SECURITY/관리보안

[개인정보보호법] 제 3장 개인정보의 처리(1)

yuujoeng 2023. 4. 21. 00:34

제 1절 개인정보의 수집, 이용, 제공 등

(1) 15조 개인정보의 수집 이용

|  1항 다음 각 호에 해당 할 경우 개인정보를 수집할 수 있어

  • 정보 주체의 동의
  • 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피
  • 공공기관이 소관의 업무를 수행하기 위해 불가피
  • 정보주체와의 계약 체결 및 이행 과정에서 요청에 따른 조치를 이행하기 위해
  • 의사표시 안되는 상태, 사전동의 받을 수 있는 경우에 정보주체의 이익을 위해 인정
  • 개인정보처리자의 정당한 이익 달성, 명백히 정보주체의 권리보다 우선, 합리적 범위
  • 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요할 경우

|  2항 정보를 수집할 땐 동의를 받아야해

  • 개인정보처리자는 1항 1호에 따른 동의를 받을 때 다음을 알려야 함
    • 개인정보의 수집, 이용 목적
    • 수집하려는 개인정보의 항목
    • 개인정보의 보유 및 이용 기간
    • 동의를 거부할 권리가 있다는 사실 및 이에 따른 불이익 → online의 경우 생략 가능
  • opt-in(default NO) / opt-out(default YES)

|  3항 개인정보의 추가적인 이용, 제공

  • 정보주체의 동의 없이 개인정보를 이용할 수 있는 경우
    • 수집 목적과 합리적으로 관련 된 범위에서 → 예측 가능해?
    • 정보주체에게 불이익이 발생하는지 여부 → 이익을 부당하게 침해해?
    • 암호화 등 안전성 확보를 위한 조치를 했는지 여부 → 가명처리/암호화
    • 대통령령으로 정하는 바에 따라
  • 각 호의 고려사항 판단 기준을 미리 공개, 개인정보보호책임자가 점검
  • LP음반사례(한국에 대입X), 약국에서 약을 잘못 가져가서 병원에 연락처 물어본 경우(합리적O)

 

(2) 16조 개인정보의 수집 제한

  • 1항 목적에 필요한 최소한의 개인정보를 수집: 최소한의 여부는 개인정보 처리자가 입증 책임
  • 2항 동의하지 않을 수 있다는 사실 구체적으로 알려야함
  • 3항 선택 수집에 동의하지 않았더라도 재화 또는 서비스 제공 거부 X

|  사례

  • 열화상 카메라에 개인정보 저장 → 정보주체 동의 없는 개인영상정보 저장
  • 선택 항목 미입력을 이유로 서비스 제공 거부
  • 채용 시 불필요한 신체, 공교, 가족사항 수집

 

(3) 17조 개인정보의 제3자 제공

|  1항 아래의 경우 정보주체의 개인정보를 제 3자에게 제공할 수 있어

  • 정보주체의 동의를 받은 경우
  • 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

|  2항 아래 중 하나라도 변경되면 정보주체에게 알려야 해

  • 개인정보를 제공받는 자(수탁자)
  • 개인정보를 제공받는 자의 개인정보 이용 목적
  • 제공하는 개인정보 항목
  • 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  • 동의를 거부할 수 있다는 항목 및 불이익 내용
  • 3항 : 개인정보를 국외 제3자에게 제공할 땐 알리고 동의 받아야해
  • 4항 : 당초 수집 목적과 합리적으로 관련된 범위 + 필요 조치 + 불이익X → 동의 없이 제공해도 돼

 

(4) 18조 개인정보의 목적 외 이용/제공 제한

|  1항 개인정보처리자는 15, 17조를 벗어나는 제 3자 제공을 하면 안돼

|  2항 정보주체의 이익을 부당하게 침해하는게 아니면 아래의 경우엔 제 3자 제공을 해도 돼

  • 정보주체로 별도의 동의
  • 다른 법률에 특별한 규정
  • 급박한 생명, 신체, 재산의 이익이 걸렸을 때 의사표명이 어려운 경우
  • 다른 법률에서 정하는 소관의 업무 → 공공기관
  • 외국, 국제기구에 제공하기 위해 → 공공기관
  • 범죄의 수사와 공소 제기 및 유지 
  • 법원의 재판업무 수행 
  • 형의 감호 및 보호처분 

|  3항 목적 외 제공을 할 땐 다음을 알려야해

  • 개인정보의 수집, 이용 목적
  • 수집하려는 개인정보의 항목
  • 개인정보의 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실 및 이에 따른 불이익
  • 4항 : 제공의 법적 근거, 목적 및 범위는 고시에 따라 인터넷 홈페이지에 게재해야 해
  • 5항 : 개인정보를 목적 외 용도로 제 3자에게 제공하는 경우 제공받는 자 안전조치 해야해

 

(5) 19조 개인정보를 제공받는 자의 이용/제공 제한

  • 개인정보처리자로부터 개인정보를 제공받는 자는 목적에 맞게 사용해야 해
  • 예외 : 별도 동의, 법률에 특별한 규정이 있는 경우

 

(6) 20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지

|  1항 정보주체 이외로부터 수집한 개인정보는 주체의 요구가 있으면 아래를 고지해야 해

  • 개인정보의 수집 출처
  • 개인정보의 처리 목적
  • 개인정보 처리의 정지를 요구할 권리가 있다는 사실
    • 정보주체 이외로부터 수집 : 제 3자 제공, 공개된 개인정보 수집
    • 신용정보제공이용자는 출처 통지의 의무 X
  • 2항 대통령령에 의해 수집했을 때에도 연락처 알면 제 1항 모두 알려줘야해
  • 서면, 전화, 문자 등 쉽게 알 수 있는 방법으로 3개월 이내 또는 연 1회 이상
  • 출처 통지한 내용과 시기, 방법은 개인정보 파기 시 까지 보관

|  신용정보법

  • 개인정보 수집 출처 고지 규정 X
  • 규정이 없는 경우 일반법인 개인정보보호법의 규정 따라

|  표준지침 제 9조 개인정보 수집 출처 등 고지

  • 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내 고지
  • 예외 : 고지 요구 대상이 고지 불가한 파일일 경우, 고지로 인해 생명/신체가 해할 우려

 

(7) 21조 개인정보의 파기

  • 1항 보유기간의 경과, 목적 달성 등 불필요하게 되었을 땐 지페 없이 파기
    • 지체없이 : 정당한 사유 없는 한 5일 이내
    • 다른 법령에 따른 보관 : 전자상거래법, 통신비밀보호법, 의료법
  • 2항 복구, 재생되지 않는 방법으로 파기
  • 3항 보존해야 하는 경우 분리 저장, 관리
  • 4항 파기방법 및 절차는 대통령령으로 규정

|  사례

  • 결혼중개업체 이벤트 목적으로 개인정보 수집 후 파기 안함 → 목적 달성 후 파기
  • 이용 동의 철회 및 수신 거부에도 광고 문자 수 차례 발송 → 동의 철회에 따른 파기
  • 개인정보가 담긴 서류 단지 내 폐지수거장에 버림 → 복구, 재생할 수 없는 방법으로 파기

(8) 22조 동의를 받는 방법

|  1항 아래 사항을 개인정보보호 약관과 구분하여 동의를 받아야 해

  • 개인정보 수집, 이용에 따른 동의
  • 개인정보 제공에 따른 동의
  • 개인정보 목적 외 이용/제공 제한에 따른 동의
  • 개인정보를 제공받은 자의 이용/제공 제한 동의
  • 민감한 정보 처리 제한 동의
  • 고유식별정보 처리 제한 동의
  • 재화나 서비스 홍보, 판매를 권유하기 위한 동의
  • 그 밖에 대통령령으로 정하는 경우

|  3항 정보주체의 동의 없이 처리할 수 있는 주민등록번호는 법적 근거와 함께 공개해

|  5항 선택 사항은 거부해도 재화 또는 서비스 제공을 거부해선 안돼

  • 서비스 제공 필수 항목인지 판단하렴
  • 서면, 전화, 웹페이지, 이메일, 이에 준하는 방법이 있단다
  • 정보 주체가 동의 여부를 선택할 수 있도록 선택 항목과 필수 항목을 명확히 하렴
  • 글씨 크기와 색깔 등도 고시에 정해져 있단다

|  22조의2 아동의 개인정보보호

  • 1항 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의 받아야 해
  • 2항 법정 대리인에게 연락하기 위한 정보는 아동으로 부터 직접 수집할 수 있어
  • 3항 이해하기 쉬운 양식과 명확하고 알기 쉬운 단어 사용해