| 개인정보 관리 > 정보통신 |
|
Q. 내부 직원들 사용하는 대외 사이트의 개인정보 관리 질문드립니다.
|
|
안녕하세요.
현재 회사 개발팀에서 AWS(회사에서 운영중)에 웹서버 및 DB를 생성하여 개발자 포럼 사이트를 만들어서 운영중입니다.
회원 가입 기능(ID, 이름, 성, Email, 비밀번호)은 있으나, 수동으로 관리자가 회사 내부 직원만 가입하도록 운영하고 있습니다.
① 이 경우, 해당 사이트 DBMS에서 보관되는 개인정보를 안전성 확보 조치 기준에 준하여 관리해야 할까요 ?
해당 사이트는 외부에서 접근은 가능하나, 게시글을 읽거나 할 수 없고, 회원 가입만 할 수 있으며, 외부인은 가입 신청시 허용되지 않습니다.
② 회사는 전년도 매출 100억 이상으로 ISMS 인증 의무 대상이며, 이 때 해당 사이트도 ISMS 인증범위에 포함시켜 관리하는 것이 맞을 지도 같이 질문드립니다.
감사합니다.
|
2022-08-22 ㅣ 답변 2 ㅣ 조회수 131
|
| 개인정보 처리위탁 및 영업양도 > 경영·사무 |
|
Q. 채용, ERP 등 업무의 외부시스템 활용시 위탁 해당여부
|
|
안녕하세요
매번 친절한 답변에 감사드립니다.
채용과 ERP 업무에 있어서 위탁에 해당되는지 질문을 드립니다.
1. 외부 솔루션(등**) 회사와 계약을 맺고 채용 솔루션을 이용한 적이 있습니다.
2. ERP 업무의 경우도 외부업체 솔루션(이***)을 정기적 이용료를 내고 사용 중입니다.
ERP에는 인사관리, 급여 지급 등의 목적으로 임직원의 개인정보를 처리하고 있는 상황이구요
1. 2. 모두 저희 회사에서 시스템을 보유하고있지는 않고, 외부 업체에서 보유한 시스템에 ID/PW로 로그인하여 사용하는 방식입니다.
이 경우, 저희와 각 솔루션 공급업체가 위탁관계에 해당되어 저희가 공급업체를 교육/점검할 의무가 있나요?
답변 부탁드립니다.
|
2022-08-22 ㅣ 답변 3 ㅣ 조회수 135
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 이벤트성 개인정보 수집에 대한 사례
|
|
안녕하세요
이벤트성 개인정보수집에 대해 질문드립니다.
정보통신제공자가 1회성 이벤트를 통해 고객들에게 사은품을 주는 과정에서 이벤트에 참여한 정보주체의 집주소 정보를 수집합니다.
Q1) 단순 이벤트 참여만으로 집주소 정보를 수집하는 것은 최소정보수집 원칙을 위배하는 행위 아닌가요?? 그렇게 된다면 이벤트에 당첨되지 않는 이용자의 정보까지 수집하기 때문에 불필요한 정보라고 생각이 듭니다. 즉 당첨된 이용자들에 한에서만 집주소 정보를 수집하는 것이 옳바르지 않나요??
Q2) 질문1이 맞다면 정보통신망법 제23조 제2항을 위반하는 행위 아닌가요?
Q3) 이벤트에 참여했다는 것 만으로도 정보주체의 동의를 얻은것으로 볼 수 있나요??
항상 친절하고 유익한 답변 감사합니다.
|
2022-08-19 ㅣ 답변 1 ㅣ 조회수 136
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. 위수탁 관계 인 지 문의드립니다.
|
|
안녕하세요 친절한 답변 늘 감사합니다.
우리 회사 서비스를 이용하기 위해선 본인인증이 필요하므로 고객의 A,B,C를 수집합니다.
수집한 A,B,C로 본인인증을 하기 위해 우리회사->금융결제원으로 A,B,C를 제공합니다.
금융결제원은 우리회사가 제공한 A,B,C를 다시 시중은행들에 제공하고, 은행은 자체DB에 저장된 본인인증된 고객의 개인정보 A,B,C와 비교하여
금융결제원으로 본인인증 여부를, 금융결제원은 다시 우리회사로 본인인증 여부를 던져줍니다.
우리회사 -> 금융결제원 -> 시중은행 (A,B,C)
우리회사 <- 금융결제원 <- 시중은행 (본인인증 여부)
1. 이때 우리회사는 금융결제원과 위수탁관계가 맞는지 궁금합니다.
2. 사실 금융결제원은 단순 중계만 하고있는데, 우리회사는 금융결제원과만 법적 조치사항을 해도되는지 아니면 시중은행과도 필요한지 궁금합니다.
- 만약, 시중은행과도 해야한다면 은행과의 관계는 무엇인지?
(은행은 은행 자체적으로 우리회사를 위해서가 아닌 은행업무를 위해 직접 수집한A,B,C를 가지고 있습니다.)
감사합니다.
|
2022-08-19 ㅣ 답변 3 ㅣ 조회수 162
|
| 개인정보 파기 > 경영·사무 |
|
Q. 온라인상담 개인정보 보유기간 초과시 처리
|
|
안녕하세요. 공공기관 재직자입니다.
저희 기관에서 운영하는 시스템에서 온라인 상담을 진행하고 있고
상담 신청자의 성명, 이메일, 전화번호를 개인정보로 저장하고 있습니다.
개인정보 보유기간이 초과한 정보를 삭제하고자 합니다만, 여기서
1) 성명과 상담내용만 남겨서 계속 보관
2) 성명만 보관
3) 불가능하다면 성명을 성만 제외하고 마스킹처리(e.g 홍길동 -> 홍**)한 뒤 상담내용과 함께 보관
위 셋 중에 가능한 것이 무엇인지 궁금합니다...
성명 자체만으로도 개인정보로 보는게 맞다고 생각은 드는데, 동명이인이 존재할 가능성을 고려해야하지 않을까싶어서요..
답변 부탁드립니다.
|
2022-08-18 ㅣ 답변 2 ㅣ 조회수 101
|
| 개인정보 관리 > 기타 분야 |
|
Q. 가명처리 절차 관련 질문
|
|
안녕하세요.
연구 목적으로 기관 내부적으로 가명처리를 진행할 때 가명정보 처리 가이드라인에 명시된 절차에 따라 가명처리 전후로 위험성 검토 및 적절성 검토를 진행해야 하지만, 가명처리 전 위험성 검토를 생략하고 처리 후 적절성 검토만 진행해도 무방할까요?
적절성 검토 후 미흡한 사항이 존재할 경우 추가적으로 조치할 예정입니다.
답변 부탁드립니다.
감사합니다.
|
2022-08-18 ㅣ 답변 2 ㅣ 조회수 140
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 대외(파트너사, 거래처)로 경조화환 등 전달 시 수신자의 개인정보 수집동의가 필요한가요?
|
|
거래선 및 파트너사 등 외부로 발송되는 경조건에 대해 경조화환 신청 시스템이 있습니다.
신청서 내 수신자의 개인정보(이름, 연락처, 주소)를 작성하도록 되어있는데, 이에 대해 수신자의 사전 동의 및 동의서는 받지 않고 있습니다.
이경우 법적으로 문제의 소지가 있는지 의견 부탁드립니다
|
2022-08-18 ㅣ 답변 1 ㅣ 조회수 140
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보처리방침 명칭 사용 문의
|
|
안녕하세요
표준개인정보 보호지침 20조 내 "개인정보 처리방침"이라는 명칭을 사용하라고 되어 있습니다.
그러나 개인정보보호법 '제12조(개인정보 보호지침) ① 보호위원회는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 “표준지침”이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.' 라는 내용이 있어 표준 개인정보보호 지침에 있는 개인정보 처리방침의 명칭 사용이 강제가 아닌 권고인 것인지 헷갈립니다.
|
2022-08-18 ㅣ 답변 2 ㅣ 조회수 107
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 만 14세 미만 아동의 개인정보 처리 문의 건
|
|
안녕하십니까.
항상 친절한 답변 감사합니다.
만 14 세 미만 아동의 개인정보 처리 항목은 권장/해당시 로 개인정보처리방침에 나와있습니다.
해당된다고 해도 기재 권장사항이므로 개인정보처리방침에 기재 안해도 되나요? 법 준수위반 사항은 아닌가요?
기재 안해도 추가적으로 마련해야할 방침이 있을까요?
|
2022-08-17 ㅣ 답변 1 ㅣ 조회수 77
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 개인정보처리방침의 기재 문의의 건
|
|
안녕하세요~ 항상 친절하신 답변 감사합니다.
개인정보처리방침에 기재 구분에는 의무, 의무/해당시, 권장/해당시 로 나뉘어지는데요
1)
의무: 필수로 기재
의무/해당시 : 해당되면 항목 기재는 필수
권장/해당시 : 해당되면 항목 기재는 자율에 맡긴다.
이 맞나요?
2)
권장/해당시의 해당되는데 개인정보처리방침에 미기재 하였다고 해서 법준수 위반이 되나요?
3)
예를 들어 영상정보처리기기 운영·관리에 관한 사항은 권장/해당시 항목인데 회사내 통로에 CCTV가 있다해도 작성은 권장사항인가요?
|
2022-08-17 ㅣ 답변 2 ㅣ 조회수 84
|
지식 Q&A