| 개인정보 수집·이용 > 정보통신 |
|
Q. 동의 없이 개인정보 수집 관련 문의
|
|
안녕하세요.
금번 아래 개인정보보호법 개정 관련 문의입니다.
개인정보보호법 제15조(개인정보의 수집·이용)<개정 2023.3.14>
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
두가지 질문입니다.
1. 회원가입 시 개인정보 수집·이용 동의 관련
저희가 앱 서비스를 제공하는데, 회원가입 시 별도로 개인정보 수집·이용 동의를 받지 않고, 개인정보처리방침에만 이를 명시하면 충분한지 궁금합니다.
2. 본인인증 관련 동의 절차
현재 회원가입 단계에서는 본인인증을 위해 개인정보 수집·이용 동의를 받고 있습니다. 이 경우, 회원가입 이후 개별 서비스에서 본인인증을 수행할 때는 추가적인 동의를 받지 않아도 되는지 알고 싶습니다. 만약 된다면 개인정보처리방침과 회원가입 개인정보 수집이용 동의서 내에 기재하면 될까요? 기재하는 방법도 궁금합니다.
예) 동의서 맨 아래 "※ 본인인증이 필요한 개별 서비스에도 적용됩니다." 라고 작성해두면 될까요?
|
2024-10-22 ㅣ 답변 0 ㅣ 조회수 2
|
| 개인정보 수집·이용 > 금융·보험 |
|
Q. 유선(전화) 상담예약시 개인정보의 범위, 수집방법 등 질의
|
|
우리 기관은 광역지자체 내 소재한 소기업 소상공인에게 신용보증을 지원하는 공공기관입니다.
신용보증지원 절차 흐름은
상담 -> 개인신용정보 조회 등 종합검토 후 신용보증 진행여부 결정 -> 사업장 현장 방문 조사 -> 최종 신용보증결정
하는 방향으로 진행하고 있습니다.
위 절차에서 상담시 기관 방문을 통한 대면상담을 원칙으로 하고 있으나 고객의 대기 편의를 위해 예약제를 실시하려고 하고 있습니다.
이에 개인정보 수집과 처리관련하여 아래와 의문사항이 생겨 질의 드리고자 합니다.
1. 상담예약 단계에서 고객으로부터 유선으로 확인받는 기업체(개인·법인) 대표의 성함/연락처/사업장 소재지 등이 개인정보에 해당하고, 이를 상담예약일까지 관리하는것이 개인정보 수집이용에 해당하는지?
(* 개인이 아닌 기업에 관한 정보이므로 개인정보에 해당하지 않아 별도 동의가 필요없는 것은 아니한지?)
2-1) 4에서 개인정보 수집이용에 해당하는 경우, 이 절차는 공공기관인 재단이 법령 등에서 정하는 소관업무(신용보증 지원) 수행을 위하여 불가피하게 최소한의 범위 내에서 수집하는 경우 (개인정보보호법 제15조 제1항 제3호)에 해당하여 상담예약 단계에서 개인정보 수집이용 동의가 생략되어도 되는지?
2-2) 4에서 개인정보 수집이용에 해당하는 경우, 이 절차는 신용보증 지원(보증계약 체결)을 위해 필요한 경우(개인정보보호법 제15조 제1항 제4호)에 해당하여 상담예약 단계에서개인정보 수집이용 동의가 생략되어도 되는지?
3. (상담예약을 위하 확인하는 항목이 개인정보에 해당하고 동의가 필요한 경우), 재단이 고객센터를 통하여 상담 희망 고객에게 상담예약 과정에서 개인정보 수집이용 동의를 받기 위하여 개인정보보호법 등에 따라 재단이 취해야 할 절차 등은 무엇인지?
• 첫 상담예약시 본인확인 필요 유무 및 필요시 적정 절차
• 상담예약 확인 변경 요청시 본인확인 적정 절차
• 동의 통화내용 녹취·녹취사실 고지·녹취파일 관리 방안
|
2024-10-22 ㅣ 답변 0 ㅣ 조회수 4
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 전화영업과 광고성정보 수신동의
|
|
안녕하세요, 전화권유 판매와 광고성정보 수신 동의 관련하여 질의 드립니다.
저희 회사는 현재 광고성정보 수신 매체 중 "전화" 항목에 동의한 고객을 대상으로 전화 영업(OB 콜)을 하고 있습니다.
이 부분에 있어 아래 법률에 따라 광고성정보 수신에 동의를 하지 않은 회원을 대상으로도 전화 영업이 가능할 것으로 보이는데요,
꼭 광고성정보 수신 동의를 받아야 할지, 동의를 받고 하는게 안전할지 고민되어 다른 분들의 의견이 궁금하여 질의 남깁니다.
* 정보통신망법 제50조제1항제2호
누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다.
2. “방문판매 등에 관한 법률”에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우
|
2024-10-21 ㅣ 답변 1 ㅣ 조회수 14
|
| 개인정보 수집·이용 > 교육·사회복지 |
|
Q. 가족관계확인용 서류 제출 시 다른 가족들의 이름
|
|
사망자와 관련된 서비스를 하고 있는데요.
서비스를 신청받을 때, 사망자와 신청자 간의 가족관계를 확인할 수 있는 서류를 제출받고 있습니다.
가족관계증명서나 제적등본 등을 보면, 사망자와 신청자 외에도 다른 가족들의 정보가 함께 나와 있는 경우가 많은데요.
고유식별정보는 저희가 수집하고 있지 않아서 사망자, 신청자를 포함하여 모두 마스킹처리 하고 있습니다.
신청자 말고 다른 가족들에게는 개인정보 수집·이용 동의 등은 받고 있지 않다면,
해당 서류를 보관할 때, 다른 가족들의 정보는 이름, 생년월일을 포함하여 모두 마스킹처리 해야 하는 게 맞나요?
아니면, 고유식별정보 외에는 보관해도 되나요?
|
2024-10-21 ㅣ 답변 1 ㅣ 조회수 14
|
| 개인정보 수집·이용 > 교육·사회복지 |
|
Q. 학생 학습정보 열람 관련
|
|
안녕하세요, 언제나 도움 받고 있습니다!
아래 질의 내용에도 포함되어 있지만, 아래 상황에서의 타교사가 타학생의 학습이력(학습진행률)에 대한
열람이 되는 관점과 안되는 관점 2가지 사항에 대해 답변 및 법령을 알고 싶어 문의 글을 남기게 되었습니다.
학원(사업장) 내 각각 2명의 교사와 2명의 학생이 있습니다.
편의상 아래와 같이 지칭하겠습니다.
교사: T1, T2
학생: S1, S2
T1교사= S1학생, S2학생 (최초 교육 진행)
T1교사가 위와 같이 최초 2명(S1, S2)의 학생에 대해 교육을 진행하던 중
S2학생이 개인적인 사유로 T2교사로 변경합니다.
허면 아래와 같이 교사와 학생 간의 맨투맨 방식으로 교육이 진행되게 되는데요.
T1교사= S1학생 (교육 진행)
T2교사= S2학생 (교육 진행)
위와 같이 변경된 상황에서
T1교사가 최초 본인의 학생이었던, S2학생의 교육이력(학습진행률)을 확인하고 싶어 합니다.
위 상황 관련으로 회사는 T1교사에게 S2학생의 학습정보 열람이 가능한지와 열람을 못하게 하고 싶다는 2가지 관점에서 문의드려요.
만약 문제 교사일 경우 회사는 문제교사에대해 자신이 직접 가르치는 학생 외의 타 학생에 대한 학습정보 열람이 불가한 방향에 대해
구체적인 법령이 필요합니다.
개인정보보호법 제15조가 아래의 가지 사항 모두 해당이 되는 것 같기도 하고, 아래 2.질문의 경우 개인정보보호법 제19조가 적용이 되는지 알고 싶습니다.
1. T1교사가 S2학생에 대해 열람이 가능한 관점 및 법령
- 교사T1이 S2학생의 교육이력(학습진행률)을 열람하는데 있어서 보호자에게 별도 동의를 받으면 가능할까요?
2. 교사가 S2학생에 대해 열람을 못하게 하는 관점 및 법령
- 만약 T1의 교사가 잦은 민원 등의 이슈로 본사측에서는 교사T1에 타 학생의 학습정보 열람을 못하고자 제재가 필요하다고 판단되는 경우
개인정보보호법 제18조(개인정보의 이용ㆍ제공 제한),
제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한)가 적용이 가능할까요?
|
2024-10-21 ㅣ 답변 1 ㅣ 조회수 20
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 광고성 정보 고객에게 전송
|
|
정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제50조에 따라 누구든지 전자적 전송매체를 이용해 영리목적
의 광고성 정보를 전송하는 경우 명시적인 사전동의를 받아야한다
"명시적인 사전 동의"란 이용자가 추후 광고를 수신할 수 있다는 사실과 광고성 정보의 내용을 명확하게 인지할 수
있도록 이용자에게 분명하게 알린 후에 동의를 받아야 한다
라고 들었는데 혹시 광고성 정보를 고객의 개인정보(이름,번호,주소 등)가 입력되지 않고
게스트 아이디에 광고성 정보가 담긴 마케팅 자료를 보내는 경우에는
해당 사전동의가 필요할까요?
|
2024-10-18 ㅣ 답변 1 ㅣ 조회수 18
|
| 개인정보 관리 > 정보통신 |
|
Q. 외국산 솔루션 사용 시 개인정보보호법 이행방안 문의
|
|
안녕하세요?
저는 회사에서 개인정보보호 관련 업무를 담당하는 사람입니다.
국민·기업의 개인정보보호를 위하여 노고가 많으십니다.
회사에서 최근 외국산 HR 솔루션으로 인사시스템을 구축하였는데
관련하여 해당 솔루션만으로 국한된 것만이 아닌 '외국산 솔루션 사용 시 개인정보보호법에 근거한 관리방안'에 대해 문의드립니다.
해당 솔루션이 구축이 어려운 편이라는 것은 다른 회사를 통해 듣기도 했고
실제로 사용해보니 일반 국내 인사시스템과는 구조도 다르고 언어지원이 완벽한 편이 아니라 일반 유저가 사용하기에도 좀 어려운 편입니다.
(해당 솔루션을 평가하는게 아닌, 개인에게 와닿았던 통상적인 현황 차원으로 전달드립니다.)
관련 회사에 보안성 검토를 문의했지만 해당 솔루션이 국내법에 맞게 커스텀 되어 있지 않고, 검토를 한다고 해도 개선할 수 없어 결국 불가능하다는 답변을 받았었고 회사 내부에서 직접 구축사와 컨설팅사를 인터뷰하여 보완점을 도출했지만 주로 아래사항과 같은 법적 의무를 수행하기가 어렵습니다.
1. 개인정보 수탁사 대응 어려움
- 한국에는 단순 고객지원을 수행해주는 담당자만 있었고 외국 본사에 연락하여 전달받아서 주는 정도만 가능했습니다.
더이상의 서비스를 원할경우 별도 과금이 필요했으며 외국 본사는 보통 국제 표준 2개 인증/국제적 보고서 정도가 있음을 홍보를 합니다.
추가로 한국 담당자에게 요청해서 받은 점검결과에 대해서는 직접 한국어로 번역하여 점검을 했습니다. 그러나 국내법에만 있는 내용은 확인할 수 없었고
그결과 도출된 취약점에 대해 직접적인 조치가 불가능했습니다.
2. 국내법에 근거한 기능 구현 불가
- 개인정보 접속기록, 권한부여이력 등 로그 1년 이상 보관 불가, 별도 화면 설계 불가
- 개인정보 목록 다운로드 시 사유 입력 불가, 사유 검토를 위한 점검화면 설계 불가� - 우클릭 복사 붙여넣기 방지 불가
특히 로그 기록 보존의 경우는 다른 시스템과의 연계하여 보존되도록 검토하고 있지만
법에서 지정하는 항목의 로그가 모아져 있는 특정 화면/기능이 없기 때문에 다른 기능화면들을 중첩하면서 추적해야 확인할 수 있어서 그 연계와 점검까지의 과정이 매우 어려운 현실입니다.
결국 점검이 어렵고 고객 시스템이 아닌 내부 시스템이다보니 다른 담당자나 회사들도 일부 관리업무에 소홀할 수 있겠다는 생각도 듭니다.
어느정도 다른 솔루션 연계나, 수동적인 프로세스 적용으로 갈음한다고 해도 자동으로 기술적 조치가 안되면
결국 법에 근거한 조치 수행이 적용되지 않는건데 이 경우 정보보호 담당자로서도 뾰족한 방안이 없고 불편한 마음이 듭니다.
최근 클라우드 사용도 늘어나고, 시스템 구축/개발에 있어 솔루션 사용이 늘어나고 있음에 따라 어쩔 수 없이 기업은 해당 시장 상황에 따라 구축하게 됩니다.
이와 같이 국내법 기준으로 만들어진게 아니어서 관련 구축/점검조차 어려운 경우에는 보통 어떤 관리방안이 있는지, 관련 가이드, 레퍼런스가 기 존재하는지 말씀 부탁드리며
혹시 이와 같은 외국산 솔루션 대상으로 개인정보보호위원회 등에서 검토해주시는 건 없는지 궁금합니다.
이상입니다.
감사합니다.
|
2024-10-18 ㅣ 답변 0 ㅣ 조회수 23
|
| 개인정보 안전성 확보조치 > 기타 분야 |
|
Q. 외부에서 개인정보 처리시스템 접근시 IP를 제한 해야 할까요?
|
|
안전성확보조치 제6조(접근통제)①항1호를 살펴보면 개인정보처리시스템에 대한 접속권한을 IP주소등을 으로 제한하도록 되어 있는데, 만약 외부에서 접속을 허용한다면 이때도 IP제한을 해야 할까요? 아무래도 외부에서 접근시 IP가 유동적이라 어떻게 하고 있는지 조언 부탁 드립니다.
* 외부에서 접속시 SSLVPN은 사용하지 않고 있고 접속시 OTP를 적용하고 있음. 대외홈페이지와 별도로 개인정보 처리시스템이 분리 된것이 아닌 대외 홈페이지에서 개인정보 취급자 계정으로 로그인하여 사용중
|
2024-10-18 ㅣ 답변 1 ㅣ 조회수 19
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 개인정보 제공 및 이용 동의서 필수동의 항목의 알림 전환을 위한 참고할만한 양식이 있을까요?
|
|
개인정보 동의서가 법 개정으로 인해, 필수동의 항목을 재검토하여 '알림'으로 수정하고, 선택항목만 동의를 받으라고 알고 있습니다.
이에 동의서를 재정비하는 중인데, 참고할만한 양식이 없어 곤란한 상황입니다.
아직 개인정보보호위원회의 매뉴얼이 나오지 않은 상황이라...
일선에서는 어떤식으로 양식을 마련하시고 계신지 궁금합니다.
기존 동의서에서 '필수'항목을 '알림'항목으로 어떤 양식으로 전환하고 계신가요?
|
2024-10-17 ㅣ 답변 0 ㅣ 조회수 12
|
| 개인정보 제3자 제공 > 정보통신 |
|
Q. 특정 서비스 사용을 위해 개인정보 3자제공을 필수 항목으로 사용 가능한지?
|
|
안녕하세요.
특정 서비스를 사용하기 위해서 개인정보 수집을 필수항목으로 정한뒤 선택한 사람에 한해
개인정보를 3자에게 제공하는것에 대한 불법요소가 있을까요?
개인정보 제공목적은 홍보 및 마케팅활용이라고 표기해두었습니다.
|
2024-10-17 ㅣ 답변 1 ㅣ 조회수 26
|
지식 Q&A