ISMS-P 인증 기준 3.3.4.개인정보의 국외이전: Difference between revisions

From IT Wiki
No edit summary
 
(One intermediate revision by the same user not shown)
Line 14: Line 14:
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?
*개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가?
*정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?
*정보주체와의 계약의 체결 및 이행을 위한 개인정보의 국외 처리위탁·보관에 대해 정보주체에게 알리는 경우 필요한 사항을 모두 포함하여 적절한 방법으로 알리고 있는가?
*개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
*개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
*개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
*개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
|-
|관련 법규
|
* 개인정보 보호법 제28조의8(개인정보의 국외 이전), 제28조의9(개인정보의 국외 이전 중지 명령), 제28조의10(상호주의), 제28조의11(준용규정)
* 개인정보 국외 이전 운영 등에 관한 규정
|}
|}
==세부 설명==
==세부 설명==


==== 개인정보 국외 이전 시 정보주체 동의 ====
==== 개인정보 국외 이전 시 정보주체 동의 ====
개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받아야 한다.
개인정보를 국외의 제3자에게 제공(조회되는 경우 포함)·처리위탁·보관(이하 ʻ이전ʼ이라 함)하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하여야 한다


*개인정보 국외 이전 동의 시 고지사항
*개인정보의 국외 이전이 가능한 경우(개인정보 보호법 제28조의8제1항)
{| class="wikitable"
|+
!No
!구분
!설명
|-
|1
|별도 동의
|정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우
|-
|2
|법률, 조약 등 근거
|법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우
|-
|3
|개인정보 처리방침 공개
(처리위탁 보관)
|정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁· 보관이 필요한 경우로서, 관련 사항을 개인정보 처리방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우
|-
|4
|인증
|개인정보 보호 인증(ISMS-P 인증) 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우
가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치
|-
|5
|대상국등 인정
|이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
|}
*개인정보 국외 이전 동의 시 고지사항을 알리고 동의를 받아야 함


{| class="wikitable"
{| class="wikitable"
|+
|+
!개인정보처리자
!개인정보의 국외 이전 동의 시 고지사항(개인정보 보호법 제28조의8제2항)
!정보통신서비스 제공자
|-
|-
|
* 1. 개인정보를 제공받는 자
* 2. 개인정보를 제공받는 자의 개인정보 이용목적
* 3. 제공하는 개인정보의 항목
* 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
* 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
|
|
* 1. 이전되는 개인정보 항목
* 1. 이전되는 개인정보 항목
* 2. 개인정보가 이전되는 국가, 이전일시 이전 방법
* 2. 개인정보가 이전되는 국가, 시기 방법
* 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
* 3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처)
* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
* 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간'
* 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
|}
|}


Line 49: Line 78:
*이용자에게 알리는 방법
*이용자에게 알리는 방법
**1. 개인정보 처리방침에 공개
**1. 개인정보 처리방침에 공개
**2. 전자우편, 서면 등
**2. 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)
*이용자에게 알려야 할 사항
*정보주체에게 알려야 할 사항
**1. 이전되는 개인정보 항목
**1. 이전되는 개인정보 항목
**2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
**2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
**3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
**3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처)
**4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
**4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
**5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효고


==== 국외 이전 시 계약 체결 ====
==== 국외 이전 시 계약 체결 ====
Line 62: Line 92:


{| class="wikitable"
{| class="wikitable"
!개인정보처리자
!계약내용
!정보통신서비스 제공자
|-
|-
|개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 안 됨.
|
|정보통신서비스 제공자 등은 다음 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 함.
* 1. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
 
* 1. 시행령 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
* 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
* 3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치
|}
|}


Line 77: Line 104:


*개인정보 국외 이전 시 적용하여야 하는 보호조치
*개인정보 국외 이전 시 적용하여야 하는 보호조치
**1. 개인정보 보호를 위한 안전성 확보 조치
**1. 개인정보의 국외 이전 관련 개인정보 보호법 규정 준수
**2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
**2. 개인정보 보호법 제17조부터 제19조까지의 규정 준수
**3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
**3. 개인정보 보호법 제5장(정보주체의 권리 보장) 규정 준수
**4. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
**5. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
**6. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치


==증거 자료==
==증거 자료==
Line 89: Line 119:
==결함 사례==
==결함 사례==


*개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인 정보 국외 이전에 대한 동의를 받지 않은 경우
*개개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 인증, 대상국 인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의를 받지 않은 경우
*정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
*국외 클라우드 서비스(국외 리전)를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않은 경우
*정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭 (업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우
*개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우


==같이 보기==
==같이 보기==

Latest revision as of 17:01, 7 February 2024


개요[edit | edit source]

항목 3.3.4.개인정보의 국외이전
인증기준 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.
주요 확인사항
  • 개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가?
  • 정보주체와의 계약의 체결 및 이행을 위한 개인정보의 국외 처리위탁·보관에 대해 정보주체에게 알리는 경우 필요한 사항을 모두 포함하여 적절한 방법으로 알리고 있는가?
  • 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
  • 개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
관련 법규
  • 개인정보 보호법 제28조의8(개인정보의 국외 이전), 제28조의9(개인정보의 국외 이전 중지 명령), 제28조의10(상호주의), 제28조의11(준용규정)
  • 개인정보 국외 이전 운영 등에 관한 규정

세부 설명[edit | edit source]

개인정보 국외 이전 시 정보주체 동의[edit | edit source]

개인정보를 국외의 제3자에게 제공(조회되는 경우 포함)·처리위탁·보관(이하 ʻ이전ʼ이라 함)하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하여야 한다

  • 개인정보의 국외 이전이 가능한 경우(개인정보 보호법 제28조의8제1항)
No 구분 설명
1 별도 동의 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우
2 법률, 조약 등 근거 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우
3 개인정보 처리방침 공개

(처리위탁 보관)

정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁· 보관이 필요한 경우로서, 관련 사항을 개인정보 처리방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우
4 인증 개인정보 보호 인증(ISMS-P 인증) 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

5 대상국등 인정 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
  • 개인정보 국외 이전 동의 시 고지사항을 알리고 동의를 받아야 함
개인정보의 국외 이전 동의 시 고지사항(개인정보 보호법 제28조의8제2항)
  • 1. 이전되는 개인정보 항목
  • 2. 개인정보가 이전되는 국가, 시기 및 방법
  • 3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처)
  • 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간'
  • 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

국외 개인정보 처리위탁 시 정보주체 고지[edit | edit source]

정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다.

  • 이용자에게 알리는 방법
    • 1. 개인정보 처리방침에 공개
    • 2. 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)
  • 정보주체에게 알려야 할 사항
    • 1. 이전되는 개인정보 항목
    • 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
    • 3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처)
    • 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
    • 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효고

국외 이전 시 계약 체결[edit | edit source]

개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다.

  • 개인정보 국외 이전에 관한 계약 시 고려사항
계약내용
  • 1. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
  • 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
  • 3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치

개인정보 국외 이전 시 보호조치[edit | edit source]

정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다.

  • 개인정보 국외 이전 시 적용하여야 하는 보호조치
    • 1. 개인정보의 국외 이전 관련 개인정보 보호법 규정 준수
    • 2. 개인정보 보호법 제17조부터 제19조까지의 규정 준수
    • 3. 개인정보 보호법 제5장(정보주체의 권리 보장) 규정 준수
    • 4. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
    • 5. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
    • 6. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치

증거 자료[edit | edit source]

  • 개인정보 국외 이전 관련 동의 양식
  • 개인정보 국외 이전 관련 계약서
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • 개개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 인증, 대상국 인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의를 받지 않은 경우
  • 국외 클라우드 서비스(국외 리전)를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않은 경우
  • 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)