| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 개인정보보호책임자(CPO) 지정을 위한 요건 문의
|
|
안녕하세요. 공공기관이 아닌 영리 기업에 재직 중인 개인정보 업무 담당자입니다.
24년 3월 15일로 예정된 개인정보보호법 개정으로 인해 개인정보보호책임자(CPO) 지정 및 자격요건에 대해 문의드리고자 합니다.
공공기관이 아니라면 대표 또는 임원이 지정 되어야 하며 [개인정보보호 경력 3년 이상 필수 보유 및 개인정보보호,정보보호,정보기술 경력 합을 6년 이상 보유]으로 개정되는 것으로 확인을 하였습니다.
다만, 적용 대상이 연 매출액 1,500억 원 이상이며 개인정보 100만명 이상, 5만명 이상 민감,고유식별정로를 보유한 개인정보처리자로 기준이 잡혀 있습니다.
저희 기업은 매출액은 해당이 되지만 위수탁으로 저희가 수집한 고객은 없습니다.
이렇게 처리하는 개인정보의 수는 100만명 이상이지만 위수탁 계약에 의해 처리하는 수탁자인데 개인정보보호책임자를 의무적으로 지정해야 하는지 문의 드립니다.
감사합니다.
|
2024-02-19 ㅣ 답변 1 ㅣ 조회수 62
|
| 개인정보 처리위탁 및 영업양도 > 보건·의료 |
|
Q. 임직원정보처리 위탁 시 클라우드컴퓨팅서비스 사용관련 재위탁 사전승인 대상 여부
|
|
업무 질의 답변에 항상 감사 드립니다.
[현황]
당사는 금융회사로서 임직원의 건강검진을 위해 직원건강검진 업무위탁 계약 중에 있으며
업무위탁 시 제공하는 정보는 임직원의 성명, 생년월일, 휴대폰번호, 직원번호, 이메일, 부서명 등으로 임직원 정보 만 제공하고 있습니다.
수탁사는 메시지 발송을 위해 재위탁사를 두고 있습니다.
[질문]
당사는 개인정보보호법 제26조 ⑥항 '수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.'
근거로 당사 위탁업무 처리를 위해 수탁사가 재수탁 시 재수탁사가 클라우드컴퓨팅서비스를 사용 할 경우도 위탁사에 사전승인을 득하도록 보안관리약정서
조항에 명시하였으나.
수탁사에선 "금융분야 클라우드컴퓨팅서비스 이용 가이드(이하 '이용가이드')에 따라 「금융회사의 정보처리 업무 위탁에 관한 규정」 및
「전자금융감독규정」이 "금융업"을 전제로 한 이용가이드이며, 재수탁사 또한 금융업을 수행하지 않고, 이용가이드 Page 134의 (FAQ)6.에 의거하여
비금융업무는 클라우드 이용보고의 대상이 아니라고 하여 재수탁사가 클라우드컴퓨팅서비스 사용에 대해선 위탁자의 사전승인 대상이 아니며,
당사 보안관리약정서 해당문구를 삭제해야 된다고 주장 합니다.
이에, 수탁사의 주장이 타당한지 여부를 문의 드립니다.
|
2024-02-16 ㅣ 답변 2 ㅣ 조회수 60
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 개인정보 동의 / 미동의
|
|
안녕하세요
개인정보보호법 개정에 따라 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 의 법령 개정으로 위 사항과 맞다면 동의를 받지 않아도 되는 것으로 알고 있습니다.
현재 회원 가입 시 필수 항목(ID, 패스워드, 이름, 생년월일)은 동의를 받지 않고 선택 항목(주소, 성별 등)에서만 동의/미동의를 받으려고 합니다.
이 때 현재 법령 기준으로 위 처럼 구현을 해도 되는지 여부와 회원 가입 시 필수 항목에 대한 동의를 받으면 위법인지 문의 드립니다.
그리고 해당 시행이 24년 9월 부터인지 문의드립니다.
1. 필수 항목에 대한 미동의 여부
2. 필수 항목에 대한 동의 시 위법 여부
3. 해당 법령 시행 기준일(필수 동의 시 위법)
감사합니다.
|
2024-02-16 ㅣ 답변 2 ㅣ 조회수 79
|
| 개인정보 관리 > 정보통신 |
|
Q. 개인정보 열람 및 탈퇴 후 재가입 제한
|
|
1. 개인정보 열람의 범위
제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
열람할 수 있는 개인정보는 사용자의 정보 (이름, ID, 성별 등)뿐만 아니라 사용자가 입력하여 DB에 저장되는 모든 데이터에 해당하나요?
사용자가 매일 입력하는 설문이 있는데 그 중 몇 항목은 리포트로 정리하여 제공되는데 나머지 항목은 다시 확인할 수도 없고 리포트 등의 가공된 결과로도 확인할 수 없습니다. 이 경우 사용자가 해당 항목에 대해서 열람을 청구할 수 있나요?
2. 탈퇴한 이메일에 대한 재가입 제한
개인정보 처리법상 탈퇴 후 법령상 보유기간 제한이 있는 경우를 제외하고 모든 데이터를 삭제하는 것을 원칙으로 합니다.
다만, 추후 문제의 소지를 방지하기 위해서 탈퇴한 이메일로 재가입하는 것을 막으려고 합니다. 다른 개인정보 없이 이메일만 보관되므로 다른 정보와 결합하여 개인을 식별하는 것은 매우 어려울 것으로 생각됩니다.
이때
- 특정 이메일에 대한 재가입 자체가 이메일이라는 개인정보를 보유 기간을 넘어서 개인정보 처리자가 취급하는 것이므로 개인정보 보호법 위반이 되는지
- 아니면, 해당 부분만 개인정보 보유기간을 '해당 서비스 제공 기간'까지로 개인정보 수집 및 이용 동의 및 개인정보 처리방침으로 관리하면 되는지
- '이메일'을 일방향 암호화하여 개인정보 처리자도 이메일 목록 자체는 확인할 수 없고 탈퇴 여부만 확인하는 방식으로 처리하면 괜찮을지
궁금합니다.
관련해서 답변 주시면 큰 도움이 될 것입니다.
감사합니다.
|
2024-02-16 ㅣ 답변 2 ㅣ 조회수 37
|
| 개인정보 파기 > 정보통신 |
|
Q. 접속기록의 처리한 정보주체 정보에 대한 문의
|
|
경품 이벤트나 신청/접수 등을 위해 수집한 개인정보(성명, 휴대폰번호, 주소 등)를 이벤트 종료나 목적이 달성된 뒤에 바로 파기하고 있습니다.
개인정보의 안전성 확보조치 기준에는 개인정보취급자의 개인정보처리시스템의 접속기록을 1년 이상 보관하게 되어 있습니다.
이때 접속기록에는 처리한 정보주체 정보도 있어서 보관을 해야 한다고 합니다.
처리한 정보주체 정보 확인을 위해서는 성명, CI, 휴대폰번호 등을 보관해야 하는데,
이미 목적 달성되어 정보주체의 개인정보는 파기했지만 접속기록 보관을 이유로 처리한 정보주체 정보를 1년이상 보관해야 하는지 궁금합니다.
|
2024-02-14 ㅣ 답변 2 ㅣ 조회수 71
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 개인정보 처리시스템 접근권한 관리
|
|
안녕하세요,
개인정보 처리시스템 접근권한 관리와 관련하여 문의드리고자 합니다.
최근 기관 개인정보 처리리스템 접근권한 부여 기준이 수립되어, 이를 점검하고자 합니다.
이때, 아래 내역 이외에 추가적으로 점검하면 좋을 부분이 있을지 문의드립니다.
1. 개인정보 처리시스템 접근권한 부여 관리대장(3년 이상 보유 여부)
2. 시스템별 접근권한 신청서 및 권한부여 근거(인사발령) 내역 확인
3. 시스템별 관리자 유형 및 메뉴별 접근권한 부여 적절성 검토
4. 외주직원 계정에 대한 관리 내역(접근대장 내 사용목적, 사용기간 등 유무)
답변주시면 감사하겠습니다.
|
2024-02-14 ㅣ 답변 3 ㅣ 조회수 69
|
| 개인정보 파기 > 정보통신 |
|
Q. 접속기록 관련 ...
|
|
홈페이지에서 2주간 이벤트 행사를 진행을 위하여 정보주체의 동의를 얻어 개인정보(아이디, 성명, 핸드폰번호, 주소)를 수집하였고
개인정보보호법 제21조(개인정보의 파기)에 의거 행사 진행 후 지체없이 파기 하였습니다.
문. 수집된 개인정보를 파기하여 정보주체를 확인 할 수 없는대
개인정보안전성확보조치기준 제8조(접속기록의 보관 및 점검)에 의거 접속기록을 1년 이상 보관해야하는지?
|
2024-02-13 ㅣ 답변 2 ㅣ 조회수 36
|
| 개인정보 제3자 제공 > 정보통신 |
|
Q. 국외에서 가입 한 외국인 정보 국내에 저장 국외에 제공시 국외이전 문의 드립니다.
|
|
[국외]
국외 법인 회사 웹 페이지에 가입한 외국인이(국외에 개인정보 저장)
국내 법인에서 제공하는 게임 웹 페이지에 로그인 시 회원 개인정보가 국내에 저장됩니다
국내에 저장된 회원 개인정보를 / 국외 법인에 제공하려 하는데 국외이전이 적용되는지 문의 드립니다.
|
2024-02-13 ㅣ 답변 2 ㅣ 조회수 28
|
| 민감정보 및 고유식별정보 처리 > 정보통신 |
|
Q. 정보공개청구와 이메일로 영상자료제공건 차이
|
|
공공기관 관제업무담당입니다.
정보공개시스템으로 접수들어와서 영상제공해드리면 『공공기관의 정보공개에 관한 법률 시행령』 제17조제1항에 따라 수수료가 발생하는 것으로 알고있습니다.
여기서 궁금한점이 『공공기관의 정보공개에 관한 법률 시행령』15조 1항에는 청구인이 전자적의 형태로 공개하여 줄 것을 요청하는 경우에도 제공이 가능하다고 되어있습니다.
청구인이 전화 또는 현장방문하여 민원접수하여 신원확인 후 영상제공하려고 할때, 불가피한 사정으로 기관방문이 불가능하다고 해서 이메일로 보내주게 될 때도 수수료가 발생하는지에 대한 궁금증입니다.
|
2024-02-07 ㅣ 답변 2 ㅣ 조회수 30
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 법정대리인의 동의
|
|
법정대리인에 대한 동의 진행에 대해 정리가 안되어 고견을 듣고자 남깁니다.
A라는 서비스를 진행하면서 B라는 신규 서비스를 추가 진행했을때 A라는 서비스의 계정을 통합계정으로 진행한다면 B 서비스 가입을 진행하고자 합니다.
현황
1.A와 B 서비스는 각각 다른 서비스입니다.
2.A서비스만 이용했던 고객에 대해서는 B서비스 이용시 법정대리인의 동의를 받을 예정입니다.
질문1)
A라는 서비스에서 받은 법정대리인의 동의 B서비스 이용에 대해서는 법정대리인의 동의 없이 14세 미만 아동의 가입을 진행이 가능할까요?
질문2)
이용약관의 내용을 A서비스 가입 시 B서비스의 내용까지 포괄적으로 변경해둔다면, B서비스 이용에 대한 법정대리인의 동의 없이 가능할까요?
질문3)
B라는 신규서비스는 별개의 서비스로 법정대리인의 동의를 별도로 받아야 할까요?
|
2024-02-07 ㅣ 답변 2 ㅣ 조회수 44
|
지식 Q&A