YesXYZ

아딸이 함께 만드는 세상

[CPPG] 내부관리 계획 → 개인정보 보호책임자 역할 → 개인정보 처리방침 상세 내역

by · 2024년 11월 08일

내부관리계획은 개인정보보호 실태점검이나 민사소송 등에 대하여 기업에서 책임 있게 적절한 주의(Due Diligence)를 다 하였다는 방어기제로 활용될 수 있다. 따라서 내부관리계획은 기업의 Risk관리에 있어 핵심 구성요소가 된다.

개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립ㆍ시행 및 점검) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다.
④ 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검ㆍ관리하여야 한다.

  1. 개인정보 보호 조직의 구성 및 운영에 관한 사항
  2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
  3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
  4. 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항
  5. 접근 권한의 관리에 관한 사항
  6. 접근 통제에 관한 사항
  7. 개인정보의 암호화 조치에 관한 사항
  8. 접속기록 보관 및 점검에 관한 사항
  9. 악성프로그램 등 방지에 관한 사항
  10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
  11. 물리적 안전조치에 관한 사항
  12. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항
  13. 위험 분석 및 관리에 관한 사항
  14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
  16. 그 밖에 개인정보 보호를 위하여 필요한 사항

개인정보보호 책임자는 개인정보보호 활동의 책임과 역할을 담당하는 인물입니다. 이는 사업주, 대표자, 임원, 임원이 없는 경우 개인정보 처리 관련 업무를 담당하는 부서의 장 등이 될 수 있습니다. 임원이 없는 경우는 “개인정보 처리 관련 업무를 담당하는 임원이 없는 경우” 또는 “자격요건을 충족하는 임원이 없는 경우”가 아닌 전체 조직 내에 임원 직급을 가진 자가 없는 경우를 의미합니다.(CPO 핸드북 9페이지 참고)

법 제31조(개인정보 보호책임자의 지정 등) ③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

  1. 개인정보 보호 계획의 수립 및 시행
  2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
  5. 개인정보 보호 교육 계획의 수립 및 시행
  6. 개인정보파일의 보호 및 관리ㆍ감독
  7. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
  8. 개인정보 처리와 관련된 인적ㆍ물적 자원 및 정보의 관리
  9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

개인정보 처리방침이란 개인정보를 처리하고 있는 사업자, 단체의 개인정보 처리 기준 및 보호조치 등을 「개인정보 보호법」에 따른 기재 사항을 포함하여 문서화한 것을 말한다. 개인정보 처리방침을 적절하게 작성하여 공개함으로써 개인정보처리자는 개인정보 처리의 투명성을 높이고, 정보주체는 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교할 수 있다. 또한 개인정보처리자가 다수의 소비자와 계약을 체결하기 위하여 일정한 형식으로 미리 마련한 계약인 ‘약관’과도 구별되며, 개인정보 처리방침은 약관과 달리 계약 체결 전 설명의무가 있거나 동의를 얻어야 하는 것은 아니다

표준 개인정보 보호 지침 제19조(개인정보 처리방침의 기재사항) 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.

  1. 개인정보의 처리 목적
    • 개인정보 처리방침의 수집 목적은 ‘~등’ 으로 불명확하게 기재하지 않고 구체적으로 기재하여야 함
    • 정보주체의 동의를 받아 개인정보를 수집・이용하는 경우 동의를 받을 때 정보주체에게 고지하는 사항과 일치하여야 함
  2. 처리하는 개인정보의 항목
    • 개인정보 항목은 필요한 최소한의 개인정보여야 하며, “~등”과 같이 축약하거나, 추상적이고 모호한 표현을 사용하지 않고 구체적으로 작성하여야 함
    • 정보주체의 동의 없이 처리하는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 동의를 받아 수집하는 개인정보와 구분하여 기재하여야 함. 법적 근거를 작성할 때 그 법령명 외에 해당되는 조문까지 구체적으로 작성하여야 하며, 동의없이 처리하는 개인정보의 항목이 누락되지 않도록 주의하여야 함
  3. 14세 미만 아동의 개인정보처리에 관한 사항(해당시)
    • 법정대리인의 동의를 받기 위하여 아동으로부터 수집하는 법정대리인의 개인정보(이름, 연락처 등)에 대해 기재하여야 함
  4. 개인정보의 처리 및 보유 기간
    • 보유 기간은 ‘목적 달성시’와 같이 추상적으로 기재하지 않고 구체적으로 기재하여야 하며, 정보주체의 동의를 받아 개인정보를 수집・이용 하는 경우 동의받는 사항과 일치하도록 기재하여야 함
  5. 개인정보의 파기절차 및 파기방법(보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목 포함)
    • 처리하고 있는 개인정보가 불필요하게 되었을 경우 지체없이 파기한다는 내용을 기재함
    • 다른 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 해당 법령 및 조문과 보존하는 개인정보 항목을 구체적으로 기재하여야 함
    • 파기의 절차, 방법 등에 관한 세부적인 내용을 기재하여야 함
  6. 개인정보의 제3자 제공에 관한 사항(해당시)
    • 정보주체의 동의를 받아 개인정보의 제3자 제공이 이루어지는 경우
      1) 개인정보를 제공받는 자(제3자), 2) 제3자의 이용목적, 3) 제공하는 개인정보 항목, 4) 제공받는 자의 보유・이용기간
    • 정보주체의 동의 외의 사유로 개인정보를 제3자에게 제공하는 경우
      1) 제공의 법적 근거, 2) 개인정보를 제공받는 자(제3자), 3) 제3자의 이용목적, 4) 제공하는 개인정보 항목을 기재하되, 제공받는 자의 보유・이용기간은 기재하지 않아도 무방(권장사항)
    • 제공받는 자의 수가 많은 경우 별도의 화면(더보기, 전체보기, 팝업창 등), 목록 파일 내려받기 기능 등으로 공개 가능
  7. 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단 기준(해당시)
    • 당초 수집 목적과 관련성이 있는지 여부
    • 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
    • 정보주체의 이익을 부당하게 침해하는지 여부
    • 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
  8. 개인정보 처리업무의 위탁에 관한 사항(해당시)
    • 위탁받은 자(수탁자)
      수탁자는 ‘~등’ 으로 축약하지 않아야 하며, 수탁자의 수가 많은 경우 별도의 화면(더보기, 전체보기, 팝업창 등), 목록 파일 내려받기 기능, 위탁하는 업무의 내용과 수탁자를 공개한 웹페이지 링크 삽입 등으로 공개 가능, 위탁받은 업무를 다시 위탁받은 제3자(재수탁자)를 포함하며 수탁자의 개인정보 처리방침 링크 추가를 통해 재수탁자의 위탁업무 내용(재수탁자, 재수탁하는 업무의 내용)을 알릴 수 있음
    • 위탁하는 업무의 내용
  9. 개인정보의 국외 수집 및 이전에 관한 사항(해당시)
    • 국외 수집:
      국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명
    • 국외 이전:
      1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우(제공)
      2. 계약의 체결 및 이행을 위하여 개인정보를 처리위탁ㆍ보관하는 경우: 개인정보 처리방침에 공개하거나 개인정보주체에게 통지해야 함
      3. 개인정보 국외이전의 법적 근거 중 다른 법률, 조약 또는 국제협정에 개인정보의 국외이전에 관한 특별한 규정이 있는 경우에는 그 법률·조약·협정명과 해당되는 조문까지 구체적으로 작성하여야 함
    < 국외 이전 관련 기재 사항(동의, 처리위탁ㆍ보관) >
    • 국외이전의 법적 근거
    • 이전되는 개인정보 항목
    • 개인정보가 이전되는 국가, 시기 및 방법
    • 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)
    • 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
    • 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
  10. 개인정보의 안전성 확보조치에 관한 사항
    안전성 확보조치는 가능한 자세히 기재하되, 해당 개인정보처리자가 상세히 기술한 내용들이 알려짐으로써 개인정보 침해 위협이 증가할 수 있다고 판단되는 경우에는 그 수준을 조절하여 표현할 수 있음
    • 관리적 조치 : 내부관리계획 수립・시행, 전담조직 운영, 정기적 직원 교육
    • 기술적 조치 : 개인정보처리시스템 등의 접근권한 관리, 접근통제시스템 설치, 개인정보의 암호화, 보안프로그램 설치 및 갱신
    • 물리적 조치 : 전산실, 자료보관실 등의 접근통제
  11. 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당시)
    • 정보체가 공개 게시판 등에 스스로 입력하는 정보가 공개된다는 사실을 이미 알고 있고, 개인정보처리자가 민감정보가 공개될 것을 예측하기 어려운 경우에는 제외
  12. 가명정보의 처리 등에 관한 사항(해당시)
    • 가명정보 처리 목적
    • 가명정보 처리 기간(선택)
    • 가명정보 제3자 제공에 관한 사항(해당되는 경우)
    • 가명정보 처리의 위탁에 관한 사항(해당되는 경우)
    • 처리하는 개인정보의 항목
    • 보호법 제28조의4(가명정보에 대한 안전조치의무 등)에 따른 가명정보의 안전성 확보 조치에 관한 사항
  13. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당시)
    • 개인정보처리자가 쿠키 등 개인정보 자동 수집 장치를 통해 행태정보를 수집하고, 정보주체를 식별하여 행태정보를 처리하는 경우, 그 수집・이용・제공 및 거부 등에 대해 기재하여야 함
      ① 개인정보 처리/제공의 법적 근거, ② 제공받는 사업자, ③ 수집/제공하는 행태정보의 항목, ④ 수집 방법, ⑤ 수집/제공 목적, ⑥ 보유・이용 기간, ⑦거부 방법
    • 개인정보처리자가 수집한 행태정보를 제3자에게 제공하는 경우, ① 개인정보 제공의 법적 근거, ② 제공받는 사업자, ③ 제공하는 행태정보의 항목, ④ 제공 목적, ⑤ 보유・이용 기간 등을 기재하여야 함
    • 개인정보처리자가 정보주체를 식별하지 않고 행태정보를 처리하는 경우, 해당 처리 사실을 기재하고, 그 수집・이용・제공 및 거부 등에 대하여 작성하는 것을 권장함
    • 제3자가 운영하는 웹・앱에서 개인정보 자동 수집 장치를 설치・운영하고, 그 결과 해당 개인정보 자동 수집 장치로부터 개인정보처리자가 행태정보를 수집하는 경우에는 해당 처리 사실을 기재할 것을 권고
  14. 개인정보 자동 수집 장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 그 수집·이용 및 거부에 관한 사항(권장, 해당시)
    • ① 수집도구 명칭, ② 수집해가는 사업자, ③ 수집도구 종류, ④ 수집해가는 행태정보 항목, ⑤ 수집해가는 목적, ⑥ 거부방법 등을 기재토록 함
    • 개인정보처리자가 직접 처리하는 경우가 아니므로, 정보주체의 효과적 확인을 위하여 별도의 창으로 제공하는 형식 등으로 안내할 것을 권장함
  15. 개인정보 열람, 전송 요구, 정정·삭제, 처리정지, 동의철회, 자동화된 결정 거부·설명 요구 등 등 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
  16. 자동화된 결정에 관한 사항(해당시)
    • 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위
    • 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계
    • 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차
    • 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목
    • 자동화된 결정에 대하여 정보주체가 거부‧설명 등 요구를 할 수 있다는 사실과 그 방법 및 절차
  17. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
    • 개인정보 보호책임자의 직통 연락처를 기재할 필요는 없으며, 정보주체의 개인정보 관련 문의, 고충처리 등이 원활히 처리될 수 있는 개인정보 보호책임자의 소속 부서 연락처 등을 기재하여도 무방함
    • 정보주체의 알권리 보장 차원에서 개인정보 보호책임자의 성명과 개인정보보호 담당부서, 연락처를 모두 기재하는 것도 권장됨
  18. 국내대리인의 지정에 관한 사항(해당시)
    • 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명), 주소(법인의 경우에는 영업소의 소재지), 전화번호 및 전자우편 주소
    • 서버가 외국에 있고, 유사명칭의 한국법인이 존재하지 않으며, 한국어로 서비스를 제공 하면서 이미 상당수 국내 이용자의 개인정보를 수집하였고, 국내에서 활동하는 기업들로부터 광고를 수주하는 등의 방법으로 영업활동을 하고 있다면 적용 대상이 될 수 있음
  19. 정보주체의 권익침해에 대한 구제방법(권장)
    • 법에 따른 전문기관(개인정보침해신고센터, 개인정보 분쟁조정위원회), 수사기관 등을 안내할 것을 권장
    • 개인정보보호 관련 고객 상담 및 신고를 할 수 있는 담당부서의 명칭 및 연락처
  20. 고정형 영상정보처리기기 운영·관리에 관한 사항(해당시)
    • 고정형 영상정보처리기기의 설치 근거 및 설치 목적
    • 고정형 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
    • 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
    • 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
    • 고정형영상정보처리기기운영자의 영상정보 확인 방법 및 장소
    • 정보주체의 영상정보 열람 등 요구에 대한 조치
    • 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
    • 그 밖에 고정형 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항
  21. 이동형 영상정보처리기기 운영·관리에 관한 사항(해당시)
    • 이동형 영상정보처리기기의 운영 근거 및 운영 목적
    • 이동형 영상정보처리기기의 운영 대수
    • 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
    • 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
    • 이동형영상정보처리기기운영자의 영상정보 확인 방법 및 장소
    • 정보주체의 영상정보 열람 등 요구에 대한 조치
    • 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
    • 그 밖에 이동형 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항
  22. 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항(권장)
  23. 개인정보 처리방침의 변경에 관한 사항
    • 변경 및 시행 시기
    • 변경된 내용
    • 변경 이력
      정보주체가 이전 버전을 비교할 수 있도록 하거나, 변경의 주요 내용을 별도로 안내하는 등의 방식으로 변경 사항을 알리는 것을 권장함
  24. 표준지침 제19조(개인정보 처리방침의 기재사항)제16호 개인정보의 열람청구를 접수ㆍ처리하는 부서
  25. 표준지침 제61조(개인정보파일 현황 공개 및 방법)제1항 공공기관의 개인정보 보호책임자는 개인정보파일의 보유ㆍ파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 포함하여 관리해야 한다.(해당시)

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다