| 개인정보 제3자 제공 > 정보통신 |
|
Q. 회원 번호(CI값)도 개인정보로 취급해야 하나요 ?
|
|
안녕하세요, 현재 본사 서비스 회원들을 대상으로 제휴 몰을 운영하고 있습니다.
본사 앱의 메뉴 중 제휴몰 메뉴를 통해 접근이 가능하며, 단순 구경 시에는 별도의 회원가입이 없지만 물품 구매 시 회원가입 절차를 진행합니다.
회원가입 시, 본사 서비스 회원과 매핑하기 위하여 회원식별 ID값(본사 서비스 회원번호)이 제휴몰에 제공되는데, 이 회원번호도 개인정보로 취급해야하나요 ?
예를 들어, 네*버 개인정보 처리방침 내 '이용자 동의 후 개인정보 제공이 발생하는 경우'를 보면
[네*버 *** 서비스 )]
- 제공하는 개인정보 항목 : 이름, 생년월일, CI
[네*버 웹* 서비스]
- 제공하는 개인정보 항목 : 네*버 아이디, 이름, 생년월일, 성별, 휴대전화번호, 이메일주소, 중복가입확인정보(DI) 해시값, 암호화된 동일인 식별정보(CI), 내/외국인 여부, 서비스이용기록, 접속 IP주소, 쿠키, 기기정보
등으로 동일인 식별정보 (CI)를 명시하고 있습니다.
다른 정보 없이 매핑용으로 제휴몰에 회원번호만 제공할 때, 개인정보의 제3자 제공에 해당하는 지 확인 부탁드립니다.
(제3자 제공으로 들어가면 처리방침에도 기재해야겠죠...?)
|
2022-08-29 ㅣ 답변 1 ㅣ 조회수 47
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 수탁사의 개인정보 관리
|
|
1. 구매대행사가 업무할때 고객의 개인정보의 경우 암호화 및 마스킹 조치를 취하지만, 고객에게 제품을 납품하는 공급사 담당자의 연락처의 경우도 시스템에 같이 보관할 경우 마스킹을 의무화 하여야 할까요?
2. 추가로 전체 조회시에는 마스킹되어 출력되지만, 업무상 연락처 및 주소를 확인해야 될 상황이라면 상세보기 시 마스킹 없는 데이터로 확인하면 법적으로 문제되는 사항이 없을지 문의드립니다.
|
2022-08-29 ㅣ 답변 1 ㅣ 조회수 58
|
| 개인정보 안전성 확보조치 > 보건·의료 |
|
Q. 보유기간을 연장한 개인정보 분리보관
|
|
의료법 시행규칙 제15조에 의해 진료기록부를 1회 연장하여 보존중인데,
이경우 분리보관을 해야하나요?
의료법 시행규칙 [시행 2021. 12. 31.] [보건복지부령 제851호, 2021. 12. 31., 타법개정]
제15조(진료기록부 등의 보존) ① 의료인이나 의료기관 개설자는 법 제22조제2항에 따른 진료기록부등을 다음 각 호에 정하는 기간 동안 보존하여야 한다. 다만, 계속적인 진료를 위하여 필요한 경우에는 1회에 한정하여 다음 각 호에 정하는 기간의 범위에서 그 기간을 연장하여 보존할 수 있다.
2. 진료기록부 : 10년
|
2022-08-26 ㅣ 답변 1 ㅣ 조회수 63
|
| 기타 유형 > 정보통신 |
|
Q. 개인정보보호위원회 고시 제2020-6호의 관한 질문(별표 감경 사유 관련)
|
|
안녕하세요.
(개인정보보호위원회) 개인정보보호 법규 위반에 대한 과징금 부과기준 관련하여 문의 드립니다.
해당 고시(개인정보보호위원회고시 제2020-6호, 2020. 8. 5., 제정) - https://www.law.go.kr/LSW//admRulLsInfoP.do?admRulSeq=2100000192197#AJAX
내 별표에 아래와 같은 내용이 있습니다.
Ⅱ. 감경 사유 및 비율
1. 위반 정보통신서비스 제공자등이 개인정보 보호를 위해 개인정보보호위원회가 인정하는 인증을 받은 경우 100분의 50 이내
해당 내용을 바탕으로 아래와 같은 질문 드립니다.
1. 개인정보보호위원회가 인정하는 인증이란?
2. 1번 항목에서 말하는 인증이 개보위에서 어떤 고시, 법률 등에서 명시하고 있는지?
이상입니다.
감사합니다.
|
2022-08-26 ㅣ 답변 2 ㅣ 조회수 91
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. B2B에서 서비스 개선을 위한 만족도 조사는 B2B 서비스 실제 이용자 동의 없이 진행이 가능한가요?
|
|
B2B 서비스를 제공하고 있는 회사입니다.
B2B 서비스를 실제로 사용하고 있는 이용자들이 서비스에 만족하는 지, 불편사항은 없는 지 설문조사를 하고 싶은데 B2B 계약 관계 상 (법인 Vs. 법인 관리자) 고객사 법인 대표 관리자의 사전 동의/협의 혹은 법인 내 B2B 서비스를 실제로 이용하고 있는 구성원들의 사전 동의 없이 B2B 서비스 제공 회사가 직접적으로 만족도 조사를 할 수 있는 지 궁금합니다.
가이드에 따르면
1.설문조사 (서비스 평가)는 조사의 성격에 따라 달라질 수 있음
2."특정 재화나 서비스를 이용하는 고객에게 해당 재화나 서비스에 대해 만족도를 조사한다거나 불만 사항을 조사하는 설문조사라면 광고성 정보에 해당되지 않지만 그 이외의 설문조사의 경우에는 광고성 정보로 볼 수 있음."
3. 특히 특정 제품 선호도 조사, 소개 또는 홍보를 목적으로 하는 설문조사는 영리목적을 가진다고 보아 광고성 정보에 해당할 수 있음
4. 설문응답을 유인하기 위해 대가성으로 쿠폰을 지급하는 경우
4.1 전송자가 제공하는 재화나 서비스에 대한 이용쿠폰인 경우 설문조사가 영리목적 광고성 정보에 해당하지만,
4.2 전송자가 제공하는 재화나 서비스와 무관한 쿠폰 (예. 커피쿠폰 등)을 지급하는 경우에는 광고성 정보 예외로 볼 수 있음
이라고 나옵니다.
위 4가지 설명에서 궁금한 게 있습니다.
1. "조사의 성격"여부를 판단하는 기준이 "홍보성"이냐 "단순 서비스 만족도/불만 사항 조사"냐를 의미하는 것일까요?
2. "그 이외의 설문조사"의 예시는 어떤 게 있을까요?
3. 특정 제품 선호도가 아닌 제공하는 서비스 내 기능(예. 홈메뉴의 "찾기" 기능)의 선호도를 조사하는 것도 영리목적의 광고성 설문조사라고 봐아할까요?
정리해서 궁금한 점은
1. 고객사 법인 대표 관리자의 사전 동의/협의 혹은 법인 내 B2B 서비스를 실제로 이용하고 있는 구성원들의 사전 동의 없이 B2B 서비스 제공 회사가 직접적으로 만족도 조사를 할 수 있는 지 여부
2. 홍보성, 만족도 조사 여부를 판단하는 기준
3. 특정 제품 선호도의 범위
입니다.
|
2022-08-25 ㅣ 답변 3 ㅣ 조회수 88
|
| 기타 유형 > 정보통신 |
|
Q. 문자전송시스템도 개인정보처리시스템에 포함될까요?
|
|
문자전송시스템 메일발송시스템과 같은 단순 문자발송용 시스템도 개인정보처리시스템에 포함되어야 하는지 궁금합니다.
(개인정보인 휴대폰 번호나 메일주소가 저장되니, 이것을 개인정보처리시스템으로 봐야할지.......)
|
2022-08-22 ㅣ 답변 1 ㅣ 조회수 85
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. 마케팅 업무 위탁 등 문의드립니다.
|
|
안녕하세요.
아래와 같이 3개 사항에 대하여 문의 드립니다.
1. 개인정보보호법 제26조 제3항, 동법 시행령 제28조 제4항에 의해서 마케팅(홍보/판매 권유) 업무를 위탁하는 경우 정보주체에게 내용을 알려야 할 경우, 문자/전자우편 등의 방법이 아닌 처음 개인정보 수집 당시에 위탁 사항을 고지하고 동의를 받는 방법으로 진행해도 될까요?
2. 법에서 말하는 '홍보/판매권유'가 '이벤트를 통해 당첨자를 선정하여 당첨자에게 연락하는 경우'에 포함 되나요?
3. 1회성 및 단기 위수탁 업무 수행 시 표준개인정보처리위탁계약서는 체결 할 수 있어도, 기간이 짧아 수탁자 대상 교육/관리감독은 불가한 경우가 있습니다. 이 때, 문제 없이 취할 수 있는 가장 좋은 방법은 어떤 것이 있을까요?
|
2022-08-22 ㅣ 답변 2 ㅣ 조회수 55
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 채용 DB를 외주인력을 통해 관리하는 경우 질문드립니다.
|
|
회사의 채용 웹사이트 및 채용 DBMS가 있습니다.
예전에 질문 드린 내용으로, 채용 DBMS의 경우 정보통신서비스 제공자의 지위(기술적 관리적 보호조치 기준)이 아닌 개인정보처리자(안전성 확보조치 기준) 대상으로 알고 있습니다.(https://me2.do/5DbFZSNJ)
이 때, 채용 DBMS 관리를 외주 인력을 통해서 관리하게 될 경우, 안전성 확보조치 기준의 항목들만 준수한다면 별 문제가 없을 지 문의 드립니다.
외부에서 원격으로 접속시 접근통제 사항(VPN 등 사용)을 준수하고, 월간 점검 보고서 작성해서 정보보호팀에서 검토하고 할 예정인데요.
현재 생각으로는 ISMS 인증 기준상으로 "2.3 외부자 보안"에 적용되는 부분과 "개인정보 취급자 교육", "안전성 확보 조치 기준", "개인정보보호서약서" 정도 적용하면 될 것 같은데, 아무래도 채용 DBMS라서 지원자들의 이력서에 대한 개인정보부분들을 외주인력이 외부에서 관리한다는 부분이 조금 신경이 쓰여서 추가적인 내용이 혹시 있을지 문의 드립니다.
감사합니다.
|
2022-08-22 ㅣ 답변 2 ㅣ 조회수 64
|
| 개인정보 관리 > 정보통신 |
|
Q. 내부 직원들 사용하는 대외 사이트의 개인정보 관리 질문드립니다.
|
|
안녕하세요.
현재 회사 개발팀에서 AWS(회사에서 운영중)에 웹서버 및 DB를 생성하여 개발자 포럼 사이트를 만들어서 운영중입니다.
회원 가입 기능(ID, 이름, 성, Email, 비밀번호)은 있으나, 수동으로 관리자가 회사 내부 직원만 가입하도록 운영하고 있습니다.
① 이 경우, 해당 사이트 DBMS에서 보관되는 개인정보를 안전성 확보 조치 기준에 준하여 관리해야 할까요 ?
해당 사이트는 외부에서 접근은 가능하나, 게시글을 읽거나 할 수 없고, 회원 가입만 할 수 있으며, 외부인은 가입 신청시 허용되지 않습니다.
② 회사는 전년도 매출 100억 이상으로 ISMS 인증 의무 대상이며, 이 때 해당 사이트도 ISMS 인증범위에 포함시켜 관리하는 것이 맞을 지도 같이 질문드립니다.
감사합니다.
|
2022-08-22 ㅣ 답변 2 ㅣ 조회수 66
|
| 개인정보 처리위탁 및 영업양도 > 경영·사무 |
|
Q. 채용, ERP 등 업무의 외부시스템 활용시 위탁 해당여부
|
|
안녕하세요
매번 친절한 답변에 감사드립니다.
채용과 ERP 업무에 있어서 위탁에 해당되는지 질문을 드립니다.
1. 외부 솔루션(등**) 회사와 계약을 맺고 채용 솔루션을 이용한 적이 있습니다.
2. ERP 업무의 경우도 외부업체 솔루션(이***)을 정기적 이용료를 내고 사용 중입니다.
ERP에는 인사관리, 급여 지급 등의 목적으로 임직원의 개인정보를 처리하고 있는 상황이구요
1. 2. 모두 저희 회사에서 시스템을 보유하고있지는 않고, 외부 업체에서 보유한 시스템에 ID/PW로 로그인하여 사용하는 방식입니다.
이 경우, 저희와 각 솔루션 공급업체가 위탁관계에 해당되어 저희가 공급업체를 교육/점검할 의무가 있나요?
답변 부탁드립니다.
|
2022-08-22 ㅣ 답변 1 ㅣ 조회수 63
|
지식 Q&A 