cppg 준비 및 요약 (4)에 이어서 작성합니다.
2. 개인정보 저장, 관리
① 개인정보 저장, 관리의 이해, 파기의 원칙, 개인정보 처리 시 유의사항
> 개인정보처리자가 정보주체의 개인정보를 취급할 때에는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 보호조치를 취해야 한다.
> 개인정보보호법 제21조 개인정보의 파기에 따라 개인정보처리자는 수집한 개인정보에 대하여 다음과 같은 경우 '지체없이' 파기해야 한다.
- 개인정보의 수집·이용 목적을 달성한 경우
- 개인정보의 보유 및 이용기간이 끝난 경우
- 폐업하는 경우
> 개인정보 파기의 예외로는 상법, 국세기본법, 통신비밀보호법 등 다른 법률에 의해 보관해야 할 필요성이 있는 경우에는 그러하지 아니하다.
> 지체없이 필요한 조치에서 '지체없이'란? (중요)
1) 정보주체의 요구에 대해 조치를 가장 우선순위를 두어 처리하는데 소용되는 시간을 말한다.
2) 오프라인에서의 서류 조사 등에 시간이 다소 소요되고, 개인정보처리자가 고의로 업무처리를 지연한 사정이 없다고 보이는 이상에도 의미한다.
> 개인정보의 파기대상에는 정보주체가 제공한 개인정보 뿐만 아니라 정보주체로부터 재화 또는 서비스 제공 과정상에 생성된 개인정보 및 백업 파일에 기재된 개인정보도 포함된다.
> 이때, 생성정보의 예시로는 로그인기록, IP, 쿠키, 결제기록 등이 존재한다.
> 개인정보의 파기 방법으로 개인정보처리자는 전자적 기록으로 되어있는 개인정보를 파기할 때에는 다시 재생할 수 없도록 기술적 방법으로 삭제 또는 당해 개인정보가 기록된 매체, 출력물, 서면을 물리적으로 분쇄하거나 소각하여 완전히 파기해야 한다.
- 개인정보가 기록된 출력물, 서면 : 파쇄 또는 소각
- 전자적 파일형태 : 복원이 불가능한 방법으로 영구 삭제
> 정보통신서비스 제공자 등은 2012년 8월 18일을 기점으로 해당 정보통신서비스를 유효기간 동안 이용한 기록이 없는 이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 하며, 유효기간 만료 30일 전까지 해당 이용자에게 개인정보가 파기 또는 분리 저장·관리되는 사실·일시·개인정보 항목을 통지하여야 한다.
> 보유할 수 있는 유효기간은 1년을 원칙으로 하며 다른 법령에서 별도의 기간을 정하고 있는 경우와 이용자의 요청에 따라 기간을 달리 정한 경우에는 해당 기간을 적용한다.
> 개인정보 저장·관리 시 유의사항으로는 정보주체의 동의철회 이후에도 관련 법률 등에 따라 개인정보를 보유해야 하는 경우 별도 관리하고 접근권한을 최소화하여 반드시 필요한 경우에만 열람 혹은 처리가 가능하도록 해야 한다.
> 텔레마케팅 거부 고객의 경우에는 동의를 철회한 것이므로 정보주체의 개인정보는 텔레마케팅에 이용할 수 없다.
> 위탁에 동의하지 않은 혹은 동의를 철회한 정보주체의 경우 개인정보를 위탁업체에 의해 이루어지는 상품 홍보 및 부가서비스 가입 권유 텔레마케팅 등에 이용해서는 안된다.
> 개인정보 처리자는 정보주체의 개인정보를 관리함에 있어 정보주체의 권리침해 및 기술적·관리적·물리적 보호조치 미비로 관련 법률 위반에 해당하지 않도록 주의를 기울여야 한다.
> 개인정보 관리 단계에서의 침해유형으로는 다음 항목이 존재한다.
- 수집 또는 이용목적 달성 후 개인정보 미파기
- 파기 조건 미달성 정보에 대한 관리 부주의
3. 개인정보 제공
① 개인정보 제공의 이해
> 정보주체의 개인정보가 수집·이용 목적 동의를 받은 범위 이외로 제3자에게 제공되는 경우는 '개인정보의 제3자 제공', '개인정보 취급위탁', '영업 양도 등에 따른 이전' 방식으로 구분할 수 있다.
> 제3자 제공에서의 제3자란? 정보주체의 개인정보를 수집·이용하기 위해 보유하고 있는 개인정보처리자와 그로부터 개인정보 취급을 위탁받은 자(수탁자), 개인정보처리자로부터 영업을 양수한 자(영업양수자)를 제외한 모든 자를 의미하는 것으로, 패밀리사이트, 계열회사, 모회사-자회사, 관계회사를 포함하여 자신이 아닌 모든 자(공공기관, 일반사업자, 개인 등)를 의미하는 것이다.
> 제3자 제공에서 제공이란? 개인정보를 제3자에게 전달하는 행위를 말한다. 그러나 법률상의 개인정보 제공이란 다음 내용이 포함되는 것을 의미한다.
- 정보주체의 개인정보를 저장매체(테이프, 디스크)로 직접 전달하는 행위
- 네트워크를 통해 전달하는 행위
- 개인정보 DB를 제3자가 열람·복사할 수 있도록 접근권한을 부여하는 행위
- 정보주체의 개인정보 자체를 확인할 수 있는 모든 행위
② 개인정보 제3자 제공·위탁 원칙
> 개인정보보호법 제17조 개인정보의 제공에 따라 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공하고자 하는 경우에는 다음 각 내용을 고지하여 동의를 받아야만 하고, 이 중 어느 하나가 변경되는 경우에도 개별적인 동의를 받아야만 한다.
1) 개인정보를 제공받는 자
2) 개인정보를 제공받는 자의 개인정보 이용 목적
3) 제공하는 개인정보의 항목
4) 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
> 위와 같은 내용을 고지하고 '정보주체의 동의를 받은 경우'와 제15조제1항제2호·제3호·제5호 및 제39조의3제2항제2호·제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우에 제3자 제공을 할 수 있다.
> 개인정보 처리자는 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 개인정보를 제공받는 자에게 이용 목적 및 방법, 필요 사항에 대한 제한, 개인정보의 안전성 확보를 요청할 수 있으며, 요청을 받은 자는 필요한 조치를 하여야 한다.
> 개인정보보호법 제26조 업무위탁에 따른 개인정보의 처리 제한에 따라 개인정보처리자는 정보주체의 개인정보를 제3자에게 수집, 보관, 처리, 이용, 제공, 관리, 파기 등의 업무를 위탁하는 경우에는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
> 개인정보의 처리 업무 위탁의 공개 방법으로는 인터넷 홈페이지가 있으며, 인터넷 홈페이제 게재할 수 없는 경우 위탁자의 사업장 등의 보기 쉬운 장소에 게시하거나 관보, 일반일간신문, 일반주간신문, 인터넷 신문, 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물, 소식지, 홍보지 또는 청구서 등에 지속적으로 싣거나 재화나 용역을 제공하기 위하여 위탁자와 정보줓가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법이 있다.
> 개인정보보호법 시행령 제28조 개인정보의 처리 업무 위탁시 조치에 따라 다음 사항들은 업무위탁에 따른 개인정보의 처리 제한에서 개인정보의 안전한 관리를 위하여 정한 사항이다.
1) 위탁업무의 목적 및 범위
2) 재위탁 제한에 관한 사항
3) 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
4) 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
5) 법 제26조제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
③ 제3자 제공과 위탁의 구분
> 해당 내용은 꽤 중요한데, 그 이유가 두 구분이 헷갈리기 쉽다.
> 제3자 제공은 정보주체가 계약한 개인정보처리자가 제3자에게 개인정보를 제공하여 당초 계약한 목적과는 무관한 재화 또는 서비스 제공을 하게 되는 것으로, 이 경우 개인정보처리자가 개인정보를 제공한 자와 정보주체 사이에는 새로운 계약관계가 발생하는 것으로 볼 수 있다. 즉, 제3자 제공은 제공받는 측의 사업 목적을 위해 개인정보를 제공하는 경우이다.
> 업무 위탁은 정보주체가 개인정보처리자와 계약한 서비스 제공을 위해 발생하는 업무의 일부를 다른 업체가 수행하는 과정에서 개인정보 제공이 발생하는 것으로, 자신의 업무와 직·간접적으로 관련된 업무의 일부를 타인으로 하여금 그의 책임과 권한으로 행하도록 하는 것으로 볼 수 있다. 즉, 업무 위탁은 제공하는 측의 사무 처리를 위해 개인정보를 제공하는 경우이다.
> 간단하게 제공받는 자의 목적으로 하면 제3자 제공이고, 제공하는 자의 목적으로 하면 업무 위탁으로 보면 된다.
④ 개인정보 제공 시 유의사항
> 제3자 제공 시 유의사항으로는 개인정보를 제공받은 자에게 목적 및 이용방법, 그 밖에 필요할 사항에 대해 제한할 수 있도록 해야 한다. 또한, 정보주체의 개인정보에 대한 안정성 확보를 위해 필요한 조치를 하도록 요구하여야 하며, 이러한 요청을 받은 자는 그에 따른 필요한 조치를 취해야 한다.
> 개인정보 업무 위탁의 재위탁에는 제한이 따르는데, 정보주체의 동의 혹은 공개 및 통지 절차 없이 개인정보 업무 위탁의 재위탁을 허용하는 것은 취급 목적을 벗어난 제3자 제공이 된다. 그렇기에 수탁업체가 수탁 받은 업무를 외부 업체에 재위탁하는 경우에도 이에 대한 정보주체의 동의 혹은 공개 및 통지 절차가 필요하다.
> 개인정보처리자는 수탁자가 개인정보를 취급함에 있어서 규정을 위반하지 않도록 관리·감독을 해야 할 책임을 규정하고 있으므로 업무위탁 계약서 상 취급목적 등 수탁자가 수행할 수 있는 개인정보 취급업무의 범위를 구체적으로 명시하고 위탁업무와 관련하여 수탁자의 업무범위를 벗어난 행위를 하지 않도록 수시로 관리·감독해야 할 필요성이 있다.
> 중요한 것은 이러한 규정을 위반해 정보주체에게 손해가 발생할 경우 수탁자를 손해배상책임에 있어 개인정보처리자의 소속 직원으로 보기 때문에 연 2회 이상 개인정보보호교육을 실시하는 등의 지속적인 관심이 필요하다.
> 개인정보 제공 단계에서의 침해유형으로는 다음과 같다.- 정보주체의 동의 또는 고지 없는 개인정보 제3자 제공- 당초 수집 시에 고지한 목적을 넘어서는 개인정보의 제공- 개인정보 위탁업무의 미공개 또는 부족한 고지사항 공개- 영리 또는 부정한 방법으로 개인정보를 이용하거나 제공
'자격증 > CPPG' 카테고리의 다른 글
| CPPG(개인정보관리사) 준비 및 요약 (8) - 영상정보(CCTV) 관련 [민간부문] (0) | 2022.08.17 |
|---|---|
| CPPG(개인정보관리사) 준비 및 요약 (7) (0) | 2022.08.17 |
| CPPG(개인정보관리사) 준비 및 요약 (4) (0) | 2022.08.15 |
| CPPG(개인정보관리사) 준비 및 요약 (3) (0) | 2022.08.15 |
| CPPG(개인정보관리사) 준비 및 요약 (2) (0) | 2022.08.14 |
