1 개인정보의 수집
1-1 상담 목적을 위한 개인정보 수집
아이 돌잔치 서비스에 대한 상담을 하러 식당에 갔는데 상담신청서 양식을 주며 부모 및 아이의 성명, 생년월일, 핸드폰번호, 주소를 작성하라고 요구합니다. 어떤 목적으로 이용하고, 언제까지 보유한다는 내용도 없습니다.
- 상담 목적을 위한 최소한의 정보를 수집해야 함
- 개인정보 수집, 이용 목적 등을 알히고 정보주체의 동의를 받아야 함
- 개인정보 제공 여부를 결정하기 위해 제공해야 하는 항목
- 개인정보의 수집, 이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있는 경우 해당 사항
- 제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
- 정보주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
- 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
- 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
- 제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.<
- ② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.<신설 2013. 8. 6.>
1-2 계약 시 개인정보 수집 동의 방법
정수기 렌털 계약을 하려고 보니 계약서에 이용약관, 개인정보 수집 및 이용, 제3자제공, 개인정보 마케팅 활용 등에 대해서 구분 없이 한꺼번에 동의를 받고 있습니다.
- 이용약관 동의, 개인정보 수집/이용 동의, 제3자 제공 동의, 마케팅 활용 동의는 동의 사항을 구분하여 각각 받아야 함
- 서면 동의 시 중요한 내용의 표시 방법
- 글씨의 크기 최소 9포인트 이상 다른 내용보다 20퍼센터 이상 크게
- 글씨의 색깔, 굵기 또는 밑줄 등을 그어 내용을 명확히 표시
- 동의 사항이 많아 중요한 내용 구분이 어려울 경우 중요한 사항 별도로 구분해 표시
- 개인정보보호법 제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. ② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집·이용 목적, 수집·이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 행정안전부령으로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. ④ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
2 개인정보의 이용/제3자 제공
2-1 공개된 개인정보를 이용하여 홍보 문자 발송
구직사이트에 게시된 휴대전화번호를 이용하여 서비스 홍보문자를 보냈다고 합니다. 이렇게 홍보문자를 보낼 수 있는 건가요?
- 구직사이트에 공개된 개인정보를 서비스 홍보 목적으로 이용하려면 정보주체의 동의를 받아야 함
- 개인정보처리자는 인터넷 홈페이지 등 공개된 매체, 장소에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회적 통념상 동의 의사가 있다고 인정되는 범위 내에서만 이용이 가능
- 목적이 벗어나는 경우 정보주체에게 별도의 동의를 받아야 함
2-2 해외 여행 단체 비자 관련 개인정보 공유
중국단체여행을 다녀왔습니다. 출발 당일에 여행사 직원이 단체여행객 10명의 이름과 여권번호가 포함된 비자서류를 마스킹처리도 하지 않고 복사본을 여행객 10명에게 배포하였습니다. 저의 정보를 타인에게 공유하는 것이 매우 불안합니다.
- 단체비자 이용 시 정보주체의 개인정보가 타인 간에 공유될 수 있다는 사실을 명확히 알려 정보주체가 단체비자 이용 여부를 선택할 수 있는 절차가 필요하고, 단체비자에 포함된 개인정보는 여행자의 출입국 목적을 위해서만 이용하여야함
- 여행사는 개인정보가 타인에게 공유될 수 있다는 점을 사전에 공유받아야 함
- 단체 여행자는 타인의 개인정보를 여행 출입국 먹적 외의 목적으로 사용할 수 없음
2-3 민원인 개인정보 제3자 제공
공공기관에 업무 관련 업체와의 문제로 민원을 제기하였습니다. 민원 신고 후 해당 업체 담당자에게 전화가 왔습니다. 제가 민원 신고를 한 사실을 알고 있으며, 연락처는 당사자 간에 민원을 원만하게 처리하라고 하며 공공기관 민원 담당자에게 받았다고 합니다.
- 공공기관 및 민원담당자는 민원 업무로 알게된 개인의 성명, 연락처 등 개인정보를 정당한 이유 없이 피민원인에게 공개해서는 안됨
- 개인정보 누설은 개인정보에 대한 접근 권한이 없는 자가 해당 개인정보에 접근할 수 있도록 하는 행위 → 업무상 알게 된 개인정보의 누설에 해당
- 개인정보보호법 제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
- 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
- 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
- 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위
2-5 개인정보 확인 방법
학교에서 학생들에게 환불 관련 정보를 확인하고자 공지문을 붙이고자 합니다. 공지문에 학생의 이름(성씨만 별표 처리), 휴대폰번호(일부 별표 표시), 계좌정보 (은행명, 계좌정보, 예금주)를 기재하려고 하는데 문제가 되지는 않을까요?
- 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에도 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 함
- 개인정보에서 개인식별자를 제거하거나 대체하는 등 개인정보 익명처리가 가능한 경우 특정 개인을 알라볼 수 없는 형태로 익명처리해야 함
- 개인정보의 최신성 및 정확성 확보를 위해 정보주체에게 개별적으로 확인하는 것이 바람직함
- 개인정보보호법 제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다
- ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
3 개인정보 안전성 확보조치
3-1 홈페이지 관리자 페이지 노출
반려견 등록사이트 관리자 페이지가 아무런 로그인 등의 인증절차 없이 접속이 되었습니다. 등록 신청자들의 주민등록번호 등의 개인정보를 볼 수 있습니다.
- 관리자 페이지는 접근 권한이 인가된 자만 접근할 수 있도록 인증절차 등의 보호 조치를 해야 함
- 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야
- 특히 주민등록번호는 반드시 암호화되어 저장되어야 함
- 개인정보보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리 계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
- 개인정보보호법 제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
- 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원 규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
- 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우
- 개인정보의 안전성 확보조치 기준 제6조(접근 통제) ③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
3-3 다수인에게 서비스 홍보 단체 메일 발송
○○공사가 대국민 서비스 홍보를 위해 고객에게 이메일을 발송하였는데 수신인이 4,000여명 정도이고, 이메일 주소가 모두 보여 집니다
- 개인 전자우편주소는 살아 있는 개인을 식별할 수 있는 개인정보에 해당할 수 있음
- 개인정보처리자가 다수 고객 전자우편주소를 한 번에 발송해 전자우편주소가 타인에게 공개되는 것은 개인정보보호주의 의무를 다했다고 보기 어려움
- 또한 개인정보보호법상의 개인정보 유출 통지 또는 신고 절차에 따라 관련 조치를 해야함
- 개인정보보호법 제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
- 유출된 개인정보의 항목
- 유출된 시점과 그 경위
- 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
- 개인정보처리자의 대응조치 및 피해 구제절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
3-5 개인정보 처리방침 상 개인정보 보호책임자 성명 미공개
A사는 홈페이지에 개인정보 처리방침을 공개하고 있으나, 개인정보 처리방침에 개인정보 보호책임자의 성명을 기재하고 있지 않습니다. 개인정보보호법 위반이 아닌가요?
- 개인정보 처리방침에 개인정보 보호책임자의 성명을 공개하지 않는 것은 위법 아님
- 개인정보 보호책임자의 성명 또는 담당 부서의 명칭 중 어느 하나를 공개하면 됨
- 개인정보 처리방침 세부 항목
- ① 개인정보의 처리 목적 ② 개인정보의 처리 및 보유 기간 ③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) ④ 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) ⑤ 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항 ⑥ 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 ⑦ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) ⑧ 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
3-6 임시 개인정보취급자의 사용자 계정 관리
저는 공공기관에서 임시적으로 개인정보를 입력하고 정리하는 업무를 하고 있습니다. 그런데 업무 담당 직원의 아이디를 이용하여 제가 개인정보를 입력하고 열람할 수 있는데 이 부분은 문제가 되지 않나요?
- 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여해야 함
- 개인정보처리시스템에 접속할 수 있는 계정을 발급할 경우 개인정보처리자별로 계정을 달리 사용해야 하며 공유해선 안됨
- 개인정보취급자: 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 자
- 고용관계가 없더라도 실질적으로 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자는 개인정보취급자에 포함될
- 개인정보의 안전성 확보조치 기준(행정안전부 고시) 제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다. ② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. ④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
4 개인정보 파기
4-1 공공기관 홈페이지 게시자 개인정보 미파기
공공기관 홈페이지 게시판에 게시글을 등록하는 경우 게시자의 개인정보를 5년간 보유한다고 규정하고 있음에도 불구하고 등록 이후 5년이 경과하여도 게시자의 개인정보를 파기하고 있지 않습니다.
- 개인정보 수집 이용에 대해 동의 시 고지된 보유기간이 경과하면 파기해야 함
- 개인정보처리자는 개인정보가 불필요하게 되었을 떼(처리 목적을 달성했거나 서비스의 폐지, 사업이 종료된 경우) 개인정보를 자체없이 파기해야 함
- 개인정보보보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. ② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
4-4 개인정보가 포함된 문서 이면지 활용
○○의원에서 피부시술을 한 후 주의사항이 적힌 서류를 받았습니다. 그런데 그 서류 뒷면을 보니 다른 환자의 이름, 추천인, 전화번호, 주민등록번호 앞자리 정보가 있는 서류를 이면지로 사용하였습니다
- 개인정보 및 의료기관의 진로기록이 포함된 서류나 인쇄물은 이면지로 사용하지 않아야 함
- 파기 시 복구 또는 재생되지 아니하도록 조치해야 함
- 개인정보보호법 시행령 제16조(개인정보의 파기방법) ① 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 하여야 한다.
- 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
- 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각 ② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 행정안전부장관이 정하여 고시한다.
5 정보주체의 권리
5-1 사이트 회원 탈퇴 요청
사이트에 회원 가입을 하여 서비스를 이용했습니다. 이제 더 이상 서비스를 이용하지 않아 회원 탈퇴하려고 하는데 홈페이지 어디에도 탈퇴메뉴가 없습니다. 그래서 고객센터 상담 문의를 남겼는데 답변이 없습니다. 제 회원탈퇴 요구에 답변을 하지 않습니다. 어떻게 하여야 하나요?
- 개인정보를 보유하고 있는 자는 개인정보 처리 정지 요구에 응해야 함
- 개인정보 처리자는 개인정보 처리 정리 요구를 거부하는 경우 정보주체에게 지체없이 그 사유를 알려야 함
- 합당한 개인정보 처리정지 요구 거절 사유
- ① 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ② 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ③ 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 ④ 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
5-2 개인정보 삭제 요청
○○카드에 제 핸드폰번호로 다른 사람의 이용내역을 보냅니다. 다른 사람의 이용 내역을 제 핸드폰 문자로 보내지 말라고 요청했으나 자꾸 이용내역 문자가 옵니다
- 정보주체는 개인정보처리자가 처리하는 개인정보에 대한 열람 요구 가능
- 개인정보의 항목 및 내용, 개인정보의 수집·이용의 목적, 개인정보 보유 및 이용 기간, 개인정보의 제3자 제공 현황, 개인정보 처리에 동의한 사실 및 내용에 대해 열람 가능
- 열람을 통해 정정 삭제를 요구할 수 있음
- 개인정보보호법 제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보 처리자에게 요구할 수 있다.
- 개인정보보호법 제36조(개인정보의 정정·삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
6 고유식별정보 처리 제한
6-1 사원 채용 단계에서 주민등록번호의 요구
신입사원 채용과 관련하여 입사지원서 작성하고자 합니다. 주민등록번호를 요구하고 있습니다.
- 채용 지원 단계에서는 주민등록번호를 수집할 수 없음
- 채용이 결정된 후 법률 및 대통령령 등을 근거로 주민등록번호 처리를 요구하는 경우에는 수집이 가능
- 개인정보보호법 제24조의2(주민등록번호 처리의 제한)
7 개인영상정보처리기기 설치 및 운영
7-1 홍보 목적으로 개인영상정보 이용
길을 걷다가 어느 매장에 카메라가 설치되어 있어 자세히 보니 ‘현재 CCTV영상 촬영이 진행 중임을 알려드립니다. 영상의 일부는 ○○업체의 홍보를 위해 사용될 수 있습니다’ 라는 내용을 발견하였습니다. 개인의 동의를 받지도 않고 촬영한 영상정보를 홍보에 이용해도 됩니까?
- 예외적으로 허용한 경우를 제외하고는 누구든지 공개된 장소에서 CCTV를 설치 및 운영해서는 안됨
- 영상정보를 타 목적으로 활용하기 위해선 정보주체의 동의를 얻어야 함
- 영상정보처리기기 설치 및 운영 예외사유
- 법령에서 구체적으로 허용하고 있는 경우
- 범죄의 예방 및 수사를 위하여 필요한 경우
- 시설안전 및 화재 예방을 위하여 필요한 경우
- 교통단속을 위하여 필요한 경우
- 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
7-2 CCTV 안내판 미설치
지하철 OO역내의 매장에 별도의 안내문 없이 CCTV를 설치하여 행인들을 촬영하고 있습니다. CCTV 촬영 중 이라는 종이는 붙여 놓았지만, 절도행위 금지 문구만 있지 어디에도 CCTV 안내판은 보이지 않습니다
- 정보주체가 CCTV 설치 및 운영 사실을 인식할 수 있도록 안내판을 설치해야 함
- 안내판에는 설치 목적 및 장소, 촬영 범위 및 시간, 관리책임자 성명 및 연락처, 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처가 포함되어야 함