ISMS-P 인증 기준 3.3.4.개인정보의 국외이전: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]]
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!3.3.4.개인정보의 국외이전
!3.3.4.개인정보의 국외이전
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.
|개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?
*개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?
* 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?
*정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?
* 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
*개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
* 개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
*개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 개인정보 국외 이전 시 정보주체 동의 ====
개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받아야 한다.


* 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받아야 한다.
*개인정보 국외 이전 동의 시 고지사항
** 개인정보 국외 이전 동의 시 고지사항<table><thead><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr></thead><tbody><tr><td>* 1. 개인정보를 제공받는 자<br>* 2. 개인정보를 제공받는 자의 개인정보 이용목적<br>* 3. 제공하는 개인정보의 항목<br>* 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간<br>* 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용</td><td>* 1. 이전되는 개인정보 항목<br>* 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법<br>* 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)<br>* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간</td></tr></tbody></table>
 
* 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다.
{| class="wikitable"
** 이용자에게 알리는 방법
|+
* 1. 개인정보 처리방침에 공개
!개인정보처리자
* 2. 전자우편, 서면 등
!정보통신서비스 제공자
** 이용자에게 알려야 할 사항
|-
|
* 1. 개인정보를 제공받는 자
* 2. 개인정보를 제공받는 자의 개인정보 이용목적
* 3. 제공하는 개인정보의 항목
* 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
* 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
|
* 1. 이전되는 개인정보 항목
* 1. 이전되는 개인정보 항목
* 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
* 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법
* 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
* 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
* 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다.
|}
** 개인정보 국외 이전에 관한 계약 시 고려사항<table><thead><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr></thead><tbody><tr><td>* 1. 개인정보를 제공받는 자<br>* 2. 개인정보를 제공받는 자의 개인정보 이용목적<br>* 3. 제공하는 개인정보의 항목<br>* 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간<br>* 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용</td><td>* 1. 이전되는 개인정보 항목<br>* 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법<br>* 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)<br>* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간</td></tr></tbody></table>
 
* 정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다.
==== 국외 개인정보 처리위탁 시 정보주체 고지 ====
** 개인정보 국외 이전 적용하여야 하는 보호조치
'''정보통신서비스 제공자 등'''이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다.
* 1. 개인정보 보호를 위한 안전성 확보 조치
 
*이용자에게 알리는 방법
**1. 개인정보 처리방침에 공개
**2. 전자우편, 서면 등
*이용자에게 알려야 할 사항
**1. 이전되는 개인정보 항목
**2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
**3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
**4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
 
==== 국외 이전 시 계약 체결 ====
개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다.
 
*개인정보 국외 이전에 관한 계약 고려사항
 
{| class="wikitable"
!개인정보처리자
!정보통신서비스 제공자
|-
|개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 안 됨.
|정보통신서비스 제공자 등은 다음 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계 약내용 등에 반영하여야 함.
 
* 1. 시행령 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
* 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
* 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
== 증거 자료 ==
|}
* 개인정보 국외 이전 관련 동의 양식
 
* 개인정보 국외 이전 관련 계약서
==== 개인정보 국외 이전 시 보호조치 ====
* 개인정보 처리방침
정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다.
== 결함 사례 ==
 
* 개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인 정보 국외 이전에 대한 동의를 받지 않은 경우
*개인정보 국외 이전 시 적용하여야 하는 보호조치
* 정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
**1. 개인정보 보호를 위한 안전성 확보 조치
* 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭 (업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우
**2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
== 같이 보기 ==
**3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
* [[정보보호 및 개인정보보호관리체계 인증]]
 
* [[ISMS-P 인증 기준]]
==증거 자료==
* [[ISMS-P 인증 기준 세부 점검 항목]]
 
== 참고 문헌 ==
*개인정보 국외 이전 관련 동의 양식
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*개인정보 국외 이전 관련 계약서
*개인정보 처리방침
 
==결함 사례==
 
*개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인 정보 국외 이전에 대한 동의를 받지 않은 경우
*정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
*정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭 (업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 22:56, 6 July 2022


개요

항목 3.3.4.개인정보의 국외이전
인증기준 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.
주요 확인사항
  • 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?
  • 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?
  • 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
  • 개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?

세부 설명

개인정보 국외 이전 시 정보주체 동의

개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받아야 한다.

  • 개인정보 국외 이전 동의 시 고지사항
개인정보처리자 정보통신서비스 제공자
  • 1. 개인정보를 제공받는 자
  • 2. 개인정보를 제공받는 자의 개인정보 이용목적
  • 3. 제공하는 개인정보의 항목
  • 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  • 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
  • 1. 이전되는 개인정보 항목
  • 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법
  • 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
  • 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

국외 개인정보 처리위탁 시 정보주체 고지

정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다.

  • 이용자에게 알리는 방법
    • 1. 개인정보 처리방침에 공개
    • 2. 전자우편, 서면 등
  • 이용자에게 알려야 할 사항
    • 1. 이전되는 개인정보 항목
    • 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
    • 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
    • 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

국외 이전 시 계약 체결

개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다.

  • 개인정보 국외 이전에 관한 계약 시 고려사항
개인정보처리자 정보통신서비스 제공자
개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 안 됨. 정보통신서비스 제공자 등은 다음 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계 약내용 등에 반영하여야 함.
  • 1. 시행령 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
  • 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
  • 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

개인정보 국외 이전 시 보호조치

정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다.

  • 개인정보 국외 이전 시 적용하여야 하는 보호조치
    • 1. 개인정보 보호를 위한 안전성 확보 조치
    • 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
    • 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

증거 자료

  • 개인정보 국외 이전 관련 동의 양식
  • 개인정보 국외 이전 관련 계약서
  • 개인정보 처리방침

결함 사례

  • 개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인 정보 국외 이전에 대한 동의를 받지 않은 경우
  • 정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
  • 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭 (업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
Retrieved from "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_3.3.4.개인정보의_국외이전&oldid=33603"