개인정보보호 관리체계
(ISMS-P)
3.2.1. 개인정보 현황관리
수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다.
1. 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?
상세 기준 ▶
- 개인정보처리재정보통신서비스 제공재는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거(동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리해야 함
- 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함
2. 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가?
상세 기준 ▶
- 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록
- 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개안정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록
- 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회 규칙을 따름
- 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨
: 개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)
① 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
② 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
③ 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
④ 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
⑤ 다른 법령에 따라 비밀로 분류된 개인정보파일
⑥ 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
⑦ 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
⑧ 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 알시적으로 처리되는 개인정보파일
⑨ 영상정보처리기기를 통하여 처리되는 개인영상 정보파일
⑩ 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보 파일
⑪ 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일
3. 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가?
상세 기준 ▶
- 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)
- 개인정보위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호 종합포털, www.privacy.go.kr)
운영 내역(증적) 예시
- 개인정보 현황표, 개인정보 흐름표/흐름도
- 개인정보파일 등록 현황
- 개인정보파일 관리대장
- 개인정보 처리방침
** 인증심사 결함사항 예시 **
- 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우
- 신규 개인정보파일을 구축한지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호위원회에 등록하지 않은 경우
- 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
3.2.2. 개인정보 품질보장
수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성·완전성·최신성이 보장되도록 정보주체(이용자)에게 관리절차를 제공하여야 한다.
1. 수집된 개인정보는 내부 절차에 따라 안전하게 처리하도록 관리하며 최신의 상태로 정확하게 유지하고 있는가?
상세 기준 ▶
- 접근통제, 암호화, 악성프로그램 방지 등 개인정보의 안전한 처리 및 관리를 위한 조치 적용
- 외부자 해킹, 내부자 권한 오·남용, 재난·재해 등에 의해 불법적인 개인정보 변경, 손상 등이 발생하 더라도 개인정보의 정확성, 완전성을 확보할 수 있도록 백업·복구 등의 체계 구축 및 이행
2. 정보주체(이용자)가 개인정보의 정확성, 완전성 및 최신성을 유지할 수 있는 방법을 제공하고 있는가?
상세 기준 ▶
- 홈페이지를 통한 개인정보 수정이 주기적으로 이루어질 수 있도록 공지
- 개인정보 등록 현황을 쉽게 조회하고 변경할 수 있도록 다양한 방법 제공(온라인, 오프라인 등)
- 개인정보 변경 시 안전한 본인확인 절차 마련 및 시행
- 장기 미접속에 따른 휴면 회원인 경우 휴면회원 해제 시 회원정보 업데이트 절차 마련
- 정보주체가 수집 및 처리되는 개인정보의 현황을 쉽게 알 수 있도록 개인정보 처리방침의 변경과 이력관련 내용을 쉽게 인지할 수 있도록 게시
운영 내역(증적) 예시
- 정보주체(이용자) 개인정보 변경 양식(온라인, 오프라인)
** 인증심사 결함사항 예시 **
- 인터넷 홈페이지를 통하여 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의 통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우
- 온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우
3.2.3. 개인정보 표시제한 및 이용 시 보호조치
개인정보의 조회 및 출력(인쇄, 화면표시, 파일생성 등) 시 용도를 특정하고 용도에 따라 출력 항목 최소화, 개인정보 표시제한, 출력물 보호조치 등을 수행하여야 한다. 또한 빅데이터 분석, 테스트 등 데이터 처리 과정에서 개인정보가 과도하게 이용되지 않도록 업무상 반드시 필요하지 않은 개인정보는 삭제하거나 또는 식별할 수 없도록 조치하여야 한다.
1. 개인정보의 조회 및 출력(인쇄, 화면표시, 파일생성 등) 시 용도를 특정하고 용도에 따라 출력항목을 최소화하고 있는가?
상세 기준 ▶
- 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보를 출력
- 오피스(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치
- 웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등
2. 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보 보호를 위하여 불필요한 개인정보를 마스킹하여 표시제한 조치를 취하고 개인정보 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?
상세 기준 ▶
- 개인정보 표시제한 조치 기준 예시
① 이름의 첫 번째 글자 이상
② 생년월일
③ 전화번호, 휴대폰 전화의 국번
④ 주소의 읍, 면, 동
⑤ 인터넷 주소 : 17-24비트(Ver.4), 113-128비트(Ver.6) 등
※ 개인정보 표시제한 조치 적용(예시
- 이름 : 홍*동
- 연락처 : 010-****-1234
- 주소 : 서울시 영등포구 영등포로3길 ****
- 카드번호 : 4558-12**-****-3872
- IP주소 : 123.123.***.123
- 이메일주소 : ma******@abcd.com
3. 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력‧복사물을 안전하게 관리하기 위하여 필요한 보호조치를 하고 있는가?
상세 기준 ▶
※ 출력·복사물 보호조치(예시)
- 출력·복사물 보호 및 관리 정책, 규정, 지침 등 마련
- 출력·복사물 생산·관리 대장 마련 및 기록
- 출력·복사물 운영·관리 부서 지정 및 운영
- 출력·복사물 외부반출 및 재생산 통제·신고·제한 등
- 복합기 보안, 출력물 워터마크 등 출력·복사물 보안기술 적용 등
4. 개인정보 검색 시 불필요하거나 과도한 정보가 조회되지 않도록 일치검색 또는 두 가지 항목 이상의 검색조건을 요구하고 있는가?
상세 기준 ▶
- 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치
5. 개인정보를 가명처리하여 이용‧제공 시 추가 정보의 사용‧결합 없이 개인을 알아볼 수 없도록 적절한 방법으로 가명처리를 수행하고 있으며, 이에 대한 적정성을 평가하고 있는가? 또한, 다른 개인정보처리자 간의 가명정보 결합은 국가에서 지정한 전문기관을 통하고 있는가?
상세 기준 ▶
- 가명정보'란 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보로서 통계 작성, 과학적 연구, 공익적 기록보존 등 3가지 목적에 한하여 정보주체의 동의 없이 이용·제공 가능
- 처리 목적 및 이용환경, 데이터 특성 등을 고려하여 적정한 수준으로의 가명처리를 보장하기 위한 가명처리 절차 수립 및 이행
※ 가명처리 절차 예시(가명정보 처리 가이드라인)
① (사전준비) 목적 설정 및 가명처리 대상 정보 확보
② (가명처리) 처리 상황에 따른 수준정의 및 처리 : 대상선정 → 위험성 검토 → 가명처리 방법 및 수준정의 → 가명처리
③ (적정성 검토 및 추가 가명처리) 목적달성을 위하여 적절한 수준으로 가명처리가 이루어졌는지, 재식별 가능성은 없는지 등에 대한 최종적인 판단 절차 수행
④ (사후관리) 적정성 검토 결과 가명처리가 적정하다고 판단되면 가명정보를 본래 활용 목적을 위하여 처리할 수 있으며, 법령에 따라 기술적·관리적·물리적 안전조치를 이행
- 서로 다른 개인정보처리자가 보유한 가명정보를 결합하여 활용하고자 하는 경우에는 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정한 결합전문기관을 통하여 수행
: 결합전문기관 현황 : 가명정보결합종합지원시스템 참고(link.privacy.go.kr)
: 금융회사가 보유한 정보집합물과 결합 시에는 신용정보법에 따른 데이터전문기관을 통하여 수행
- 개인정보를 익명처리하는 경우에는 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 수준으로 익명처리가 수행될 수 있도록 익명처리 절차 수립 및 이행
6. 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관‧관리하는 등 안전성 확보에 필요한 기술적‧관리적 및 물리적 조치를 하고 있는가? 또한, 가명정보의 처리내용을 관리하기 위하여 관련 기록을 작성‧보관하고 있는가?
상세 기준 ▶
- (관리적 보호조치) 가명정보 및 추가 정보를 안전하게 관리하기 위한 내부관리계획의 수립·시행, 가명정보 처리업무 수탁자에 대한 관리·감독, 가명정보 처리업무 위탁 및 제3자 제공 시 계약서 상 재식별 금지 등의 조항 포함, 가명정보 처리와 관련된 개인정보 처리방침의 수립 및 공개, 가명정보 보호에 관한 교육 등의 조치
- (기술적 보호조치) 추가 정보의 분리보관 또는 삭제, 가명정보 및 추가 정보에 대한 접근권한의 분리, 가명정보 처리 관련 기록의 작성·보관 등의 조치
※ 가명정보 처리 관련 기록에 포함되어야 할 사항(개인정보 보호법 시행령 제29조의5 제2항)
: 가명정보의 처리목적
: 가명처리한 개인정보의 항목
: 가명정보의 이용내역
: 제3자 제공 시 제공받는 자 등
- (물리적 보호조치) 가명정보 또는 추가 정보를 전산실이나 자료보관실에 보관하는 경우 비인가자의 접근으로부터 보호하기 위하여 출입 통제 등의 절차 수립·이행 등
- (기타 보호조치) 가명정보도 개인정보에 해당되므로 개인정보 보호법 제29조에 따른 개인정보의 안전성 확보조치 기준 이행, 특정 개인을 알아보기 위한 목적으로의 가명처리 금지 등
- (재식별 모니터링 등) 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우 즉시 해당 정보의 처리를 중지하고 지체 없이 회수·파기 조치 등
운영 내역(증적) 예시
- 개인정보처리시스템의 개인정보 조회, 검색 화면
- 개인정보 마스킹 표준
- 개인정보 마스킹 적용 화면
- 출력·복사물 보호조치 현황
- 가명처리·익명처리 적정성 평가 절차 및 결과
- 가명정보 처리 기록
- 개인정보 처리방침(가명정보 이용·제공에 관한 사항) 등
** 인증심사 결함사항 예시 **
- 개인정보처리시스템의 화면 상에서는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우
- 개인정보 표시제한 조치 표준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면 별로 서로 다른 마스킹 기준이 적용된 경우
- 개인정보 검색 화면에서 전체적으로 like 검색이 허용되어 성씨만으로도 불필요하게 과도한 개인정보가 조회되는 경우
- 개인정보를 가명처리하여 활용하고 있으나 적정한 수준의 가명처리가 수행되지 않아 추가 정보의 사용 없이도 다른 정보와의 결합 등을 통하여 특정개인을 알아볼 수 있는 가능성이 존재하는 경우
- 테스트 데이터 생성, 외부 공개 등을 위하여 개인정보를 익명처리하였으나, 특이치 등으로 인하여 특정 개인에 대한 식별가능성이 존재하는 등 익명처리가 적정하게 수행되었다고 보기 어려운 경우
- 통계작성 및 과학적 연구를 위하여 정보주체 동의 없이 가명정보를 처리하면서 가명정보 처리에 관한 기록을 남기고 있지 않거나, 또는 개인정보 처리방침에 관련 사항을 공개하지 않은 경우
- 가명정보와 동일한 데이터베이스 내에 추가 정보를 분리하지 않고 보관하고 있거나, 또는 가명정보와 추가 정보에 대한 접근권한이 적절히 분리되지 않은 경우
3.2.4. 이용자 단말기 접근 보호
정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다.
1. 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가?
상세 기준 ▶
※ 이동통신단말장치의 범위
- 스마트폰 및 이동통신이 가능한 태블릿 PC에 적용
- 2G 이동통신 단말장치의 경우, 사실상 앱이 동작할 수 있는 환경이 아니므로 대상에서 제외
- 이동통신망을 이용하지 않고 단순히 블루투스, 와이파이, 테더링 등의 기능만 수행하는 기기는 적용대상에서 제외
- 스마트워치는 화면 크기 제약 등으로 인해 접근권한에 대한 고지·동의 기능을 당장 구현하기 어려운 점을 고려하여, 우선 필수적 접근권한만 설정하도록 권장(다만 고지·동의 기능이 구현된 기기가 제조된 이후부터는 스마트폰 및 태블릿 PC와 동일하게 적용)
- 앱이 스마트폰 내 저장되어 있는 정보와 설치된 기능에 접근할 수 있는 권한을 서비스에 필요한 범위 내로 최소화해야 함
- 접근권한에 대한 동의를 받기 전에 해당 서비스 제공을 위하여 반드시 필요한 접근권한(이하 ‘필수적 접근권한')과 반드시 필요한 접근권한이 아닌 접근권한(이하 ‘선택적 접근권한')을 구분하여 접근권한이 필요한 항목 및 그 이유 등을 정보주체(이용자)에게 알기 쉽게 고지한 후, 정보주체(이용자)로부터 필수적·선택적 접근권한에 대한 동의를 각각 받아야 함
: (필수적 접근권한인 경우) ①접근권한이 필요한 정보 및 기능의 항목, ②해당 정보 및 기능에 접근 이 필요한 이유를 알려야 함
: (선택적 접근권한인 경우) 상기 ①, ②와 함께 ③접근권한 허용에 동의하지 않을 수 있다는 사실을 알려야 함
2. 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가?
상세 기준 ▶
- 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않아야 한다.
3. 이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회방법을 마련하고 있는가?
상세 기준 ▶
- (개별 동의 선택이 가능한 방식의 운영체제, 안드로이드 6.0 이상 및 아이폰) 정보주체(이용자)는 접근권한에 이미 동의한 경우일지라도 해당 운영체제에서 제공하는 앱별 접근권한별 동의 철회 기능을 사용하여 각 앱에 대한 접근권한을 재설정할 수 있음
- (개별 동의 선택이 불가능한 방식의 운영체제) 접근권한별 거부 기능이 구현되지 않아 원칙적으로 필수적 접근권한만 설정하도록 하였기 때문에 정보주체(이용자)가 이러한 필수적 접근권한에 대한 동의를 철회하고자 한다면 이미 설치한 앱을 삭제하면 됨. 단 이러한 운영체제임에도 불구하고 앱 자체적으로 선택적 접근권한을 설정하여 이에 대한 동의여부를 선택할 수 있는 기능을 구현한 경우라면 해당 앱에서 제공하는 동의 철회 기능을 사용하여 접근 권한을 재설정할 수 있음
※ 상세한 내용은 ‘스마트폰 앱 접근권한 개인정보 보호 안내서’ 참고
운영 내역(증적) 예시
- 앱 접근권한 동의 화면
- 앱 접근권한 설정 현황
** 인증심사 결함사항 예시 **
- 정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내 저장되어 있는 정보 및 설치된 기능에 접근하면서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우
- 스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인정보 영역에 접근할 수 있는 권한을 과도하게 설정한 경우
- 스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우
- 접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서 선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대하여 거부할 수 없도록 하고 있는 경우
3.2.5. 개인정보 목적 외 이용 및 제공
개인정보는 수집 시의 정보주체(이용자)에게 고지·동의를 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용·제공하려는 때에는 정보주체(이용자)의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립·이행하여야 한다.
1. 개인정보는 최초 수집 시 정보주체(이용자)로부터 동의 받은 목적 또는 법령에 근거한 범위 내에서만 이용‧제공하고 있는가?
상세 기준 ▶
- 개인정보는 최초 수집 시 정보주체(이용자)로부터 동의 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 한다.
2. 개인정보를 수집 목적 또는 범위를 초과하여 이용하거나 제공하는 경우 정보주체(이용자)로부터 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가?
상세 기준 ▶
- 개인정보를 목적 외의 용도로 이용·제공 가능한 경우(다만 정보통신서비스 제공자는 제1호, 제2호의 경우로 한정)
① 정보주체(이용자)로부터 별도의 동의를 받는 경우(공공기관, 공공기간 외)
② 다른 법률에 특별한 규정이 있는 경우(공공기관, 공공기간 외)
③ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우(공공기관, 공공기간 외)
④ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보보호위원회의 심의·의결을 거친 경우(공공기관)
⑤ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우(공공기관)
⑥ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(공공기관)
⑦ 법원의 재판업무 수행을 위하여 필요한 경우(공공기관)
⑧ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우(공공기관)
- 개인정보를 목적 외 용도로 이용·제공하기 위하여 동의를 받을 경우 고지사항
① 개인정보를 제공받는 자
② 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용목적)
③ 이용 또는 제공하는 개인정보의 항목
④ 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용기간)
⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에 그 불이익의 내용
3. 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적‧방법 등을 제한하거나 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하고 있는가?
상세 기준 ▶
- 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한
- 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자 문서 포함)로 요청
- 해당 개인정보를 받는 자와 개인정보의 안전성 확보조치에 관한 책임관계 명확화
4. 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가?
상세 기준 ▶
- 목적 외 이용·제공 시 관보 또는 인터넷 홈페이지에 게재하지 않아도 되는 경우(예외 사항)
① 정보주체(이용자)의 동의를 근거로 목적 외 이용·제공 시
② 범죄의 수사와 공소의 제기 및 유지를 위하여 목적 외 이용·제공 시
- 관보 또는 인터넷 홈페이지 게재 사항
① 목적 외 이용 등을 한 날짜
② 목적 외 이용 등의 법적 근거
③ 목적 외 이용 등의 목적
④ 목적 외 이용 등을 한 개인정보의 항목
- 관보 또는 인터넷 홈페이지 게재 시점 및 기간
① 게재 시점 : 목적 외 이용·제공 한 날로부터 30일 이내
② 게재 기간 : 인터넷 홈페이지에 게재하는 경우 10일 이상
5. 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록∙관리하고 있는가?
상세 기준 ▶
- '개인정보 목적 외 이용 및 제3자 제공대장'에 기록·관리해야 하는 사항
① 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
② 이용기관 또는 제공받는 기관의 명칭
③ 이용 목적 또는 제공받는 목적
④ 이용 또는 제공의 법적 근거
⑤ 이용하거나 제공하는 개인정보의 항목
⑥ 이용 또는 제공의 날짜, 주기 또는 기간
⑦ 이용하거나 제공하는 형태
⑧ 개인정보 보호를 위하여 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용
※ 「개인정보 처리 방법에 관한 고시」별지 1호 서식 이용
운영 내역(증적) 예시
- 개인정보 목적 외 이용 및 제3자 제공 내역(요청서 등 관련 증적 포함)
- 개인정보 목적 외 이용 및 제3자 제공 대장(공공기관인 경우)
- 홈페이지 또는 관보 게재 내역(공공기관인 경우)
** 인증심사 결함사항 예시 **
- 상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사 상품의 통신판매 광고에 이용한 경우
- 고객 만족도 조사, 경품 행사에 응모하기 위하여 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송에 이용한 경우
- 공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우
- 공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ‘개인정보 목적 외 이용 및 제3자 제공 대장'에 관련 사항을 기록하지 않은 경우