| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 1회성 개인정보 처리 위탁
|
|
안녕하세요
(아래 내용은 예시입니다)
당사에서 이벤트 성을 위해서 단기적으로 타 업체에게 개인정보 위수탁 게약을 하려고 합니다.
이벤트 성으로 발생되는 계약이며 계약 기간 또한 일주일이 안됩니다.
이 때 단건의 이벤트 성의 계약이라도 개인정보 처리 위수탁 계약서를 가지고 계약을 해야 하며 점검 및 교육도 무조건 실시를 해야 하는 것인지
문의 드립니다.
감사합니다.
|
2022-07-08 ㅣ 답변 2 ㅣ 조회수 144
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 글로벌 서비스 운영하면 각 나라의 개인정보보호법 준수해야 하는지 문의
|
|
글로벌 서비스를 운영하고 있는 정보통신서비스 제공자가 준수해야하는 법에 대해 문의드립니다.
당사는 영어동화 서비스를 중국어, 영어, 일본어로 번역하여 사이트를 운영하고 있고, 중국은 알리페이 결제, 나머지 국가에서는 페이팔로 결제방식을 제공하고 있습니다.
로마에 가면 로마법을 따르라는 말처럼,
1. 국내 법인에서 만든 서비스이기 때문에 국내 개인정보보호법, 정보통신망법을 준수해야 할지
2. 아니면 중국 개인정보보호법, 일본 개인정보보호법, EU GDPR, 미국 개인정보보호법 등 각 나라의 개보법을 준수해야하는지
어떻게 할지 명확하게 판단이 서질 않습니다.
위 현안에 대한 선배님들의 고견을 여쭙고자 합니다.
|
2022-07-08 ㅣ 답변 1 ㅣ 조회수 65
|
| 영상정보처리기기 설치·운영 > 기타 분야 |
|
Q. 영상정보처리기기 및 비상연락망 관련 개인정보 위반 여부
|
|
안녕하세요. 공기업 내에서 영상정보처리기기를 운영중에 있습니다.
영상정보처리기기 설치 및 운영과 비상연락망 비치에 관련하여 질문 드립니다.
1. 영상정보처리기기 설치 운영 가이드라인의 보관기간 30일 이내의 일자에 대한 해석
- 규정상 30일 이내이면 며칠까지 적합한 보관기간인지
2. 비상연락망 비치에 대한 정부기간 해석 상이로 비치여부의 개인정보법 위반 여부
- 상위법상 유지하도록 되어 있는 비상연락망(성명, 직급, 전화번호, 주소 등)을 사무실에 비치하였을 때 개인정보법 위반 여부
3. 비상연락망 사무실 비치 시 개인정보보호법 위반인 경우 강구해야할 보호대책의 유무
- 존재 목적 상 화재 등 위기상황 발생 시 가장 먼저 복귀한 인원이 연락을 하기 위해 필요
|
2022-07-07 ㅣ 답변 1 ㅣ 조회수 87
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 잠재고객에게 세일즈 전화를 하는 경우
|
|
안녕하십니까. 회사에서 잠재 고객에게 전화를 걸어 세일즈를 하는 경우(콜드콜의 형태 - 잠재 고객으로 사전의 동의는 없이 일방적으로 연락을 취하는 형태) 개인정보보호법에 저촉되는 지, 혹은 이러한 세일즈 형태를 취할 때 적법하게 행할 수 있는 방법은 어떤 것이 있을 지 문의 드립니다.
|
2022-07-07 ㅣ 답변 1 ㅣ 조회수 60
|
| 개인정보 파기 > 경영·사무 |
|
Q. [개인정보 파기] 보존기간 지난 전자세금계산서 파기 관련 문의
|
|
안녕하세요.
전자세금계산서 상에 보면, 담당자의 이름, 연락처, 이메일정보가 있는데,
관련 법령 보관기간 경과 시, 전자세금계산서 데이터도 파기해야 되는지 문의 드립니다.
국세기본법제85조의3 에 따르면, 세법에서 규정하는 모든 거래의 자료는
법정신고기한이 지난 날부터 5년간 보존해야 된다고 되어 있습니다.
개인정보보호법에서는 이용목적이 달성되면 파기하라고 되어 있는데,
법정신고기한이 지난 날부터 5년 경과된 전자세금계산서는
바로 파기가 되어야 하는게 맞는건지 문의 드립니다.
또한, 해당 데이터는 보관해도 문제 없다면,
운영DB상에 보관해도 되는건지,
아니면, 5년 경과된 전자세금계산서 데이터는 운영DB상에서는 파기하고 분리보관DB로 이관해서 보관해야 되는지
문의 드립니다.
국세기본법상에는 최소 보존기간이 명시되어 있지 경과시 반드시 파기하라는 내용은 없으나,
개인정보보호법에서는 경과 시 파기하라고 되어 있기에 문의 드립니다.
감사합니다.
|
2022-07-06 ㅣ 답변 1 ㅣ 조회수 77
|
| 개인정보 제3자 제공 > 경영·사무 |
|
Q. 노동조합의 중요회의 참석인원에 대한 정보 요구의 정당성
|
|
안녕하세요
개인정보 제3자 제공 관련하여 문의드립니다.
회사에서 중요회의를 진행하였으며, 노동조합에서 회의 참석위원의 개인정보(소속, 이름, 직위)를 요청하는 상황입니다.
개인정보 수집 동의서 수집 목적에는 [원천징수]만 기재 되어있습니다.
위 상황에서 개인정보보호법 제17조 제2항에 따라 목적 외 이용 및 3자 제공을 위해 정보주체의 별도 동의(필수고지 5개항목) 받아야 하는것으로 인지하고 있습니다.
Q1) 노동조합에서 요구하는 사항은 임직원 외 외부인의 정보이므로 3자 제공절차를 이행하는것이 맞나요?
Q2) 정보 제공 절차는 [노동조합의 정보제공 요청] -> [정보주체(참석위원)의 동의서 요청] -> [3자 제공을 승인한 대상만 노동조합에 정보제공] 절차가 맞나요?
Q3) 동의 받은 정보를 제공한 사측(개인정보처리자)는 법 제18조 제4항에 따른 홈페이지 공지 게시를 해야하나요?
위 상황 관련하여 전문가의 견해를 요청드립니다.
감사합니다.
|
2022-07-06 ㅣ 답변 2 ㅣ 조회수 70
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 타사 플랫폼에서 개인정보를 보기만 하여도, 개인정보의 '처리'에 해당하는지?
|
|
안녕하세요.
현재 당사는 A사의 서비스를 이용하는 것을 고려하고 있습니다.
A사는 자신의 플랫폼에서 일부 개인정보를 보이게 하는 서비스를 제공합니다. 당사는 A사 플랫폼에 접근하여 해당 개인정보를 보기만 할 수 있을뿐, 이를 다운로드하거나 복사, 전송 등의 방법으로 당사 서버나 관리 범위로 가져올 수는 없습니다. 그러나 그 정보를 봄으로써, 당사는 해당 개인과의 연락과정에서 열람한 정보를 참고할 수는 있겠지요.
이 경우, 당사가 A사 플랫폼에서 육안으로 개인정보를 보는 것이 개인정보의 처리, 즉 "개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기"에 해당할지요?
감사합니다.
|
2022-07-05 ㅣ 답변 2 ㅣ 조회수 133
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 회사 자체 감사를 위한 자료 요청 시 줄 수 있는 내용
|
|
안녕하세요 개인정보 관련하여 궁금한 것이 있어서 글을 올립니다.
회사에서 자체적 감사를 위한 목적으로 직원들의 출퇴근 기록을 열람할 수 있나요?
그리고 차후 감사에 대한 확인의 목적으로 개인의 이메일 접속기록을 요구할수가 있을까요?
만약 열람 및 요구 시 정보주체의 동의 없이 진행할 수 있는지 궁금합니다.
전문가 분들의 답변 부탁드립니다.
|
2022-07-05 ㅣ 답변 2 ㅣ 조회수 75
|
| 개인정보 수집·이용 > 금융·보험 |
|
Q. 생체정보 관련 문의드립니다
|
|
서비스 중인 어플내 생체정보와 관련하여 문의사항이 있습니다.
개인정보보호법과 생체정보 가이드라인 확인 시,
개인정보 > 생체정보 > 생체인식정보 > 원본정보, 특징정보
이중 생체인식 특징정보의 경우
원본정보로부터 특징점을 추출하는 등의 일정한 기술적 수단을 통해 생성되는 정보 (민감정보) 로
수집 시, 별도 동의를 받아야한다고 명시 되어 있습니다.
운영중인 모바일 앱에서 로그인 시,
패턴, 핀, 생체정보(지문, faceid) 방식을 적용하는데
생체정보의 경우 (지문)
이용자 개인 기기 내 tee영역에서 생체정보의 특징정보를 추출하고 aes256으로 암호화 하여 key 생성 후 sha256을수 행하고 있습니다.
이 과정에서 생체정보 값과는 별개로,
각개인에 대한 난수깂을 생성하고
그 난수값을 내부 서버에 암호화하여 저장합니다.
이용자가 생체정보(지문, faceid)를 이용하여 인증 시
이용자 개인 기기에 저장된 생체 특징정보가 일치되면
해당 이용자 기기에 저장된 난수 값과
서버의 저장된 난수값의 일치여부를 통해
사용자 인증도 수행합니다,
여기서 이슈는
1. 내부 db에 저장하는 난수 값이 생체인식 특징정보
이다 아니다 입니다.
1-1. 생체 특징정보가 아니다라고 주장하는 의견은
생체 특징정보와 별개로 생성되는 각각 개인의 난수 값이기 때문에 생체인식 특징정보가 아니다
1-2. 생체 특징정보 이다라고 주장하는 의견은
결론적으로 그 개인의 인증, 식별목적으로 생성된 값이기 때문에 생체인식 특징정보다 입니다.
관련해서 정답은 아니더라도 도움이 될 수 있는 답변 부탁드립니다. 감사합니다
|
2022-07-04 ㅣ 답변 2 ㅣ 조회수 89
|
| 개인정보 관리 > 정보통신 |
|
Q. 글로벌 사이트에 대한 해외 개인정보보호법 검토 필요 유무
|
|
안녕하세요.
운영 중인 글로벌 사이트에는 영문과 중문으로 사이트가 구성되어 있으며, 해외로 배송도 가능한 상태입니다.
이에 대해서 해외의 개인정보보호법을 준수해야하는지 그 필요 유무를 파악하고 있습니다.
우선 GDPR에 대해서 검토를 해본 결과
KISA의 GDPR 홈페이지에서 아래와 같은 적용대상 및 범위를 확인하였습니다.
"기업이 재화나 서비스를 유로화로 유통하거나 프랑스어∙독일어 등으로 홈페이지를 구성할 경우
명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제대상이 되지 않을 수 있음"
이에 따라 GDPR 적용 대상이 될 가능성은 낮다고 판단되었습니다.
다만 위와 같은 기준으로 판단했을 때 영어 및 달러화를 활용할 경우 영어권 국가들의 개인정보보호법을 검토해야하는 것은 아닌지, 그리고 중문 및 위안화를 활용한 페이지가 있는 만큼 중국의 개인정보보호법을 검토해야하는 것은 아닌지 궁금하여 문의드립니다.
|
2022-06-30 ㅣ 답변 1 ㅣ 조회수 78
|
지식 Q&A