : 별도 동의, 법률에 특별한 규정이 있는 경우
(6) 20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지
| 1항 정보주체 이외로부터 수집한 개인정보는 주체의 요구가 있으면 아래를 고지해야 해
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 개인정보 처리의 정지를 요구할 권리가 있다는 사실
- 정보주체 이외로부터 수집 : 제 3자 제공, 공개된 개인정보 수집
- 신용정보제공이용자는 출처 통지의 의무 X
- 2항 대통령령에 의해 수집했을 때에도 연락처 알면 제 1항 모두 알려줘야해
- 서면, 전화, 문자 등 쉽게 알 수 있는 방법으로 3개월 이내 또는 연 1회 이상
- 출처 통지한 내용과 시기, 방법은 개인정보 파기 시 까지 보관
| 신용정보법
- 개인정보 수집 출처 고지 규정 X
- 규정이 없는 경우 일반법인 개인정보보호법의 규정 따라
| 표준지침 제 9조 개인정보 수집 출처 등 고지
- 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내 고지
- 예외 : 고지 요구 대상이 고지 불가한 파일일 경우, 고지로 인해 생명/신체가 해할 우려
(7) 21조 개인정보의 파기
- 1항 보유기간의 경과, 목적 달성 등 불필요하게 되었을 땐 지페 없이 파기
- 지체없이 : 정당한 사유 없는 한 5일 이내
- 다른 법령에 따른 보관 : 전자상거래법, 통신비밀보호법, 의료법
- 2항 복구, 재생되지 않는 방법으로 파기
- 3항 보존해야 하는 경우 분리 저장, 관리
- 4항 파기방법 및 절차는 대통령령으로 규정
| 사례
- 결혼중개업체 이벤트 목적으로 개인정보 수집 후 파기 안함 → 목적 달성 후 파기
- 이용 동의 철회 및 수신 거부에도 광고 문자 수 차례 발송 → 동의 철회에 따른 파기
- 개인정보가 담긴 서류 단지 내 폐지수거장에 버림 → 복구, 재생할 수 없는 방법으로 파기
(8) 22조 동의를 받는 방법
| 1항 아래 사항을 개인정보보호 약관과 구분하여 동의를 받아야 해
- 개인정보 수집, 이용에 따른 동의
- 개인정보 제공에 따른 동의
- 개인정보 목적 외 이용/제공 제한에 따른 동의
- 개인정보를 제공받은 자의 이용/제공 제한 동의
- 민감한 정보 처리 제한 동의
- 고유식별정보 처리 제한 동의
- 재화나 서비스 홍보, 판매를 권유하기 위한 동의
- 그 밖에 대통령령으로 정하는 경우
| 3항 정보주체의 동의 없이 처리할 수 있는 주민등록번호는 법적 근거와 함께 공개해
| 5항 선택 사항은 거부해도 재화 또는 서비스 제공을 거부해선 안돼
- 서비스 제공 필수 항목인지 판단하렴
- 서면, 전화, 웹페이지, 이메일, 이에 준하는 방법이 있단다
- 정보 주체가 동의 여부를 선택할 수 있도록 선택 항목과 필수 항목을 명확히 하렴
- 글씨 크기와 색깔 등도 고시에 정해져 있단다
| 22조의2 아동의 개인정보보호
- 1항 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의 받아야 해
- 2항 법정 대리인에게 연락하기 위한 정보는 아동으로 부터 직접 수집할 수 있어
- 3항 이해하기 쉬운 양식과 명확하고 알기 쉬운 단어 사용해
