개인정보보호 내부관리계획은 개인정보보호법 제29조(안전조치의무) 내부관리계획의 수립 및 시행 의무, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 제정된 것으로 ㈜옴니텔(이하 ‘회사’라 한다)이 처리하는 개인정보를 체계적으로 관리하여 개인정보가 분실, 도난, 누출, 변조, 훼손, 오∙남용 등이 되지 않도록 안전성을 확보하기 위한 개인정보보호 활동을 정의하는 것을 목적으로 한다.
제2조(적용범위)
본 계획은 정보통신망을 통하여 수집, 이용, 제공 또는 관리되는 개인정보 뿐만 아니라 서면 등 정보통신망 이외의 수단을 통해서 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 처리하는 내부 임직원 및 외부업체 직원에 대해 적용된다.
제3조(용어의 정의)
1. ‘개인정보’란 생존하는 개인에 관한 정보로서 성명∙주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호∙문자∙음성∙음향∙영상 및 생체특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. ‘처리’란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. ‘개인정보보호책임자’란 회사의 개인정보 처리에 관한 업무를 책임지거나 업무처리를 최종적으로 결정하는 책임을 맡고 있는 자를 말한다.
5. ‘개인정보보호관리자’란 개인정보보호책임자의 지휘/감독을 받아 개인 정보의 수집∙활용∙보관∙파기 등의 업무를 관리하는 자를 말한다.
6. ‘개인정보보호담당자’란 개인정보보호관리자를 지원하며, 개인정보취급자 및 내부 직원의 개인정보보호 활동을 지원하는 자를 말한다.
7. ‘개인정보보호기술책임자’란 개인정보보호책임자의 지휘/감독을 받아 개인정보보호를 위한 기술적인 부분에 대한 업무지원을 수행하는 자를 말한다.
8. ‘개인정보보호기술담당자’란 개인정보보호기술책임자를 지원하며, 개인정보보호를 위한 기술적인 부분의 업무지원을 수행하는 자를 말한다.
9. ‘개인정보취급자’란 개인정보보호책임자의 지휘/감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무 상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
10. ‘제3자’란 다음 각 호에 해당하는 자 이외의 자연인, 법인, 기관∙단체 및 기타의 자를 말한다.
1) 회사와 당해 서비스를 이용하는 자
2) 회사로부터 개인정보의 수집∙취급∙관리 등을 위탁 받은 자
3) 영업의 양수, 합병, 상속 등에 의하여 서비스제공자로부터 권리∙의무를 승계한 자
11. ‘정보통신망’이란 전기통신기본법 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송신 또는 수신하는 정보통신체계를 말한다.
12. ‘정보통신서비스’란 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
13. ‘개인정보처리시스템’이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템 및 개인정보데이터베이스시스템에 접근하기 위한 어플리케이션 등을 말한다.
14. ‘비밀번호’란 정보주체 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자(ID)와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
15. ‘접속기록’이란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
16. ‘아이핀(I-PIN)’이란 인터넷에서 주민등록 번호가 각종 범죄에 악용되는 것을 해결하기 위해 정부가 개발한 인터넷 신원 확인 번호(Internet Personal Identification Number)를 말한다.
17. ‘고유식별정보’란 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등을 말한다.
18. ‘P2P(Peer to Peer)’란 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
19. ‘공유설정’이란 컴퓨터 소유자의 파일을 타인이 조회∙변경∙복사 등을 할 수 있도록 설정하는 것을 말한다.
20. ‘침해사고’란 해킹, 바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등에 의하여 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
21. ‘개인정보파일’이란 컴퓨터 등에 의하여 처리할 수 있도록 체계적으로 구성된 개인정보의 집합물로서 자기테이프∙자기디스크 등 전자적인 매체에 기록된 것을 말한다.
22. ‘개인영상정보’란 CCTV∙네트워크 카메라 등 영상(이하 ‘영상정보처리기기’라 한다)에 의하여 촬영∙처리 되는 영상정보 중 개인의 초상∙행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
제2장 내부관리규정의 수립 및 시행
제4조(내부관리계획의 수립 및 승인)
1. 개인정보보호관리자는 회사의 개인정보보호를 위한 전반적인 사항을 포함하여 내부관리계획을 수립하여야 한다.
2. 개인정보보호관리자는 개인정보보호를 위한 내부관리계획의 수립 시 개인정보보호와 관련한 법령 및 관련 규정을 준수하도록 내부관리규정을 수립하여야 한다.
3. 개인정보보호책임자는 개인정보보호관리자가 수립한 내부관리계획의 타당성을 검토하여 개인정보보호를 위한 내부관리계획을 승인하여야 한다.
4. 개인정보보호관리자는 개인정보보호 관련 법령의 제〮개정 사항 등을 반영하기 위하여 매년 내부관리계획의 타당성과 개정 필요성을 검토하여야 한다.
5. 개인정보보호관리자는 모든 항목의 타당성을 검토한 후 개정할 필요가 있다고 판단되는 경우 내부관리계획의 개정안을 작성하여 개인정보보호책임자에게 보고하고 승인을 받아야 한다.
제5조(내부관리계획의 공표)
1. 개인정보보호책임자는 제4조에 따라 승인한 내부관리계획을 회사 전 임직원에게 공표해야 한다.
2. 내부관리계획은 임직원이 언제든지 열람할 수 있는 방법으로 비치하여야 하며, 변경 사항이 있는 경우에는 이를 공지하여야 한다.
제3장 개인정보보호 조직 및 책임
제6조(개인정보보호 조직 구성)
1. 회사는 개인정보 처리에 관한 업무를 책임지고 효율적으로 처리하기 위한 개인정보보호 조직을 구성하여야 한다. 개인정보보호 조직은 개인정보보호책임자, 개인정보보호관리자, 개인정보보호담당자, 개인정보보호기술담당자로 구성한다.
제7조(개인정보보호책임자의 지정)
1. 개인정보보호책임자는 개인정보보호에 대한 이해가 있어야 하며 개인정보관련 법률 및 규정, 정책 동향에 대한 이해가 있어야 한다. 또한 개인정보보호를 위한 관리적, 기술적 보호조치에 대한 이해도를 갖춰야 하며 개인정보관리 프로세스를 수립하고 운영할 수 있어야 한다.
회사는 개인정보 처리에 관한 업무를 총괄할 개인정보보호책임자로 다음 각 호 중 하나에 해당하는 지위에 있는 자 중 1인을 임명한다.
1) 대표이사 또는 임원
2) 개인정보와 관련하여 정보주체의 고충 처리를 담당하는 부서의 장
2. 제1항에 따라 회사는 개인정보보호책임자를 지정하여 운영한다.
제8조(개인정보관리책임자의 역할 및 책임)
1. 개인정보보호책임자는 다음 각 호의 업무를 수행한다.
1) 개인정보보호조직 구성∙운영의 총괄
2) 내부관리계획의 수립 및 승인
3) 개인정보의 기술적∙관리적 보호조치 기준 이행 총괄
4) 소속 직원 또는 제3자에 의한 위법∙부당한 개인정보 침해행위에 대한 점검
5) 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
6) 정보주체로부터 제기되는 개인정보에 관한 고충이나 의견의 처리 및 감독
7) 임직원, 개인정보취급자 및 수탁자 등에 대한 교육 등 인식제고
8) 개인정보 유출 및 오용∙남용 방지를 위한 내부통제시스템의 구축
9) 개인정보파일의 보호 및 관리∙감독
10) 개인정보 처리방침의 수립∙변경 및 시행
11) 개인정보 보호 관련 자료의 관리
12) 처리 목적이 달성되거나 보유 기간이 지난 개인정보의 파기
13) 그 밖에 정보주체의 개인정보보호에 필요한 사항
2. 개인정보보호책임자의 역할
1) 개인정보보호책임자는 개인정보 보호 계획을 수립하고 적절한 정책을 통해 시행하여야 한다.
2) 개인정보보호책임자는 정보주체의 개인정보가 분실∙도난∙누출∙변조 또는 훼손되지 않도록 개인정보취급자와 협조하여 안정성 확보에 필요한 기술적∙ 관리적 조치를 강구하고 실행하여야 한다.
3) 개인정보보호책임자는 본 계획 및 개인정보 보호 관련 지침을 준수하는지 정기적 또는 수시로 점검하여 미비한 부분을 개선하고 법적, 제도적 변경 사항을 개인정보취급자에게 전달, 교육한다.
4) 개인정보보호책임자는 개인정보취급자가 개인정보의 적정한 취급을 보장할 수 있도록 정기적으로 필요한 교육을 실시한다.
5) 개인정보보호책임자는 개인정보의 유출 및 오남용 방지를 위한 정책을 수립하고 필요 시 시스템을 도입하여 유/무형의 개인정보를 통제, 관리 하여야 한다.
6) 개인정보보호책임자는 개인정보 보호와 관련된 관련 법령 위반 사실을 확인한 경우 즉시 필요한 개선 조치를 진행해야 한다.
7) 개인정보보호책임자는 개인정보취급자를 최소한으로 제한하여야 하며, 개인정보취급자에게 개인정보보안서약서를 징구하여야 한다.
8) 개인정보보호책임자는 개인정보취급자의 전보 또는 퇴직 등 인사이동이 발생 시 개인정보취급자의 개인정보처리시스템 접근 계정을 삭제하고, 개인정보 취급 PC등을 점검하여야 한다.
9) 개인정보보호책임자는 본 계획을 개인정보취급자에게 배포하며, 관계 법령 변경 등 검토 사유 발생 시 타당성을 검토해 수정, 보완한다.
10) 개인정보보호책임자는 개인정보보호위원회의 결정사항을 숙지하여 회사의 정책 방향을 개인정보취급자에게 전달 및 교육한다.
제9조(개인정보보호관리자, 개인정보보호담당자, 개인정보보호기술책임자, 개인정보보호기술담당자의 지정 및 책임)
1. 회사는 기획관리본부장을 개인정보보호관리자로, 총무를 개인정보보호담당자로, R&D센터장을 개인정보보호기술책임자로, R&D센터 IT보안담당자를 개인정보보호기술담당자로 지정 〮운영한다.
2. 개인정보보호관리자는 개인정보보호책임자의 업무를 지원하여 개인정보 보호 활동의 계획을 수립하고 관리한다.
3. 개인정보보호담당자는 개인정보보호관리자의 업무를 지원하여 실제 개인정보보호활동을 수행한다.
4. 개인정보보호기술책임자 및 개인정보보호기술담당자는 개인정보보호책임자의 업무를 지원하여 개인정보보호와 관련된 기술적인 업무를 지원한다.
제10조(개인정보취급자의 지정, 역할 및 책임)
1. 개인정보취급자는 업무상 개인정보를 처리하게 되는 회사의 모든 임직원 및 외부업체 직원, 파견근로자 등을 포함하며 개인정보보호책임자에 의해 지정된다.
2. 개인정보보호책임자는 개인정보취급자를 개인정보 취급자 명단에 기록, 관리한다.
3. 개인정보보호책임자가 지정한 개인정보취급자 이외에는 개인정보를 취급할 수 없으며, 신규 입사자가 있을 경우 개인정보보호책임자가가 실시하는 정보보호 교육을 이수한 후 업무에 착수할 수 있다.
4. 개인정보취급자는 개인정보보호책임자가 실시하는 정기적인 개인정보보호교육을 이수하여야 한다.
5. 개인정보취급자는 개인정보보호책임자의 승인을 득한 후 개인정보처리시스템에 접근할 수 있다.
6. 개인정보취급자는 다음 각 호의 업무를 수행한다.
1) 개인정보보호 활동 참여
2) 내부관리계획 준수 및 이행
3) 개인정보의 기술적∙관리적∙물리적 보호조치 기준 이행
4) 직원 또는 제3자에 의한 위법∙부당한 개인정보 침해행위 점검 수행
제4장 개인정보의 분류 및 정확성 확보
제11조(개인정보의 분류 및 누설 금지)
1. 개인정보는 ‘Confidential(대외비)’에 준하여 분류하고 공평하고 적법하게 관리하여야 한다.
2. 개인정보보호책임자 및 개인정보취급자는 직무상 알게 된 개인정보를 훼손, 침해 또는 누설하여서는 안되며, 내부 보안검열 및 점검 시 상기 사항이 적발될 경우 사내상벌위원회 회부 및 민, 형사상의 책임을 부담할 수 있음을 숙지하여야 한다.
3. 누구든지 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.
제12조(개인정보 정확성 확보)
개인정보보호책임자는 정보주체의 개인정보를 정확하고 최신의 상태로 관리하여야 한다.
제5장 개인정보의 수집, 이용, 제공, 파기
제13조(개인정보의 수집, 이용)
1. 개인정보보호책임자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1) 정보주체의 동의를 받은 경우
2) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4) 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는
경우
6) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우
2. 개인정보보호책임자는 1항에 따른 동의를 받을 때에는 다음 각 호의 모든 사항을 정보주체에게 알리고 동의를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1) 개인정보의 수집∙이용 목적
2) 수집하는 개인 정보의 항목
3) 개인정보의 보유∙이용기간
4) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
3. 개인정보보호책임자는 다음 각 호의 어느 하나에 해당하는 경우에는 제2항에 따른 동의 없이 정보주체의 개인정보를 수집∙이용할 수 있으나, 개인정보 수집∙이용 전에 개인정보팀, 법무팀과 협의하여 최종 수집, 이용 여부를 결정하여야 한다.
1) 서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적∙기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2) 서비스 제공에 따른 요금정산을 위하여 필요한 경우
3) 정보통신망법 및 개인정보보호법 또는 다른 법률에 특별한 규정이 있는 경우
4. ㈜옴니텔의 개인정보 수집 현황은 다음과 같다.
[개인정보 수집 현황]
개인정보 수집 현황
No.
수집 목적
개인정보 항목
보유 및 이용기간
1
쿠폰발송을 위한 정보
휴대전화번호
정보주체 또는 고객사 요청 시
2
일반회원 가입 시 수집 항목
성명, 생년월일, 성별, 휴대전화, 아이디(온라인), 패스워드(온라인), 이벤트코드, 이벤트알림 수시동의, 이메일 수신 동의, 휴대전화 수신 동의
회원탈퇴 시 까지 보유
3
접속 시 수집
접속기록, 쿠키(cookie), 접속IP
180일
제14조(개인정보의 제공)
1. 개인정보보호책임자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다) 할 수 있다.
1) 정보주체의 동의를 받은 경우
2) 제15조 제1항 제2호, 제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
2. 개인정보보호책임자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1) 개인정보를 제공받는 자
2) 개인정보를 제공받는 자의 개인정보 이용 목적
3) 제공하는 개인정보의 항목
4) 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
3. 개인정보보호책임자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 조항을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
제15조(민감정보의 처리제한)
1. 개인정보보호책임자는 사상, 신념, 노동조합, 정당의 가입/탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1) 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2) 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
2. 개인정보보호책임자는 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실, 도난, 유출, 위/변조 또는 훼손되지 아니하도록 안정성 확보에 필요한 기술적, 관리적, 물리적 조치를 취하여야 한다.
제16조(고유식별정보 처리제한)
1. 개인정보보호책임자는 다음 각 호의 경우를 제외하고는 고유식별정보를 처리할 수 없다.
1) 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2) 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
2. 2. 개인정보보호책임자는 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실, 도난, 유출, 위/변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 하여야 한다.
제17조(주민등록번호의 사용 제한)
1. 개인정보보호책임자는 제15조 1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 정보주체의 주민등록번호를 처리할 수 없다.
1) 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2) 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3) 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우
4) 법령에서 정보주체의 주민등록번호 수집.이용을 허용하는 경우
5) 영업상 목적을 위하여 정보주체의 주민등록번호 수집.이용이 불가피하여 방송통신위원회가 고시하는 경우
2. 개인정보보호책임자는 제1항 각 호에 따라 주민등록번호를 수집.이용할 수 있는 경우에도 정보주체의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(예, 아이핀(I-PIN))을 제공하여야 한다.
3. 개인정보보호책임자가 제1항 각 호에 따라 주민등록번호를 처리하는 경우에는 그 주민등록번호가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 안전한 암호 알고리즘으로 암호화하여 저장하는 등 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 하여야 한다.
제18조(개인정보의 수집제한)
1. 개인정보보호책임자는 제13조 제1항에 따라 개인정보를 수집하려고 하는 경우에는 개인정보팀, 법무팀과 협의하여 최종 수집 여부를 결정하여야 한다.
2. 개인정보보호책임자는 다음 각 호의 구분에 따라 필수항목과 선택항목으로 구분하여 정보주체가 선택적으로 자신의 개인정보를 제공할 수 있도록 하여야 한다.
1) 필수항목: 성명, 연락처 등 기본적인 서비스제공을 위하여 필요한 항목
2) 선택항목: 기본적인 서비스 외에 정보주체에게 부가적인 서비스 제공과 직결되어 필요한 항목
3. 개인정보보호책임자는 정보주체의 개인정보를 수집함에 있어 필요한 최소한의 정보를 수집하여야 하며, 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보보호책임자가 부담한다.
4. 개인정보보호책임자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
5. 개인정보보호책임자가 임직원의 개인정보를 사용하기 위해서는 사용에 대한 동의를 얻어야 한다.
제19조(개인정보의 목적 외 이용•제공 제한)
1. 개인정보보호책임자는 개인정보를 제13조 제1항 각 호에 따른 범위를 초과하여 이용하거나 제14조 제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공해서는 아니 된다.
2. 제1항에도 불구하고 개인정보보호책임자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
1) 정보주체로부터 별도의 동의를 받은 경우
2) 다른 법률에 특별한 규정이 있는 경우
3) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4) 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5) 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의•의결을 거친 경우
6) 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7) 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8) 법원의 재판업무 수행을 위하여 필요한 경우
9) 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
3. 개인정보보호책임자는 제2항 제1호에 따른 동의를 받아야 할 때에는 다음의 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1) 개인정보를 제공받는 자
2) 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3) 이용 또는 제공하는 개인정보의 항목
4) 개인정보의 보유 및 이용기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
4. 개인정보보호책임자는 수집한 개인정보를 정보주체로부터 동의 받은 목적과 다른 목적으로 이용하여서는 아니 된다.
5. 개인정보보호책임자는 수신자의 명시적인 수신거부의사에 반하여 영리목적의 광고성 정보를 전송하여서는 아니 된다.
6. 개인정보보호책임자는 수신거부의 의사표시를 하려는 수신자에게는 회사의 연락처를 제공하여야 한다.
7. 개인정보보호책임자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제 3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다.
제20조(개인정보의 제공받은 자의 이용•제공 제한)
1. 개인정보보호책임자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공해서는 아니 된다.
1) 정보주체로부터 별도의 동의를 받은 경우
2) 다른 법률에 특별한 규정이 있는 경우
제21조(정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지)
1. 개인정보보호책임자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1) 개인정보의 수집 출처
2) 개인정보의 처리 목적
3) 개인정보 처리의 정지를 요구할 권리가 있다는 사실
제22조(개인정보의 제공동의 등)
1. 개인정보보호책임자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공할 수 있다.
1) 정보주체의 동의를 받은 경우
2) 제19조 제2항에 따라 개인정보를 수집한 목적범위에서 개인정보를 제공하는 경우
2. 개인정보보호책임자는 제1항 제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1) 개인정보를 제공받은 자
2) 개인정보를 제공받는 자의 개인정보 이용 목적
3) 제공하는 개인정보의 항목
4) 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
3. 제2항에 따라 회사로부터 정보주체의 개인정보를 제공받은 자는 그 정보주체의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다.
제23조(동의를 받는 방법)
1. 개인정보보호책임자는 개인정보보호법에 따른 개인정보의 처리에 대하여 정보주체(법정대리인을 포함한다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.
2. 개인정보보호책임자는 제1항의 동의를 서면(전자문서 및 전자거래 기본법 제2조 제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 행정안전부령으로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.
3. 개인정보보호책임자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보보호책임자가 부담한다.
4. 개인정보보호책임자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
5. 개인정보보호책임자는 정보주체가 제3항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제4항 및 제19조 제2항 제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
6. 개인정보보호책임자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
7. 개인정보보호책임자는 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.
1) 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
2) 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
3) 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
4) 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
5) 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
6) 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
8. 개인정보보호책임자가 정보주체로부터 제13조, 제14조 및 제19조에 따른 동의를 받거나 제23조에 따라 선택적으로 동의할 수 있는 사항에 대한 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 확인할 수 있도록 선택적으로 동의할 수 있는 사항 외의 사항과 구분하여 표시하여야 한다.
9. 개인정보보호책임자는 제23조 제6항에 따라 만 14세 미만 아동의 법정대리인의 동의를 받기 위하여 해당 아동으로부터 직접 법정대리인의 성명•연락처에 관한 정보를 수집할 수 있다.
10. 개인정보보호책임자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 정보주체에게 동의 내용을 확인할 수 있는 방법(인터넷 주소∙사업장 전화번호 등)을 안내하고 동의를 얻을 수 있다.
11. 정보주체에게 동의를 얻거나 응대를 위한 전화 시에는 향후 입증을 위하여 상대방과 합의하에 통화내용을 녹취하여야 한다.
제24조(개인정보의 파기)
1. 개인정보보호책임자는 개인정보의 수집 목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 즉시 파기하여야 한다. 다음 각호의 어느 하나에 해당하는 경우에는 예외로 한다.
1) [전자상거래 등에서의 소비자보호에 관한 법률 시행령]에 따라 거래기록은 다음 각 호의 기준에 따라 보존한다. 단, 거래사실 등의 확인, 계약철회, 환불 등의 처리에 더 이상 필요하다고 판단되지 않는 개인정보는 즉시 파기하여야 한다.
① 표시/광고에 관한 기록 : 6개월
② 계약 또는 청약철회 등에 관한 기록 : 5년
③ 대금결제 및 재화 등의 공급에 관한 기록 : 5년
④ 소비자의 불만 또는 분쟁처리 및 환불에 관한 기록 : 3년
2) 보유기간을 미리 정보주체에게 고지하거나 명시한 경우
3) 개별적으로 정보주체의 동의를 받은 경우
2. 개인정보보호책임자는 제1항에 따라 개인정보를 파기하는 때에는 다음 각 호의 방법에 의한다.
1) 종이에 출력된 개인정보 : 분쇄기로 분쇄하거나 소각
2) 전자적 파일 형태로 저장된 개인정보 : 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제
3. 개인정보보호책임자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해서 저장, 관리하여야 한다.
4. 개인정보를 전송 받은 수탁업체, 제3자 등은 해당 업무 목적을 달성한 때에는 전송 받은 개인정보를 즉시 제2항의 방법에 따라 파기하여야 하며, 파기확인증을 기록, 유지하여야 한다.
5. 제2항의 방법에 따라 개인정보를 파기한 경우에는 그 결과를 개인정보 파기 관리 대장에 기록, 유지 하여야 한다. (개인정보처리시스템 상에서 제24조 제1항의 기준에 따라 자동으로 파기되는 개인정보의 경우에는 개인정보 파기 관리 대장을 별도로 작성하지 않는다)
6. 탈퇴회원의 개인정보의 경우 탈퇴 즉시 별도의 데이터베이스에 저장하여 관련 법률에 정해진 기간 동안 보관한다.
7. 개인정보 자료 파기를 수탁자가 대행하는 경우에는 개인정보보호 서약서를 사전에 작성하고 해당 부서의 개인정보보호책임자(또는 위임 받은 자)의 입회 하에 폐기를 하여야 하며, 그 결과를 개인정보파기 대장에 기록, 유지하여야 한다.
제6장 개인정보 취급 방침의 공개
제25조(개인정보 취급방침의 공개)
1. 개인정보보호책임자는 정보주체의 개인정보를 취급하는 경우에는 ‘개인정보취급방침’을 정하여 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 다음과 같은 사항을 포함하여 공개하여야 한다.
1) 개인정보의 수집∙이용 목적, 수집하는 개인정보의 항목 및 수집 방법
2) 개인정보를 제 3자에게 제공하는 경우 제공 받는 자의 성명(법인의 경우 법인 명칭), 제공받는 개인정보의 이용목적과 제공항목
3) 개인정보의 보유 및 이용기간, 정보의 파기절차 및 방법(다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4) 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당하는 경우에만 취급방침에 포함한다)
5) 개인 및 법정 대리인의 권리와 그 행사 방법
6) 인터넷 접속 정보 파일 등 개인정보를 자동으로 수집하는 장치의 설치, 운영 및 그 거부에 관한 사항
7) 개인정보보호책임자의 성명 또는 정보주체 정보 보호 업무 및 관련 고충 사항을 처리 하는 부서의 명칭과 전화 번호 등 연락처
2. 개인정보보호책임자는 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경 내용을 지체 없이 공지하고 정보주체가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하여야 한다.
3. 개인정보처리방침의 내용과 개인정보보호책임자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
제26조(개인정보취급방침의 공개 방법 등)
1. 개인정보보호책임자는 개인정보 취급방침을 정하여 정보주체가 언제든지 쉽게 확인할 수 있도록 다음의 방법을 이용하여 공개하여야 한다.
1) 인터넷 홈페이지의 첫 화면 또는 첫 화면과 연결화면을 통해서 개인정보취급방침 전문의 내용을 정보주체가 볼 수 있도록 하는 방법, 이 경우 글자크기, 색상 등을 활용하여 정보주체가 개인정보 취급 방침을 쉽게 확인할 수 있도록 표시 (방송통신위원회가 정하여 고시하는 방법에 따른 전자적 표시 실시)
2) 점포, 사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
3) 동일한 제호로 연 2회 이상 계속적으로 발행하여 정보주체에게 배포하는 간행물, 소식지, 홍보지, 청구서 등에 지속적으로 게재하는 방법
4) 가입신청서에 게재
2. 개인정보관리책임자는 개인정보취급방침을 변경하고자 하는 경우 개인정보팀, 법무팀과 협의하여 사전 검토를 받아야 하며, 아래와 같은 방법을 이용하여 공지하여야 한다.
1) 인터넷 홈페이지의 첫 화면의 공지사항 란 또는 별도의 창을 통하여 공지하는 방법
2) 서면, 모사전송, 전자우편 또는 이와 비슷한 방법으로 정보주체에게 공지하는 방법
3) 점포, 사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법
3. 개인정보보호책임자는 제1항에 따라 개인정보취급방침을 공개하는 경우에는 정보주체가 인터넷을 통하여 개인정보 취급방침의 주요 사항을 언제든지 쉽게 확인할 수 있도록 하기 위하여 방송통신위원회가 정하여 고시하는 방법에 따른 전자적 표시도 함께 하여야 한다.
제7장 개인정보의 기술적∙관리적 보호조치
제27조(개인정보보호서약서 징구)
1. 개인정보보호책임자는 모든 개인정보취급자에 대해 “개인정보보호서약서”를 징구하여야 한다.
2. 보안서약서 징구 담당자 및 연락처
[보안서약서 징구 담당자]
보안서약서 징구 담당자
부서명
담당자명
연락처
기획관리본부
오정훈
02-2181-8010
제28조(개인정보 사전점검)
1. 개인정보보호책임자는 새로운 정보통신망을 구축하거나 개인정보의 처리내용을 포함한 신 사업의 개시 또는 업무 프로세스를 변경하고자 하는 때에는 그 계획 또는 설계에 개인정보보호에 관한 사항을 고려하여야 한다.
2. 개인정보보호책임자는 전항의 경우 개인정보 사전 점검표를 작성 및 제출하여 개인정보팀의 사전 검토를 받아야 하며, 필요 시, 법무팀과 추가 검토를 득한 후 업무를 개시할 수 있다.
제29조(접근통제)
1. 개인정보보호책임자는 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
2. 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우, 지체 없이 개인정보 처리 시스템의 접근 권한을 변경 또는 말소하여야 한다.
3. 제1항 및 제2항에 의한 내역은 개인정보 권한 부여, 변경 또는 말소 내역에 기록하고, 그 기록을 최소 5년간 보관한다.
4. 개인정보처리시스템 접속 사용자 계정 발급 시 개인정보취급자 별로 한 개의 계정을 발급해야 하고, 다른 개인정보취급자와 공유되지 않도록 해야 한다.
5. 정보주체의 비밀번호 작성규칙을 아래와 같이 수립하고 이행한다.
1) 다음 각 목의 문자 종류 중 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2) 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것
3) 비밀번호를 6개월 마다 주기적으로 변경하도록 권고
4) 비밀번호 변경 시 동일한 비밀번호를 교대로 사용하지 않도록 권고
6. 개인정보취급자는 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 적용∙운용하여야 한다.
1) 다음 각 목의 문자 종류 중 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2) 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것
3) 비밀번호에 유효기간을 설정하여 분기 1회 이상 변경
4) 동일한 비밀번호의 교대사용 금지
7. 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인정보처리시스템 및 개인정보취급자의 PC를 설정하여야 한다.
8. 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 각 호의 내용을 설치∙운영하여야 한다.
1) 시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가 받지 않은 접근을 제한
2) 시스템에 접속한 IP주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지
9. 개인정보취급자가 망을 통해 외부에서 시스템에 접속하려는 경우에는 가상사설망 또는 전용선 등 안전한 접속수단을 적용하여야 한다.
10. 외부직원이 개인정보처리시스템에 접근이 필요한 경우에는 개인정보보호책임자의 사전 승인 및 관련 절차를 따른다.
11. 외부직원을 포함하여 모든 직원은 PC 반∙출입 시 잠금 케이블 설치∙PC봉인 등과 같은 관련 절차를 따른다.
12. 개인정보취급자는 개인정보처리시스템의 변경사유가 발생하는 경우 업무관리시스템(PMS)을 통해 개인정보보호 기술담당자에게 변경요청사항을 전달하며, 개인정보보호 기술담당자는 접수된 요청사항을 검토하여 이를 개인정보처리시스템에 반영한다.
13. 개인정보처리시스템의 변경내역은 5년간 보관한다.
제30조(접속 기록의 위∙변조 방지)
1. 개인정보보호책임자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 개인정보팀과 협조하여 정기적으로 확인∙감독하여야 한다.
2. 개인정보보호책임자는 개인정보팀과 협조하여 개인정보취급자의 접속기록이 위∙변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
3. 개인정보보호책임자는 개인정보취급자의 접속기록이 위∙변조 및 도난, 분실되지 않도록 해당 접속기록을 최소 6개월 이상 안전하게 보관하여야 한다.
제31조(개인정보의 암호화)
1. 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 바이오 정보, 민감정보를 수집하여 저장하는 경우 안전한 알고리즘으로 암호화하여 저장하여야 한다.
2. 개인정보는 원칙적으로 개인정보보호책임자 및 개인정보취급자의 PC에 저장할 수 없다. 업무상 불가피하게 PC에 저장하여야 하는 경우 별도의 개인정보 폴더를 생성하고, 해당 폴더에 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화하여 저장하여야 한다.
3. 제2항에 따라 저장된 개인정보 파일은 업무가 종료됨과 동시에 즉시 삭제 처리하여야 한다.
4. 개인정보보호책임자는 제1항의 개인정보를 망을 통하여 송∙수신하거나 보조저장매체 등을 통하여 전달하는 경우 이를 암호화하여 전달해야 한다.
5. 개인정보보호책임자는 비밀번호 및 바이오 정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
6. 개인정보보호책임자는 개인정보취급자의 PC에 개인정보파일이 저장되지 않도록 수시로 점검하고, 지도하여야 한다.
제32조(보안프로그램의 설치 및 운영)
1. 개인정보처리시스템 및 개인정보취급자가 개인정보처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성 프로그램의 침투 여부를 항시 점검, 치료할 수 있도록 백신 소프트웨어 등 보안 프로그램을 설치 운영하여야 한다.
2. 백신 소프트웨어 등 보안 프로그램의 자동 업데이트 기능을 사용하거나 일 1회 이상 업데이트를 실시한다. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시한다.
3. 보안 프로그램은 정책 자동 업데이트, 실시간 감시 기능, 예약 검사 설정 등을 적용하여야 한다.
4. 개인정보 처리 PC에 이상이 발생한 경우 해당 개인정보취급자는 즉시 개인정보팀에 의뢰하여 조치를 받도록 한다.
제33조(출력∙복사∙전송 시 보호조치)
1. 개인정보는 문서로 출력하거나 USB∙디스켓∙콤팩트디스크 등의 이동 가능한 저장매체에 복사할 수 없다. 단, 업무상 필요에 의하여 불가피하게 출력을 하여야 하는 경우에는 용도를 특정해야 하며, 용도에 따라 출력항목을 최소화하고, 문서를 출력, 복사한 내역은 별첨 개인정보 파기 관리대장에 통합 관리한다.
2. 시스템 상으로 출력/복사 및 파기를 관리하는 부서는 개인정보 파기 관리대장을 작성하지 않는다.
3. 개인정보보호책임자는 제1항의 출력 및 복사를 승인함에 있어서 해당 내용이 개인정보 보호 관련 법령에 위배되지 않음을 확인하여야 한다.
4. 개인정보보호책임자는 개인정보취급자가 해당 출력, 복사물을 불법 유출할 경우 법적 제재조치 (5년 이하의 징역 또는 5천 만원 이하의 벌금)를 받을 수 있음을 개인정보취급자에게 충분히 고지하여야 한다.
5. 무선랜 및 공유폴더를 사용하여 개인정보를 이용 또는 공유 및 전송하여서는 아니 된다.
6. 이메일을 통한 개인정보 파일 전송 시 비밀번호 작성 규칙에 따라 암호화하여야 하며, 이메일 본문에 개인정보를 포함해서는 아니 된다.
제34조(개인정보의 추출 및 전달)
1. 개인정보보호책임자가 지정한 개인정보취급자만이 개인정보를 내부 부서 또는 수탁업체로 전달할 수 있다.
2. 개인정보 추출 시에는 반드시 개인정보보호책임자의 승인을 득한 후, 개인정보팀의 협조하에 추출한다.
3. 개인정보처리시스템에 직접 접근하여 개인정보를 추출해야 할 경우 사전에 개인정보팀과 협의하여야 하며, 회사에서 지정한 표준 소프트웨어를 사용하여 추출한다.
4. 수탁업체 및 제3자 등에게 개인정보를 전송 시에는 개인정보보호책임자의 승인을 받은 후 암호화하여 전송하여야 한다.
5. 개인정보를 수탁업체로부터 전달받거나 전달할 경우, 개인정보 수령증 및 폐기확인서를 반드시 확인하고, 수령하여야 한다.
제35조(개인정보의 보관 및 물리적 접근제한)
1. 개인정보보호책임자는 개인정보와 개인정보처리시스템을 보관하고 있는 물리적 구역을 통제구역으로 지정하고, 물리적 접근 방지를 위한 출입통제 장치를 설치하여야 한다.
2. 수탁업체로부터 USB∙디스켓∙콤팩트디스크 등의 이동 가능한 저장매체를 통해 개인정보를 전달 받을 경우, 수령한 저장매체는 안전한 금고 내에 별도로 보관하여야 하며, 반∙출입 통제를 수행하여야 한다.
3. 개인정보를 서면으로 직접 작성∙제출 받아 보관하는 경우에는 봉투 등을 이용하여 다른 문서와 분리한 후 2중으로 포장하여 시건 장치가 된 사무실 내의 캐비닛 등의 보관 용기(철 또는 박스 등)에 보관하여 관계자 이외의 자가 열람 또는 절취하지 않도록 대외비에 준하여 취급한다. (수탁자의 경우에도 동일한 방법으로 보관하여야 한다)
4. 장∙단기간 보관을 위한 서면의 개인정보를 문서고 내 문서보관실 등과 같은 별도 보관 장소에 이관하여 보관할 경우에는, 부서별 보관 구역을 분류하고 견고한 용기에 담아 보관하여야 하며 구역별 별도의 시건 장치를 하여야 한다. 개인정보취급자는 보관중인 문서보관실의 출입대장 및 개인정보 보관내역을 기록∙유지 하여야 한다.
5. 개인정보취급자가 개인정보처리시스템을 보관하고 있는 물리적 구역을 출입하려 하는 경우 개인정보팀의 사전 승인을 받은 후 개인정보팀의 입회 하에 출입하여야 한다.
6. 개인정보처리시스템을 보관하고 있는 물리적 구역은 USB, 콤팩트디스크 및 휴대폰 등 이동 가능한 저장매체의 반입을 금지한다.
7. 개인정보취급자가 사용하는 PC 및 노트북, 개인정보처리시스템은 USB, 콤팩트디스크 및 휴대폰 등 이동 가능한 저장매체의 사용을 금지한다. 부득이한 사유로 인하여 이동식 저장매체의 사용이 필요한 경우 개인정보팀의 결재를 받아 별도의 권한을 얻은 후 사용하도록 한다.
8. USB, 콤팩트디스크 및 휴대폰 등의 이동식 저장매체를 통한 개인정보의 반출은 원칙적으로 금지한다. 단, 제7항에 따라 개인정보팀의 결재를 받아 제작된 이동식 저장매체를 외부로 반출하는 경우 저장매체의 수신자, 반출일자, 반출되는 정보내역 등을 개인정보팀에 보고하고 결재를 득한 후 반출하도록 한다.
제36조(자체 점검 주기 및 절차)
1. 개인정보보호책임자는 개인정보보호를 위한 내부관리계획을 매년 1회 이상 점검하여야 하며, 개인정보취급자가 관련 법령 및 내부관리계획에서 정하는 개인정보보호 규정을 성실히 이행하는지를 점검하여야 한다.
2. 개인정보보호책임자는 개인정보 처리 실태 점검을 위한 점검 대상, 점검 절차 및 방법 등 점검의 실시에 관하여 별도의 계획을 수립할 수 있다.
3. 개인정보 보호 실태 점검은 매월 1회 주기적으로 실시하고, 결과를 관리한다.
제37조(자체 점검 결과 보고 및 반영)
1. 개인정보보호책임자는 개인정보보호를 위한 자체 점검 실시 결과, 개인정보의 관리∙운영 상의 문제점을 발견하거나 관련 직원이 본 계획의 내용을 위반할 때에는 시정∙개선 등의 필요한 조치를 취하여야 한다.
2. 개인정보보호책임자는 개인정보 위반사실에 대한 시정∙개선 조치가 이행되지 않거나, 개인정보보호에 심각한 영향이 발생할 수 있는 우려가 되는 경우 개인정보취급자 등에 대한 인사발령 등의 필요한 추가 조치를 취할 수 있다.
3. 개인정보보호책임자는 점검 및 개선조치 결과를 대표이사에게 보고하여야 한다.
제38조(개인정보 표시 제한 보호조치)
개인정보 업무처리를 목적으로 개인정보의 조회, 출력, 공지(홈페이지 등) 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시 제한 조치를 취해야 하며 다음의 원칙을 적용하여야 한다.
1. 성명 중 이름의 두 글자 이상 (예: 홍**)
2. 생년월일 (예: ****년 *월 *일)
3. 전화번호 또는 휴대폰 전화번호의 국번 (예: ***-****-1234)
4. 주소의 읍∙면∙동 (예: 서울 강남구 ***동)
5. E-mail (예: ID@*******)
6. 인터넷주소는 버전 4의 경우 17~24비트 영역, 버전 6의 경우 113~128비트 영역 (예: 123.123.***.123)
7. 개인정보 항목을 결합하는 경우 (예: ID+전화번호: ID, ***-****-1234 성명+전화번호+주소: 홍**, ***-****-1234, 서울 강남구 ***동 성명+전화번호+E-mail: 홍**, ***-****-1234, ID@*******)
제39조(영상정보처리기기의 설치•운영 제한)
1. 개인정보보호책임자는 CCTV의 설치 목적에 부합하는 필요 최소한의 범위 안에서 영상정보를 수집하여야 하며, 영상정보를 그 목적 이외의 용도로 활용하여서는 아니 된다.
2. 당사자의 명시적인 동의 없이 특정인을 감시할 목적으로 정보주체의 개인영상정보를 수집하여서는 아니 된다.
3. 개인정보보호책임자는 CCTV가 설치•운영되고 있음을 정보주체가 쉽게 알아볼 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하여야 한다. 다만, 건물 안에 여러 개의 CCTV를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 CCTV설치지역임을 표시하는 안내판을 설치할 수 있다.
1) 설치 목적 및 장소
2) 촬영 범위 및 시간
3) 관리책임자의 성명 및 연락처
4. 개인정보보호책임자는 CCTV의 설치 목적과 다른 목적으로 CCTV를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.
5. CCTV를 설치•운영하는 때에는 정보주체의 초상권, 사생활의 비밀과 자유 등을 침해할 위험이 없는지를 사전에 분석•검토하여 이를 최소화할 수 있는 수단을 강구하여야 한다.
6. 법률에 따라 내부 또는 외부의 자에 대하여 이용하게 하거나 제공하는 경우를 제외하고는 당해 개인정보파일의 보유목적 외의 목적으로 처리정보를 이용하게 하거나 제공하여서는 아니 된다.
7. CCTV관리에 대한 세부내용은 관련 법령 및 절차를 따른다.
제8장 개인정보 취급 수탁업체 관리 (필요시)
제40조(업무위탁에 따른 개인정보의 처리 제한)
1. 개인정보보호책임자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2) 개인정보의 기술적•관리적 보호조치에 관한 사항
3) 위탁업무의 목적 및 범위
4) 재위탁 제한에 관한 사항
5) 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
6) 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항
7) 개인정보 처리 업무를 위탁 받아 처리하는 자(이하 “수탁자”라 한다)가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
2. 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보보호책임자(이하 “위탁자”라 한다)는 정보주체에게 위탁하는 업무의 내용과 수탁자를 언제든지 쉽게 확인 할 수 있도록 위탁자의 인터넷 홈페이지에 지속적으로 공개하여야 한다.
3. 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 정보주체에게 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
4. 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실•도난•유출•변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 한다.
5. 수탁자는 위탁자로부터 위탁 받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공해서는 아니 된다.
6. 수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보보호책임자의 소속 직원으로 본다.
제41조(수탁/제휴 업체 계약 시 보안 대책)
개인정보와 관련한 업무를 수행하는 신규 수탁/제휴 업체 계약 시, 다음과 같은 보안 대책을 적용하여야 한다.
1. 개인정보를 취급하는 수탁/제휴 업체와 계약 시, 담당 직원은 개인정보 관련 업무 내용을 개인정보보호책임자에게 사전 고지한다.
2. 개인정보보호책임자는 개인정보팀, 법무팀의 자문을 득한 후에 개인정보 관련 업무에 대한 승인을 한다.
3. 개인정보를 취급하는 수탁/제휴 업체와 계약을 할 경우, 개인정보보호책임자는 별도의 정보보호특약서를 체결하여야 하며 다음의 항목을 반영한다.
1) 개인정보에 관한 비밀유지 및 제3자 제공금지
2) 개인정보보호 의무의 준수와 비밀 유지에 대한 서약서 징구
3) 회사의 개인정보취급 관련 업무 지시 엄수 (각종 관리대장 작성 및 관리, 교육 및 감사 등)
4) 개인정보보호 관리 조치의 부실로 인한 문제발생 시 손해배상책임
5) 수탁업체 자체 내부관리계획의 수립 및 준수
6) 수탁업체 자체 교육 및 감사 실시
7) 수탁업체 자체 제재 기준
4. 개인정보보호책임자는 제휴사 및 수탁업체 개인정보보호책임자에게 제휴사 및 수탁업체의 과실로 인하여 관계법령 및 규정, 정보보호 특약서를 준수하지 않아 발생하는 모든 문제에 대해서 민, 형사상의 책임을 부담할 수 있음을 고지한다.
5. 개인정보보호책임자는 제3자에게 정보주체의 개인 정보를 수집, 보관, 처리, 이용, 제공, 관리, 파기 등을 할 수 있도록 업무를 위탁(이하 ‘개인정보 취급위탁’이라 한다)하는 경우에는 다음 각 호의 모든 사항을 정보주체에게 알리고 동의를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1) 개인정보 취급위탁을 받는 자(이하 ‘수탁자’라 한다)
2) 개인정보 취급위탁을 하는 업무의 내용
6. 개인정보보호책임자는 개인정보 취급위탁을 하는 경우에는 수탁자가 정보주체의 개인정보를 취급할 수 있는 목적을 사전에 정하여야 하며, 수탁자는 이 목적을 벗어나서 정보주체의 개인정보를 취급하여서는 아니 된다.
제42조(수탁/제휴 업체 개인정보 취급 보안 대책)
1. 개인정보보호책임자는 개인정보를 취급하는 외부 협력직원의 현황을 수시로 파악하여 수탁업체 개인정보취급자용 개인정보보호서약서를 징구하여야 하며, ‘개인정보 취급자 명단’을 관리하여야 한다.
2. 개인정보보호책임자는 외부 협력직원과의 업무 수행 시, 관련 규정 및 내부관리계획을 협력직원에게 연 2회 이상 교육을 실시하고 내역에 대한 근거자료를 관리하여야 한다.
3. 개인정보보호책임자는 관계법령, 본 계획 및 정보보호특약서의 내용에 대해서 보안 위반 사항이 없는지 연 2회 이상 수탁업체 대상으로 감사를 실시하고 내역에 대한 근거자료를 관리하여야 한다.
4. 개인정보를 전송 받아 업무를 수행하는 수탁업체(예: DM 발송업체 등)의 경우, 업무 완료 후 본사 직원의 입회 하에 정보주체 정보 삭제 여부를 확인하여야 하거나 수탁업체부터 파일 및 출력물 등 개인정보에 대한 삭제 확인서를 받는다.
5. 기타 개인정보보호에 관한 관리적/기술적 보호조치 세부 사항은 개인정보 보호 특약서(수탁/제휴 업체용)에 따른다.
제9장 개인정보보호 교육
제43조(개인정보 보호 교육)
1. 개인정보보호관리자는 개인정보보호 교육계획을 수립하여 개인정보보호책임자에게 보고하여야 한다.
2. 개인정보보호에 대한 인식을 제고시키고, 개인정보의 오〮남용 또는 유출을 예방하기 위해 개인정보취급자를 대상으로 다음과 같이 교육을 실시하여야 한다.
1) 개인정보보호관리자는 수립된 교육계획에 의거 전 임직원 대상 년 2회 이상 교육을 실시하여야 하며, 교육실시 내역에 대한 근거자료로 개인정보 교육대장을 남겨야 한다.
2) 교육 방법은 집합 교육뿐 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하도록 하고 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.
3) ㈜옴니텔의 개인정보보호 교육 계획은 아래와 같다.
[개인정보보호 교육 계획]
개인정보보호 교육 계획
No.
시기
대상
내용
방법
시간
1
상/하반기
전 임직원
개인정보취급방침 개인정보보호 관련 내용
집체교육
1H
3. 개인정보취급자 및 전 임직원은 개인정보 보호 교육에 년 2회 이상 반드시 참석하여 교육을 이수하여야 한다.
제10장 정보주체의 권리 및 고충 처리
제44조(정보주체의 권리 등)
1. 정보주체는 개인정보보호책임자에 대하여 언제든지 개인정보 수집∙이용∙제공 등의 동의를 철회할 수 있다.
2. 정보주체는 개인정보보호책임자에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1) 정보주체의 개인정보
2) 정보주체의 개인정보를 이용하거나 제 3자에게 제공한 현황
3) 정보주체가 개인정보 수집∙이용∙제공 등의 동의를 한 현황
3. 개인정보보호책임자는 정보주체가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다. 단 제24조 1항의 예외사항에 속하는 경우 24조 1항의 규정에 따라 처리한다.
4. 개인정보보호책임자는 제2항에 따라 열람 또는 제공을 요구 받으면 지체 없이 필요한 조치를 하여야 한다.
5. 개인정보보호책임자는 제2항에 따라 오류의 정정을 요구 받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 정보주체에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청 받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.
6. 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람∙제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
제45조(법정 대리인의 권리)
1. 개인정보보호책임자는 만 14세 미만의 아동으로부터 개인정보 수집∙이용∙제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
2. 법정대리인은 해당 아동의 개인정보에 대하여 제44조 제1항 및 제2항에 따른 정보주체의 권리를 행사할 수 있다.
3. 제2항에 따른 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제44조 제3항부터 제5항까지의 규정을 준용한다.
제44조(고충처리)
1. 개인정보보호책임자는 전화, 서면, 전자우편 또는 인터넷 홈페이지 등을 통하여 개인정보와 관련한 정보주체의 의견을 수렴하고 불만사항을 접수하여 이를 처리하여야 한다.
1. 개인정보보호책임자는 개인정보가 유출되었음을 알게 되었을 때에는 서면 등의 방법으로 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검∙보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다.
1) 유출된 개인정보의 항목
2) 유출된 시점과 그 경위
3) 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4) 개인정보보호책임자의 대응조치 및 피해 구제절차
5) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
[유출통지 프로세스]
개인정보팀은 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 지체 없이 안전행정부 및 KISA에 알려야 하고, 개인정보보호책임자는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 제1항 각 호의 사항을 7일 이상 게재하여야 한다.
제48조(개인정보 침해대응 조직 및 업무 범위)
1. 개인정보 침해 사고 대응은 개인정보팀이 담당한다.
2. 회사에서 발생하는 다음 각 호의 사고 및 모든 종류의 개인정보 침해사고를 담당한다.
1) 외부 해킹, 바이러스, 스파이웨어 등 악성코드에 의한 개인정보 유출
2) 내부 임직원 또는 수탁업체 직원 등에 의한 개인정보 유출
3) 개인정보의 임의 변조, 도난∙분실 또는 수정∙삭제 등의 행위 발생
4) 법규 위반에 따른 정보주체 클레임 제기 또는 분쟁 발생
제49조(개인정보 침해대응 절차 및 내용)
개인정보 침해 사고의 접수 또는 인지 시, 즉각 모든 직원은 개인정보팀에 사고를 접수하여야 하며, 대응 절차 및 내용은 개인정보 침해 대응 매뉴얼에 따른다.
[그림] 침해대응 절차 순서도
제12장 내부관리계획의 제.개정
제50조(내부관리계획의 제∙개정)
1. 본 계획과 관련한 법률이나 기타 지침의 변경이 있을 시에는 개인정보보호책임자는 연 1회 이상 타당성을 검토해 수정, 보완한다.
2. 기타 본 계획에서 다루지 않은 내용 및 관계법령과 본 계획이 다를 경우에는 관계법령을 우선하여 적용한다.