| 개인정보 수집·이용 > 교육·사회복지 |
|
Q. 오프라인 학원 방문을 통한 회원가입 시 만 14세 이상도 법정대리인의 동의로 수집할 수 있는지 문의드립니다.
|
|
안녕하세요
오프라인 학원(초등학생 및 중학생)을 운영하고 있으며, 재원생을 관리하는 앱 서비스가 있습니다.
회원가입의 경우 무조건 학원 방문 후
법정대리인의 휴대폰으로 회원가입 URL을 전달하고, 학부모가 직접 정보를 기입하는 방법으로 진행하고 있습니다.
문의사항은 아래 2가지 입니다.
1. 만 14세 미만의 경우 법정대리인의 동의 하에 개인정보를 수집할 수 있는것으로 알고 있는데,
만 14세 이상의 경우도 법정대리인의 동의 하에는 개인정보를 수집할 수 있는지 (정보주체 동의 X) 문의 드립니다.
2. 방문을 통해 법정대리인에게 휴대폰 메시지로 회원가입 URL을 전달 후 직접 가입시키는것도
법정대리인 본인인증으로 볼 수 있는지도 문의 드립니다.
|
2024-01-15 ㅣ 답변 1 ㅣ 조회수 20
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 제품 홍보 및 상담을 위한 홈페이지 운영 시 개인정보처리방침 작성 관련
|
|
저희 회사는 고객사의 제품 홍보 및 상담을 위한 홈페이지를 위탁 운영하고 있습니다.
홈페이지는 전자상거래 없이 단순히 제품 별 설명 페이지와 해당 제품의 대한 추가 상담을 희망하는 고객을 위해 이름/전화번호 정도의 개인정보를 수집 받아
유선 상담에 활용하고 있습니다.
저희 회사가 맡고 있는 업무 범위는 홈페이지에 대한 디자인/퍼블리싱만 진행하며, 홈페이지를 통해 수집되는 개인정보는 모두 고객사의 DB로 바로 전달되는 구조입니다.
이런 상황에서 홈페이지의 푸터에는 저희 회사의 사업자번호가 표시되고 있고, 개인정보처리방침에는 고객사의 회사 정보가 표시되고 있는데
이용자로 하여금 푸터와 개인정보처리방침의 사업자가 다르게 표시되고 있는 부분이 개보법 위반 소지가 있는지 판단이 되질 않아 글 남깁니다.
|
2024-01-15 ㅣ 답변 2 ㅣ 조회수 28
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 익명정보 제공 관련하여
|
|
타 기관으로 정보를 제공해야하는 과정에서 전문가분들의 조언이 필요하여 문의드립니다.
1. 연번(사원번호 익명화를 위해 연번으로 대체함)과 보상금(수치데이터)만 있는 경우 개인정보로 인지하여야하는지
ex. 1. 200,000원 2.300,000원 3.100,000원
|
2024-01-15 ㅣ 답변 2 ㅣ 조회수 25
|
| 개인정보 관리 > 기타 분야 |
|
Q. 개인정보보호배상책임보험 이용자수 산정 관련 문의
|
|
안녕하세요 개인정보보호배상책임보험 이용자수 산정 관련하여 글 올립니다.
이용자 수 산정 시, 위탁사(고객사)의 개인정보 이용자수도 포함하여 산정하는지 문의드립니다.
보험사에서는 위탁사(고객사)의 이용자 수도 포함하라고 명시했으나, 개인정보 손해배상책임 보장제도 안내서에는 하기와 같이 명시돼 문의드립니다.
정보통신서비스 제공자(A사)로부터 개인정보 업무를 위탁받은수탁자(B사)에 대하여는 동법 제39조의9 규정이 준용되지 않아(개인정보보호법 제26조제7항) 손해
배상책임보험(공제) 가입 또는 준비금 적립등의의무가 적용되는 대상에 해당되지는 않으나 위탁한 정보통신서비스제공자(A사)는 대상에 해당됩니다
|
2024-01-15 ㅣ 답변 1 ㅣ 조회수 30
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 개인정보이용내역 연1회 고지에 관하여
|
|
개인정보보호법 제 20조의 2 (개인정보 이용 제공 내역의 통지)에 의거하여
회원들에게 이메일로 통지를 할때
회원가입한 시기가 회원별로 다를텐데 회원별로 분류를 해서 보내야할까요
연1회 정해놓고 통으로 보내도 될까요?
|
2024-01-15 ㅣ 답변 1 ㅣ 조회수 48
|
| 기타 유형 > 정보통신 |
|
Q. 개인정보보호법 관련 내용 개정건의 절차
|
|
개인정보보호법의 내용을 개정하고자하는 건의는 어디서 어떻게 요청을 해야하는지 그 절차를 알 수 있을까요??
법률 내용의 개정이 필요하다고 생각하여 건의하고 싶어서요.
|
2024-01-15 ㅣ 답변 2 ㅣ 조회수 24
|
| 개인정보 파기 > 정보통신 |
|
Q. [SaaS 회사] 1) 통신비밀보호법 해석, 2) 개인정보에 대한 정의(결합, 식별가능성) 해석에 관한 질의
|
|
안녕하세요, 국내 it saas 서비스를 제공하는 업체에 근무아는 재직자 (정보보호 담당) 입니다.
한국 개인정보보호법령, 관련 인증해설 (isms, 클라우드보안인증제 등), 그 외 문헌에서도 명확하지 않은 부분이 있어 질의 드리고 싶은데요.
미리 도움 말씀 부탁 드리겠습니다.
- 질문 1에 대한 상황: 통신비밀보호법상 의미하는 서비스 이용기록에 따른 방문기록, ip 정보에 대해 3개월 보존 후 파기해야 할 의무 있음.
- 세무 질문 1:
1) 식별해야 하는 세부 개인정보 유형 (e.g. remote ip, server ip, header, token info, etc.) 및 처리 시스템 유형은 일반적으로 어떤 것들이 있나요?
# 상용 클라우드 특성 (e.g. gcp, aws, azure 등) 에 따라 다를 수 있겠으나, 일반적인 관점에서 전문가님의 고견이 궁금합니다.
2) 사용자가 웹브라우저 접속에 따른 osi 7 x-layer (http, https 등) 형태의 방문 기록에 대해, 평문 또는 가명처리(암호화)되어 저장되는 시스템마다 식별하고, 이때 각 시스템들을 개인정보 처리시스템으로 보는 컨셉이 맞는지요?
# 관련 사례 또는 가이드가 존재하는지 궁금합니다.
- 질문 2에 대한 상황: 국내 개인정보보호법 상 개인정보에 대한 정의/취지 궁금 - 즉, 직접수집 등에 따른 개인임을 알 수 있는 비교적 명확한 정보, 즉 이메일, 핸드폰 번호 외, 위 질의자가 정리한 "방문기록" 같은 간접수집 (또는 자동수집) 정보 관련
세부 질문 2:
1) 직접 수집되는 정보 외, 위 간접수집정보에 해당하는 것도, 결합가능성, 식별가능성 여하에 따라 개인정보로 정의, 개인정보에 준하는 보호조치를 취하는 것이 맞는지요?
2) 일반적으로 결합가능성, 식별가능성에 대한 판단 기준에 대한 구체적인 해설/가이드가 있을까요?
- gdpr 컨셉을 대략 이해하고, 여러 글로벌 회사의 scc / dpa / 처리방침 등 참조 시, 국내법에서 요구하는, 예를 들어 생체정보, 고유식별정보 이런 정보 외에, 쿠키id, ip, 광고 관련 identifier, 그 외 개인정보와 결합하여 개인임을 식별할 수 있도록 돕는 일체의 파생 정보에 대해 고객 데이터로 정의하여 관리하고 있는 것으로 판단
- 그럤을 때, 한국 개인정보보호법 및 관련 법상, 직접 수집 개인정보 외, 간접수집 또는 간접적 형태의 개인정보가 결합/식별되어 최초 수집 업무목적 외, 다른 목적으로 수집되었는지 여부를 회사(개인정보처리자)가 판단하는 기준/사례점이 있을지, 어디까지 판단하는지 궁금합니다.
다소 두서없이 질의 드려서 죄송하오며,
추가적으로 궁금하신 사항은 말씀 부탁 드립니다.
|
2024-01-12 ㅣ 답변 1 ㅣ 조회수 47
|
| 개인정보 관리 > 기타 분야 |
|
Q. 전자상거래 법 탈퇴 회원에 대한 기록 보관 개인정보 항목 문의
|
|
안녕하세요 탈퇴회원에 대한 분리 보관 수행 시 보관 하여야 할 최소한의 개인정보 범위가 모호하여 참고 할 만한 사항이 없는지 문의 드립니다.
당사에서는 아래와 같은 법령에 의하여 탈퇴회원에 대한 개인정보를 분리 보관 하고자 합니다.
전자상거래 등에서의 소비자보호에 관한 법률 제6조 및 같은 법 시행령 제6조
- 표시·광고에 관한 기록 : 6개월
- 계약 또는 청약철회 등에 관한 기록 : 5년
- 대금결제 및 재화등의 공급에 관한 기록 : 5년
- 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
기록을 보관할 시 위와 같은 목적으로 개인정보를 분리 보관 할 경우 최소한의 개인정보만 보관하여야 할 것 같은데 명확한 기준은 찾기가 힘드네요
예를 들어 대금 결제 및 재화 공급에 대한 기록 만 남기더라도
계약자 주체의 이름, 휴대폰 번호, 주소 등이 있어야 개인임을 판별 할 수 있고 거래 정보를 확인 하려면 계좌 번호 같은 금융 기록도 남겨야 할 것 같습니다 .
분리보관 개인정보에 대하여 가이드나 참고할 만한 사항이 있으면 도움 부탁 드립니다.
감사합니다.
|
2024-01-12 ㅣ 답변 1 ㅣ 조회수 66
|
| 개인정보 정의 > 기타 분야 |
|
Q. 가명정보의 정의
|
|
가명정보(가명정보처리 가이드라인 내용) 관련 문의입니다.
해당 가이드라인의 용어 절이 중 가명정보 이하아 같이 명시되어 있습니다.
-가명처리를 거쳐 생성된 정보로서 그 자체로는 특정 개인을 알아볼 수 없도록 처리한 정보(이하 ‘가명정보’라 함)
※ 개인정보에 대한 판단기준은 개인정보처리자가 보유한 정보 또는 접근 가능한 권한 등 개인정보 처리 상황에 따라 다르게 판단되어야 함
1. 보유한 정보 또는 접근 가능한 권한 등 개인정보 처리 상황에 따라 다르게 판단된다는 것은, 동일한 가명정보도 개인정보처리자에 따라 개인정보로 분류할 수도 있고, 개인정보가 아닌 일반 정보/데이터로 해석할 수 있는것인지 궁굼합니다.
2. 또한 보호법에서 가명정보는 복원하기 위한 추가 정보의 사용/결합 없이는 특정 개인을 알아볼 수 없도록 처리한 것을 가명처리라 정의하였는데, 가명정보는 복원이 가능한 정보만을 의미하는지, 혹 복원이 불가능할 경우 1.과같은 해석으로 개인정보가 아닌 일반정보로 해석 가능한지 궁굼합니다.
3. 개인정보파일을 등록할때, 개인정보 항목을 입력하도록 하고 있습니다. 가명정보의 경우 가명정보로 표시하는것이 맞는지, 가명정보를 복원한 경우에 해당하는 개인정보를 표기하는게 맞는지 의견이 궁굼합니다.
|
2024-01-12 ㅣ 답변 2 ㅣ 조회수 33
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 개인정보 범위 및 이벤트 진행시 수집 방법 문의
|
|
안녕하세요.
개인정보와 관련하여 두가지 궁금한 사항이 있습니다.
1. 특정 사람이 구매로 인하여 생성된 주문번호도 개인정보에 해당되나요?
2. 댓글 이벤트를 진행하여 주문번호를 수집하여 이벤트를 진행한다면 개인정보 보호법 위반인가요?
|
2024-01-11 ㅣ 답변 1 ㅣ 조회수 40
|
지식 Q&A