| 개인정보 안전성 확보조치 > 교육·사회복지 |
|
Q. 개인정보처리시스템 외부 접속 시 안전한 인증수단 관련 문의
|
|
안녕하세요,
고등 교육기관에서 개인정보보호 업무를 담당하고 있습니다.
개인정보처리시스템을 외부에서 접속할 시 안전한 인증수단과 관련하여 문의드리려 합니다.
현재 외부 접속시 안전한 인증수단으로 OTP를 사용하고 있으나, 내부 사용자의 불편함 등이 있어 간편인증(카카오톡, 네이버, PASS 등) 수단을 도입하여
OTP 인증방식을 대체하려고 검토 중입니다.
제가 찾아보기로,
1. ISMS 인증기준 2.5.3 사용자인증
2. 개인정보의 안전성 확보조치 기준 제6조(접근통제)
3. 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
4. 개인정보의 안전성 확보조치 기준(제2020-2호) 해설서(2020.12월)
에 언급되어 있는 안전한 인증수단 예시로는 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP)밖에 없어
개인정보처리시스템을 외부에서 접속 시 간편인증을 통해 접속하여도 법적으로 혹은 ISMS 심사 때에 문제가 없는 지 궁금합니다.
|
2024-01-19 ㅣ 답변 1 ㅣ 조회수 34
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 개인정보 수집 이용 내역 통지
|
|
안녕하세요...개정된 법 제20조의2(개인정보 이용ㆍ제공 내역의 통지)에 대해 문의드립니다.
회사에서는 인터넷서비스를 위해 회원가입 신청을 받고
회원들은 회사에서 제시하는 과제들을 수행하고 정해진 포인트를 지급받습니다.
이 포인트는 일정 금액 이상이 되면 현금으로 지불 신청을 할 수 있고
회사에서는 소득세법 등에 따라 3.3% 사업소득 원천징수 후 국세청에 소득 신고를 위해
지불 신청한 회원의 주민등록번호(외국인등록번호)를 수집하고 있습니다.
회원이 탈퇴 신청을 하는 경우 탈퇴 처리를 하는데
소득세 관련 법령에 따라 소득 신고 관련 증거자료 등은 5년간 보관해야 하는 의무가 있어
탈퇴 회원의 경우 일반회원과 별도로 분리하여 5년간 보관하고 있습니다.
정보주체 수 5만명 이상을 산정하는 경우
분리 보관된 탈퇴회원의 주민등록번호(외국인등록번호)도 정보주체 수에 포함이 되는지 궁금합니다.
또한 5만명 이상에 해당되는 경우
분리 보관된 탈퇴 회원들도 이용ㆍ제공 내역 통지 대상에 포함이 되어야 하는지 궁금합니다.
감사합니다...
|
2024-01-19 ㅣ 답변 1 ㅣ 조회수 44
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 영상정보처리기기 해당여부
|
|
새롭게 연구소용 기기를 출시하며 기기작동오류의 점검을 위하여 기기내에 카메라 설치하여 판매를 계획중에 있습니다.
해당기기는 대형 복사기 사이즈로 바퀴가 있어서 이동이 가능합니다.
카메라는 기기내부 작동방향을 조준하고 있으나, 각도에 따라 기기 작동과정에서 CCTV에 사용자 개인의 얼굴 또는 신체일부가 녹화될 수 있습니다.
관련하여,
1. 해당 카메라를 개인정보보호법상 (고정형/이동형)영상정보처리기기로 볼수 있을지
2. 위 기기의 설치운용자를 '업무를 목적으로 영상정보에 대한 개인정보파일을 운용하기 위하여 영상정보처리기기를 설치운용하는 "개인정보처리자"'로 볼수 있는지
3. 이에 따라 본 기기의 운용을 위하여 동법 제25조 또는 제15조(비공개된 장소 설치시)가 적용되어 정보주체의 동의를 받거나, 안내판을 설치하거나, 안전성 확보조치, 운영관리방침 등을 정할 의무가 있는지
에 대하여 질의드립니다.
|
2024-01-19 ㅣ 답변 1 ㅣ 조회수 17
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. 위탁업체 중도 변경 時 고객 고지 범위 문의
|
|
당사 위탁업체 중 상품 공급/배송/관리 업무를 위탁한 A라는 업체가 있습니다.
A업체가 법정관리를 받게 됨에 따라 기존 위탁업무 loss로 B라는 업체를 추가 계약하여 운영할 예정입니다.
B업체 계약 후 개인정보처리방침에 고지를 진행할 예정입니다만
A업체가 공급했던 제품을 사용중인 고객들에게 변경된 업체에 대해 고지를 별도로 해야 하는지요?
문자나 이메일을 통해 특정 상품을 공급/배송/관리하는 업체가 A->B로 변경되었고 변경된 사유 등 정보를
별도 고지해야하는지 궁금합니다.
|
2024-01-18 ㅣ 답변 1 ㅣ 조회수 20
|
| 개인정보 제3자 제공 > 기타 분야 |
|
Q. 목적외, 목적내 제공 관련
|
|
안녕하세요. 개인정보 목적외랑 목적내 제3자 제공 관련 문의드립니다.
목적외 제3자 제공(보호법 제18조)과 목적내 제3자 제공(보호법 제17조)할 수 있는 것 중 하나가 정보주체의 동의를 받은 경우라고 되어있는데,
이는 동의서에 제3자 제공 목적이 당초 수집 이용 목적이랑 같은 경우에서 동의를 받아 제공을 하면 목적 내 3자 제공이고
동의서에 제3자 제공 목적이 당초 수집 이용 목적이랑 다른 경우에서 동의를 받아 제공을 하면 목적 외 3자 제공인가요??
예를들면
개인정보 수집이용 동의서에서 수집 이용 목적이 채용 절차 진행이면
제3자 제공 목적 또한 채용 절차 진행이면 보호법 제17조에서 말하는 제공이고
제3자 제공 목적이 맞춤형 서비스 제공 이런식으로 다르면 보호법 제 18조에서 말하는 제공이 맞을까요?
그리고 보호법 제17조에서 말하는 목적내 제공이 당초 수집 이용목적에서 받은 목적이랑 무조건 동일하지 않아도 같은 범주 안이라고 생각되면 목적내일까요?
|
2024-01-18 ㅣ 답변 1 ㅣ 조회수 31
|
| 개인정보 관리 > 보건·의료 |
|
Q. 병원에서의 개인정보처리방침에 의료정보도 포함되어야 하나요?
|
|
보통 병원에서의 개인정보처리방침을 보면 성명, 전화번호 등 기본적인 항목들만 적혀 있습니다.
하지만 병원에서 온갖 의료 정보들(키, 몸무게, 혈액 검사 결과 등)을 다룹니다.
그런 의료정보들은 개인정보처리방침에 포함이 되지 않아도 무방한가요?
포함이 되어야 하는 것이면 어떤 형태로, 어느 범위까지 포함이 되어야 하나요?
|
2024-01-18 ㅣ 답변 1 ㅣ 조회수 17
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 뉴스레터 수신에 대한 동의만 받았는데 다른 홍보 메일로 보낼 수 있는지
|
|
안녕하세요.
항상 도움 주셔서 감사합니다.
기존에 저희 개인정보처리방침에는 개인정보 이용 및 수집 목적이 뉴스레터 수신만 있었는데 이 부분에 견적문의를 위한 개인정보 수집, 행사 초대를 위한 개인정보 이용, 홍보 메일 발송 등 내용을 추가했습니다.
이럴 경우 개인정보 이용목적이 변경되어 아래 중 하나의 액션만 취하면 되는지 알고 싶습니다.
지금까지 수집된 전체 데이터에 대해 (2년이 경과한 데이터 포함)
1안. 고지하고 다시 동의를 받아야 한다.
2안. 고지하면서 동의하지 않는 사람들의 메일주소를 수집하여 동의철회
3안. 고지만 한다.
4안. 고지하지 않는다.
감사합니다.
|
2024-01-18 ㅣ 답변 1 ㅣ 조회수 24
|
| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 화이트라벨(리브랜딩)서비스와 개인정보 위수탁 관계 해석
|
|
안녕하세요.
당사의 서비스를 화이트라벨(White-Label, a.k.a 리브랜딩) 서비스를 제공중인 업체와 당사간의 관계 해석에 대해 고견을 듣고자 질문 질문 드립니다.
당사(A사)가 제공중인 대고객 App서비스는, 먼저 B2B 계약을 맺고 해당 기업에 인증코드를 부여하여 App서비스 가입시 기업코드를 인증한 후 이용할 수 있습니다.
즉, B2B 계약이 선행된 후 해당 기업 소속의 임직원이 개별적으로 회원가입을 해야 비로소 서비스를 이용할 수 있는 것입니다.
위 서비스를 고객사(B사)에서 화이트라벨 서비스 형태로 자체 영업하여 제공하는 계약을 추진중인데요.
App서비스의 인프라는 당사의 자산을 이용한 채 App에서 CI만 B사로 바꾸게 됩니다.
특징은 당사의 인프라를 그대로 사용하기 때문에 App마켓에는 제공자가 A사로 기재되고, 회원 이용약관에는 "B사의 제휴사인 A사가 제공하는 서비스"라고 명시됩니다.
이렇게만 보면 B사(고객사)가 A사(당사)에 서비스 운영(회원관리)을 위탁한 것처럼 보이는데요.
실상은 B사는 제3사(C사)와 B2B 계약만 체결했을뿐, B사는 개인정보를 처리하지 않습니다.
C사에 B사의 App을 다운 받으라고 안내하지만, 해당 App은 프론트에 B사의 CI가 씌워져 있을 뿐, A사의 인프라이기 때문에 개인정보는 모두 A사의 DB에 저장되며, 해당 DB는 B사에서 접근할 수 없습니다.
결국, C사의 임직원 개개인은 A사에 개별적으로 회원가입 한 셈이므로, B사가 A사에 개인정보 처리를 위탁했다고 보기 어렵다는게 당사의 입장입니다.
이렇게 양사(A사-B사)간 공동으로 관리하는 개인정보가 없음에도 B사가 위탁사가 되고 A사가 수탁사가 되는지,
아니면 단순 업무(영업)제휴 관계일 뿐인지 의견 부탁드립니다.
감사합니다.
|
2024-01-18 ㅣ 답변 1 ㅣ 조회수 32
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보방침 홈페이지에 게시않고 현장에 게시하는지에 대한 문의
|
|
안녕하세요
문의드립니다.
개인정보방침회사 홈페이지에 게시는 간단한 글로벌 규정만 넣고 개인정보에서 말하는 CPO지정/수탁사등에 대한 내용을 별도로 보관해도
되는지 문의 드리며 저희는 직접 고객의 개인정보회원가입을 하지 않으며 단순히 고객이 맡긴 BOX단위의(박스속에 무슨 개인정보인지모름) 내용에 없으며
이러한 부분에 대해서 게시를 홈페이지에 해야되는지 문의드립니다.
이상입니다.
|
2024-01-18 ㅣ 답변 1 ㅣ 조회수 30
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 개인정보처리 업무위탁에 대한 동의서 문의
|
|
안녕하십니까.
개인정보 수집 이용 동의서에서 개인정보처리 업무위탁에 관련 문의가 있습니다.
1. 개인정보 취급업무 위탁 업무 시 직원들한테 동의서를 받아야 됩니까?
2. 만약 개인정보 취급업무 위탁 동의서 받으며, 위탁 받는자(수탁업체)가 변경 될 때마다 동의서를 받아야 됩니까?
위탁 받는 자 -> 유지보수업체
3. 위에 관련근거 개인정보보호법 조항이 있는 지 궁금합니다.
감사합니다.
|
2024-01-17 ㅣ 답변 2 ㅣ 조회수 36
|
지식 Q&A