| 영상정보처리기기 설치·운영 > 정보통신 |
|
Q. CCTV(네트워크 카메라) 설치 및 운영방침 등에 대한 문의드립니다.
|
|
현재 회사 이사 예정으로 CCTV 설치 부분 이슈가 있는데요.
지금은 엘리베이터 내리고 회사 출입문 카드키로 출입하는 방식이며, '엘리베이터 - 출입문 사이 공간'에 CCTV가 따로 없습니다.
이사 가는 곳은 '엘리베이터 - 출입문 사이 공간'에 택배 보관 장소 및 접견 구역(방문자들을 위한 책상 및 의자 몇 개)을 마련할 예정이며, 해당 공간에 택배 분실 방지 등을 위한 CCTV를 설치할 예정입니다. 또한 사내 물리 및 CCTV 관리자가 이슈 발생 시 어플 등을 통해 즉각적으로 확인하도록 사용할 예정입니다. (물론 업무 공간등은 설치하지 않고, 출입문, 서버실 등에 설치할 예정입니다.)
1) 건물 1층 출입구에 별도의 출입통제장치가 없어서 엘리베이터를 이용하여 아무나 해당 택배보관장소 및 접견구역으로 접근할 수 있는 경우 해당 공간을 표준개인정보보호지침의 '공개된 장소'로 간주하여야 할까요 ?
1-2) '공개된 장소'로 간주되는 경우 '영상정보처리기기운영자'의 지위에서 '개인정보보호법 제25조(영상정보처리기기의 설치ㆍ운영 제한)','표준개인정보보호지침 제3장 영상정보처리기기 설치·운영'에 따라 운영방침 수립등의 조치들을 행해야 하나요 ?
1-3) 만약 출입문 안쪽에서 엘리베이터 앞 공간을 찍는다면 해당 CCTV도 '공개된 장소'에 설치된 것으로 간주되나요 ?
2) '엘리베이터 - 출입문 사이 공간'에 CCTV를 설치하는 경우, 해당 CCTV 연결 네트워크를 통해 내부망에 접근할 수도 있다는 지적이 있다고 들었는데, 이런 이슈로 인해 별도로 해당 카메라만 동축케이블로 운영해야 할까요 ? 그 정도에 준하는 보호조치를 수행해야 할까요 ?
2-1) 만약 보호조치를 수행해야 한다면, 해당 네트워크 카메라 및 컨트롤러 존을 논리적으로 분리하고, 각 네트워크 카메라별 MAC주소를 스위치나 NAC에 등록하여 사용하는 정도로 관리한다면 문제가 없을까요 ?
3) 물리 및 CCTV 관리자가 PC 또는 스마트폰을 통해 CCTV를 확인하는 경우, 별도의 보안조치를 수행해야 할까요 ?
(ex : 영상 확인하는 장비를 지정하여 개인정보처리시스템으로 간주하여 개인정보의 안전성 확보조치기준에 준하여 관리한다거나)
질문이 조금 많은데, 확인 부탁드립니다.
감사합니다.
|
2022-09-21 ㅣ 답변 3 ㅣ 조회수 141
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 아파트단지 내 공동다세대 복도에 방범용 CCTV 설치관련 문의
|
|
고생 많으십니다. 저는 지자체 CCTV관제센터에서 일하고 있는 주무관입니다.
아파트 내 공동다세대 복도에 방범용 CCTV를 설치민원 건이 들어왔습니다.
저희가 검토한 결과,
「공공기관 영상정보처리기기 설치․운영 가이드라인」을 보면, 비공개 장소에 영상정보처리기기(CCTV)를 설치할 경우
개인정보보호법 제15조 제1항에 따른 경우(예: 정보주체의 동의 등) 또는 법률에 특별한 규정이 있는 경우 등에만
영상정보처리기기의 설치․운영(개인영상정보의 수집 및 이용)이 가능합니다.
“비공개된 장소”의 예시
- 입주자만 이용 가능한 시설, 직원만 출입이 가능한 사무실 등
라고 표현이 되어있더라구요.
이번 민원 건도 어떻게 보면 공동현관문이 비밀번호로 되어있어서 입주자만 이용 가능한 시설(아파트)라고 판단됩니다.
1. 이와 같은 경우 아파트 복도는 비공개된 장소가 맞는가요??
2. 가이드라인에 따라 CCTV를 해당 아파트 복도에 설치시 모든 입주민의 동의를 받아야 설치가 가능한게 아닌지 궁금합니다.
|
2022-09-21 ㅣ 답변 2 ㅣ 조회수 87
|
| 개인정보 관리 > 금융·보험 |
|
Q. 휴면회원 전환과 관련하여 서비스 유효기간이 남은 경우
|
|
휴면이용자와 관련하여 문의가 있습니다
휴면 이용자 관리와 관련해서
저희는 인증서를 발행하는 업무를 진행합니다.
인증서의 유효기간은 2년으로
서비스 이용(유효)기간이 2년이 남은 경우에도
인증서를 1년간 미 사용하는 고객에게
휴면 회원으로 변경된다는 통지와 분리보관을 진행해야할까요?
저희입장에서는 인증서의 유효기간이 남아 있는 경우는,
고객의 휴대폰 기기에 유효기간이 남은 인증서를 보유하고 있는 상태로
유효기간 내 언제든 인증서를 이용할 수 있게끔
휴면회원이 아닌 상태로 보고 싶은데…
Ex)카드 발급사용자의 경우, 카드를 사용하지 않아도
카드 유효기간동안 휴면처리가 되지 않음
해석이 어렵네요…
- 관련 특별법: 전자서명법
-> 전자서명법엔 휴면이용자 또는 이용기간에 대한 내용은 명시되어 있지 않습니다
- 관련 일반법: 개보법 제39조의6(개인정보의 파기에 대한 특례)
|
2022-09-20 ㅣ 답변 4 ㅣ 조회수 148
|
| 개인정보 파기 > 정보통신 |
|
Q. 사업자 대상 판매자센터 휴면정책관련 질의
|
|
제39조의6(개인정보의 파기에 대한 특례)에 의거 서비스 1년 미사용 사용자에 대해 계정을 휴면계정으로 전환하고 있습니다.
휴면계정으로 전환 후 개인정보를 분리보관하고 접근이 불가합니다.
대고객 서비스가아닌 사업자대상 b2b 서비스의 경우, 휴면계정으로 전환 시 아래와 같은 업무상 이슈가 발생되고 있습니다.
- 미종결 주문내역 존재(주문 종결 처리 필요)
- 미정산 내역 존재(정산금 지급 필요)
- 마이너스 셀러머니 보유(채권 추심 필요)
위와같은 상황에서 아래 3가지 내용 질의드립니다.
1) 위와 같이 업무상 이슈가 있는경우, 처리되기전까지 휴면계정으로 전환하지 않고 활성계정으로 유지할 수 있는지?
2) 휴면계정 예외가 안된다면, 분리보관 후 위 업무를 처리하기위해 분리보관된 개인정보에 접근해도 되는지?
3) 휴면계정 예외가 안된다면, 위 사유가 해결될때까지 분리보관 후 파기하지 않고 개인정보를 보유해도 되는지?
사업자 입장에서 휴면처리 후 계정이 삭제되면 손실을 입을 수 밖에 없는 상황이라 질의드립니다.
|
2022-09-20 ㅣ 답변 3 ㅣ 조회수 82
|
| 개인정보 파기 > 정보통신 |
|
Q. 제39조의6(개인정보의 파기에 대한 특례)에 대한 질의
|
|
안녕하세요
당사에서 판매하는 상품 중 일부 상품의 경우 사용 유효기간(1년)존재하며,
유효기간까지 사용하지 않는 경우 구매 고객에게 상품 금액을 환불처리를 하고 있습니다.
유효기간까지 사용하지 않아서 고객에게 환불처리 해줘야 하지만
마침 해당 고객이 휴면처리가 된다면 관련 법령에의해 개인정보 및 계좌번호가 분리보관 되고 있습니다.
이런 경우에 개보법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) ②항 2호 "정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우"를 근거로 고객 환불처리를 위해 분리보관된 고객의 계좌번호를 사용해도 되는지 ?
질문의 취지는 개보법 제39조의6 1항에서는 휴면계정이되어 분리보관된 개인정보를 "다른 법률이 정한 경우"에 사용할 수 있다는 표현이 있어서
반드시 개보법 이외의 다른 법률에 정한 경우만 가능한 것인지 궁금하여 문의 드립니다.
제39조의6(개인정보의 파기에 대한 특례) ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
|
2022-09-20 ㅣ 답변 3 ㅣ 조회수 388
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 그룹웨어도 개인정보처리시스템으로 보아야 하나요?
|
|
안녕하세요 개인정보 관련 문의드립니다.
1. 임직원의 개인정보(사원번호, 휴대폰번호, 이름, 이메일 등)이 저장되어 있는 시스템, 즉 그룹웨어의 경우에도 개인정보처리시스템으로 구분되어야 하나요?
2. 그룹웨어는 개인정보처리시스템이라고 가정할 경우 클라우드 그룹웨어(SaaS)도 이용 할 경우
2.1 "개인정보 안전성 확보 조치 기준 / 제6조(접근통제) / 1항"에서 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등에서 "2FA 인증"으로도 해당 항목을 충족할수 있나요?
2.2 "개인정보 안전성 확보 조치 기준 / 제6조(접근통제) / 2항 "에 의거하여 외부(재택근무)에서 그룹웨어를 접속할 경우 2FA 인증만으로도 외부의 접근을 허용 할 수 있나요?
---------------------------------------------------------------------------------------------------------------------------------------
개인정보안전성확보조치 기준 / 제6조(접근통제)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
---------------------------------------------------------------------------------------------------------------------------------------
|
2022-09-19 ㅣ 답변 2 ㅣ 조회수 233
|
| 개인정보 제3자 제공 > 건축 |
|
Q. 인허가 관련 민원 내용 제3자 제공
|
|
인허과 관련 a부서에서 처리한 민원 신청 내역, 처리 결과를
업무목적으로 b부서에서 필요하다고 하면,
해당 민원인의 동의서를 받았을 경우에는 b부서에서 a부서에게 민원 신청 내역, 처리결과를 받아볼 수 있는건가요?
|
2022-09-15 ㅣ 답변 2 ㅣ 조회수 120
|
| 개인정보 수집·이용 > 금융·보험 |
|
Q. 이벤트 참여 및 당첨상품 수령을 위한 정보 수집
|
|
궁금한점이 있습니다.
상황:
1. 회원가입 시,
광고성 정보(마케팅) 별도 동의 받음
2. 이벤트 진행 (참여)
3. 이벤트 추첨후 기존 고객정보를 통해 당첨여부 유선 안내
4. 당첨권 수령을 위해 수령지/수령자 확인*
* 수령자/수령지가 기존 회원정보가 아닌
회원의 다른 가족 또는 주소지가 직장인 경우 발생
(추가로 수집되는 개인정보 발생)
문제상황:
*과 같은 문제상황 발생 시,
개인정보 수집동의를 별도로 받아야할까요
받는다면 유선통화로 당첨여부 안내후
수령지를 확인 및 문의를 하는데 어떻게 받아야하나요?
+ 새로 수집된 정보는 바로 택배 업체에 정보를 전송 이벤트 추첨자 pc에 별도 저장하지 않음
이와 같은 문제상황에 대한 고견
또는 이벤트 당첨발표나 당첨권 전달 주로 어떻게 하시는지 궁금합니다~
|
2022-09-14 ㅣ 답변 2 ㅣ 조회수 207
|
| 개인정보 제3자 제공 > 기타 분야 |
|
Q. 콜센터 녹취 관련 질의(제3자 청취 가능 여부)
|
|
안녕하세요. 당사는 콜센터를 운영하고 있습니다.
상담사와 정보주체와의 통화는 전부 녹취되며, 콜 인입 시 안내 ARS로 통화품질향상 등을 위해 상담 내용은 녹음된다 고지하고 있습니다.
1) 상담사 A가 정보주체 B와의 통화 녹취를 반복해서 재청취가 가능할까요?
2) 또한 강성고객, 민원 해결 등을 위하여 관리자 C가 A. B 통화 녹취를 청취 가능한가요?
(A로부터 동의 징구 완료한 상태)
3) 내부통제를 위해 적정성 점검, 모니터링 등을 할 경우 2번 케이스일때, 건별 사전결재가 아닌 월별/주별 사후결재를 통한 점검도 문제 없을까요?
확인 후 답변 부탁드립니다. 감사합니다.
|
2022-09-14 ㅣ 답변 2 ㅣ 조회수 244
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보처리방침 개인정보를 자동으로 수집하는 장치의 기준
|
|
안녕하세요
개인정보위원회 홈페이지 개인정보처리방침에 없는 자동으로 수집하는 장치의 설치.운영을 기재하지 않은 이유는
해당 사이트에서는 개인정보를 자동으로 수집하는 장치의 설치.운영을 하지 않기 때문이라고 생각됩니다.라고 답변 주셨습니다.
그러나 개인정보위원회 홈페이지에서 사용중인 쿠키가 다수 있는 것으로 확인되고 있습니다.
개인정보처리방침 가이드에서도 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를설치 및 운영할 경우, 설치·운영 및 그 거부에 관한 사항을 기재하여야 함이라고 나와있습니다.
그렇다면 개인정보위원회의 개인정보처리방침에서도 자동수집장치 설치 운영 기재를 해야하는것 아닐까요?
1) 자동수집장치는 무엇인가요? 서버등과 같이 DB로 구현해야 하는 환경인가요?
2) 홈페이지에 사용중인 쿠키항목이 있다면 기재의 기준이 되는것인지..
3) 자동수집기능이 있는 서버를 설치하고 홈페이지에 접속하는 사용자들의 쿠키들을 저장하고 정보를 활용해야 기재하는 것인지
참고로 저희 회사의 홈페이지에 사용중인 쿠키는 있으나 수집하는 장치(서버)를 두고 있진 않습니다.
확인 후 답변 부탁 드리겠습니다.
감사합니다.
|
2022-09-13 ㅣ 답변 2 ㅣ 조회수 105
|
지식 Q&A