| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 정보통신망법 개정에 따른 CI, 주민등록번호 분리보관 문의
|
|
안녕하세요,
'24.07.24 정보통신방법 개정 및 시행(24.07.24)에 따른 CI, 주민등록번호 분리보관 관련하여 문의드립니다.
분리보관 관련하여 법적 요구사항이 있는지, 아래 방안 외 추가 방안이 있는지 전문가의 조언을 요청드립니다.
1) 테이블 분리: 운영 DB 내 별도 Table, 별도 접근권한
2) DB분리: 운영 DB와 분리된 별도 DB, 별도 접근통제
3) 그 외 다른 분리 방안이 있는지
감사합니다.
|
2024-03-14 ㅣ 답변 1 ㅣ 조회수 100
|
| 정보주체 권리 > 기타 분야 |
|
Q. 정보주체의 권리 보장
|
|
수학여행, 체험프로그램 등 학생단체 관련된 증명서 또는 확인서를 교사가 요청할 경우 학생의 증명서를 발급해줘도 문제가 없을까요?
학생단체의 경우 부모님이 직접 동승하는 것이 아닌 선생님 또는 인솔자가 동승함
- 학생단체가 만 14세 미만일 경우 개인정보 보호법 제38조(권리행사의 방법 및 절차) 및 동법 시행령 제45조(대리인의 범위 등)에 따라 위임장을 작성하여 위임을 받은 자(교사)가 발급 가능 여부
[관련 법령_개인정보 보호법]
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4., 2023. 3. 14.>
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
제22조의2(아동의 개인정보 보호) ① 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지를 확인하여야 한다.
제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 및 동의 철회, 제37조의2에 따른 거부ㆍ설명 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. <개정 2020. 2. 4., 2023. 3. 14.>
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.
[관련 법령_개인정보 보호법 시행령]
제45조(대리인의 범위 등) ① 법 제38조에 따라 정보주체를 대리할 수 있는 자는 다음 각 호와 같다.
1. 정보주체의 법정대리인
2. 정보주체로부터 위임을 받은 자
|
2024-03-14 ㅣ 답변 1 ㅣ 조회수 66
|
| 개인정보 제3자 제공 > 기타 분야 |
|
Q. 외부사이트 이용 문의
|
|
안녕하십니까, 문의가 있어서 작성을 하게 되었습니다.
당사 구성원의 상담을 위하여 상담소를 운영하고 있습니다.
상담 전 구성원들에 대한 개인정보수집동의서를 받고 있습니다만
내부 시스템이 아닌 외부 사이트에 구성원 정보(이름 연락처)를 입력하여 MBTI, 인성검사 등을 진행하는 링크를 상담자 別 전화번호로 문자를 전달하고 있습니다.
이럴 경우 외부 사이트에 구성원 정보가 기록될 것으로 생각됩니다.
이러할 경우 법적 문제가 발생하지 않을 방법이 궁금하여 글을 남기게 되었습니다.
상담 전 개인정보수집동의서에 제3자 제공으로 외부 사이트에 대한 정보를 작성하면 될지, 다른 방법이 있다면 조언 부탁드립니다.
|
2024-03-14 ㅣ 답변 1 ㅣ 조회수 54
|
| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 내부관리계획 수립
|
|
안녕하세요
저희 업체는 임직원이 15명 정도 되는 회사입니다.
다른 업체에 업무를 위탁받아 처리를 하고 있는데 이번 위수탁 점검을 받으면서 내부관리 계획이 미흡하다고 지적을 받았습니다.
안전성확보조치를 보면
'다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다'
라고 언급을 하고 있습니다.
저희는 1만명 미만의 정보주체를 처리하고 있으며 저희 업체가 '단체'에 해당되어 내부관리 계획을 수립하지 않아도 되는지 궁금합니다.
|
2024-03-14 ㅣ 답변 1 ㅣ 조회수 75
|
| 기타 유형 > 정보통신 |
|
Q. 내부직원의 특정직원 개인정보 열람 시 개인정보 유출 해당 여부
|
|
안녕하세요. 내부직원이 타직원의 개인정보를 열람한 경우 개인정보 유출에 해당되는지 문의를 드립니다.
* (문의사항)내부직원이 그룹웨어에서 병가를 대리 처리하는 과정에서 실수로 해당 휴가원(진단서 포함)이 부서공개로 처리되어
해당 부서직원이 열람이 가능하거나 열람한 경우 개인정보 유출에 포함되는지 문의를 드립니다.
* (문의자의견)개인정보가 포함된 휴가원(진단서 포함)은 내부 권한(해당 부서직원)이 있는 사용자만 접근할 수 있으며, 외부 등 권한이 없는자는 접근할 수 없음. 또한, 해당 휴가원은 해당 내부직원이 비공개로 처리하여 정정하였으므로 개인정보처리자의 관리 및 통제권을 벗어난 상태로 보기 어려울 것 같음
* (관련조항)
표준 개인정보 보호지침
[시행 2024. 1. 4.] [개인정보보호위원회고시 제2024-1호, 2024. 1. 4., 일부개정]
제25조(개인정보의 유출등) 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다)은 법령이나 개인정보처리자의
자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알
수 있는 상태에 이르게 된 것을 말한다.
|
2024-03-14 ㅣ 답변 2 ㅣ 조회수 107
|
| 개인정보 제3자 제공 > 기타 분야 |
|
Q. 수집 및 제3자 제공된 개인정보의 보유기간
|
|
개인정보를 수집하는 것과 제3자 제공에 대하여 별도의 동의를 받아야 하는 것으로 알고 있습니다.
수집하는 자를 A라고 하고, 제공 받는 제3자를 B라고 하고 법에서 정한 동의에 관한 조건을 모두 충족한다고 할 경우, A와 B의 개인정보 보유기간을 달리 정해도 문제가 없을까요?
(예를 들어 A의 보유기간은 3년, B의 보유기간은 5년 으로 하여 개인정보를 제공받는 제3자인 B의 보유기간이 더 길 경우)
|
2024-03-13 ㅣ 답변 1 ㅣ 조회수 56
|
| 개인정보 관리 > 경영·사무 |
|
Q. 공공기관 부서 앞 직원안내도에 직원 사진을 붙여놓는 것에 대하여 문의드립니다.
|
|
해당 공공기관은 업무시간 내에는 민원인들이 아무런 제지 없이 모든 층 모든 부서에 대한 접근이 자유로워, 직원들의 사진이 무작위적인 외부인들에게 노출되고 있습니다.
직원이 입직할 때 본인의 사진을 외부에 노출시키는 것에 대한 동의를 따로 하지 않았다면,
1. 직원의 개인정보 침해 가능성이 있는지
2. 직원의 초상권 침해 가능성이 있는지
3. 상업적 용도가 아닌 공공의 이익을 위한 것이라면 용인될 수 있는 것인지
전문가분들의 답변 부탁드립니다! 감사합니다.
|
2024-03-13 ㅣ 답변 1 ㅣ 조회수 89
|
| 개인정보 안전성 확보조치 > 기타 분야 |
|
Q. 개인정보처리방침 게시 기준에 대한 문의
|
|
저는 민간기업체에서 개인정보보호 업무를 담당하는 실무자입니다.
개인정보처리방침에 대한 게시 기준에 대해서 문의사항이 있어 질문드립니다.
현업에서 업무를 위해 외부인의 개인정보를 정상적으로 동의를 받고 수집 후, 업무 활용을 위해 개인정보처리시스템에 저장하여 관리하고 있는 경우,
(1) 해당 개인정보처리시스템이 회사 내부망에만 있어, 외부인이 접속이 불가한 경우
(2) 해당 개인정보처리시스템이 회사 외부망에 위치해 있어, 외부인이 접속이 가능한 경우
위의 두 가지 상황에서 (1)번 사항과 같이 해당 시스템에 외부인이 접속을 못하는 경우에도 개인정보처리방침을 해당 처리시스템에 게시해야 하는 것인지 궁금합니다.
(2)번의 경우에는 해당 시스템에 개인정보처리방침을 게시하고 있습니다.
두 번째 질문으로, 위의 (1)번의 경우, 개인정보처리방침을 게시해야하는 경우, 외부인이 접속할 수 있는 별도의 시스템에 처리방침을 게시해야하는지도 궁금합니다.
|
2024-03-13 ㅣ 답변 1 ㅣ 조회수 59
|
| 개인정보 관리 > 정보통신 |
|
Q. 해외 외국인의 한국인 개인정보처리 적용 법규 문의
|
|
한국인의 개인정보가 국내가 아닌 해외 리전 서버에 수집, 보관되는
글로벌 사업자 (Mircosoft, 테무, 알리익스프레스, 아마존 등) 서비스 이용 시
한국에서 해당 개인정보를 처리할 경우에는 한국의 개인정보보호법에 영향을 받지만
만약 해외에서 외국인이 한국인의 개인정보를 처리할 경우에는
해당 국가의 개인정보보호법을 적용 받게 되는 것인지 ?
한국의 개인정보보호법을 적용 받게 되는건지 궁금 합니다.
국내에 저장된 적이 없다보니, 해외 이전에 따른 별도 동의도 필요 없어 보이구요.
경험이 있는 분들의 가이드 부탁 드립니다.
감사합니다.
|
2024-03-12 ㅣ 답변 1 ㅣ 조회수 59
|
| 기타 유형 > 기타 분야 |
|
Q. 공문 수신처에 민원인 이름 표기 관련
|
|
전자문서 생산하는 경우 전자문서대장에 결재완료된 문서들의 목록이 뜨는데, 여기에는 문서제목과 수신처가 나옵니다.
민원인에게 문서로 공문 발송하는 경우 수신처에 민원인의 이름을 적게 되어 있는데 전자문서대장 목록에 민원인의 이름이 나오는것도 개인정보보호법에 위반되는 사항인가요?
해당 전자문서대장 목록은 소속 직원 모두가 볼 수 있습니다. 다만 그 내용은 못보더라도, 제목과 수신처(민원인 이름)는 볼 수 있습니다.(외부에서는 볼 수 없습니다.)
민원인은 해당 문서를 받아서 은행 등 다른 기관에 제공할 때 해당 공문에 민원인의 이름이 있어야지 다른 기관에서 업무처리를 할 수 있어 민원인의 성함을 제대로 적어야 하는 상황입니다.
|
2024-03-11 ㅣ 답변 1 ㅣ 조회수 53
|
지식 Q&A