중소기업청 개인정보 보호지침(이하 "지침"이라 한다)은 「개인정보 보호법」(이하 "법"이라 한다) 제12조제2항에 따라 중소기업청이 준수해야하는 개인정보의 처리기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항에 대해 규정함을 목적으로 한다.
① 이 지침은 전자적 처리 여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보파일을 운용하는 중소기업청과 그 소속기관 및 산하 공공기관(이하 "각급기관"이라 한다)에 적용한다.
② 소속기관, 산하 공공기관 등은 해당 기관 실정에 맞게 자체 보호지침을 수립하여 운영할 수 있다.
이 지침에서 사용하는 용어의 정의는 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. "개인정보처리"란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄) 및 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. "개인정보처리자"란 법 제2조제5호에 따른 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인 등을 말한다.
5. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
6. "고유식별정보"란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 개인정보보호법 시행령(이하 ‘시행령’이라 칭한다) 제19조 고유식별정보의 범위(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)으로 정하는 정보를 말한다.
7. "민감정보"란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령(유전정보, 범죄경력)으로 정하는 정보를 말한다.
8. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 시행령 제3조에 따른 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라를 말한다.
9. "개인정보처리시스템"이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
10. "정보통신망"이란 유·무선을 매개로 하는 다양한 정보통신수단에 의하여 부호·문자·음성·음향 및 영상 등의 정보를 수집·가공·저장·검색·송수신하는 정보통신체제를 말한다.
11. "보조기억매체"란 디스켓·CD·이동형 하드디스크·USB 메모리 등 정보를 저장할 수 있으면서 전산장비와 분리할 수 있는 기억장치를 말한다.
12. "접근권한"이란 개인정보처리시스템에 접속하여 정보자원을 활용할 수 있는 권한과 행정정보를 생성·변경·열람·삭제 등 이용할 수 있는 권한을 말한다.
① 중소기업청은 개인정보 처리 목적을 명확하게 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집 및 처리하여야 하며, 그 목적 외의 용도로 활용하지 않아야 한다.
② 중소기업청은 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
③ 중소기업청은 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여 적절한 기술적·관리적 및 물리적 보안조치를 통하여 개인정보를 안전하게 관리하여야 한다.
④ 중소기업청은 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
⑤ 중소기업청은 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑥ 중소기업청은 개인정보의 처리에 관한 정보주체의 동의를 얻은 경우라도 구체적인 업무의 특성상 가능한 경우에는 특정 개인을 알아볼 수 없는 형태로 개인정보를 처리하여야 한다.
① 법 제31조제1항에 따라 중소기업청은 기획조정관을 소속기관은 소속기관 업무를 총괄하는 부서장을 개인정보보호책임자로 한다. 산하 공공기관은 「개인정보 보호법 시행령」(이하 "시행령"이라 한다) 제32조제2항제1호에 따라 개인정보 처리관련 업무를 담당하는 부성의 장을 개인정보보호책임자로 한다.
② 중소기업청 개인정보보호책임자는 부서와 그 소속기관, 산하 공공기관의 개인정보보호업무를 총괄 감독한다.
③ 개인정보보호책임자의 업무는 다음 각 호와 같다.
1. 개인정보보호 계획 수립 및 시행
2. 각급기관의 개인정보처리실태의 조사 및 개선
3. 개인정보처리와 관련한 불만처리
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템 구축
5. 개인정보보호 교육 계획 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 각급기관의 개인정보 취급부서 대상 관리실태 점검·감독
8. 개인정보취급자가 등록 또는 변경 신청한 개인정보파일의 등록·변경 사항의 적정성에 대한 판단 및 행정안전부 등록
9. 그 밖의 개인정보의 적절한 처리를 위하여 시행령 제32조제1항에서 정하는 업무
④ 개인정보보호책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
⑤ 개인정보보호책임자는 개인정보처리책임자에게 업무를 위임할 수 있다.
① 개인정보처리책임자는 업무를 위해 개인정보파일을 보유·이용·제공하는 부서의 장을 말한다.
② 개인정보처리책임자의 책임은 다음 각 호와 같다.
1. 필요시 개인정보의 안전한 처리를 위한 부서 개인정보보호 추진계획의 수립 및 시행
2. 개인정보 수집 목적을 명확하게 하고 그 목적에 필요한 범위에서 최소한의 개인정보 수집
3. 개인정보 처리 목적 달성에 필요한 범위에서 처리하여야 하며, 그 목적 외의 용도로 활용되지 않도록 관리·감독
4. 적절한 기술적·관리적·물리적 보안조치를 통하여 개인정보가 안전하게 관리되도록 지원
③ 개인정보처리책임자의 업무는 다음과 같다.
1. 부서의 개인정보가 안전하게 취급되도록 교육 및 관리·감독
2. 개인정보 접근권한 승인 및 단말기 설정 등 제반 보호장치에 관한 사항을 확인·감독
3. 부서 내 개인정보 취급 내역과 취급자에 대한 기록 확보 및 점검 실시
4. 부서의 개인정보취급자 현황, 개인정보 취급 현황 등의 통계, 개인정보 침해 및 위법 사항 등을 개인정보보호책임자에게 보고
5. 부서 내 개인정보유출사고 발생 시 중소기업청 개인정보처리담당자(고객정보화담당관실)와 협력하여 조사, 처리 및 재발 방지 방안 수립
6. 개인정보를 유관기관에 제공하거나 접근권한을 제공할 경우 그 관리·감독
7. 취급업무를 외부기관에 위탁한 경우 수탁기관의 개인정보보호 처리에 관한 업무 관리·감독
④ 개인정보처리책임자는 부서 내 개인정보처리담당자에게 업무를 위임할 수 있다.
① 개인정보처리담당자는 업무를 위해 개인정보파일을 보유·이용·제공하는 부서의 서무를 말한다.
② 개인정보처리담당자는 개인정보를 활용한 업무를 실제 수행하며 개인정보처리책임자의 업무를 위임받아 수기문서를 포함한 모든 형태의 개인정보파일에 대한 관리 등의 각종 활동과 개인정보취급자를 관리·감독해야 한다.
③ 개인정보처리담당자의 업무는 다음 각 호와 같다.
1. 개인정보를 직접 처리하는 수탁자 등 개인정보취급자에 대한 수시교육실시
2. 개인정보 보호계획에 따른 개인정보보호 정기점검의 실시
3. 개인정보파일의 안전성 확보를 위한 기술적·관리적·물리적 보안조치
4. 개인정보파일 현황 관리
5. 공개서버에 정보 등록 시 개인정보 존재 여부 점검
6. 개인정보파일을 새로 보유하거나 보유 사항이 변경될 경우 개인정보보호책임자에게 별지 제1호 서식에 따른 개인정보파일 등록·변경등록 신청서 제출
① 개인정보취급자는 업무상 개인정보를 취급하는 자로 별도의 지정이 없어도 개인정보 취급자로 지정된 것으로 본다.
② 개인정보취급자는 처리하는 개인정보가 훼손 및 누설되지 않도록 보호지침에 따라 안전하게 취급하여야 한다.
③ 개인정보취급자는 법 제59조에 따라 업무상 알게된 개인정보를 누설하거나 이를 권한없이 처리 또는 타인에게 제공하는 등의 행위를 하여서는 아니 된다.
④ 개인정보취급자가 개인정보를 무단 조회하거나 오남용하는 경우 법 제71조 및 기타 관계 법령에 따라 처벌될 수 있다.
⑤ 개인정보취급자의 업무는 다음 각 호와 같다.
1. 개인정보 처리업무(수집-보유-이용 및 제공-파기) 수행에 따른 보호관리
2. 웹사이트 및 문서에 게재된 개인정보에 대한 안전한 관리
3. 개인정보의 열람, 정정, 삭제 시 보호관리
① 중소기업청 개인정보보호책임자는 개인정보보호에 필요한 업무를 수행하기 위해 연간 개인정보 보호계획을 수립·시행하여야 하며 이는 중소기업청 개인정보보호 시행계획으로 대체할 수 있다.
② 개인정보보호책임자는 필요시 개인정보처리책임자에게 소관 업무 분야의 개인정보보호 조치를 위한 개인정보 보호계획의 수립을 요구할 수 있다.
③ 소속기관과 산하 공공기관의 개인정보보호책임자는 기관의 실정에 맞게 개인정보 보호계획을 수립하여 중소기업청 개인정보보호책임자에게 매년 2월 30일까지 보고해야 한다.
④ 개인정보보호책임자는 차년도 개인정보 보호계획을 수립하기 위해 소속기관 및 산하 공공기관에 개인정보보호 추진실적을 요구할 수 있다.
① 개인정보보호책임자는 자체 개인정보보호 교육계획을 수립하여야 하며, 이는 중소기업청 정보화인력개발계획에 포함하여 수립할 수 있다.
② 개인정보보호책임자는 개인정보 담당자의 업무 전문성을 제고하기 위하여 개인정보 관련 전문기관 교육 및 기술 세미나 참석을 장려하는 등의 노력하여야 한다.
③ 개인정보처리책임자는 소관 업무 분야 내에서 개인정보 취급 업무를 처음 시작하는 자에게 관련 법령에 따른 의무사항 및 처벌규정을 주지시켜야 한다.
① 중소기업청이 처리하는 개인정보는 행정안전부고시 제2011-43호「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적 조치를 해야한다.
② 「별표 2」중소기업청 개인정보 민감도 분류표에서 1등급으로 분류된 개인정보는 안전한 암호알고리즘으로 암호화하여 저장·관리해야 한다.
③ 제2항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
④ 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야하여 「중소기업청 정보보안 기본지침」 제30조를 준용하여 관리해야 한다.
⑤ 고유식별정보를 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 저장하는 경우에는 이를 암호화하여야 한다.
⑥ 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑦ 「별표 2」중소기업청 개인정보 민감도 분류표에서 1등급의 개인정보를 출력시에는 해당 정보를 「별표 3」개인정보 암호화 필드 정의서에 따라 마스킹처리하여 출력하여야 한다.
⑧ 개인정보를 출력시에는 워터마킹 솔루션 등을 활용하여 출력자 및 출력 일시 등을 표시하여야 한다.
① 개인정보를 보조기억매체에 저장할 경우에는 보안 USB등 보안성이 높은 저장매체를 사용하고 보안 USB등 보조기억매체 사용이 어려울 경우에는 반드시 문서 암호화 기능을 사용하여 저장하여야 한다.
② 개인정보를 저장매체에 저장하여 이동할 경우 안전하게 이동 한 후 그 저장매체의 처리 정보를 완전히 파기하여야 한다.
③ 개인정보를 저장한 매체는 보조기억매체 라벨 서식에 따라 라벨을 부착하여야 한다.
④ 매체 및 저장 개인정보의 파기에 관해서는 본 지침 ‘제28조(개인정보의 파기방법 및 절차)’를 따른다.
① 중소기업청은 개인정보보호의 중요성을 인지시키기 위해 매월 첫째주 목요일을 개인정보보호의 날로 지정하고 개인정보보호 관련 정책의 홍보 및 개인 컴퓨터의 개인정보 검출 등을 실시할 수 있다.
② 정책 홍보 시에는 웹사이트 및 내부 업무관리시스템 초기화면에 플래시나 지침을 게재하는 등 다양한 보안 홍보 및 이벤트를 수행할 수 있다.
③ 개인정보보호의 날이 공휴일인 경우 다음 평일에 시행한다.
① 중소기업청 개인정보보호책임자는 이 지침 제6조에 따라 개인정보의 보호 및 관리 개선을 위하여 필요한 경우 실태점검을 실시할 수 있다.
② 실태점검 실시의 대상기관은 중소기업청 및 소속기관, 산하 공공기관으로 한다.
③ 실태점검 결과, 보완이 필요하다고 판단되는 경우 점검 대상기관에 개선을 권고하거나 시정 조치를 요구할 수 있다.
① 개인정보의 "수집"이란 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.
② 중소기업청은 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체로부터 사전에 동의를 받은 경우
2. 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
3. 법령에서 중소기업청에게 구체적인 의무를 부과하고 있고, 중소기업청이 개인정보를 수집·이용하지 않고는 법령에서 부과하는 구체적인 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
4. 개인정보를 수집·이용하지 않고는 법령 등에서 정한 소관업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우
5. 개인정보를 수집·이용하지 않고는 정보주체와 계약 체결 또는 체결된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
6. 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다.)의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황이어서 개인정보를 수집·이용해야 할 필요성이 명백히 인정됨에도 불구하고 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 연락을 취할 수 없는 상황이어서 사전에 동의를 받을 수 없는 경우
7. 중소기업청이 법령 또는 정보주체와의 계약에 따른 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 개인정보의 수집·이용에 관한 동의 여부 및 동의 범위 등을 선택하고 결정할 권리보다 우선하는 경우
③ 중소기업청이 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 "명함 등"이라 함)를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우, 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
④ 중소기업청이 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지 등"이라 함)에서 개인정보를 수집하는 경우, 해당 개인정보는 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
⑤ 중소기업청은 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집·이용할 수 있다.
중소기업청이 법 제15조제1항제5호 및 제18조제2항제3호에 따라 정보주체의 사전 동의 없이 개인정보를 수집, 이용 또는 제공한 경우, 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집 또는 이용한 사실, 그 사유와 이용내역을 알려야 한다.
① 중소기업청이 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다.
② 법 제20조제2항 각 호에 근거하여 제1항에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 별지 제2호 서식 개인정보 열람, 정정·삭제·처리정지 요구에 대한 결과 통지서에 의해 정보주체에게 알려야 한다.
① 중소기업청은 법 제15조제1항제1호에 따라 개인정보의 수집과 이용을 위하여 정보주체의 동의를 받고자 하는 경우에는 기본적인 재화 또는 서비스의 제공을 위하여 반드시 필요한 최소한의 개인정보와 부가적인 재화 또는 서비스의 제공을 위하여 필요한 최소한의 개인정보를 구분하여 정보주체에게 알리고 동의를 받아야 한다.
② 중소기업청은 법 제18조제2항제1호에 따라 정보주체로부터 별도의 동의를 받고자 하는 경우에는 정보주체가 다른 개인정보처리의 목적과 별도로 동의여부를 표시할 수 있도록 조치를 취하고 동의를 받아야 한다.
③ 중소기업청이 시행령 제17조제1항제2호의 규정에 따라 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다.
① 시행령 제17조제2항에 따라 중소기업청이 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.
② 시행령 제17조제1항 각 호의 동의를 얻는 방법은 법 제22조제5항에 따라 법정대리인으로부터 동의를 얻는 경우에도 적용된다.
③ 중소기업청은 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우에는 수집일로부터 5일 이내에 파기해야 한다.
① 중소기업청이 법 제23조제1호에 따라 민감정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에는 다른 개인정보와 민감정보를 구분하여 정보주체가 별도로 동의할 수 있도록 조치를 취하여야 한다.
② 중소기업청은 제1항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 민감정보의 수집·이용 목적
2. 수집하려는 민감정보의 항목
3. 민감정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
① 중소기업청이 법 제24조제1항제1호에 따라 고유식별정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에는 다른 개인정보와 고유식별정보를 구분하여 정보주체가 별도로 동의할 수 있도록 조치를 취하여야 한다.
② 중소기업청은 제1항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 고유식별정보의 수집·이용 목적
2. 수집하려는 고유식별정보의 항목
3. 고유식별정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
중소기업청은 인터넷상의 본인확인이 필요한 경우 주민등록번호를 제외한 공공 I-Pin 등의 본인을 확인할 수 있는 방법을 제공해야한다.
중소기업청의 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다.
수탁자는 위탁받은 개인정보를 보호하기 위하여 행정안전부고시 제2011-43호「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적 조치를 해야한다.
① 개인정보 처리 및 개인정보처리시스템 관리 업무를 외부기관에 위탁하는 경우 개인정보보호에 대한 책임은 해당 업무의 개인정보처리책임자에게 있다.
② 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 위탁업무의 목적 및 범위
4. 재위탁 제한에 관한 사항
5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
③ 해당 개인정보처리책임자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하여야 하고, 소관 업무 부서내의 업무와 마찬가지로 수탁기관이 개인정보를 안전하게 보호하도록 지도·감독하여야 한다.
④ 개인정보 처리에 관한 업무를 위탁하는 경우 이를 개인정보처리방침에 포함하여 공개하여야 한다.
⑤ 해당 취급부서장은 최소 연 1회 이상 수탁기관에 대한 실태 점검을 수행하고 그 결과를 개인정보보호책임자에게 보고하여야 한다.
① 개인정보파일의 보유기간은 전체 데이터가 아닌 개별 데이터의 보유부터 삭제까지의 생애주기로서 보유목적에 부합된 최소 기간으로 산정한다.
② 개인정보파일의 보유기간은 ‘개별 법령의 규정’에 명시된 자료 보존기간에 따라 산정하되, 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 고객정보화담당관실과 협의를 거쳐 산정해야 한다. 다만 보유기간은 「별표 1」의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과 「공공기록물 관리에 관한 법률 시행령」에 따른 기록관리기준표를 상회할 수 없다.
③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속적으로 보유할 수 있다.
① 중소기업청은 개인정보를 수집목적 범위를 초과하여 이용하거나 제3자에게 제공하여서는 아니 된다.
② 제1항에도 불구하고 중소기업청은 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
1. 정보주체의 동의가 있거나 정보주체에게 제공하는 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보보호협의체의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(形) 및 감호, 보호처분의 집행을 위하여 필요한 경우
③ 중소기업청은 제2항의 제2호부터 제6호까지 및 제8호부터 제9호까지의 경우에는 그 이용 또는 제공의 법적 근거·목적 및 범위 등에 관하여 필요한 사항을 정보주체가 쉽게 확인할 수 있도록 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.
④ 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공하는 자와 개인정보를 제공받는 자는 개인정보의 안전성에 관한 책임관계를 명확히 하여야 한다.
⑤ 중소기업청은 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 하며 별지 제3호 서식 개인정보 목적외 이용·제공 대장에 기록하여 관리해야한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
⑥ 중소기업청이 법 제18조제2항제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다.
① 개인정보처리책임자는 소관 업무 내에서 보유하고 있는 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료, 보유기관 경과 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기하여야 한다. 이 때 위탁 또는 제3자에게 제공한 개인정보도 함께 ‘지체없이’ 파기하도록 하여야 한다.
② 개인정보의 파기 시에는 해당 개인정보를 복구할 수 없도록 완전히 삭제하여야 한다. 종이문서의 경우 파쇄, 소각, 융해 등의 방법 등을 사용하며 저장매체를 재사용하지 않을 경우 해당 매체를 물리적으로 파기하는 등의 방법을 사용해야 한다.
① 중소기업청이 법 제30조제2항에 따라 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지를 통해 지속적으로 개제하여야 하며 이 경우 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
② 중소기업청이 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.
① 중소기업청이 개인정보처리방침을 작성시 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
6. 처리하는 개인정보의 항목
7. 개인정보의 파기에 관한 사항
8. 개인정보 보호책임자에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항
10. 시행령 제30조제1항에 따른 개인정보 안전성 확보조치에 관한 사항
② 중소기업청은 필수적 기재사항 이외에도 다음 각 호의 사항을 개인정보 처리방침에 포함할 수 있다.
1. 정보주체의 권익침해에 대한 구제방법
2. 개인정보의 열람청구를 접수·처리하는 부서
① 개인정보처리책임자는 개인정보처리시스템의 접근권한을 개인정보취급자의 업무에 따라 세분하여 할당하여야 한다.
② 개인정보처리책임자는 별지 제4호 서식 개인정보 처리시스템의 접근기록 대장에 개인정보 처리시스템의 접근기록을 관리하여야 한다. 단, 자동으로 기록되는 경우에는 제외한다.
③ 개인정보처리책임자는 개인정보 처리자의 로그인 일정 횟수 이상 실패 시 접속을 중단되도록 설정하며 실패이유에 대하여 확인 점검을 하여야 한다.
① 개인정보처리책임자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지
② 개인정보처리책임자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 한다.
③ 개인정보처리책임자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.
① 개인정보처리책임자는 개인정보시스템을 통한 개인정보에 대한 입력, 출력, 변경 사건에 대하여 데이터 파일별 접근 내역의 로그 기록을 생성하고 최소한 최근 6개월분을 관리하여야 한다.
② 개인정보처리책임자는 개인정보의 오남용 사고를 예방하기 위하여 개인정보처리 로그 기록을 6개월마다 주기적으로 분석하거나 필요 시 상시 분석하여 오남용 여부를 확인하여야 한다.
③ 개인정보처리책임자는 별지 제5호 서식 개인정보 처리시스템의 로그관리 대장에 개인정보 처리시스템의 로그를 관리하여야 한다. 단, 자동으로 기록되는 경우에는 제외한다.
① 정보통신망을 통한 개인정보의 유출 및 노출을 방지하기 위하여 개인정보처리시스템의 해당 개인정보처리책임자는 다음 각 호와 같은 조치를 취하여야 한다.
1. 개인정보 수집의 전제가 되는 회원제로의 운영을 지양
2. 회원제 운영이 필요할 경우 서비스 제공에 필요한 최소한의 개인정보만 수집
3. 홈페이지에 자료 게재 시 개인정보처리책임자는 개인정보 노출 여부 검토
4. 개인정보처리시스템 구축·운영 시 게시 글, 첨부파일에 개인정보가 포함된 경우 웹서버에 등록되지 않도록 조치
5. 매월 웹사이트의 개인정보 노출 진단·분석을 시행
6. 민원인이 게시판 등에 자료를 게재할 때 개인정보 노출에 대하여 인식 할 수 있는 경고를 제공
7. 「공공기관 웹사이트 개인정보 노출방지 가이드라인」 을 준수
② 오프라인을 통하여 수집되는 개인정보의 노출방지를 위하여 분야별책임자는 다음 각 호와 같은 조치를 취하여야 한다.
1. 서비스 제공 및 운영 목적에 필요한 최소한의 개인정보를 수집
2. 개인 단말기 및 저장매체에 대하여 안전성 확보
3. 중요문서 보관을 위한 캐비닛 등의 물리적 보안 조치를 확보
4. 문서 파기 시 지침 ‘제28조 개인정보의 파기방법 및 절차’ 준수
이 장은 각급기관에서 운용하는 개인정보파일에 대하여 적용한다. 다만, 다음 각 호의 어느 하나에 해당하는 개인정보파일에 관해서는 적용하지 아니한다.
1. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보파일
가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
다. 중소기업청의 내부적 업무처리만을 위하여 사용되는 개인정보파일
라. 다른 법령에 따라 비밀로 분류된 개인정보파일
2. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보파일
가. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
3. CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일
4. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일
① 개인정보파일 등록·변경 신청을 받은 개인정보보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 행정안전부에 등록하여야 한다.
② 소속기관 및 소속공공기관은 중소기업청에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 중소기업청의 확인을 받아 행정안전부에 등록하여야 한다.
③ 개인정보파일의 등록·변경의 신청은 별지 제1호 서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용하여 신청할 수 있다.
① 개인정보보호책임자는 개인정보파일의 보유가 불필요하게 된 경우에는 당해 개인정보파일을 지체 없이 파기하여야 한다. 다만 다른 법률에 따라 보존하여야 하는 경우를 제외한다.
② 개인정보파일을 파기한 경우 개인정보보호책임자는 개인정보파일을 파기한 사실을 관보 또는 인터넷 홈페이지 등에 공고하여야 한다.
③ 개인정보취급자는 보유기간 경과, 처리목적 달성 등 파기 사유가 발생한 개인정보파일을 선정하고, 별지 제6호 서식에 따른 개인정보파일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기재하여 개인정보보호책임자의 승인을 받아 개인정보를 파기하여야 한다.
④ 개인정보보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 별지 제7호 서식에 따른 개인정보파일 파기 관리대장을 작성하여야 한다.
개인정보의 유출이라 함은 법령이나 중소기업청의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 중소기업청이 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 중소기업청의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
① 중소기업청은 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 중소기업청의 대응조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 중소기업청은 제1항제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다.
③ 중소기업청은 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다.
1. 정보주체에게 유출이 발생한 사실
2. 제39제1항의 통지항목 중 확인된 사항
① 중소기업청은 정보주체에게 제39조제1항 각호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다.
② 중소기업청은 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제39조제1항 각호의 사항을 공개할 수 있다.
① 중소기업청은 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 행정안전부장관 또는 시행령 제39조제2항 각호의 전문기관 중 어느 하나에 신고하여야 한다.
② 제1항에 따른 신고는 별지 제7호서식에 따른 개인정보 유출신고서를 통하여 하여야 한다.
③ 중소기업청은 전자우편, 팩스 또는 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제39조제1항의 사항을 신고한 후, 별지 제7호서식에 따른 개인정보 유출신고서를 제출할 수 있다.
④ 중소기업청은 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제39조제1항에 따른 통지와 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 제39조제1항 각호의 사항을 7일 이상 게재하여야 한다.
① 중소기업청이 법 제35조제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다.
② 정보주체로부터 시행령 제41조제1항제4호의 규정에 따른 개인정보의 제3자 제공현황의 열람청구를 받은 중소기업청은, 국가안보에 긴요한 사안으로 법 제35조제4항제3호마목의 규정에 따른 업무를 수행하는데 중대한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.
① 중소기업청이 법 제36조제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
② 정보주체의 정정·삭제 요구가 법 제36조제1항 단서에 해당하는 경우에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거법령의 내용을 정보주체에게 알려야 한다.
① 중소기업청이 정보주체로부터 법 제37조제1항에 따라 개인정보처리를 정지하도록 요구받은 때에는 법 제37조제2항 단서에 해당하지 않고 다른 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보의 처리의 일부 또는 전부를 정지하여야 한다.
② 중소기업청은 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여는 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등 정보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알려야 한다.
중소기업청은 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다. 이는 시행령 제46조에 따라 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 수수료와 우송료의 정산에도 마찬가지로 적용된다.
① 개인정보처리담당자는 신규 개인정보처리시스템 구축 및 운영, 개인정보처리시스템 개선 등으로 개인정보파일의 운용 시 정보주체의 개인정보 침해가 우려되는 경우 그 위험요인의 분석과 개선사항 도출을 위하여 개인정보 영향평가를 수행하여야 한다.
② 개인정보 영향평가 고려 대상 시스템은 다음 각 호와 같다.
1. 5만 명 이상 신규·구축하는 개인정보파일을 보유한 경우
2. 50만 명 이상 연계·연동하는 개인정보파일을 보유한 경우
3. 연평균 100만 명 이상의 기존의 개인정보파일을 보유한 경우
개인정보보호책임자는 중소기업청의 서비스를 목적으로 정보주체로부터 제공받은 개인정보를 보호하기 위하여 다음 각 호의 사항에 협력과 노력을 기울여야 한다.
1. 개인정보보호위원회의 요청에 관한 사항
2. 개인정보 유출로 인한 피해확산 방지, 피해 복구 등을 위한 한국정보화진흥원, 한국인터넷진흥원의 요청에 관한 사항
3. 그 외 유관법률에서 정해진 사항
부칙
이 지침은 공포한 날부터 시행한다.
「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 훈령 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 훈령의 폐지·개정 등의 조치를 하여야 하는 기한은 2015년 8월 13일까지로 한다.
별표 서식 정보
댓글 없음:
댓글 쓰기