ISMS-P 인증 기준 3.5.1.개인정보처리방침 공개

From IT Wiki
Revision as of 16:38, 14 July 2022 by 심사보 (talk | contribs)

개요

항목 3.5.1.개인정보처리방침 공개
인증기준 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.
주요 확인사항
  • 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?
  • 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가?
  • 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?

세부 설명

개인정보 처리방침 공개 및 지속 현행화

개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하여야 한다.

  • ʻ개인정보 처리방침ʼ이라는 표준화된 명칭을 사용하여야 함.
  • 인터넷 홈페이지 첫 화면에 공개하는 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시
  • 인터넷 홈페이지를 운영하지 않는 경우에는 법령에서 정한 다른 방법을 통하여 개인정보 처리방침 공개 가능

※ 개인정보 처리방침을 공개하는 방법

  • 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면을 통하여 지속적으로 게재[이 경우 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체(이용자)가 쉽게 확인할 수 있도록 표시]
  • 점포, 사무소 등 사업장 내의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
  • 관보(공공기관인 경우만 해당)나 시·도 이상의 지역을 주된 보급지역으로 하는 일반 일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
  • 같은 제목으로 연 2회 이상 발행하는 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
  • 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보 주체에게 발급하는 방법
  • 다만 개인정보 보호법에 따른 예외사항에 해당되는 경우 개인정보 처리방침을 공개하지 않을 수 있음.

※ 개인정보 처리방침 등록이 면제되는 개인정보파일(공공기관)

  • 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
  • 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
  • 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
  • 4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
  • 5. 다른 법령에 따라 비밀로 분류된 개인정보파일

법령 요구항목을 포함하여 작성

개인정보 처리방침은 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성되어야 한다.

  • 개인정보 처리방침에 포함하여야 할 필수 사항(개인정보 보호법 제30조, 제31조 참고)
    • 1. 개인정보의 처리 목적
    • 2. 개인정보의 처리 및 보유 기간
    • 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.)
    • 4. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다.)
    • 5. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.)
    • 6. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
    • 7. 제31조에 따른 개인정보 보호책임자의 이름 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
    • 8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당되는 경우에만 정한다.)
    • 9. 처리하는 개인정보의 항목
    • 10. 시행령 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항
  • 개인정보 처리방침에 포함하여야 할 기타 기재사항(표준 개인정보 보호지침 제19조)
    • 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
  • 개인정보 처리방침의 변경에 관한 사항
    • 개인정보의 열람청구를 접수·처리하는 부서
  • 정보주체의 권익침해에 대한 구제방법
  • 정보주체(이용자) 동의 없이 개인정보를 수집하거나 제공한 경우 그 근거가 된 법령 및 조항 등 예외 사유를 개인정보 처리방침에 공개

개인정보 처리방침 변경 시 공지

개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고, 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하여야 한다.

  • 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개

※ 개인정보 처리방침의 변경이유 및 내용을 공지하는 방법(예시)

  • 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
  • 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법
  • 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법


증거 자료

  • 개인정보 처리방침
  • 개인정보 처리방침 개정 관련 공지 내역(게시판 등)

결함 사례

  • 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우
  • 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우
  • 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보 보호정책ʼ으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우
  • 개인정보 처리방침이 몇 차례 개정되었으나, 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)