1. 목 적
○『개인정보보호법』 및 같은 법 하위법령에 따라 산림청 본청 및 소속기관의 개인정보보호 업무를 담당하는 자가 수행해야 할 개인정보보호 활동 규정
2. 적용 범위
○ 산림청 본청 및 소속기관에서 정보시스템, PC 파일, 종이, 개인정보영상처리기기(CCTV), 전화 녹음파일 등의 개인정보를 처리하는 자에게 적용
3. 개인정보 보호 원칙
○ 수집 목적 명확화 및 이용 제한의 원칙
- 수집 목적을 명확히 특정하고 그 특정 목적달성을 위해서만 처리
○ 수집 제한의 원칙
- 목적에 필요한 최소한의 개인정보 수집
○ 정보내용의 정확성의 원칙
- 개인정보는 목적에 부합하도록 정확하고 최신의 상태 유지
○ 안전성 확보의 원칙
- 개인정보의 분실 또는 불법 접근, 파괴, 사용, 변조 등에 대비하여 기술적·관리적·물리적 안전조치
○ 공개 원칙 및 정보주체 권리 보장의 원칙
- 개인정보 파일대장·처리방침 등 개인정보 처리에 관한 사항은 공개되어야하며 정보주체의 열람, 정정·삭제 요구 등 권리 보장
4. 용어 정의
가. 개인정보
○ 살아있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 것을 포함)
나. 개인정보파일
○ 쉽게 검색 가능하도록 체계적으로 배열 또는 구성한 개인정보의 집합물
다. 개인정보보호 대상
○ 종이, 정보시스템, PC, 영상정보처리기기(CCTV), 전화 녹음파일 등에서 업무상 필요에 의하여 처리되고 있는 개인정보
1. 개인정보보호 실무위원회 구성
가. 개인정보보호 실무위원회
○ 위원장 : 기획조정관
○ 위원 : 내·외부위원 각 2~3명
○ 간사 : 정보통계담당관
나. 개인정보보호 실무위원회 역할
○ 개인정보보호 관련 지침 및 계획의 타당성 등 검토
○ 개인정보 처리실태 점검 및 개선권고 등
2. 개인정보 보호책임자 지정
가. 개인정보 보호책임자
○ 산림청 개인정보 보호책임자 : 기획조정관
○ 소속기관에서는 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 소속기관의 장을 개인정보 보호책임자로 지정하여 운영
- 소속기관별 개인정보 보호책임자 지정·변경 시에는 산림청 개인정보 보호책임자에게 공문 등으로 통지
○ 개인정보를 취급하는 본청 각과 및 소속기관의 부서의 장을 분야별 개인정보 보호책임자로 지정하여 운영
나. 산림청 개인정보 보호책임자 역할
○ 산림청 기본계획 수립(3년 기준)
○ 개인정보보호 시행계획 수립·시행
○ 개인정보보호 관련 지침 제·개정
○ 개인정보 처리 실태 점검 및 개선 권고
○ 개인정보 처리와 관련한 불만 처리 및 피해 구제
○ 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
○ 개인정보보호 교육 계획 수립 및 시행
○ 개인정보파일 및 대장 등록·파기 승인, 관리 감독
○ 기관 개인정보 처리방침 수립 및 시행
○ 개인정보보호 관련 자료 관리
○ 개인정보 보호 분야별 책임자 지휘·감독
다. 소속기관 개인정보 보호책임자 역할
○ 소속기관의 개인정보보호 계획 수립 및 시행
○ 소속기관의 개인정보 처리 실태 조사 및 개선
○ 소속기관의 개인정보 처리와 관련한 불만 처리 및 피해 구제
○ 소속기관의 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
○ 소속기관의 개인정보보호 교육 계획 수립 및 시행
○ 소속기관의 개인정보 보호 분야별 책임자 지휘·감독
○ 소속기관의 개인정보 취급자 지정·관리·감독·교육
- 개인정보취급자로 하여금 보안서약서(별지 제1호 서식)를 제출하도록 하는 등 적절한 관리·감독을 함
○ 소속기관의 개인정보파일 지정·관리·보호·파기
○ 소속기관의 공개 대상 개인정보파일 등록·공개
○ 소속기관의 공개 대상 개인정보파일의 처리방침 수립·시행 및 공개
○ 소속기관의 영상정보처리기기 운영·관리 방침 수립·시행
○ 소속기관의 개인정보 유출 통지 및 피해확산 방지
○ 소속기관의 개인정보 관련 개선 및 시정 조치사항 보고 등
라. 분야별 개인정보 보호책임자의 역할
○ 소관부서의 공개 대상 개인정보파일 등록·공개
○ 소속기관의 개인정보파일 지정·관리·보호·파기
○ 소관부서의 개인정보 처리 실태 조사 및 개선
○ 소관부서의 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
○ 소관부서의 개인정보보호 교육 계획 수립 및 시행
○ 소관부서의 개인정보 취급자 지정·관리·감독·교육
- 개인정보취급자로 하여금 보안서약서(별지 제1호 서식)를 제출하도록 하는 등 적절한 관리·감독을 함
○ 소관부서의 공개 대상 개인정보파일의 처리방침 수립·시행 및 공개
○ 소관부서의 영상정보처리기기 운영·관리 방침 수립·시행
○ 개인정보 보호책임자의 개인정보 개선 권고사항 시정 및 시정결과 보고
3. 개인정보 보호담당자 지정
가. 개인정보 보호담당자
○ 개인정보 보호책임자를 보좌하고 실무를 담당
나. 개인정보 보호담당자 역할 : 개인정보 보호지침 및 내부관리 계획의 수립· 운영 등 개인정보 보호 실무 업무 처리
4. 개인정보취급자 지정
가. 개인정보취급자
○ 개인정보를 수집·열람·수정·삭제 등 직접 처리하는 자
나. 개인정보취급자 역할 : 개인정보 처리 시 안전조치
1. 개인정보파일 공개
가. 개인정보파일 등록·공개
○ 파일을 보유한 날부터 60일 이내에 개인정보파일(등록·변경) 신청서(별지 제1호의2서식) 제출
○ 개인정보 보호책임자는 신청파일에 대하여 검토·승인하고 행정자치부로 제출
(행정자치부장관(개인정보보호정책과)이 운영하는 개인정보보호종합지원포털(www.privacy.go.kr)에 등록·공개됨)
나. 개인정보파일 등록 예외사항
○ 당해 기관의 내부적 업무처리만을 위하여 처리되는 개인정보파일
- 기관 내부 구성원, 자문위원회, 회의 참석자, 출입기자 등은 등록 제외
○ 국가 안전, 외교상 비밀 등 국가의 중대한 이익에 관한 사항을 기록한 파일
○ 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
○『공공기록물관리에 관한 법률』제33조(비밀 기록물의 관리),『보안업무규정』제4조(비밀의 구분) 등 다른 법령에서 비밀로 분류된 파일
○ 처리하는 개인정보 중「통계법」에 따라 수집되는 개인정보
○ 국가안전보장 관련 정보 분석을 위해 수집·제공이 요청되는 개인정보
○ 공공안전을 위해 긴급히 필요한 경우로 일시적으로 처리되는 개인정보
○ CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일
○ 자료·물품·금전 송부, 1회성 행사 등의 목적으로 수집된 개인정보파일
2. 개인정보처리방침 공개
가. 개인정보처리방침 공개
○ 산림청 개인정보 보호책임자 및 소속기관 개인정보 보호책임자, 분야별 개인정보보호책임자는 소관업무에 맞는 개인정보처리방침을 수립
- 개인정보처리방침에는 다음 10가지 항목이 반드시 포함되어야 한다.
① 개인정보의 처리 목적, ② 처리 및 보유기간, ③ 개인정보의 제3자 제공 사항(해당 시), ④ 개인정보 위탁 사항(해당 시), ⑤ 정보주체의 권리·의무 및 행사 방법, ⑥ 처리하는 개인정보의 항목, ⑦ 개인정보의 파기, ⑧ 개인정보 보호책임자, ⑨ 개인정보 처리방침의 변경이력, ⑩ 개인정보 안전성 확보조치에 관한 사항
○ “개인정보처리방침”으로 명칭 사용, 다른 고지사항과 구분하여 쉽게 확인 가능하도록 글자 크기, 색상 등을 활용
○ 개인정보처리방침을 변경하는 경우 공개 내용
- 변경 및 시행의 시기, 변경 전·후 비교 내용
나. 개인정보처리방침 공개 방법
○ 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면
○ 인터넷 홈페이지 공개가 어려운 경우
- 정보 주체가 보기 쉬운 장소에 게시
- 관보에 게재
- 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적 게재
- 재화나 용역을 제공하기 위하여 정보주체와 작성한 계약서 등에 실어 정보주체에게 발급
1. 고유식별번호·민감정보 처리 제한
○ 고유식별번호 중 주민등록번호 수집 시 근거 법령에서 처리를 요구하거나 허용하는 경우에 한하여 사용
○ 정보주체에게 주민등록번호를 제외한 고유식별번호·민감정보 처리에 대해 별도로 동의를 받거나, 법령에서 처리를 요구하거나 허용하는 경우에 한하여 사용
○ 인터넷 홈페이지 회원가입 시 주민등록번호를 필요로 하는 경우
- 공공 아이핀 등 주민등록번호 대체수단 제공
- 주민등록번호와 대체수단에 의한 가입 방법을 같은 화면에 제공
2. 개인정보 수집 · 이용
가. 가능 범위
○ 정보주체의 동의를 받은 경우
○ 법령에 개인정보 수집 규정이 있는 경우
○ 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
○ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
○ 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우, 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다.
○ 정보주체로부터 명함 등을 제공받아 수집하는 경우, 정보주체가 동의의사를 표시하거나 명함 등을 제공하는 정황에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용
○ 인터넷 홈페이지 등 공개된 곳에서 개인정보를 수집하는 경우, 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시에 대한 정보주체의 동의가 있거나 인터넷 홈페이지 등의 표시내용에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용
○ 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우, 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집·이용 가능
○ 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용
나. 정보주체의 동의를 받아 수집·이용하는 경우
○ 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집
○ 정보주체에게 알려야 할 사항
3. 개인정보 제공
가. 용어 정의
○ “제공”이란
○ “제3자”란
나. 제3자 제공 시 적용 원칙
○ 개인정보 제3자 제공(공유)시 당초 수집·이용 목적과 법률 근거를 확인
- 수집·이용 목적 내 제3자 제공시에는 필요 최소한의 범위 이내로 제한
- 수집·이용 목적 외 제3자 제공시에는 법률에 근거
○ 통계작성, 학술연구 등 공익목적의 경우 비식별화 처리 후 제공 가능
다. 수집·이용 목적 내 제3자 제공(공유)
○ 공공기관의 법령상 의무 또는 법령 등에서 정하는 소관사무 수행을 위해 수집한 개인정보는 당초 수집·이용 목적 내 제3자 제공(공유) 가능
- 정보주체의 동의 또는 법령 등에 근거하여 당초 개인정보의 수집한 목적을 달성하기 위한 최소한의 개인정보를 제공(공유)하는 경우를 의미
- 주민등록번호 등 고유식별정보와 건강에 관한 정보 등 민감정보에 대하여는 정보주체의 별도 동의를 받거나 법령상 구체적 근거가 있는 경우에만 제공(공유) 가능
라. 목적 외 제3자 제공(공유)
○ 개인정보는 정보주체의 별도 동의, 법률상 요구·허용하는 경우 등 개인정보보호법 제18조제2항 각 호의 어느 하나에 해당하는 경우를 제외하고는 제3자에게 제공(공유) 불가
- 통계작성 및 학술연구 등 공익 목적의 업무수행을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 비식별화 처리한 경우에는 당초 수집·이용 목적 외의 용도로 이용 또는 제공 가능
○ 법적 근거에 따라 개인정보의 목적 외 이용·제공이 가능한 경우
- 개인정보 제공을 요구하는 자의 목적과 그 개인정보 제공으로 인한 정보주체 또는 제3자의 부당한 이익 침해 발생 가능성 등을 고려하여 필요 최소한의 범위로 제한하는 등 법적의무사항 준수
마. 정보주체자의 동의를 받아 제공하는 경우
○ 정보주체에게 알려야 할 사항
바. 개인정보의 제3자 제공 절차 및 준수 사항
사. 제공시 안전성 확보
○ 제공자의 의무
- 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 문서로 요청
- 특히, 개인정보를 수집 목적 외의 용도로 이용·제공하는 경우에는 “개인정보의 목적 외 이용 및 제3자 제공대장”(별지 제2호 서식)에 기록·관리
○ 제공 받는 자의 의무
- 안전성 확보조치를 취하고 그 사실을 제공자에게 문서로 통지
- 정보주체의 별도 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공 금지
4. 개인정보 개방
가. 적용 원칙
○ 개인정보가 포함된 공공정보를 불특정 다수에게 개방하고자 하는 경우
- 원칙적으로 특정 개인을 식별할 수 없도록 비식별화 처리
- 불가피한 경우 법률 근거 또는 정보주체 동의하에 제한적으로 개방
○ 공개되어 있는 다른 정보와의 결합을 통한 개인 식별 가능성에 주의
나. 개방
○ 개인정보는 정보주체의 별도 동의를 받은 경우 또는 법률상 개인정보의 개방을 허용하는 경우를 제외하고 개방 불가
- 공공정보 개방·공개 시에는 특정 개인을 알아볼 수 있는 요소를 삭제하거나 비식별화 처리 후 개방·공개
- 개인정보 포함 공공정보 개방 시 해당 법적근거와 개방 목적 등을 표시하고, 별도 이용 제한이 필요한 경우에는 그 사항을 별도 명기
○ 개인정보를 식별화 처리한 후 공개하는 경우
- 공개 대상 정보에 이미 공개된 정보 등과 결합하여 개인 식별이 가능한 정보가 포함되어 있는지 여부 등을 사전 필터링
- 기 공개한 정보가 다른 정보와 결합하여 개인 식별이 가능한지 여부 등을 주기적으로 모니터링 한 후 재식별화 되는 경우 해당 개인정보 삭제 또는 비식별화
다. 관리
○ 개인정보 보호책임자 및 업무 담당자의 조치사항
- 각 기관별로 지정되어 있는 개인정보 보호책임자와 업무 담당자는 공공정보 개방·공유 시 해당 기관의 업무 특성에 따라 발생할 수 있는 개인정보 침해 요소를 사전 점검하고 보완 대책 마련
5. 개인정보 제공 시 관리
가. 제공 시 안전성 확보
○ 제공자의 의무
- 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보보호법 제29조의 안전조치의무를 준수하도록 문서로 요청
- 특히, 개인정보를 수집 목적 외의 용도로 이용·제공하는 경우에는 “개인정보의 목적 외 이용 및 제3자 제공대장”(별지 제2호 서식)에 기록·관리
○ 개인정보 보유여부 사전 필터링
- 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인 식별이 가능한 정보가 포함되어 있는지 여부 등을 사전 필터링
- 개인정보를 비식별화하여 제공하는 경우 제공 전에 최종적으로 개인정보가 포함되어 있는지 다시 한 번 필터링 후 개방·공유
○ 개인정보 사후 모니터링
- 개방·공유한 공공정배에 개인정보가 포함되어 있는지와 개인정보재식별가능성 등에 관하여 정기적 모니터링 실시
○ 생성되거나 재식별화된 개인정보 관리
- 빅데이터 분석 등의 과정에서 불필요한 개인정보가 새로 생성되거나 비식별화 처리된 정보가 재식별화된 경우에는 5일 이내(법정휴일은 제외)에 개인정보를 삭제하거나 비식별화 처리
○ 제공 받는 자의 의무
- 안전성 확보조치를 취하고 그 사실을 제공자에게 문서로 통지
- 정보주체의 별도 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공 금지
○ 개인정보 제공 중단 절차
- 개인정보를 연계 제공받은 기관이 정보주체의 동의 없이 다른 기관에 재제공한 사실이 확인된 경우, 정보주체의 권리를 보호하고 추가적인 개인정보 침해 및 유출사고를 방지하기 위하여 정보제공 중단
- 제공 중단 절차
① 개인정보를 제공받는 자의 개인정보 재제공사항 확인
② 개인정보보호담당자에 의한 경고
③ 개인정보 재제공 사실의 확인
④ 개인정보 보호책임자의 승인
⑤ 개인정보의 제공 중단 사실 통보(공문 발송)
⑥ 개인정보의 제공 중단
6. 정보주체에게 동의를 받는 방법
가. 개인정보 처리에 대하여 별도 동의를 받아야 하는 경우
○ 별도 동의사항을 구분하여 명확히 알 수 있도록 하고 개별 동의 표시
나. 만 14세 미만 아동에 대한 법정대리인의 동의를 받는 경우
○ 법정 대리인의 동의에 대한 사유를 설명하고 해당 아동으로부터 직접 법정 대리인의 성명·연락처에 관한 정보 수집 가능
○ 법정 대리인의 거부가 있거나 동의의사가 확인되지 않는 경우에는 수집일로부터 5일 이내에 파기
다. 정보주체의 동의를 받는 방법
○ 서면, 우편, 팩스 등의 방법으로 정보주체가 동의서에 직접 서명
○ 전화를 통하여 내용을 알리고 동의의사 표시를 확인하는 방법
(녹취사실을 정보주체에게 알림)
○ 전화로 동의내용을 알리고 인터넷 홈페이지 등을 통하여 동의내용을 확인하도록 한 후 다시 전화로 동의의사 표시를 확인하는 방법
○ 인터넷 홈페이지 등에 동의내용을 게재하고 정보주체가 동의여부를 표시하도록 하는 방법
○ 전자우편으로 동의내용을 발송하여 정보주체로부터 동의의사 표시가 적힌 전자우편을 받는 방법 등
1. 개인정보 처리 위탁
가. 위탁자 임무
○ 위탁문서 포함되어야 할 내용
○ 수탁자 선정 시 인력, 물리적 시설, 재정능력, 기술력, 책임능력 등을 고려(손해배상책임에 대해 수탁자는 위탁기관의 직원으로 봄)
○ 정보주체의 개인정보 안전성 확보에 대하여 수탁자 교육 및 감독
- 위탁자는 수탁자를 대상으로 개인정보 보호 교육 등을 실시하고, 수탁자의 개인정보 보호 활동사항에 대하여 주기적인 점검을 실시
- 수탁자는 투입인력에 대해 주기적인 교육과 개인정보 보호 활동을 실시 하여야함
나. 수탁자 임무
○ 위탁받은 개인정보를 보호하기 위하여『개인정보의 안전성 확보조치 기준』에 따라 조치
2. 개인정보 이전
가. 해당 기관 이외의 다른 사람에게 이전 시 통지 내용
나. 통지 방법
○ 서면 등의 방법으로 정보주체에게 직접 통지
○ 서면 등의 방법으로 직접 통지가 어려운 경우
- 인터넷 홈페이지에 30일 이상 게시, 인터넷 홈페이지가 없는 경우에는 정보주체가 보기 쉬운 장소에 30일 이상 게시
1. 개인정보 영향평가
가. 영향평가 목적
○ 정보주체의 개인정보 침해가 우려되는 시스템에 대하여 개인정보 침해 위험요인 분석과 개선과제 도출
나. 영향평가 대상
○ 5만 명 이상의 정보주체에 관한 민감 정보 또는 고유식별정보가 포함된 개인정보파일을 구축·운용 또는 변경하는 경우
○ 구축·운용하고 있는 개인정보파일을 다른 개인정보파일과 연계한 결과, 50만 명 이상의 개인정보가 포함된 경우
○ 100만 명 이상 정보주체가 포함된 개인정보파일을 구축·운용 또는 변경하는 경우
○ 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일
다. 영향평가 결과 제출
○ 영향평가 결과를 행정자치부장관(개인정보보호정책과)에게 제출
라. 영향평가 방법
○『개인정보 영향평가에 관한 고시』에 따라 시행한다.
2. 개인정보 안전성 확보 조치
○ 개인정보가 분실, 도난, 유출되지 않도록 안전성확보에 필요한 조치를 하여야 함.
- 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 도는 이에 상응하는 조치를 하여야 함
- 암호화 개인정보 : 고유식별정보, 비밀번호, 바이오정보
○ 세부 사항은『개인정보의 안전성 확보조치 기준』을 따른다.
3. 홈페이지 개인정보 노출 방지 조치
○ 홈페이지 게시내용에 대해 책임부서 지정, 부서장 결재 후 내용 게시
○ 게시판 등 글쓰기 화면에 개인정보 노출 경고메시지 안내
○ 개인정보 노출 가능성이 있는 페이지에 대하여 검색 로봇 배제 기능 설정
○ 홈페이지 개인정보 노출 차단을 위한 주기적 모니터링 등
1. 개인정보 파기
가. 개인정보 파기(삭제) 계획 수립
○ 개인정보가 보유기간 만료 등으로 불필요하게 된 경우에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기
- 단,『공공기록물 관리에 관한 법률』등 다른 법령에서 보존해야 하는 경우에는 예외
- 불필요하게 된 개인정보를 파기하지 않고 보존하는 경우에는 그 개인정보는 다른 개인정보와 분리하여 저장·관리
○ 부서 및 소속기관 개인정보 보호책임자는 개인정보의 보유 기간 만료 등에 따른 구체적 파기 시점·방법 등을 반영한 개인정보 파기계획을 수립·시행, 파기 계획은 개인정보 처리방침에 포함하여 시행 가능
나. 개인정보파일 파기 절차
※ 소속기관 개인정보 보호책임자 및 분야별 개인정보 보호책임자는 개인정보파일 등록 삭제 시 산림청 개인정보 보호책임자에게 주기적으로 개인정보파일의 파기결과 보고
다. 개인정보파일 파기 방법
○ 전자적 파일 형태의 경우 : 복원이 불가능한 방법으로 영구 삭제
○ 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각
1. 적용 범위
○ 공개된 장소에 설치·운영하는 영상정보처리기기, 그의 개인영상정보
○ 허가를 받은 사람만 출입이 허용되는 건물 내부공간은 ‘비공개 장소’로 영상정보처리기기 규정 대상 제외
2. 설치 · 운영 기준
가. 설치·운영이 가능한 경우
○ 법령에서 구체적으로 허용하고 있는 경우
○ 산불 등 산림재해 업무를 위하여 필요한 경우
○ 시설안전 및 화재 예방을 위하여 필요한 경우
나. 설치·운영이 금지된 경우
○ 목욕실, 화장실, 탈의실 등 개인 사생활 침해가 우려되는 장소의 내부
※ 구금·보호시설, 정신보건시설 등 법령에 근거하여 구금·보호하는 시설은 가능
3. 영상정보처리기기 설치 시 사전의견 수렴
○ 관계전문가 및 이해관계인의 의견 수렴 방법
- 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사
4. 안내판 설치
가. 안내판 설치 방법
○ 정보주체가 알아보기 쉬운 장소에 누구라도 판독가능하게 설치
- 건물 안에 여러 개를 설치하는 경우, 출입구 등 잘 보이는 곳에 해당시설 전체가 설치 지역임을 알리는 안내판 설치 가능
○ 안내판에 의무 기재 내용
나. 안내판 설치 예외 사항
○『군사시설보호법』제2조에 따른 군사시설,『통합방위법』제2조 제13호에 따른 국가중요시설,『보안업무규정』제26조에 따른 보안목표시설
5. 개인영상정보 보호 조치
○ 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지, 녹음기능 사용 금지
○ 개인영상정보 접근통제 및 접근권한의 제한 조치
○ 개인영상정보를 안전하게 저장·전송할 수 있는 기술 적용(네트워크 카메라의 경우 암호화 전송, 개인정보영상파일의 비밀번호 설정 등)
○ 처리 기록의 보관 및 위·변조 방지를 위한 조치
- 개인영상정보의 이용·열람·제공·파기 시 개인영상정보 관리대장(별지 제5호 서식) 작성 등
○ 안전한 물리적 보관을 위한 보관시설마련 또는 잠금장치 설치
6. 영상정보처리기기 운영·관리 방침 수립
가. 영상정보처리기기 운영·관리 방침 마련
나. 개인영상정보 보유기간 설정
○ 개인영상정보 보유목적의 달성을 위한 최소한의 기간을 설정하기 곤란한 때에는 보관기간을 개인영상정보 수집 후 30일 이내로 함
다. 개인영상정보 파기 관리
○ 개인영상정보를 파기하는 경우에는 다음 사항을 기록 관리
○ 영상정보의 파기 시 출력물과 전자형태 등 존재 형태에 따라 복구 또는 재생이 불가능한 방법으로 파기
○ 보유기간이 경과하면 보유기간 종료일로부터 5일 이내(법정휴일은 제외)에 파기
7. 영상정보처리기기 설치·운영 점검
○ 개인정보 보호책임자는 개인정보영상처리기기의 점검사항에 대한 자체 점검 결과를 다음해 3월 31일까지 행정자치부장관(개인정보보호정책과)에게 통보하고 개인정보보호종합포털(www.privacy.go.kr)에 등록
○ 점검 사항
- 영상정보처리기기의 운영·관리 방침 내용
- 관리책임자의 업무 수행, 위탁 및 수탁자에 대한 관리·감독 현황
- 영상정보처리기기의 설치·운영 및 기술적·관리적·물리적 조치
- 개인영상정보 수집 및 이용·제공·파기, 정보주체 권리행사 조치
- 영상정보처리기기 설치·운영의 필요성 지속 여부 등
1. 개인정보 유출 정의
○ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
○ 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
○ 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
○ 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
2. 개인정보 유출 통지
가. 유출 통지 시기
○ 분야별 개인정보 보호책임자는 유출사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 정보주체에게 유출 사실 알림
○ 분야별 개인정보 보호책임자는 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무 입증 책임
○ 분야별 개인정보 보호책임자는 긴급한 조치가 필요한 경우에는 해당 조치를 취한 후 지체 없이 개인정보주체에게 알림
- 유출된 개인정보의 확산 및 추가유출 방지를 위한 접속경로 차단 - 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치
- 취약점 점검·보완 등
○ 개인정보의 유출이 개인정보를 제공받는 기관에 의한 개인정보의 재 제공과 관련 시에는 다음사항을 추가수행
- 개인정보의 제공 중단 가능성·필요성 판단 및 이에 따른 제공 즉시 중단
- 개인정보의 제공 개시 기준 수립 및 점검
나. 유출 통지 항목
○ 정보주체에게 통지 항목
○ 통지항목에 대하여 구체적인 내용을 확인하지 못 한 경우
- 유출이 발생한 사실과 통지항목 중 확인된 사항을 먼저 알리고 나중에 확인되는 사항을 추가로 알림
다. 유출 통지 방법
○ 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법
○ 연락처가 없어 개별통지가 어려운 경우, 인터넷 홈페이지에 지속 게재
○ 1만 명 이상의 정보주체에 관한 개인정보가 유출된 경우, 정보주체에게 통지하는 동시에, 인터넷 홈페이지에 유출 통지 항목을 7일 이상 게재
3. 유출 신고
가. 유출 신고 절차
※ 보통은 ②까지, 1만명 이상 유출된 경우에는 ③까지 신고
나. 유출 신고 방법
○ 전자우편, 팩스, 개인정보보호종합지원포털(www.privacy.go.kr)로 신고
○ 시간적 여유가 없거나 특별한 사정이 있는 경우, 전화로 사전 신고 후 개인정보 유출신고서(별지 제7호 서식) 제출
1. 개인정보 수집 출처 등 고지
가. 처리 기한
○ 정보주체 이외로부터 수집한 개인정보에 대하여 수집 출처 등 고지를 정보주체가 요구한 때에는 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내에 정보주체에게 결과를 알림
나. 요구사항에 대한 통지 내용
다. 수집 출처 등 고지를 거부하는 경우
○ 거부의 근거와 사유를 정보주체에게 통지
○ 정보주체의 요구에 대한 거부가 가능한 경우
- 요구 대상 개인정보파일이 등록·공개 제외사항에 해당하는 경우
- 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
2. 개인정보 처리 요구
가. 개인정보 처리 요구 절차
※ 개인정보보호종합지원포털(www.privacy.go.kr)을 통해서도 요구 가능
나. 요구 처리기한
○ 개인정보 처리 요구서를 받은 날로부터 10일 이내에 정보주체의 개인정보에 대한 요구사항을 처리하고 그 결과를 정보주체에게 알림
다. 대리인에 의한 처리 요구 가능
○ 정보주체는 자신의 법정대리인 또는 자신이 위임한 자에게 개인정보 처리 요구를 대리하게 할 수 있음
○ 만14세 미만 아동의 법정대리인은 그 아동의 개인정보 처리 요구 가능
○ 분야별 개인정보 보호책임자는 처리요구자가 본인이거나 정당한 대리인임을 반드시 확인
- 열람 등을 요구한 자가 본인인 경우 신분을 증명할 수 있는 증명서로 다음 각 호 중 하나를 제시하여야 함.
① 주민등록증
② 운전면허증
③ 여권
④ 기타 행정기관에 의해 공인된 것으로 쉽게 변조 및 도용이 불가능한 증명서
- 열람 요구를 한자가 대리인인 경우 위임장(별지 제11호 서식)과 대리인의 신분을 증명할 수 있는 증명서를 제시하여야 함.
라. 처리요구에 대한 수수료 등 비용 청구 가능
○ 열람 등을 요구하는 자에게 수수료와 우송료(사본의 우송을 청구하는 경우)를 필요한 실비의 범위에서 청구 가능
- 수수료는『공공기관의 정보공개에 관한 시행규칙』(참고 3) 준용
- 단, 열람 등 요구를 하게 된 사유가 그 기관에 있는 경우에는 제외
3. 개인정보 열람
가. 개인정보 열람 제한 또는 거부가 가능한 경우
○ 법률에 따라 열람이 금지되거나 제한되는 경우
○ 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
○ 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
○ 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 등
나. 열람 연기
○ 열람 요구서를 받은 날부터 10일 이내에 열람할 수 없는 사유를 정보주체에게 알리고 연기 가능, 사유가 소멸한 날로부터 10일 이내에 열람 이행
다. 제3자 제공현황에 대한 열람청구를 받은 경우
○ 당해 열람청구가 국가안보의 중요한 사안으로 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무를 수행하는 데 중대한 지장을 초래하는 경우에는 제3자에게 열람청구에 관련한 의견을 조회하여 결정 가능
4. 개인정보 정정·삭제
○ 자신의 개인정보를 열람한 정보주체는 그 개인정보의 정정 또는 삭제를 요구 할 수 있음
- 단, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없음
5. 개인정보 처리정지
○ 공개된 개인정보파일 중 자신의 개인정보에 대한 처리정지 요구 가능
○ 처리정지 요구를 거절할 수 있는 경우
- 법률에 특별한 규정이 있거나 법령 의무준수를 위하여 불가피한 경우
- 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
- 개인정보를 처리하지 않고는 정보주체와 계약 이행이 곤란한 경우로 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우
6. 손해 배상 청구
○ 정보주체는 개인정보 보호법 위반행위로 인한 손해배상 청구 가능
○ 분야별 개인정보 보호책임자는 고의·또는 과실이 없음을 입증 책임
- 법 의무사항 준수 등 개인정보 보호를 성실히 수행한 경우 감경 가능
7. 침해 사실 신고
○ 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터(한국인터넷진흥원, 국번없이 118) 또는 산림청 개인정보침해신고센터(산림청 대표포털)로 신고 가능
○ 침해사고 발생시(집단)분쟁조정 및 단체소송 가능
1. 법 시행(’11. 9. 30) 전에 처리 중인 개인정보에 관한 경과 조치
가. 근거 법령 없이 개인정보를 수집한 경우
○ 당해 개인정보를 보유하는 것은 적법한 처리로 봄
- 단, 법 시행 이후 기존의 수집 목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 이 지침에 따라야 함
나. 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 제공받아 목적 외의 용도로 이용하고 있는 경우
○ 정보주체의 동의를 받아야 함
다. 기 수집한 개인정보의 법 준수를 위하여 새롭게 정보주체의 동의를 받아야 하는 경우
○ 기 수집한 개인정보 활용 가능
라. 개인정보 영향평가 대상 규모의 개인정보파일을 운용하고 있는 경우
○ 법 시행일로부터 5년 이내에 영향평가 실시
부칙
가. 이 규정은 공포한 날로부터 시행한다.
나. 종전의 산림청 개인정보보호지침(훈령 제1,026호, 2009.9.22.)은 이 훈령의 시행과 동시에 폐지한다.
이 규정은 공포한 날로부터 시행한다.
○ 이 훈령은 발령한 날부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기