1. 목 적
○『개인정보보호법』과 같은 법 시행령, 시행규칙,『표준 개인정보보호 지침』(행정자치부 고시)에 따라 인사혁신처 본부 및 소속·산하 기관의 개인정보보호 업무를 담당하는 자가 수행해야 할 개인정보보호 활동 규정
2. 적용 범위
○ 인사혁신처 본부 및 소속·산하 기관에서 정보시스템, PC 파일, 종이, 개인정보영상처리기기 등의 개인정보를 처리하는 자에게 적용
3. 개인정보보호 원칙 (표준지침 제4조)
○ 수집 목적 명확화 및 이용 제한의 원칙
- 수집 목적을 명확히 특정하고 그 특정 목적달성을 위해서만 처리
○ 수집 제한의 원칙
- 목적에 필요한 최소한의 개인정보 수집
○ 정보내용의 정확성의 원칙
- 개인정보는 목적에 부합하도록 정확하고 최신의 상태 유지
○ 안전성 확보의 원칙
- 개인정보의 분실 또는 불법 접근, 파괴, 사용, 변조 등에 대비하여 기술적·관리적·물리적 안전조치
○ 공개 원칙 및 정보주체 권리 보장의 원칙
- 개인정보 파일대장·처리방침 등 개인정보 처리에 관한 사항은 공개되어야하며 정보주체의 열람, 정정·삭제 요구 등 권리 보장
4. 용어 정의 (법 제2조, 표준지침 제2조)
가. 개인정보
○ 살아있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 것을 포함)
나. 개인정보파일
○ 쉽게 검색 가능하도록 체계적으로 배열 또는 구성한 개인정보의 집합물
다. 개인정보보호 대상
○ 종이, 정보시스템, PC, 영상정보처리기기 등에서 업무상 필요에 의하여 처리되고 있는 개인정보
1. 개인정보 보호책임관 지정 (법 제31조, 영 제32조, 표준지침 제22조)
가. 개인정보 보호책임관
○ 인사혁신처 개인정보 보호책임관 : 기획조정관
○ 소속기관 개인정보 보호책임관
- 중앙공무원교육원 : 기획부장
- 소청심사위원회 : 행정과장
○ 산하기관 개인정보 보호책임관
- 개인정보 처리 관련 업무를 담당하는 부서의 장
나. 개인정보 보호책임관 역할
○ 개인정보보호 관련 지침 제·개정
○ 개인정보보호 계획 수립 및 시행
○ 개인정보 처리 실태 점검 및 개선 권고
○ 개인정보 처리와 관련한 불만 처리 및 피해 구제
○ 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
○ 개인정보보호 교육 계획 수립 및 시행
○ 개인정보파일 및 대장 등록·파기 승인, 관리 감독
○ 기관 개인정보 처리방침 수립 및 시행
○ 개인정보보호 관련 자료 관리
○ 개인정보보호 분야별 책임관 지휘·감독
2. 개인정보보호 분야별 책임관 지정
가. 개인정보보호 분야별 책임관 (당연직) : 모든 부서의 장 - 과장급
나. 개인정보보호 분야별 책임관 역할
○ 개인정보 취급자 지정·관리·감독·교육
○ 개인정보파일 지정·관리·보호·파기
○ 공개 대상 개인정보파일 등록·공개
○ 공개 대상 개인정보파일의 처리방침 수립·시행 및 공개
○ 영상정보처리기기 운영·관리 방침 수립·시행
○ 개인정보보호 관련 자료 관리 및 제출
○ 개인정보 처리와 관련한 요구 처리 및 피해 구제
○ 개인정보 유출 통지 및 피해확산 방지
○ 개인정보 관련 개선 권고 및 시정 조치사항 이행 등
3. 개인정보취급자 지정 (법 제28조, 표준지침 제18조)
가. 개인정보취급자 : 개인정보를 수집·열람·수정·삭제 등 직접 처리하는 자
나. 개인정보취급자 역할 : 개인정보 처리 시 안전조치
1. 개인정보파일 공개 (법 제32조, 영 제33~34조, 규칙 제3조, 표준지침 제53~57조, 제62조, 제64~65조)
가. 개인정보파일 등록·공개
○ 파일을 보유한 날부터 60일 이내에 개인정보파일(등록·변경) 신청서(별지 1호) 제출 및 개인정보보호종합지원시스템(intra.privacy.go.kr)에 등록
○ 개인정보 보호책임관은 신청파일에 대하여 검토·승인
○ 개인정보 보호책임관의 승인으로 행정자치부 장관(개인정보보호과)이 운영하는 개인정보보호종합지원포탈(www.privacy.go.kr)에 등록·공개됨
나. 개인정보파일 등록 예외사항
○ 당해 기관의 내부적 업무처리만을 위하여 처리되는 개인정보파일
- 기관 내부 구성원, 자문위원회, 회의 참석자 등은 등록 제외
○ 국가 안전, 외교상 비밀 등 국가의 중대한 이익에 관한 사항을 기록한 파일
○ 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
○『공공기록물관리에 관한 법률』제33조(비밀 기록물의 관리),『보안업무규정』제4조(비밀의 구분) 등 다른 법령에서 비밀로 분류된 파일
○ 처리하는 개인정보 중「통계법」에 따라 수집되는 개인정보
○ 국가안전보장 관련 정보 분석을 위해 수집·제공이 요청되는 개인정보
○ 공공안전을 위해 긴급히 필요한 경우로 일시적으로 처리되는 개인정보
○ CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일
○ 자료·물품·금전 송부, 1회성 행사 등의 목적으로 수집된 개인정보파일
2. 개인정보처리방침 공개 (법 제30조, 영 제31조, 표준지침 제34~35조)
가. 개인정보처리방침 공개
○ 공개된 개인정보파일에 대하여 개인정보처리방침(별지 2호) 수립
○ 반드시 “개인정보처리방침”으로 명칭 사용, 다른 고지사항과 구분하여 쉽게 확인 가능하도록 색깔 등 조치
○ 개인정보처리방침을 변경하는 경우 공개 내용
- 변경 및 시행의 시기, 변경 전·후 비교 내용
나. 개인정보처리방침 공개 방법
○ 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면
○ 인터넷 홈페이지 공개가 어려운 경우
- 정보 주체가 보기 쉬운 장소에 게시
- 관보에 게재
- 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적 게재
- 재화나 용역을 제공하기 위하여 정보주체와 작성한 계약서 등에 실어 정보주체에게 발급
1. 고유식별정보·민감정보 처리 제한 (법 제23~24조의2, 영 제18~21조, 표준지침 제15~17조)
○ 정보주체에게 고유식별정보·민감정보 처리에 대해 별도로 동의를 받거나, 법령에서 처리를 요구하거나 허용하는 경우에 한하여 사용
- 단, 주민등록번호는 법령에서 구체적으로 처리를 요구하는 경우에 한함
- 주민등록번호의 처리를 법령에서 허용한 경우에도 홈페이지 회원 가입 시에는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공
2. 개인정보 수집 · 이용 (법 제15조~16조, 표준지침 제6~7조)
가. 가능 범위
○ 정보주체로부터 사전에 동의를 받은 경우
○ 법률에서 구체적으로 명시하거나 허용하고 있는 경우⑴
○ 개인정보를 수집이용하지 않고는 법령 등에서 정한 소관업무 수행이 불가능하거나 현저히 곤란한 경우⑵
○ 개인정보를 수집이용하지 않고는 정보주체와 체결된 계약 내용의 의무이행이 불가능하거나 현저히 곤란한 경우
○ 정보주체 또는 제3자의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황에서 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 연락을 취할 수 없어 사전 동의를 받을 수 없는 경우⑶
○ 정보주체로부터 명함 등을 제공받아 수집하는 경우, 정보주체가 동의의사를 표시하거나 명함 등을 제공하는 정황에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용
○ 인터넷 홈페이지 등 공개된 곳에서 개인정보를 수집하는 경우, 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시에 대한 정보주체의 동의가 있거나 인터넷 홈페이지 등의 표시내용에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용
○ 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우, 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집·이용 가능
○ 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용
나. 정보주체의 동의를 받아 수집·이용하는 경우
○ 정보주체에게 알려야 할 사항
3. 개인정보 제공 (법 제17~18조, 영 제15조, 규칙 제3조, 표준지침 제8~9조)
가. 용어 정의
○ “제공”이란
○ “제3자”란
나. 제3자 제공 및 목적 외 이용 가능 범위
○ 정보주체로부터 별도의 동의를 받은 경우
○ 다른 법률에 특별한 규정이 있는 경우
○ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
○ 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
○ 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 개인정보 보호위원회의 심의·의결을 거친 경우
○ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
○ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
○ 법원의 재판업무 수행을 위하여 필요한 경우
○ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
※ 개인정보 수집근거가 6페이지의 ⑴, ⑵, ⑶인 경우 그 수집목적 범위내 제3자 제공 가능
다. 정보주체자의 동의를 받아 제공하는 경우
○ 정보주체에게 알려야 할 사항
라. 제공시 안전성 확보
○ 제공자의 의무
- 제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 문서로 요청
- 특히, 개인정보를 수집 목적 외의 용도로 이용·제공하는 경우에는 “개인정보의 목적 외 이용 및 제3자 제공대장”(별지 3호)에 기록·관리
○ 제공 받는 자의 의무
- 안전성 확보조치를 취하고 그 사실을 제공자에게 문서로 통지
- 정보주체의 별도 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공 금지
4. 정보주체에게 동의를 받는 방법 (법 제22조, 영 제17조, 표준지침 제13조)
가. 개인정보 처리에 대하여 별도 동의를 받아야 하는 경우
○ 별도 동의사항을 구분하여 명확히 알 수 있도록 하고 개별 동의 표시
나. 만 14세 미만 아동에 대한 법정대리인의 동의를 받는 경우
○ 법정 대리인의 동의에 대한 사유를 설명하고 해당 아동으로부터 직접 법정 대리인의 성명·연락처에 관한 정보 수집 가능
○ 법정 대리인의 거부가 있거나 동의의사가 확인되지 않는 경우에는 수집일로부터 5일 이내에 파기
다. 정보주체의 동의를 받는 방법
○ 서면, 우편, 팩스 등의 방법으로 정보주체가 동의서에 직접 서명
○ 전화를 통하여 동의내용을 알리고 동의의사 표시를 확인하는 방법, 녹취할 때에는 녹취사실을 정보주체에게 알림
○ 전화로 동의내용을 알리고 인터넷 홈페이지 등을 통하여 동의내용을 확인하도록 한 후 다시 전화로 동의의사 표시를 확인하는 방법
○ 인터넷 홈페이지 등에 동의내용을 게재하고 정보주체가 동의여부를 표시하도록 하는 방법
○ 전자우편으로 동의내용을 발송하여 정보주체로부터 동의의사 표시가 적힌 전자우편을 받는 방법 등
1. 개인정보 처리 위탁 (법 제26조, 표준지침 제19~20조)
가. 위탁자 임무
○ 위탁문서 포함되어야 할 내용
○ 수탁자 선정 시 인력, 물적시설, 재정능력, 기술력, 책임능력 등을 고려 (손해배상책임에 대해 수탁자는 위탁기관의 직원으로 봄)
○ 정보주체의 개인정보 안전성 확보에 대하여 수탁자 교육 및 감독
나. 수탁자 임무
○ 위탁받은 개인정보를 보호하기 위하여『개인정보의 안전성 확보조치 기준』(참고 1)에 따라 조치
2. 개인정보 이전 (법 제27조, 영 제29조)
가. 해당 기관 이외의 다른 사람에게 이전 시 통지 내용
나. 통지 방법
○ 서면 등의 방법으로 정보주체에게 직접 통지
○ 서면 등의 방법으로 직접 통지가 어려운 경우
- 인터넷 홈페이지에 30일 이상 게시, 인터넷 홈페이지가 없는 경우에는 정보주체가 보기 쉬운 장소에 30일 이상 게시
1. 개인정보 영향평가 (법 제33조, 영 제35조,『개인정보 영향평가에 관한 고시』)
가. 영향평가 목적
○ 정보주체의 개인정보 침해가 우려되는 시스템에 대하여 개인정보 침해 위험요인 분석과 개선과제 도출
나. 영향평가 대상
○ 5만명 이상의 민감정보 또는 고유식별정보가 포함된 개인정보파일을 구축·운용 또는 변경하는 경우
○ 구축·운용하고 있는 개인정보파일을 다른 개인정보파일과 연계한 결과, 50만명 이상의 개인정보가 포함된 경우
○ 100만명 이상 정보주체가 포함된 개인정보파일을 구축·운용 또는 변경하는 경우
○ 영향평가를 받은 후에 개인정보파일의 운용체계를 변경하려는 경우
다. 영향평가 결과 제출
○ 영향평가 결과를 행정자치부 장관(개인정보보호과)에게 제출
라. 영향평가 방법
○ 행정자치부 장관(개인정보보호과)이 지정한 평가기관에 의뢰
○ 세부내용은『개인정보 영향평가에 관한 고시』(참고 2) 참조
2. 개인정보 안전성 확보 조치 (법 제29조, 영 제30조,『개인정보의 안전성 확보조치 기준』)
○ 세부 사항은『개인정보의 안전성 확보조치 기준』(참고 1) 참조
3. 홈페이지 개인정보 노출 방지 조치
○ 홈페이지 게시내용에 대해 책임부서 지정, 부서장 결재 후 내용 게시
○ 게시판 등 글쓰기 화면에 개인정보 노출 경고메시지 안내
○ 개인정보 노출 가능성이 있는 페이지에 대하여 검색 로봇 배제 기능 설정
○ 홈페이지 개인정보 노출 차단을 위한 주기적 모니터링 등
1. 개인정보 파기 (법 제21조, 영 제16조, 표준지침 제11~12조, 제60조)
가. 개인정보 파기(삭제) 계획 수립
○ 개인정보가 보유기간 만료 등으로 불필요하게 된 경우에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기
- 단,『공공기록물 관리에 관한 법률』등 다른 법령에서 보존해야 하는 경우에는 예외
- 불필요하게 된 개인정보를 파기하지 않고 보존하는 경우에는 그 개인정보는 다른 개인정보와 분리하여 저장·관리
○ 개인정보보호 분야별 책임관은 개인정보의 보유 기간 만료 등에 따른 구체적 파기 시점·방법 등을 반영한 개인정보 파기계획을 수립·시행, 파기 계획은 개인정보 처리방침에 포함하여 시행 가능
나. 개인정보파일 파기 절차
※ 소속·산하기관 개인정보 보호책임관은 개인정보파일 등록 삭제 시 인사혁신처 개인정보 보호책임관에게 개인정보파일 파기결과 보고
다. 개인정보파일 파기 방법
○ 전자적 파일 형태의 경우 : 복원이 불가능한 방법으로 영구 삭제
○ 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각
1. 적용 범위 (법 제25조, 표준지침 제39조)
○ 공개된 장소에 설치·운영하는 영상정보처리기기, 그의 개인영상정보
○ 허가를 받은 사람만 출입이 허용되는 건물 내부공간은 ‘비공개 장소’로 영상정보처리기기 규정 대상 제외
2. 설치 · 운영 기준 (법 제25조)
가. 설치·운영이 가능한 경우
○ 법령에서 구체적으로 허용하고 있는 경우
○ 범죄의 예방 및 수사를 위하여 필요한 경우
○ 시설안전 및 화재 예방을 위하여 필요한 경우
○ 교통단속을 위하여 필요한 경우
○ 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
나. 설치·운영이 금지된 경우
○ 목욕실, 화장실, 탈의실 등 개인 사생활 침해가 우려되는 장소의 내부
※ 구금·보호시설, 정신보건시설 등 법령에 근거하여 구금·보호하는 시설은 가능
3. 영상정보처리기기 설치 시 사전의견 수렴 (법 제25조, 영 제23조, 표준지침 제42조)
○ 관계전문가 및 이해관계인의 의견 수렴 방법
-「행정절차법」에 따른 행정예고(20일이상)의 실시 또는 의견청취
- 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사
4. 안내판 설치 (법 제25조, 영 제24조, 표준지침 제43조)
가. 안내판 설치 방법
○ 정보주체가 알아보기 쉬운 장소에 누구라도 판독가능하게 설치
- 건물 안에 여러 개를 설치하는 경우, 출입구 등 잘 보이는 곳에 해당시설 전체가 설치 지역임을 알리는 안내판 설치 가능
○ 안내판에 의무 기재 내용
나. 안내판 설치 예외 사항
○『군사시설보호법』제2조에 따른 군사시설,『통합방위법』제2조 제13호에 따른 국가중요시설,『보안업무규정』제26조에 따른 보안목표시설
- 국가고시센터, 정부통합전산센터(대전, 광주), 정부청사(중앙, 과천, 대전), 역사기록관, 나라기록관 등
5. 개인영상정보 보호 조치 (법 제25조, 표준지침 제49조, 제51조)
○ 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지, 녹음기능 사용 금지
○ 개인영상정보 접근통제 및 접근권한의 제한 조치
○ 개인영상정보를 안전하게 저장·전송할 수 있는 기술 적용(네트워크 카메라의 경우 암호화 전송, 개인정보영상파일의 비밀번호 설정 등)
○ 처리 기록의 보관 및 위·변조 방지를 위한 조치
- 개인영상정보의 이용·열람·제공·파기 시 개인영상정보 관리대장(별지 6호) 작성 등
○ 안전한 물리적 보관을 위한 보관시설마련 또는 잠금장치 설치
6. 영상정보처리기기 운영·관리 방침 수립 (법 제25조, 표준지침 제40조)
가. 영상정보처리기기 운영·관리 방침(별지 7호) 마련
나. 개인영상정보 보유기간 설정
○ 개인영상정보 보유목적의 달성을 위한 최소한의 기간을 설정하기 곤란한 때에는 보관기간을 개인영상정보 수집 후 30일 이내로 함
7. 영상정보처리기기 설치·운영 점검 (표준지침 제52조)
○ 개인정보 보호책임관은 개인정보영상처리기기의 점검사항에 대한 자체 점검 결과를 다음해 3월 31일까지 행정자치부 장관(개인정보보호과)에게 통보하고 개인정보보호종합포탈(www. privacy.go.kr)에 등록
○ 점검 사항
- 영상정보처리기기의 운영·관리 방침 내용
- 관리책임자의 업무 수행, 위탁 및 수탁자에 대한 관리·감독 현황
- 영상정보처리기기의 설치·운영 및 기술적·관리적·물리적 조치
- 개인영상정보 수집 및 이용·제공·파기, 정보주체 권리행사 조치
- 영상정보처리기기 설치·운영의 필요성 지속 여부 등
1. 개인정보 유출 정의 (표준지침 제26조)
○ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
○ 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
○ 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
○ 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
2. 개인정보 유출 통지 (법 제34조, 영 제40조, 표준지침 제27~28조)
가. 유출 통지 시기
○ 개인정보보호 분야별 책임관은 유출사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 정보주체에게 유출 사실 알림
○ 개인정보보호 분야별 책임관은 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무 입증 책임
○ 개인정보보호 분야별 책임관은 긴급한 조치가 필요한 경우에는 해당 조치를 취한 후 지체 없이 개인정보주체에게 알림
- 유출된 개인정보의 확산 및 추가유출 방지를 위한 접속경로 차단
- 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치
- 취약점 점검·보완 등
나. 유출 통지 항목
○ 정보주체에게 통지 항목
○ 통지항목에 대하여 구체적인 내용을 확인하지 못 한 경우
- 유출이 발생한 사실과 통지항목 중 확인된 사항을 먼저 알리고 나중에 확인되는 사항을 추가로 알림
다. 유출 통지 방법
○ 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법
○ 연락처가 없어 개별통지가 어려운 경우, 인터넷 홈페이지에 지속 게재
○ 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우, 정보주체에게 통지하는 동시에, 인터넷 홈페이지에 유출 통지 항목을 7일 이상 게재
3. 유출 신고 (법 제34조, 영 제39조, 표준지침 제29조)
가. 유출 신고 절차
※ 보통은 ②까지, 1만명 이상 유출된 경우에는 ③까지 신고
※ 소속·산하 기관은 유출 즉시 인사혁신처 개인정보 보호책임관에게 신고
나. 유출 신고 방법
○ 전자우편, 팩스, 개인정보보호종합지원포털(www.privacy.go.kr)로 신고
○ 시간적 여유가 없거나 특별한 사정이 있는 경우, 전화로 사전 신고 후 개인정보 유출신고서(별지 8호) 제출
1. 개인정보 수집 출처 등 고지 (법 제20조, 표준지침 제10조)
가. 처리 기한
○ 정보주체 이외로부터 수집한 개인정보에 대하여 수집 출처 등 고지를 정보주체가 요구한 때에는 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내에 정보주체에게 결과를 알림
나. 요구사항에 대한 통지 내용
다. 수집 출처 등 고지를 거부하는 경우
○ 거부의 근거와 사유를 정보주체에게 통지
○ 정보주체의 요구에 대한 거부가 가능한 경우
- 요구 대상 개인정보파일이 등록·공개 제외사항에 해당하는 경우
- 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
2. 개인정보 처리 요구 (법 제35조, 제37~38조, 영 제41조, 제43조, 제45조, 규칙 제3조, 표준지침 제31~32조)
가. 개인정보 처리 요구 절차
※ 개인정보보호종합지원포털(www.privacy.go.kr)을 통해서도 요구 가능
나. 요구 처리기한
○ 개인정보 처리 요구서를 받은 날로부터 10일 이내에 정보주체의 개인정보에 대한 요구사항을 처리하고 그 결과를 정보주체에게 알림
다. 대리인에 의한 처리 요구 가능
○ 정보주체는 자신의 법정대리인 또는 자신이 위임한 자에게 개인정보 처리 요구를 대리하게 할 수 있음
○ 만14세 미만 아동의 법정대리인은 그 아동의 개인정보 처리 요구 가능
○ 대리인이 정보주체를 대리할 경우에는 위임장(별지 13호) 제출
○ 개인정보보호 분야별 책임관은 처리요구자가 본인이거나 정당한 대리인임을 반드시 확인
라. 처리요구에 대한 수수료 등 비용 청구 가능
○ 열람 등을 요구하는 자에게 수수료와 우송료(사본의 우송을 청구하는 경우)를 필요한 실비의 범위에서 청구 가능
- 수수료는『공공기관의 정보공개에 관한 시행규칙』(참고 3) 준용
- 단, 열람 등 요구를 하게 된 사유가 그 기관에 있는 경우에는 제외
3. 개인정보 열람 (법 제35조, 영 제42조, 표준지침 제30조)
가. 개인정보 열람 제한 또는 거부가 가능한 경우
○ 법률에 따라 열람이 금지되거나 제한되는 경우
○ 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
○ 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
○ 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 등
나. 열람 연기
○ 열람 요구서를 받은 날부터 10일 이내에 열람할 수 없는 사유를 정보주체에게 알리고 연기 가능, 사유가 소멸한 날로부터 10일 이내에 열람 이행
다. 제3자 제공현황에 대한 열람청구를 받은 경우
○ 당해 열람청구가 국가안보의 중요한 사안으로 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무를 수행하는 데 중대한 지장을 초래하는 경우에는 제3자에게 열람청구에 관련한 의견을 조회하여 결정 가능
4. 개인정보 정정·삭제 (법 제36조)
○ 자신의 개인정보를 열람한 정보주체는 그 개인정보의 정정 또는 삭제를 요구 할 수 있음
- 단, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없음
5. 개인정보 처리정지 (법 제37조)
○ 공개된 개인정보파일 중 자신의 개인정보에 대한 처리정지 요구 가능
○ 처리정지 요구를 거절할 수 있는 경우
- 법률에 특별한 규정이 있거나 법령 의무준수를 위하여 불가피한 경우
- 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
- 개인정보를 처리하지 않고는 정보주체와 계약 이행이 곤란한 경우로 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우
6. 손해 배상 청구 (법 제39조)
○ 정보주체는 개인정보 보호법 위반행위로 인한 손해배상 청구 가능
○ 개인정보보호 분야별 책임관은 고의·또는 과실이 없음을 입증 책임
- 법 의무사항 준수 등 개인정보 보호를 성실히 수행한 경우 감경 가능
7. 침해 사실 신고 (법 제62조, 영 제59조)
○ 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터(한국인터넷진흥원, 국번없이 118)로 신고 가능
○ 침해사고 발생시 (집단)분쟁조정 및 단체소송 가능
1. 법 시행(’11. 9. 30) 전에 처리 중인 개인정보에 관한 경과 조치
가. 법 시행 전에 다른 법령에 따라 적법하게 처리된 개인정보
○ 개인정보보호법에 따라 처리된 것으로 봄
- 단, 법 시행 이후 기존의 수집 목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 이 지침에 따라야 함
나. 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 제공받아 목적 외의 용도로 이용하고 있는 경우
○ 정보주체의 동의를 받아야 함
다. 기 수집한 개인정보의 법 준수를 위하여 새롭게 정보주체의 동의를 받아야 하는 경우
○ 기 수집한 개인정보 활용 가능
라. 개인정보 영향평가 대상 규모의 개인정보파일을 운용하고 있는 경우
○ 법 시행일로부터 5년 이내에 영향평가 실시
2. 주민등록번호 처리 제한에 관한 경과조치
○ 법 시행 당시(’14.8.6) 처리하고 있는 주민등록번호는 법 시행 2년 이내에 파기
- 단, 법 제24조의 2 제1항 각호의 규정에 해당하는 경우 제외
- 법 시행 2년 이내에 파기하지 않는 경우 법 제24조의 2 제1항 규정을 위반한 것으로 봄
부칙
별표 서식 정보
댓글 없음:
댓글 쓰기