| 개인정보 처리위탁 및 영업양도 > 경영·사무 |
|
Q. 수탁자의 플랫폼으로 개인정보 수집시 개인정보 처리방침의 작성 주체 문의
|
|
안녕하세요. 개인정보 위수탁시 개인정보 처리방침의 작성 주체가 누구인지 문의드리고자 합니다.
A 기관(위탁자)에서 B 업체(수탁자)에 학생 대상 온라인 영어 교육 서비스 업무를 위탁하였고,
B 업체는 A 기관 전용의 C 영어 교육 웹사이트(SaaS 형태)를 생성하여 제공합니다.
이때 1) C 웹사이트에 게재되어야 하는 개인정보 처리방침과
2) 학생들이 C 웹사이트에 가입할 때 개인정보 수집이용 동의 내용에 게재되어야 하는
'개인정보처리자'는 위탁자, 수탁자 중에서 누가 되어야 할까요?
가 안)
A 기관 홈페이지의 개인정보 처리방침에 개인정보 위탁 내용으로 B 업체의 영어 교육 서비스를 게재하고
C 웹사이트의 개인정보 처리방침 등에는 개인정보 처리자로 B 업체를 명시
나 안)
C 웹사이트의 개인정보 처리방침 등에 개인정보 처리자로 A 기관을 명시
감사합니다.
|
2025-07-01 ㅣ 답변 1 ㅣ 조회수 30
|
| 개인정보 제3자 제공 > 경영·사무 |
|
Q. 지자체에 서비스 신청자의 거주지 확인 가능 여부
|
|
안녕하세요. 개인정보 제3자 제공 관련해서 문의 드립니다.
A 지자체의 B 산하기관에서 A 지역 거주민을 대상으로 영어 교육 신청자 접수를 받습니다.
이때 신청자가 A 지역에 거주함이 맞는지 확인하기 위하여 B 기관은 신청자에게
개인정보 제3자 제공(→ A 지자체) 동의를 받고, A 지자체에 신청자의 인적사항을 제공합니다.
A 지자체에서는 해당 신청자의 인적사항을 바탕으로 A 지역에 거주하는지 주민등록 시스템 등을 통하여
확인하고 해당 내용을 B 기관에 통보합니다.
이 경우에 B 기관은 A 기관이 신청자에게 받은 '개인정보 제3자 제공 동의',
또는 개인정보 보호법 제18조 제2항의 각 호의 어느 하나를 근거로
신청자의 개인정보(A지역 거주여부)를 제공할 수 있을까요?
도움 주셔서 감사합니다.
|
2025-07-01 ㅣ 답변 1 ㅣ 조회수 19
|
| 민감정보 및 고유식별정보 처리 > 경영·사무 |
|
Q. 프로그램 당첨자 명단 공개 시 가명처리 된 정보 공개 범위 문의
|
|
체육시설 이용자 당첨자 발표 시 가명처리 된 정보에 대한 공개 범위를 어디까지 인지 의견 부탁드립니다.
우리 체육 시설에서 진행하고 있는 프로그램 이용 당첨자 명단 공개 시 가명처리 되어 홈페이지에 게시 됩니다
이에 공개 되는 정보 항목이 많아 공개되는 정보 항목을 간소화 하여주기를 요청하는 민원이 접수 되어
가명처리 된 정보 공개 범위에 대한 의견을 요청드립니다.
홈페이지에 게시되는 가명처리 된 공개정보 항목
1.회원정보 - ****1234
2.회원명 - 박**
3.연락처 끝자리 -1234
4.접수일자 -2025-06-30
5.접수시간 - 17:00:00
6.접수구분 -온라인/오프라인
7.종복 - 수영
8.강스 반명 - 새벽반
민원인이 요청하는 항목
1.당첨자의 접수일자 및 시간
2.회원번호 끝 3자리 마스킹 등 1개 정보만 공개
|
2025-06-30 ㅣ 답변 1 ㅣ 조회수 24
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 카카오 채널을 통한 고객 상담
|
|
웹 서비스 및 모바일 앱 서비스를 제공하는 회사인데, 카카오 톡 채널의 1:1 톡을 통하여 고객 상담을 처리할 경우
1. 카카오톡 상담을 하는 이용자로부터 개인정보 수집 이용에 대한 동의를 받아야 됩니까?
2. 개인정보처리방침도 작성하여 공개하여야 합니까?
|
2025-06-27 ㅣ 답변 1 ㅣ 조회수 32
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보처리법 제15조 6호 정당한 이익이란?
|
|
개인정보 보호법 제15조 (개인정보 수집 이용) 6호에 잇는
개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우, 이 경우 개인정보처리자의 정당한 이익과
상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
정당한 이익에 관한여 인터넷에 찾아보니 아래와 같은 내용으로 충분하여야 할 것이며, 충족한지 여부는 시시비비를 가려야 할 것입니다.
(명확성) 정당한 이익>정보주체의 권리보다 명백하게 인정이 되어야 할 것이며,
(필요성) 정당한 이익을 달성 위한 필요성이 있어야 할 것입니다.
(합리적) 합리적인 범위내에서 개인정보를 수집하여야 할 것입니다.
(즉, 범죄 피해 확산을 막기 위해서 가해자의 개인정보를 수집하더라도, 범죄 확산과 무관한 가해자의 결혼유무, 자녀 수 등은 합리적 관련성이 없으므로 처리하면 안되는 것입니다.)
위의 내용을 참고하면 아래의 예시를 판단하여 녹취파일(개인정보)을 직원간 내부적으로 공유를 해도 되는것인지 여쭤봅니다.
ㅁ예시
' 술에 취한 민원인이 횡성수설하게 각 실과의 과장과 자치단체장을 바꿔달라고 5번이나 전화를 하고 있으며
여자 전화안내원에게 폭언을 지속적으로 해 온 상황입니다. '
- (목표) 민원인과의 통화를 내부 직원들이 듣고자 합니다. (업무 관려자만 - 전화받는자, 팀장, 과장)
- (검토)
ㆍ명확성 - 전화안내원의 폭언의 정신적피해로부터 보호하기 위함.
ㆍ필요성 - 민원처리법 시행령 4조 (민원처리보호자 보호)를 위해 직원의 지속적인 폭언으로부터의 보호를 위하여 정황을 확인하기 위해.
ㆍ합리적 - 민원인의 이름,주소,전화번호,전화녹취내용까지 제3자 업무관련자(담당팀장, 담당과장)가 내용을 듣습니다.
*제3자 업무관련자란 전화를 받은 직원의 직속 팀장, 과장을 말함.
- 질의사항
1. 위와 같은 이유로 폭언 민원인과의 녹취파일을 내부직원간에 공유가 가능할까요?
2. 그리고 정당한 이익 이란 다른 예시가 있으면 알려주시면 감사하겠습니다.
|
2025-06-27 ㅣ 답변 1 ㅣ 조회수 32
|
| 정보주체 권리 > 기타 분야 |
|
Q. 녹취파일 제공관련 본인확인의 어려움 문의
|
|
저희 행정기관에서는 모든 행정통화를 전수녹취를 실시하고 있습니다.
녹취파일도 개인정보이기에 개인정보보호법 제35조 (개인정보열람)에 의거하여 제공을 해줄 의무가 있습니다.
여기서 목소리가 개인정보는 맞으나 목소리의 정보주체를 구분하기가 어려움이 있습니다.
발신번호(민원인)번호로 대조하여 본인확인이 가능하겠지만, 공중전화나 사무실전화, 혹은 타인의 핸드폰으로 연락을 할 경우에는 본인을 확인 할 수 없습니다.
(또는 반대의 경우로 휴대폰의 번호 주인은 남자인데, 실질적으로 통화한 사람은 여자인 경우가 있어)
더 자세한 본인확인 절차가 필요할것으로 생각됩니다.
1. 이처럼 정부주체의 본인확인이 어려울 경우에는 열람을 거부하여도 되는지에 대하여 문의드립니다.
2. 또한 다른 본인확인 방법이 있다면 생각을 부탁드립니다.
|
2025-06-26 ㅣ 답변 1 ㅣ 조회수 35
|
| 영상정보처리기기 설치·운영 > 교육·사회복지 |
|
Q. 영상물 미제공 개인정보법적 근거
|
|
초등학교 자녀가 학교 계단에서 혼자 넘어져 코뼈가 부러진 사건이 있었습니다. 학교 CCTV열람을 원해서 자녀가 넘어지는 약 10초 정도 되는 영상을 영상기기 열람처리 열람절차에 따라 열람을 하셨습니다. 그런데 학부모님이 열람을 한 영상을 제공받길 원하십니다.(이 영상을 가지고 학교 안전이 미비하여 정신적 피해보상 등과 같은 조치를 취하고자 하는 의도가 보임) 학교에서 학부모님께 CCTV영상은 열람 목적에 한하여 제공되어야 한다는 규정이 있는거 같은데 찾을 수가 없습니다. 또한 저는 이미 열람을 하셨으니 영상물에 대한 파일을 제공 하지 않아도 된다는 법적근거를 통해 말씀 드리고 싶습니다. 법령근거가 있을까요?
이와 같은 영상제공에 관한 근거를 제대로 알고 학부모님께 안내하고 싶습니다. 그저 지침에 나와 있다고 말씀드리기가 참 애매합니다. 솔직히 지침도 잘 모르겠습니다. 지침도 알려주시면 감사하겠습니다.
|
2025-06-26 ㅣ 답변 1 ㅣ 조회수 27
|
| 개인정보 관리 > 정보통신 |
|
Q. 외부 서비스 사용 시 안전성 확보조치 기준 준수 관련 문의
|
|
안녕하세요, 외부 메일 발송 서비스를 통해 뉴스레터 구독한 인원에게 뉴스레터를 발송하고 있는 상황에서 궁금한 부분이 있어서 문의드립니다.
현재 저희 회사 안전성 확보조치 기준 망분리 대상자이며, 뉴스레터 발송 사이트에 구독자 목록을 업로드하여 주기적으로 메일을 발송하고 있습니다.
뉴스레터 발송 사이트 이용에 관해 문의드립니다.
전체적인 뉴스레터 발송 플랫폼 관리는 해당 서비스 업체에서 진행하며, 저희는 이용자 입장으로 구독자 목록 업로드, 뉴스레터 발송등의 플랫폼을 이용하고 있습니다.
단순 플랫폼 이용이므로 개인정보 위수탁으로 보기는 어려울 것 같다고 판단하고 있습니다.
이런 상황에서, 개인정보의 안전성 확보 조치 기준을 준수하고자 하는데요.
1) 해당 플랫폼 업체에서 수행하는 항목에 대해서는 저희가 점검을 추가로 할 필요가 없을까요 ?
예를 들면,
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응
항목이라거나 DB 저장시 암호화의 경우는 저희가 통제할 수는 없으므로, 해당 플랫폼 제공 업체가 하는 것이 맞다고 보이는데, 이런 항목들도 업체에 요청해서 검토받고 이용해야 하나요 ?
2) 안전성 확보조치 기준 중에서 다운로드, 삭제, 접근권한 부여 등의 업무는 망분리 PC에서만 하여야 한다고 나와있는데, 플랫폼 접속 시 망분리 기준에 해당 하는 업무를 할 수 있는 계정은 별도의 망분리 PC에서만 접속하도록 구분해두어야 할까요 ?
망분리 PC에서 하려면 별도의 NAT IP, 별도 PC에서만 접속하도록 플랫폼 및 회사 내부에서 조치를 하여야 하고, 해당 망분리 PC에서는 해당 SaaS 서비스만 접속되도록 설정하여야되는데, 외부 SaaS 서비스 이용에 이런 조치를 하는 것이 맞는지 궁금합니다.
3) 마스킹 처리나 접속 IP 제한 등의 기능을 쓰려면 별도로 엔터프라이즈 요금제를 이용해야 하는데, 상위 요금제에만 보안 기능을 제공하다보니 하위 요금제를 이용하고 있는 상황에서는 보안 기능이 부족합니다. 요금제를 올리지 않아 보안 기능을 제공받지 못한다면 법 위반에 해당할까요 ?
4) 1)과 2)의 기준을 내부적으로 검토하여 어떤 항목은 해당 업체에 확인, 어떤 항목은 회사 내부 절차로 검토하면서 이용하는게 맞는건지도 궁금합니다.
- 회사 내부에서 할 수 있는 것만 검토하거나, 해당 플랫폼 업체에 수탁업체 점검처럼만 하고 이용하거나 하는게 맞는건지 섞어서 검토해도 되는건지 궁금합니다. 안전성 확보 조치 기준도 법적 요구 사항이라 다 지키긴 해야 할 것 같은데, 외부 서비스 이용에 대해서 이런 부분을 다 점검하고 쓰는 게 맞는건지 좀 어렵습니다.
현실적으로 외부 서비스 이용하는 부분에 대한 고견 부탁드립니다. 감사합니다.
|
2025-06-25 ㅣ 답변 1 ㅣ 조회수 29
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보 이용 내역통지 시기
|
|
안녕하세요
저희 회사에서 이용내역 통지를 하려고 합니다.
연 1회 특정 날짜에 보내려고 하였으나 내부 이슈로 그러지 못하게 되었습니다.
그리하여 회원가입 당일 이용내역 통지를 보내고, 또 회원가입 기준일로 1년 뒤 통지를 보내려고 합니다.
그래도 법에 문제가 없을지 문의 드립니다.
|
2025-06-24 ㅣ 답변 1 ㅣ 조회수 35
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 전자문서 서비스 본인확인 질의
|
|
전자문서 서비스 관련 질의 드립니다.
관리자가 대표 계정을 만들고 그 하위계정으로 관련자를 초대하면
초대에 응하여 승인받은 관련자가 전자문서를 작성하거나 이미 작성된 문서를 다운로드할 수 있는 서비스가 있습니다.
이 경우 이메일 또는 메신저로 정해진 관련자들을 초대하는 행위 이외에도 관련자에게 본인확인을 받는 과정이 필요할까요?
만약 필요하다면 그 본인확인 주기와 방법은 어떻게 될까요?
혹시 이와 관련된 가이드라인 혹은 지침서가 있는지도 문의드립니다.
|
2025-06-23 ㅣ 답변 1 ㅣ 조회수 32
|
지식 Q&A