< PART 3 >
개인정보 수집 및 이용 가능 경우 :
정보주체의 동의
사회통념상 동의의사가 명확히 있는 경우(명함 주고받기 등 -> 명확한 동의인지 확인은 필요)
법률 상 규정 or 법령상 의무 준수
법률
법률에 위임근거가 없는한 시행령 or 시행규칙에 규정 x
ex) 채권추심, 진료기록의 열람, 병역판정 검사 등
법령
법률에 의한 의무뿐만 아니라 시행령,시행규칙에 따른 의무도 포함
ex) 본인확인, 연령 확인(청소년 유해매체/업소, 인터넷 게임 연령 확인,미성년자 거래 연령)
공공기관이 법령등에서 정하는 소관업무
명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관업무를 정하고 있다.( 주민등록법, 건강보험법 등)
계약 이행
계약 체결 : 계약 체결을 위한 준비단계도 포함(체결 전 거래상대의 신용도 평가)
계약 이행 : 물건의 배송/전달이나 서비스의 이행 업무, 부수적인 경품배달,포인트관리, 애프터 서비스 의무
정보주체 or 제3자의 급박한 생명,신체,재산의 이익을 위해
생명보다 재산이 우선시 될 수는 없다.
개인정보처리자의 정당한 이익이 정보주체의 권리보다 우선하는 경우
요금 징수 및 정산, 채권추심, 도난방지 및 시설안전을 위한 CCTV
*사업자가 생성한 정보도 개인정보 ‘수집’행위
공중위생의 안전과 안녕을 위해
8. 친목단체의 운영
자원봉사, 취미, 정치, 종교 등 공통의 관심사를 전제로 단체를 이루고 구성원간 친교하는 것이 목적
개인정보 수집 및 이용 동의시 고지사항 :
개인정보의 수집/이용 목적
수집하려는 개인정보의 항목
개인정보의 보유 및 이용 기간
동의를 거부할 권리가 있다는 사실과 거부에 따른 불이익의 내용
-> 개인정보 수집/이용 목항기거
*개인정보 수집 동의를 받을 때 “등”이라는 표현을 사용해서는 안된다. (구체적으로 기제)
*개인정보 추가적인 이용이란 정보주체의 동의없이 개인정보 이용 or 제공하는 경우이다
*개인정보 추가적인 이용 – 개인정보 처리방침에 미리 공개, 암호화/가명처리 등 안전조치 등
*다른 목적으로 제공 받고 그걸 가지고 광고목적으로 이용하고자하면 별도의 동의 필요
*임차인이 전세대출을 위해 전세계약서를 은행에 제출하는 경우 임대인의 개인정보를 동의없이 수집/이용 가능하다. (개인정보처리자의 정당한 이익) 하지만, 주민등록번호 수집은 제한된다.
*가명정보는 당초 수집목적과 달라도 연구 등의 목적으로 이용할 수 있다.
*민감정보 or 고유식별정보는 별도동의나 법령에 근거가 있지않는한 추가이용 x
개인정보 수집 시 동의받는 경우 : (각각 받고/알아보기 쉽게/동의없이 처리 가능한 항목과 분리해서/동의없이 처리할 수 있는 개인정보라는 사실의 입증책임은 개인정보처리자)
개인정보의 수집/이용
개인정보의 제공
개인정보의 목적 외 이용/제공 제한
개인정보를 제공받은 자의 이용/제공 제한
민감정보의 처리 제한
고유식별정보의 처리 제한
재화나 서비스 홍보 or 판매 권유
*개인정보처리자는 정보주체가 선택적 동의 사항에 동의하지 x or 서비스 홍보용/목적 외 이용및제공에 관해 동의하지 x다고 서비스나 재화 제공을 거부해서는 안된다.
동의 내용 작성시 유의:
자유로운 의사에 따라 동의 여부 결정
동의 내용 명확하고 구체적
내용을 쉽게 이해할 수 있게
동의 여부 명확하게 표시할 수 있는 방법
동의 방법 :
동의 내용 서면 or 우편 or 팩스로 전달후 서명 동의서 받기
전화로 동의 내용 고지 ->전화로 동의 확인
전화로 인터넷주소 알려줌 -> 인터넷주소로 동의 내용 확인 -> 전화로 동의 확인
인터넷 홈페이지
전자우편
*개인정보 제공시 제공받은 자의 보유 및 이용기간, 이용 목적, 제공받는자
법정대리인 동의 :
(인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 함. 본인확인이라고 생각)
확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
확인했음을 법정대리인의 신용카드/직불카드 등의 카드정보를 제공받는 방법
확인했음을 법정대리인의 휴대전화 본인인증을 통해 본인 여부 확인
--------
4. 서면을 법정대리인에게 직접 발급 or 우편 or 팩스로 전달 -> 동의서 제출받기
5. 전자우편 발송 -> 동의의사 전자우편 받기
6. 전화로 동의내용 or 전화로 인터넷주소 -> 재차 전화통화로 동의 받기
*법정대리인의 동의를 받기 위해 필요한 최소한의 정보는 법정대리인의 동의 없이 해당아동으로부터 직접 수집 가능
----------------------------------------------------------------------------
< 간접 수집>
개인정보 간접 수집 시 통지 :
통지 의무자 -
5만명 이상의 정보주체의 민감정보 or 고유식별정보 처리자
100만명 이상의 정보주체에 관한 개인정보 처리자
통지 요구/의무이더라도 적용 x -
1. 통지를 요구하는 개인정보가 처리정지 요구 예외 개인정보파일인 경우
2. 통지로 인해 다른 사람의 생명/신체를 해할 우려가 있거나 다른사람의 재산등의 이익을 부당하게 침해할 우려가 있는 경우
통지 시기 -
개인정보를 제공받는 날부터 3개월 이내
*단, 동의를 받은 범위 안에서 연2회 주기적으로 개인정보를 제공받는 경우 3개월 이내에 통지 or 동의를 받은 날로부터 연1회이상 통지
통지 내용 - (요구시 or 의무)
개인정보의 수집 출처
개인정보의 처리 목적
개인정보 처리의 정지 요구 or 동의 철회 권리
-> 출목정
통지 후 기록 보관/관리 - (개인정보 파기전까지)
정보주체에게 알린 사실
알린 시기
알린 방법
*자체적으로 생성 or 생성된 정보는 간접수집 x
*가명정보 적용 제외
*통지방법 – 서면,전화,문자,전자우편 등
*정보주체의 요구로 통지시 3일이내에 답변 (요구를 거부한다면 거부사유 또한 3일이내)
*개인정보처리자가 수집한 정보 중 연락처 등 정보주체에게 알릴 수 있는 정보가 없다면 알리지 않아도 된다.
*개인정보의 수집 출처와 이용/제공 내역의 통지를 같이 할 수 있음.
-----------------------------------------------------------------------------
< 목적 외 이용 및 제공 >
개인정보 목적 외 이용/제공 제한 :
- 동의 범위를 초과해 이용 x
동의 범위를 초과해 제3자에게 제공 x
개인정보 목적 외 이용/제공 가능한 경우 : (공공기관은 다 가능)
정보주체 별도 동의
법률 규정
정보주체 or 제3자의 급박한 생명,신체,재산의 이익을 위해
(공공기관 한정)
4. 소관 업무 수행을 위해 (보호위원회 심의/의결한 경우)
5. 조약
6. 범죄의 수사
7. 법원의 재판
8. 형 및 감호
(공공기관 및 공공기관 외)
9. 공중위생 등 공공의 안녕과 안전을 위해
개인정보 목적 외 이용/제공 별도 동의 내용 :
개인정보를 제공받는 자
개인정보의 이용 목적(제공시에는 제공받는 자의 이용 목적)
이용 or 제공하는 개인정보의 항목
개인정보의 보유 및 이용 기간(제공시에는 제공받는자의 이용 기간)
동의를 거부할 권리가 있다는 사실 및 불이익 내용
-> 목항기거자
개인정보 목적 외 이용
*공공기관이 목적 외 이용/제공하는 경우 법적 근거 및 목적,범위를 인터넷 홈페이지 or 관보 등에 게재해야함. 게재 시점 – 제공한 날로부터 30일 이내/게재 기간 – 10일 이상(인터넷 홈페이지의 경우)
*공공기관이 목적 외 이용/제공 시 대장에 기록/관리 해야함. (개인정보파일은 공공기관만 대상,기본적인 것들에 제공 날짜/기간/형태 등도 대장에 기록 관리 항목임.)
*개인정보를 제공할 때는 제공받는자에게 안전성 확보 조치 요구 or 이용 목적, 이용 방법 등 필요한 사항에 대해 제한해야함.
*동의 받을 때 민감정보 or 고유식별정보(주민등록번호 제외)가 있다면 명확히 동의 내용에 표시해야함.
-----------------------------------------------------------------------------
< 영리목적의 광고성 >
영리목적의 광고성 정보 -
- 영업을 하는자가 고객에게 보내는 정보는 모두 광고성 정보
비영리법인은 전송하는 정보의 성격에 따라 광고성 여부 판단
이미지 홍보 또한 광고성 정보로 볼 수 있다.
광고성 정보가 주된 내용이 아니더라도 광고성 정보가 포함되어있다면 광고성 정보에 해당
광고성 정보 예외 -
- 고객의 요청에 의해 발송하는 1회성 정보(견적서 등)
금전적 대가를 지불해 신청한 정보(뉴스레터 등)
정보제공을 서비스로 하는 자가 명시적인 계약체결을 해 정보를 전송하되 직접적인 수익 발생 x, 광고 냄새가 안나야됨.
-> 이미 관련 서비스를 대가를 지불해서 이용자가 이용하는 것과 관련된 정들은 광고성 x
사전 동의 없이 가능한 경우 -
재화등의 거래관계를 통해 직접 연락처를 수집한 자가 정한 기간내(6개월)에 같은 종류의 재화 등의 광고성 정보 전송하는 경우
방문판매 법률에 따라 전화권유판매자가 육성으로 수집출처를 고지하고 전화권유하는 경우
전송시 광고성 정보에 들어갈 내용 :
전송자의 명칭 및 연락처
수신 거부 방법
*수신 거부 or 동의 철회를 회피 방해하는 조치를 해서는 안된다.
*수신동의 철회할 때 발생하는 전화요금 등 금전적 비용을 수신자가 부담하게 해서는 안된다.
*수신동의 철회/동의/거부 시 처리 결과를 알려야한다. (14일이내)
전송자의 명칭
수신 동의/거부/철회 사실과 의사 표시 날짜
처리 결과
*수신동의를 받은 자는 정기적으로(2년마다) 수신동의 여부를 확인해야한다. (재동의가 아닌 동의여부 확인이다.)
수신동의 여부 확인 내용
전송자의 명칭
수신 동의사실과 동의한 날짜
유지 or 철회의 의사를 표시하는 방법
*사전동의 철회시 전송 x
*오후 9시부터 다음날 오전8시 사이의 광고성 정보를 전송하려는 자는 별도의 동의를 받아야한다.(따로 또 동의를 받으라는 소리), 전자메일 제외
*약관 일괄 동의 x (따로 받아야함)
*동의 받을 때 “동의함”이 디폴트 값이면 안된다.(미리 체크해놓기 x)
*영리목적의 광고성 정보를 전송하는 자는 전송 시 전송자의 명칭 및 연락처 + 수신 거부 의사표시 방법을 밝혀야함.(두개다)
-----------------------------------------------------------------------------
< 개인정보 파기 >
개인정보 파기 - (5일이내 파기)
보유기간 경과, 처리 목적 달성, 가명정보 처리기간 경과 등
파기할 때는 복구 or 재생되지 않도록 조치
파기하지않고 보존해야하는 경우 따로 분리해서 저장/관리 해야함. (개인정보 보호지침 등을 통해 정보주체에게 알려야함, 보존에 관한 법적 근거 명확)
파기 방법 -
전자적 파일 : 디가우저(강한 자기장으로 복구 불가능하게), 로우레벨 포맷(공장 초기화),와이핑(랜덤값으로 여러번 덮어씌우기)
2. 서면 : 파쇄 or 소각
3. DB서버 데이터의 경우 : delete,덮어쓰기
*파기시 개인정보 보호 책임자가 확인해야한다.
보존의무 기간 -
표시/광고 기록 : 6개월
계약 or 청약철회 기록 : 5년
대금결제 : 5년
소비자 불만 or 분쟁처리 : 3년
건당 거래금액 1만원 이하 전자금융거래 기록 : 1년
건당 거래금액 1만원 초과 전자금융거래 기록 : 5년
신용정보 업무처리 기록 : 3년
통신사실확인자료 : 12개월(시외/시내 전화 역무 기록 : 6개월)
로그기록,접속지 추적자료 : 3개월
환자명부 : 5년
진료기록부 : 10년
처방전 : 2년
수술기록 : 10년
검사소경기록 : 5년
진단서 등의 부본 : 3년
*회원정보 파기 중 할부 요금이 미납 or A/S기간이 남아있는 경우는 대금결제 및 재화공급의 예로 5년동안 보관가능
-----------------------------------------------------------------------------
< 노출 개인정보의 삭제 및 차단 >
개인정보처리자는 노출된 개인정보에 대해 보호위원회 or kisa의 요청이 있는 경우 해당 정보 삭제 or 차단하는 조치 필요
-----------------------------------------------------------------------------
< 개인정보 제공 >
제3자 -
정보주체,개인정보처리자 제외 다 제3자
제3자 제공,처리위탁,영업양도 이전의 차이
| 제3자 제공 | 처리 위탁 | 양도 개인정보 이전 |
| 제공받는자(제3자)의 목적/이익을 위해 (정보주체의 사전예측이 곤란) | 제공하는 자의 목적/이익을 위해 (사전예측 가능) | 처리목적은 유지 단지, 보유/관리 주체만 변경 |
| 제3자 관리 범위 | 제공하는자 관리 범위 | 양수자의 관리 범위 |
| 정보주체 고지/동의 or 법률 규정 | 처리위탁사실 공개 | 정보주체에 통지 |
개인정보 제공 가능 경우 -
정보주체의 동의(목항기거자 알리고 동의받기)
수집 목적 범위 안에서 제공하는 경우(불이익 여부, 암호화등 안전조치 확인 후 동의 없이 제공 가능,법률/소관업무/급박한 생명/안전과 안녕)
*개인정보 처리방침에 공개,개인정보 보호책임자가 잘지켜지는지 확인
-----------------------------------------------------------------------------
< 개인정보 국외이전 >
개인정보 국외이전 가능 경우 -
별도 동의 받은 경우
법률,조약
정보주체와의 계약 체결 및 이행을 위해( 개인정보 처리방침에 공개, 전자우편등으로 정보주체에게 알린 경우)
4. 이전받는 자가 인증을 받은 경우(안전조치, 정보주체 권리보장 조치, 인증받은 사항을 이전되는 국가에서 이행할 수 있도록 조치)
5. 이전되는 국가의 개인정보 보호 수준과 실질적으로 동등한 수준(이 법에 따른 수준)을 갖추었다고 보호위원회가 인정하는 경우(정보주체 권리 보장, 독립적 감독기관 여부, 피해구제 절차 유무, 공공기관(유사 기관)이 법률에 따라 개인정보를 처리하는가, 감독기관이 보호위원회와 원활한 상호협력이 가능한지 여부)
개인정보 국외이전 동의 내용 -
이전받는 자의 개인정보 이용목적 및 보유/이용 기간
이전되는 개인정보 항목
이전 거부 방법
이전받는 자
이전되는 국가,시기 및 방법
-> 목항기거자국시방
*변경내용 발생시 정보주체의 동의 받아야함.
*이법을 위반하는 내용의 계약을 체결하면 x
인증 고시 절차 -
개인정보 보호 인증 전문기관의 평가
개인정보 국외 이전 분야 전문위원회의 평가
정책협의회의 협의
*인증 고시할 때에는 5년의 범위에서 유효 기간을 정해 고시할 수 있다.
*보호위원회는 인정할 때 이전 개인정보의 범위, 이전받는 처리자의 범위, 인정 기간, 이전의 조건 등을 이전대상국등 별로 달리 정할 수 있음.
*이전받은 국가의 개인정보 보호체계등 변경이 생기면 인정 취소 or 내용 변경 가능(인정 취소 or 내용 변경의 경우 관보나 보호위원회 인터넷 홈페이지에 게재 해야함)
*보호조치란 정보주체의 보호와 개인정보의 보호 둘다를 말한다.
국외 이전 중지 -
국외 이전 계속 or 추가적인 국외 이전이 예상되는 경우 중
보호조치/인증/정보주체 동의 중 위반한 경우
개인정보 보호 수준에 비해 정보주체에게 피해가 발생할 우려가 현저한 경우
-> 그냥 보호 제대로 못해줄 것 같으면 중지
3. 국외 이전 중지 명령 후 명령을 받은 날로부터 7일이내에 보호위원회에 이의 제기 가능
보호위원회는 30일이내 답장
*국외 이전 중지 명령시 국외이전전문위원회의 평가를 거쳐야함.
*국외 이전 중지 명령을 받은 시점에서 일단 중지해야함. 이의제기를 하더라도 결과가 나오기전에는 명령의 효력이 적용되고 있는 것이기 때문
-----------------------------------------------------------------------------
< 개인정보 처리 위탁 >
처리 위탁시 내용 -
목적 외 처리 금지
보호조치
*재화/서비스 홍보 업무는 수탁자를 정보주체에게 알려야한다.
*수탁자 교육,안전하게 처리하는지 감독
*수탁자가 다시 재위탁하려는 경우 위탁자의 동의를 받아야한다.
*수탁자는 개인정보처리자의 소속 직원으로 본다(손해배상책임에 대해)
*수탁자를 알릴 때는 위탁자의 인터넷 홈페이지(30일 이상) 등에 업무 내용 및 수탁자를 게재(게재 못하는 경우 위탁자의 사업장(30일 이상),관보/신문(공공기관인 경우),(연2회 이상)간행물/청구서,계약서에 게재)
*위/수탁 업무 종료시 개인정보 파기사실 확인 후 증빙자료 남겨야함.
개인정보처리 업무 위탁 : 개인정보 관리 업무 그자체
개인정보취급 업무 위탁 : 일하면서 개인정보 이용이 수반
*마케팅 업무 위탁은 고지/ 이외는 위탁사실 공개
-> 홍보는 고지/통지 한다고 그냥 생각
-> 수탁자 잘못은 위탁자 잘못이라고 생각
-----------------------------------------------------------------------------
< 영업 양도 양수 >
영업양도 등에 따른 개인정보의 이전시 정보주체에게 알려야 할 내용 -
개인정보 이전 사실
개인정보 이전받는 자
이전 원하지 않을 때 조치
-> 사자조
*양도/양수는 민간기업만 해당, 공공기관 x
*원칙적으로는 양도자/양수자 둘다 정보주체 통지 의무 있음. 다만, 영업 양도자가 알렸다면 양수자는 알리지않아도 됨.
*이전시 이전전 이용 목적으로만 이용 가능
*이전하기 전에 미리 통지해야함.
'자격증' 카테고리의 다른 글
| [CPPG] PART 2 (정밀본) (0) | 2024.05.29 |
|---|---|
| [CPPG] PART 5 (0) | 2024.05.29 |
| [CPPG] PART 4 (0) | 2024.05.29 |
| [CPPG] PART 2 (0) | 2024.05.29 |
| [CPPG] PART 1 (0) | 2024.05.29 |