개인정보영향평가전문인력(PIA)/Part01. 개인정보보호법[시행 2023. 9. 15.]

Part01. 개인정보보호법_요약정리 ⑥

kwj0330 2023. 10. 22. 23:19
반응형

6. 개인정보의 처리단계별 보호

  • 01. 수집과 이용 및 그 제한
    • 1.1 개인정보 수집·이용
      • 가. 개인정보의 수집
        • 수집(원칙): 개인정보는 정보주체로부터 직접 수집
        • 수집(예외): 제3자 또는 인터넷, 신문, 잡지, 방송 등 공개된 매체로 수집하거나 업무 처리 과정 중 생성
          • 정보주체로부터 명함을 받음으로써 개인정보를 취득할 수도 있다.
            • 개인정보를 수집하는 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있음.
      • 나. 개인정보의 수집 ·이용의 적법근거
        • (동법급소계정공)
          • 1. 정보주체의 의를 받은 경우 ( 개인정보라는 입증책임은 개인정보처리자가 부담한다)
            • 아래 사항을 명확히 알리고 수집 (목항기거)
              • 1. 개인정보의 수집ㆍ이용
              • 2. 수집하려는 개인정보의
              • 3. 개인정보의 보유 및 이용
              • 4. 동의를 부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
            • 개인정보처리자는 전화상으로 개인정보 수집에 대한 정보주체의 동의를 받을 수 있다. (※ 다만, 향후 입증책임 문제가 발생할 수 있으므로 정보주체의 동의를 받아 통화내용을 녹취할 수 있음)
            • 법 제22조에서 규정한 방식에 따라 동의를 받아야 함(정보주체의 동의는 명시적 동의를 의미)
              • <서면 동의 시 중요한 내용의 표시 방법> → "개정 됨"
              • 1. 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
              • 2. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
            • 개인정보처리자는 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니한다는 이유로 재화 또는 서비스의 제공을 거부하지 않도록 한다.
            • 정보주체의 동의를 받을 때는 각 각의 동의 사항을 구분(별도 동의)하여 받아야 하며, 정보주체가 동의를 구분 해서 할 수 있다는 사실을 명확하게 인지할 수 있도록 알리고 동의를 받아야 함
            • 인터넷 홈페이지 등 공개된 매체, 장소 등에 정보주체가 자신의 개인정보를 수집·이용해도 된다는 명시적인 동의의사를 표시하거나, 인터넷 홈페이지의 성격, 게시물 내용 등에 비추어 사회통념상 동의의사가 있었다고 인정되면, 해당 정보주체의 개인정보는 동의 없이 수집·이용 가능
              • 인터넷 중고거래사이트에서 상품을 팔기 위해서 정보주체가 판매물품에 대한 설명과 자신의 전화번호를 기재한 경우, 이는 해당 물품의 거래목적으로 전화번호를 이용해도 된다는 동의의 의사표시를 한 것으로 볼 수 있음
          • 2. 률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
            • 법률에 특별한 규정이 있어야 하므로 법률에 위임근거가 없는 한 시행령이나 시행규칙에 규정하는 것은 안 된다
          • 5. 명백히 정보주체 또는 제3자 박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
            • 해당 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전동의 없이 개인정보를 수집·이용 또는 제공한 사실과 그 사유 및 이용내역을 알려야 한다.
            • 특히 제3자의 재산상 이익은 정보주체의 생명·신체상 이익을 앞설 수는 없다고 보아야 한다
          • 3. 공공기관이 법령 등에서 정하는 관 업무의 수행을 위하여 불가피한 경우
          • 4. 정보주체와 체결한 약을 이행하거나 계약을 체결하는 과정에서 요청에 따른 조치를 이행하기 위하여 필요한 경우
            • 개인정보라는 입증책임은 개인정보처리자가 부담
            • ‘계약체결’에는 계약체결을 위한 준비단계도 포함된다.
              • 예를 들면, 부동산거래에 있어서 계약체결 전에 해당 부동산의 소유자, 권리관계 등을 미리 조사․확인하는 경우․ 단, 계약 미체결 시에는 수집한 개인정보는 즉시 파기하여야 함
            • ‘계약이행’은 물건의 배송·전달이나 서비스의 이행과 같은 주된 의무의 이행뿐만 아니라 부수의무 즉 경품배달, 포인트(마일리지)관리, 애프터서비스 등의 이행도 포함된다.
              • 이 경우에도 동일한 목적으로 필요한 최소한의 개인정보를 제3자에게 제공하는 경우 이 법 제17조제1항제1호에 따라 정보주체의 명시적 동의를 받아야 함에 유의하여야 함.
          • 6. 개인정보처리자의 당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
            • 개인정보라는 입증책임은 개인정보처리자가 부담
            • 개인정보처리자의 정당한 이익과 상당한 관련이 있어야 하며, 합리적인 범위를 초과하면 안됨
              • 요금 징수 및 정산, 채권추심, 소 제기 및 진행 등을 위하여 증빙자료를 조사·확보하는 경우, 영업비밀 유출 및 도난방지, 출입이 통제되고 있는 사업장내 시설안전 등의 목적으로 CCTV 설치 등을 하는 경우
              • 민간기업 등에서 기업 자산 도난방지, 시설안전 등을 목적으로 영상정보처리기기를 설치·운영하는 경우: 일반적으로 개인정보처리자의 정당한 이익 달성을 위하여 필요 하고 명백하게 정보주체의 권리보다 우선하는 경우(제15조제1항제6호)에 해당하지만, 근로자의 근무행태 모니터링 등을 목적으로 영상정보처리기기를 설치·운영하는 경우 「근로자참여 및 협력증진에 관한 법률」제20조제1항제14호에서는 CCTV와 같은 근로자 감시 장비는 노사 양자의 협의사항으로 규정하고 있으므로, 이 법이 정한 바에 따라야 함에 유의하여야 함
          • 7. 공중위생 등 공의 안전과 안녕을 위하여 긴급히 필요한 경우
            • 이는 코로나19등을 거치며, 기존법 제58조제1항제3호를 삭제하고, 개인정보의 적법한 처리 환경 하에서 공중위생 등 공공의 안전과 안녕을 위한 목적으로 활용토록 관련 규정을 정비
      • 다. 정보주체의 동의 시 준수사항
        • 1) 포괄 동의의 금지
          • 법에 따른 정보주체(법 제22조의2제1항에 따른 법정대리인을 포함)의 동의가 적법하기 위해서는 다음 각 호의 조건을 모두 충족하여야 한다.  → 시행령 제17조제1항 24.09.15 시행
            • 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
            • 2. 동의 내용이 구체적이고 명확할 것
            • 3. 평이하고 이해하기 쉬운 문구를 사용할 것
            • 4. 정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 수 있는 방법을 제공할 것
          • 구분동의
            • 1. 제15조제1항제1호에 따라 동의를 받는 경우 (개인정보의 수집ㆍ이용)
            • 2. 제17조제1항제1호에 따라 동의를 받는 경우 (개인정보의 제공)
            • 3. 제18조제2항제1호에 따라 동의를 받는 경우 (개인정보 목적 외 이용ㆍ제공)
            • 4. 제19조제1호에 따라 동의를 받는 경우 (개인정보를 제공받은 자의 이용ㆍ제공 제한)
            • 5. 제23조제1항제1호에 따라 동의를 받는 경우 (민감정보)
            • 6. 제24조제1항제1호에 따라 동의를 받는 경우 (고유식별정보)
            • 7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우
            • 8. 그 밖에 정보주체를 보호하기 위해 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령 정하는 경우
        • 2) 개인정보 수집양식 작성
          • 개인정보의 종류를 조사하고(①), 필요한 최소한의 정보인지 검토한 후 필수 수집항목 및 선택 동의항목을 검토하고(②), 이에 근거해 ‘필수 수집항목(동의 불요)' 및 • 선택 동의항목’을 구분하여 개인정보를 수집(③)하도록 기획
        • 3) 중요한 내용의 표시방법
          • (홍민고기목자)
            • 1. 개인정보의 수집·이용 목적 중 재화나 서비스의 보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
            • 2. 처리하려는 개인정보의 항목 중 감정보, (유식별정보)여권번호, 운전 면허번호 및 외국인 등록번호
            • 3. 개인정보의 보유 및 이용 간(제공 시에는 제공받는 자의 보유 및 이용 기간)
            • 4. 개인정보를 제공받는 및 개인정보를 제공받는 자의 개인정보 이용
          • <서면 동의 시 중요한 내용의 표시 방법>
            • 1. 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
            • 2. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
        • 4) 동의를 받는 방법
          • ① 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
          • ② 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
          • ③ 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
          • ④ 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
          • ⑤ 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
          • ⑥ 그 밖에 위의 5가지에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
          • ※ 예를 들면, 전자문서를 통해 동의내용을 정보주체에게 알리고 정보주체가 전자서명을 받는 방법, 개인명의의 휴대전화 문자메시지를 이용한 동의, 신용카드 비밀번호를 입력하는 방법 등이 여기에 해당함
      • 라. 개인정보의 추가적인 이용
        • (목예이안)
          • 1. 당초 수집 적과 관련성이 있는지 여부
          • 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용에 대한 측 가능성이 있는지 여부
          • 3. 정보주체의 익을 부당하게 침해하는지 여부
          • 4. 가명처리 또는 암호화 등 전성 확보에 필요한 조치를 하였는지 여부
        • 개인정보처리자는 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우에는 위에 기재한 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다
        • EU의 당초 수집 목적과 합리적으로 관련된 범위의 개인정보 이용·제공 사례
          • LP음반을 판매하는 회사가 고객의 동의를 받아 정기적으로 LP음반의 카탈로그를 보내오다가, 오디오테이프, CD, DVD 형태의 음악 카탈로그도 보내는 경우
          • 약국에서 다른 고객의 의약품을 잘못 가져간 경우, 약국이 고객에게 위 사실을 알리기 위하여 처방 병원으로부터 휴대전화번호를 제공받아 전화하는 경우
      • 마. 개인정보 수집출처 등 통지 (이용내역 통지와 함께 통지 가능, 알림참으로 통지 가능)
        • 1) 정보주체 이외로부터 수집한 개인정보의 수집출처 등 통지
          • 제3자로부터 제공받은 정보, 신문·잡지·인터넷 등 공개매체로부터 수집된 정보 등이 해당
            • 예를 들어, 인물 DB서비스에서 학교·기관 홈페이지 등의 이미 공개된 자료를 통하여 개인정보를 수집하는 경우가 이에 해당
          • 수집출처 등의 고지를 하여야 할 시기는 정보주체의 요구가 있는 때이다. 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 (출목정) ①수집 처, ②처리 적, ③ 제37조에 따른 개인정보 처리의 지를 요구하거나 동의를 철회할 권리가 있다는 사실을 ‘즉시(3일 이내에)’ 알려야 한다
            • 정보주체의 요구를 거부할 경우 개인정보처리자는 거부의 근거와 사유를 정보주체의 요구가 있는 날로부터 3일 이내에 알려야 하는데(표준지침 제9조제2항), 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.
            • 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 때에도 개인정보처리자는 정보주체의 고지 요구를 거부할 수 있다
              • 예를 들면, 수사기관이 제보자 또는 참고인의 신분을 피의자에게 알릴 경우 생명·신체의 위험이 따를 수도 있으므로 개인정보의 출처 고지를 거부
        • 2) 대량의 개인정보 수집 출처 통지
          • 개인정보처리자가 (5민고 100개)5만 명 이상의 정보주체에 관하여 법 제23조에 따른 감정보 또는 법 제24조제1항에 따른 유식별정보를 처리하는 자 또는 ② 100만 명 이상의 정보주체에 관하여 인정보를 처리하는 자 가운데 어느 하나에 해당하는 경우에는 정보주체의 요구가 없더라도 (출목정) ① 수집처 ② 처리 적 ③ 제37조에 따른 개인정보 처리의 지를 요구할 권리가 있다는 사실을 개인정보를 제공받은 후 3개월 이내에 정보주체에게 알려야 한다(법 제20조제2항, 영 제15조의2제1항). 이 경우, 서면·전화·문자전송·전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 알려야 하고, 정보주체에게 알린 사실을(시기 및 방법을 포함한다) 해당 정보를 파기할 때까지 관리
          • 「신용정보법」에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보에 대해서는 적용되지 아니한다.
      • 바. 개인정보 이용·제공 내역의 통지
        • 정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우와 개인정보 이용·제공 내역을 통지해야 하는 경우의 의무 대상자의 범위를 수집 출처등 통지 기준에 맞추어 정비하고, 서비스 및 기술 환경의 변화 를 반영하여 함께 통지할 수 있도록 하였다.
        • ※통지 기준: (5민고 100개)5만명 이상 감정보·유식별정보 처리, ②100만명 이상 인정보 처리 또한, 개인정보처리자가 서비스를 제공하는 과정에서 팝업 · 알람 등 알림창* 을 통해 정보주체가 쉽게 알 수 있도록 개별적으로 알릴 수 있도록 하였다.
        • ※ 다만, 이용·제공 내역 통지의 경우는 해당 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 통지하는 경우에 한함
    • 1.2 개인정보 수집·이용 제한
      • 가. 최소수집의 원칙
        • “최소수집의 원칙”은 정보주체의 동의 없이 개인정보를 수집하는 경우에만 적용된다.
        • 최소한의 개인정보라는 입증책임은 개인정보처리자가 부담한다.
        • 필요한 최소한의 정보 외의 개인정보 수집(선택정보)에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스 제공(회원가입 포함)을 거부해서는 안 된다.
        • 개인정보 수집 시 동의가 필요한 부분과 동의가 필요 없는 부분을 구분하여 동의를 받도록 함
      • 나. 민감정보 처리 제한
        • 개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 민감정보를 다음의 사유 외에는 처리하여서는 아니 된다
          • 정보주체의 별도 동의를 받은 경우: 정보주체에게 이 법제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우(예를 들면, 요금 할인을 적용하기 위하여 신체장애 및 국가보훈 대상 여부의 정보를 수집하는 경우)
          • 법령에서 민감정보의 처리를 요구하거나 허용하는 경우: 법령에서 민감정보의 종류를 열거하고 그 처리를 요구하고 있는 경우(예를 들면, 인터넷으로 의료상담을 하기 위하여 이용자의 개인정보를 수집 및 제공하고자 하는 경우)
          • 다만, 시행령 제18조에 따른 민감정보(유전정보, 범죄경력에 관한 정보, 개인의 신체적, 생리적, 행동적 특징에 관한 정보, 인종이나 민족에 관한 정보)는 공공기관이 다음의 업무수행을 위하여 처리하는 경우에는 민감정보로 보지 아니하므로, 이 경우에는 정보주체로부터의 별도 동의 없이 처리가 가능하다
            • 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
            • 조약, 그 밖의 국제협정의 이행 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
            • 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
            • 법원의 재판업무 수행을 위하여 필요한 경우
            • 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
          • 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다(법 제23조제3항). 또한 개인정보처리방침을 통해 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 공개해야 한다.(법 제30조제1항3호의3)
      • 다. 고유식별정보 처리 제한
        • 고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 이에 해당함. 다만, 정보주체의 고유식별정보 동의 시, 주민등록번호는 동의대상이 아님(법 제24조의2).
        • 개인정보처리자는 원칙적으로 고유식별정보를 처리할 수 없다.다만,정보 주체의 별도 동의를 받은 경우와 법령에서 고유식별정보의 처리를 요구하거나 허용하고 있는 경우에는 예외적으로 처리할 수 있다
        • 법령에서 구체적으로 “고유식별정보의 처리를 요구하거나 허용하는 경우” 란 원칙적으로 법령에서 구체적으로 고유식별정보의 종류를 열거하고 그 처리를 요구하거나 허용하고 있는 것을 말한다. ‘법령’에 의한다고 규정하고 있으므로 법률 외에 시행령, 시행규칙이 포함되며 이에 첨부된 별지 서식이나 양식도 포함된다.
        • 다만, 공공기관에 해당하는 경우 주민등록번호를 제외한 고유식별번호의 경우, 공공기관은 법 제18조제2항제5호부터제9호의 업무수행을 위하여 처리하는 경우에는 정보주체로부터의 별도 동의 없이 처리가 가능하다
      • 라. 주민등록번호 처리 제한
        • 1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회 규칙, 감사원 규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
          • <예> 법령 조문에서 주민등록번호의 수집을 요구·허용하는 경우, 법정 서식에서 주민등록번호 기재란이 있는 경우, 법령 조문 또는 서식상 주민등록번호가 포함된 서류(주민등록증·초본 등)의 수집을 허용하는 경우 등을 말함.
        • 2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우
          • <예> 급박한 재해, 재난 상황 등의 경우 별도 법령 근거 없이 주민번호 처리 가능
        • 3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 개인정보 보호위원회가 고시로 정하는 경우
          • <예> 주민등록번호를 수집하지 않을 경우 해당 업무수행이 불가능한 경우로써 주민등록번호 처리를 위한 소관 법령이 없는 경우
      • 마. 홍보 등의 목적 처리 제한
        • 상품의 판매권유 또는 홍보를 목적으로 개인정보처리에 대한 동의를 받을 때는 정보주체에게 판매 권유 또는 홍보에 이용된다는 사실을 다른 동의와 구분하여 정보주체가 이를 명확히 인지할 수 있게 알린 후 별도로 동의를 받아야 한다.
      • 바. 만 14세 미만 아동 처리 제한
        • 법정대리인의 동의를 얻기 위해서는 법정대리인의 이름과 연락처를 알아야 하기 때문에 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 이름과 연락처)는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. 이 경우 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집 하고자 하는 이유를 알려야 한다
        • 아동으로부터 수집한 법정대리인의 개인정보를 동의를 얻기 위한 용도로만 사용 해야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기
        • 만 14세 미만 아동의 개인정보 수집·이용·제공을 위한 법정대리인의 동의를 받기 위한 방법
          • 1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등 의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
          • 2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하 는 방법
          • 3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사 항에 대한 동의의 의사표시를 확인하는 방법
          • 4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하 도록 하는 방법
          • 5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
          • 6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
        • 「신용정보법」은 관련 규정을 두고 있지 않으므로, 이에 대하여 이 법을 따른다
  • 02. 제3자 제공과 목적 외 이용·제공 및 위탁
    • 2.1 목적 외 이용/제3자 제공/위탁의 개념
      • 가. 개인정보의 이용과 제3자 제공의 차이
        • 제3자 제공 : 개인정보처리자 외의 제3자에게 개인정보의 지배· 관리권이 이전되는 것을 의미
        • 이용 : 개인정보처리자 내에서 개인 정보의 지배·관리권 이전 없이 스스로의 목적으로 쓰는 것을 의미
        • 개인 정보의 제공이란 개인정보처리자(개인정보 처리업무 수탁자 포함) 및 정보주체 (정보주체의 대리인 포함) 외의 제3자에게 개인정보의 지배·관리권이 이전되는 것을 말한다
        • 같은 개인정보처리자 내의 다른 부서가 당초 수집 목적과 달리 이용하는 경우라면 제공이 아니라 목적 외 이용에 해당
      • 나. 제3자 제공과 위탁의 차이
        • 업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람(제3자)에게 이전되 거나 공동으로 처리하게 된다는 측면에서는 동일
        • ‘업무위탁’의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보가 제3자(수탁자) 에게 이전
        • ‘제공’은 제공받는 자의 업무를 처리할 목적 및 이익을 위해 서 개인정보가 이전
        • 위탁의 경우에는 개인정보처리자 의 관리·감독을 받지만, 제3자 제공은 개인정보가 제공된 이후에는 제3자가 자 신의 책임 하에 개인정보를 처리하게 되며, 개인정보처리자의 관리·감독권이 미치지 못한다
    • 2.2 제3자 제공
      • 가. 제3자 제공이 가능한 경우 
        • 동법급소정공
          • 1. 정보주체의 동의를 받은 경우
            • 목항기거자
              • 2. 개인정보를 제공받는 자의 개인정보 이용 목적
              • 3. 제공하는 개인정보의 항목
              • 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
              • 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우  불이익의 내용
              • 1. 개인정보를 제공받는 자
            • 관련 위반사례
              • XX서점은 영업의 특성상 제휴업체가 빈번히 변경된다는 이유로 회원가입신청서 상에 “개인정보를 제공받는 자(제휴업체명) 및 개인정보의 제공목적"을 고지하지 않고 개인정보를 여러 제휴업체와 제공·공유함
              • XX마트는 “개장 기념 경품이벤트"를 실시하면서, 경품행사에 응모한 고객의 정보 가 제휴 생명보험사에 제공되어「휴일 무료 상해보험」에 가입된다는 사실에 대 한 동의를 받지 않고 제휴업체에 제공함
          • 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
            • ※ 불가피한 경우: 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우를 말함
          • 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
            • 주민자치센터나 경찰관서가 시급히 수술 등의 의료조치가 필요한 교통사고 환자의 연락처를 의료기관에 알려주는 행위가 이에 속한다.
          • 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
            • ‘불가피한 경우'란 개인정보를 제공하지 아니하고는 법령 등에서 해당 공공기관에 부여하고 있는 권한의 행사나 의무의 이행이 불가능하거나 다른 방법을 사용하여 소관 업무를 수행하는 것이 현저히 곤란한 경우를 의미한다. 특히 공공기관이 내부고발, 민원업무 등을 처리하기 위하여 민원인의 개인정보를 제3자에게 제공할 때에는 주의해야 한다. 민원업무를 쉽게 해결하기 위하여 민원인의 개인정보를 피민원이나 피민원기관에 제공하는 것은 불가피한 필요가 있는 경우라고 보기 어렵다
          • 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
            • 법 개정(2023.03.14.)으로 정보주체의 동의없이도 수집 목적과 동일한 범위 내에서 제3자 제공이 가 능하게 되었다
          • 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
            • 이는 코로나19등을 거치며, 기존법 제58조제1항제3호를 삭제하고, 개인정보의 적법한 처리 환경 하에서 공중위생 등 공공의 안전과 안녕을 위한 목적으로 활용토록 관련 규정을 정비
      • 나. 개인정보의 추가적 제공
        • 개인정보처리자는 영 제14조의2제1항 각 호의 고려사항에 대한 구체적 기준을 스스로 정하여 개인정보 처리방침에 미리 공개하여야 한다.
          • 목예이안
            • 1. 당초 수집 목적과 관련성이 있는지 여부
            • 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 제공에 대한 예측 가능성이 있는지 여부
            • 3. 정보주체의 이익을 부당하게 침해하는지 여부
            • 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
    • 2.3 목적 외 이용과 제3자 제공
      • 이 법 제18조제2항제1호부터 제9호는 개인정보를 목적 외 용도로 이용하거나 제3자에게 제공할 수 있는 예외적인 사유를 규정하고 있는데, 제5호부터 제9호까지의 사유는 공공기관이 처리하는 개인정보를 목적 외로 이용하거나 제3자에게 제공하는 경우에 한정한다
      • 대상시스템에서 취급하는 개인정보를 보유 목적 외로 이용·제공할 경우 해당 개인정보를 목적 외로 이용·제공을 한 날부터 30일 이내에 다음의 사항을 관보 또는 인터넷 홈페이지에 게재하여야 함
        • (날근목항)
        • 1. 목적 외 이용 등을 한
        • 2. 목적 외 이용 등의 법적
        • 3. 목적 외 이용 등의
        • 4. 목적 외 이용 등을 한 개인정보의 목(구성)
        • 인터넷 홈페이지에 게재할 때에는 10일 이상 계속 게재하되, 게재를 시작하는 날은 목적 외 이용 등을 한 날부터 30일 이내여야 함
        • 다만, 정보주체의 동의를 받거나 범죄수사와 공소제기 및 유지를 위해 개인정보를 목적 외로 이용하거나 제공하는 경우에는 그러하지 아니하다(법 제18조제4항, 개인정보 처리 방법에 관한 고시 제2조)
      • 동법급소조범법형공
        • 1. 정보주체로부터 별도의 동의를 받은 경우
          • 개인정보의 목적 외 이용·제공에 대하여 정보주체의 동의를 받을 때는 다른 동의와 구분하여 별도의 동의를 받아야 한다
          • 개인정보의 목적 외 이용·제공에 대해 정보주체의 동의를 받을 때에는 ①개인정 보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처, ②개인 정보의 이용 목적(제공 시에는 제공받는 자의 이용목적을 말한다), ③이용 또는 제공하는 개인정보의 항목, ④개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다), ⑤동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보주체에게 알려야 한다. 알려야 할 사항에 변경이 있는 때에도 이를 다시 알리고 동의를 받아야 한다(법 제18조제3항, 표준지침 제8조제3항).
        • 2. 다른 법률에 특별한 규정이 있는 경우
        • 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3 자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
        • 4. 삭제 <2020. 2. 4.>
        • 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
        • 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
        • 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
          • 공공기관의 경우 수사기관이 범죄수사, 공소제기 및 유지를 위해서 필요하다고 요청하는 경우 해당 개인정보를 정보주체의 별도의 동의 없이 제공할 수 있다. 이는 범죄수사편의를 위해 공공기관이 보유하고 있는 개인정보에 대해서는 정보주체의 동의 없이 목적 외로 이용 또는 제공할 수 있게 하기 위한 것이다
            • ※ ‘수사’란 범죄의 혐의 유무를 명백히 하여 공소의 제기와 유지 여부를 결정하기 위하여 범인을 발견·확보하고 증거를 수집·보전하는 수사기관(검사, 사법경찰 관리)의 활동을 말한다.
            • 수사는 주로 공소 제기 전에 하는 것이 일반적이나 공소제기 후에도 공소유지를 위하여 또는 공소 유지 여부를 결정하기 위한 수사도 허용된다.
        • 8. 법원의 재판업무 수행을 위하여 필요한 경우
        • 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
        • 10. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
    • 2.4 개인정보 위탁
      • 가. 개인정보 처리업무 위탁 일반사항
        • 1) 업무위탁의 유형
          • 업무위탁의 유형은 크게 개인정보의 수집·관리 업무 그 자체를 위탁하는 개인정보 처리업무 위탁과 개인정보의 이용·제공이 수반되는 일반 업무를 위탁하는 개인 정보 취급업무 위탁으로 구분될 수 있다. 또한 개인정보 취급업무 위탁은 다시 홍보·판매권유 등 마케팅업무의 위탁과 상품배달·AS 등 계약이행업무의 위탁으로 구분할 수도 있다.
          • 대상시스템에서 취급하는 개인정보를 위탁하여 처리하는 경우 '① 위탁받은 (수탁자), ② 위탁하는 업무의 내용, ③ 수탁자에 대한 재위탁 제한에 관한 사항, 자 ④ 안전성 확보조치에 관한 사항, ⑤ 관리·감독에 관한 사항'을 개인정보 처리방침에 기재하고, 인터넷 홈페이지 또는 관보 등을 통해 지속적으로 공개하도록 계획하고 있는지 확인함.
        • 2) 업무위탁의 절차·방법
          • 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 의 내용이 포함된 문서에 의하여야 한다.
            • (위기재안목범손처감)
              • 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
              • 2. 개인정보의 기술적·관리적 보호조치에 관한 사항
              • 3. 위탁업무의 목적 및 범위
              • 4. 재위탁 제한에 관한 사항
              • 5. 개인정보에 대한 접근 제한 등 안전성 확보조치에 관한 사항
              • 6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
              • 7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
          • 위탁자는 ①위탁하는 업무의 내용과 ②수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 자신의 인터넷 홈페이지 등에 지속적으로 게재하는 방법으로 공개하여야 한다(법 제26조제2항).
          • 다만, 법개정(2023.03.14.)으로 향후 2023년 9월 15일부터는 개인정보처리자는 재수탁자에 대해서도 홈페이지 등을 통해 지속적으로 공개하여야 한다
          • 위탁자가 위탁업무의 내용, 수탁자 등을 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 어느 하나 이상의 방법으로 공개하여야 한다.
            • 1. 위탁자의 사업장 등의 보기 쉬운 장소에 게시하는 방법
            • 2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장 등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조 제1호가목·다목 및 같은 조 제2호에 따른 일반 일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
            • 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지· 홍보지 또는 청구서 등에 지속적으로 싣는 방법
            • 4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
          • 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 에는 서면, 전자우편, 전화, 문자전송 또는 이에 상당하는 방법으로 ①위탁하는 업무의 내용과 ②수탁자를 정보주체에게 알려야 한다.
            • 위탁자가 과실 없이 서면, 전자우편 등의 방법으로 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 않는 위탁자의 경우에는 사업장 등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.
          • 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속직원으로 본다(법 제26조제6항). 손해배상책임에 있어서 수탁자를 개인정보 처리자의 소속직원으로 본다는 것은 개인정보처리자가 수탁자의 사용자로 간주된다는 의미로, 위탁자는 수탁자가 발생시킨 손해에 대하여 민법상의 사용자책임(대위책임)을 부담
        • 3) 위탁자의 책임과 의무
          • 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속직원으로 본다(법 제26조제6항). 손해배상책임에 있어서 수탁자를 개인정보 처리자의 소속직원으로 본다는 것은 개인정보처리자가 수탁자의 사용자로 간주된다는 의미로, 위탁자는 수탁자가 발생시킨 손해에 대하여 민법상의 사용자책임(대위책임)을 부담
        • 4) 수탁자의 책임과 의무
          • 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다
          • 한편, 법개정(2023.03.14.)으로 법 제26조가 개정되어, 수탁자에 "개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자(재수탁자) 가 포함되며, 수탁자가 개인정보 처리 업무 재위탁할 경우 위탁자의 동의를 받아야 한다
          • 과징금(제64조의2)·벌칙(제71조~제73조)ㆍ과태료(제75조) 개별조문에서 수탁자도 적용대상
      • 나. 가명정보 처리의 위탁
        • 가명정보 처리업무를 외부에 위탁하는 경우, 가명정보도 개인정보에 해당하므 로 이 법 제26조에 따라 위탁업무 수행 목적 외 가명정보의 처리 금지에 관한 사 항 등을 포함한 문서를 작성하여야 한다. 또한, 위탁하는 업무의 내용과 가명정 보 처리업무를 위탁받아 처리하는 자를 공개하여야 하며, 업무 위탁으로 인하여 정보주체의 가명정보가 분실·도난 유출·위조·변조·훼손 또는 재식별되지 아니하도록 수탁자를 교육하고, 처리현황 점검 등 수탁자가 가명정보를 안전하 게 처리하는지를 감독하여야 한다.
          • 재식별 금지
          • 재제공 또는 재위탁 제한
          • 재식별 위험 발생 시 통지
  • 03. 가명정보 처리
    • 3.1 가명정보 처리 시 법적 주의사항
      • 가. 가명정보 처리 시 법적 주의사항 
        • 개인정보처리자는 원칙적으로 이 법제18조제2항 각 호의 어느 하나의 사유에 해당하지 않는 한 수집 목적범위 외로 개인정보를 이용할 수 없으나, 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명처리가 가능하다(법 제28조의2제1항). 다만, 이 법제28조의7(적용범위)과 같이 가명정보를 대상으로 하는 규정을 적용하는 경우에는 양자를 구분하여야 한다
          • ※ ‘통계’란 특정 집단이나 대상 등에 관하여 작성하는 수량적인 정보를 의미한다. 통계작성의 목적은 시장조사와 같은 상업적 목적으로도 가능하다. 다만, 통계는 집합적인 데이터로 이름, 연락처 등 특정 개인에 관한 정보가 포함되어 있지 않아 통계의 대상이 된 정보주체에 대해서는 1:1 맞춤형 타겟 마케팅이 불가능하다.
          • ※ ‘과학적 연구'란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다(법 제2조제8호 참고). 과학적 연구는 기술의 개발과 실증, 기초 연구, 응용 연구뿐만 아니라 새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며 민간 투자 연구도 가능하다.
          • ※ ‘공익적 기록보존’이란, 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 기록을 보존하는 것을 의미한다. 공공기관이 처리하는 경우에만 공익적 목적이 인정되는 것은 아니며, 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우공익적 기록보존 목적이 인정된다
        • 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 가명정보를 제3자에게 제공 하는 경우, 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하여서는 안 된다(법 제28조의2제2항)
      • 나. 가명정보에 적용되는 규정
        • 개인정보처리자는 가명정보를 처리하는 경우 개인정보 보호 원칙(제3조)에 따라서 처리 목적의 범위에 필요한 범위에서 적합하게 가명정보를 처리하여야 하며, 가명정보 처리 업무를 위탁하는 경우에는 이 법 제26조(위탁)의 요건을 모두 준수하여야 한다.
        • 개인정보 처리방침에 가명정보 관련 내용(가명정보의 처리 목적, 제3자 제공에 관한 사항, 위탁에 관한 사항 등)을 포함하여야 한다. (목기3위안항)
          • ① 가명정보의 처리 목적
          • ② 가명정보 처리 및 보유기간
          • ③ 가명정보의 제3자 제공에 관한 사항 (해당되는 경우에만 작성)
          • ④ 가명정보 처리의 위탁에 관한 사항 (해당되는 경우에만 작성)
          • ⑤ 가명 처리하는 개인정보의 항목
          • ⑥ 가명정보에 대한 안전조치 의무 등 따른 가명정보의 안전성 확보조치에 관한 사항
      • 다. 가명정보에 적용하지 않는 규정
        • 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
        • 제20조의2(개인정보 이용ㆍ제공 내역의 통지)
        • 제27조(영업양도 등에 따른 개인정보의 이전 제한)
        • 제34조 제1항 (개인정보 유출 등의 통지ㆍ신고)  → 통지는 제외 / 신고는 의무
        • 제35조(개인정보의 열람)
        • 제35조의2(개인정보의 전송 요구) (미 시행)
        • 제36조(개인정보의 정정ㆍ삭제)
        • 제37조(개인정보의 처리정지 등)
      • 라. 가명정보 금지의무
        • 1) 특정 개인을 알아보기 위한 목적의 가명정보 처리 금지
          • 법 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아 보기 위한 목적으로 가명정보를 처리해서는 아니 된다
        • 2) 가명정보의 처리중지 및 회수·파기 의무
          • 개인정보처리자는 가명정보를 처리하는 과정 에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리 를 중지하고, 지체 없이 회수ㆍ파기하여야 한다
          • 가명정보의 처리를 위탁한 경우 수탁자가 해당 가명정보에 대한 처리중지 및 회수·파기를 완료하여야만 개인정보처리자 스스로 의무 이행을 다 한 것으로 볼 수 있다
        • 3) 제3자 제공 시의 금지
          • 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 가명정보를 제3자에게 제공하는 경우, 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하여서는 안 된다
          • 가명정보를 원래의 상태로 복원할 수 있는 추가 정보 외에도 특정 개인을 알아보기 위하여 사용될 수 있는 정보들은 명칭, 종류, 형태나 내용을 불문하고 제3자에게 제공하여서는 아니된다
          • 가명정보를 합법적인 목적으로 처리하는지와 가명정보가 재식별 되지 않는지에 대한 책임은 기본적으로 제3자에게 있음, 이와 같은 내용을 포함하여 서면으로 별도의 계약을 체결하는 것도 가능
      • 마. 안전조치 의무
        • 가명처리에서 생성·사용된 추가정보는 특정 개인을 알아보는 행위를 방지하기 위하여 가명정보와 별도로 분리하여 보관하여야 한다
        • 추가정보의 보관이 목적이 아니므로 해당 추가정보가 불필요할 때에는 파기하여야 한다
        • 추가정보를 별도 분리 보관하는 경우 추가정보에 비인가자 등이 접근하지 못하도록 접근 권한을 분리하고 접근통제를 강화
        • 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 가명처리한 개인정보의 항목, 가명정보의 이용내역, 가명정보를 제3자에게 제공하는 경우 제공받는 자에 관한 사항을 작성하여 보관하여야 한다
          • 목항이자기보 (3년 이상 보관)
            • 1. 가명정보 처리의 
            • 2. 가명처리한 개인정보의 
            • 3. 가명정보의 용내역
            • 4. 제3자 제공 시 제공받는 
            • 5. 가명정보의 처리 (법 제28조의4제2항에 따라 가명정보의 처리 기간을 별도로 정한 경우로 한정한다)
            • 6. 그 밖에 가명정보의 처리 내용을 관리하기 위하여 호위원회가 필요하다고 인정하여 고시하는 사항
    • 3.2 가명정보 결합 등
      • 보호위원회 또는 관계 중앙행정기관의 장은 소관 사무와 관련된 법인, 단체 또는 기관을 결합전문기관으로 지정할 수 있다
      • 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계중앙행정기관의 장이 지정하는 전문기관수행
  • 04. 국외 이전과 영업양도 등
    • 4.1 국외 이전 등
      • [제28조의8 개인정보의 국외 이전]
        • ① 동법계(위탁,보관)인보를 제외하고 개인정보를 국외로 제공(조회포함)ㆍ처리위탁ㆍ보관(이전)하여서는 아니 된다
        • (동법계(위탁,보관)인보)
        • 1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우
        • 2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한
        • 3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한
        • 가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우
        • 나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우
        • 4. 개인정보를 이전받는 자가 ISMS-P 보호위원회가 정하여 고시하는 인증을 받은 경우로서
        • 가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
        • 나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치
        • 5. 개인정보가 이전되는 국가 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회 인정
        • ② 국외이전 별도 동의 시 미리 항국시방성목기거를 알려야 함
          • (항국시방성목기거)
          • 1. 이전되는 개인정보 항목
          • 2. 개인정보가 이전되는 국가, 시기 및 방법
          • 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)
          • 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
          • 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
        • ③ 변경 시 정보주체에게 알리고 동의를 받아야 함
        • ④ 국외이전의 다른 규정, 제17조~제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 안고보계 보호조치 하여야 함
          • (안고보계)
          • 1. 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
          • 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
          • 3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치
          • 4. 이전받는 자와 미리 협의하고 이를 계약내용 등에 반영해야 한다
        • ⑤ 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
        • ⑥ 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.
          •  보호위원회는 법 제28조의8제1항제4호 각 목 외의 부분에 따른 인증을 고시하려는 경우에는 다음 각 호의 순서에 따른 절차를 모두 거쳐야 한다.
            • 1. 제34조의6에 따른 개인정보 보호 인증 전문기관의 평가
            • 2. 제5조제1항제1호에 따른 개인정보의 국외 이전 분야 국외이전전문위원회의 평가
            • 3. 정책협의회의 협의
          • 보호위원회는 법 제28조의8제1항제4호 각 목 외의 부분에 따른 인증을 고시할 때에는 5년의 범위에서 유효 기간을 정하여 고시할 수 있다.
          • 인증의 고시 절차 등에 관하여 필요한 사항은 보호위원회가 정하여 고시한다.
      • [제28조의9 개인정보의 국외 이전 중지 명령]
      • ① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.
        • 1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우
          • 제28조의8제1항 해당사항 외 국외이전사항에 대해 위반
          • 제28조의8제4항, 5항 안고보계 위반
        • 2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우
      • ② 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기
      • ③ 개인정보 국외 이전 중지 명령의 기준, 제2항에 따른 불복 절차 등에 필요한 사항은 대통령령으로 정한다.
        • 처리결과 30일이내에 알려야 함
    • 4.2 영업양도 등
      • 영업양도, 합병 등으로 인한 개인정보의 이전 시에는 정보주체가 회원탈퇴, 동의철회 등의 권리를 행사할 수 있는 기회를 미리 부여 (민간사업자를 대상)
      • 영업의 전부 또는 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 개인정보처리자, 즉 “영업양도자 등”은 미리 해당 정보주체에게 그 사실을 알려야 한다
      • 개인정보 이전에 대하여 정보주체의 동의를 받지 않는 대신 정보주체가 개인정보 이전에 대하여 거부할 수 있는 기회를 갖도록 하기 위한 것이다. 이를 위해 영업양도자 등이 정보주체에게 개인정보의 이전 사실 등을 통지할 때에는 개인정보를 이전하기 전에 미리 통지하여야 한다. 개인정보를 이전받는 자, 즉, 영업양수자 등이 정보주체에게 개인정보의 이전사실 등을 통지할 때에는 개인정보를 이전받은 후 지체 없이 통지
      • 영업양도자 등 또는 영업양수자 등이 영업양도·양수 등의 사실을 정보주체에게 통지할 때에는 ①개인정보를 이전하려는 사실, ②개인정보를 이전받는 자 (영업양수자 등)의 성명(법인의 경우에는 법인의 명칭), 주소, 전화번호 및 그 밖의 연락처, ③정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차를 서면 등의 방법으로 정보주체에게 알려야 한다
  • 05. 파기와 분리보관
    • 5.1 개인정보 파기와 분리보관
      • 가. 개인정보 파기
        • 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인 정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. (근무일 기준 5일 이내에 개인정보를 파기)
          • 개인정보처리자는 ‘다른 법령에 따라 보존해야 하는 경우’에는 예외적으로 개인정보를 파기하지 않아도 된다. 개인정보처리자가 개인정보를 파기하지 않고 보존하려는 경우에는 그 법적 근거를 명확히 해야 한다
          • 채권소멸기간까지 개인정보를 보존할 수 있다고 하여 이미 요금정산이 끝난 소비자의 개인정보까지 보존하여서는 안 된다. 신용카드 이용고객의 신용관리를 이유로 회원의 동의 없이 탈퇴회원의 개인정보를 일정기간 보존하는 것도 파기의무 위반이다. 다른 법령에서 보존기간으로 정한 기간이 만료한 경우에는 지체 없이 파기하여야 한다
        • 개인정보를 파기할 때에는 다시 복원하거나 재생할 수 없는 형태로 완벽하게 파기하여야 한다
          • 전자기(電磁氣) 적으로 기록된 개인정보는 복원이 불가능한 방법으로 영구 삭제
          • 전용 소자장비를 이용하여 삭제하거나 데이터가 복원되지 않도록 덮어쓰기를 수행하는 등 다시 재생시킬 수 없는 기술적 방법으로 삭제하거나  물리적인 방법으로 매체를 파괴하여 복구할 수 없도록 하는 것
          • 기록물, 인쇄물, 서면, 그 밖의 기록매체의 형태로 되어 있는 경우에는 물리적으로 파쇄하거나 소각하는 방법으로 해당 개인정보를 완전히 파기
          • 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보(익명정보)로 처리하여 복원이 불가능하도록 조치해야 한다.
        • 개인정보처리자가 개인정보 보유기간을 고지하고 동의를 보유기간을 정할 때에는 필요 최소한으로 보유기간을 정해야 입증책임은 개인정보처리자가 부담
      • 나. 개인정보 분리보관
        • 개인정보처리자가 이 법제21조제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 한다
        • 개인정보처리자는 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리 하여야 한다.
          • ※ 개인정보처리자는 법률에 따라 개인정보를 파기하지 않고 보존하는 경우에 물리적, 논리적으로 분리된 시스템에 별도로 보관하여야 함.
      • 다. 추가정보의 분리보관
        • 가명처리에서 생성·사용된 추가정보는 특정 개인을 알아보는 행위를 방지하기 위하여 가명정보와 별도로 분리하여 보관하여야 한다. 추가정보의 보관이 목적이 아니므로 해당 추가정보가 불필요할 때에는 파기하여야 한다.
        • 1) 추가정보의 분리 보관
          • 추가정보는 가명정보와 분리하여 별도로 저장·관리하고 가명정보와 불법적으로 결합되어 재식별에 악용되지 않도록 접근 권한을 최소화하고 접근통제를 강화하는 등 필요한 조치를 적용
          • 추가정보와 가명정보는 분리하여 보관하는 것을 원칙으로 하고, 불가피한 사유로 물리적인 분리가 어려운 경우 DB 테이블 분리 등 논리적으로 분리*하는 것도 가능
          • ※ 추가정보의 활용 목적달성 및 불필요한 경우에는 추가정보를 파기할 수 있으며, 이 경우 파기에 대한 기록을 작성하고 보관할 필요가 있음
        • 2) 접근권한의 분리
          • 가명정보처리자는 가명정보 또는 추가정보에 접근할 수 있는 담당자를 가명정보 처리 업무 목적달성에 필요한 최소한의 인원으로 엄격하게 통제하여야 하며, 접근권한도 업무에 따라 차등부여
          • 가명정보를 취급할 자를 추가로 둘 여력이 없는 경우 등 접근권한의 분리가 어려운 정당한 사유가 있는 경우에는 업무 수행에 필요한 최소한 접근 권한 부여 및 접근권한의 보유 현황을 기록으로 보관하는 등 접근권한을 관리·통제하여야 한다.
            • 「소상공인 보호 및 지원에 관한 법률」제2조에 따른 소상공인 등 가명정보취급자가 가명처리하는 시스템(이하 ‘가명정보처리시스템') 외의 특정 개인을 알아 볼 수 있는 다른 개인정보처리시스템에 접근할 수 없도록 권한을 제한할 필요가 있다.

반응형
저작자표시 비영리 변경금지 (새창열림)

'개인정보영향평가전문인력(PIA) > Part01. 개인정보보호법[시행 2023. 9. 15.]' 카테고리의 다른 글

Part01. 개인정보보호법_요약정리 ⑧  (0) 2023.10.23
Part01. 개인정보보호법_요약정리 ⑦  (0) 2023.10.23
Part01. 개인정보보호법_요약정리 ⑤  (0) 2023.10.22
Part01. 개인정보보호법_요약정리 ④  (0) 2023.10.22
Part01. 개인정보보호법_요약정리 ③  (0) 2023.10.22

'개인정보영향평가전문인력(PIA)/Part01. 개인정보보호법[시행 2023. 9. 15.]'의 다른글

  • 현재글Part01. 개인정보보호법_요약정리 ⑥

관련글

댓글

티스토리툴바