| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 표준 개인정보처리위탁 계약서 작성 문의
|
|
안녕하세요
표준개인정보처리위탁 계약서 작성방법에 대하여 문의드립니다.
개인정보처리 위수탁 안내서 [별첨3] 계약서(안)의 제3조(위탁업무의 목적 및 범위) 작성 시
처리 위탁하는 개인정보 항목을 모두 기재해야 하는 것인지 궁금합니다.
우편물 배송 등의 처리위탁의 경우 위탁 항목이 명확합니다만(이름, 연락처, 주소)
정보시스템(SW) 유지관리 용역의 처리위탁일 경우 모든 개인정보 항목을 나열해야하는 것인지 궁금합니다.
정보시스템(SW) 유지관리의 경우 보통 접근권한을 부여 받아 DB 일체에 접근이 가능합니다.
이런 경우 어떤 식으로 표기 하는게 올바른지 문의드립니다.
1. A, B, C, D, E => 모두 나열
2. A, B, C 등 ㅇ개=> 주요 항목만 나열
3. ㅇㅇㅇㅇ 시스템 내 개인정보 일체
---------------------------------------------------------------------
요약하자면
[시스템 유지관리 위탁의 경우]
질문1. 위탁업무의 목적 및 범위에 개인정보 항목을 기재해야만 하는지
질문2. 개인정보 항목 표기를 해야한다면 권고하는 기재 방법은 무엇인지
---------------------------------------------------------------------
입니다.
감사합니다.
|
2023-03-07 ㅣ 답변 3 ㅣ 조회수 67
|
| 개인정보 관리 > 경영·사무 |
|
Q. GDPR(개인정보 처리활동 기록)
|
|
당사는 250인 이상의 회사인데, EU에 있는 현지 법인과 현장에는 피고용인이 250인 미만입니다.
그리고 수집하는 정보는 현지에서 채용한 인원들의 기본적인 인사정보만 처리하고 있습니다.
이러한 경우, GDPR에서 의무화하고 있는 개인정보 처리활동 기록 의무와 DPO 지정 의무는 해당되지 않는게 맞을까요?
현지 법인이나 현장 기준으로만 판단하면 되는 것인지 의견 부탁드립니다.
감사합니다.
|
2023-03-07 ㅣ 답변 1 ㅣ 조회수 26
|
| 개인정보 정의 > 경영·사무 |
|
Q. 개인정보취급자 여부
|
|
안녕하세요. 개인정보취급자의 정의가 부서책임자의 지휘ㆍ감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖의 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자로 정해져 있는데 다음의 경우도 개인정보취급자에 해당하는지 궁금합니다.
제 업무가 물건을 수리하는 업무인데, 물건이 고장 난 경우 A부서를 통해 수리업체와 계약을 합니다. 계약체결 시 저는 수리업체의 개인정보를 일절 알지 못합니다. 그러다 수리가 완료되면 수리업체에게 비용을 지불하기 위해 수리업체의 통장사본 혹은 계좌정보를 받아 A부서에게 전달한다면, 저 또한 개인정보취급자인가요?
|
2023-03-06 ㅣ 답변 1 ㅣ 조회수 54
|
| 개인정보 관리 > 경영·사무 |
|
Q. 개인정보처리방침 內 항목
|
|
개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
위 1항의 6에서 '또는'이라는 표현이 있으므로 개인정보처리방침 내 항목에는 보호책임자의 성명과 고충사항 처리부서의 연락처 중 선택하여 하나만
기재해도 무방할 것으로 보이는데 어떻게 생각하시는지 의견 부탁드립니다.
감사합니다.
|
2023-03-06 ㅣ 답변 1 ㅣ 조회수 50
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 고객 만족도 설문 후 선물 발송을 위한 전화번호 수집
|
|
서비스 만족도 설문지에는 전혀 상대방 특정할 수 있는 정보가 없으나,(이름기재 없이, 개인정보를 수집하지 않음을 명시, 단순 시설 만족도에 대한 의견만 수집)
설문 후 감사의 의미로 전화번호를 수집하여 기프티콘을 선물로 보내려고 합니다.
이럴 때 개인정보활용에 대한 사전 동의를 받아야 하는지 또는 고지해야 하는지 궁금합니다.
|
2023-03-03 ㅣ 답변 1 ㅣ 조회수 81
|
| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 본인확인서비스가 재위탁 동의사항일까요?
|
|
채용시스템을 위탁하여 사용하려고 합니다. 해당 업체와 개인정보처리 위탁 계약서를 체결하는 과정에서 재위탁에 대해 제한하고 있는데요,
수탁사는 이부분에 대해서 재위탁에 대한 동의를 받고자 해서 내용을 살펴보니, 채용시스템 내에 적용되어 있는 본인확인서비스와 해당시스템이 구축되어 있는 클라우드 업체에게 해당기능 활용으로 인해 재위탁한다는 내용이었습니다.
개인정보처리 위탁 계약의 목적은 채용시스템 활용입니다. 제 생각으로는 이 채용시스템의 운영 등 전반적인 업무에 대해서 3자에게 위탁할 경우 재위탁으로 볼수 있을거라 생각이드는데요, 채용시스템을 구축시 적용된 본인확인서비스나 클라우드 서비스 활용이 재위탁에 해당된다고 볼수 있을지요??
|
2023-03-03 ㅣ 답변 2 ㅣ 조회수 82
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 지문인증시스템 사용을 위한 임직원 개인정보 수집,이용 동의 관련
|
|
지문인증시스템 사용을 위한 임직원 개인정보 수집,이용 동의 관련해서 문의드립니다.
제한구역 통제를 위해 지문인증시스템을 설치 하여 사용 하려고 합니다.
지문정보는 민감정보로 임직원에게 별도의 동의를 받아야하기에, 임직원 개인정보 수집,이용 동의서 개정하려고합니다.
민감정보(필수or선택사항)
->수집하는 민감정보 항목, 이용목적, 보유 및 이용기간, 동의를 거부할 권리 및 동의 거부에 따른 불이익 추가하고
동의/미동의 버튼으로 받으려고 합니다.
Q.동의서에 민감정보(필수사항)으로 기재해도 될까요?
선택사항으로 기재하게되면,미동의 할 경우 지문이아닌 대체수단으로 입출입 통제해야하는데 현재는 마련되기 어려운 상황입니다(지문시스템 사용해야함..)
조언 부탁드립니다
|
2023-03-03 ㅣ 답변 3 ㅣ 조회수 74
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. gdpr 개인정보 수집
|
|
국내 개인정보보호법에서는 개인정보 수집 시 동의를 받야아하는데
GDPR도 마찬가지로 개인정보 수집 시 명시적인 동의를 반드시 받아야 하나요?
아니면 정보주체에게 고지해야하는 사항(GDPR 제13조)을 고지하고 동의는 불필요한건가요?
수집 시에 동의를 받아야 한다라는 내용을 찾을 수 없어 문의드립니다.
답변 부탁드립니다.
감사합니다.
|
2023-03-02 ㅣ 답변 3 ㅣ 조회수 40
|
| 개인정보 안전성 확보조치 > 금융·보험 |
|
Q. 개인정보취급자의 2FACTOR 로그인과 간편로그인 관련
|
|
개인정보 취급자가 외부에서(인터넷망) 개인정보 처리시스템에 접속하는 경우에는 안전한 접속수단을 사용해야 합니다.
* 개인정보의 안전성 확보조치 기준 제6조(접근통제)
* 개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제)
안전한 인증수단이란 공식 가이드 문서에서 아래와 같이 정의하고 있습니다.
1. 개인정보의 기술적 관리적 보호조치 기준 해설서(2022.10.)
- 정당한 개인정보취급자 여부를 식별 인증하는 절차 "이외에 추가적인 인증 수단의 적용"을 말한다
2. 개인정보 영향평가 항목 4.1.4
이러한 위험성을 감소시키기 위해 아이디와 비밀번호를 통한 개인정보취급자 "식별 인증과 더불어 인증서 등을 활용한 추가적인 인증 수단의 적용"이 필요하다.
이를 정리해 보면 개인정보취급자가 인터넷망을 이용해 개인정보처리시스템에 접속하는 경우에는 2FACTOR(인증1+인증2) 인증이 필요하다고 볼수 있습니다.
그런데 개인정보온마당, 홈택스, KB스타뱅킹 어플 등의 로그인은 2FACTOR가 아닌 카카오톡을 이용한 로그인, 인증서 로그인, 지문 로그인, 패턴 로그인 등 간편로그인(1FACTOR)으로 인증하고 있습니다.
이렇게 인증해도 되는 이유가
상기 시스템은 로그인 하는 이용자들을 개인정보 취급자로 정의하지 않아서 인것인지,
아니면 개인정보 취급자여도 2FACTOR 인증을 하지 않아도 되는 다른 법률이 있는 것인지,
그것도 아니면 법률을 위반하고 있는건 아닌지
답변을 부탁드립니다.
|
2023-03-02 ㅣ 답변 3 ㅣ 조회수 83
|
| 개인정보 정의 > 경영·사무 |
|
Q. 일반적인 개인정보인지 생체정보인지 궁금합니다.
|
|
장기간 출입이 필요한 외부인인 경우 사진을 등록하고, 사내 출입시스템에 저장을 하려고 합니다.
출입증을 태그하면 보안직원이 보는 화면에 등록된 사진이 출력이 되고,
사진과 본인이 맞는지 확인 후에 출입이 가능합니다.
여기서 등록된 사진이 '생체정보' 인지 '일반적인 개인정보'인지 궁금합니다.
생체정보 보호 가이드라인을 보면
사진과 실물을 비교하기 때문에 열람,보관 목적이 아니기에 '일반적인 개인정보'는 아닌 것 같은데
개인의 신체적 특징(얼굴 모양)은 맞지만 기술적 추출이나 인증/식별은 아니기에 '생체정보'도 아닌 것 같습니다.
* 인증 : 이용 권한이 있는 특정 개인임을 확인하기 위하여 이용자가 입력한 생체정보를 기기 등에 저장된 정보와 대조하여 본인 여부 확인(지문조회로 본인확인하는 출입통제 시스템)
식별 : 개인의 생체정보를 데이터베이스에 저장된 다수의 생체정보와 대조하여 여러 사람 중 특정 개인을 구분하여 확인
사진과 실물을 육안으로 비교하여, 본인임을 확인하기 위한 저장된 사진은
어떤 정보로 봐야하는지 답변 부탁드립니다.
|
2023-02-28 ㅣ 답변 3 ㅣ 조회수 66
|
지식 Q&A