| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 본인확인서비스가 재위탁 동의사항일까요?
|
|
채용시스템을 위탁하여 사용하려고 합니다. 해당 업체와 개인정보처리 위탁 계약서를 체결하는 과정에서 재위탁에 대해 제한하고 있는데요,
수탁사는 이부분에 대해서 재위탁에 대한 동의를 받고자 해서 내용을 살펴보니, 채용시스템 내에 적용되어 있는 본인확인서비스와 해당시스템이 구축되어 있는 클라우드 업체에게 해당기능 활용으로 인해 재위탁한다는 내용이었습니다.
개인정보처리 위탁 계약의 목적은 채용시스템 활용입니다. 제 생각으로는 이 채용시스템의 운영 등 전반적인 업무에 대해서 3자에게 위탁할 경우 재위탁으로 볼수 있을거라 생각이드는데요, 채용시스템을 구축시 적용된 본인확인서비스나 클라우드 서비스 활용이 재위탁에 해당된다고 볼수 있을지요??
|
2023-03-03 ㅣ 답변 2 ㅣ 조회수 95
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 지문인증시스템 사용을 위한 임직원 개인정보 수집,이용 동의 관련
|
|
지문인증시스템 사용을 위한 임직원 개인정보 수집,이용 동의 관련해서 문의드립니다.
제한구역 통제를 위해 지문인증시스템을 설치 하여 사용 하려고 합니다.
지문정보는 민감정보로 임직원에게 별도의 동의를 받아야하기에, 임직원 개인정보 수집,이용 동의서 개정하려고합니다.
민감정보(필수or선택사항)
->수집하는 민감정보 항목, 이용목적, 보유 및 이용기간, 동의를 거부할 권리 및 동의 거부에 따른 불이익 추가하고
동의/미동의 버튼으로 받으려고 합니다.
Q.동의서에 민감정보(필수사항)으로 기재해도 될까요?
선택사항으로 기재하게되면,미동의 할 경우 지문이아닌 대체수단으로 입출입 통제해야하는데 현재는 마련되기 어려운 상황입니다(지문시스템 사용해야함..)
조언 부탁드립니다
|
2023-03-03 ㅣ 답변 3 ㅣ 조회수 86
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. gdpr 개인정보 수집
|
|
국내 개인정보보호법에서는 개인정보 수집 시 동의를 받야아하는데
GDPR도 마찬가지로 개인정보 수집 시 명시적인 동의를 반드시 받아야 하나요?
아니면 정보주체에게 고지해야하는 사항(GDPR 제13조)을 고지하고 동의는 불필요한건가요?
수집 시에 동의를 받아야 한다라는 내용을 찾을 수 없어 문의드립니다.
답변 부탁드립니다.
감사합니다.
|
2023-03-02 ㅣ 답변 3 ㅣ 조회수 46
|
| 개인정보 안전성 확보조치 > 금융·보험 |
|
Q. 개인정보취급자의 2FACTOR 로그인과 간편로그인 관련
|
|
개인정보 취급자가 외부에서(인터넷망) 개인정보 처리시스템에 접속하는 경우에는 안전한 접속수단을 사용해야 합니다.
* 개인정보의 안전성 확보조치 기준 제6조(접근통제)
* 개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제)
안전한 인증수단이란 공식 가이드 문서에서 아래와 같이 정의하고 있습니다.
1. 개인정보의 기술적 관리적 보호조치 기준 해설서(2022.10.)
- 정당한 개인정보취급자 여부를 식별 인증하는 절차 "이외에 추가적인 인증 수단의 적용"을 말한다
2. 개인정보 영향평가 항목 4.1.4
이러한 위험성을 감소시키기 위해 아이디와 비밀번호를 통한 개인정보취급자 "식별 인증과 더불어 인증서 등을 활용한 추가적인 인증 수단의 적용"이 필요하다.
이를 정리해 보면 개인정보취급자가 인터넷망을 이용해 개인정보처리시스템에 접속하는 경우에는 2FACTOR(인증1+인증2) 인증이 필요하다고 볼수 있습니다.
그런데 개인정보온마당, 홈택스, KB스타뱅킹 어플 등의 로그인은 2FACTOR가 아닌 카카오톡을 이용한 로그인, 인증서 로그인, 지문 로그인, 패턴 로그인 등 간편로그인(1FACTOR)으로 인증하고 있습니다.
이렇게 인증해도 되는 이유가
상기 시스템은 로그인 하는 이용자들을 개인정보 취급자로 정의하지 않아서 인것인지,
아니면 개인정보 취급자여도 2FACTOR 인증을 하지 않아도 되는 다른 법률이 있는 것인지,
그것도 아니면 법률을 위반하고 있는건 아닌지
답변을 부탁드립니다.
|
2023-03-02 ㅣ 답변 3 ㅣ 조회수 102
|
| 개인정보 정의 > 경영·사무 |
|
Q. 일반적인 개인정보인지 생체정보인지 궁금합니다.
|
|
장기간 출입이 필요한 외부인인 경우 사진을 등록하고, 사내 출입시스템에 저장을 하려고 합니다.
출입증을 태그하면 보안직원이 보는 화면에 등록된 사진이 출력이 되고,
사진과 본인이 맞는지 확인 후에 출입이 가능합니다.
여기서 등록된 사진이 '생체정보' 인지 '일반적인 개인정보'인지 궁금합니다.
생체정보 보호 가이드라인을 보면
사진과 실물을 비교하기 때문에 열람,보관 목적이 아니기에 '일반적인 개인정보'는 아닌 것 같은데
개인의 신체적 특징(얼굴 모양)은 맞지만 기술적 추출이나 인증/식별은 아니기에 '생체정보'도 아닌 것 같습니다.
* 인증 : 이용 권한이 있는 특정 개인임을 확인하기 위하여 이용자가 입력한 생체정보를 기기 등에 저장된 정보와 대조하여 본인 여부 확인(지문조회로 본인확인하는 출입통제 시스템)
식별 : 개인의 생체정보를 데이터베이스에 저장된 다수의 생체정보와 대조하여 여러 사람 중 특정 개인을 구분하여 확인
사진과 실물을 육안으로 비교하여, 본인임을 확인하기 위한 저장된 사진은
어떤 정보로 봐야하는지 답변 부탁드립니다.
|
2023-02-28 ㅣ 답변 3 ㅣ 조회수 74
|
| 개인정보 수집·이용 > 교육·사회복지 |
|
Q. 만 14세 미만 아동 회원가입 관련
|
|
저희가 운영하고 있는 서비스 중 이메일 인증만 되면, 서비스를 이용할 수 있는 게 있습니다.
이런 경우에 만14세 미만도 이메일만 인증하면 이용할 수 있는데, 만14세 미만 여부를 확인해서 해당되면 법정대리인 동의를 받을 수 있는 로직을 추가하는게 맞는지 궁금합니다.
|
2023-02-28 ㅣ 답변 3 ㅣ 조회수 85
|
| 개인정보 제3자 제공 > 경영·사무 |
|
Q. 개인정보를 제공받는 자
|
|
개인정보를 제3자에게 '제공'하는 것에 관하여 정보주체의 '동의'를 받는 경우에,
정보주체에게 알려야 하는 사항 중 하나는 <개인정보를 제공받는 자>입니다
(개인정보보호법 제17조 제2항 1호).
이 때 <개인정보를 제공받는 자>는
(1) 구체적인 회사명이 반드시 표시되어야만 하는 것인지,
(2) 아니면 포괄적으로 '배송업체' , '숙박업체', '항공사' 등과 같이 표시되어도 괜찮은 것인지
(3) 이를 판단할 수 있는 법령규정이나 판례가 있는지
질문드립니다.
|
2023-02-28 ㅣ 답변 3 ㅣ 조회수 61
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. 업무위탁으로 본인인증 서비스 사용시 개인정보 수집동의 문의
|
|
본인확인 서비스 업무 위탁 이용시, 개인정보 처리자(위탁자)가 개인정보 수집동의의 주체가 되는 것이 맞는 것 같아서, 본인인증 서비스에서 수집동의 받는 것과 별개로 본인확인 서비스 이용 전 본인확인에 대한 개인정보 수집동의를 받아야 하는 것 같아서 찾아보고 있는 중인데요.
다른 사이트들에서 회원가입 시 본인 확인 받는 절차를 확인해보니 크게 두 가지 방법으로 받고 있더라구요.
첫번째는 회원 가입 중, 또는 회원 가입 후 본인 확인을 수행하며, 해당 본인 확인용 개인정보 수집 동의를 받는 경우입니다. 보통 개인정보 수집동의 확인 후, 해당 본인인증 모듈로 넘어갑니다.
- 해당 경우는 수집동의 목적을 본인 인증으로 하고 이름, 생년월일, 성별, 중복가입확인정보(DI), 암호화된 동일인 식별정보(CI), 휴대전화번호 및 통신사(휴대전화 인증 시), 내/외국인 정보 등으로 되어있는데 해당 경우는 크게 문제 없을 것 같습니다.
① 두번째 경우가 궁금한데요. 티머X나 빗X 같은 사이트에서 확인해봤을 때, 회원 가입 시 본인인증을 먼저 수행합니다. 그 후에 회원 가입시 본인 인증에 대한 개인정보 수집동의를 받는데요.
이렇게 순서가 바뀐 경우에 문제가 없을까요 ? 개인적인 생각으로는 본인인증 절차 전에 본인인증 서비스 시 수집되는 개인정보에 대해서 해당 목적으로 동의하거나 아니면 적어도 같은 페이지에서라도 수집동의를 받는 것이 맞을 것 같은데, 본인인증 수행하고 회원 가입을 안하는 경우는 수집 이용 동의를 안 받고 위탁업체에서 개인정보를 처리하게 되는 것 아닐까요 ?
② 물론 해당 본인확인서비스에도 개인정보 이용 동의를 받고는 있으나, 업무 위탁인 경우 개인정보처리자가 직접 수집동의를 받고 위탁하는 절차로 보여지는 게 맞을 것 같은데, 해당 업체의 모듈을 바로 띄워서 본인인증을 하는 경우에 수집동의가 필요 없다면, 어느 시점에 인증을 받던 개인정보처리자 입장에서는 별도로 본인 인증에 대한 개인정보 수집 동의를 받을 필요가 없는 걸까요 ? (개인정보 처리방침 수집항목에서도 마찬가지로)
제가 찾아본 대부분의 기업 개인정보처리방침에는 본인 확인용 개인정보 수집 내용이 명시되어 있었습니다.
확인 부탁드립니다. 감사합니다.
|
2023-02-28 ㅣ 답변 1 ㅣ 조회수 91
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보보호법 39조의 8
|
|
안녕하세요
개인정보 보호법 시행령 제48조의6(개인정보 이용내역의 통지) 내용 중 아래와 같은 조항이 있습니다.
② 법 제39조의8제1항에 따라 이용자에게 통지해야 하는 정보의 종류는 다음 각 호와 같다.
2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.
여기서 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목을 고지하게 되어 있는데
제공이라는 의미가 개인정보보호법에 위탁 / 제3자 제공으로 보는 것이 아닌 실제로 제공한 내역이기 때문에
위수탁 업무 처리를 위해 제공한 개인정보 내역도 포함하는게 맞는지 여쭤봅니다.
감사합니다.
|
2023-02-27 ㅣ 답변 2 ㅣ 조회수 826
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 임시로 저장할 개인정보도 수집 동의 절차를 거쳐야 할까요?
|
|
안녕하세요, 자사에서는 이벤트 등의 참여 시 참여에 필요한 필수 정보/그 외의 선택 정보로 나누어 수집 동의를 받으려 하고 있습니다.
이 경우 선택 항목에 대한 수집 동의를 하지는 않았지만 해당 항목을 작성하거나 신청서 최초 작성 이후에 추가로 수집 동의를 하는 이용자들이 있을 듯 하여,
신청서 작성 기간(예:1주일) 동안은 해당 정보들도 임시로 저장하고 최종 제출시까지 선택 항목에 대한 수집 동의를 하지 않는다면 DB에서 삭제하는 방법을 고려하고 있습니다.
이러한 방법으로 운영하여도 이슈 사항이 없을지(동의가 필수라면 선택 정보가 아닌 필수 정보가 되는것이 아닌가 하는 생각은 있습니다)/아니면 임시 저장 기간을 두지 않는 것이 맞을지 궁금합니다.
감사합니다.
|
2023-02-27 ㅣ 답변 2 ㅣ 조회수 55
|
지식 Q&A