ISMS-P 인증 기준 3.3.4.개인정보의 국외이전: 두 판 사이의 차이

• 영역: 3.개인정보 처리단계별 요구사항
• 분류: 3.3.개인정보 제공 시 보호조치

개요

세부 설명

• 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받아야 한다.
  • 개인정보 국외 이전 동의 시 고지사항<thead></thead><tbody></tbody>

    개인정보처리자	정보통신서비스 제공자
    * 1. 개인정보를 제공받는 자 * 2. 개인정보를 제공받는 자의 개인정보 이용목적 * 3. 제공하는 개인정보의 항목 * 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 * 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용	* 1. 이전되는 개인정보 항목 * 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법 * 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처) * 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

• 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알려야 한다.
  • 이용자에게 알리는 방법
• 1. 개인정보 처리방침에 공개
• 2. 전자우편, 서면 등
  • 이용자에게 알려야 할 사항
• 1. 이전되는 개인정보 항목
• 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
• 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
• 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
• 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하여야 한다.
  • 개인정보 국외 이전에 관한 계약 시 고려사항<thead></thead><tbody></tbody>

    개인정보처리자	정보통신서비스 제공자
    * 1. 개인정보를 제공받는 자 * 2. 개인정보를 제공받는 자의 개인정보 이용목적 * 3. 제공하는 개인정보의 항목 * 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 * 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용	* 1. 이전되는 개인정보 항목 * 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법 * 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처) * 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

• 정보주체(이용자)의 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하여야 한다.
  • 개인정보 국외 이전 시 적용하여야 하는 보호조치
• 1. 개인정보 보호를 위한 안전성 확보 조치
• 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
• 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

증거 자료

• 개인정보 국외 이전 관련 동의 양식
• 개인정보 국외 이전 관련 계약서
• 개인정보 처리방침

결함 사례

• 개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인 정보 국외 이전에 대한 동의를 받지 않은 경우
• 정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
• 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭 (업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우

같이 보기

• 정보보호 및 개인정보보호관리체계 인증
• ISMS-P 인증 기준
• ISMS-P 인증 기준 세부 점검 항목

참고 문헌

• 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)