개인정보 보호 자주 묻는 질문

From IT Wiki
Revision as of 20:21, 25 March 2022 by 112.172.219.124 (talk) (추가답변입니다.)

본 문서는 개인정보 보호 실무자 모임방에서 나오는 질문과 답변들을 정리한 문서로, 법률적 해석 효력이 없음을 알려드립니다.

답변 완료

  • Q. 개인정보 파기 확인서에 담당자의 날인이 필요하다는 법률 근거 조항이 있는지?
  • A. 법령과 고시에 명문화 되어 있는 규정은 없음.
    • 다만, 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기는 개인정보 보호책임자의 업무 중 하나이므로(개인정보 보호법 시행령 제32조) 개인정보 보호책임자 명의의 파기 확인서(직인 날인된 공문 등)를 요구하는 경우가 많음

답변 완료

  • Q. 개인정보 수집·이용 동의 시 이용기간을 "이용 목적 달성후 파기(법령에 의해 보관해야 하는 정보는 그 법령에서 정하는 기간까지 보관)"라고 불명확하게 표기해도 문제가 없는지?
    • 문제가 된다면 어떤 조항이나 지침, 가이드라인에 따른 것인지?
  • A. 법령과 고시에 명문화 되어 있는 규정은 없음.
    • 다만, 개인정보 관련 가이드에(온라인 개인정보 처리 가이드라인 6P) 수집 목적 및 보유 기간을 구체적으로 명시하고 특정해야 한다고 언급


섬네일

(추가답변 by 펜더)"개인정보 처리방침 작성지침(공공기관편)"(2022.3. 개인정보보호위원회) 31페이지, "개인정보 처리방침 작성지침(일반)(2022.3. 개인정보보호위원회) 30페이지에 따르면, "보유기간은 '목적 달성시'와 같이 추상적으로 기재하지 않고 구체적으로 기재하여야하며, 개인정보 수집이용 시 동의 받는 사항과 일치하도록 기재하여야 함'"이라고 안내하고 있습니다.

또한, "표준 개인정보보호지침" 제60조제1항에서는 보유기간은 전체 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하도록 규정하고 있는 바, 질문에서 '이용 목적 달성 후 파기'라는 표현은 수집시점부터 '이용목적 달성 시점'까지를 보유기간으로 산정한다는 의미인데, '이용목적 달성 시점'의 경우 개인정보처리자가 자의적으로 해석이 가능하고, 정보주체 입장에서는 예측이 어려운 시점이므로 "개인정보보호법" 제4조제1호 및 제4호에 따른 정보주체의 권리를 침해할 가능성이 높습니다.