ISMS-P 인증 기준 3.5.1.개인정보처리방침 공개: Difference between revisions

From IT Wiki
(Imported from text file)
 
(One intermediate revision by one other user not shown)
Line 18: Line 18:
== 세부 설명 ==
== 세부 설명 ==


* 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하여야 한다.
==== 개인정보 처리방침 공개 및 지속 현행화 ====
** ʻ개인정보 처리방침ʼ이라는 표준화된 명칭을 사용하여야 함.
개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하여야 한다.
** 인터넷 홈페이지 첫 화면에 공개하는 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시
* ʻ개인정보 처리방침ʼ이라는 표준화된 명칭을 사용하여야 함.
** 인터넷 홈페이지를 운영하지 않는 경우에는 법령에서 정한 다른 방법을 통하여 개인정보 처리방침 공개 가능
* 인터넷 홈페이지 첫 화면에 공개하는 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'> 개인정보 처리방침을 공개하는 방법
* 인터넷 홈페이지를 운영하지 않는 경우에는 법령에서 정한 다른 방법을 통하여 개인정보 처리방침 공개 가능
<blockquote>'''개인정보 처리방침을 공개하는 방법'''
* 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면을 통하여 지속적으로 게재[이 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시]
* 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면을 통하여 지속적으로 게재[이 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시]
* 점포, 사무소 등 사업장 내의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
* 점포, 사무소 등 사업장 내의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
* 관보(공공기관인 경우만 해당)나 시·도 이상의 지역을 주된 보급지역으로 하는 일반 일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
* 관보(공공기관인 경우만 해당)나 시·도 이상의 지역을 주된 보급지역으로 하는 일반 일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
* 같은 제목으로 연 2회 이상 발행하는 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
* 같은 제목으로 연 2회 이상 발행하는 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
* 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보 주체에게 발급하는 방법</div>
* 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보 주체에게 발급하는 방법
** 다만 개인정보 보호법에 따른 예외사항에 해당되는 경우 개인정보 처리방침을 공개하지 않을 수 있음.
</blockquote>
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'> 개인정보 처리방침 등록이 면제되는 개인정보파일(공공기관)
*다만 개인정보 보호법에 따른 예외사항에 해당되는 경우 개인정보 처리방침을 공개하지 않을 수 있음.
<blockquote>'''개인정보 처리방침 등록이 면제되는 개인정보파일(공공기관)'''
* 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
* 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
* 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
* 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
* 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
* 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
* 4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
* 4. 일회성으로 운영되는 파일 등 지속적으로 관리할 필요가 낮다고 인정되어 대통령령으로 정하는 개인정보파일
* 5. 다른 법령에 따라 비밀로 분류된 개인정보파일</div>
** 회의 참석 수당 지급, 자료·물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보 파일로서 지속적 관리 필요성이 낮은 개인정보파일
* 개인정보 처리방침은 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성되어야 한다.
** 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
** 개인정보 처리방침에 포함하여야 할 필수 사항(개인정보 보호법 제30조, 제31조 참고)
** 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일
* 1. 개인정보의 처리 목적
* 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
* 2. 개인정보의 처리 및 보유 기간
</blockquote>
* 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.)
 
* 4. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다.)
==== 법령 요구항목을 포함하여 작성 ====
* 5. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.)
[[개인정보 처리방침]]은 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성되어야 한다.
* 6. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
* 개인정보 처리방침에 포함하여야 할 필수 사항(개인정보 보호법 제30조, 제31조 참고)
* 7. 제31조에 따른 개인정보 보호책임자의 이름 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
** 1. 개인정보의 처리 목적
* 8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당되는 경우에만 정한다.)
** 2. 개인정보의 처리 및 보유 기간
* 9. 처리하는 개인정보의 항목
** 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.)
* 10. 시행령 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항
** 4. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다.)
** 개인정보 처리방침에 포함하여야 할 기타 기재사항(표준 개인정보 보호지침 제19조)
** 5. 법 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다.)
*** 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
** 6. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.)
** 개인정보 처리방침의 변경에 관한 사항
** 7. 법 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다.)
*** 개인정보의 열람청구를 접수·처리하는 부서
** 8. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
** 정보주체의 권익침해에 대한 구제방법
** 9. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당되는 경우에만 정한다.)
** 정보주체(이용자) 동의 없이 개인정보를 수집하거나 제공한 경우 그 근거가 된 법령 및 조항 등 예외 사유를 개인정보 처리방침에 공개
** 9. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
* 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고, 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하여야 한다.
** 10. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 (해당되는 경우에만 정한다.)
** 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개
** 11. 처리하는 개인정보의 항목
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
** 12. 시행령 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항
* ※ 개인정보 처리방침의 변경이유 및 내용을 공지하는 방법(예시)
* 개인정보 처리방침에 포함하여야 할 기타 기재사항(표준 개인정보 보호지침 제19조)
** 1. 법 제28조의8제1항제3호에 따라 개인정보를 처리위탁·보관하기 위하여 국외이전이 필요한 경우 법 제28조의8제2항 각 호의 사항(해당하는 경우에만 정한다)
** 2. 개인정보 처리방침의 변경에 관한 사항
** 3. 법 제31조의2제1항에 따라 국내대리인을 지정하는 경우 국내대리인의 성명, 주소, 전화번호 및전자우편 주소(해당하는 경우에만 정한다)
** 4. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
** 5. 개인정보의 열람청구를 접수·처리하는 부서
** 6. 정보주체의 권익침해에 대한 구제방법
*
 
==== 개인정보 처리방침 변경 시 공지 ====
개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고, 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하여야 한다.
* 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개
<blockquote>'''※ 개인정보 처리방침의 변경이유 및 내용을 공지하는 방법(예시)'''
 
* 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
* 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
* 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법
* 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법
* 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법</div>
* 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법
</blockquote>
 
 
== 증거 자료 ==
== 증거 자료 ==
* 개인정보 처리방침
* 개인정보 처리방침
Line 68: Line 86:
* 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보 보호정책ʼ으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우
* 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보 보호정책ʼ으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우
* 개인정보 처리방침이 몇 차례 개정되었으나, 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우
* 개인정보 처리방침이 몇 차례 개정되었으나, 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우
* 전자상거래법, 상법 등 다른 법령에 따라 개인정보를 파기하지 아니하고 일정기간 보관하고 있으나, 이에 따른 보존근거와 보존하는 개인정보 항목을 개인정보 처리방침에 공개하지 않은 경우
== 같이 보기 ==
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
* [[ISMS-P 인증 기준 3.5.2.정보주체 권리보장]]
== 참고 문헌 ==
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 17:14, 7 February 2024

개요[edit | edit source]

항목 3.5.1.개인정보처리방침 공개
인증기준 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.
주요 확인사항
  • 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?
  • 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가?
  • 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?

세부 설명[edit | edit source]

개인정보 처리방침 공개 및 지속 현행화[edit | edit source]

개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하여야 한다.

  • ʻ개인정보 처리방침ʼ이라는 표준화된 명칭을 사용하여야 함.
  • 인터넷 홈페이지 첫 화면에 공개하는 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시
  • 인터넷 홈페이지를 운영하지 않는 경우에는 법령에서 정한 다른 방법을 통하여 개인정보 처리방침 공개 가능

※ 개인정보 처리방침을 공개하는 방법

  • 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면을 통하여 지속적으로 게재[이 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시]
  • 점포, 사무소 등 사업장 내의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
  • 관보(공공기관인 경우만 해당)나 시·도 이상의 지역을 주된 보급지역으로 하는 일반 일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
  • 같은 제목으로 연 2회 이상 발행하는 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
  • 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보 주체에게 발급하는 방법
  • 다만 개인정보 보호법에 따른 예외사항에 해당되는 경우 개인정보 처리방침을 공개하지 않을 수 있음.

※ 개인정보 처리방침 등록이 면제되는 개인정보파일(공공기관)

  • 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
  • 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
  • 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
  • 4. 일회성으로 운영되는 파일 등 지속적으로 관리할 필요가 낮다고 인정되어 대통령령으로 정하는 개인정보파일
    • 회의 참석 수당 지급, 자료·물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보 파일로서 지속적 관리 필요성이 낮은 개인정보파일
    • 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
    • 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일
  • 5. 다른 법령에 따라 비밀로 분류된 개인정보파일

법령 요구항목을 포함하여 작성[edit | edit source]

개인정보 처리방침은 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성되어야 한다.

  • 개인정보 처리방침에 포함하여야 할 필수 사항(개인정보 보호법 제30조, 제31조 참고)
    • 1. 개인정보의 처리 목적
    • 2. 개인정보의 처리 및 보유 기간
    • 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.)
    • 4. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다.)
    • 5. 법 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다.)
    • 6. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.)
    • 7. 법 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다.)
    • 8. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
    • 9. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당되는 경우에만 정한다.)
    • 9. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
    • 10. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 (해당되는 경우에만 정한다.)
    • 11. 처리하는 개인정보의 항목
    • 12. 시행령 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항
  • 개인정보 처리방침에 포함하여야 할 기타 기재사항(표준 개인정보 보호지침 제19조)
    • 1. 법 제28조의8제1항제3호에 따라 개인정보를 처리위탁·보관하기 위하여 국외이전이 필요한 경우 법 제28조의8제2항 각 호의 사항(해당하는 경우에만 정한다)
    • 2. 개인정보 처리방침의 변경에 관한 사항
    • 3. 법 제31조의2제1항에 따라 국내대리인을 지정하는 경우 국내대리인의 성명, 주소, 전화번호 및전자우편 주소(해당하는 경우에만 정한다)
    • 4. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
    • 5. 개인정보의 열람청구를 접수·처리하는 부서
    • 6. 정보주체의 권익침해에 대한 구제방법

개인정보 처리방침 변경 시 공지[edit | edit source]

개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고, 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하여야 한다.

  • 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개

※ 개인정보 처리방침의 변경이유 및 내용을 공지하는 방법(예시)

  • 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
  • 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법
  • 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법


증거 자료[edit | edit source]

  • 개인정보 처리방침
  • 개인정보 처리방침 개정 관련 공지 내역(게시판 등)

결함 사례[edit | edit source]

  • 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우
  • 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우
  • 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보 보호정책ʼ으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우
  • 개인정보 처리방침이 몇 차례 개정되었으나, 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우
  • 전자상거래법, 상법 등 다른 법령에 따라 개인정보를 파기하지 아니하고 일정기간 보관하고 있으나, 이에 따른 보존근거와 보존하는 개인정보 항목을 개인정보 처리방침에 공개하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)