3.5.1. 개인정보처리방침 공개

개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.

 

1. 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가? (개정 23.11.23.) 

상세 기준

  - ‘개인정보 처리방침’이라는 표준화된 명칭을 사용하여야 함

  - 인터넷 홈페이지 첫 화면에 공개하는 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시

  - 인터넷 홈페이지를 운영하지 않는 경우에는 법령에서 정한 다른 방법을 통하여 개인정보 처리방침 공개 가능

    ※ 개인정보 처리방침을 공개하는 방법 인터넷 홈페이지에 게재할 수 없는 경우 개인정보 처리방침 공개 방법(시행령 제31조제3항) (개정 23.11.23.)

      - 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면을 통하여 지속적으로 게재[이 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시]

      - 점포, 사무소 등 사업장 내의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법

      - 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법

      - 관보(공공기관인 경우만 해당)나 시·도 이상의 지역을 주된 보급지역으로 하는 일반 일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법

      - 같은 제목으로 연 2회 이상 발행하는 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법

      - 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

  - 다만 개인정보 보호법에 따른 예외사항에 해당되는 경우 개인정보 처리방침을 공개하지 않을 수 있음

    ※ 개인정보 처리방침 등록이 면제되는 개인정보파일(공공기관)

      ① 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

      ② 범죄의 수사, 공소의 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일

      ③ 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일

      ④ 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일

      ⑤ 다른 법령에 따라 비밀로 분류된 개인정보파일

 

2. 개인정보 처리방침은 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성하고 있는가? (개정 23.11.23.)

상세 기준

  - 개인정보 처리방침에 포함하여야 할 필수 사항(개인정보 보호법 제30조, 제31조 참고)

    ① 개인정보의 처리 목적

    ② 개인정보의 처리 및 보유 기간

    ③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.)

    ④ 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다.)

    ⑤ 법 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다.)

    개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.)

    ⑦ 법 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다.) 

      정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항

    ⑨  제31조에 따른 개인정보 보호책임자의 이름 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

      인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당되는 경우에만 정한다.)

    ⑪ 처리하는 개인정보의 항목

    시행령 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항

  - 개인정보 처리방침에 포함하여야 할 기타 기재사항(표준 개인정보 보호지침 제19조)

    1. 법 제28조의8제1항제3호에 따라 개인정보를 처리위탁·보관하기 위하여 국외이전이 필요한 경우 법 제28조의8제2항 각 호의 사항(해당하는 경우에만 정한다)

    2. 개인정보 처리방침의 변경에 관한 사항

    3. 법 제31조의2제1항에 따라 국내대리인을 지정하는 경우 국내대리인의 성명, 주소, 전화번호 및 전자우편 주소(해당하는 경우에만 정한다)

    4. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항

    5. 개인정보의 열람청구를 접수·처리하는 부서

    6. 정보주체의 권익침해에 대한 구제방법

  - 정보주체(이용자) 동의 없이 개인정보를 수집하거나 제공한 경우 그 근거가 된 법령 및 조항 등 예외 사유를 개인정보 처리방침에 공개

  - 개인정보의 처리목적, 처리하는 개인정보의 항목, 제3자 제공에 관한 사항 등 개인정보 처리방침의 내용은 실제 개인정보 처리현황과 일치하여야 하며, 서비스 및 정보주체의 특성 등을 반영하여 알기 쉬운 용어로 구체적이고 명확하게 작성

   1. 개인정보 처리 근거, 정보주체의 권리 보장 등 법에서 개인정보 처리방침에 포함하도록 규정하고 있는 사항을 구체적이고 적정하게 수립

   2. 개인정보 처리방침을 명확하고 알기 쉬운 언어로 정보주체가 이해하기 쉽게 수립

  - 개인정보 보호법에 따른 예외사항에 해당되는 경우 개인정보 처리방침을 수립하지 않을 수 있음

    : 개인정보 처리방침 수립이 면제되는 개인정보파일(공공기관)

     1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

     2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일

     3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일

     4. 일회성으로 운영되는 파일 등 지속적으로 관리할 필요가 낮다고 인정되어 대통령령으로 정하는개인정보파일

      · 회의 참석 수당 지급, 자료·물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보 파일로서 지속적 관리 필요성이 낮은 개인정보파일

      · 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일

      · 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일

   5. 다른 법령에 따라 비밀로 분류된 개인정보파일

(개정 23.11.23.)

 

3. 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?

상세 기준

  - 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개

    ※ 개인정보 처리방침의 변경이유 및 내용을 공지하는 방법(예시)

      - 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법

      - 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법

      - 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법

 

    운영 내역(증적) 예시

 

  • 개인정보 처리방침
  • 개인정보 처리방침 개정 관련 공지 내역(게시판 등)

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.) 

 

  1. 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우
  2. 개인정보 처리방침이 공개는 되어 있으나, 명칭이 '개인정보 처리방침이 아니라 ‘개인정보 보호정책’으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우
  3. 전자상거래법, 상법 등 다른 법령에 따라 개인정보를 파기하지 아니하고 일정기간 보관하고 있으나, 이에 따른 보존근거와 보존하는 개인정보 항목을 개인정보 처리방침에 공개하지 않은 경우 (개정 23.11.23.)
  4. 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우
  5. 개인정보 처리방침이 수차례 개정되었으나 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우

  6. (CELA)개인정보 처리방침 내 개인정보 항목 또는 목적을 구체적으로 명시하지 않고 '~등'과 같이 포괄적으로 명시한 경우

  7. (CELA)개인정보 처리방침이 변경되는 경우 변경된 사항에 대한 공지를 하지 않은 경우

  8. (CELA)개인정보 처리방침 내 연결된 URL이 현황에 맞지 않는 경우

  9. (CELA) 개인정보 처리방침 내용이 운영현황과 다르거나 법적인 준수 요건을 반영하지 않은 경우


3.5.2. 정보주체 권리보장

정보주체(이용자)가 개인정보의 열람, 정정·삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법·절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립·이행하고, 정보주체(이용자)의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립·이행하여야 한다.

 

1. 정보주체 또는 그 대리인이 개인정보에 대한 열람, 정정·삭제, 처리정지 및 동의 철회 등(이하 '열람등요구'라 함)을 개인정보 수집방법·절차보다 어렵지 아니하도록 권리 행사 방법 및 절차를 마련하여 공개하고 있는가?

상세 기준

 - 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 쉽게 알 수 있도록 공개하여야 함  

 - 정보주체의 권리행사 방법 및 절차는 최소한 개인정보 수집절차 또는 회원가입 절차 보다 쉽고 편리하여야 하며, 개인정보 수집 시 요구하지 않던 증빙서류를 추가로 요구하지 않아야 함

 - 정보주체가 편리하게 선택할 수 있도록 가급적 다양한 권리 행사 방법을 마련하여 제공할 필요가 있음(방문, 서면, 전화, 전자우편, 인터넷 웹사이트 등)

   열람 요구·방법 절차 마련 시 준수사항(개인정보 보호법 시행령 제41조제2항)

   1. 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것

   2. 개인정보를 수집한 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가 있는 경우를 제외하고는 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 할 것

   3. 인터넷 홈페이지를 운영하는 개인정보처리자는 홈페이지에 열람 요구 방법과 절차를 공개할 것

    ※ 방법과 절차 마련 시 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 아니하도록 하여야 함

 - 열람등요구를 한 자가 본인이거나 정당한 대리인인지 확인하여야 하며, 확인 방법은 합리적인 수단 이라고 객관적으로 인정되는 방식이어야 함(전자서명, 아이핀, 신분증 확인 등)

   대리인의 범위(개인정보 보호법 시행령 제45조)

   1. 정보주체의 법정대리인

   2. 정보주체로부터 위임을 받은 자(정보주체로부터 위임계약 등에 기하여 대리권을 수여받은 임의대리인)

 - 개인정보처리자가 공공기관인 경우 「전자정부법」에 따른 행정정보의 공동 이용을 통하여 신분확 인이 가능하면 행정정보의 공동이용을 통하여 확인해야 함

 - 열람등요구를 한 자에게 관련 업무 수행에 필요한 실비의 범위에서 수수료와 우송료를 청구할 수 있으나, 열람등요구를 하게 된 사유가 해당 개인정보처리자에게 있는 경우에는 수수료와 우송료를 청구할 수 없음

 

2. 정보주체 또는 그 대리인이 개인정보 열람 요구를 하는 경우 기간 내에 열람 요구에 따른 필요한 조치를 하고 있는가?

상세 기준

  - 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대해 다음 사항의 열람을 요구할 수 있음

   열람 요구 사항(개인정보 보호법 시행령 제41조제1항)

   1. 개인정보의 항목 및 내용

   2. 개인정보의 수집·이용의 목적

   3. 개인정보 보유 및 이용 기간

   4. 개인정보의 제3자 제공 현황

   5. 개인정보 처리에 동의한 사실 및 내용

 - 10일 이내에 열람할 수 없는 정당한 사유가 있는 경우 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 개인정보 열람을 연기한 후 그 사유가 소멸하였을 경우 연기사유가 소멸된 날로부터 10일 이내에 열람하도록 하여야 함

 - 개인정보 열람 제한 및 거절의 사유가 있는 경우 정보주체에게 그 사유를 알리고 열람을 제한 또는 거절할 수 있음

  정보주체의 열람요구를 제한·거절할 수 있는 사유(개인정보 보호법 제35조제4항)

  1. 법률에 따라 열람이 금지되거나 제한되는 경우

  2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

  3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

   가. 조세의 부과·징수 또는 환급에 관한 업무

   나. 「초등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무

   다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무

   라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

   마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

 - 열람 요구사항 중 일부가 열람 제한 및 거절의 사유가 있는 경우에는 그 일부에 대하여 열람을 제한 할 수 있으며, 열람이 제한되는 사항을 제외한 부분에 대해서는 열람할 수 있도록 해야 함

 

3. 법적 의무 대상자에 해당하는 경우 정보주체 또는 대리인으로부터 개인정보 전송 요구에 대응하기 위한 절차와 방안을 수립·이행하고 있는가? (개정 23.11.23.)

상세 기준

 - 정보주체의 개인정보 전송 요구를 이행해야 할 법적 의무대상자(정보전송자)

  1. 정보주체 자신에게로 전송할 것을 요구

       ·법적 의무대상자 : 개인정보 처리 능력을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자(개인정보 보호법 제35조의2제1항)

  2. 다른 개인정보처리자에게 전송할 것을 요구(단, 기술적으로 허용되는 합리적인 범위 내)

       ·매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자(개인정보 보호법 제35조의2제2항)

 - 전송 요구를 할 수 있는 정보(아래의 요건을 모두 충족하는 개인정보)

  : 전송을 요구할 수 있는 정보의 요건

   1. 정보주체가 전송을 요구하는 정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것

    가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보

    나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보

    다. 제15조제1항제2호, 같은 항 제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의·의결하여 전송 요구의 대상으로 지정한 개인정보

   2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생성한 정보가 아닐 것

   3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것

 - 전송 요구에 따른 개인정보를 전송받을 수 있는 개인정보처리자 요건(정보수신자)

  : 정보수신자 요건

   1. 개인정보 보호법 제35조의3제1항에 따른 개인정보관리 전문기관

   2. 개인정보 보호법 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술기준을 충족하는 자

   ※ 개인정보 전송 요구권과 관련된 개인정보 보호법 제35조의2의 개정 규정은 공포(2023.3.14) 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 대통령령으로 정하는 날 시행

(개정 23.11.23.) 

 

4. 정보주체 또는 그 대리인이 개인정보 정정·삭제 요구를 하는 경우 기간 내에 정정·삭제 요구에 따른 필요한 조치를 하고 있는가?

상세 기준

 - 정보주체 또는 그 대리인으로부터 개인정보의 정정·삭제를 요구받은 경우 정보주체의 요구가 정당하다고 판단되면 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 해당 개인정보의 정정·삭제 등의 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

  : 개인정보 정정·삭제 요구를 받은 날부터 10일 이내에 조치 결과 회신

  : 외부위탁 또는 제3자에게 제공한 개인정보에 대한 정정요청 및 동의 철회 시에는 수탁자 또는 제3자에게 연락하여 조치 요청

  : 다른 법령에 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제 요구를 거절할 수 있으며, 이 경우 요구에 따르지 않기로 한 사실, 근거 법령의 내용 및 그 이유와 이의제기 방법을 개인정보 정정·삭제통지서로 해당 정보주체에게 정정·삭제 요구를 받은 날로부터 10일 이내에 알려야 함(전자상거래법에 따른 계약·청약 철회 기록 등)

 

5. 정보주체 또는 그 대리인이 개인정보 처리정지 요구를 하는 경우 기간 내에 처리정지 요구에 따른 필요한 조치를 하고 있는가?

상세 기준

 - 정보주체 또는 그 대리인으로부터 개인정보의 처리정지 요구를 받은 경우 특별한 사유가 없는 한 지체 없이 처리의 전부 또는 일부를 정지하고 그 결과를 정보주체에게 알려야 한다.

  : 개인정보 처리정지 요구를 받은 날부터 10일 이내에 조치 결과 회신

  : 개인정보의 처리정지를 거절할 수 있는 사유가 있는 경우 관련 사실을 처리정지 요구자에게 요구를 받은 날로부터 10일 이내에 알려야 함

    처리정지 요구 거부 사유(개인정보 보호법 제37조제2항)

    1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

    2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

    3. 공공기관이 개인정보를 처리하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

    4. 개인정보를 처리하지 않으면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우

 

6. 정보주체 또는 그 대리인이 개인정보 수집·이용·제공 등의 동의를 철회하는 경우 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하고 있는가?

상세 기준

 ※ 정보주체 동의철회 시 조치(예시)

  · 해당 정보주체와 관련된 개인정보의 지체 없는 파기

  · 다른 법령에 따라 보존의무가 부여된 경우 해당 법령에 따른 기간 동안 분리하여 보관

  · 제3자 제공 동의에 대한 철회인 경우 더 이상 제3자에게 개인정보를 제공하지 않도록 조치

  · 홍보, 마케팅 등을 위한 문자, 이메일 등이 더 이상 발송되지 않도록 조치 등

 

7. 정보주체 또는 대리인이 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함)으로 개인정보를 처리하여 이루어지는 결정(이하 ʻ자동화된 결정ʼ이라 함)을 거부하거나 설명 등을 요구한 경우 필요한 조치를 취하고 있는가? (개정 23.11.23.)

상세 기준

 - 정보주체 또는 대리인이 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함)으로 개인정보를 처리하여 이루어지는 결정(이하 ʻ자동화된 결정ʼ이라 함)을 거부하거나 설명 등을 요구한 경우 필요한 조치를 취하여야 한다.

  : 정보주체는 자동화된 결정을 거부하거나 설명 등을 요구할 권리를 가짐

      ·자동화된 결정에 대한 정보주체의 권리(개인정보 보호법 제37조의2)

        ① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가진다. 다만, 자동화된 결정이 제15조제1항제1호·제2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.

        ② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있다.

 - 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 이행할 수 있도록 관련 절차를 수립·이행

 - 자동화된 결정을 하는 경우, 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개

  ※ 자동화된 결정에 대한 거부 및 설명 요구 등과 관련된 개인정보 보호법 제37조의2의 개정 규정은 공포 후 1년이 경과한 날부터 시행(2024.3.15. 시행)

 - 정보주체의 열람등요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하여야 한다.

  : 이 경우 이의제기 절차는 공정하게 운영될 수 있도록 외부전문가를 참여시키거나 내부의 견제장치 마련 필요

(개정 23.11.23.)

 

8. 정보주체의 열람등요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하고 있는가?

상세 기준

 - 이 경우 이의제기 절차는 공정하게 운영될 수 있도록 외부전문가를 참여시키거나 내부의 견제장치 마련 필요

 

9. 정보주체의 열람등요구 및 처리 결과에 대하여 기록을 남기고 있는가?

상세 기준

 - 정보주체의 열람등요구를 접수하고 처리한 결과를 정기적으로 검토하여 정보주체 권리보장이 적절히 이루어지고 있는지 확인하고 필요시 보완 조치

 

10. 정보통신망에서 사생활 침해 또는 명예훼손 등 타인의 권리를 침해한 경우 침해를 받은 자가 정보통신서비스 제공자에게 정보의 삭제 요청 등을 할 수 있는 절차를 마련하여 시행하고 있는가?

상세 기준

 - 정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 사생활 침해나 명예훼손 등 타인의 권리가 침해된 경우, 침해를 받은 자는 해당 정보를 처리한 정보통신서비스 제공자에게 침해사실을 소명하여 그 정보의 삭제 또는 반박 내용의 게재를 요청할 수 있어야 함

 - 타인의 권리가 침해된 경우 정보통신서비스 제공자가 해당 정보의 삭제 등을 요청받으면 지체 없이 삭제·임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보 게재자에게 알려야 함

 - 타인의 권리가 침해된 경우에 대한 구제절차 등 필요한 조치에 관한 내용·절차 등을 미리 약관에 구체적으로 밝혀야 함

 - 개인정보처리자는 고유식별정보, 계좌정보, 신용카드정보 등 개인정보가 정보통신망을 통하여 공중(公衆)에 노출되지 아니하도록 하여야 하며, 공중에 노출된 개인정보에 대하여 개인정보 보호위원회 또는 한국인터넷진흥원의 요청이 있는 경우에는 해당 정보를 삭제하거나 차단하는 등 필요한 조치를 하여야 함 (개정 23.11.23.)

 

    운영 내역(증적) 예시 (개정 23.11.23.) 

 

  • 개인정보 처리방침
  • 열람, 정정·삭제, 처리정지 요구 처리 절차, 관련 양식
  • 개인정보 열람 신청서 (개정 23.11.23.)
  • 개인정보 열람 요구 시 조치 내역
  • 개인정보 정정·삭제, 처리정지 신청양식(개인정보 정정·삭제 요구서 등)  (개정 23.11.23.) 
  • 개인정보 정정·삭제, 처리정지 요구 시 조치 내역(개인정보 정정·삭제 통지서 등)  (개정 23.11.23.) 
  • 회원 탈퇴 및 동의 철회 절차 (개정 23.11.23.) 

 

    ** 인증심사 결함사항 예시 ** 

 

  1. 개인정보의 열람, 정정·삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우
  2. 정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어 지는 경우
  3. 회원 가입 시에는 온라인을 통해 쉽게 회원 가입이 가능하였으나, 회원 탈퇴 시에는 신분증 등 추가 서류를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우
  4. 개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과하여 회신하고 있는 경우
  5. 개인정보의 정정·삭제 요구에 대하여 정정·삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하고 있는 경우
  6. 개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우

  7. (CELA)서비스 중인 앱에서 회원 탈퇴 기능이 구현되지 않아 개인정보 수집·이용 동의 철회에 대한 정보주체의 권리가 미흡한 경우


3.5.3. 이용내역정보주체에 대한 통지 (개정 23.11.23.)

개인정보의 이용내역 등 정보주체(이용자)에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다.

 

1. 법적 의무 대상자에 해당하는 경우 개인정보 이용내역을 주기적으로 정보주체에게 통지하고 그 기록을 남기고 있는가? (개정 23.11.23.)

상세 기준

  - 대상: 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다.) 매출액이 100억 원 이상인 정보통신서비스 제공자 등

  - 통지 주기: 연 1회 이상

  - 통지 방법: 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법

  - 통지 예외: 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우

  -  개인정보 이용·제공 내역 통지 관련 법적 요구사항

   : 통지 의무 대상자

    1. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자

    2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

     ※ 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균을 기준으로 산정(단, 2024년 1월 1일부터 시행)

   : 통지 방법

    1. 서면·전자우편·전화·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법

    2. 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법(법 제20조의2제1항에 따른 개인정보의 이용·제공 내역을 확인할 수 있는정보시스템에 접속하는 방법을 통지하는 경우로 한정한다)

   : 통지 주기

     > 연 1회 이상 

   : 통지 예외

    1. 통지에 대한 거부의사를 표시한 정보주체

    2. 개인정보처리자가 업무수행을 위해 그에 소속된 임직원의 개인정보를 처리한 경우 해당 정보주체

    3. 개인정보처리자가 업무수행을 위해 다른 공공기관, 법인, 단체의 임직원 또는 개인의 연락처 등의 개인정보를 처리한 경우 해당 정보주체

    4. 법률에 특별한 규정이 있거나 법령 상 의무를 준수하기 위하여 이용·제공한 개인정보의 정보주체

    5. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 이용·제공한 개인정보의 정보주체

    ※ 연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집·보유하지 아니한 경우

(개정 23.11.23.)

 

2. 개인정보 이용·제공 내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가?

상세 기준

  - 개인정보 이용내역 통지 항목

    ① 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목

    ② 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목(단, 「통신비밀보호법」제13 조, 제13조의2, 제13조의4 및 「전기통신사업법」제83조제3항에 따라 제공한 정보는 제외)

 

    운영 내역(증적) 예시

 

  • 개인정보 이용내역 통지 기록
  • 개인정보 이용내역 통지 양식 및 문구

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.) 

 

  1. 전년도 정보통신서비스 부문 매출액이 100억원 이상이었으나, 금년도에 개인정보 이용내역을 통지하지 않은 경우 (개정 23.11.23.) 
  2. 전년도 말 기준 직전 3개월 간 일일 평균 저장·관리하고 있는 개인정보가 100만명 이상으로서 개인정보 이용제공 내역 통지 의무 대상자에 해당 됨에도 불구하고 금년도에 개인정보 이용·내역을 통지하지 않은 경우 (개정 23.11.23.)
  3. 개인정보 이용내역을 개별 이용자에게 직접적으로 통지하는 대신 홈페이지에서 팝업창이나 별도 공지사항으로 안내만 한 경우