ISMS-P 인증 기준 3.3.4.개인정보의 국외이전: Difference between revisions
From IT Wiki
(Imported from text file) |
(→개요) |
||
| (5 intermediate revisions by 3 users not shown) | |||
| Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | |||
* '''분류''': [[ISMS-P | *'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!3.3.4.개인정보의 국외이전 | !3.3.4.개인정보의 국외이전 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다. | |개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 개인정보를 | *개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가? | ||
* | *정보주체와의 계약의 체결 및 이행을 위한 개인정보의 국외 처리위탁·보관에 대해 정보주체에게 알리는 경우 필요한 사항을 모두 포함하여 적절한 방법으로 알리고 있는가? | ||
* 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가? | *개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가? | ||
* 개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가? | *개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가? | ||
|- | |||
|관련 법규 | |||
| | |||
* 개인정보 보호법 제28조의8(개인정보의 국외 이전), 제28조의9(개인정보의 국외 이전 중지 명령), 제28조의10(상호주의), 제28조의11(준용규정) | |||
* 개인정보 국외 이전 운영 등에 관한 규정 | |||
|} | |||
==세부 설명== | |||
==== 개인정보 국외 이전 시 정보주체 동의 ==== | |||
개인정보를 국외의 제3자에게 제공(조회되는 경우 포함)·처리위탁·보관(이하 ʻ이전ʼ이라 함)하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하여야 한다 | |||
*개인정보의 국외 이전이 가능한 경우(개인정보 보호법 제28조의8제1항) | |||
{| class="wikitable" | |||
|+ | |||
!No | |||
!구분 | |||
!설명 | |||
|- | |||
|1 | |||
|별도 동의 | |||
|정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 | |||
|- | |||
|2 | |||
|법률, 조약 등 근거 | |||
|법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 | |||
|- | |||
|3 | |||
|개인정보 처리방침 공개 | |||
(처리위탁 보관) | |||
|정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁· 보관이 필요한 경우로서, 관련 사항을 개인정보 처리방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우 | |||
|- | |||
|4 | |||
|인증 | |||
|개인정보 보호 인증(ISMS-P 인증) 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우 | |||
가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 | |||
나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치 | |||
|- | |||
|5 | |||
|대상국등 인정 | |||
|이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우 | |||
|} | |} | ||
*개인정보 국외 이전 동의 시 고지사항을 알리고 동의를 받아야 함 | |||
{| class="wikitable" | |||
|+ | |||
!개인정보의 국외 이전 동의 시 고지사항(개인정보 보호법 제28조의8제2항) | |||
|- | |||
| | |||
* 1. 이전되는 개인정보 항목 | * 1. 이전되는 개인정보 항목 | ||
* 2. 개인정보가 이전되는 국가, | * 2. 개인정보가 이전되는 국가, 시기 및 방법 | ||
* 3. 개인정보를 이전받는 자의 | * 3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처) | ||
* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간 | * 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간' | ||
* | * 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과 | ||
** | |} | ||
* | |||
==== 국외 개인정보 처리위탁 시 정보주체 고지 ==== | |||
* 1. 개인정보 보호를 위한 안전성 확보 조치 | '''정보통신서비스 제공자 등'''이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다. | ||
*이용자에게 알리는 방법 | |||
**1. 개인정보 처리방침에 공개 | |||
**2. 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법) | |||
*정보주체에게 알려야 할 사항 | |||
**1. 이전되는 개인정보 항목 | |||
**2. 개인정보가 이전되는 국가, 이전일시 및 이전방법 | |||
**3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처) | |||
**4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간 | |||
**5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효고 | |||
==== 국외 이전 시 계약 체결 ==== | |||
개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다. | |||
*개인정보 국외 이전에 관한 계약 시 고려사항 | |||
{| class="wikitable" | |||
!계약내용 | |||
|- | |||
| | |||
* 1. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치 | |||
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치 | * 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치 | ||
* 3. 그 밖에 | * 3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치 | ||
== 증거 자료 == | |} | ||
* 개인정보 국외 이전 관련 동의 양식 | |||
* 개인정보 국외 이전 관련 계약서 | ==== 개인정보 국외 이전 시 보호조치 ==== | ||
* 개인정보 처리방침 | 정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다. | ||
== 결함 사례 == | |||
* | *개인정보 국외 이전 시 적용하여야 하는 보호조치 | ||
* | **1. 개인정보의 국외 이전 관련 개인정보 보호법 규정 준수 | ||
* | **2. 개인정보 보호법 제17조부터 제19조까지의 규정 준수 | ||
== 같이 보기 == | **3. 개인정보 보호법 제5장(정보주체의 권리 보장) 규정 준수 | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | **4. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치 | ||
* [[ISMS-P 인증 기준]] | **5. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치 | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | **6. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치 | ||
== 참고 문헌 == | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ==증거 자료== | ||
*개인정보 국외 이전 관련 동의 양식 | |||
*개인정보 국외 이전 관련 계약서 | |||
*개인정보 처리방침 | |||
==결함 사례== | |||
*개개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 인증, 대상국 인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의를 받지 않은 경우 | |||
*국외 클라우드 서비스(국외 리전)를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않은 경우 | |||
*개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
*[[ISMS-P 인증 기준 3.4.1.개인정보의 파기]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
Latest revision as of 17:01, 7 February 2024
- 영역: 3.개인정보 처리단계별 요구사항
- 분류: 3.3.개인정보 제공 시 보호조치
개요[edit | edit source]
| 항목 | 3.3.4.개인정보의 국외이전 |
|---|---|
| 인증기준 | 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다. |
| 주요 확인사항 |
|
| 관련 법규 |
|
세부 설명[edit | edit source]
개인정보 국외 이전 시 정보주체 동의[edit | edit source]
개인정보를 국외의 제3자에게 제공(조회되는 경우 포함)·처리위탁·보관(이하 ʻ이전ʼ이라 함)하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하여야 한다
- 개인정보의 국외 이전이 가능한 경우(개인정보 보호법 제28조의8제1항)
| No | 구분 | 설명 |
|---|---|---|
| 1 | 별도 동의 | 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우 |
| 2 | 법률, 조약 등 근거 | 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 |
| 3 | 개인정보 처리방침 공개
(처리위탁 보관) |
정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁· 보관이 필요한 경우로서, 관련 사항을 개인정보 처리방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우 |
| 4 | 인증 | 개인정보 보호 인증(ISMS-P 인증) 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우
가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치 |
| 5 | 대상국등 인정 | 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우 |
- 개인정보 국외 이전 동의 시 고지사항을 알리고 동의를 받아야 함
| 개인정보의 국외 이전 동의 시 고지사항(개인정보 보호법 제28조의8제2항) |
|---|
|
국외 개인정보 처리위탁 시 정보주체 고지[edit | edit source]
정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다.
- 이용자에게 알리는 방법
- 1. 개인정보 처리방침에 공개
- 2. 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)
- 정보주체에게 알려야 할 사항
- 1. 이전되는 개인정보 항목
- 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
- 3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처)
- 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
- 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효고
국외 이전 시 계약 체결[edit | edit source]
개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다.
- 개인정보 국외 이전에 관한 계약 시 고려사항
| 계약내용 |
|---|
|
개인정보 국외 이전 시 보호조치[edit | edit source]
정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다.
- 개인정보 국외 이전 시 적용하여야 하는 보호조치
- 1. 개인정보의 국외 이전 관련 개인정보 보호법 규정 준수
- 2. 개인정보 보호법 제17조부터 제19조까지의 규정 준수
- 3. 개인정보 보호법 제5장(정보주체의 권리 보장) 규정 준수
- 4. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
- 5. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
- 6. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치
증거 자료[edit | edit source]
- 개인정보 국외 이전 관련 동의 양식
- 개인정보 국외 이전 관련 계약서
- 개인정보 처리방침
결함 사례[edit | edit source]
- 개개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 인증, 대상국 인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의를 받지 않은 경우
- 국외 클라우드 서비스(국외 리전)를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않은 경우
- 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
