해당 글은 개인정보 처리방침 작성 지침에 대한 정리 목적으로 작성되었습니다. 직관적인 개인정보 처리방침 작성 가이드를 확인하시려면 '개인정보처리방침 작성 가이드(2025) - v2. 적용 예시' 글에서 함께 확인이 가능합니다.
개인정보보호위원회가 2025년 개인정보처리방침 작성 지침(2025.04.)을 발표하면서 많은 실무자들이 이런 기대를 하셨을 겁니다.
“이제 안내서대로 작성하면 되겠구나.”
하지만 실제 지침을 펼쳐보면 기업마다 환경이 다르다 보니, 무엇을 반영하고 무엇을 제외해야 할지 다시 판단해야 하는 상황이 찾아옵니다.
- 이 목차는 우리 서비스에 해당되지 않긴 하는데, 정말 아예 빼버려도 되는걸까?
- 다른 기업들 대부분이 해당하지 않는 내용도 넣고있는데… 굳이 삭제해야 하나?
- 그렇다고, 해당되지 않는데도 목차가 들어가있으면 오히려 더 큰 혼란을 주게되는것은 아닐까?
아마 많은 실무자분들이 한 번쯤 겪어보셨을 고민일 겁니다.
안내서를 보면 ‘정답이 정리된 것 같다’고 느껴지지만, 막상 우리 기업의 처리방침으로 옮기려 하면 각 항목마다 판단이 모호해지는 경우가 반복됩니다.
이번 글은 바로 그 지점—
“안내서는 자세한데, 우리 회사에 적용하려니 더 헷갈린다” 라는 실무적인 어려움을 조금이나마 풀어보고자 작성했습니다.
2025년 안내서의 핵심을 짚고, 각 문항을 어떤 기준으로 판단하면 좋을지, 그리고 실무에서 자주 헷갈리는 지점을 다시 정리해보려 합니다.
| 1 | 제목 |
| 2 | 개인정보의 처리 목적 |
| 3 | 처리하는 개인정보의 항목 |
| 4 | [해당시] 14세 미만 아동의 개인정보 처리에 관한 사항 |
| 5 | 개인정보의 처리 및 보유 기간 |
| 6 | 개인정보의 파기 절차 및 방법에 관한 사항 |
| 7 | [해당시] 개인정보의 제3자 제공에 관한 사항 |
| 8 | [해당시] 추가적인 이용·제공이 지속적으로 발생 시 판단 기준 |
| 9 | [해당시] 개인정보 처리업무의 위탁에 관한 사항 |
| 10 | [해당시] 개인정보의 국외 수집 및 이전에 관한 사항 |
| 11 | 개인정보의 안전성 확보조치에 관한 사항 |
| 12 | [해당시] 민감정보의 공개 가능성 및 비공개를 선택하는 방법 |
| 13 | [해당시] 가명정보 처리에 관한 사항 |
| 14 | [해당시] 개인정보 자동 수집 장치의 설치·운영 및 그 거부에 관한 사항 |
| 15 | [해당시] 행태정보의 수집·이용·제공 및 거부 등에 관한 사항 |
| 16 | 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항 |
| 17 | [해당시] 자동화된 결정에 관한 사항 |
| 18 | 개인정보 보호책임자의 성명 또는 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항 |
| 19 | [해당시] 국내대리인 지정에 관한 사항 |
| 20 | [권장] 정보주체의 권익침해에 대한 구제방법 |
| 21 | [해당시] 고정형 영상정보처리기기 운영·관리에 관한 사항 |
| 22 | [해당시] 이동형 영상정보처리기기 운영·관리에 관한 사항 |
| 23 | [권장] 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항 |
| 24 | 개인정보 처리방침의 변경에 관한 사항 |
<01 제목 (서문)>
<개인정보처리자명> 개인정보 처리방침
- "개인정보 처리방침"을 사용하여 상단에 기재 및 개인정보처리자명 명시해야 합니다.
<개인정보처리자명>(서비스명)은(는) 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조 에 따라 정보주체에게 개인정보의 처리와 보호에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
- 서문으로 개인정보 처리방침의 의미, 수립 목적 등 정보주체가 이해할 수 있도록 개인정보 처리방침 수립·공개의 취지를 기재할 것을 권장하고 있습니다.
: 개인정보처리자를 명확히 인식할 수 있도록 "개인정보처리자명과 서비스명"을 주어로 하여 기재합니다.
[ 목차 ]
- 본문 시작 시점에 '목차'를 안내합니다.
: 목차 클릭 시, 해당 부문으로 이동되도록 하이퍼링크 등 연결하는것을 권장하고 있습니다.
- 로그인 여부와 상관없이, 정보주체가 쉽게 확인할 수 있도록 "첫 화면"에서 바로 찾을 수 있도록 공개합니다. (앱은 '메뉴' 또는 '설정'에서 공개 가능)
- 처리방침 변경 시, 별도로 변경 사항을 공지하는 것을 권장하고 있습니다.
<02,03,05 개인정보의 처리 목적, 처리 항목, 보유 및 이용기간>
<개인정보처리자명>은(는) 「개인정보 보호법」에 따라 서비스 제공을 위해 필요 최소한의 범위에서 개인정보를 수집·이용합니다.
1. 정보주체의 동의를 받지 않고 처리하는 개인정보 항목
<개인정보처리자명>은(는) 다음의 개인정보 항목을 정보주체의 동의 없이 처리하고 있습니다.
법적 근거 | 구분 | 처리 목적 | 처리 항목 | 처리 및 보유기간 |
「개인정보 보호법」 제15조제1항제4호 (계약 체결·이행) | 회원 서비스 운영 | 본인 식별, 회원 관리 | ID, 휴대전화번호, 성명, 생년월일 | 회원 탈퇴 시 까지 |
2. 정보주체의 동의를 받아 처리하는 개인정보 항목
<개인정보처리자명>은(는) 다음의 개인정보 항목을 정보주체의 동의를 받아 처리하고 있습니다.
법적 근거(권장) | 구분 | 처리 목적 | 처리 항목 | 처리 및 보유기간 |
「개인정보 보호법」 제15조제1항제1호 (동의) | 회원 서비스 운영 | 본인 식별, 회원 관리 | 직장정보(직장명, 전화번호) | 회원 탈퇴 시 까지 |
3. 그 밖에 수집하는 개인정보 <해당시>
가. 정보주체 이외로부터 수집한 개인정보
| 법적 근거 | 수집 목적 | 수집 항목 | 제공하는 자 (선택) |
「개인정보 보호법」 제17조제1항제1호 (동의) | 간편로그인 | ID, 생년월일 | OOO |
나. 서비스 이용 과정에서 자동으로 생성·수집되는 개인정보
| 구분 | 처리 목적 | 처리 항목 |
| 서비스 이용내역 | 서비스 제공 관련 고객상담 | 앱 사용 이력, 구매 및 검색 이력 |
| 기기 정보 | 통계 및 서비스 품질 향상 | OS버전, 디바이스 정보 |
(또는) *웹 서비스 이용 과정에서 아래 항목이 자동으로 생성되어 수집될 수 있으며, 수집 거부시 서비스 이용에 제한이 있을 수 있습니다.
- IP주소, 쿠키, MAC주소, 서비스 이용기록, 방문기록, 불량 이용기록
- '~등'을 사용하지 않고 구체적으로, 모두 기재합니다.
: 관련된 목적끼리 묶어서 유형화하고, 유형마다 구체적으로 기재합니다.
: 서비스가 여러개인 경우, 서비스별로 처리 목적을 구분하는것도 가능합니다.
- 처리하는 개인정보 항목은 동의서 내용 및 실제 처리 현황이 일치하여야 합니다.
: 정보주체의 동의를 받아 처리하는 개인정보의 법적 근거는 기재할 것을 권장하고 있습니다.
- 정보주체에게 동의를 받을 때에는 보호법 시행령 제17조제1항의 조건을 충족하여야 합니다.
: 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
: 동의를 받으려는 내용이 구체적이고 명확할 것
: 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
: 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
- 개인정보 처리의 법적 근거는 「개인정보 보호법」 제15조제1항 각 호의 사항 외에도 개별 법령에 근거하는 경우 해당 법령을 기재합니다.
: 특히, 「개인정보 보호법」 제15조제1항제2호(법률에 특별한 규정 또는 법률상 의무 준수) 및 제3호(공공기관이 법령 등에서 정하는 소관 업무 수행)에 해당하는 경우, 그 근거가 되는 다른 법령도 함께 기재하여야 합니다.
: 법적 근거는 해당되는 조문까지 구체적으로 작성해야 합니다.
: 보호법 시행령 제17조제5항에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해 '항목, 법적 근거'를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 홈페이지 또는 서면, 전자우편, 팩스, 전화, 문자전송 등으로 정보주체에게 알려야 합니다.
- 정보주체의 동의 없이 처리할 수 있는 개인정보라는 '입증 책임'은 개인정보처리자에게 있으므로, 그 판단 근거 및 입증자료를 마련해 둘 필요가 있습니다.
: 예를 들면, 정보주체의 개인정보를 수집하는 시점에 '고지'형태로 안내하는 등 정보주체가 인지할 수 있도록 안내하는 방법이 있습니다.
- 정보주체 이외로부터 수집한 개인정보도 기재해야 합니다. (수집한 개인정보의 항목, 처리의 법적 근거)
- 서비스 제공 과정, 사무 처리 과정에서 자동으로 생성·수집되는 개인정보가 있는 경우에는 해당 업무와 개인정보 항목을 명시해야 합니다.
- 신규 서비스 도입, 변경 시 관련 내용을 개인정보 보호책임자에게 사전 통보하는 방식으로 업무 프로세스를 개선하여 개인정보 처리방침에 반영할 수 있도록 합니다.
- 관계 법령에 개인정보 보유기간에 대한 근거가 있는 경우에는 해당 법적 근거 및 법령에서 정한 보유기간을 기재합니다. (항목은 기재할 것을 권장)
> 해당 글에서는 관계 법령에 따른 법적 보유기간을 <개인정보의 파기 절차 및 방법에 관한 사항> 부분에 명시하는 방향으로 진행하였습니다.
<04. 14세 미만 아동의 개인정보 처리에 관한 사항> <해당시>
① <개인정보처리자명>은(는) 14세 미만 아동의 개인정보를 처리하기 위하여 동의가 필요한 경우에는 해당 아동의 법정대리인으로부터 동의를 받습니다.
② <개인정보처리자명>은(는) 14세 미만 아동의 개인정보 처리에 관하여 그 법정대리인의 동의를 받을 때에는 아동에게 법정대리인의 성명, 휴대전화번호와 같이 최소한의 정보를 요구할 수 있으며, 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고, 그 동의 표시를 확인하였음을 법정대리인의 휴대전화 문자메시지로 알리는 방법으로 그 사실을 확인합니다.
- 아동으로부터 수집하는 법정대리인의 개인정보(이름, 휴대전화번호 등)에 대해 기재하여야 합니다.
- 법정대리인의 동의 확인 방법은 개인정보처리자가 실제로 사용하는 방법을 기재하여야 합니다.
- 서비스의 주된 이용 대상이 14세 미만 아동인 경우는 '아동용 개인정보 처리방침 예시'를 참고하여 "아동용 개인정보 처리방침"을 별도로 마련하여 안내하는 것을 권장하고 있습니다.
- 아동으로부터 직접 수집하는 법정대리인의 정보에 대해 <개인정보의 처리 목적, 처리 항목, 보유 및 이용기간>에 포함하여 기재하는 것도 가능합니다.
<06. 개인정보의 파기 절차 및 방법에 관한 사항>
① <개인정보처리자명>은(는) 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
② 정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.
| 내용 | 보유기간 | 개인정보 항목 <권장, 필수아님> |
| 계약 또는 청약철회, 대금결제, 재화 등의 공급기록 | 5년 | 구매자정보(고객번호, 성명, 휴대전화번호, 이메일주소), 상품 구매/취소/교환/환불정보, 수령인정보(성명, 주소, 휴대전화번호), 결제정보(결제수단, 결제금액, 결제일시, 결제승인번호), 송장번호 |
| 소비자 불만 또는 분쟁처리에 관한 기록 | 3년 | 고객번호, 성명, 전화번호, 이메일주소, 상담기록(상담내용, 상담일시, 음성녹취기록 포함), 불만 또는 분쟁처리 결과 |
③ 개인정보 파기의 절차 및 방법은 다음과 같습니다.
1. 파기절차
<개인정보처리자명>은(는) 파기 사유가 발생한 개인정보를 선정하고, <개인정보처리자명>의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.
2. 파기방법
<개인정보처리자명>은(는) 전자적 파일 형태로 기록·저장된 개인정보는 기록을 재생할 수 없도록 파기하며, 종이 문서에 기록·저장된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다.
- 처리하고 있는 개인정보가 불필요하게 되었을 경우 지체없이 파기한다는 내용을 기재합니다.
- 다른 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 '보존 근거, 법령이 규정하는 보존 항목과 보존 기간'을 기재합니다.
: 해당 개인정보는 다른 개인정보와 분리하여 저장·관리하여야 합니다.
- 파기 절차, 방법 등에 관한 세부적인 내용을 기재합니다.
<07. 개인정보의 제3자 제공에 관한 사항> <해당시>
① <개인정보처리자명>은(는) 원활한 서비스 제공을 위해 다음의 경우 「개인정보 보호법」 제17조제1항제1호에 따라 정보주체의 동의를 얻어 필요 최소한의 범위로만 제공합니다.
| 제공받는 자 | 제공 목적 | 제공 항목 | 보유 및 이용 기간 |
| <신용카드사> | 카드발급 | 성명, 주소, 전화번호, 이메일주소 | 신용카드 발급계약에 따른 거래기간 동안 |
② <개인정보처리자명>은(는) 다음과 같이 정보주체의 동의 없이 관계 기관에 개인정보를 제공할 수 있습니다.
| 관련 근거 | 제공받는 자 | 제공 목적 | 제공 항목 |
「개인정보 보호법」
제15조제1항제2호,
제17조제1항제2호,
「소득세법」 제165조 | 국세청 | 연말정산 간소화를 위한 증명서류 발급 | 이름, 주민등록번호, 공제대상 진료비 내역 |
- 제3자 제공(개인정보의 이전 및 공동 이용) 시, 보호법 제17조에 따른 사항을 기재합니다.
: 국외 제3자 제공인 경우, '법적 근거, 제공받는 자, 제공 목적, 제공항목, 보유 및 이용 기간'을 <국외 수집 및 이전에 관한 사항>에서 제3자제공을 명시하여 통합하여 작성 가능합니다.
- 정보주체의 동의를 받아 제3자제공이 이루어지는 경우에는 아래 항목을 기재해야 합니다. (⑤는 권장)
: ➀ 개인정보를 제공받는 자 ➁ 제3자의 이용 목적 ➂ 제공하는 개인정보 항목 ➃ 제공받는 자의 보유·이용 기간 ➄ 제공의 법적 근거
- 정보주체의 동의 외 다른 사유로 제3자제공이 이루어지는 경우에는 아래 항목을 기재해야 합니다.
: ➀ 제공의 법적 근거 ➁ 개인정보를 제공받는 자 ➂ 제3자의 이용 목적 ➃ 제공하는 개인정보 항목
- 개인정보를 제공받는 자는 '~등', 'A업체 등 n개사' 같이 축약하지 않아야 하며, 제공받는 자의 수가 많은 경우 팝업창, 파일 내려받기 등으로 공개 가능합니다.
: 단, 개인정보를 제공받는 자의 특정이 어려운 사정이 있는 경우, 그 사정 및 제3자의 '유형'을 기재할 수 있습니다.
> 이 경우 정보주체가 제3자를 정확히 특정 가능해야 하며, 특정 불가능한 경우 그 사유를 입증해야 합니다.
<08. 추가적인 이용·제공 발생 시 판단 기준> <해당시>
① <개인정보처리자명>은(는) 「개인정보 보호법」 제15조제3항 또는 제17조제4항에 따라 「개인정보 보호법 시행령」 제14조의2에 따른 사항을 고려하여 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있습니다.
| 제공받는 자 | 항목 | 이용·제공 목적 | 제공받는 자의 보유 및 이용기간 |
| 택시 중개 서비스 가입자 | 휴대전화번호, 위치정보 | 택시 중개서비스 제공 | 택시 서비스 이용 종료 시까지 |
② 이에 따라 <개인정보처리자명>은(는) 정보주체의 동의 없이 추가적인 이용·제공을 하기 위해서 다음과 같은 사항을 고려하였습니다.
1. 제공하는 개인정보의 당초 수집 목적인 ‘택시 중개 서비스 제공’ 목적을 위한 것으로 수집 목적과 관련성이 있습니다.
2. 정보주체는 서비스 계약 과정에서 중개 서비스 특성상 개인정보의 제공이 있을 수 있음을 예측할 수 있습니다.
3. 정보주체의 요청에 따라 택시 중개 서비스를 제공하기 위해 제공되는 정보로, 정보주체의 이익을 부당하게 침해하지 않습니다.
4. 안심번호 사용 등 개인정보 노출을 최소화하기 위한 안전성 확보에 필요한 조치를 하고 있습니다.
- 당초 수집 목적과 관련된 범위에서 정보주체 동의 없이 개인정보를 추가 이용/제공하는 것이 지속적으로 발생하는 경우를 자율적으로 판단하여 고려사항에 대한 판단기준을 공개합니다.
: 당초 수집 목적과 관련성이 있는지 여부
: 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
: 정보주체의 이익을 부당하게 침해하는지 여부
: 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
<09. 개인정보 처리업무의 위탁에 관한 사항> <해당시>
① <개인정보처리자명>은(는) 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.
가. 위탁받는 자(수탁자)
나. 재위탁받는 자(재수탁자)
② <개인정보처리자명>은(는) 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인 정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하고 있습니다.
③ 「개인정보 보호법」 제26조제6항에 따라 수탁자가 당사의 개인정보 처리 업무를 재위탁하는 경우 <개인정보처리자명>의 동의를 받고 있으며, 본 개인정보 처리방침를 통하여 재수탁자와 재수탁하는 업무의 내용을 공개하고 있습니다.
④ 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.
- 위탁받은 자(수탁자), 위탁하는 업무의 내용을 각각 기재합니다.
: 재위탁하는 경우, 재수탁자를 포함하여 명시할 수 있습니다.
: 재위탁하는 경우, 수탁자의 개인정보 처리방침 링크 추가를 통한 재위탁 현황을 알리는 것도 가능합니다.
- 수탁자의 명칭은 '~등', 'A업체 등 n개사' 같이 축약하지 않아야 하며, 수탁자의 수가 많은 경우 팝업창, 파일 내려받기, 위탁 현황을 공개한 웹페이지 링크 삽입 등으로 안내가 가능합니다.
- 해외 법인에게 고객 DB를 이용한 업무 위탁은 <개인정보의 국외 수집 및 이전에 관한 사항>에 기재하여야 합니다.
<10. 개인정보의 국외 수집 및 이전에 관한 사항> <해당시>
(국외에서 직접 수집하는 경우)
<개인정보처리자명>은(는) 서비스를 제공하기 위해 개인정보를 국외에서 수집하여 처리하고 있습니다.
- 개인정보가 수집·처리되는 국가 : OOOO, OO, OO
- 개인정보를 국외에서 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명을 모두 기재해야 합니다.
: 한국 개인정보보호법을 직접 적용받는 해외사업자 등이 국내 정보주체로부터 개인정보를 해외 서버에서 직접 수집하는 경우를 말합니다.
(국외로 이전(제공, 처리위탁, 보관)하는 경우)
<개인정보처리자명>은(는) 서비스 이용자로부터 수집한 개인정보를 아래와 같이 국외에 이전하고 있으며, ⸢개인정보 보호법⸥ 제28조의8제2항에 따라 국외이전에 대해 다음과 같이 안내합니다. 국외 이전을 거부할 경우 서비스 이용이 불가능합니다.
국외 이전을 원치 않을 경우 홈페이지(메뉴 – 내 정보 – 회원 탈퇴) 및 모바일(메뉴 – 내 정보 – 회원 탈퇴)에서 회원 탈퇴를 진행하거나 고객센터(☎0000-0000)를 통하여 회원 탈퇴를 요청할 수 있습니다.
| 관련 근거 | 이전하는 개인정보 항목 | 이전 국가 | 이전 시기 및 방법 | 이전받는 자 | 이용 목적 | 개인정보 보유 및 이용 기간 |
「개인정보 보호법」
제28조의8
제1항제1호
(동의) | 이름, 연락처, 이메일주소, 아이디, 비밀번호 | ○○○○ | 서비스 이용 시점부터 00일 이내
/ 전용 네트워크 (가상사설망 (VPN))을 이용한 원격지 전송 | ○○○○법인
((연락처) 000-000-0000) | ○○○ 서비스 제공을 위한 회원 정보 관리 | 회원 탈퇴 시 까지 또는 ○년 ○월까지 |
- 클라우드 서비스 이용 등으로 인해 복수의 국가로 개인정보가 이전되는 경우에는 해당 국가를 모두 기재합니다.
- 개인정보 국외이전의 법적 근거 중 다른 법률, 조약, 국제협정에 대한 규정이 있는 경우 그 법률·조약·협정명과 해당되는 조문까지 구체적으로 작성합니다.
- 국외 제3자 제공, 국외 개인정보 처리업무 위탁의 경우 통합하여 작성 가능합니다.
: 개인정보 제3자 제공 : 법적 근거, 제공받는 자, 제공 목적, 제공 항목, 보유 및 이용기간
: 개인정보 처리 업무 위탁 : 수탁자, 위탁 업무
[예시 _ 유형별 국외 이전 사례]
O 제공 : 다국적기업의 한국 법인이 수집한 고객정보를 해외 본사로 이전하여 통합 관리하는 경우
O 제공 : 다국적기업의 한국 법인의 고객DB를 해외 본사에서 조회하는 경우
O 처리위탁 : 해외에 자회사인 콜센터를 설립하고 국내 고객DB를 이용해 고객대응 업무를 대행시키는 경우
O 보관 : 국내에서 개인정보를 수집한 개인정보처리자가 백업 등을 위해 해외 서버 등에 분산 저장하는 경우
<11. 개인정보의 안전성 확보조치에 관한 사항>
<개인정보처리자명>은(는) 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
1. 관리적 조치 : 내부 관리계획 수립·시행, 정기적 직원 교육, 전담조직 운영
2. 기술적 조치 : 개인정보처리시스템에 대한 등의 접근 권한의 관리, 접근통제시스템 설치 및 기타 관련 보호 조치, 인터넷망 차단 조치, 개인정보의 암호화, 접속기록의 보관 및 점검, 보안프로그램 설치 및 갱신, 개인정보처리시스템의 취약점 점검 및 보완
3. 물리적 조치 : 전산실, 자료보관실 등의 접근통제, 서류·보조저장매체 등을 잠금장치가 있는 안전한 장소 에 보관, 재해·재난에 대한 안전조치, 보조저장매체의 반출·입 통제
- 「개인정보보호법」 제29조, 보호법시행령 제30조 및 제30조의2에 따라 시행중인 안전성 확보조치 관련 사항을 기재합니다.
<12. 민감정보의 공개 가능성 및 비공개를 선택하는 방법> <해당시>
<개인정보처리자명>이(가) 다음과 같은 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함될 수 있으며 이에 대해 정보주체는 비공개를 선택할 수 있습니다.
| 재화 또는 서비스 명 | 민감정보 | 공개 가능성 | 비공개 선택 방법 |
| 지도앱 서비스 | 성생활, 건강정보 | 이용자가 스스로 정보를 입력하여 저장한 폴더에 민감정보가 저장된 경우 해당 폴더가 공개로 설정되어 있다면 공개 가능함 | 나의 정보 → 폴더설정 → 민감 정보 공개 여부 설정 |
- 서비스 제공 과정에서 공개되는 정보 중 민감정보가 포함되어 있는 경우 '공개될 수 있다는 사실'과 '비공개를 선택하는 방법'을 쉽게 이해할 수 있도록 기재해야 합니다.
: 단, 공개 게시판, SNS 등 서비스 자체가 공개를 기본으로 하여 의사소통 목적에 있는 경우 같이 스스로 입력하는 정보가 공개된다는 사실을 이미 알고 있다고 볼 수 있는 경우는 제외 가능합니다.
- 공개될 수 있는 민감정보 항목을 모두 기재하며, 비공개를 선택할 수 있는 구체적인 절차와 방법도 기재합니다.
<13. 가명정보 처리에 관한 사항> <해당시>
<개인정보처리자명>은(는) 수집한 개인정보를 「개인정보 보호법」 제28조의2에 따라 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 특정 개인을 알아볼 수 없도록 가명처리하여 다음과 같이 활용하고 있습니다.
- 가명정보의 이용·제공에 관한 사항
| 구분 | 제공받는 자 | 이용·제공 목적 | 이용·제공 항목 | 이용·제공 기간 |
| 이용 | - | 연령대 별 이동패턴 및 주요 관심사항 분석 (통계작성) | 22년~24년 OO이용 현황 | 결합데이터 분석 완료시까지
(00년 00월 00일 ~
00년 00월 00일) |
| 제공 | OOO(주) | OO 데이터와 OO 사용자의 관심지수를 활용한 OO트렌드 분석을 위한 과학적 연구 (과학적 연구) | 22년7월 ~ 23년6월 고객 현황
(연령, 성별, 요금제, 추정거주지, 라이프 스타일 관련 추정정보, OO지역 내 방문지 및 숙박지) | 목적 달성 후 1개월 내 (00년 00월 이전 삭제 예정) |
- 가명정보의 안전성 확보조치에 관한 사항
관리적 조치 : 가명정보 내부 관리계획 수립·시행, 정기적 직원 교육 등
기술적 조치 : 가명정보와 추가정보의 분리 보관, 추가 정보 불필요 시 파기, 가명정보와 추가정보에 대한 접근 권한의 분리 접근통제시스템 설치 및 기타 관련 보호조치, 가명정보 처리기록 및 접근 기록의 보관·점검, 보안프로그램 설치 등
물리적 조치 : 가명정보가 보관된 전산실, 자료보관실 등의 접근통제 등
- <개인정보의 안전성 확보조치에 관한 사항>에서 보호법 제28조의4에 따른 가명정보의 안전성 확보조치에 관한 사항을 구체적으로 기재한 경우에는 해당 내용 생략 가능합니다.
- 가명정보 제3자 제공, 가명정보 처리 위탁 해당 시에는 추가로 작성합니다.
<14. 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항> <해당시>
① <개인정보처리자명>은(는) 정보주체에게 개별적인 서비스와 편의를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 ‘쿠키(cookie)’를 사용합니다.
② 쿠키는 웹사이트 운영에 이용되는 서버(http)가 정보주체의 브라우저에 보내는 소량의 정보로서 정보주체의 컴퓨터 또는 모바일에 저장되며, 웹사이트 접속 시 정보주체의 브라우저에서 서버로 자동 전송됩니다.
③ 정보주체는 브라우저 옵션 설정을 통해 쿠키 허용, 차단 등의 설정을 할 수 있습니다.
- 웹 브라우저에서 쿠키 허용/차단
| 크롬(Chrome) | 웹브라우저 오른쪽 상단 '⋮' > 새 시크릿 창 (Ctrl+Shift+N) |
| 엣지(Edge) | 웹브라우저 오른쪽 상단 '…' > 새 InPrivate 창 (Ctrl+Shift+N) |
- 모바일 브라우저에서 쿠키 허용/차단
| 크롬(Chrome) | 모바일 브라우저 오른쪽 상단 '⋮' > 새 시크릿 탭 |
| 사파리(Safari) | 모바일 기기 설정 > 사파리(Safari) > 고급 > 모든 쿠키 차단 |
| 삼성 인터넷 | 모바일 브라우저 아래쪽 ‘탭’ 아이콘 > 비밀 모드 켜기 > 시작 |
- 쿠키 등의 정보에 대한 기본적인 설명 (쿠키 또는 이와 유사한 기술의 개념, 활용 목적, 개인정보 수집 방법, 거부방법 등)을 함께 기재합니다.
<15. 행태정보의 수집·이용·제공 및 거부 등에 관한 사항> <해당시> *①~④의 경우 "정보주체 식별 여부"를 고려하여 작성해야 합니다.
① <개인정보처리자>은(는) 서비스 이용과정에서 정보주체에게 최적화된 맞춤형 서비스 및 혜택, 온라인 맞춤형 광고 등을 제공하기 위하여 쿠키를 활용하여 개인을 식별하는 방식으로 행태정보를 처리하고 있습니다.
② <개인정보처리자>은(는) 자사가 운영하는 웹사이트에서 다음과 같이 행태정보를 수집하고 있습니다.
| 법적 근거 | 수집 항목 | 수집 방법 | 수집 목적 | 보유 및 이용기간 |
「개인정보 보호법」
제15조제1항제1호
(동의) | 웹 사이트 방문·이용 이력 | 웹 사이트 방문·이용 시 자동수집 | 관심에 기반한 맞춤형 광고 제공 | 수집일로부터 □□일 후 파기 |
③ <개인정보처리자>은(는) 다음과 같이 행태정보를 제3자에게 제공하고 있습니다. <해당시> *광고사업자 등
| 법적 근거 | 제공받는 자 | 제공 항목 | 제공받는 자의 이용 목적 | 제공받는 자의 보유 및 이용기간 |
「개인정보 보호법」
제17조제1항 제1호
(동의) | OOOO | 웹·앱 이용 이력/검색 이력 | 정보주체 관심 기반 맞춤형 광고 제공 | 제공일로부터 ▲▲일 후 파기 |
④ <개인정보처리자>은(는) 온라인 맞춤형 광고 등을 제공하기 위하여 제3자가 운영하는 웹·앱에 설치된 개인정보 자동 수집 장치로부터 행태정보를 수집·이용하고 있습니다.
| 수집장치 명칭 | 수집장치 종류 | 수집해가는 사업자 | 수집해가는 행태정보 항목 | 수집해가는 목적 |
| OO 픽셀 | 자바스크립트(웹페이지) | OOO | 웹 사이트 방문/검색 이력 | 웹사이트 이용 통계 분석 |
| OO SDK | SDK (모바일 앱) | OOO | 앱 접속 이력
광고식별자 | 맞춤형 광고 게재 |
⑤<개인정보처리자>은(는) 최적화된 맞춤형 서비스 및 혜택, 온라인 맞춤형 광고 등에 필요한 최소한의 행태 정보만을 수집하며, 사상, 신념, 병력 등 개인의 권리·이익이나 사생활을 침해할 우려가 있는 민감한 행태 정보를 수집하지 않습니다.
⑥ <개인정보처리자>은(는) 14세 미만임을 알고 있는 아동에게 맞춤형 광고를 제공하려는 경우 사전에 법정대리인의 동의를 받고 있으며, 이외에는 맞춤형 광고를 목적으로 아동의 행태정보를 수집하지 않고, 아동에게 맞춤형 광고를 제공하지 않습니다.
⑦ 정보주체는 웹브라우저의 쿠키 설정 변경 등을 통해 맞춤형 광고를 일괄적으로 차단·허용할 수 있습니다. 다만, 쿠키 설정 변경 시 웹사이트 자동로그인 등 일부 서비스의 이용이 제한될 수 있습니다.
<상세 안내 내용은 '개인정보 처리방침 작성지침' 또는 블로그 글 'v2. 적용 예시' 참고>
⑨ 정보주체는 아래의 연락처로 행태정보와 관련하여 궁금한 사항과 거부권 행사, 피해 신고 접수 등을 문의할 수 있습니다.
- 정보주체를 식별한 행태정보와 식별하지 않은 행태정보를 모두 이용하는 경우, 각각 개인정보 처리방침에 안내하는것이 바람직합니다.
정보주체를 식별하여 행태정보를 처리하는 경우(공개) / 정보주체를 식별하지 않고 행태정보를 처리하는 경우(권장)
행태정보를 수집·이용하는 경우
①법적 근거 ②수집 항목 ③수집 방법 ④수집 목적 ⑤보유·이용기간 ⑥정보주체의 거부 방법
수집한 행태정보를 제3자에게 제공하는 경우
①법적 근거 ②제공받는 자 ③제공 항목 ④제공받는 자의 이용 목적 ⑤제공받는 자의 보유·이용기간
제3자의 웹·앱에서 자동수집장치를 통해 행태정보를 수집하는 경우
①개인정보 자동 수집 장치 명칭 ②자동수집장치 종류 ③수집해가는 사업자 ④수집해가는 행태정보 ⑤수집해가는 목적 ⑥거부방법 등
추가로, 정보주체를 식별하는 것의 기준이 무엇인지 살펴보도록 하겠습니다.
- 정보주체를 식별하여 행태정보를 처리하는 경우 예시 ('고객 정보' 와 결합하는 경우)
: 회원가입 정보와 결합 (이름, 전화번호, 이메일, 생년월일, 주소 등)
: 계정 정보와 결합 (로그인ID, SNS 계정, 회원번호 등)
: 결제정보와 결합 (카드결제 이력, 구매내역 등)
: 고객센터/문의 기록 결합 (특정 사용자의 문의 기록, 상담 기록 등)
- 정보주체를 식별하지 않고 행태정보를 처리하는 경우 예시 ('단독'으로 존재(사용)하는 경우)
: 쿠키 값 (로그인 정보와 연결되지 않음)
: 광고 ID(ADID/IDFA) (앱 설치 단위 추적이지만, '개인 신원'은 특정 불가함)
: 기기 정보(브라우저, OS 등) (단독으로 개인 특정 불가함)
: IP 주소 (고정IP+회원 연결 시 식별 가능함 / 단독으로는 개인 특정 어려움)
: 페이지 체류시간, 클릭 로그 (계정/전화번호와 연결되지 않는 경우)
즉, "시스템에서 행태정보를 특정 개인정보와 연결해 조회할 수 있는 경우"는 정보주체를 식별하여 행태정보를 처리하는 경우로 볼 수 있습니다.
| 구분이 필요한 이유 | 식별되는 행태정보 | 비식별 행태정보 |
| 법적 영향 | 개인정보보호법 상 '개인정보'로 판단
: 동의, 통보 의무 존재 | 통계·분석 목적이라면 상대적으로 완화 |
| 사용자 권리 | 열람·정정·삭제 요청 가능 | 개인 식별이 불가능해 권리 행사 불가 |
| 보호조치 | 접근통제 등 개인정보 보호조치 필요 | 익명 정보 수준의 관리 가능 |
대표적으로 헷갈리는 경우도 같이 살펴보겠습니다.
o 광고ID (ADID/IDFA)를 사용한 맞춤형 광고
- 비로그인 사용자 기반, 회원정보와 결합하지 않는 경우 : 비식별
- 로그인 사용자 기반, 광고ID+회원ID 결합 : 식별
o IP 주소 사용
- 일시적 세션 분석, 개인정보와 결합하지 않는 경우 : 비식별
- 고정IP를 고객 DB와 매핑해 특정 사용자를 찾음 : 식별
o 서비스를 개선하는 UX 분석 도구(GA 등)
- user_id를 임의 값으로 넣는 경우 : 비식별
- user_id에 회원ID*를 넣는 경우 : 식별 (*user_id에 넣는 값으로 내부 DB 등에서 개인정보가 역추적이 가능한 경우 해당)
제3자의 웹·앱에서 자동수집장치를 통해 행태정보를 수집하는 경우란,
- GA 스크립트 삽입 / Amplitude SDK 설치 / Meta Pixel 설치 / TikTok Pixel 설치 / Naver Analytics 스크립트 삽입 등을 이야기합니다.
: 판단 기준 : "사용자의 브러우저·앱에서 실행되는 코드가 제3자 서버로 데이터를 전송하는가?"
<16. 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항>
① 정보주체는 언제든지 개인정보 열람·전송·정정·삭제·처리정지 및 동의 철회 등을 요구(이하 “권리 행사”라 함)할 수 있습니다.
② 권리 행사는 「개인정보 보호법 시행령」 제41조제1항에 따라 서면, 전화, 전자 우편, 팩스(FAX), 인터넷 등을 통하여 하실 수 있습니다.
- (서비스명) 앱을 통한 권리행사 절차는 다음을 참고해주시기 바랍니다.
: 개인정보 조회·수정·삭제·처리정지·동의 철회 : (서비스명) 앱 > 메뉴 > 설정 > '내 정보 관리'
: 그 외 열람 등 요구 또는 이의제기 : (서비스명) 앱 > 메뉴 > 고객센터
- (해당시) 정보주체는 언제든지 홈페이지 ‘내정보 > 본인전송요구’를 통해 개인정보를 본인에게 전송 요구할 수 있으며, 전송현황 및 내역을 확인할 수 있습니다.
: (해당시) 제3자 대상 전송요구의 경우 정보를 전송받고자 하는 정보수신자가 운영하는 서비스를 통하여 전송 요구가 가능 하며, 정보수신자 현황 및 제3자 전송 요구 현황 등은 개인정보전송지원플랫폼(온마이데이터, OnMydata.go.kr)에서 확인할 수 있습니다.
③ 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수도 있습니다. 이 경우 “개인 정보 처리 방법에 관한 고시” [별지 11] 서식에 따른 위임장을 제출하셔야 합니다. <개인정보처리자명>은(는) 권리 행사를 한 자가 본인이거나 정당한 대리인인지를 확인합니다.
④ 정보주체가 개인정보 열람 및 처리 정지를 요구할 권리는 「개인정보 보호법」 제35조제4항 및 제37조제2항에 의하여 제한될 수 있습니다.
⑤ 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 해당 개인정보의 삭제를 요구할 수 없습니다.
⑥ <개인정보처리자명>은(는) 정보주체로부터 권리 행사를 청구받은 날로부터 10일(전송요구의 경우 지체 없이) 이내 회신하겠습니다.
개인정보 권리 행사 청구 접수·처리 부서는 <개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>을 참고하여 주시기 바랍니다.
- 자동화된 결정의 권리·의무 및 행사방법은 <자동화된 결정에 관한 사항>에서 별도로 안내해도 됩니다.
- 정보주체와 법정대리인의 권리 행사 방법 및 절차는 실제 현황을 기재해야 하며, 개인정보의 수집 방법 및 절차에 비해 어렵지 않아야 합니다.
- 정보주체가 개인정보 열람 등 청구를 신청할 수 있는 부서명 및 연락처를 기재할 것을 권장하고 있습니다.
: <개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>에서 개인정보 열람청구 업무 담당자를 안내해도 됩니다.
- 개인정보처리자가 "정보전송자"에 해당하는 경우 개인정보 전송요구권 행사 방법을 기재해야 합니다.
: 본인대상 전송요구 : 보호법 시행령 제42조의6제5항에 따라 '본인전송요구 방법, 전송 현황 및 내역 확인 방법 등'을 기재하면 됩니다.
: 제3자 대상 전송요구 : 정보수신자가 운영하는 서비스를 통해 요구가 가능하므로, "정보수신자 현황 및 제3자전송요구 현황 등은 보호법 제35조의4제2항에 따른 개인정보 전송 지원 플랫폼에서 확인 가능하다"는 등의 행사방법을 기재하면 됩니다.
<17. 자동화된 결정에 관한 사항> <해당시>
- 자동화된 결정을 하는 경우, 그 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 기재해야 합니다.
➀ 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위
➁ 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계
➂ 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차
➃ 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목
➄ 자동화된 결정에 대하여 정보주체가 거부‧설명 등 요구를 할 수 있다는 사실과 그 방법 및 절차
- 이해하기 어려운 점을 고려해 표준화·체계화된 용어 사용 및 동영상·그림·도표 등 시각자료 활용 권장하고 있습니다.
<상세 안내 내용은 '개인정보 처리방침 작성지침' , '자동화된 결정에 대한 정보주체의 권리 안내서', 또는 블로그 글 'v2. 적용 예시' 참고>
<18. 개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>
① <개인정보처리자명>은(는) 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보 주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
② 정보주체는 <개인정보처리자명>의 서비스(또는 사업)를 이용하시면서 발생한 모든 개인정보보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 개인정보보호 담당부서로 문의할 수 있습니다. <개인정보처리자명>은(는) 정보주체의 문의에 대해 지체없이 답변 및 처리해 드릴 것입니다.
③ 정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보 분쟁조정위원회, 한국인터넷진흥원 개인정보 침해 신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다
1. 개인정보 분쟁조정위원회 : (국번없이) 1833-6972 (www.kopico.go.kr)
2. 개인정보침해 신고센터 : (국번없이) 118 (privacy.kisa.or.kr)
3. 대검찰청 : (국번없이) 1301 (www.spo.go.kr)
4. 경찰청 : (국번없이) 182 (ecrm.police.go.kr)
- <정보주체의 권익침해에 대한 구제방법>을 포함하여 안내하셔도 됩니다.
- 개인정보 보호책임자의 성명, 연락처와 개인정보 보호업무 및 담당 고충 사항을 처리하는 부서의 명칭, 연락처를 모두 기재하는 것을 권장하고 있습니다.
<19. 국내대리인 지정에 관한 사항> <해당시>
정보주체는 「개인정보 보호법」 제31조의2에 따라 지정된 <개인정보처리자명>의 국내대리인에게 개인정보 관련 고충처리 등의 업무를 위하여 연락을 취할 수 있습니다. <개인정보처리자명>은(는) 정보주체의 개인정보 관련 고충처리 등 개인정보 보호책임자의 업무 등을 신속하게 처리할 수 있도록 노력하겠습니다.
<개인정보처리자명>은(는) 「개인정보 보호법」 제31조의2에 따라 국내대리인을 지정하였습니다.
- 성명 : OOO (법인의 경우 법인명, 대표자의 성명)
- 주소 : OOO (법인의 경우 영업소 소재지)
- 전화번호 : ooo – oooo (*국내)
- 전자우편 주소 : oooo@oooo.ooo
- 국내에 주소 또는 영업소가 없는 해외사업자로서 보호법 제31조의2제1항, 동법 시행령 제32조제1항에 해당하는 경우에 작성하셔야 합니다.
- 개인정보 처리방침에 국내대리인의 성명·주소·전화번호 및 전자우편 주소를 포함하지 아니한 개인정보처리자에게는 1천만 원 이하 과태료가 부과됩니다.
<20. 정보주체의 권익침해에 대한 구제방법> <권장>
정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보 분쟁조정위원회, 한국인터넷진흥원 개인정보 침해 신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다
1. 개인정보 분쟁조정위원회 : (국번없이) 1833-6972 (www.kopico.go.kr)
2. 개인정보침해 신고센터 : (국번없이) 118 (privacy.kisa.or.kr)
3. 대검찰청 : (국번없이) 1301 (www.spo.go.kr)
4. 경찰청 : (국번없이) 182 (ecrm.police.go.kr)
- 법에 따른 전문기관(개인정보침해 신고센터, 개인정보 분쟁조정위원회), 수사기관 등을 안내할 것을 권장하고 있습니다. (*상시 현행화)
- 정보주체의 피해구제가 원만하게 이뤄지지 않을 경우 추가적으로 피해 구제를 요청할 수 있는 방법을 안내할 것을 권장하고 있습니다.
- <개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>에 함께 기재해도 됩니다.
<21-22. 고정형/이동형 영상정보처리기기 운영·관리에 관한 사항> <해당시>
- (고정형/이동형)영상정보처리기기운영자는 보호법 제25조제7항에 따라 ‘(고정형/이동형)영상정보처리기기 운영·관리 방침’을 마련하는 경우 개인정보 처리방침에 포함하여 공개할 수 있습니다.
- 해당 방침은 보호법 시행령 제25조제1항에 따른 사항을 모두 포함하여야 합니다.
: 해당 글에서는 별도로 다루지 않고 생략하였습니다. '개인정보 처리방침 작성지침' 또는 '고정형 영상정보처리기기 설치·운영 안내서'를 참고하시기 바랍니다.
<23. 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항> <권장>
- 법령에서 규정하는 안전성 확보조치 관련 의무사항 외에 자율적으로 이행하는 개인정보 조치사항에 대해 기재 할 수 있습니다.
: ISMS-P 인증 등 개인정보보호를 위한 국내외 인증 획득 현황
: 휴면고객 정책 운영
: 인공지능(AI) 학습데이터 수집·이용 기준
: 개인정보보호 관련 블로그 등 소셜미디어 매체를 통한 개인정보처리자의 개인정보보호 활동 및 정책 게시
<더 자세한 개인정보보호 활동 예시 및 작성 예시에 대하여는 '개인정보 처리방침 작성지침'을 참고>
<24. 개인정보 처리방침의 변경에 관한 사항>
① 이 개인정보 처리방침은 20XX. X. X부터 적용됩니다.
② 이전의 개인정보 처리방침은 아래에서 확인하실 수 있습니다.
(시행일자(버전) 별 확인 가능 링크 제공)
- 이전 개인정보 처리방침도 시행일자 별로 확인 가능하도록 기능을 제공 및 지속적으로 공개해야 합니다. (클릭 시 해당 버전으로 이동)
- 처리방침 변경사항 별도 안내 시, 웹페이지 팝업창, 공지사항 등을 통해 쉽게 확인할 수 있는 방법 활용하는 것을 권장하고 있습니다.
[처리방침 변경사항 공개 예시]
<개인정보처리자명>은(는) 개인정보 처리방침의 내용을 다음과 같이 변경 예정임을 알려드립니다. 개정된 개인 정보 처리방침은 00년 00월 00일에 시행됩니다.
□ 주요 개정 내용
○ 개인정보 처리 업무의 위탁에 따른 업체 변경의 건
○ 변경 주요내용 요약
□ 개인정보 처리방침 변경 전·후 비교
(전 후 비교 표)
<개인정보처리자명>의 개정 후 개인정보 처리방침의 내용에 대해서는 개인정보 고충처리 부서로 문의할 수 있습니다.
담당부서: ○○○, 담당자: ○○○, 전화: 02–000-0000, 이메일주소: oooo@oooo.ooo
개인정보 처리방침 작성 지침은 명확해 보이지만, 하나의 정답을 제시하는 문서는 아닙니다.
기업마다 환경과 서비스가 다르기 때문에, 결국 중요한 것은 우리 조직에 맞는 기준을 스스로 세우는 것입니다.
삭제가 망설여지는 문구나 적용 여부가 애매한 항목이 있더라도, 합리적인 기준에 따라 판단했다면 그 자체로 이미 좋은 처리방침이라고 생각합니다.
이 글이 실무적으로 처리방침을 작성하는 데 도움이 되었기를 바랍니다.
앞으로도 현장에서 고민되는 주제들을 계속 다뤄보겠습니다.
감사합니다.
 신하린 | shr@cela.kr |
해당 글은 개인정보 처리방침 작성 지침에 대한 정리 목적으로 작성되었습니다. 직관적인 개인정보 처리방침 작성 가이드를 확인하시려면 '개인정보처리방침 작성 가이드(2025) - v2. 적용 예시' 글에서 함께 확인이 가능합니다.
개인정보보호위원회가 2025년 개인정보처리방침 작성 지침(2025.04.)을 발표하면서 많은 실무자들이 이런 기대를 하셨을 겁니다.
“이제 안내서대로 작성하면 되겠구나.”
하지만 실제 지침을 펼쳐보면 기업마다 환경이 다르다 보니, 무엇을 반영하고 무엇을 제외해야 할지 다시 판단해야 하는 상황이 찾아옵니다.
- 이 목차는 우리 서비스에 해당되지 않긴 하는데, 정말 아예 빼버려도 되는걸까?
- 다른 기업들 대부분이 해당하지 않는 내용도 넣고있는데… 굳이 삭제해야 하나?
- 그렇다고, 해당되지 않는데도 목차가 들어가있으면 오히려 더 큰 혼란을 주게되는것은 아닐까?
아마 많은 실무자분들이 한 번쯤 겪어보셨을 고민일 겁니다.
안내서를 보면 ‘정답이 정리된 것 같다’고 느껴지지만, 막상 우리 기업의 처리방침으로 옮기려 하면 각 항목마다 판단이 모호해지는 경우가 반복됩니다.
이번 글은 바로 그 지점—
“안내서는 자세한데, 우리 회사에 적용하려니 더 헷갈린다” 라는 실무적인 어려움을 조금이나마 풀어보고자 작성했습니다.
2025년 안내서의 핵심을 짚고, 각 문항을 어떤 기준으로 판단하면 좋을지, 그리고 실무에서 자주 헷갈리는 지점을 다시 정리해보려 합니다.
<01 제목 (서문)>
- "개인정보 처리방침"을 사용하여 상단에 기재 및 개인정보처리자명 명시해야 합니다.
- 서문으로 개인정보 처리방침의 의미, 수립 목적 등 정보주체가 이해할 수 있도록 개인정보 처리방침 수립·공개의 취지를 기재할 것을 권장하고 있습니다.
: 개인정보처리자를 명확히 인식할 수 있도록 "개인정보처리자명과 서비스명"을 주어로 하여 기재합니다.
- 본문 시작 시점에 '목차'를 안내합니다.
: 목차 클릭 시, 해당 부문으로 이동되도록 하이퍼링크 등 연결하는것을 권장하고 있습니다.
- 로그인 여부와 상관없이, 정보주체가 쉽게 확인할 수 있도록 "첫 화면"에서 바로 찾을 수 있도록 공개합니다. (앱은 '메뉴' 또는 '설정'에서 공개 가능)
- 처리방침 변경 시, 별도로 변경 사항을 공지하는 것을 권장하고 있습니다.
<02,03,05 개인정보의 처리 목적, 처리 항목, 보유 및 이용기간>
- '~등'을 사용하지 않고 구체적으로, 모두 기재합니다.
: 관련된 목적끼리 묶어서 유형화하고, 유형마다 구체적으로 기재합니다.
: 서비스가 여러개인 경우, 서비스별로 처리 목적을 구분하는것도 가능합니다.
- 처리하는 개인정보 항목은 동의서 내용 및 실제 처리 현황이 일치하여야 합니다.
: 정보주체의 동의를 받아 처리하는 개인정보의 법적 근거는 기재할 것을 권장하고 있습니다.
- 정보주체에게 동의를 받을 때에는 보호법 시행령 제17조제1항의 조건을 충족하여야 합니다.
: 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
: 동의를 받으려는 내용이 구체적이고 명확할 것
: 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
: 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
- 개인정보 처리의 법적 근거는 「개인정보 보호법」 제15조제1항 각 호의 사항 외에도 개별 법령에 근거하는 경우 해당 법령을 기재합니다.
: 특히, 「개인정보 보호법」 제15조제1항제2호(법률에 특별한 규정 또는 법률상 의무 준수) 및 제3호(공공기관이 법령 등에서 정하는 소관 업무 수행)에 해당하는 경우, 그 근거가 되는 다른 법령도 함께 기재하여야 합니다.
: 법적 근거는 해당되는 조문까지 구체적으로 작성해야 합니다.
: 보호법 시행령 제17조제5항에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해 '항목, 법적 근거'를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 홈페이지 또는 서면, 전자우편, 팩스, 전화, 문자전송 등으로 정보주체에게 알려야 합니다.
- 정보주체의 동의 없이 처리할 수 있는 개인정보라는 '입증 책임'은 개인정보처리자에게 있으므로, 그 판단 근거 및 입증자료를 마련해 둘 필요가 있습니다.
: 예를 들면, 정보주체의 개인정보를 수집하는 시점에 '고지'형태로 안내하는 등 정보주체가 인지할 수 있도록 안내하는 방법이 있습니다.
- 정보주체 이외로부터 수집한 개인정보도 기재해야 합니다. (수집한 개인정보의 항목, 처리의 법적 근거)
- 서비스 제공 과정, 사무 처리 과정에서 자동으로 생성·수집되는 개인정보가 있는 경우에는 해당 업무와 개인정보 항목을 명시해야 합니다.
- 신규 서비스 도입, 변경 시 관련 내용을 개인정보 보호책임자에게 사전 통보하는 방식으로 업무 프로세스를 개선하여 개인정보 처리방침에 반영할 수 있도록 합니다.
- 관계 법령에 개인정보 보유기간에 대한 근거가 있는 경우에는 해당 법적 근거 및 법령에서 정한 보유기간을 기재합니다. (항목은 기재할 것을 권장)
> 해당 글에서는 관계 법령에 따른 법적 보유기간을 <개인정보의 파기 절차 및 방법에 관한 사항> 부분에 명시하는 방향으로 진행하였습니다.
<04. 14세 미만 아동의 개인정보 처리에 관한 사항> <해당시>
- 아동으로부터 수집하는 법정대리인의 개인정보(이름, 휴대전화번호 등)에 대해 기재하여야 합니다.
- 법정대리인의 동의 확인 방법은 개인정보처리자가 실제로 사용하는 방법을 기재하여야 합니다.
- 서비스의 주된 이용 대상이 14세 미만 아동인 경우는 '아동용 개인정보 처리방침 예시'를 참고하여 "아동용 개인정보 처리방침"을 별도로 마련하여 안내하는 것을 권장하고 있습니다.
- 아동으로부터 직접 수집하는 법정대리인의 정보에 대해 <개인정보의 처리 목적, 처리 항목, 보유 및 이용기간>에 포함하여 기재하는 것도 가능합니다.
<06. 개인정보의 파기 절차 및 방법에 관한 사항>
- 처리하고 있는 개인정보가 불필요하게 되었을 경우 지체없이 파기한다는 내용을 기재합니다.
- 다른 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 '보존 근거, 법령이 규정하는 보존 항목과 보존 기간'을 기재합니다.
: 해당 개인정보는 다른 개인정보와 분리하여 저장·관리하여야 합니다.
- 파기 절차, 방법 등에 관한 세부적인 내용을 기재합니다.
<07. 개인정보의 제3자 제공에 관한 사항> <해당시>
- 제3자 제공(개인정보의 이전 및 공동 이용) 시, 보호법 제17조에 따른 사항을 기재합니다.
: 국외 제3자 제공인 경우, '법적 근거, 제공받는 자, 제공 목적, 제공항목, 보유 및 이용 기간'을 <국외 수집 및 이전에 관한 사항>에서 제3자제공을 명시하여 통합하여 작성 가능합니다.
- 정보주체의 동의를 받아 제3자제공이 이루어지는 경우에는 아래 항목을 기재해야 합니다. (⑤는 권장)
: ➀ 개인정보를 제공받는 자 ➁ 제3자의 이용 목적 ➂ 제공하는 개인정보 항목 ➃ 제공받는 자의 보유·이용 기간 ➄ 제공의 법적 근거
- 정보주체의 동의 외 다른 사유로 제3자제공이 이루어지는 경우에는 아래 항목을 기재해야 합니다.
: ➀ 제공의 법적 근거 ➁ 개인정보를 제공받는 자 ➂ 제3자의 이용 목적 ➃ 제공하는 개인정보 항목
- 개인정보를 제공받는 자는 '~등', 'A업체 등 n개사' 같이 축약하지 않아야 하며, 제공받는 자의 수가 많은 경우 팝업창, 파일 내려받기 등으로 공개 가능합니다.
: 단, 개인정보를 제공받는 자의 특정이 어려운 사정이 있는 경우, 그 사정 및 제3자의 '유형'을 기재할 수 있습니다.
> 이 경우 정보주체가 제3자를 정확히 특정 가능해야 하며, 특정 불가능한 경우 그 사유를 입증해야 합니다.
<08. 추가적인 이용·제공 발생 시 판단 기준> <해당시>
- 당초 수집 목적과 관련된 범위에서 정보주체 동의 없이 개인정보를 추가 이용/제공하는 것이 지속적으로 발생하는 경우를 자율적으로 판단하여 고려사항에 대한 판단기준을 공개합니다.
: 당초 수집 목적과 관련성이 있는지 여부
: 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
: 정보주체의 이익을 부당하게 침해하는지 여부
: 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
<09. 개인정보 처리업무의 위탁에 관한 사항> <해당시>
- 위탁받은 자(수탁자), 위탁하는 업무의 내용을 각각 기재합니다.
: 재위탁하는 경우, 재수탁자를 포함하여 명시할 수 있습니다.
: 재위탁하는 경우, 수탁자의 개인정보 처리방침 링크 추가를 통한 재위탁 현황을 알리는 것도 가능합니다.
- 수탁자의 명칭은 '~등', 'A업체 등 n개사' 같이 축약하지 않아야 하며, 수탁자의 수가 많은 경우 팝업창, 파일 내려받기, 위탁 현황을 공개한 웹페이지 링크 삽입 등으로 안내가 가능합니다.
- 해외 법인에게 고객 DB를 이용한 업무 위탁은 <개인정보의 국외 수집 및 이전에 관한 사항>에 기재하여야 합니다.
<10. 개인정보의 국외 수집 및 이전에 관한 사항> <해당시>
(국외에서 직접 수집하는 경우)
- 개인정보를 국외에서 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명을 모두 기재해야 합니다.
: 한국 개인정보보호법을 직접 적용받는 해외사업자 등이 국내 정보주체로부터 개인정보를 해외 서버에서 직접 수집하는 경우를 말합니다.
(국외로 이전(제공, 처리위탁, 보관)하는 경우)
- 클라우드 서비스 이용 등으로 인해 복수의 국가로 개인정보가 이전되는 경우에는 해당 국가를 모두 기재합니다.
- 개인정보 국외이전의 법적 근거 중 다른 법률, 조약, 국제협정에 대한 규정이 있는 경우 그 법률·조약·협정명과 해당되는 조문까지 구체적으로 작성합니다.
- 국외 제3자 제공, 국외 개인정보 처리업무 위탁의 경우 통합하여 작성 가능합니다.
: 개인정보 제3자 제공 : 법적 근거, 제공받는 자, 제공 목적, 제공 항목, 보유 및 이용기간
: 개인정보 처리 업무 위탁 : 수탁자, 위탁 업무
[예시 _ 유형별 국외 이전 사례]
O 제공 : 다국적기업의 한국 법인이 수집한 고객정보를 해외 본사로 이전하여 통합 관리하는 경우
O 제공 : 다국적기업의 한국 법인의 고객DB를 해외 본사에서 조회하는 경우
O 처리위탁 : 해외에 자회사인 콜센터를 설립하고 국내 고객DB를 이용해 고객대응 업무를 대행시키는 경우
O 보관 : 국내에서 개인정보를 수집한 개인정보처리자가 백업 등을 위해 해외 서버 등에 분산 저장하는 경우
<11. 개인정보의 안전성 확보조치에 관한 사항>
- 「개인정보보호법」 제29조, 보호법시행령 제30조 및 제30조의2에 따라 시행중인 안전성 확보조치 관련 사항을 기재합니다.
<12. 민감정보의 공개 가능성 및 비공개를 선택하는 방법> <해당시>
- 서비스 제공 과정에서 공개되는 정보 중 민감정보가 포함되어 있는 경우 '공개될 수 있다는 사실'과 '비공개를 선택하는 방법'을 쉽게 이해할 수 있도록 기재해야 합니다.
: 단, 공개 게시판, SNS 등 서비스 자체가 공개를 기본으로 하여 의사소통 목적에 있는 경우 같이 스스로 입력하는 정보가 공개된다는 사실을 이미 알고 있다고 볼 수 있는 경우는 제외 가능합니다.
- 공개될 수 있는 민감정보 항목을 모두 기재하며, 비공개를 선택할 수 있는 구체적인 절차와 방법도 기재합니다.
<13. 가명정보 처리에 관한 사항> <해당시>
- <개인정보의 안전성 확보조치에 관한 사항>에서 보호법 제28조의4에 따른 가명정보의 안전성 확보조치에 관한 사항을 구체적으로 기재한 경우에는 해당 내용 생략 가능합니다.
- 가명정보 제3자 제공, 가명정보 처리 위탁 해당 시에는 추가로 작성합니다.
<14. 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항> <해당시>
- 쿠키 등의 정보에 대한 기본적인 설명 (쿠키 또는 이와 유사한 기술의 개념, 활용 목적, 개인정보 수집 방법, 거부방법 등)을 함께 기재합니다.
<15. 행태정보의 수집·이용·제공 및 거부 등에 관한 사항> <해당시> *①~④의 경우 "정보주체 식별 여부"를 고려하여 작성해야 합니다.
- 정보주체를 식별한 행태정보와 식별하지 않은 행태정보를 모두 이용하는 경우, 각각 개인정보 처리방침에 안내하는것이 바람직합니다.
정보주체를 식별하여 행태정보를 처리하는 경우(공개) / 정보주체를 식별하지 않고 행태정보를 처리하는 경우(권장)
행태정보를 수집·이용하는 경우
①법적 근거 ②수집 항목 ③수집 방법 ④수집 목적 ⑤보유·이용기간 ⑥정보주체의 거부 방법
수집한 행태정보를 제3자에게 제공하는 경우
①법적 근거 ②제공받는 자 ③제공 항목 ④제공받는 자의 이용 목적 ⑤제공받는 자의 보유·이용기간
제3자의 웹·앱에서 자동수집장치를 통해 행태정보를 수집하는 경우
①개인정보 자동 수집 장치 명칭 ②자동수집장치 종류 ③수집해가는 사업자 ④수집해가는 행태정보 ⑤수집해가는 목적 ⑥거부방법 등
추가로, 정보주체를 식별하는 것의 기준이 무엇인지 살펴보도록 하겠습니다.
- 정보주체를 식별하여 행태정보를 처리하는 경우 예시 ('고객 정보' 와 결합하는 경우)
: 회원가입 정보와 결합 (이름, 전화번호, 이메일, 생년월일, 주소 등)
: 계정 정보와 결합 (로그인ID, SNS 계정, 회원번호 등)
: 결제정보와 결합 (카드결제 이력, 구매내역 등)
: 고객센터/문의 기록 결합 (특정 사용자의 문의 기록, 상담 기록 등)
- 정보주체를 식별하지 않고 행태정보를 처리하는 경우 예시 ('단독'으로 존재(사용)하는 경우)
: 쿠키 값 (로그인 정보와 연결되지 않음)
: 광고 ID(ADID/IDFA) (앱 설치 단위 추적이지만, '개인 신원'은 특정 불가함)
: 기기 정보(브라우저, OS 등) (단독으로 개인 특정 불가함)
: IP 주소 (고정IP+회원 연결 시 식별 가능함 / 단독으로는 개인 특정 어려움)
: 페이지 체류시간, 클릭 로그 (계정/전화번호와 연결되지 않는 경우)
즉, "시스템에서 행태정보를 특정 개인정보와 연결해 조회할 수 있는 경우"는 정보주체를 식별하여 행태정보를 처리하는 경우로 볼 수 있습니다.
: 동의, 통보 의무 존재
대표적으로 헷갈리는 경우도 같이 살펴보겠습니다.
o 광고ID (ADID/IDFA)를 사용한 맞춤형 광고
- 비로그인 사용자 기반, 회원정보와 결합하지 않는 경우 : 비식별
- 로그인 사용자 기반, 광고ID+회원ID 결합 : 식별
o IP 주소 사용
- 일시적 세션 분석, 개인정보와 결합하지 않는 경우 : 비식별
- 고정IP를 고객 DB와 매핑해 특정 사용자를 찾음 : 식별
o 서비스를 개선하는 UX 분석 도구(GA 등)
- user_id를 임의 값으로 넣는 경우 : 비식별
- user_id에 회원ID*를 넣는 경우 : 식별 (*user_id에 넣는 값으로 내부 DB 등에서 개인정보가 역추적이 가능한 경우 해당)
제3자의 웹·앱에서 자동수집장치를 통해 행태정보를 수집하는 경우란,
- GA 스크립트 삽입 / Amplitude SDK 설치 / Meta Pixel 설치 / TikTok Pixel 설치 / Naver Analytics 스크립트 삽입 등을 이야기합니다.
: 판단 기준 : "사용자의 브러우저·앱에서 실행되는 코드가 제3자 서버로 데이터를 전송하는가?"
<16. 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항>
- 자동화된 결정의 권리·의무 및 행사방법은 <자동화된 결정에 관한 사항>에서 별도로 안내해도 됩니다.
- 정보주체와 법정대리인의 권리 행사 방법 및 절차는 실제 현황을 기재해야 하며, 개인정보의 수집 방법 및 절차에 비해 어렵지 않아야 합니다.
- 정보주체가 개인정보 열람 등 청구를 신청할 수 있는 부서명 및 연락처를 기재할 것을 권장하고 있습니다.
: <개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>에서 개인정보 열람청구 업무 담당자를 안내해도 됩니다.
- 개인정보처리자가 "정보전송자"에 해당하는 경우 개인정보 전송요구권 행사 방법을 기재해야 합니다.
: 본인대상 전송요구 : 보호법 시행령 제42조의6제5항에 따라 '본인전송요구 방법, 전송 현황 및 내역 확인 방법 등'을 기재하면 됩니다.
: 제3자 대상 전송요구 : 정보수신자가 운영하는 서비스를 통해 요구가 가능하므로, "정보수신자 현황 및 제3자전송요구 현황 등은 보호법 제35조의4제2항에 따른 개인정보 전송 지원 플랫폼에서 확인 가능하다"는 등의 행사방법을 기재하면 됩니다.
<17. 자동화된 결정에 관한 사항> <해당시>
- 자동화된 결정을 하는 경우, 그 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 기재해야 합니다.
➀ 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위
➁ 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계
➂ 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차
➃ 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목
➄ 자동화된 결정에 대하여 정보주체가 거부‧설명 등 요구를 할 수 있다는 사실과 그 방법 및 절차
- 이해하기 어려운 점을 고려해 표준화·체계화된 용어 사용 및 동영상·그림·도표 등 시각자료 활용 권장하고 있습니다.
<상세 안내 내용은 '개인정보 처리방침 작성지침' , '자동화된 결정에 대한 정보주체의 권리 안내서', 또는 블로그 글 'v2. 적용 예시' 참고>
<18. 개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>
- <정보주체의 권익침해에 대한 구제방법>을 포함하여 안내하셔도 됩니다.
- 개인정보 보호책임자의 성명, 연락처와 개인정보 보호업무 및 담당 고충 사항을 처리하는 부서의 명칭, 연락처를 모두 기재하는 것을 권장하고 있습니다.
<19. 국내대리인 지정에 관한 사항> <해당시>
- 국내에 주소 또는 영업소가 없는 해외사업자로서 보호법 제31조의2제1항, 동법 시행령 제32조제1항에 해당하는 경우에 작성하셔야 합니다.
- 개인정보 처리방침에 국내대리인의 성명·주소·전화번호 및 전자우편 주소를 포함하지 아니한 개인정보처리자에게는 1천만 원 이하 과태료가 부과됩니다.
<20. 정보주체의 권익침해에 대한 구제방법> <권장>
- 법에 따른 전문기관(개인정보침해 신고센터, 개인정보 분쟁조정위원회), 수사기관 등을 안내할 것을 권장하고 있습니다. (*상시 현행화)
- 정보주체의 피해구제가 원만하게 이뤄지지 않을 경우 추가적으로 피해 구제를 요청할 수 있는 방법을 안내할 것을 권장하고 있습니다.
- <개인정보 보호책임자와 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항>에 함께 기재해도 됩니다.
<21-22. 고정형/이동형 영상정보처리기기 운영·관리에 관한 사항> <해당시>
- (고정형/이동형)영상정보처리기기운영자는 보호법 제25조제7항에 따라 ‘(고정형/이동형)영상정보처리기기 운영·관리 방침’을 마련하는 경우 개인정보 처리방침에 포함하여 공개할 수 있습니다.
- 해당 방침은 보호법 시행령 제25조제1항에 따른 사항을 모두 포함하여야 합니다.
: 해당 글에서는 별도로 다루지 않고 생략하였습니다. '개인정보 처리방침 작성지침' 또는 '고정형 영상정보처리기기 설치·운영 안내서'를 참고하시기 바랍니다.
<23. 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항> <권장>
- 법령에서 규정하는 안전성 확보조치 관련 의무사항 외에 자율적으로 이행하는 개인정보 조치사항에 대해 기재 할 수 있습니다.
: ISMS-P 인증 등 개인정보보호를 위한 국내외 인증 획득 현황
: 휴면고객 정책 운영
: 인공지능(AI) 학습데이터 수집·이용 기준
: 개인정보보호 관련 블로그 등 소셜미디어 매체를 통한 개인정보처리자의 개인정보보호 활동 및 정책 게시
<더 자세한 개인정보보호 활동 예시 및 작성 예시에 대하여는 '개인정보 처리방침 작성지침'을 참고>
<24. 개인정보 처리방침의 변경에 관한 사항>
- 이전 개인정보 처리방침도 시행일자 별로 확인 가능하도록 기능을 제공 및 지속적으로 공개해야 합니다. (클릭 시 해당 버전으로 이동)
- 처리방침 변경사항 별도 안내 시, 웹페이지 팝업창, 공지사항 등을 통해 쉽게 확인할 수 있는 방법 활용하는 것을 권장하고 있습니다.
[처리방침 변경사항 공개 예시]
<개인정보처리자명>은(는) 개인정보 처리방침의 내용을 다음과 같이 변경 예정임을 알려드립니다. 개정된 개인 정보 처리방침은 00년 00월 00일에 시행됩니다.
□ 주요 개정 내용
○ 개인정보 처리 업무의 위탁에 따른 업체 변경의 건
○ 변경 주요내용 요약
□ 개인정보 처리방침 변경 전·후 비교
(전 후 비교 표)
<개인정보처리자명>의 개정 후 개인정보 처리방침의 내용에 대해서는 개인정보 고충처리 부서로 문의할 수 있습니다.
담당부서: ○○○, 담당자: ○○○, 전화: 02–000-0000, 이메일주소: oooo@oooo.ooo
개인정보 처리방침 작성 지침은 명확해 보이지만, 하나의 정답을 제시하는 문서는 아닙니다.
기업마다 환경과 서비스가 다르기 때문에, 결국 중요한 것은 우리 조직에 맞는 기준을 스스로 세우는 것입니다.
삭제가 망설여지는 문구나 적용 여부가 애매한 항목이 있더라도, 합리적인 기준에 따라 판단했다면 그 자체로 이미 좋은 처리방침이라고 생각합니다.
이 글이 실무적으로 처리방침을 작성하는 데 도움이 되었기를 바랍니다.
앞으로도 현장에서 고민되는 주제들을 계속 다뤄보겠습니다.
감사합니다.
신하린 | shr@cela.kr