< BAB8C8A3B9FD5FBEF7B9ABBBE7B7CAC1FD28B9FDB7C9C1A6BFDC DC3D6C1BE2E687770>

Similar documents
개인정보처리방침_성동청소년수련관.hwp

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우


[ 목차 ]

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

2018년 10월 12일식품의약품안전처장

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

CR hwp

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

Zentralanweisung

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )

120330(00)(1~4).indd

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

개인

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

슬라이드 1

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

Zentralanweisung

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인


< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

슬라이드 1

Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : (5 ) - ; (9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Cus

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

2015

※(완성본)범죄피해자 정보보호에 관한 연구.hwp

슬라이드 1

내지(교사용) 4-6부

<37322DC0CEB1C7BAB8C8A3BCF6BBE7C1D8C4A2C0C7B0DFC7A5B8ED5B315D2E687770>

약관

슬라이드 1

주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

2002report hwp

명동예술극장 개인정보 처리방침

외이용등의목적, 목적외이용등을한개인정보의항목 제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 부산지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : (

(Microsoft PowerPoint - privacy_learn_5.ppt [\310\243\310\257 \270\360\265\345])

Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인

개인정보파일명제공목적제공근거 개인정보를 제공받는기관 제공받는 기관의 보유. 이용기간 개인정보 제공부서 국가장학금및학자금지원 한국장학재단설립등에관한법률제 50 조한국장학재단설립등에관한법률시행령제 36 조의 2) 한국장학재단 10 년장학취업팀 인사정보연말정산소득세법제 14

슬라이드 1

메뉴얼41페이지-2

경상북도와시 군간인사교류활성화방안

신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이

학점배분구조표(표 1-20)

PowerPoint 프레젠테이션

학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

Microsoft PowerPoint - 6.pptx

제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 서울지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : ( 재 ) 우체국시설관리단 2. 소포배달을위한업

제공, 4대보험등법정보험의가입과근로기준법기타고용관계관련법령의준수, 균등한처우및기회제공, 보훈대상자확인및처우제공, 외국인근로자관련법령준수등회사에부과되는법적ㆍ행정적의무준수 E. 보안유지, 향상및점검 F. 향후회사영업의전부또는일부양도 ( 회사가포함된그룹의영업이양도되는경우포함

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

내부정보관리규정

한국노인인력개발원 규정집(2015ver11).hwp

평택시체육회회장선거관리규정 제정 제 1 장총칙 제1조 ( 목적 ) 제2조 ( 적용범위 ) 제3조 ( 선거관리위원회의설치및운영 ) - 1 -

김포시종합사회복지관개인정보보호관리지침 제정일 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자

제2조 ( 개인정보의처리및보유기간 ) 1 관세청은법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2 각각의개인정보처리및보유기간은다음과같습니다. 1. 민원사무처리 : 민원처리종료후 3년 2. 정보통신

USC HIPAA AUTHORIZATION FOR


< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>



회사가추론할수있는개인정보또는정보주체를아는를통해얻은개인정보를 처리하기도합니다. 3) 회사는정보주체가제공한개인정보를상기의목적범위내에서이용하여야합니다. 다만, 다음의경우에는예외적으로목적범위를초과하여이용할수있습니다. 1 정보주체로부터별도의동의를받는경우 2 법률에특별한규정이있는

[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상

슬라이드 1

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

목 차 Ⅰ 개인정보보호법주요내용 Ⅱ I-PIN, My-PIN 활용 Ⅲ 개인정보보호를위한사업자수칙

<4D F736F F D205BBAB0C3B72E315D20B0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A72E646F63>

Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

핵 심 교 양 1 학년 2 학년 3 학년합계 문학과예술 역사와철학 사회와이념 선택 교양학점계 학년 2 학년 3 학년합계비고 14 (15) 13 (

(: ) () (,) () () () (:) (:3-24)

<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

슬라이드 1


¾Æµ¿ÇÐ´ë º»¹®.hwp

회사는개인정보를다음의목적을위하여처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이용목적이변경될시에는사전동의를구할예정입니다. 상품 ( 서비스포함 ) 제공, 컨텐츠제공, 물품배송또는청구서등의발송, 구매및결제, 정산및추심, AS, 회원가입및가입상담, 변경및해지

목 차 1. 선발개요 p 2. 개선내용 p 3. 세부선발계획

. ( ). 4. ( ) ( ) ( ). 7..( ) (, ). 12.,.( ) 13..( ) 14.

(012~031)223교과(교)2-1

중앙승가대학교개인정보처리방침 중앙승가대학교 ( 이하 본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하 고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정 보처리방침을수립 공개합니다. 제 1조 ( 개인정보의처리목적 ) 본교는다음의목적을위하여

1. 개인정보처리방침 상일고등학교는 개인정보보호법 에따라이용자의개인정보및권익을보호하고개인정보와관련한이 용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 상일고등학교는개인정 보처리방침을개정하는경우웹사이트공지사항 ( 또는개별공지 ) 을통하여공지할것입니다. [

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

한국교육개발원 주민등록번호, 학번, 성명, 국적, 학적변동일자, 전공, 입학정보, 학위번호, 졸업일자, 이메일, 출신고교 졸업생관리 년 1 회 병무청이름, 주민등록번호, 연락처, 주소, 직업, 군번, 복무사항예비군자원관리년 1 회 국가평생교육진흥원주민등록번호, 성명,

학부모서비스신청자명단 교육기본법제 23 조의 3 학부모의자녀정보열람 기타 ( 학부모성명, 학부모생년월일, 이메일, 전화번호, 주소, 자녀성명, 생년월일, 신청자와의관계 ) 회원탈퇴시까지 (2 년 ) 온라인 학교생활기록부 초중등교육법제 25 조, 학교생활기록작성및관리지침

<C0CEBBE7B9DFB7C92DC3D6C1BE2E687770>

?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,

위탁업체변경시현촌유치원은기관홈페이지 ( 공지사항및개인정보처리방침을통해 고지하도록하겠습니다. 제4조정보주체의권리, 의무및행사방법정보주체는개인정보주체로서다음과같은권리를행사할수있습니다. 1. 자신및 14세미만아동의개인정보의조회, 수정및가입해

1. 상고이유 제1점에 대하여 구 도시 및 주거환경정비법( 법률 제9444호로 개정되기 전의 것, 이하 구 도시정비법 이라 한다) 제4조 제1항, 제3항은 시 도지사 또는 대도시의 시장이 정비구 역을 지정하거나 대통령령이 정하는 경미한 사항을 제외한

복지분야 개인정보보호 실무교육

농업정책보험금융원임직원행동강령 제정 개정 개정 개정 개정 개정 개정 제1장총칙

Transcription:

개인정보보호법 업무사례집 2012. 1

업무사례집사용안내 본사례집은 2011년 9월 30일시행된 개인정보보호법 에대하여교육과학기술부및소속 산하기관구성원들의 응답사례를정리한자료로서, 다음과같은사항을유의하여활용하시기바랍니다. 본사례집은법률적책임은지지않으며, 각사례에따른세부법률사항은법률전문가에게문의하시기바랍니다. 각사례와관련된구체적인유권해석은교육과학기술부, 행정안전부, 한국정보화진흥원에문의하시기바랍니다. 본사례집은법령순서대로정리되어있으므로부록 3( 교육과학기술부개인정보업무처리관련모음 ) 를참조하여쉽게찾을수있습니다.

[ 목차 ] Ⅰ. 개인정보보호법핵심정리 1 1. 개인정보보호법제정배경및경과 3 2. 개인정보보호법령체계 4 3. 개인정보보호법의구성 6 4. 개인정보보호법의특징 7 5. 개인정보보호법해설 8 Ⅱ. 개인정보업무처리및응답 29 1. 개인정보의처리 31 1) 개인정보의개념 31 2) 개인정보의수집 55 3) 개인정보의이용 151 4) 개인정보의제공 190 5) 개인정보의파기 260 2. 개인정보의처리제한 273 1) 민감정보 273 2) 고유식별정보 280 3) 개인정보처리업무위탁 289 4) 영상정보처리기기 295 3. 개인정보의안전한관리 311 1) 안전조치의무 311 2) 개인정보파일의등록및공개 324 3) 개인정보영향평가 334 4) 개인정보유출대응 338 4. 정보주체의권리보장 344 5. 기타 353 [ 부록 ] 361

Ⅰ. 개인정보보호법핵심정리

Ⅰ. 개인정보보호법핵심정리 1. 개인정보보호법제정배경및경과 배경 개인정보보호를위한법적용사각지대존재 - 공공기관, 정보통신, 금융, 교육등일부분야에서만각분야별법령에근거해개인정보를보호함으로써이외분야의규제흠결발생 - 헌법기관, 오프라인사업자, 협회및동창회등비영리기관 단체등은관련법부재로법적용의사각지대로존재 `10년개인정보침해신고 (54,832건) 중법적용제외건수는 40,431건 (73%) 국가간개인정보교류에대비한국제수준의처리원칙필요 - 세계각국과의 FTA 체결로상호간개인정보의교류증대 - 최근세계적국제통상관련프라이버시라운드 (Privacy Round) 에대비한국제수준의개인정보보호체계구축필요 유럽연합은적절한보호수준을갖춘제3국으로만개인정보이전을허용 (1995년) 경과 17대국회에서 3개 개인정보보호법안 의원발의 노회찬의원 (`04. 11), 이은영의원 (`05. 7), 이혜훈의원 (`05. 12) 등이법안을발의하였으나, 회기만료로자동폐기 Ⅰ. 개인정보보호법핵심정리 3

18대국회에서 개인정보보호법안 의원발의 이혜훈의원 (`08. 8), 변재일의원 (`08. 10) - 행정안전위원회심사 (`10.9.30) 및대안가결 - 법제사법위원회심사 (`10.9.30~`11.3.10) 및수정가결 - 본회의의결 (`11.3.11), 국무회의의결 (`11.3.22) 및공포 (`11.3.29) 개인정보보호법시행 (`11.9.30) 2. 개인정보보호법령체계 교육과학기술부개인정보보호관리체계 4 개인정보보호법업무사례집

개인정보보호법제정전 ( 前 ) 후 ( 後 ) 법령체계비교 교육과학기술분야주요입법현황 구분 기관공통 ( 일부공통포함 ) 초 중 고 교육청 주요입법현황 교육관련기관의정보공개에관한특례법 ( 시행령 ), 교육기본법, 사립학교교직원학자금대여사업위탁관리규칙, 사립학교법 ( 시행령 ), 인적자원개발기본법 ( 시행령 ), 장학금규정 ( 시행규칙 ), 학교보건법 ( 시행령 시행규칙 ) 교육정보시스템의운영등에관한규칙, 유아교육법 ( 시행령 시행규칙 ), 초 중등교육법 ( 시행령 ), 학교건강검사규칙, 학교급식법 ( 시행령 시행규칙 ), 학교생활기록의작성및관리에관한규칙 교육감소속지방공무원인사교류규칙, 교육감소속지방공무원인사기록ㆍ통계및인사사무처리규칙, 교육감이고등학교의입학전형을실시하는지역에관한규칙 Ⅰ. 개인정보보호법핵심정리 5

대학 ( 교 ) 기타 고등교육기관의자체평가에관한규칙, 고등교육법 ( 시행령 ), 대학등록금에관한규칙, 학점인정등에관한법률 ( 시행령 시행규칙 ) 국가연구개발사업의관리등에관한규정, 학술진흥및학자금대출신용보증등에관한법률 ( 시행령 ), 한국사학진흥재단법 ( 시행령 ), 한국원자력안전기술원법 ( 시행령 ), 한국장학재단설립등에관한법률 ( 시행령 ), 취업후학자금상환특별법 ( 시행령 시행규칙 ) 3. 개인정보보호법의구성 제 1 장 제 2 장 제 3 장 제 4 장 제 5 장 제 6 장 구분 총칙 정책수립등 개인정보처리 개인정보안전한관리 정보주체권리보장 분쟁조정위원회 제 7 장단체소송 구성 입법목적, 정의, 개인정보보호원칙, 정보주체의권리, 국가등의책무, 다른법률과의관계 개인정보보호위원회, 개인정보보호기본계획및시행계획수립, 개인정보보호지침, 자율규제의촉진및지원 개인정보의수집, 이용, 제공등처리기준, 민감정보및고유식별정보제한, 영상정보처리기기제한등 안전조치의무, 개인정보보호책임자, 개인정보파일등록 공개, 개인정보영향평가, 개인정보유출통지등 개인정보의열람, 정정및삭제, 처리정지, 권리행사방법및절차, 손해배상책임 조정위원회설치및구성, 조정의신청방법및절차, 집단분쟁조정제도등 단체소송의대상, 소송허가신청및요건, 확정판결의효력등 제8장 보칙 적용제외, 금지행위, 비밀유지, 침해사실신고, 자료제출요구및검사, 시정조치, 고발및징계권고, 권한의위임 위탁등 제9장 벌칙 벌칙, 양벌규정, 과태료 부칙 : 시행일, 다른법률의개폐, 처리중인개인정보의경과조치 6 개인정보보호법업무사례집

4. 개인정보보호법의특징 개인정보보호기준강화 개인정보수집및이용, 제공, 파기등처리단계별로준수해야할기준을구체적으로규정 주민등록번호등고유식별정보와사상, 신념, 건강정보등민감정보처리의엄격한제한 공개장소에영상정보처리기기의운영 설치제한의근거마련 개인정보의안전한관리를위한보호조치강화 - 내부관리계획수립, 접근권한제한, 개인정보전송및저장시암호화, 접속기록의보관, 전산실잠금장치등안전성조치의무화 정보주체에게개인정보의열람청구권, 정정 삭제청구권, 처리정지요구권등을부여함으로써개인정보에대한자기통제권실현 보호기준위반에대한벌칙강화 법률의규범력과실효성을확보하기위하여위법행위에대해형사처벌및과태료규정마련 - 정보주체의사생활침해가능성등을고려하여중대한권익침해행위는형사처벌로, 절차규정이나법적처리기준위반행위는과태료로규정 법인또는개인이그대리인, 사용인, 종업원의위반행위에대하여주의와감독을하지아니한때는양자를모두처벌하는양벌규정을두는등관리 감독을의무화 Ⅰ. 개인정보보호법핵심정리 7

5. 개인정보보호법해설 개인정보보호의범위 ( 개인정보의정의 ) 살아있는개인에관한정보로서특정개인을식별하거나식별할수있는정보로서, 다른정보와쉽게결합하여식별할수있는것도포함 - 개인 : 자연인만해당되며, 법인이나단체는포함하지않음 - 정보 : 정보의종류 형태를제한하지않음 ( 문자 음성 부호 영상등 ) - 살아있는 : 생존하는자에대한정보만보호의대상이되며, 사자 ( 死者 ) 의정보는제외 - 식별하거나식별할수있는 : 다른사람과의구분가능성 - 다른정보와쉽게 : 일률적으로판단할수는없으며, 다른개인정보의종류등상황에따라달라지는특성이있음 < 개인정보의예시 > 유형구분 일반정보 교육및훈련정보 가족정보 병역정보부동산정보 소득정보 기타수익정보 개인정보항목 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적학교출석사항, 최종학력, 학교성적, 기술자격증및전문면허증, 이수한훈련프로그램, 동아리활동, 상벌사항가족의이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호군번및계급, 제대유형, 주특기, 근무부대 소유주택, 토지, 자동차, 기타소유차량, 상점및건물 현재봉급액, 봉급경력, 보너스및수수료, 기타소득의원천, 이자소득, 사업소득 보험 ( 건강, 생명등 ) 가입현황, 회사의판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 8 개인정보보호법업무사례집

신용정보 고용정보 법적정보 의료정보 조직정보 통신정보 위치정보신체정보습관및취미정보 대부잔액및지불상황, 저당, 신용카드, 지불연기및미납의수, 임금압류통보에대한기록현재의고용주, 회사주소, 상급자의이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격테스트결과, 직무태도전과기록, 자동차교통위반기록, 파산및담보기록, 구속기록, 이혼기록, 납세기록가족병력기록, 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트등각종신체테스트정보노조가입, 종교단체가입, 정당가입, 클럽회원전자우편 (E-mail), 전화통화내용, 로그파일 (Log file), 쿠키 (Cookies) GPS나휴대폰에의한개인의위치정보지문, 홍채, DNA, 신장, 가슴둘레흡연, 음주량, 선호하는스포츠및오락, 여가활동, 비디오대여기록, 도박성향 ( 개인정보처리자 ) 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등 - 공공기관, 영리목적의민간분야사업자, 협회및동창회등비영리기관및단체를모두포괄 공공기관 : 헌법기관, 중앙행정기관및그소속기관, 지방자치단체, 국가인권위원회, 공공기관의운영에관한법률 에따른공공기관, 지방공사및공단, 특수법인, 각급학교 ( 개인정보보호책임자 ) 개인정보처리자는개인정보처리업무를총괄해서책임질개인정보보호책임자를의무적으로지정 - 개인정보보호계획의수립및시행, 개인정보처리실태및관행의정기적인조사및개선, 개인정보처리와관련한불만의처리및피해구제, 개인정보유출및오용 남용방지를위한내부통제시스템의구축등 Ⅰ. 개인정보보호법핵심정리 9

개인정보보호책임자지정예시 국회, 법원, 헌법재판소, 선거관리위원회, 중앙행정기관 : 고위공무원단공무원 시 도및시 도교육청 : 3 급이상공무원 ( 시군및자치구는 4 급공무원 ) 초중등교육법, 고등교육법, 그밖의다른법률에따라설치된각급학교 : 해당학교에행정사무를총괄하는사람 공공기관외개인정보처리자 : 사업주또는대표자, 개인정보처리관련담당부서장 개인정보의수집및이용 개인정보수집및이용이가능한범위 - 정보주체의동의를받은경우 동의시수집 이용목적, 수집항목, 보유 이용기간, 동의거부권등고지 - 법률에특별한규정이있거나법령상의무준수를위해불가피한경우 - 공공기관이법령등에서정하는소관업무수행을위해불가피한경우 - 정보주체와의계약체결및이행을위해불가피하게필요한경우 - 정보주체및법정대리인의의사확인을못하지만명백하게정보주체에게이득인경우 - 정보주체의권리보다우선하지만, 개인정보처리자의정당한이익달성에필요한경우 필요최소한의개인정보수집, 미동의를이유로재화나서비스제공거부금지 수집및이용목적의범위를초과한이용의제한 정보주체이외로부터수집처리시정보주체의요구가있으면출처등고지의무 10 개인정보보호법업무사례집

< 개인정보수집시동의예시 > 개인정보의수집 이용 수집 이용목적 : 학생지도및교육활동 수집항목 : 보호자의직업, 재산 개인정보보유및이용기간 : 이용목적달성시까지 ( 학생의본교재학기간 ) 동의 동의하지않음 개인정보의제공 제 3 자제공시정보주체의동의필요 ( 수집목적범위내제공시예외 ) 제공받는자, 이용목적, 개인정보항목, 보유 이용기간, 동의거부권고지의무 제공받는자의제공목적외이용또는제3자제공금지 별도동의, 다른법률규정이있는경우에는예외 국외이전시에도정보주체동의필요하며, 법을위반하여국외이전계약체결금지 Ⅰ. 개인정보보호법핵심정리 11

영업양도및합병등에의한개인정보이전시개인정보처리자와영업양수자등은정보주체에고지 서면, 전자우편, 모사전송, 전화, 전화문자전송, 홈페이지또는영업장개시등 개인정보수집 제공 이용흐름도 대학입시개인정보의수집 제공 이용흐름도 ( 예시 ) < 개인정보제3자제공동의예시 > 개인정보 ( 고유식별정보 ) 의제공 개인정보를제공받는자 : 여행사 개인정보이용목적 : 수학여행을위한여행자보험가입 제공항목 : 주민등록번호 개인정보이용기간 : 이용목적달성시및관계법령에따른보관기관까지 미동의시불이익사항 : 여행자보험가입불가 동의 동의하지않음 12 개인정보보호법업무사례집

개인정보의제공 개인정보를제공받는자 : 각종언론사, 홈페이지이용자 ( 불특정다수 ) 수집 이용목적 : 교육활동및교육성과홍보 수집항목 : 성명, 학년, 반, 영상정보 ( 사진, 동영상 ) 개인정보보유및이용기간 : 이용목적달성시 동의 동의하지않음 개인정보처리업무위탁 처리업무위탁시목적 범위, 재위탁제한, 안전성확보조치, 점검등문서화 위탁업무의내용, 수탁자의공개의무 재화나서비스의홍보및판매권유업무의위탁시정보주체에대한고지의무 Ⅰ. 개인정보보호법핵심정리 13

개인정보의보호를위한수탁자교육, 처리현황점검등감독책임 손해배상책임발생시수탁자는개인정보처리자의소속직원으로간주 개인정보의파기 보유기간경과, 처리목적달성등개인정보가불필요하게되었을때는지체없이개인정보파기의무 ( 법령에근거한보존은예외 ) 파기시에는복구또는재생되지않도록조치 출력물, 서면등은파쇄 소각, 전자파일형태는복원불가능하도록영구삭제 다만, 법령에별도의보유기간에대한근거가있는경우예외이며, 이같은경우해당개인정보는다른개인정보와분리저장및관리 민감정보및고유식별정보의처리제한 사생활을현저히침해할우려가있는민감정보및고유식별정보는원칙적으로처리금지 민감정보 고유식별정보 사상, 신념, 노동조합 정당의가입및탈퇴, 정치적견해, 건강, 성생활등의정보, 유전정보, 범죄경력 ( 전과 수형기록등 ) 에관한정보 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 - 다만, 정보주체에게별도의동의를얻거나, 법령에서구체적으로허용된경우에한하여예외적으로처리허용 고유식별정보에대한암호화및대체수단제공의무화 14 개인정보보호법업무사례집

- 고유식별정보의분실, 도난, 변조, 훼손방지를위해암호화등안전성확보의무화 - 인터넷홈페이지를통하여회원으로가입하는경우주민등록번호외의대체수단 ( 전자서명, 아이핀 (i-pin), 공인인증서, 휴대전화인증등 ) 을하나의화면에제공의무화 (`12년 3월 30일부터 ) 공공기관및홈페이지이용자수가일일평균 1만명이상인경우의무적제공 < 공공아이핀 (i-pin) 서비스 > 공공아이핀 (i-pin) 서비스는공공 / 민간웹사이트에서주민등록번호를사용하지않고본인확인을할수있는개인정보보호무료서비스 '12 년 3 월부터주민등록번호를입력 ( 수집 ) 하여회원가입을하는모든공공기관웹사이트에의무적으로도입 영상정보처리기기의설치제한 공개된장소의영상정보처리기기설치및운영은원칙적으로제한 - 예외 : 1 법령에서구체적으로허용하는경우, 2 범죄의예방및수사를위해필요한경우, 3 시설안전및화재예방을위하여필요한경우, 4 교통단속을위하여필요한경우, 5 교통정보의수집 분석및제공을위하여필요한경우 불특정다수가이용하는목욕탕, 화장실, 탈의실등개인의사생활을현저히침해할우려가있는장소내부의설치는금지 Ⅰ. 개인정보보호법핵심정리 15

- 예외 : 교정시설, 정신의료기관, 정신질환자사회복귀시설및정신요양시설 영상정보처리기기의설치시필요조치사항 - 의견수렴 : 행정예고의실시 의견청취, 설명회 설문조사 여론조사, 관계전문가및이해관계인의견수렴 - 안내판설치의무화 : 설치목적및장소, 촬영범위및시간, 관리책임의성명및연락처기재 ( 위탁시수탁자의명칭및연락처 ) 개인정보안전성확보조치기준 내부관리계획의수립및시행 - 개인정보처리자는내부관리계획을수립한후, 이를기초로세부지침이나안내서를마련하여임직원의행동준칙으로활용 개인정보보호책임자의지정에관한사항 개인정보보호책임자및개인정보취급자의역할과책임에관한사항 개인정보의안전성확보에필요한조치에관한사항 개인정보취급자에대한교육에관한사항 그밖에개인정보보호를위하여필요한사항 - 최고관리자로부터승인받은후모든임직원에게알려준수토록함 중요한사항이변경되는경우즉시내부관리계획을수정하여시행하고, 그이력을관리 개인정보내부관리계획목차예시 제장총칙제조목적제조적용범위제조용어정의제장내부관리계획의수립및시행제조내부관리계획의수립및승인 16 개인정보보호법업무사례집

제조내부관리계획의공표 제장개인정보보호책임자의의무와책임제조개인정보보호책임자의지정제조개인정보보호책임자의의무와책임제조개인정보취급자의범위및의무와책임제장개인정보의처리단계별기술적관리적안전조치제조개인정보취급자접근권한관리및인증제조접근통제제조개인정보의암호화제조접근기록의위변조방지제조보안프로그램의설치및운영제조물리적접근제한제장개인정보보호교육제장개인정보침해대응및피해구제 접근권한의관리 - 개인정보처리시스템접근권한은업무수행에필요한최소범위로업무담당자에따라차등부여 - 인사이동으로개인정보취급자가변경될경우접근권한을즉시변경또는말소해야하며, 권한부여 변경또는말소에대한내역은최소 3년간보관 - 개인정보취급자별로한개의사용자계정을발급하며, 다른개인정보취급자와공유하지않도록조치 비밀번호관리 - 개인정보처리자는개인정보취급자또는정보주체를위해비밀번호작성규칙을수립하여적용 - 비밀번호는최소 6 개월마다 1 회이상변경, 분기별 1 회권장 영문대문자 (26개), 영문소문자 (26개), 숫자 (10개), 특수문자 (32개) 등 4가지종류중 2종류이상조합하여최소 10자리이상또는 3종류이상조합하여최소 9자리이상으로구성 Ⅰ. 개인정보보호법핵심정리 17

접근통제시스템설치및운영 - 개인정보처리시스템에대한접속권한을 IP주소등으로제한하여인가받지않은접근제한 - 개인정보처리시스템에접속한 IP주소등을분석하여불법적개인정보유출시도탐지 - 외부에서개인정보처리시스템접속시가상사설망또는전용선등안전한접속수단적용 - 취급중인개인정보가홈페이지, P2P, 공유설정등을통해외부로정보가유출되지않도록조치 - 업무용컴퓨터만을이용해개인정보를처리하는경우그컴퓨터의운영체제나보안프로그램에서제공하는접근통제기능이용 개인정보의암호화 - 고유식별정보, 비밀번호, 바이오정보는암호화 비밀번호는복호화되지않도록일방향암호화 - 개인정보를정보통신망을통해송 수신또는보조저장매체를통해전달시에는암호화 - 인터넷구간및인터넷구간과내부망의중간지점 (DMZ) 에고유식별정보저장시영향평가및위험도분석결과에관계없이암호화 - 내부망에고유식별정보저장시영향평가또는위험도분석결과를반영해암호화적용여부및적용범위설정 시행 - 개인정보를업무용컴퓨터에고유식별정보를저장 관리시상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장 암호화유예기간 : 법시행일이후 3개월내에암호화계획 18 개인정보보호법업무사례집

수립, 2012.12.31. 까지암호화조치 접속기록의위 변조방지 - 개인정보처리시스템에대한접속기록은최소 6개월이상접속기록을보관 관리 접속기록 : 개인정보취급자등의개인정보처리시스템에접속하여수행한업무내역 접속기록항목 : 접속자 ID, 접속일시, 접속자 IP 주소, 수행업무 ( 열람, 수정, 삭제, 인쇄등 ) 등 - 정기적으로접속기록백업수행하여개인정보처리시스템이외의별도의보조저장매체나별도의저장장치에보관 - 접속기록에대한위 변조방지를위해덮어쓰기방지매체사용 - 접속기록을수정가능한매체 (HDD, 테이프등 ) 에백업하는경우무결성보장을위하여위 변조여부확인가능한정보를별도의장비에보관 관리 보안프로그램의설치및운영 - 보안프로그램의자동업데이트기능사용또는일 1회이상업데이트실시 - 악성프로그램경보발령또는사용중인응용프로그램이나운영체제소프트웨어제작업체의보안업데이트공지시즉시업데이트실시 물리적접근방지 - 개인정보를대량보관하는전산실및자료보관실등물리적보관장소를별도로가지고있는경우별도출입통제절차 ( 물리적접근통제장치 ) 를수립하고, 접근기록을보관 물리적접근통제장치예시 : 비밀번호기반출입통제장치, Ⅰ. 개인정보보호법핵심정리 19

스마트카드기반출입통제장치, 지문등바이오정보기반출입통제장치등 - 개인정보가저장된 USB, CD, 이동식하드디스크등보조저장매체나서류등은잠금장치가있는안전한장소에보관 < 개인정보안전성확보조치기준요약 > 항목 내부관리계획수립및시행 접근권한의관리 비밀번호관리 접근통제시스템설치및운영 개인정보의암호화 접속기록의보관및위 변조방지 보안프로그램설치및운영 물리적접근방지 준수내용 개인정보보호책임자의지정, 개인정보보호책임자및개인정보취급자의역할및책임, 안전성확보조치, 개인정보취급자교육등 개인정보처리시스템접근권한의차등부여, 접근권한의변경또는말소내역기록 보관, 사용자계정관리등 비밀번호작성규칙의수립및적용 정보통신망을통한불법적접근및침해사고방지할수있는시스템의설치 운영, 외부접속시가상사설망 (VPN) 또는전용선등안전한접속수단의적용 고유식별번호, 비밀번호, 바이오정보의암호화, 내부망에고유식별정보저장시영향평가또는위험도분석결과에따라암호화적용여부및적용범위설정 개인정보처리시스템접속기록의안전한보관 보안프로그램의자동업데이트기능사용및일 1 회이상업데이트실시 별도의물리적보관장소에대한출입통제절차의수립 운영, 서류또는보조저장매체등의안전한보관 개인정보처리방침수립및공개 20 개인정보보호법업무사례집

개인정보처리방침수립및공개 - 개인정보처리자는다음과같은사항을포함하는개인정보처리방침을수립 공개 개인정보처리방침공개방법 - 인터넷홈페이지에지속적으로게재 < 개인정보처리방침수립및공개예시 > Ⅰ. 개인정보보호법핵심정리 21

개인정보파일등록및개인정보열람등 개인정보파일의등록및공개 - 공공기관의장은운용하는개인정보파일을운용일로부터 60일이내에행정안전부장관에게등록을신청 등록 예외 1) 개인정보파일의명칭 2) 개인정보파일의운영근거및목적 3) 개인정보파일에기록되는개인정보의항목 4) 개인정보의처리방법 5) 개인정보의보유기간 6) 개인정보를통상적또는반복적으로제공하는경우에는그제공받는자 7) 개인정보파일을운용하는공공기관의명칭 8) 개인정보파일로보유하고있는개인정보의정보주체수 9) 해당공공기관에서개인정보처리관련업무를담당하는부서 10) 개인정보의열람요구를접수 처리하는부서 11) 개인정보파일의개인정보중열람을제한하거나거절할수있는개인정보의범위및제한또는거절사유 1) 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일 2) 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 3) 조세범처벌법 에따른범칙행위조사및 관세법 에따른범칙행위조사에관한사항을기록한개인정보파일 4) 공공기관의내부적업무처리만을위하여사용되는개인정보파일 5) 다른법령에따라비밀로분류된개인정보파일 - 행정안전부장관은개인정보파일등록현황을인터넷홈페이지에게재 22 개인정보보호법업무사례집

개인정보의열람및정정 삭제요구권 - 정보주체에게개인정보의열람, 정정 삭제, 처리정지요구권제공 대리인또는 14세미만아동의법정대리인에의한권리행사 열람등요구자에대한실비범위에서수수료와우송료청구가능 - 정보주체는공공기관에개인정보열람요구서를제출하거나행정안전부장관을통해요구가능 열람제한 거절사유중어느하나에해당하지않는한열람요구를받은날부터 10일이내에열람허용 개인정보영향평가제도 공공기관이개인정보파일운용으로개인정보침해우려시위험요인분석과개선사항도출을위해개인정보영향평가를의무적으로실시 - 구축 운용또는변경하려는개인정보파일로서 5만명이상의정보주체에관한법제23조에따른민감정보또는고유식별정보의처리가수반되는개인정보파일 - 구축 운용하고있는개인정보파일을해당공공기관내부또는외부에서구축 운용하고있는다른개인정보파일과연계하려는경우로서연계결과 50만명이상의정보주체에관한개인정보가포함되는개인정보파일 - 구축 운용또는변경하려는개인정보파일로서 100만명이상의정보주체에관한개인정보파일 - 개인정보영향평가를받은후에개인정보검색체계등개인정보파일의운용체계를변경하려는경우그개인정보파일 Ⅰ. 개인정보보호법핵심정리 23

개인정보영향평가는행정안전부에서지정 고시한평가기관에의뢰하여실시 평가기관은법인으로 1 영향평가업무등의수행대가로받은금액의합계액이 2억원이상일것, 2 전문인력을 10이상상시고용할것, 3 사무실및설비를갖출것등 3가지요건을충족하여야함 행정안전부장관은평가기관을지정한경우 평가기관지정서 를발급하고, 1 평가기관의명칭 주소및전화번호와대표자의성명, 2 지정시조건을붙이는경우그조건의내용을관보에고시하여야함 개인정보영향평가의절차 - 개인정보영향평가는사전분석, 영향평가의실시, 평가결과의정리단계로수행 - 사전분석단계는 1 영향평가의필요성검토 2 영향평가수행주체의구성 3 평가수행계획의수립순으로진행 - 영향평가의실시단계는 1 평가자료의수집, 2 개인정보의흐름분석, 3 개인정보의침해요인분석, 4 위험도산정, 5 개선사항의도출순으로진행 - 평가결과의정리단계는 1 개선계획서의작성, 2 영향평가서의작성순으로진행 영향평가서필요적기재사항 1 개인정보파일운용과관련된사업의개요및개인정보파일운용의목적 2 영향평가대상개인정보파일의개요 3 평가기준에따른개인정보침해의위험요인에대한분석 평가및개선이필요한사항 4 영향평가수행인력및비용 24 개인정보보호법업무사례집

< 개인정보영향평가절차 > 개인정보유출신고제도 개인정보처리자는개인정보유출되었음을알게되었을때는지체없이 (5일이내 ) 일정사실을정보주체에게통지해야함 Ⅰ. 개인정보보호법핵심정리 25

통지사항 1 유출된개인정보의항목 2 유출된시점과그경위 3 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4 개인정보처리자의대응조치및피해구제절차 5 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 1만명이상의정보주체에관한개인정보유출시에는정보주체에게통지후, 행정안전부또는전문기관 ( 한국정보화진흥원및한국인터넷진흥원 ) 에개인정보유출을신고하도록의무화 - 통지방법 : 서면, 전자우편, 모사전송, 전화, 휴대전화문자전송등 개인정보보호법 위반행위에대한관계기관의역할 - 개인정보보호위원회 : 중앙행정기관, 지방자치단체, 헌법기관에대한시정조치권고 - 행정안전부또는중앙행정기관 : 위법사항발견, 신고접수등의경우자료제출요구또는검사, 침해행위중지등시정조치명령, 수사기관고발및책임있는자의징계권고등 집단분쟁조정제도및단체소송 집단분쟁조정제도 - 국가및지방자치단체, 개인정보보호단체및기관, 정보주체, 개인정보처리자는다수의정보주체 (50명이상 ) 에게같거나비슷한유형의피해또는권리침해가발생한경우, 일괄적으로분쟁조정을의뢰또는신청가능 개인정보피해의대량 소액특성을고려하여집단분쟁조정제도도입 26 개인정보보호법업무사례집

- 신속한피해구제를위해개인정보분쟁조정위원회에분쟁신청 개인정보분쟁조정위원회 : 위원장 1인을포함한 20인이내의위원으로구성되며, 조정사건의분야별 5인이내의조정부를구성해분쟁업무를효율적으로수행 단체소송 - 개인정보처리자가집단분쟁조정을거부하거나그조정결과를수락하지않는경우법원에권리침해행위금지 중지를구하는소제기가능 - 다만, 단체소송의남발방지를위해사전에집단분쟁조정제도를거치도록하고, 소송대상을권리침해행위의금지및중지청구소송으로한정 개인정보보호기본계획수립 행정안전부장관은 3년마다관계중앙행정기관의장과협의하여작성및제출 기본계획이시작되는해의전전년도 12월 31일까지개인정보보호위원회의심의 의결필요 - 기본계획내용 : 개인정보보호의기본목표와추진방향, 관련제도및법령의개선, 침해방지대책, 자율규제의활성화, 교육 홍보의활성화, 전문인력양성, 그밖에개인정보보호를위하여필요한사항등 < 개인정보보호기본계획수립절차 > Ⅰ. 개인정보보호법핵심정리 27

개인정보보호실태점검 공공기관대상실태점검은매년정기적으로실시되며, 기관의개인정보관리미비점을점검 개선하는것이목적 공공기관은개인정보보호각업무별처리사항을행정안전부또는관계중앙행정기관에제출 28 개인정보보호법업무사례집

Ⅱ. 개인정보업무처리및응답

. 개인정보업무처리및응답 1. 개인정보의처리 1) 개인정보의개념 개인정보의의의및범위 1.1.1 개인정보보호법에서정하고있는개인정보범위는어느정도까지인가? 개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보와해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것까지포함합니다. - 사망한개인의정보가유족과의관계를나타내는정보이거나유족등의명예또는사생활의비밀과자유를침해하는경우에는개인정보에해당될수있습니다. - 일반정보, 신체정보, 의료건강정보, 금융정보, 교육정보등다양한정보가포함됩니다. < 개인정보의예시 > 유형구분 일반정보 교육및훈련정보 개인정보항목 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적, 휴대전화번호학교출석사항, 최종학력, 학교성적, 기술자격증및전문면허증, 이수한훈련프로그램, 동아리활동, 상벌사항, 학번 Ⅱ. 개인정보업무처리및응답 31

가족정보 병역정보 부동산정보 소득정보 기타수익정보 신용정보 고용정보 법적정보 의료정보 조직정보 통신정보 위치정보 신체정보 습관및취미정보 가족의이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 군번및계급, 제대유형, 주특기, 근무부대 소유주택, 토지, 자동차, 기타소유차량, 상점및건물등 현재봉급액, 봉급경력, 보너스및수수료, 기타소득의원천, 이자소득, 사업소득 보험 ( 건강, 생명등 ) 가입현황, 회사의판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 대부잔액및지불상황, 저당, 신용카드, 지불연기및미납의수, 임금압류통보에대한기록 현재의고용주, 회사주소, 상급자의이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격테스트결과직무태도 전과기록, 자동차교통위반기록, 파산및담보기록, 구속기록, 이혼기록, 납세기록 가족병력기록, 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트등각종신체테스트정보 노조가입, 종교단체가입, 정당가입, 클럽회원 전자우편 (E-mail), 전화통화내용, 로그파일 (Log file), 쿠키 (Cookies) GPS 나휴대폰에의한개인의위치정보 지문, 홍채, DNA, 신장, 가슴둘레 흡연, 음주량, 선호하는스포츠및오락, 여가활동, 비디오대여기록, 도박성향 개인정보보호법 제 2 조 32 개인정보보호법업무사례집

1.1.2 개인정보의범위가그개인을알아볼수있는정보를모두포함하는데반이나이름만표기되거나이름과전화번호만포함되어도 ( 주민등록번호가들어가지않는문서 ) 업무관리시스템에서비공개문서로처리해야하는가? 주민등록번호가비록포함되어있지않은경우에도, 반과이름또는이름과전화번호만으로개인이식별될수있으므로, 이같은정보들도개인정보에포함되며, 개인정보보호법 의적용을받습니다. 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지않도록안전성확보에필요한기술적 관리적및물리적조치를해야합니다. - 주민등록번호가포함되지않은문서라고하더라도개인정보를포함하고있는경우에는접근통제나접근권한의제한, 암호화등의안전성확보조치를취해야합니다. 공문서에서공개 비공개에관한사항은 공공기관의정보공개에관한법률 제9조 ( 비공개대상정보 ) 에규정되어있으며, 개인에관한정보는동조제1항제6호에따라처리해야합니다. 개인정보보호법 제 29 조 1.1.3 만 12 세학생인경우개인정보항목의범위를어디까지로보아야하는가? 개인정보의범위는연령에따라다르지않습니다. 학생의이름, 이메일주소, 주소, 전화번호등이개인정보에해당됩니다. Ⅱ. 개인정보업무처리및응답 33

- 다만, 만 14세미만아동의개인정보를처리하기위하여법정대리인의동의를받아야하는데, 이경우에법정대리인의동의를받기위하여필요한최소한의정보로서법정대리인의성명과연락처는해당아동으로부터직접수집가능합니다. 개인정보보호법 제2조및제22조 1.1.4 동의없이수집할수있는개인정보는무엇이며, 어떠한경우에동의없이수집할수있는가? 정보주체의동의없이개인정보를수집할수있는사유는다음과같습니다. 정보주체의동의없이개인정보를수집할수있는사유 1 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 2 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 3 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 4 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 5 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지않아야함 ) 34 개인정보보호법업무사례집

개인정보보호법 제 15 조 1.1.5 주민등록번호를제외한성명이나연락처를상급기관에제공할때도동의를받는가? 주민등록번호가없다고하더라도성명이나연락처도 개인정보보호법 의보호를받는개인정보에해당되고, 이를상급기관에제공할경우에는아래의예외에해당되지않는한정보주체의동의를받아야합니다. 1 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 2 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 개인정보보호법 제 17 조 1.1.6 1 사무실개인전화번호도개인정보인가? 2 사업자등록번호도개인정보인가? 3 휴대전화번호를개인정보로취급해야하는가? 4 학생의학번도개인정보에포함되는가? 개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보와해당정보만 Ⅱ. 개인정보업무처리및응답 35

으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것까지포함합니다. - 사무실개인전화번호도개인정보에해당되지만, 담당직원이담당하고있는업무와관련한목적을위해서는직원의전화번호와이메일을수집 이용할수있다. - 사업자등록번호는법인사업자인경우에는개인정보에해당되지않습니다. 그러나개인사업자인경우에는순수하게사업에대한정보만이아니라개인에관한정보와도결합하여개인을알아볼수있기때문에개인정보로볼수있습니다. - 휴대전화번호나학생의학번도개인정보에해당됩니다. 개인정보보호법 제 2 조 1.1.7 대학에서사용되는학생의학번이나교직원사번도개인정보로분류하여안전성확보에필요한기술적, 관리적, 물리적조치를하여야하는가? 학번이나사번도개인정보에해당됩니다. 따라서개인정보를보호하기위한안전성확보조치를취하여야합니다. 개인정보보호법 제 2 조, 제 29 조 1.1.8 홈페이지또는게시판에학생들의수상또는당첨사항등을공지할때학번을기재하면개인정보보호법에위배되는가? 36 개인정보보호법업무사례집

학생들의수상이나당첨사항등을공지하기위하여개인정보를공개하는때에는개인정보의공개에대한동의를받아야합니다. 동의를받지않고공개하는경우에는 개인정보보호법 위반입니다. 개인정보보호법 제 17 조 1.1.9 대학의보유개인정보를구분할경우, 1 차적으로내부구성원 ( 교직원, 소속학생 ) 정보, 외부인 ( 외래교원위촉신청자, 홈페이지일반가입자, 입시지원자 ) 기본개인정보가될것입니다. 이러한 1 차개인정보를세분화할경우 1 차정보와연계된 2 차개인정보로구분됩니다. 예를들면내부구성원 > 교직원의경우, 급여및인사, 관계기관대출정보등이 2 차정보가될것이며, 내부구성원 > 학생의경우, 도서및학자금대출정보, 개인별상담내역, 학적및성적정보등이 2 차정보가될것입니다. 외부인 > 외래교원위촉신청자의경우, 자기소개및이력서, 지원내용이 2 차정보이며, 외부인 > 홈페이지일반가입자의경우는특별한 2 차정보는별도로없으며, 외부인 > 입시지원자의경우 2 차정보는학생부등이해당될것입니다. 개인정보법에서규정하고있는개인정보는상기구분을기준으로볼때, 1 차정보만을대상으로하고있는지, 2 차정보까지포괄하는지범위및 1, 2 차정보구분별개인정보처리법적용여부와세부처리지침이궁금합니다. 또한내부구성원중에서도교직원관련업무 ( 급여, 인사등 ) 는동의가필요없는사항이고, 내부구성원중소속학생에대해서는외부인정보처럼동의를구하거나, 공고를하는등절차가필요한사항인지궁금합니다. 저번개인정보보호법시행에따른순회교육시, 학적정보를활용하여대학도서관에서연체정보등을관리할경우, 용도외사용이므로별도로동의를얻던 Ⅱ. 개인정보업무처리및응답 37

지아니면홈페이지에공고를하여야한다고들었습니다. 그렇다고하면, 대학의교육의무에따른교육기관의기본업무를수행함에있어, 내부구성원 ( 소속학생 ) 의기본개인정보 (1 차 ) 및파생정보 (2 차 ) 모두외부인의개인정보를처리하듯이, 각유형별로정보주체의추가동의또는활용공지, 개인정보파일업무처리즉시파기등을수행해야하는가? 개인정보보호법 에의하여보호되는개인정보는질문한 1, 2차개인정보로구분하지않습니다. 내부구성원이라고하더라도개인정보를수집하기위해서는동의가필요합니다. - 다만, 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우나대학이법령등에서정하는소관업무의수행을위하여불가피한경우에한하여동의없이수집할수있으며, 이경우에도그수집목적의범위에서만이용할수있습니다. 교직원관련업무를위하여개인정보를수집하는경우에도정보주체의동의없이개인정보를수집할수있는사유 에해당하지않는한정보주체인교직원의동의를받아야합니다. 학생으로부터수집한개인정보는합법적으로수집된목적의범위내에서만이용할수있고, 그범위를벗어날경우에는동의를받아야합니다. 따라서학적정보를이용하여연체정보등을관리할때에는별도의동의가필요합니다. - 개인정보수집목적에이에관한사항을포함시켰다면, 그범위내에서정보주체의동의없이개인정보를이용할수있습니다. 개인정보의활용목적을달성한때에는지체없이개인정보를파기하여야합니다. 38 개인정보보호법업무사례집

개인정보보호법 제 15 조, 제 18 조 1.1.10 개인적편의를위해컴퓨터에수록된정보를프린트로출력하였습니다. 출력물에기록된개인정보도이법의적용을받는가? 개인정보보호법 은개인정보가종이에기록되어있는지컴퓨터에디지털형태로저장되어있는지에관계없이적용됩니다. 개인정보보호법 제 2 조 1.1.11 원활한학급경영을위해학기초학생의보호자정보 ( 전화번호및핸드폰번호 ) 를수집하는경우개인정보파일로등록하여야하는가? 학생보호자에대한정보도개인정보로서보호되지만, 학생에게발생될수있는비상상황에대비하여학부모로부터최소한의연락정보를수집하는것은가능하며, 비상연락망은내부업무처리를위한개인정보파일 로서등록대상에서제외됩니다. 정보주체인학생을통해수집한학부모의개인정보를처리하는때에는정보주체인학부모의요구가있으면즉시개인정보의수집출처, 처리목적및개인정보처리정지를요구할권리가있다는사실을정보주체에게알려야합니다. - 다만, 그개인정보가공공기관이등록한개인정보파일에관한사항에포함되는때에는고지할필요가없습니다. 물론이때에는정보주체의권리보다명백히우선하는경우에한합니다. Ⅱ. 개인정보업무처리및응답 39

개인정보보호법 제 20 조 1.1.12 회원가입제로운영되지않는인터넷홈페이지는이용약관및개인정보수집에대한동의서를받지않는다. 이때자동으로수집되는개인정보 ( 쿠키, IP 접속정도등 ) 에대해서는정보주체의동의없이수집, 보관하게되는데그래도무방한가? 개인정보보호법 에따른보호는회원가입제인지여부와는무관하며, 회원가입제가아니라고하더라도개인정보를수집, 이용하고자하는경우에는법에따른예외에해당되지않는한정보주체의동의를받아야합니다. - 동의없이쿠키, IP 접속정도등자동으로수집되는개인정보가허용되는지의여부는먼저이법에따라보호되는개인정보인지의여부에대한판단이이루어져야합니다. - 단순히 IP 접속정도는개인정보라고보기어렵지만, 쿠키는수집하는범위에따라개인을알아볼수있는정보이거나다른정보와쉽게결합하여개인을알아볼수있는경우에는동의를받아야합니다. 개인정보보호법 제 2 조 1.1.13 시스템운영시사용되는 PMS, 백신등사용자정보를요구하는프로그램배포시또는이들이수집하는개인또는컴퓨터정보들도개인정보에포함이되는지여부또는동의대상인가? 40 개인정보보호법업무사례집

프로그램배포시인증등을위하여 ID나비밀번호등의개인을식별할수있는정보를수집하는경우에는 개인정보보호법 에따라보호하는개인정보이며, 동법에따라서동의를받아야합니다. 개인정보보호법 제 2 조, 제 15 조 1.1.14 출퇴근시사용하는지문인식기도개인정보범위내에포함되는가? 지문인식기에의하여수집하는지문정보도개인을알아볼수있는정보로서개인정보에해당하며, 이처럼지문과같은생체정보는다른개인정보와는물리적으로분리된별도의 DB에저장하고, 높은수준의접근통제를제공해야합니다. 또한본인인증목적의생체정보는일방향으로암호화하여야합니다. 개인정보보호법 제 2 조, 제 29 조, 개인정보의안전성확보조치기준 제 7 조제 3 항 개인정보처리자, 개인정보보호책임자, 개인정보취급자의개념 개인정보처리자와개인정보취급자는누구인가? 1.1.15 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말하며, " 개인정보취급자 란개인정보를처리함에있어서개인정보가안전하게관리될수 Ⅱ. 개인정보업무처리및응답 41

있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자를말합니다. - 개인정보처리자는개인정보의처리에관한업무를총괄해서책임질개인정보보호책임자를지정하여야합니다. 각기관별로개인정보보호책임자의명단을별도로관리하고있지는않습니다. 공공기관의경우 1 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관및중앙행정기관 : 고위공무원단에속하는공무원또는그에상당하는공무원 2 1 외에정무직공무원을장 ( 長 ) 으로하는국가기관 : 3 급이상공무원또는그에상당하는공무원 3 1 및 2 외에고위공무원, 3 급공무원또는그에상당하는공무원이상의공무원을장으로하는국가기관 : 4 급이상공무원또는그에상당하는공무원 4 1 부터 3 까지의규정에따른국가기관외의국가기관 : 해당기관의개인정보처리관련업무를담당하는부서의장 5 시 도및시 도교육청 - 시 도교육청 : 3 급이상공무원또는그에상당하는공무원 - 교육지원청 : 4 급이상또는그에상당하는공무원 ( 과단위교육지원청은운영 5 급이상 ) 6 시 군및자치구 : 4 급공무원또는그에상당하는공무원 7 제 2 조제 5 호에따른각급학교 : 해당학교의행정사무를총괄하는사람 - 유치원 : 원장 - 초중고 : 교장 ( 초중등교육법제 20 조 : 교장은교무를통활 ) - 대학 : 처 실 국장등그에상당하는보직자 8 1 부터 7 까지의규정에따른기관외의공공기관 : 개인정보처리관련업무를담당하는부서의장. 다만, 개인정보처리관련업무를담당하는부서의장이 2 명이상인경우에는해당공공기관의장이지명하는부서의장 42 개인정보보호법업무사례집

공공기관외의경우 1 사업주또는대표자 2 개인정보처리관련업무를담당하는부서의장또는개인정보보호에관한소양이있는사람 개인정보보호법 제 2 조, 제 28 조, 제 31 조, 개인정보보호법시행령 제 32 조, 표준개인정보보호지침 제 2 조제 6 호 개인정보보호책임자의역할은무엇인가? 1.1.16 개인정보보호책임자는다음과같은주요업무를수행합니다. 1 개인정보보호계획의수립및시행 2 개인정보처리실태및관행의정기적인조사및개선 3 개인정보처리와관련한불만의처리및피해구제 4 개인정보유출및오용 남용방지를위한내부통제시스템의구축 5 개인정보보호교육계획의수립및시행 6 개인정보파일의보호및관리 감독 - 개인정보의적절한처리를위하여대통령령이정하는바에따라개인정보처리방침의수립 변경및시행, 개인정보보호관련자료의관리, 처리목적이달성되거나보유기간이지난개인정보의파기등의업무를수행합니다. - 개인정보보호책임자는업무를수행함에있어서필요한경우개인정보의처리현황, 처리체계등에대하여수시로조사하거나관계당사자로부터보고를받을수있다. - 또한개인정보보호와관련하여이법및다른관계법령의위반사실을알게된경우에는즉시개선조치를하여야하며, 필요하면소속기관또는단체의장에게개선조치를보고하여야합니다. Ⅱ. 개인정보업무처리및응답 43

개인정보보호법 제 31 조 1.1.17 개인정보보호책임자의업무및지정요건에보면각급학교의개인정보보호책임자는해당학교의행정사무를총괄하는사람으로나오는데어떤직책의사람을책임자로지정해야하는가? 또한유치원도개인정보보호책임자를지정해야하는가? 개인정보처리자는개인정보의처리에관한업무를총괄해서책임질개인정보보호책임자를지정하여야합니다. 공공기관의경우 1 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관및중앙행정기관 : 고위공무원단에속하는공무원또는그에상당하는공무원 2 1 외에정무직공무원을장 ( 長 ) 으로하는국가기관 : 3급이상공무원또는그에상당하는공무원 3 1 및 2 외에고위공무원, 3급공무원또는그에상당하는공무원이상의공무원을장으로하는국가기관 : 4급이상공무원또는그에상당하는공무원 4 1부터 3까지의규정에따른국가기관외의국가기관 : 해당기관의개인정보처리관련업무를담당하는부서의장 5 시 도및시 도교육청 - 시 도교육청 : 3급이상공무원또는그에상당하는공무원 - 교육지원청 : 4급이상또는그에상당하는공무원 ( 과단위교육지원청은운영 5급이상 ) 6 시 군및자치구 : 4급공무원또는그에상당하는공무원 44 개인정보보호법업무사례집

7 제2조제5호에따른각급학교 : 해당학교의행정사무를총괄하는사람 - 유치원 : 원장 - 초중고 : 교장 ( 초중등교육법제20조 : 교장은교무를통활 ) - 대학 : 처 실 국장등그에상당하는보직자 8 1부터 7까지의규정에따른기관외의공공기관 : 개인정보처리관련업무를담당하는부서의장. 다만, 개인정보처리관련업무를담당하는부서의장이 2명이상인경우에는해당공공기관의장이지명하는부서의장 공공기관외의경우 1 사업주또는대표자 2 개인정보처리관련업무를담당하는부서의장또는개인정보보호에관한소양이있는사람 - 다만, 개인정보처리자가동창회, 동호회등친목도모를위한단체를운영하기위하여개인정보를처리하는경우에는개인정보보호책임자를지정하지않아도됩니다. 개인정보보호법 제 31 조, 제 58 조 1.1.18 개인정보보호책임자를지정한후홈페이지에공개하려고합니다. 어떤사항을공개하여야하는지요? 개인정보처리자가 개인정보보호책임자 를지정하거나변경하는경우개인정보보호책임자의지정및변경사실, 성명과부서의명칭, 전화번호등연락처를개인정보처리방침에서공개하여야합니다. Ⅱ. 개인정보업무처리및응답 45

- 개인정보처리자는개인정보보호책임자를공개하는경우개인정보보호와관련한고충처리및상담을실제로처리할수있는연락처를공개하여야합니다. - 다만, 개인정보보호책임자와개인정보보호업무를처리하는담당자의성명, 부서의명칭, 전화번호등연락처를함께기재할수있다. 개인정보보호법 제 31 조, 표준개인정보보호지침 제 23 조및제 37 조 1.1.19 개인정보보호책임자의지위와개인정보보호책임자, 개인정보담당자, 개인정보취급자의차이점이정확히어떻게되는지요? 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말하며, 개인정보보호책임자 는개인정보의처리에관한업무를총괄해서책임지는자이며, 개인정보취급자 란개인정보를처리함에있어서개인정보가안전하게관리될수있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자를말합니다. 개인정보보호법 제 2 조, 제 28 조, 제 31 조. 46 개인정보보호법업무사례집

1.1.20 시행령제32조에제2항제1호에개인정보보호책임자의지정요건에교육지원청은명시적으로나와있지않은데어디에해당되는지? 학교의경우해당학교의행정사무를총괄하는사람을누구로보는지요? 교육지원청은 가목부터사목까지의규정에다른기관외의공공기관 에해당하여개인정보처리관련업무를담당하는부서의장 (4급또는그에상당하는공무원, 과단위운영교육지원청은 5급또는그에상당하는공무원 ) 이개인정보보호책임자로지정됩니다. - 다만, 개인정보처리관련업무를담당하는부서의장이 2명이상인경우에는교육지원청의장이지명하는부서의장이됩니다. 각급학교의경우해당학교의행정사무를총괄하는사람 ( 교장 ) 을개인정보보호책임자로지정합니다. 개인정보보호법 제 31 조, 개인정보보호법시행령 제 32 조 1.1.21 정보통신망이용촉진및정보보호등에관한법률에개인정보관리책임자를지정하도록되어있습니다. 이와별도로개인정보보호책임자를지정해야하는가? 정보통신망이용촉진및정보보호등에관한법률 제27조에따른개인정보관리책임자를지정한경우에는개인정보보호책임자를별도로두지않을수있습니다. - 다만, 동법에따른개인정보관리책임자는정보통신망에서의개인정보보호업무만을대상으로하기때문에정보통신망외에서의개인정보보호업무를위해서는개인정보보호책임자를지정하여야합니다. Ⅱ. 개인정보업무처리및응답 47

표준개인정보보호지침 제 22 조 1.1.22 중고통합학교또는분교의경우개인정보보호책임자지정및개인정보파일관리등개인정보보호업무를별도로수행해야하는가? 초 중등교육법, 고등교육법, 그밖의다른법률에따라설치된각급학교의경우해당학교의행정사무를총괄하는사람이개인정보보호책임자로될수있습니다. - 중고통합학교나본교 분교가동일한조직으로운영되고, 법적으로동일체라면별도의지정이필요없습니다만, 그렇지않다면별도로지정및업무를수행해야합니다. 이때개인정보보호책임자는개인정보보호계획의수립및시행, 개인정보처리실태및관행의정기적인조사및개선, 개인정보처리와관련한불만의처리및피해구제, 개인정보유출및오용 남용방지를위한내부통제시스템의구축, 개인정보보호교육계획의수립및시행, 개인정보파일의보호및관리 감독, 그밖에개인정보의적절한처리를위하여대통령령으로정한업무를수행하여야합니다. 개인정보보호법 제 31 조 1.1.23 영상정보처리기기관리책임자의역할은무엇인지개인정보보호책임자가겸할수있는가? 48 개인정보보호법업무사례집

개인영상정보보호책임자는개인영상정보의처리에관한업무를총괄해서책임을지는자입니다. 개인영상정보보호책임자의업무 1 개인영상정보보호계획의수립및시행 2 개인영상정보처리실태및관행의정기적인조사및개선 3 개인영상정보처리와관련한불만의처리및피해구제 4 개인영상정보유출및오용 남용방지를위한내부통제시스템의구축 5 개인영상정보보호교육계획수립및시행 6 개인영상정보파일의보호및파기에대한관리 감독 7 그밖에개인영상정보의보호를위하여필요한업무 - 개인정보보호법 제31조에따른개인정보보호책임자가지정되어있는경우에는그개인정보보호책임자가개인영상정보보호책임자의업무를수행할수있습니다. 행정기관은업무의효율적처리와책임소재를명확하게하기위하여단위업무별로분장을하여소관업무를수행합니다. 행정업무의효율적운영에관한규정 제60조 ( 업무의분장 ) - 따라서, 개인정보보호책임자가개인영상정보처리에관한업무도같이수행할경우에는개인영상정보보호책임자를겸할수있으나, 개인정보보호책임자의부서가아닌다른부서에분장된업무라면개인영상정보처리에관한업무를총괄하는부서의장이개인영상정보보호책임자가됩니다. 개인정보보호법 제 31 조, 표준개인정보보호지침 제 41 조 Ⅱ. 개인정보업무처리및응답 49

개인정보처리자 개인정보처리자의범위는어디까지인가? 1.1.24 개인정보처리자는공공기관, 영리 비영리법인, 영리 비영리단체, 개인이모두포함된다. - 기존의 공공기관의개인정보보호에관한법률, 정보통신망이용촉진및정보보호등에관한법률 등과는달리공공부문과민간부문이모두포함되며, 주식회사와같은영리기업은물론동창회 동호회와같은비영리단체도포함된다. 개인에는 1인사업자, 개인활동가등본인의업무를목적으로개인정보를처리하는경우가포함됩니다. 개인정보처리자 : 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말합니다. 공공기관의범위 1 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관, 중앙행정기관 ( 대통령소속기관과국무총리소속기관을포함한다 ) 및그소속기관, 지방자치단체 2 그밖의국가기관및공공단체중대통령령으로정하는기관ᄀ 국가인권위원회법 제3조에따른국가인권위원회ᄂ 공공기관의운영에관한법률 제4조에따른공공기관ᄃ 지방공기업법 에따른지방공사와지방공단ᄅ특별법에따라설립된특수법인ᄆ 초 중등교육법, 고등교육법, 그밖의다른법률에따라설치된각급학교 50 개인정보보호법업무사례집

개인정보보호법 제 2 조제 5 호, 개인정보보호법시행령 제 2 조 1.1.25 시간제근로자 ( 아르바이트 ) 도개인정보취급자에포함되는가? 개인정보취급자는개인정보가안전하게관리될수있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자를말하므로, 시간제근로자 ( 아르바이트 ) 도개인정보취급자에포함됩니다. 개인정보보호법 제 28 조, 표준개인정보보호지침 제 2 조제 6 호 1.1.26 학교에서담임교사를하고있는데저는개인정보취급자인가? 개인정보취급자는개인정보가안전하게관리될수있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자를말하므로, 담임교사는개인정보취급자입니다. 개인정보보호법 제 28 조, 표준개인정보보호지침 제 2 조제 6 호 1.1.27 개인정보취급자란개인정보보호업무를직접적으로담당하는직원만을지칭하는가? Ⅱ. 개인정보업무처리및응답 51

개인정보취급자는개인정보가안전하게관리될수있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자를말합니다. - 직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하여처리하는모든자를의미한다고규정하고있습니다. - 개인정보보호업무를직접적으로담당하는직원만을지칭하는것은아니며, 그밖에업무상필요에의해개인정보에접근하여처리하는자를모두말합니다. 개인정보보호법 제 28 조, 표준개인정보보호지침 제 2 조제 6 호 1.1.28 업무처리를위해학과조교에게개인정보를열람할수있도록했는데, 이경우도개인정보취급자에해당하는가? 개인정보취급자는개인정보가안전하게관리될수있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자를말하므로, 업무처리를위해개인정보에접근하는조교도이때의개인정보취급자에해당합니다. 개인정보보호법 제 28 조, 표준개인정보보호지침 제 2 조제 6 호 1.1.29 행정업무처리시학교내근로학생을시켜자료정리를하는경우어떤조치를취해야하는가? 52 개인정보보호법업무사례집

개인정보처리자는개인정보를처리함에있어서개인정보가안전하게관리될수있도록임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자에대하여적절한관리 감독을행하여야합니다. 개인정보처리자는개인정보취급자를업무상필요한한도내에서최소한으로두어야하고, 개인정보취급자의개인정보처리범위를업무상필요한한도내에서최소한으로제한하여야하며, 개인정보처리시스템에대한접근권한을업무의성격에따라당해업무수행에필요한최소한의범위로업무담당자에게차등부여하고접근권한을관리하기위한조치를취해야합니다. - 보안서약서를제출하도록하는등적절한관리 감독을해야하며, 인사이동등에따라개인정보취급자의업무가변경되는경우에는개인정보에대한접근권한을변경또는말소해야합니다. 학교내근로학생을시켜자료를정리하는경우에는근로학생의업무상필요최소한도내로제한하여야합니다. 개인정보보호법 제 28 조, 표준개인정보보호지침 제 18 조 개인정보취급자의적절한교육주기는얼마인가? 1.1.30 개인정보처리자는개인정보의적정한취급을보장하기위하여개인정보취급자에게정기적으로필요한교육을실시하여야합니다. - 교육은사내교육, 외부교육, 위탁교육등여러종류가있을수있으나연간교육계획을수립하여모든개인정보취급자가일정시간이상교육에참여하도록해야합니다. - 또한개인정보취급자의지위 직책, 담당업무의내용, 업무숙련도등에따라교육내용도달라져야합니다. Ⅱ. 개인정보업무처리및응답 53

개인정보보호법 제 28 조 1.1.31 대학행정업무상인사부서등이교직원들의주민등록번호등의개인정보를인사관리목적상보관및관리하게됩니다. 이러한경우에도개인정보보호법에서규정하는 " 정보처리자 " 에해당하여개인정보보호법에서규정하는바와같이 " 정보주체 ( 교직원 )" 의정보제공동의서를받아야하는것인가? 대학행정업무상인사부서등이교직원들의주민등록번호등의개인정보를인사관리목적상보관및관리하게됩니다. 이러한경우에도 개인정보보호법 에서규정하는 개인정보취급자 에해당합니다. - 근로자가사용자에게근로를제공하고사용자는이에대하여임금을지급하는것을목적으로근로계약을체결한경우임금지급, 교육, 증명서발급, 근로자복지제공을위하여근로자의동의없이개인정보를수집 이용할수있습니다. - 그러나근로관계에서근로자는사용자보다약자의지위에처하게되므로근로자의개인정보는더욱중요하게보호될필요가있다. 따라서근로자의동의를받지않는다하더라도, 근로계약체결시근로계약서등을통해직원의개인정보수집 이용에관한사항을알리는것이바람직합니다 ( 직원개인정보수집목적, 수집항목, 직원의열람 처리정지 정정 삭제등에관한사항, 보유기간, 퇴직후직원정보처리절차등 ). 개인정보보호법 제15조 54 개인정보보호법업무사례집

2) 개인정보의수집 개인정보의수집허용 어떤경우에개인정보를수집 이용할수있는가? 1.2.1 개인정보처리자는다음과같은사유중어느하나에해당하는경우에개인정보를수집할수있으며, 그수집목적의범위에서이용할수있습니다. 1 정보주체의동의를받은경우 2 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 6 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 ( 개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한함 ) 개인정보보호법 제 15 조 Ⅱ. 개인정보업무처리및응답 55

개인정보의수집허용 ( 동의없는수집의예외 ) 1.2.2 정보주체의사전동의를받을수없어부득이하게개인정보를수집 이용하였을경우어떻게처리해야하는가? 개인정보처리자는정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우에는개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. 개인정보보호법 제 15 조 개인정보의수집허용 - 과제참여자 1.2.3 대학교수님이연구과제를수행함에있어과제수행및연구비지급등에필요한연구위원, 보조연구원의개인정보를수집할수있는가? 개인정보를수집 이용하지않고는정보주체와계약을체결하고, 체결된계약의내용에따른의무를이행하는것이불가능하거나현저히곤란한경우개인정보는정보주체에대한고지 동의없이도개인정보를수집할수있습니다. - 연구과제에참여하는연구위원, 보조연구원등은이와같은계약을체결하고체결된계약의내용에따른의무를이행하는자에해당한다고할수있으므로이들에대한개인정보는정보주체에대한고지, 동의없이수집할수있다고보아야합니다. 56 개인정보보호법업무사례집

개인정보보호법 제 15 조 개인정보의수집범위 1.2.4 입학생또는재학생의개인정보를수집할수있는범위가어디까지인가? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 교육기본법 제23조의3에따라학교생활기록등의학생정보가교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 개인정보보호법 제 15 조 개인정보의수집범위 ( 필요최소한 ) 개인정보수집시최소한의개인정보범위는어디까지인가? 1.2.5 개인정보처리자는 개인정보보호법 제15조제1항각호의어느하나에해당하여개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야합니다. Ⅱ. 개인정보업무처리및응답 57

- 최소한의개인정보수집 은사안에따라다르며, 수집목적에따라다르게판단될수있습니다. 다만, 최소한의개인정보수집이라는입증책임은개인정보처리자가부담합니다. 개인정보보호법 제 15 조, 표준개인정보보호지침 제 7 조 1.2.6 정보주체가필요한최소한의정보외의개인정보수집에동의하지아니한다는이유로정보주체에게서비스의제공을거부할때는어떻게해야하는가? 개인정보처리자는개인정보의처리에대하여정보주체의동의를받을때에는정보주체에게동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용을알려야합니다. - 개인정보처리자는정보주체가선택적으로동의할수있는사항을동의하지아니하거나 개인정보보호법 제18조제2항제1호및제22조제3항에따른동의를하지아니한다는이유로정보주체에게재화또는서비스의제공을거부하여서는아니됩니다. 개인정보보호법 제 16 조, 제 22 조제 3 항 제 4 항 1.2.7 목적에필요한최소한의범위의개인정보 라는말의최소한의범주는어떻게또는누가결정하는가? 아니면정확히명시된바가있는가? 58 개인정보보호법업무사례집

목적에필요한최소한의범위는수집의목적에따라달리파악되며, 이에대하여는최소한의범위는수집목적에따라다르므로정확히명시된바는없습니다. 개인정보보호법 제 16 조 1.2.8 법에는최소한의개인정보수집이라는입증책임은개인정보처리자가부담한다고합니다. 단위학교에서는어느정도가최소한인지판단하기어렵습니다. 개인정보를수집해야하는각사안별로최소한의항목을규정으로만들어주면학교에서일처리가쉽고입증책임의문제에서도훨씬대응하기가쉬울것같습니다. 내부규정으로만들계획이있습니까? 최소한의항목은각사안별로다르기때문에일률적으로정하기어렵습니다. 각공공기관등의장이정하여처리해야하며, 추후개인정보업무편람발간시검토할예정입니다. 개인정보보호법 제 16 조 1.2.9 학교에서학기초에학생, 학부모의정보를수집할경우동의를받지않고수집할수있는정보의범위는어디까지이며, 학부모의인적사항중월수입, 재산 ( 부동산등 ), 직업등의정보를수집할경우에는정보주체의동의를받아야하나? Ⅱ. 개인정보업무처리및응답 59

학생의개인정보수집은 교육기본법제23조 에의하여교육적목적범위내에서수집 처리 이용및관리되어야하므로, 이러한범위내에서학생의개인정보를동의없이수집및이용이가능하며, 법령에서명시한학교생활기록부, 건강기록부등에개인정보항목이외에는정보주체의동의를받아야합니다. 학부모의정보역시학생의교육적목적을위해필요한범위내에서수집되어야합니다. 학교생활기록부및학교생활세부기록부의가족상황에는부모의성명, 생년월일만기재하도록되어있으며, 특기사항으로학생이해에도움이될수있는내용이있는경우에는본인또는보호자의동의를받아서입력을할수있으나, 학생의교육적목적을위한범위에학부모의생활수준, 월수입, 재산, 직업, 종교, 학력등의정보가반드시필요하다고보기어렵습니다. 개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야하며, 최소한의개인정보수집이라는증명책임은개인정보처리자가부담하여야하므로개인정보수집시반드시필요한정보인지를판단하여수집해야합니다. 개인정보보호법 제 2 조, 교육기본법 제 23 조의 3, 초 중등교육법 제 25 조, 학교생활기록의작성및관리에관한규칙 1.2.10 최소한의개인정보와부가적인개인정보는구분되어야하며, 최소한의정보이외부가적인개인정보처리에대하여동의하지아니한다는이유로서비스제공을거부하면안되는가? 정보주체가필요한최소한의정보외의개인정보수집에동의하지아니한다는이유로정보주체에게재화또는서비스의제공을거부하여서는안됩니다. 60 개인정보보호법업무사례집

개인정보보호법 제 16 조 1.2.11 현재독서회원가입요건은주민등록증상주소지가부산인사람만가능하나타지역자라도부산내직장재직또는학교재학자는등록이가능합니다. 이때휴대폰과집전화번호를수집하는데이중한개의연락처만있을경우잦은번호변경등으로연락두절되어책회수가불가능한경우가있어본가의연락처를따로수집합니다. 이경우개인정보보호법에저촉되는것인가? 정보주체가필요한최소한의정보외의개인정보수집에동의하지아니한다는이유로정보주체에게재화또는서비스의제공을거부하여서는아니됩니다. - 다만, 개인정보수집및이용목적에서이에관한사항을포함하여정보주체로부터동의를받았다면, 개인정보보호법 에저촉되지않습니다. 개인정보보호법 제 16 조 1.2.12 입학후학생생활기록카드작성시보호자의인적사항중월수입, 재산 ( 부동산등 ) 을기재해도되는가? 개인정보처리자는 개인정보보호법 제15조제1항각호의어느하나에해당하여개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야합니다. 이경우최소한의개인정보수집이라는입증책임은개인정보처리자가부담합니다. Ⅱ. 개인정보업무처리및응답 61

- 보호자의인적사항중월수입, 재산 ( 부동산등 ) 은최소한의범위를넘어서는부분으로판단됩니다. - 학교생활기록부및학교생활세부기록부의가족상황에는부모의성명및생년월일만기재하도록되어있습니다. 개인정보보호법 제16조, 학교생활기록의작성및관리에관한규칙 제3조 1.2.13 예전에는아동기초조사를할때부모의직업에대해서도했던것같습니다. 지금은조사하지않는데, 개인정보보호법에위배되어서인가? 학생의학교생활기록등의학생정보는교육적목적범위내에서수집 처리 이용및관리되는되어야하므로, 이러한범위내에서학생의개인정보를수집할수있으며, 학부모의정보역시학생의교육적목적을위해필요한범위내에서수집되어야합니다. - 학생의교육적목적을위한범위내의정보에학부모의직업에관한정보가반드시필요한정보로보기어렵습니다. - 학교생활기록부및학교생활세부기록부의가족상황에는부모의성명및생년월일만기재하도록되어있습니다. 개인정보보호법 제 16 조, 학교생활기록의작성및관리에관한규칙 제 3 조 62 개인정보보호법업무사례집

1.2.14 외부기관에서장학금지급등을위하여개인정보항목을명시하여요구하는경우수집하는개인정보가최소한의개인정보라는입증책임어디에있으며, 수집근거가법률에근거한것인지개인의동의가필요한것인지에대한판단은어디서해야하는가? 개인정보처리자는 개인정보보호법 제15조제1항각호의어느하나에해당하여개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야합니다. 이경우최소한의개인정보수집이라는입증책임은개인정보처리자가부담합니다. 개인정보수집의법적근거및정보주체의동의필요성여부는개인또는기관내담당자의판단이아니라 개인정보보호법 이나하위법령및관련지침등에근거하여판단됩니다. 개인정보보호법 제 16 조 개인정보의수집 ( 동의의與否 ) 동의서를받아야하는개인정보에는어떤것들이있는가? 1.2.15 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보를말합니다. 이때해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함합니다. - 예를들어개인을식별할수있는개인정보로대한민국의국민중에서특정개인을구분할수있는신원정보 ( 성명, 주민등록번호, Ⅱ. 개인정보업무처리및응답 63

본적, 주소등 ), 학교 직장 단체등소속된곳에서특정개인을구분할수있는정보 ( 성명, 학번, 사번, 학년, 직급등 ), 기업의고객중에서특정개인을구분할수있는정보 ( 성명, ID 등고객관리정보, 결재정보, 재화 용역공급을위한주소지및연락처 ) 등이이에해당합니다. 개인정보보호법 제 2 조 1.2.16 학교에서개인정보를수집이용할경우동의서를받는기준은무엇인가? 개인을식별할수있는개인정보를수집하는경우정보주체의동의를받아야합니다. - 동의를받는방법은다음과같습니다. 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6 그밖에제 1 호부터제 5 호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 64 개인정보보호법업무사례집

개인정보보호법 제 2 조, 제 15 조 1.2.17 각종대회시대회신청서에생년월일이포함되는경우가있는데아동 ( 법정대리인 ) 의동의가필요한지궁금하며, 개인정보수집시유의점은무엇인가? 개인정보처리자는만 14세미만아동의개인정보를수집및제공하기위해이법에따른동의를받아야할때에는그법정대리인의동의를받아야합니다. - 하지만이와같이대회참가등을목적으로신청서를작성하는경우에는정보주체와의계약의체결및이행을위한경우 ( 개인정보보호법 제15조제1항제4 호 ) 라할수있으므로이에대한개별적인동의는받지않아도된다고할수있습니다. 개인정보보호법 제 15 조, 제 22 조 1.2.18 교육청공문중대회참가신청에서교사나아동의주민등록번호를요구하여자료취합에입력하는데개인정보보호에침해되지는않는지궁금합니다. 또공문서로회신할때개인정보포함첨부파일을암호화해서전송하니기록물관리팀에서기록물로전환시암호화파일은관리가안된다고암호화를하면안된다고하던데어떤식으로하는것이타당한가? 주민등록번호와같은고유식별번호를처리하는경우다른개인정보와달리별도의동의를받아야합니다. - 개인정보처리자는만 14세미만아동의개인정보를수집및제공하기위해이법에따른동의를받아야할때에는그법정대리인의 Ⅱ. 개인정보업무처리및응답 65

동의를받아야합니다. 개인정보를암호화한다면보호수준은높아질수있으나사업자및공공기관등개인정보처리자의부담이매우커지므로, 안전성확보조치기준고시에서는암호화대상개인정보로서고유식별정보, 비밀번호및바이오정보만을정하고있습니다. 개인정보보호법 제 15 조, 제 24 조 1.2.19 각종보고서작성시아이들활동사진이들어가는경우가많습니다. 뒷모습의경우도동의서를받아야하는가? 개인을알아볼수있는정보에해당하는한, 모든종류및모든형태의정보가개인정보가될수있습니다. - 이같은정보처리형식이나매체에도제한이없으며, 문자ㆍ부호ㆍ그림ㆍ숫자ㆍ사진ㆍ그래픽ㆍ이미지ㆍ음성ㆍ음향ㆍ영상ㆍ화상등의형태로처리된정보도모두포함될수있습니다. - 개인을알아볼수있는한개인정보에해당하며, 개인정보보호법 에서의보호대상으로법률에다른규정이없는한원칙적으로동의를받아야합니다. 개인정보보호법 제 2 조, 제 15 조 1.2.20 담임이학생연락처또는교직원연락처를수첩이나가방에넣고다니는경우에도관리와관련하여별도의동의서를받아야하는가? 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손 66 개인정보보호법업무사례집

되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. 가령개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치가이에해당한다고할수있습니다. 개인정보보호법 제 29 조 1.2.21 업무이행을위한임의서식에만 14 세미만아동의개인정보와관련된사항이있을경우는정보주체의본인동의서를반드시받아야하는가? 14세미만아동의경우개인정보의중요성이나위험성에대한인식이현저히부족하고, 정보수집목적의진위를평가하는능력이부족하기때문에아동을대상으로한무분별한정보수집을방지하기위하여법정대리인이미성년자를대신해서동의를하도록하고있습니다. 개인정보보호법 제22조 1.2.22 외부인에게강사료를지급해야하는경우원천징수하고소득신고를하기위하여기본적인개인정보 ( 주민등록번호및주소등 ) 가필요합니다. 이때정보주체의동의를받아야하는지아니면법제 15 조제 2 항또는제 3 항에해당하여동의없이정보를수집할수있는가? 개인정보처리자는법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우에는정보주체의동의를받지않더라도개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. Ⅱ. 개인정보업무처리및응답 67

- 소득지급자의소득귀속자에대한원천징수의무및원천징수이행상황신고의무 ( 소득세법 제127조및제128조 ) 등을이행하기위한개인정보의수집이법령상의무준수의예에속합니다. 개인정보보호법 제 15 조 1.2.23 내부지출결의서사용서식에지급되는계좌번호내역이기재되어있는경우에도정보주체의동의를받아야하는가? 정보주체와의계약의체결및이행을위하여불가피한경우로정보주체의동의없이도해당목적을위하여수집 이용이가능합니다. - 다만, 법률에특별한규정이있거나법령상의무준수를위하여불가피한경우, 공공기관의소관업무수행을위하여불가피한경우에는이를근거로개인정보를처리할수있으며, 이또한정보주체의동의없이개인정보의수집및이용이가능합니다. 개인정보보호법 제 15 조제 1 항제 4 호 1.2.24 도서관이용중발생되는알림메시지 ( 도서수령, 반납독촉등 ) 를 SMS 및이메일로발송해야하는경우가많은데이를위해정보활용동의를받아야하는가? 개인을식별할수있는개인정보를수집하는경우정보주체의동의를받아야하지만, 서비스제공등을목적으로계약을하는경우에는 개인정보보호법 제15조제1항제4호가규정하고있는 68 개인정보보호법업무사례집

정보주체와의계약의체결및이행을위한경우또는동항제3호가규정하는공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우라할수있으므로이에대한개별적인동의는받지않아도된다고할수있습니다. - 다만, 이같은경우수집되는개인정보는목적에필요한최소한의정보를수집하여야합니다. 개인정보보호법 제 15 조 1.2.25 친목단체를운영하는경우개인정보를수집하고자한다면이경우에도정보주체의동의가필요한가? 친목단체를운영하는경우다음과같은사항에대하여정보주체의동의없이개인정보를수집할수있습니다. 1 친목단체의가입을위한성명, 연락처및친목단체의회칙으로정한공통의관심사나목표와관련된인적사항 2 친목단체의회비등친목유지를위해필요한비용의납부현황에관한사항 3 친목단체의활동에대한구성원의참석여부및활동내용에관한사항 4 기타친목단체의구성원상호간의친교와화합을위해구성원이다른구성원에게알리기를원하는생일, 취향및가족의애경사등에관한사항등과같이그운영을위한사항의경우 개인정보보호법 제 15 조 Ⅱ. 개인정보업무처리및응답 69

1.2.26 발전기금기탁자에대해개인정보를수집하고있습니다. 국세청신고용기부금명세서를요구하는경우가있어주민등록번호와주소등의정보를수집하고있는데이러한경우에도개인정보수집 이용 제공동의서를받아야하나요? 만약, 동의서를받아야한다면기부금명세서를요구하는사람에한하여동의서를받아야하는가? 개인정보처리자는법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우에는정보주체의동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있다. - 정보주체의요청에의해 소득세법 제160조의3에따라기부금영수증을발행하고이를보관하는경우기부자의성명, 주민등록번호및주소등이포함될것을규정하고있는 소득세법시행령 제208조의3에따라정보주체의동의없이도수집이용할수있다고볼수있습니다. 개인정보보호법 제 15 조, 소득세법 제 160 조의 3, 소득세법시행령 제 208 조의 3 1.2.27 학교발전기금기탁자관리시주민등록번호, 주소, 전화번호등을수집하고있습니다. 개인정보수집에대한동의를받아야하나요? 개인정보처리자는공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. 학교발전기금기탁자관리의경우 학교발전기금의조성 운용및회계관리에관한규칙 제9조기탁자의개인정보를관리하도록되어있습니다. 따라서수집에대한동의는필요없습니다. 70 개인정보보호법업무사례집

다만, 다른개인정보의처리에대한동의와별도로동의를받거나법령에서구체적으로그처리를요구하거나허용되어야합니다. - 따라서, 동규칙제9조에따른 발전기금기탁서 에서주민등록번호의기재를요구하고있으므로정보주체의별도의동의가필요합니다. 개인정보보호법 제 15 조, 학교발전기금의조성 운용및회계관리에관한규칙 제 9 조 1.2.28 학생신상정보에가족구성원이포함되어있을때가족구성원의각각동의가필요한가? 학생신상정보에친구입력된친구등의각각동의가필요한가? 위신상정보에가족, 친구각각의정보수집활용할수있는정보의범위는어디까지인가?( 성명, 연락처, 주소, 출신학교, 주소등 ) 법률의규정에따라수집이허용되지않는한, 제3자인가족구성원이나친구에관한개인정보를수집및이용하기위해서는동의를받아야합니다. 개인정보처리자는 개인정보보호법 제15조제1항각호의어느하나에해당하여개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야합니다. - 최소한의개인정보수집 은사안에따라다르며, 수집목적에따라다르게판단될수있습니다. 다만, 최소한의개인정보수집이라는입증책임은개인정보처리자가부담합니다. Ⅱ. 개인정보업무처리및응답 71

개인정보보호법 제 15 조 1.2.29 대부분의대학교들이입학업무를외부 ( 진학사등 ) 에위탁하여실시하고있습니다. 현재진행하고있는개인정보수집동의는진학사에서의업무대행에대한부분만동의받고있습니다. 고등교육법시행령에의거수집되는정보이므로별도의정보주체의동의를얻지않아도되는가? 또한정보주체의동의를얻지않아도되면개인정보파일의수집근거의법적조항은어떻게적용해야하는가 ( 입학, 학적, 성적, 졸업등 )? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 고등교육법시행령 제35조제1항에따라대학의장은입학자를선발하기위하여고등학교학교생활기록부의기록, 교육과학기술부장관이시행하는시험 ( 대학수학능력시험 ) 의성적, 대학별고사 ( 논술등필답고사, 면접 구술고사, 신체검사, 실기 실험고사및교직적성 인성검사 ) 의성적과자기소개서등교과성적외의자료등을입학전형자료로활용할수있습니다. - 다만, 수집된개인정보의처리업무를외부업체에위탁하는경우 개인정보보호법 제26조를준수하셔야합니다. 개인정보보호법 제 15 조 제 17 조 제 26 조, 고등교육법시행령 제 35 조제 1 항 72 개인정보보호법업무사례집

1.2.30 홈페이지에비회원으로글쓰기를할경우아이핀 (i-pin) 을통한본인확인절차를거친후추가로업무처리에필요한전화번호, 이메일등을수집할경우에도개인정보수집에동의를받아야합니까? 동의를받을때에홈페이지메인에안내된 개인정보보호정책 에포함한것으로하고개별게시판에는별도의동의절차가없어도되는가? 개인정보보호정책혹은개인정보처리방침을공개하는것뿐만아니라개인정보의수집이나제공등개인정보에대하여동의를요하는사항에대하여분리하여설명하고동의를받아야합니다. 개인정보보호법 제 22 조 1.2.31 워크샵및컨퍼런스참가신청등록등에따라일시적으로수집이되고워크샵종료후파기되어지는개인정보도최초에정보주체로부터동의를받아야하는가? 그리고파기전까지그정보의관리또한개인정보보호법에따라야하는가? 개인정보를수집하는경우정보주체의동의를받아야합니다. - 하지만워크샵및컨퍼런스참가신청등록등에따라일시적으로수집이되는경우에는 개인정보보호법 제15조제1항제4호가규정하고있는정보주체와의계약의체결및이행을위한경우라할수있으므로이에대한개별적인동의는받지않아도된다고할수있습니다. - 다만, 이같은경우수집되는개인정보는목적에필요한최소한의정보를수집하여야합니다. Ⅱ. 개인정보업무처리및응답 73

개인정보보호법 제 15 조 1.2.32 파견근로자는직접계약인원이아닌데이력서및고유식별정보를인사정보 ( 종이문서 ) 및시스템에보관하여도되는가? 근로자가사용자에게근로를제공하고사용자는이에대하여임금을지급하는것을목적으로근로계약을체결한경우사용자는근로자의임금지급, 계약서에명시된복지제공등근로계약을이행하기위하여근로자의동의없이개인정보를수집 이용할수있습니다. - 그러나근로관계에서근로자는사용자보다약자의지위에처하게되므로근로자의개인정보는더욱중요하게보호될필요가있습니다. 따라서근로자의동의를받지는않는다하더라도근로계약체결시근로계약서등을통해직원의개인정보수집 이용에관한사항을알리는것이바람직합니다. 개인정보보호법 제 15 조 1.2.33 저소득층학교교육비지원사업 ( 학비, 학교급식비, 방과후학교자유수강권, PC 및인터넷통신비지원 ) 과관련하여온라인신청이어려운경우우편, 팩스, 직접제출등의방법으로신청접수하고있습니다. 신청서작성시학생및학부모 ( 보호자 ) 의개인정보 ( 주민등록번호, 계좌번호, 전화번호등 ) 를수집해야하는데수집에대한동의를받아야하나요? 저소득층학교교육비지원은법령등에서정하는공공기관의소관업무의수행을위하여불가피한경우로볼수있으므로학생및학부모의동의없이개인정보를수집할수있습니다. 74 개인정보보호법업무사례집

저소득층지원사업은 국민기초생활보장법, 한국장학재단법 등에근거하여이루어지지만, 해당법률에서주민등록번호의처리를요구하거나허용하고있습니다. 정보주체의동의가없어도주민등록번호의수집 이용이허용됩니다. 관련법령에따라법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우에해당하므로주민등록번호에대한별도의동의도필요없습니다. 개인정보보호법 제 24 조, 국민기초생활보장법 제 12 조, 동법시행령제 2 조및시행규칙제 13 조 1.2.34 민원업무 ( 행정정보열람, 제증명발급등 ) 처리시민원인 ( 본인또는제3자 ) 을확인하기위해주민등록번호, 주소, 전화번호등을수집하고있습니다. 수집에대한동의를받아야하나요? 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우에는정보주체의동의를받지않아도됩니다. 민원사무처리에관한법률 제15조에따라행정기관의장은민원사항에대한처리결과를민원인에게통지하여야하므로, 민원인의개인정보를수집할수있습니다. - 또한, 민원사무처리에관한법률 제10조에따라민원사항을처리하기위해민원인이소지한주민등록증 여권 자동차운전면허증등행정기관이발급한증명서로그민원사무의처리에필요한내용의확인이가능합니다. Ⅱ. 개인정보업무처리및응답 75

따라서학교등공공기관이접수된민원을처리하기위해신고자를확인하는경우동의없이도본인확인을위한개인정보의수집이가능합니다. 개인정보보호법 제 15 조제 1 항제 1 호, 민원사무처리에관한법률 제 10 조및제 15 조 1.2.35 대학에서주민을상대로교육을실시할경우피교육생의회계증빙자료및결과보고를위한최소한의개인정보자료를취득하기위하여개인정보주체에게동의를얻어야하는가? 정보주체와의계약의체결및이행을위하여불가피하게필요한경우로서교육제공계약에따른이행을위한경우에는동의없이수집하고그범위에서의이용은가능합니다. - 다만, 결과보고시제3자에게피교육생의개인정보를제공하는때에는동의를받아야합니다. 개인정보보호법 제15조, 제17조 1.2.36 개인정보수집을하지않고동문회원명부에등록된졸업생의개인정보를이용할경우정보주체에게따로동의를구하여야하나요? 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우를제외하고는개인정보를수집하는경우에는정보주체의동의를받아야합니다. 76 개인정보보호법업무사례집

- 동문회원명부에등록된졸업생의개인정보를이용할경우에는법률에특별한규정이있거나법령상의무를준수하기위한불가피한경우로보여지지않으므로정보주체의동의가필용합니다. 개인정보보호법 제 15 조 1.2.37 기관내재무팀에서외부인에게사업소득또는근로소득을지급하기위해주민등록번호와통장사본을받습니다. 소득세신고를위해주민등록번호를세무서에넘기는데이경우외부인으로부터동의를받아야하는가? 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우정보주체의동의를받지않더라도개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 소득지급자의소득귀속자에대한원천징수의무및원천징수이행상황신고의무 ( 소득세법 제127조및제128조 ) 등을이행하기위한개인정보의수집이법령상의무준수의예에속합니다. 개인정보보호법 제 15 조, 소득세법 제 127 조 1.2.38 PC 사용에대한개인정보 ( 이름, 주민등록번호 ) 를수집하고당일에삭제하고있습니다. 이경우에도개인정보수집동의를받아야하는가? 기간에관계없이개인정보를수집하는경우정보주체의동의를받아야합니다. 이러한경우라면컴퓨터화면에 동의, 동의 Ⅱ. 개인정보업무처리및응답 77

안함 버튼을클릭하는등으로동의의의사표시를할수있다. 개인정보보호법 제 15 조 1.2.39 방과후학교수업에서수업신청시기본적으로학부모성명, 연락처를기입하도록하는데그경우에도개인정보보호동의를받고일일이개인정보고지를하여야하는가? 방과후학교수업의경우법령등에서정하는공공기관의소관업무의수행을위하여불가피한경우로볼수있으므로부모의동의없이개인정보를수집할수있습니다. - 정보주체의학부모성명및연락처등은학생들의교육적목적을위해서만필요한최소한의정보에해당된다고할수있습니다. 개인정보보호법 제 15 조 1.2.40 회원가입제로운영이되지않는홈페이지에서사용자가묻고답하기등의각종게시판에글쓰기할때수집되는최소한의개인정보 ( 성명, 연락처, e-mail 주소정도 ) 에대해서도게시판별로개인정보수집에대한동의서를받아야하는가? 각종게시판에글쓰기를하는경우에도개인정보는보호되어야하므로, 수집에대한동의서를받아야합니다. - 다만, 그동의방식은반드시서면에의한동의일필요는없으며, 인터넷웹사이트화면에서 동의, 동의안함 버튼을클릭하는 78 개인정보보호법업무사례집

등으로동의의의사표시를할수도있습니다. 개인정보보호법 제 2 조, 제 15 조 1.2.41 학부모교육을실시후, 교육이수증빙자료발급을위하여참석자명부에기재된개인정보 ( 자녀학교명, 성명, 연락처정도 ) 를엑셀이나기타 DB로저장하게되는경우에개인정보수집에대한동의서를개인별로별도로받아야하는가? 교육이수후증빙자료의발급을위해수집 이용되는개인정보는법령에서개인정보처리자에게일정한의무를부과하고있는경우로서해당개인정보처리자가그의무이행을위해서개인정보를불가피하게이용할수밖에없는경우에해당합니다. 따라서이러한경우개별적으로동의서를받지않아도됩니다. 개인정보보호법 제 15 조 1.2.42 도서관회원증을발급받을때회원가입신청서를쓰는데그것도이용자분의동의를받아야하나요? 회원증을발급해드리고나서는그신청서를폐기해야하는가? 도서관의회원증을발급하기위하여회원가입을신청하는경우수집되는개인정보는정보주체와의계약의체결및이행을위하여불가피하게필요한경우라고할수있으므로동의를받을필요는없습니다. - 다만, 주민등록번호를수집할경우법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우에해당하지않는 Ⅱ. 개인정보업무처리및응답 79

다면별도의동의를받아야합니다. - 이러한경우수집하는개인정보는필요한범위내에서최소한으로하여야합니다. 개인정보보호법 제 15 조 1.2.43 참석자명부에소속, 직급, 성명등개인정보를작성하게되는데정보주체의동의를받아야하는가?( 개인정보보호법제15조제1항제6호의개인정보처리자의정당한이익을달성하기위하여필요한경우로볼수있는가?) 개인정보수집목적에따라달라지므로, 만약당해사례에서참석자명부에개인정보를작성하도록개인정보수집목적에서밝히고있다면, 정보주체의동의없이개인정보수집및이용이가능합니다. - 그리고, 개인정보보호법 제15조제1항제6호의개인정보처리자의정당한이익은좁게해석되고있으며, 이에대한입증책임도개인정보처리자가부담합니다. 개인정보보호법 제 15 조 1.2.44 증명발급업무시정보주체가아닌제3자가오는경우 3자의주민등록증을복사, 정보의주체가되는사람과통화확인후증명발급을하게되는데이때제3자에게도개인정보수집에따른동의서를따로받아야하는지요? 증명발급업무는법령에서개인정보처리자에게일정한의무를 80 개인정보보호법업무사례집

부과하고있는경우로서해당개인정보처리자가그의무이행을위해서개인정보를불가피하게수집 이용할수밖에없는경우를말합니다. - 법률에의한의무뿐만아니라시행령, 시행규칙에따른의무도포함된다. 따라서학교등공공기관이접수된민원을처리하기위해신고자를확인하는경우동의없이도본인확인을위한개인정보의수집이가능합니다. 개인정보보호법 제 15 조 1.2.45 대학에서정보주체는학생, 교원, 직원, 연구원등다양한형태로존재한다. 학생의경우교육기본법, 고등교육법등의법령에근거하여개인정보를수집할수있지만, 나머지구성원의경우개인정보를수집할수있는법령근거가있는가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. Ⅱ. 개인정보업무처리및응답 81

개인정보보호법 제 15 조, 근로기준법시행령 제 27 조 1.2.46 개인연구및사업에개인정보가있는서류에대해서도정보동의와개인정보파일등록을해야하나요? 개인정보파일의등록의무는공공기관의장에게만부과됩니다. 따라서개인연구및사업인경우에는필요하지않습니다. 개인정보보호법 제 32 조 1.2.47 대학보건소에서수집 ( 신체검사등 ) 되는정보및활용범위에대해동의를받아야하는가? 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령이정하는정보 ( 유전정보, 범죄경력 ) 를민감정보라고합니다. - 이러한정보를수집하는경우법령에서민감정보의처리를요구하거나허용하는경우를제외하고는원칙적으로정보주체의동의를받아야합니다. 학교보건법 제7조내지제11조에따른사항을이행하기위한경우해당민감정보를활용할수있습니다. 개인정보보호법 제 23 조 82 개인정보보호법업무사례집

1.2.48 입찰관련개인정보가있는서류에대해서도정보동의와개인정보파일대장기록을해야하나요? 정보주체와의계약의체결및이행을위하여불가피하게필요한경우동의없이개인정보의수집및이용이가능합니다. - 다만, 법인의정보는개인정보로서보호받지못합니다. 1개의개인정보파일에 1개의 개인정보파일대장 을작성하여야하지만, 입찰관련법인의정보는해당되지않습니다. 개인정보보호법 제 15 조 1.2.49 평생학습강좌로인해강사님들위촉계약이나성범죄경력조회를하게되는데이런것을작성할때개인정보들을입력해야하는데이런경우도별도의동의를얻나요? 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령으로정하는정보 ( 유전정보, 범죄경력자료에해당하는정보 ) 는정보주체에게동의를얻거나또는법령에서민감정보의처리를요구하거나허용하는경우에한하여처리할수있습니다. - 성범죄경력의경우범죄경력자료에해당하므로민감정보에포함됩니다. 따라서법령에구체적인근거가있는경우를제외하고정보주체에게별도의동의를얻어야합니다. - 아동 청소년의성보호에관한법률 제22조에따라유 초 중 고 특수학교및학원의장은취업하려하거나노무를제공하려는자에대하여본인의동의를받아성범죄경력조회를요청하여야합니다. Ⅱ. 개인정보업무처리및응답 83

개인정보보호법 제 18 조 제 23 조, 아동 청소년의성보호에관한법률 제 22 조 1.2.50 1 회성강좌의경우신청서에개인정보활용동의를꼭받아야하나요? 강좌를신청하는경우수집되는개인정보는정보주체와의계약의체결및이행을위하여불가피하게필요한경우라고할수있으므로동의를받을필요는없습니다. - 하지만이러한경우수집하는개인정보는필요한범위내에서최소한으로하여야합니다. 개인정보보호법 제 15 조 1.2.51 본인의희망으로청소년단체 ( 스카우트연맹등 ) 에가입을하는경우신청서를작성하여제출하는데이것도정보주체의동의를받아야하나요? 그리고가입단체에신청서를제출하는것에대해제3자제공동의를받아야하나요? 청소년단체가입등을목적으로신청서를작성하는경우에는정보주체와의계약의체결및이행을위한경우 ( 개인정보보호법 제15조제1항제4 호 ) 라할수있으므로이에대한수집동의는받지않아도되나, 제3자제공에대한동의는별도로받아야합니다. 주민등록번호를제공하는경우에는다른개인정보의제공동의 84 개인정보보호법업무사례집

와별도로고유식별정보의제공에대한동의를별도로받아야하며, 만 14세미만학생인경우법정대리인의동의를받아야합니다. 그리고이같은경우수집하는개인정보는필요한범위내에서최소한으로하여야합니다. 개인정보보호법 제 15 조 1.2.52 행정실에서민원정보처리시 ( 제증명발급등 ) 신분증사본등을정보주체로부터받는데이때에도정보제공동의서를별도로받아보관해야하는지요? 법령에서개인정보처리자에게일정한의무를부과하고있는경우로서해당개인정보처리자가그의무이행을위해서개인정보를불가피하게수집 이용할수밖에없는경우를말합니다. - 법률에의한의무뿐만아니라시행령, 시행규칙에따른의무도포함된다. - 따라서학교등공공기관이접수된민원을처리하기위해신고자를확인하는경우는 민원사무처리에관한법률 제15조에따라동의없이도본인확인을위한개인정보의수집이가능합니다. 개인정보보호법 제 15 조, 민원사무처리에관한법률 제 15 조 1.2.53 그린마일리지 ( 상벌제제도 ) 운영시학생들에게동의를받아야하는가? 공공기관이법령등에서정하는소관업무의수행을위하여불 Ⅱ. 개인정보업무처리및응답 85

가피한경우로서에서처럼교육을수행하기위하여수반되는그린마일리지제도는 교육기본법 제23조의3에따라학생들의동의없이도교육적목적범위내에서개인정보를수집및이용할수있습니다. 개인정보보호법 제 15 조 개인정보의수집허용 ( 동의의예외 ) 1.2.54 초중등교육법제20조교사는법령이정하는바에따라학생을교육한다. 라고되어있습니다. 교육하기위한목적으로학생정보를수집하는것이라면동의서를받지않아도되나요? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서위와같은경우는학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 86 개인정보보호법업무사례집

개인정보의수집허용 ( 동의거부 ) 1.2.55 만 14 세미만아동의개인정보를수집하려면, 법정대리인의동의를받아야하는데만약법정대리인이동의를하지않을경우어떻게해야하는가? 개인정보처리자는 14세미만의아동의개인정보이용동의를위해수집한법정대리인의개인정보를법정대리인의동의를얻기위한목적으로만이용하여야하며, 법정대리인의동의거부가있거나법정대리인의동의의사가확인되지않는경우수집일로부터 5일이내에파기해야합니다. 개인정보보호법 제 15 조, 제 22 조 1.2.56 저소득층지원업무처리시주민등록번호가필요할때가있는데, 이때주민등록번호수집동의서를학부모에게요구했을시동의를하지않는경우에는어떻게처리해야하나요? 저소득층지원혜택대상자에서제외를해야하는건가요? 개인정보보호법 제15조에서규정하고있는법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우라고할수있으므로동의없이도이를처리할수있다고볼수있습니다. - 저소득층지원사업은 국민기초생활보장법, 한국장학재단법 등에 Ⅱ. 개인정보업무처리및응답 87

근거하여이루어지고, 해당법률에서주민등록번호의처리를요구하거나허용하고있습니다. 정보주체의동의가없어도주민등록번호의수집 이용이허용됩니다. 개인정보보호법 제 16 조 1.2.57 학교홈페이지운영과관련하여교육활동사진, 학교행사사진, 수업동영상, 대회입상자공개등을게시할때학생, 학부모, 교직원등의동의를받아야하나요? 또일부학생과학부모가동의하지않을경우홈페이지에게시할수없나요? 단체사진일경우에는동의를거부한사람이있다면, 그로인해해당사진은게시를하면안되는것인가요? 비공개게시판이라면동의없이게시가가능한가요? 학교홈페이지에사진을올리는경우에는정보주체의동의를얻어야합니다. 동의를얻지못한경우에는홈페이지에올릴수없습니다. 단체사진의경우동의를거부한사람에대해식별할수없도록처리후게시가가능합니다. 만 14세미만인경우에는법정대리인의동의를받아게시할수있습니다. 88 개인정보보호법업무사례집

학생의활동사진을홈페이지에게시하는경우에는로그인등의방법으로제한된사람만이용할수있는지여부와관계없이정보주체인학생본인또는그법정대리인의동의를받아야합니다. 개인정보보호법 제 15 조, 제 17 조 1.2.58 대학에서선이수과목 ( 예, 대학영어, 기본수학, 기본물리학, 기본화학등 ) 이수대상자선발을위하여고등학교이수성적과관련한개인정보가필요하나, 학생본인의동의가없을경우이러한정보를어떻게얻어야하는가? 개인정보를수집하는경우정보주체의동의를받아야하지만, 이와같은경우 고등교육법 제23조제1항제3호가있으므로, 법률에특별한규정이있는경우에해당하므로정보주체의동의를구하지않더라도수집이가능하다고할수있습니다. 개인정보보호법 제 15 조 Ⅱ. 개인정보업무처리및응답 89

개인정보의수집허용 ( 수집동의의방법 ) 1.2.59 개인정보수집및제공동의서서식은법정서식으로지정되어있나요 ( 어디서구할수있는지 )? 개인정보수집및제공동의를위한특별한서식이있는것은아닙니다. 동의를받는방법에는어떤것들이있습니까? 1.2.60 동의획득방법은다음과같습니다. 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6 그밖에상기 5 가지방법에준하는방법 개인정보보호법 제 22 조 90 개인정보보호법업무사례집

1.2.61 어린이의경우부모가대신개인정보수집및이용동의서를작성하여도됩니까? 개인정보를수집하는경우정보주체의동의를받아야합니다. 이때개인정보처리자는만 14세미만아동의개인정보를처리하기위하여이법에따른동의를받아야할때에는그법정대리인의동의를받아야합니다. 개인정보보호법 제 22 조 1.2.62 학교홈페이지회원최초가입할때외에도, 정기적으로 2 년마다정보주체보호자의동의를받을때, 가정통신문형식으로동의를받아도되나요? 동의획득방법으로동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법이있습니다. 개인정보보호법 제22조 1.2.63 정보주체의동의를받은방법중전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법이있는데, 이경우학교에서결과물을남겨놓을수있는방법으로는어떤것이있으며, 그렇지않으면남겨놓지않아도되는지궁금합니다. 전화를통해서동의의의사표시를확인할수있으며, 이와같이동의가있었다는사실을증명할수있는방법으로통화내용녹취방법이있습니다. Ⅱ. 개인정보업무처리및응답 91

개인정보보호법 제 22 조 1.2.64 홈페이지의개인정보수집시수집항목및목적등을세부적으로제시하도록개인정보법에되어있는데, 기존대학홈페이지내에는포괄적으로되어있고필수사항이누락되어있어수정을계획하고있습니다. 이를현시점에서개인정보보호법에따라화면및내용을변경하고자할경우, 별도절차나공고없이그냥수정하여적용하면되는지, 아니면기존회원들에게전체메일링을하여홈페이지개인정보수집항목이변경되었음을별도로안내하거나, 홈페이지에해당변경사실을공고하는방식으로간단하게해야하는지정확한절차를알고싶습니다. 개인정보처리방침이수정된경우에는정보주체가쉽게확인할수있도록인터넷홈페이지에게재하거나이방법이불가능한경우에는다음의방법에따라공개해야합니다. 1 개인정보처리자의사업장등의보기쉬운장소에게시하는방법 2 관보 ( 개인정보처리자가공공기관인경우만해당한다 ) 나개인정보처리자의사업장등이있는시 도이상의지역을주된보급지역으로하는 신문등의진흥에관한법률 제 2 조제 1 호가목 다목및같은조제 2 호에따른일반일간신문, 일반주간신문또는인터넷신문에싣는방법 3 같은제목으로연 2 회이상발행하여정보주체에게배포하는간행물 소식지 홍보지또는청구서등에지속적으로싣는방법 4 재화나용역을제공하기위하여개인정보처리자와정보주체가작성한계약서등에실어정보주체에게발급하는방법 92 개인정보보호법업무사례집

개인정보보호법 제 30 조 1.2.65 기관에서전화친절도조사를실시할때전문업체에용역을맡기고, 이후에이의제기등에대비하기위해전화녹취를받으려고합니다. 그런데전화녹치의경우본인동의를받아야한다면어떻게해야합니까? 특별히법으로정한방법이있지는않습니다. 다만, 동의내용을객관적으로입증할수있을정도로분명해야합니다. 개인정보보호법 제 22 조 1.2.66 연수생들의신청서에개인정보가들어가는데신청서식을전자공문으로받습니다. 사인이따로들어가지않는데본인동의를위해서는꼭사인이들어간문서를받아야하는지요? 개인정보를수집하는경우정보주체의동의를받아야하지만, 연수등을목적으로신청서를작성하는경우에는 개인정보보호법 제15조제1항제4호가규정하고있는정보주체와의계약의체결및이행을위한경우라할수있으므로이에대한개별적인동의는받지않아도된다고할수있습니다. - 다만, 이같은경우수집되는개인정보는목적에필요한최소한의정보를수집하여야합니다. Ⅱ. 개인정보업무처리및응답 93

개인정보보호법 제 15 조 1.2.67 개인정보의수집 이용목적, 수집하려는개인정보의항목, 개인정보의보유및이용기간, 동의를거부할권리가있다는사실및동의거부에따른불이익내용공지는어떠한방법으로하는지? 개인정보동의획득시이같은사실을고지하므로 개인정보보호법 제22조에따른동의방법을따르면됩니다. 개인정보보호법 제 22 조 1.2.68 홈페이지게시판글등록시, 실명인증을필요로하는경우, 미취학아동이글을등록하고싶은경우어떻게해야하나요? 보통실명인증은금융기관거래실적등으로확인되는것으로알고있으나, 금융기관거래실적이없는미취학아동등의경우가궁금합니다. 본인확인은법령에따른의무를이행하기위한것으로주민등록번호, 아이핀 (i-pin), 금융정보등을통하여가능합니다. 1.2.69 서류업무에사용되는서식중개인정보관련기재항목이있을경우관련개인정보의수집 이용 제공 파기등의사항을법에근거하여기재하고동의를받을수있도록서식을변경해야하는가? 개인정보의수집에관해서는법이허용하고있는경우를제외하고는정보주체의동의를받아야합니다. 94 개인정보보호법업무사례집

- 따라서특별히법률에서동의를면제하는업무만을전담하는것이아니라면동의를받을수있는서식을마련해둘것을권장합니다. 1.2.70 시험감독관리요원선정시공문으로관리요원의인적사항 ( 휴대폰번호, 계좌번호등 ) 을요구하는경우가있는데어떻게동의를받아야하나요? 계약의체결또는이행을위한경우라고할수있으며, 동의없이개인정보를수집할수있습니다. 다만, 이때에수집되는목적에필요한최소한의정보이어야합니다. 1.2.71 교내학사시스템을운영하여업무처리시학적스키마 ( 테이블 ) 정보를각업무 ( 등록, 성적, 장학등 ) 에공유하여사용할경우, 동의처리절차는어떻게하여야하나요? 개인정보를수집하는경우정보주체의동의를받아야하지만, 교육기본법 제23조의3에근거규정이있으므로, 법률에특별한규정이있는경우에해당하므로정보주체의동의를구하지않더라도수집이가능하다고할수있습니다. - 다만, 수집된개인정보를제3자에게제공하는경우에는개별적인동의절차를거쳐야합니다. 1.2.72 학습자는수강신청절차상성명. 연락처. 주민등록번호등의정보가있어야하는데이러한정보는어떻게얻어야하는가? 수강신청등을위해신청서를작성하는경우에는 개인정보보호법 제15조제1항제4호가규정하고있는정보주체와의계약의체결및이행을위한경우또는 교육기본법 제23조의3에해당될수 Ⅱ. 개인정보업무처리및응답 95

있으므로이에대한개별적인동의는받지않아도된다고할수있습니다. - 다만, 이러한경우수집되는개인정보는목적에필요한최소한의정보를수집하여야합니다. 개인정보보호법 제 15 조 1.2.73 정보주체의장애등으로본인의의사표현이어려울경우에는어떻게해야하나요? 정보주체가정신미약등의사표시를할수없는상태에있는경우, 정보주체또는제3자의급박한생명 신체 재산상의이익을위하여필요하다고인정되는경우에도정보주체의동의없이개인정보를수집할수있다. 개인정보의수집동의의방법 ( 전화 ) 1.2.74 개인정보수집시정보주체의동의를받아야하는것으로알고있는데, 부득이전화로동의를받아도되는지요? 동의획득방법으로전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법이있습니다. - 이같은경우전화통화내용을녹취할것을권장합니다. 또한, 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법도있습니다. 96 개인정보보호법업무사례집

개인정보보호법 제 22 조 1.2.75 개인정보의처리에대하여정보주체의동의를받는방법중 2번전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법이있습니다. 이경우전화통화했다는입증을어떤방법으로하면되는가? 전화통화등을통해동의의사표시를입증하는방법으로녹취등이있을수있으나, 사전동의를받아야합니다. 개인정보보호법 제 22 조 1.2.76 음성으로동의를받을경우녹취가불가능하다면어떠한절차로처리하면되나요? 특별히법으로정한방법은없으며, 동의내용을객관적으로입증할수있을정도의방법을이용하실것을권장합니다. 개인정보보호법 제 22 조 Ⅱ. 개인정보업무처리및응답 97

1.2.77 강좌신청시민원인에게편의성을제공하기위해현장접수뿐만아니라전화접수도가능하게한다면개인정보활용동의는어떻게받아야하나요? ( 녹취가어려운기관사정을고려하여답변바랍니다.) 동의획득방법에전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법이있습니다. - 또한, 녹취는입증의문제이며, 동의는반드시녹취되어야하는것은아닙니다. 개인정보의수집동의의방법 ( 이메일 ) 1.2.78 법제15조에개인정보수집을위해서는정보주체의동의를얻도록되어있으며그세부적방법에전화나이메일등의방법이있습니다. 그럼전화나이메일등의방법으로동의를받은후의의사표시를보관하는방법과보관주기는어떻게되나요? 의사표시를보관하는방법에대하여법으로정한특별한방법은없으며, 그보관시기는동의를통하여획득하는개인정보의보관기간과동일하다고볼수있습니다. - 개인정보의보관기간은그목적에따라보유기간은전체개인정보가아닌개별개인정보의수집부터삭제까지의생애주기로서보유목적에부합된최소기간으로산정하되, 개별법령의규정에명시된자료의보존기간에따라산정해야한다. - 다만, 전화상으로동의의의사표시를확인하는경우통화내용을녹취하실것을권장합니다. 98 개인정보보호법업무사례집

개인정보보호법 제 22 조 개인정보의수집동의의방법 ( 동의의분리 / 병합 ) 별도로동의를받아야하는경우는어떤것들이있는가? 1.2.79 민감정보와고유식별정보는다른개인정보의동의와별도로동의를받아야합니다. 민감정보 : 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령이정하는정보 ( 유전정보, 범죄경력자료에해당하는정보 ) 고유식별정보 : 주민등록번호, 외국인등록번호, 여권번호, 운전면허번호 개인정보보호법 제 23 조, 제 24 조 1.2.80 " 받아야할동의서가여러개일경우한번에받을수있습니까? 학기초, 학년초, 입학시동의서를받아야하는사안을각각명시하고, 각각의동의를선택하도록해서한번에받을수있나요?" 개인정보자기결정권의핵심은정보주체가개인정보처리자의개인정보처리에대하여실질적인통제권을갖는것입니다. Ⅱ. 개인정보업무처리및응답 99

각각의사안에대해정보주체에게알려야할사항을명시하고각각의사안별로동의를선택하도록한경우라면일괄동의가가능합니다. ( 예시참고 ) 100 개인정보보호법업무사례집

일괄동의예시 업무명 단체보험가입 졸업앨범제작 홍보물제작 개인정보수집 이용동의 1. 수집이용목적 - 단체여행중안전사고대비를위한여행자보험가입신청 - 할인제도이용신청 2. 수집항목 : 이름, 주민등록번호, 장애등급 3. 이용및보유기간 : 4. 동의를거부할수있으며, 동의거부시보험가입신청에서제외됩니다. 개인정보수집동의 예 아니요 본인확인을위한고유식별정보수집동의 예 아니요 본인및할인제도이용대상여부확인을위한민감정보수집동의 ( 특수학교의경우 ) 예 아니요 1. 수집이용목적 : 졸업생앨범제작 2. 수집항목 : 학생사진, 성명, 학년, 반 3. 이용및보유기간 : 4. 동의를거부할수있으며, 동의거부시졸업앨범내용에본학생의정보는포함되지않습니다. 개인정보수집동의 예 아니요 1. 수집이용목적 : 교내외교육활동홍보및대외수상자홍보자료작성 2. 수집항목 : 학년, 반, 성명, 사진, 동영상, 작품활동내용, 수상내역 3. 이용및보유기간 : 4. 동의를거부할수있으며, 동의거부시홍보물내용에본학생의정보는포함되지않습니다. 개인정보수집동의 예 아니요 개인정보제 3 자제공동의 1. 제공받는자 : 여행사 2. 연락처 : 3. 제공받는자의이용목적 : 보험가입처리 4. 제공하는항목 : 이름, 주민등록번호, 장애등급 5. 제공받는자의보유 이용기간 : 6. 동의를거부할수있으며, 동의거부시보험가입처리가되지않습니다. 개인정보제 3 자제공동의 예 아니요 본인확인을위한고유식별정보제3자제공동의 예 아니요 본인및할인제도이용대상여부확인을위한민감정보제3자제공동의 ( 특수학교의경우 ) 예 아니요 1. 제공받는자 : 업체 2. 연락처 : 3. 제공받는자의이용목적 : 앨범제작 4. 제공하는항목 : 학생사진, 성명, 학년, 반 5. 제공받는자의보유 이용기간 : 제작후납품시까지 6. 동의를거부할수있으며, 동의거부시졸업앨범내용에본학생의정보는포함되지않습니다. 개인정보제 3 자제공동의 예 아니요 1. 제공받는자 : 업체 2. 연락처 : 3. 제공받는자의이용목적 : 학교홍보물제작 4. 제공하는항목 : 학생사진, 성명, 학년, 반 5. 제공받는자의보유 이용기간 : 제작완료시까지 6. 동의를거부할수있으며, 동의거부시홍보물내용에본학생의정보는포함되지않습니다. 개인정보제 3 자제공동의 예 아니요 성 명 : ( 인 ) 만 14세미만아동인경우반드시법적대리인의동의가필요합니다. 보호자 ( 법정대리인 ) 성명 : ( 인 ) 연락처 : 관 계 : 수집한개인정보는정보주체의동의없이수집한목적외로사용하거나제3자에게 제공되지않습니다. Ⅱ. 개인정보업무처리및응답 101

개인정보보호법 제 15 조 개인정보의수집목적 ( 포괄동의 ) 1.2.81 학교교육과정, 학급경영, 학교학급행사등학교생활에학생의개인정보를수집할경우그때마다동의서를받아놓아야하는지요? 교육기본법 제23조의3에따라교육적목적으로수집 처리 이용및관리되는학교생활기록등의학생정보는동의를얻지않아도됩니다. 개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 1.2.82 학교에서는학생들의체험활동, 수학여행, 졸업앨범제작등개인정보제공동의를받을일이매년반복되지만건별로동의서를받다보니선생님들의업무가가중되고있습니다. 학년초에일괄로동의서를받는방법은없나요? 교육기본법 제23조의3에따라교육적목적으로수집 처리 이용및관리되는학교생활기록등의학생정보는동의를얻지않아도됩니다. - 단, 주민등록번호의제3자제공은원칙적으로금지되며정보주체의별도의동의를받거나법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우에한하여만가능합니다. 102 개인정보보호법업무사례집

개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 1.2.83 각급학교에서학생들의교육을목적으로학생, 학부모의정보를수집 이용 제공하는업무중수집동의와제공에대한동의를각각받아야하나요? 학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도됩니다. 하지만수집된개인정보를제공하는경우에는개별적인동의를받아야합니다. 개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 1.2.84 개인정보제공동의서를받을때유효기한을학교내에서마음대로정할수있는가?( 예 : 입학시부터졸업시까지 ) 보유기간은전체개인정보가아닌개별개인정보의수집부터삭제까지의생애주기로서보유목적에부합된최소기간으로산정하되, 개별법령의규정에명시된자료의보존기간에따라산정해야합니다. - 개별법령에구체적인보유기간이명시되어있지않은경우에는개인정보보호책임자의협의를거쳐기관장의결재를통하여산정해야한다. 당해사례와같은경우 학교생활기록작성및관리지침 제18조에따라학교장은공공기관의기록물관리에관한법률및동법시행령에의거학교생활기록부 ( 학교생활기록부Ⅰ) 를준영구보존해야합니다. Ⅱ. 개인정보업무처리및응답 103

- 단, 초 중 고및특수학교의특수교육대상자중특수학교기본교육과정을적용하는학생에대하여는교과학습발달상황항목에 세부능력및특기사항 란을포함하여준영구보존해야합니다. 학교장은학교생활세부사항기록부 ( 학교생활기록부Ⅱ) 의전산자료와종이출력물을학생졸업후 5년동안보존하여야하며, 보존기간이종료된후폐기처분하여야합니다. - 단, 고등학교는상급학교입학전형자료로활용할수있도록학교생활세부사항기록부 ( 학교생활기록부Ⅱ) 를전산매체로 5년간추가보존합니다. 표준개인정보보호지침 제 64 조, 학교생활기록작성및관리지침 제 18 조 1.2.85 개인정보의수집, 이용, 제공을목적으로입학시정보주체의동의를받은경우학년초에도학급별로동의를다시받아야하는지? 학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 하지만수집된개인정보를제공하는경우에는개별적인동의를받아야합니다. 개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 104 개인정보보호법업무사례집

1.2.86 학교에서학기초생활기록부의기초자료나학생지도의목적으로통신문이나유인물형태의조사지를배부후수집하게되는데조사지에개인정보의처리목적, 보유기간등을명시한후동의를받아야하는지, 명시없이 학급경영을위해사용한다 ' 는문구삽입시학부모가작성해준다면정보주체의동의로해석해도되는가? 당해사례와같은경우는학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우로서그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. - 하지만, 수집된개인정보를그밖의목적으로이용하거나제공하는경우에는개별적인동의를받아야합니다. 개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 1.2.87 도서관리프로그램 (DLS) 을사용하는학교입니다. 매년전학년을대상으로개인정보수집에대한동의서를받아야하나요? 학교내에서사용하는업무에대해서한꺼번에동의서를받아서여러업무에동시에사용하면안되나요? 당해사례와같은경우는학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우로서그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. - 하지만수집된개인정보를그밖의목적으로이용하거나제공하는경우에는개별적인동의를받아야합니다. Ⅱ. 개인정보업무처리및응답 105

개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 1.2.88 입학생 ( 신규교수및직원 ) 의개인정보수집동의를받은경우, 대학업무를위해많은정보시스템 ( 학사행정, 일반행정, 연구행정, 온라인강의시스템, 발전기금, 기숙사, 동창회, 주차관리, 학생증등신분증관리등 ) 에저장되는데이때각각의시스템에서도동의를받아야하는지요? 혹시, 동의를받지않아도된다면입학시동의를받아야하는사항들은구체적으로무엇인가요? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 그러나직접적으로근로관계에관련된목적이외에다른목적으로제공되는경우이에대하여는동의를받아야합니다. 신입학생의경우에는교육적목적을위해서개인정보를수집하여이용할수있습니다. 다만, 최소한의범위내에서수집하여야한다. 1.2.89 학생의학적정보는학생의편의와행정의정확성을위하여도서관시스템에실시간연동이되어있습니다. 학생정보최초수집시도서관시스템에정보제공의동의를받으면자료연동이가능한가요? 학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. - 하지만수집된개인정보를그밖의목적으로이용하거나제공하 106 개인정보보호법업무사례집

는경우에는개별적인동의를받아야합니다. 그리고개인정보를제3자에게제공하는경우이에대하여는개별적인동의를필요로합니다. 1.2.90 도서관행사홍보를위해개인정보를가공하여 ( 학부, 대학원생등으로구분하여 ) 제 3 자 (SMS 발송대행업체 ) 에게의뢰하는데, 이를위해매행사마다정보활용동의를받아야하나요? 도서관에서이용자의개인정보는계약관계의체결또는이행을위한목적으로이용되는경우 개인정보보호법 제15조에따라동의없이수집이용할수있으나, 이를제3자에게제공하는경우이에대하여는동의를받아야합니다. SMS 발송대행업체에개인정보처리업무를위탁하는경우에는별도의동의가필요없습니다. 다만, 문서에의하여야하며, 개인정보의처리업무를위탁하는개인정보처리자는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자를정보주체가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야합니다. 개인정보의정보주체이외로부터수집한개인정보의수집출처등고지 1.2.91 정보주체에게제공받은명함이나, 전화번호부, 공개된인터넷홈페이지를통해개인정보를수집하는경우에도정보주체의동의를받아야하는가? 명함을주고받는행위와관련하여서는정보주체의명시적동의가없어도명함에기재된개인정보를이용할수있다고봅니다. Ⅱ. 개인정보업무처리및응답 107

- 명함을주고받는행위는사적관계, 업무관계의여부를불문하고일상생활에서다반사로일어나는관행적인행위입니다. - 따라서, 특별한조건을명시하여명함을교부한경우가아니라면, 일반적으로명함을교환하는행위에는명함에기재된정보를사용해도된다는동의가내재되어있다고해석됨이바람직합니다. 즉명함을준정황에비추어보아명함을교부한목적에부합하는이용이라면정보주체의동의가있었다고인정되므로개인정보처리자는명함에기재된개인정보를이용하기위해서반드시정보주체의동의를받아야할필요가없습니다. 개인정보보호법 제 15 조, 표준개인정보보호지침 제 6 조 개인정보수집-타인 ( 법정대리인 / 학부모등 ) 의개인정보의수집 / 이용 / 제공 1.2.92 학교에서학생관리를위해학생으로부터획득한학부모님관련휴대폰번호나직업관련정보도학부모로부터동의절차를거쳐야하는가? 교육적목적또는학생의비상상황에대비하여학부모의최소한의연락정보를수집하는것은가능하지만, 학부모의직업등에관련된정보는이러한범위내에있는것이라고할수없으며, 이러한정보를수집하기위해서는동의를거쳐야합니다. 개인정보보호법 제 15 조 108 개인정보보호법업무사례집

1.2.93 부양가족신고등서류작성시신고인만서명을한경우해당서류 ( 부양가족신고서등 ) 에포함된다른사람도개인정보수집에동의한것으로볼수있나요? 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우, 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우로서세법등에따라부양가족의신고시에는별도의동의없이부양가족의개인정보를수집하여그범위내에서이용할수있습니다. - 다만, 개인정보처리자가정보주체이외로부터수집한개인정보를처리하는때에는정보주체의요구가있으면즉시다음모든사항을정보주체에게알려야합니다. 1 개인정보의수집출처 2 개인정보의처리목적 3 제 37 조에따른개인정보처리의정지를요구할권리가있다는사실 개인정보보호법 제 15 조, 제 17 조, 제 20 조 1.2.94 " 학부모가학생의등록금고지서를요청한경우이를확인하기위해서는학생의개인정보 ( 주민등록번호또는학번 ) 를필요로합니다. 이때학부모에게학생의개인정보를요청할때에도동의를받아야하는건가요? 또, 학부모에게자료를제공할때학생의학부모인지입증되지않은상태에서학생의개인정보가담겨있는자료를제공해도되는건가요?" Ⅱ. 개인정보업무처리및응답 109

학생이미성년자인경우에는학부모는별도의동의없이학교에학생의개인정보를제공하고등록금고지서를요청할수있습니다. - 반면, 학생이미성년자가아닌경우에는학생의동의를받아서학교에개인정보를제공하고등록금고지서를요청할수있습니다. 학교는학생의개인정보가담겨있는등록금고지서를제3자인학부모에게제공하기위해서는학생의동의를받아야합니다. 학생의동의를받아학부모에게등록금고지서에게제공할수있습니다. 이경우에학부모인지에대한입증이요구됩니다. 개인정보보호법 제 17 조 1.2.95 " 학기초학생들을기본적인상황및비상연락망을파악하여학생을이해하고학생지도에도움을얻기위한기초실태조사를합니다. 1 학생을대상으로부모님의성명, 주소, 전화번호, 직업을조사하는경우에도정보주체 ( 학부모 ) 의동의를받아서작성토록해야하는지? 2 14 세미만의학생에대한기초실태조사방법은? 3 조사자료및비상연락망을보통워드파일과출력물로관리하는데이경우에도학교에서보유중인개인정보파일로등록해서관리해야하는지?" 학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 하지만이러한범위를넘어서는개인정보의수집의경우는개별적인동의를필요로한다고할수있습니다. 110 개인정보보호법업무사례집

- 학생의교육적목적을위한범위내의정보에학부모의직업에관한정보가반드시필요한정보로보기어렵습니다. 수집된개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. 개인정보 (14 세미만아동의실명인증 ) 1.2.96 홈페이지에서만 14 세미만아동의회원가입시미성년자의실명인증은어떤절차를거쳐야하나요? 만 14세미만아동의개인정보를처리하기위하여그법정대리인의동의를받아야합니다. 이경우법정대리인의동의를받기위하여필요한최소한의정보 ( 성명 연락처 ) 는법정대리인의동의없이해당아동으로부터직접수집할수있습니다. 개인정보 (14 세미만아동의법정대리인확인 / 부재 ) 1.2.97 만 14 세미만학생의회원가입시부모에게연락하여동의를받으려면최소한부모의성명이나연락처정보가있어야하는데이러한정보는어떻게얻어야하는가? 개인정보처리자는만 14세미만아동의개인정보를처리하기위하여동법에따른동의를받아야할때에는그법정대리인의동의를받아야합니다. - 이경우법정대리인의동의를받기위하여필요한최소한의정보는 Ⅱ. 개인정보업무처리및응답 111

법정대리인의동의없이해당아동으로부터직접수집할수있습니다. 1.2.98 농어촌에는결손가정학생들이많다. 조모나조부에부모가의탁한경우가많은데, 이경우정보제공동의서를초등학교담임교사가받기가매우어려운사정이있다. 이럴경우에는어떻게할수있나? 학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 1.2.99 학교업무처리시개인정보가필요할경우부모에게연락하여동의를받으려면최소한학생또는부모의성명이나연락처정보등이있어야하는데특수학교학생의경우시설에있어부모와연락이되지않는경우도있습니다. 이런경우시설의책임자에게개인정보동의를얻어야하는지아니면다르게처리해야하는지이러한정보는어떻게동의를얻어야하는지궁금합니다. 학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 1.2.100 만 14 세미만아동의개인정보수집을위하여부모동의를받아야하는데, 부모가사실혼관계이고, 등본상가족관계를입증할수있는아버지는연락이안되는상황이며, 아동과함께생활하는어머니는동거인으로서, 법적장부상가족관계를증명할수없는경우부모동의를어떻게받아야합니까? 112 개인정보보호법업무사례집

정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우동의가없더라도정보를수집 이용할수있습니다. 개인정보보호법 제 15 조 1.2.101 가정사정으로인해부모가없는경우 ( 소년소녀가장등 ) 나부모가법정대리인의역할을할수없는경우, 정신지체, 보육시설아동의경우에부모를대신하여만 14 세미만아동의법정대리인의역할을할수있는사람은누구인가요? 법정대리인인부모가역할을할수없는경우법원에서법정대리인을선임할수있습니다. 개인정보보호법 제 15 조, 민법 제 935 조 1.2.102 1. 법정대리인과연락이안되는경우 2. 소년소녀가장인경우 ( 만 14 세미만 ) 3. 보육시설아동 " 법정대리인이역할을할수없는경우법원에서법정대리인을선임할수있습니다. Ⅱ. 개인정보업무처리및응답 113

개인정보보호법 제 15 조, 민법 제 935 조 1.2.103 14세미만의미성년자인아동의법정대리인이조부일때보호자일경우조부가학부모서비스사이트에가입이불가능할경우정보주체의동의후대신가입해드릴수있는지요? 법정대리인인조부가미성년자의개인정보에대한동의권한을가지므로, 정보주체의동의없이도학부모서비스사이트에가입시켜줄수있습니다. 1.2.104 학생상담시요구되는가정생활환경 ( 생활수준, 직업등 ) 과관련된정보수집시정보주체의동의만있으면되는가요? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. - 하지만, 가정생활환경 ( 생활수준, 직업등 ) 과관련된정보등은학생의교육적목적과직접관련이있다고보이지않습니다. 1.2.105 생활기록부작성을위하여개인정보를수집하는경우에학부모의동의를받아야하는지? 114 개인정보보호법업무사례집

교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. - 하지만, 가정생활환경 ( 생활수준, 직업등 ) 과관련된정보등은학생의교육적목적과직접관련이있다고보이지않습니다. 1.2.106 우리반학생전체에게비상연락망을나누어줍니다. ( 개별전화번호가모두적혀있는연락망 ) 이렇게할때모든학부모에게동의를받고연락망을나누어주어야합니까? 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. - 따라서위와같은경우학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. - 담임선생님은개인정보를수집 이용할수있지만다른학부모에게개인정보를제공하기위해선정보주체의동의가필요합니다. 개인정보수집 (NEIS 관련질문 ) 1.2.107 학기초학생명부를작성할때나이스주소를참조하여엑셀이나한글파일로따로작성하여사용합니다. 이는 개인정보보호법 에저촉되는것입니까? 당해사례와같이학교에서교육목적으로학생의개인정보를 Ⅱ. 개인정보업무처리및응답 115

수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 1.2.108 중학교및고등학교입학시신입생개인정보는나이스시스템에서자동으로등록되는것도있고추가로조사하여기록하는것도있는데모두학부모동의를받아야하는가? 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. - 또한 초중등교육법 제25조제2항은학교생활기록을교육정보시스템으로작성 관리하도록하고있습니다. 그러므로법률에따라온라인등록을하므로동의가필요없습니다. - 결과적으로위의경우에는동의를받을필요가없습니다. 1.2.109 나이스학생생활기록부학적기본사항의학생및학부모, 가족상황, 주소등의인적사항입력오류등을확인할목적으로해당담임이정확한신상정보 ( 주민등록등초본, 가족관계증명서등 ) 를학부모에게요청할수있습니까? 만약가능하다면그절차는어떻게진행하는것이좋겠습니까? ( 질문배경 : 신입생학적부정리, 상급학교학적부이관작업이나, 통합학교홈페이지신규회원가입시본인인증이이루어지지않는등, 나이스에입력오류등이원인인경우가간혹발생합니다. 더욱이담임교사로서생활기록부정리작업을하여야하니부득이하게위질문처럼공증된문서를필요로하게됩니다.) 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. 116 개인정보보호법업무사례집

- 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서위와같은경우학교에서교육목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 개인정보수집및제공동의를위한특별한서식이인정되어있는것은아닙니다. 동의획득방법은다음과같습니다. 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6 그밖에상기 5 가지방법에준하는방법 Ⅱ. 개인정보업무처리및응답 117

1.2.110 학교에서는새로운학년이되어서따로주민등록번호등을수집하지않아도나이스에등록되어있어필요할때사용할수있습니다. 예를들어학생이대회에참가하거나각종서류를작성할때나이스에있는주민등록번호를사용하는데그럴때마다부모님께동의를얻어서사용해야하나요? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이같은경우는정보주체와의계약체결및이행으로볼수있으므로, 정보주체의동의없이개인정보를수집할수있습니다. - 또한, 교육기본법 제23조의 3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서위와같은경우학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 1.2.111 학부모서비스회원가입시인증서나아이핀 (i-pin) 을발급받아야하는데학부모본인이개인적인사정으로학교를방문할수없을경우대리인 ( 자녀 ) 으로하여금인증서및회원가입을할수는없는가? 전자서명법 제15조에따라공인인증서발급에는반드시본인확인이필요합니다. - 대리인인자녀로하여금인증서발급을허용할수는없습니다. 118 개인정보보호법업무사례집

전자서명법 제 15 조 1.2.112 나이스에있는자료를출력할때마다출력물관리대장에적나요? 그럼매학기마다성적확인을위해일람표를출력하면그걸매번적어야하는가? 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. - 출력할때마다출력물관리대장을작성하게하는것은안전성확보조치를이행하는것으로이해될수있습니다. - 다만, 나이스에서자동적으로출력기록이남는경우에는그에의하여대체될수있을것입니다. 1.2.113 나이스에있는학생자료활용할경우별도동의를다시받아야하는가? ( 방과후학교등 ) 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서위와같은경우학교에서교육목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않을수있습니다. Ⅱ. 개인정보업무처리및응답 119

개인정보수집 ( 주민등록등본제출 ) 1.2.114 학교에서필요한경우 ( 중학교진학관련주민등록등본첨부시 ) 학생들에게주민등록등본은어떻게얻어야하나요? 등본을받은후해야할일은무엇인가?( 개인정보처리대장에써야하는지등 ) 정보주체혹은 14세미만아동의개인정보수집시법정대리인의동의를얻어서수집할수있습니다. 주민등록등본을확인한후에는안전하게보관 관리하여야하며, 보관할필요가없다면파기또는정보주체에게반환하는것이좋습니다. 개인정보보호법 제 15 조 1.2.115 학생및가족정보가들어있는주민등록등본등의서류가학교업무처리상필요하다면주민등록등본이있는정보주체 ( 가족등 ) 전부에게각각동의를받아야하는가? 주민등록등본등을받으면사용후어떻게처리해야하는가? 학생을통하여가족정보가담긴주민등록등본을제출했다면, 이미개인정보의제공에동의한것으로볼수있고, 주민등록등본을제공받아개인정보를수집하거나확인했다면안전하게보관하거나불필요한경우에는지체없이파기하거나반환하여야합니다. 개인정보보호법 제 15 조, 제 17 조, 제 21 조, 제 29 조 120 개인정보보호법업무사례집

1.2.116 중학교입학배정업무중에서배정원서에학생들의주민등록번호를기재하여야하고확인증빙서류로주민등록등본을제출받아야합니다. 아래법령에서위임받은고시내용에의거 주민등록번호를원서에기재하여야하는경우 와, 특정지역에거주하는지의여부를확인하기위해주민등록등본을제출받는경우 도개인정보보호법에의거동의를받아야하는가? [ 관련법령및고시 ] 초 중등교육법시행령제68조 ( 중학교입학방법 ) 1 교육장은지역별 학교군별추첨에의하여중학교의입학지원자가입학할학교를배정하되, 거리 교통이통학상극히불편한지역의경우에는교육감이설정한중학구에따라입학할학교를배정한다. 2 추첨에의하여중학교를배정하는경우교육감이정하여고시하는지역에소재하는중학교입학지원자는교육감이정하는방법및절차에따라 2이상의학교를선택하여지원할수있으며, 교육장은그입학지원자중에서... 3항제1항의규정에의한지역 학교군 중학구및추첨방법은교육감이교육위원회의의결을거쳐정한다.( 아래고시사항 ) 울산광역시중학교학교군 중학구및추첨방법에관한사항 1. 학교군및중학구 1 지역별학교군 중학구및이에속할초등학교와중학교는 별표 와같다. 2 제1항의규정에도불구하고학교군별 중학구별수용계획과통학편의상교육장이필요하다고인정할때에는인근학교군또는중학구의학교에배정할수있으며, 학교군내에서도통학편의상필요하다고인정할경우그세부적인배정방법등을정하여운영할수있다." 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. Ⅱ. 개인정보업무처리및응답 121

- 초중등교육법시행령 제68조및 교육기본법 제23조의3에따라법률에특별한규정이있는경우에해당되므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서위와같은경우학교에서교육목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 이벤트를위한개인정보수집 1.2.117 온라인이벤트를개최하는경우에도개인정보수집에관하여동의절차를꼭거쳐야하는가? 정보주체와계약체결이나이행을위해불가피하게필요한개인정보는정보주체에대한고지 동의없이도개인정보를수집할수있도록한것이다. - 계약이행 은물건의배송 전달이나서비스의이행과같은주된의무의이행뿐만아니라부수의무즉경품배달, 포인트 ( 마일리지 ) 관리, 애프터서비스의무등의이행도포함된다. 설문조사를위한개인정보 학교교육계획수립과운영을위한교육과정설문조사, 만족도조사등의설문실시도개인정보보호와관련되 1.2.118 어있는가? 당해사례와같은무기명설문조사의경우개인정보보호와는관련이없는것으로보입니다. 122 개인정보보호법업무사례집

기초생활조사 / 기초실태조사를위한개인정보수집 1.2.119 새학기가되면기초생활조사를목적으로개인정보를수집하려고합니다. 적법한절차는어떻게되는가? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 하지만가정생활환경 ( 생활수준, 직업등 ) 과관련된정보등은학생의교육적목적과직접관련이있다고보이지않습니다. 따라서위와같은경우학교에서교육목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 생활기록부 / 신상기록부 / 학생명부 / 교무수첩에기록된개인정보 1.2.120 매년학년초에학생의신상을파악하여학년담임교사단위로학급의신상기록부를작성하여학생지도에도움을받습니다. 학생의기본정보를파악하는기본문서가되는데이럴경우에도학부모나학생으로부터정보제공동의를받아야하는것인가? 학교에서교육목적으로학생의개인정보를수집 처리 이용및 Ⅱ. 개인정보업무처리및응답 123

관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 1.2.121 학교에서학생및가족의개인정보를수집하여활용하는경우 ( 학생생활기록부, 학생지도활용, 가정으로의휴대전화문자보내기등 ) 에도정보주체의동의서를받아서처리해야하는가? 학생지도를위한학부모의연락처등은교육적목적상필요한범위내에서이루어지는것이라고보이며, 이러한정도의경우에는개별적인동의가필요한것으로보이지는않습니다. 1.2.122 학교생활기록부, 건강검사기록을위해필요한개인정보수집시동의를받아야하는가? 교육기본법 제23조의3에따라학교생활기록부등학생의개인정보는정보주체의동의없이수집이가능합니다. 1.2.123 학교에서신학기초학생명부를작성할경우학생의주소, 보호자명, 직업, 전화번호를조사하거나전년도정보를그대로사용하기도합니다. 물론이러한정보를외부로유출은하지않지만학부모회장에의하여사용될수도있었습니다. 개인정보보호법에서지켜야할사항은무엇인가? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의 124 개인정보보호법업무사례집

학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서위와같은경우학교에서교육적목적으로학생의개인정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. 하지만, 학부모회장에게개인정보를제공하는경우에도제3자제공에해당될수있으므로, 정보주체의동의가필요합니다. 또한개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지않도록안전성확보에필요한기술적 관리적및물리적조치를해야합니다. 1.2.124 개인정보수집시목적에필요한최소한의개인정보만수집해야한다고하는데학교에서학기초학생들의기초환경조사를위해정보를수집하는경우가있습니다. 학생, 학부모의개인정보를수집할경우수집할수있는범위 ( 학부모명, 연락처, 주민등록번호, 부모직업, 종교등 ) 는어디까지인가? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서학생지도와교육목적을넘지않는범위내에서수집되어야할것으로생각됩니다. Ⅱ. 개인정보업무처리및응답 125

- 다만, 종교에관한사항은민감정보에포함될수있으므로, 법령에명시적으로근거하지않는한, 정보주체의별도의동의가필요합니다. 1.2.125 담임선생님이학기초에학생들의파악을위해개인별신상조사서를작성하는데, 신상조사서를보유할수있는기한은언제인가? 담임을맡은 1년동안은소유해도무방한것인가? 당해사례의개인정보의보유기간은그목적하는바에따라다르며, 통상의경우 1학년을지도하는동안은당해목적범위라고할수있으므로 1년동안은보유할수있다고보입니다. 1.2.126 학기초녹색업무시학부모의연락처, 주민등록번호가필요한데, 이때학부모의동의후정보를요구할수있는가? 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서학생지도와교육목적을넘지않는범위내에서수집되어야할것으로생각됩니다. 다만, 주민등록번호는고유식별정보의하나로서, 다른개인정보의처리동의와별도로동의를받아야합니다. 126 개인정보보호법업무사례집

1.2.127 스쿨케어등무료문자서비스사용시시스템에학부모전화번호를저장하여사용할수있는가? 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우로서스쿨케어등무료문자서비스제공을위한목적내에서는수집및이용할수있습니다. 무료문자서비스를제공하는시스템이내부에있는경우, 내부망과시스템에필요한기술적인보안조치를하여야되며, 만약외부에있는시스템을활용하는경우개인정보의분실 도난 유출 변조또는훼손이발생하지않도록철저한관리가필요하며그에따른책임소재를명확히하여야합니다. 개인정보보호법 15 조 1.2.128 담임교사가사용하시는교무수첩안에는학생에대한개인정보가많이포함되어있는데, 개인정보파일목록에는교무수첩관련내용이빠져있는데어떻게처리해야하는가? 개인정보파일 은개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 ( 集合物 ) 을의미합니다. 교무수첩은기등록된학교생활기록부등에서정보를추출하여교육목적내에서사용되어지므로별도의개인정보파일등록은제외됩니다. 다만, 개인정보출력물의안전성확보조치가이루어져야합니다. Ⅱ. 개인정보업무처리및응답 127

개인정보보호법 제 2 조 1.2.129 담임교사가관리하는교무수첩관리 1. 담임교사가교무수첩에수기로작성한학생개인정보의경우동의서를받아야하는가? 2. 교무수첩보유기간은어떻게정해야하는가? 3. 교무수첩에수기로기록된상담일지도동의서를받아야하는가? 4. 수기상담일지의경우민감정보로처리해야하는가? 5. 교무수첩의개인적소장이가능한가?" 개인정보처리자는법률에규정이있거나법령상의무를준수하기위하여불가피한경우에는동의없이개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 이와같은경우는 교육기본법 제23조의3에학교생활기록등의학생정보는교육적목적으로수집 처리 이용및관리되는경우, 법률에특별한규정이있는경우에해당하므로동의를구하지않더라도수집이가능하다고할수있습니다. 따라서학생지도와교육목적을넘지않는범위내에서수집되어야할것으로생각됩니다. 보유기간은그목적에따라결정됩니다. 다만, 민감정보는 개인정보보호법 제23조에서명시적으로열거하고있는사항들에대해서만해당됩니다. 민감정보 : 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 범죄경력자료 교무수첩에기록된개인정보는교육적목적범위에서만이용되어야하므로, 이를개인적으로소장하는것은금지됩니다. 128 개인정보보호법업무사례집

직원수첩에기재된개인정보 1.2.130 직원수첩 ( 전화번호수첩포함 ), 사진첩등에성명, 자택전화번호, 휴대전화번호등개인정보가수록되어있는데직원수첩발간시수집동의를개인별로받아야하는가? 개인정보처리자는법률이달리정하는바에해당하지않으면정보주체의동의를받아개인정보를수집할수있으며, 수집목적의범위에서이용할수있습니다. 또한개인정보를제3자에게제공하는경우에도법률에서허용하는경우가아닌이상은동의를받아야합니다. - 따라서개인정보를포함하고있는직원수첩을발간하여배포하는경우개인의동의가필요합니다. 졸업앨범 / 졸업생주소록개인정보 1.2.131 학교에서졸업생들에대한주소록을앨범에포함시켜서배포하기도합니다. 주소록에는학생의이름과학반, 번호, 전화번호, 이메일등의개인정보가들어있습니다. 이와관련하여개인정보보호법에문제가될수있을까요? 만약배포된졸업생주소록으로인한범법행위를했을경우학교가이를책임져야하는가? 개인정보처리자는법률이달리정하는바에해당하지않으면정보주체의동의를받아개인정보를수집할수있으며, 수집목적의범위에서이용할수있습니다. - 따라서개인정보를졸업앨범등의제작에는개인의동의를요한다고하겠습니다. Ⅱ. 개인정보업무처리및응답 129

개인정보보호법 에따라정당하게개인정보를제공하지않았다면, 학교도책임을부담할수있습니다. 1.2.132 졸업앨범제작시학생성명, 반, 번호, 전화번호, 이메일, 개인사진, 단체사진등의개인정보를포함할경우동의를받아야하나요? 앨범을신청하지않거나, 동의를하지않는학생의정보는포함할수없나요? 개인정보를졸업앨범등의제작에활용하는경우개인의동의를받아야합니다. - 동의를하지않은학생의정보는포함할수없습니다. ( 교 ) 직원의개인정보 1.2.133 사원, 계약직직원, 파견근로자모두개인정보보호대상인가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 그러나근로관계에서근로자는사용자보다약자의지위에처하게되므로근로자의개인정보는더욱중요하게보호될필요가있다. 130 개인정보보호법업무사례집

- 따라서근로자의동의를받지않는다하더라도, 근로계약체결시근로계약서등을통해직원의개인정보수집 이용에관한사항을알리는것이바람직합니다 ( 직원개인정보수집목적, 수집항목, 직원의열람 처리정지 정정 삭제등에관한사항, 보유기간, 퇴직후직원정보처리절차등 ). 1.2.134 개인정보보호법발효이전에취득한개인정보를사용할경우본인의동의를거치는절차가반드시필요한가? 또, 학교의구성원 ( 교직원, 학생 ) 일경우개인정보의이용에동의를받지않더라도업무상사용이가능한가? 개인정보보호법 부칙제4조에따라동법시행전에다른법령에따라적법하게처리된개인정보는이법에따라처리된것으로간주됩니다. 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 그러나근로관계에서근로자는사용자보다약자의지위에처하게되므로근로자의개인정보는더욱중요하게보호될필요가있다. - 따라서근로자의동의를받지않는다하더라도, 근로계약체결시근로계약서등을통해직원의개인정보수집 이용에관한사항을알리는것이바람직합니다 ( 직원개인정보수집목적, 수집항목, 직원의열람 처리정지 정정 삭제등에관한사항, 보유기간, 퇴직후직원정보처리절차등 ). Ⅱ. 개인정보업무처리및응답 131

1.2.135 개인정보보호법관련하여교직원대상으로반드시받아야하는동의서는어떤것이있는가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 그러나근로관계에서근로자는사용자보다약자의지위에처하게되므로근로자의개인정보는더욱중요하게보호될필요가있다. - 따라서근로자의동의를받지않는다하더라도, 근로계약체결시근로계약서등을통해직원의개인정보수집 이용에관한사항을알리는것이바람직합니다 ( 직원개인정보수집목적, 수집항목, 직원의열람 처리정지 정정 삭제등에관한사항, 보유기간, 퇴직후직원정보처리절차등 ). 1.2.136 학교에서교직원의신상파악을하기위한목적으로집주소, 가족사항, 학력, 집위치, 전화번호등을기록하여명부를작성하거나필요시사용하기도합니다. 기록지를작성할때개인의정보동의를받아야하는것인가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. 132 개인정보보호법업무사례집

- 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 1.2.137 기관내출퇴근확인용으로지문인식기를운영할시직원들에게동의를받아야하는가요? 받아야한다면문서 ( 동의서 ) 를남겨보관해야하는가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 당해사례와같은경우 근로기준법 이정하고있는경우를벗어난정도의생체정보등의수집에해당하는것으로보이며, 이러한경우정보주체의동의를필요로합니다. 1.2.138 학교내에는여러부서 ( 교무, 학생, 기획, 총무등 ) 가있는데이중총무부서등이해당교직원들의주민등록번호등을인사관리목적상보관및관리하게됩니다. 이러한경우에도개인정보보호법에서규정하는 " 정보처리업자 " 에해당하여개인정보보호법에서규정하는바와같이 " 정보주체 ( 해당학교의교직원 )" 의정보제공동의서를받아야하는것인가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로 Ⅱ. 개인정보업무처리및응답 133

조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 1.2.139 직원들의내선번호, 휴대전화번호, 차량번호등을총무과업무편의상보관하고있고, 각자책상에연락처를붙여놓는데직원들의정보를수집할때도동의를받아야하는지여부와책상위에연락처게시는괜찮은가? 개인정보처리자는법률이달리정하는바에해당하지않으면정보주체의동의를받아개인정보를수집할수있으며, 수집목적의범위에서이용할수있습니다. 개인정보를제3자에게제공하는경우에도법률에서허용하는경우가아닌이상은동의를받아야합니다. - 따라서개인정보를포함하고있는직원수첩을발간하여배포하는경우개인의동의가필요합니다. 개인정보는 개인정보보호법 제29조에따른안전조치의무를이행하여야합니다. 1.2.140 학교에서교사의동의를받지않고제공하고있는교사의개인정보 ( 휴대전화번호, 주소등 ) 도개인정보보호법에의해서보호받을수있는가? 교사의개인정보도개인정보보호법의보호대상입니다. - 그러므로, 교사의휴대전화번호와집주소도동법의보호대상입니다. 134 개인정보보호법업무사례집

- 다만, 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우에는동의없이도수집및제공할수있습니다. - 따라서교사의개인정보를소관업무의수행에필요한최소한의범위내에서수집하여학부모에게제공하는것은동의가필요없습니다. 교직원들연락을위한교내전화번호조견표 ( 부서, 성명, 교내전화번호, 휴대폰번호 ) 를만들어전교직원에게메일을 1.2.141 보내는경우동의를얻어야하는가? 개인정보처리자는법률이달리정하는바에해당하지않으면정보주체의동의를받아개인정보를수집할수있으며, 수집목적의범위에서이용할수있습니다. 개인정보를제3자에게제공하는경우에도법률에서허용하는경우가아닌이상은동의를받아야합니다. - 따라서개인정보를포함하고있는교내전화번호조견표를전교직원에게이메일로보내는경우정보주체의동의가필요합니다. 개인정보보호법 제 15 조, 제 17 조 1.2.142 1. 같은직장에근무하는근로자가업무를목적으로타근로자의개인정보를이용하고자하는경우동의를얻어야하는가? 2. 기관내에서개인의전화번호수집도동의를얻어야하는가? 동일한사용자에의하여고용된근로자사이의개인정보의수집과이용은개인정보처리자인사용자와근로자의관계로서계약의 Ⅱ. 개인정보업무처리및응답 135

체결이나이행을위하여불가피한경우등과같이법에서허용하는경우에는동의를요하지않지만, 그외의경우에는동의를얻어야합니다. 구직자의개인정보 1.2.143 공공기관직원채용시에도개인정보수집 이용에대한동의를얻어야하는가? 개인정보보호법 의시행으로그적용범위가공공과민간을구분하고있지않습니다. 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 1.2.144 기관내에서개인의전화번호수집도동의를얻어야하는가? 사무실개인전화번호도개인정보에해당되지만, 담당직원이담당하고있는업무와관련한목적을위해서는직원의전화번호와이메일을수집 이용할수있다. - 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로 136 개인정보보호법업무사례집

조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 1.2.145 교직원채용시접수받는이력서의경우개인정보의어느항목까지요구할수있으며, 탈락자의경우즉시이력서즉시폐기를해야하는것인가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. - 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여 개인정보보호법 제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 하지만, 탈락자의경우수집된개인정보의목적을다했으므로이를파기하는것이바람직합니다. 1.2.146 신규교원및직원입사지원시에지원자개인정보에대한동의를받아야하는지또는민감정보가있는데민감정보에는어떠한것들이있는가? 근로기준법시행령 제27조에의하면사업자는직원의성명, 주민등록번호, 가족수당의계산기초가되는사항과기타근로조건에관한사항을임금대장에기록하여야하는바, 이는법령이정한경우에해당합니다. Ⅱ. 개인정보업무처리및응답 137

- 기타정보의경우에도구직예정자의개인정보또한그수집, 이용과관련하여법제15조제1항제4호 ( 계약의체결및이행에필요한경우 ) 에의하여구직예정자의동의가면제될수있을것입니다. 민감정보는사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령으로정하는정보 ( 유전정보, 범죄경력 ) 를말합니다. 채용시에주민등록번호등고유식별정보와민감정보를수집하는경우에는법령에구체적인근거가있는경우를제외하고정보주체에게별도의동의를얻어야합니다. 기타 1.2.147 학생들을학교홈페이지가입을해놓으면나중에자기 ID랑비밀번호를모르는일이많은데자기네반학생들 ID랑비밀번호를문서화하려면어떤절차를거처야하는가? 해당사례의개인정보를수집및보관하기위해서는정보주체의동의가있어야하며, 또한개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지않도록안전성확보에필요한기술적 관리적및물리적조치를해야합니다. - 비밀번호는일방향암호화대상이므로문서로저장할수없습니다. 학생들의비밀번호분실이우려된다면임시비밀번호를생성후변경하도록하는것을권장합니다. 138 개인정보보호법업무사례집

1.2.148 학내에거주하면서학교를위해일하는다른법인 ( 생활복지조합, 체육센터, 텝스위원회, 대학출판사, 발전기금등 ) 도공공기관에속하는가? 학교의하부조직으로서동일한기관이라면공공기관에속합니다. - 그러나학교와분리된조직으로서독립적으로구성 운영된다면공공기관이아닙니다. 다만, 아래의기관에해당한다면공공기관에해당합니다. 1 공공기관은국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관, 중앙행정기관 ( 대통령소속기관과국무총리소속기관을포함한다 ) 및그소속기관, 지방자치단체그밖의국가기관및공공단체중대통령령으로정하는기관 2 국가인권위원회 3 공공기관의운영에관한법률 제 4 조에따른공공기관 4 지방공기업법 에따른지방공사와지방공단 5 특별법에따라설립된특수법인 6 초 중등교육법, 고등교육법, 그밖의다른법률에따라설치된각급학교 개인정보보호법 제 2 조 1.2.149 개발중인교내모바일페이지에서동아리회원끼리서로회원간의학과, 성명, 학년, 전화번호, 이메일을공유하는페이지를만들려합니다. 해당부분에대해별도개인정보동의를구해야하는가? 개인정보의활용을위하여정보주체의동의가필요합니다. Ⅱ. 개인정보업무처리및응답 139

개인정보보호법 제 15 조 1.2.150 게시판에서악성댓글, 명예훼손등을하는 불량회원 을제재하기위하여, 회원제명후일정기간동안재가입을방지하는조치를취하려한다. 이를위해서는불량회원의개인정보를파기하지않고보관하는것이필요하다. 어떻게하면가능한가? 개인정보의처리에대한동의를받을때에개인정보처리목적및보유기간에불량회원재가입방지를위한목적도포함시켜야하며, 이를개인정보처리방침에서공개해야합니다. 개인정보보호법 제 15 조, 제 21 조, 제 37 조 1.2.151 학적담당자로서통계및에러수정등을위해행정적필요로의해학적시스템보고서에주민등록번호를표기하고싶습니다. 주민등록번호표기보고서가개인정보보호에문제가되는가? 외부발송시에만주민등록번호표기를 **** 표시하고, 보고서열람권한만별도로해도되는가? 고유식별정보를처리하는경우에는그고유식별정보가분실 도난 유출 변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야합니다. 개인정보보호법 제 24 조 140 개인정보보호법업무사례집

1.2.152 수상자명단전자결재나공문발송시보안문서로처리해야하는가? 온나라시스템등전자정부시스템상의전자결재시에는별도의안전성확보조치가필요없지만, 오프라인상의공문발송시에는안전성확보조치가필요합니다. - 그러나보안문서로하여야한다는것은아닙니다. 개인정보가분실 도난 유출 변조또는훼손되지않을정도의안전조치가취해지면됩니다. 1.2.153 대학교홈페이지상에서회원가입이아닌 ID 를학번, 비밀번호를주민등록번호뒷자리를일괄부여하는경우개인정보보호법과관련하여문제는없는가? 학번과주민등록번호를합법적으로수집하고이용할수있는이상단지 ID를학번으로설정하고비밀번호를주민등록번호뒷자리로설정하는것만으로는문제없습니다. - 다만, 이후비밀번호를수정할수있는기회를주지않거나변경강제를하지않은경우에안전성확보조치나개인정보보호에대한주의의무를다하지않은것으로판단될수있기때문에좋은방법은아니라고판단됩니다. 개인정보보호법 제15조, 제17조, 제29조 Ⅱ. 개인정보업무처리및응답 141

1.2.154 홈페이지게시판과는별개로학교업무를위해전자문서시스템을운영하고있으며, 이시스템에는공문등이게시되는게시판이운영되고있습니다. 이게시판에게시되는공문내용에개인정보 ( 개인번호, 이름, 소속등 ) 가포함되거나개인정보가포함된파일이첨부되는경우가있는데이것도개인정보제공이라고보는가? 학교업무를위하여내부적으로게시판을운영하는경우에이게시판에학교가다른사람에대한개인정보를올리는경우에는개인정보를공유또는제공하는경우로볼수있습니다. 따라서개인정보제공과관련된법규정을준수하여야합니다. 개인정보보호법 제 17 조 1.2.155 현재대학등록금수납을은행에의뢰하여수납하고있습니다. 등록금수납업무수행을위해불가피하게학생의개인정보즉, 학번, 성명, 등록금액, 장학금액및납부확인문자서비스제공을위한휴대폰번호를은행에제공하여야할경우학생의동의없이제공가능여부, 제공범위등처리방안은무엇인가? 개인정보의처리업무위탁하는때에동의를받을필요가없습니다. - 다만, 개인정보처리업무위탁은문서로해야하고, 정보주체가언제든지쉽게알수있도록위탁업무의내용과수탁자를공개해야합니다. 개인정보보호법 제26조 142 개인정보보호법업무사례집

1.2.156 비상계획팀에서대외비문서열람자에게열람자정보를자필서명으로받고있는데그정보중에는주민등록번호도포함되어있는데꼭기재해야하는정보인가? 해당사례는법령에서구체적으로고유식별정보의처리를요구하고있어정보주체의동의없이처리할수있습니다. 보안업무규정시행규칙 제 36 조 (12 호서식 ) 1.2.157 비도서자료열람이나도서의관내열람시에는열람표에이름과연락처를기재하고도서회원카드나신분증을반납시까지맡기도록하고있습니다. 열람표에개인정보수집에대한동의문구를삽입하여야하는지그리고신분증을맡기도록하는것이법에저촉되는가? 개인정보를수집하는경우정보주체의동의를받아야합니다. - 하지만이와같이서비스제공등을목적으로계약을하는경우에는 개인정보보호법 제15조제1항제4호가규정하고있는정보주체와의계약의체결및이행을위한경우라할수있으므로이에대한개별적인동의는받지않아도된다고할수있습니다. - 다만, 이러한경우수집되는개인정보는목적에필요한최소한의정보를수집하여야합니다. 1.2.158 도서관대출회원중대출자료가반납되지않을경우도서관이용이불가능하도록제적하여관리합니다. 제적회원의재가입을방지하기위해다른사람과구별될수있도록최소한의정보를보유하고있는데이것은개인정보보호법에위반되는가? Ⅱ. 개인정보업무처리및응답 143

개인정보의처리에대한동의를받을때에개인정보처리목적및보유기간에불량회원재가입방지를위한목적도포함시켜야하며, 이를개인정보처리방침에서공개해야합니다. 개인정보보호법 제 15 조, 제 21 조 1.2.159 아파트관리사무소에서불법전입학생으로인해실거주하는학생들이원하는중학교배정을받지못하는사례가많아위장전입학생을밝혀내고자본교의 6학년중본아파트에주소를두고있는학생명단을요구하는경우적절한처리업무방법은무엇인가? 동사무소나교육청등행정기관에서아파트거주자에게실거주학생에대한정보의제공을요청할수있습니다. - 이는공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우에해당하여동의없이수집할수있습니다. 개인정보보호법 제 15 조, 초중등교육법시행령 제 24 조및제 68 조내지제 71 조 1.2.160 학교및관공서에제출하는공문에있는개인정보파일은어떻게관리하는지요? 비밀번호장치를하고비공개문서로제출하면되는것으로압니다. 이경우도입출력대장에기록하는가? 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. 144 개인정보보호법업무사례집

안전성확보조치로는다음과같은것들이포함됩니다. - 개인정보의안전한처리를위한내부관리계획의수립 시행 - 개인정보에대한접근통제및접근권한의제한조치 - 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 - 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 - 개인정보에대한보안프로그램의설치및갱신 - 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 개인정보보호법 제 29 조 동의서는누가보관해야하는가? 1.2.161 개인정보처리자가보관할수있습니다. 이경우에는안전성확보조치를취하여야합니다. 개인정보보호법 제 29 조 팩스전송가능한가? 1.2.162 팩스전송도가능하지만, 안전성확보조치가되어있어야합니다. 개인정보보호법 제 29 조 Ⅱ. 개인정보업무처리및응답 145

1.2.163 출석부관리 - 출석부에학생의성명, 전화번호, 주소, 보호자의연락처등을기재할수없는가? - 출석부에학생주소록삭제해야하는가? - 교실에비치되어있는출석부에있는주소도개인정보로봐야하는가? 출석부에합법적으로수집한학생의개인정보를기재하는것은문제가없습니다. - 다만, 개인정보가분실 도난 유출 변조또는훼손되지않도록안전성확보조치가이루어져야합니다. - 교실에아무런안전성확보조치없이방치함으로써개인정보가분실 도난 유출 변조또는훼손된경우에는그에따른법적책임을질가능성이매우높습니다. 교실에비치된출석부상의주소도개인정보에해당합니다. 개인정보보호법 제 2 조, 제 29 조 1.2.164 행정실의스쿨뱅킹업무처리시개인정보 ( 실명 ) 가들어가도되는가? 스쿨뱅킹을목적으로합법적으로수집이용하는개인정보인이상업무처리시개인정보가포함되더라도문제없습니다. 1.2.165 운영위원회회의록, 법인이사회회의록등공개시인사, 징계등의개인과관계되는민감한사항도포함될수있습니다. 물론개인정보에해당하는몇몇부분은지우고공개하지만결과적으로회의록전체가공개되기때문에무슨내용인지와누구와해당이된다는것을 146 개인정보보호법업무사례집

충분히유추해낼수있습니다. 그렇기때문에저는회의록를공개하는데있어개인과관련된모든내용을삭제해야한다고생각하는데정확한처리지침은무엇인가? 법령에따라공개되어야하는경우이거나공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우가아닌이상개인정보를공개하는때에는정보주체의동의를얻어야하고, 그렇지않은경우에는해당개인정보를모두삭제하여야합니다. - 교육관련기관의정보공개에관한특례법 제5조및제6조에서공시대상정보에관하여설명하고있는바, 이에해당하는경우관련정보를정보주체의동의없이처리할수있습니다. - 다만, 학교운영위원회의경우 초 중등교육법시행령 제59조의3 에따라아래에해당하는경우운영위원회의의결을거쳐공개하지아니할수있습니다. 1. 회의록에포함되어있는이름, 주민등록번호등개인에관한사항으로서공개될경우개인의사생활의비밀또는자유를침해할우려가있다고인정하는사항 2. 공개될경우운영위원회심의의공정성을크게저해할우려가있다고인정하는사항 3. 학생교육또는교권보호를위하여공개하기에적당하지아니하다고인정하는사항 개인정보보호법 제 2 조, 제 17 조 개인정보파일은모두행정안전부장관에게등록해야하는가? 1.2.166 공공기관이운용하는개인정보파일은모두등록해야합니다. Ⅱ. 개인정보업무처리및응답 147

다만, 다음에해당하는개인정보파일은등록하지않아도됩니다. 1 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일 2 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 3 조세범처벌법 에따른범칙행위조사및 관세법 에따른범칙행위조사에관한사항을기록한개인정보파일 4 공공기관의내부적업무처리만을위하여사용되는개인정보파일 5 다른법령에따라비밀로분류된개인정보파일 또한, 교육청및각급학교등은교육과학기술부를통하여행정안전부에등록할수있습니다. 개인정보보호법 제32조 1.2.167 교무부에성적처리계가있고각학년별로성적관리계가있다면성적에관한개인정보파일을통합해서하나를만들어야하는가아님각학년별로나누어만들어야하는가? 개인정보파일을어떻게운용하는가에대하여는별도의규정이없습니다. 따라서기관에서필요로하는업무에맞게운용하면됩니다. 6 학년졸업사정의경우도동의서를받아야하는가? 1.2.168 졸업사정은공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우로서동의없이도처리할수있습니다. 148 개인정보보호법업무사례집

개인정보보호법 제 15 조 1.2.169 교육청본청에서일괄제작하여연초에배부하는업무일지에기록되어있는소속, 직위, 성명, 전화번호, 휴대전화번호등이등재가되어있습니다. 이것또한동의서를받아야하나요? 동의서를받는다면언제까지보관해야하는가? 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우로서업무일지에포함된개인정보연락처목록을구성원에게제공하는것은동의가필요없습니다. 개인정보보호법 제 15 조, 제 17 조 1.2.170 교육청이여러학교로부터추천명단을받아방학동안독서교실을운영하는데, 이미수집된개인정보를학교로부터제공받아활용해도되는지? 아니면동의서를따로받아야한다면 14 세미만의아동이므로부모에게받아야하는데추천한학교에서동의서를받아보관해야하는가? 독서교실을운영하는기관에서해야하는가? 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우로서동의없이도개인정보를수집및제공할수있습니다. 만일독서교실을운영하는기관이교육청이아닌경우에는개인정보제공의동의를받아야합니다. 이때에는개인정보제공에대한동의를받은학교나교육청이동의서를보관해야합니다. Ⅱ. 개인정보업무처리및응답 149

개인정보보호법 제 17 조 1.2.171 청소년단체조직을목적으로학생의이름, 주민등록번호, 집주소, 부모님휴대전화번호등을필요로합니다. 위내용이포함된파일을일반회사 ( 네이버, 다음등 ) 의메일을통해청소년단체기관에전송하는것은개인정보보호법에영향을받는것인가?" 친목도모를목적으로단체를운영하기위해서는수집및이용에대한동의가필요없습니다. - 그러나개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. - 만일네이버나다음등의일반메일로청소년단체조직의개인정보파일을전송하는경우에분실 도난 유출 변조또는훼손이발생했다면그로인한법적책임을질수도있습니다. 개인정보보호법 제 29 조, 제 58 조 150 개인정보보호법업무사례집

3) 개인정보의이용 이용사유 1.3.1 개인정보보호법에따라개인정보를이용하려면어떻게이용하여야하는가? 개인정보의 이용 이란정보주체로부터수집한정보를그목적에맞게사용하는것을말한다. 개인정보는 개인정보보호법 이허용하고있는사유에따라수집하여야하고, 그수집목적의범위에서이용할수있습니다. 개인정보보호법 은 6가지의개인정보수집허용사유를인정하고있으며, 이에따라적법하게수집된개인정보만을그수집목적의범위에서이용하여야합니다. - 개인정보보호법 이허용하고있는개인정보수집허용사유는다음과같다. 개인정보수집허용사유 1 개인정보처리자가개인정보를수집할때그이용목적을정보주체에게알리고동의를받은경우 2 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 5 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 Ⅱ. 개인정보업무처리및응답 151

6 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 개인정보보호법 제 15 조 다른법률에서개인정보의이용을허용하는경우 1.3.2 개인정보보호법이다른법률에특별한규정이있는경우에개인정보의이용을허용하고있는데, 구체적으로어떤것을예시하는가? 초 중등학교는학생생활기록및학생건강기록등의학생정보를교육적목적을위하여수집하여이용할수있습니다. 여기서 학교생활기록 은학생의학업성취도및인성등을종합적으로관찰 평가하여학생지도및상급학교의학생선발에활용할수있는자료를말합니다. 학교생활기록은 학교생활기록부 와 학교생활세부사항기록부 로구분하여교육정보시스템으로작성 관리하여야합니다. 학생건강기록 은학생의신체의발달상황, 신체의능력, 건강조사및건강검진결과를작성한자료를말합니다. 학교생활기록 : 1 인적사항, 2 학적사항, 3 출결상황, 4 자격증및인증취득상황, 5 교과학습발달상황, 6 행동특성및종합의견, 7 학교정보, 8 학생의수상경력, 9 학생의진로희망사항, 10 학생의창의적체험활동상황, 11 학생의독서활동상황 ( 중학생과고등학생만해당한다 ) 에관한개인정보를포함합니다. 구체적으로살펴보면다음과같습니다. 152 개인정보보호법업무사례집

1 인적사항 - 학생의성명 주민등록번호 주소와부모의성명 생년월일및가족의변동사항등 2 학적사항 - 학생의입학전학교명 졸업연월일, 재학중학적변동이있는경우그일자및내용등 3 출결상황 - 학생의학년별출결상황등 4 자격증 인증취득상황 - 학생이취득한자격증의명칭, 자격증번호, 취득연월일, 자격증발급기관명및인증의종류 내용 인증기관및취득연월일등 5 교과학습발달상황 - 학생의재학중이수교과및과목명, 평가결과, 학습활동의발전여부등 6 행동특성및종합의견 - 학교교육이수중학생의행동특성과학생의학교교육이수상황을종합적으로이해할수있는의견등 학교생활세부사항기록부 : 학교의장은학생의상급학교 ( 고등교육기관을포함한다 ) 진학지도및상급학교학생선발에활용하기위하여모든학생생활기록사항이포함된 학교생활세부사항기록부 를작성 관리하여야합니다. 또한, 학교생활세부사항기록부의기록사항중학생의행동특성및종합의견과 교육과학기술부장관이정하는항목에대한특기사항 ( 아래참조 ) 을삭제한 학교생활기록부 를작성 관리하여야합니다. 교육과학기술부장관이정하는항목에대한특기사항 1 학생이해에도움이될수있는 가족상황 2 학적변동의사유 3 결석사유또는개근등사항 4 자율활동, 동아리활동, 봉사활동, 진로활동의참여도, 활동의욕, 태도의변화등에관한사항, 5 체계적이고지속적인봉사활동등에관한사항 6 진로활동의특기사항 ( 학생의활동참여도, 활동의욕, 태도의변화와담임교사, 상담교사, 교과담당교사가상담권고한내용등진로지도와관련된사항 ) 7 교과학습발달상황에관한특기사항 Ⅱ. 개인정보업무처리및응답 153

ᄀ초등학교 - 각교과의학습활동진보정도, 수행평가결과, 특징등을종합한특기사항ᄂ중등학교 체육 음악 미술교과과목의실기능력, 교과적성, 학습활동참여도및태도등특기사항ᄃ고등학교 - 보통교과의체육, 예술 ( 음악 / 미술 ) 교과 ( 군 ) 과목의실기능력, 교과적성, 학습활동참여도및태도등특기사항 ) 8 학교간통합선택교과이수, 학적변동으로인한이수과목상이등교육과정운영에따른특기사항 ( 중 고등학교의학생에한함 ) 9 과목과관련된세부능력및수행평가, 학습활동참여도및태도등을특기사항 ( 중 고등학교의학생에한함 ) 10 중학교의선택과목중고등학교보통교과의교양교과성격을지닌과목 ( 환경, 보건, 진로와직업등 ) 과고등학교의보통교과중교양교과에관한특기사항 ( 기초및심화과정도입등고등학교교육력제고방안 의시범학교로지정된학교의학생에한함 ) 11 치료교육활동과관련하여학생교육에지속적으로반영되어야할사항 ( 제 7 차교육과정을적용받는초중고또는특수학교에재학하는특수교육대상학생에한함 ) 12 독서활동에관한특기사항 ( 중 고등학교의학생에한함 ) 13 특성화고등학교 ( 특정분야의인재양성을목적으로하는교육을실시하는학교에한함 ) 의학기별전공코스이수, 산업체실습과정또는일반고등학교, 특수목적고등학교및자율고등학교의개인별과정선택등교육과정이수에따른특기사항 14 교과학습활동에관한특기사항 ( 초중고및특수학교의특수교육대상자중특수학교기본교육과정을적용하는학생에한함 ) 학생건강검사기록 : 초 중등학교의장은학생에대하여 신체의발달상황, 신체의능력, 건강조사및건강검진 등건강검사를하여야하고, 그결과를 학생건강기록부 로작성 관리할수있습니다. 건강검사결과를작성 관리할때에는교육정보시스템을이용하여일정한자료를수집 이용등처리할수있습니다. 교육정보시스템을이용하여처리할수있는학생건강기록부의자료 154 개인정보보호법업무사례집

1 인적사항 2 신체의발달상황및능력 3 그밖에교육목적을이루기위하여필요한범위에서교육과학기술부령으로정하는사항 ( 전염병예방접종의실시여부, 건강검진및별도검사실시현황등을말하며, 전염병예방접종의실시여부등을포함한학생의건강검사결과등 ) 입니다. 다른법률에서개인정보의이용을허용하는개인정보 - 교육기본법 제 23 조의 3, 초중등교육법 제 25 조 제 30 조의 4, 학교보건법 제 7 조 제 7 조의 3, 학교생활기록의작성및관리에관한규칙, 학교건강검사규칙, 학교생활기록작성및관리지침, 학생건강기록부전산처리및관리지침 개인정보이용에대한동의 1.3.3 서면으로수집한개인정보를온라인시스템에등록할때에도재차정보주체의동의를얻어야하는가? 학교의장은 초 중등교육법 제25조에따라 학교생활기록 을교육정보시스템으로작성 관리하여야하므로서면으로수집한학교생활기록의자료를교육정보시스템 ( 온라인시스템 ) 에등록할때에는정보주체로부터별도의동의를받지않아도됩니다. 개인정보수집허용사유에해당하는경우에는개인정보의수집이허용됩니다. 수집허용사유가운데 정보주체의동의를받아수집하는경우 에동의를받을때에는수집 이용목적등을알려주고동의를받아야합니다. 수집 이용목적을알리고동의를받은개인정보는수집범위에서이용할수있습니다. 즉, 수집 이용목적을정보주체에게알리고동의를받아수집한개인정보는 Ⅱ. 개인정보업무처리및응답 155

정보주체에게알려준수집목적의범위에서이용할수있으며, 그범위에서이용하는경우에는다시동의를받을필요는없습니다. 수집과이용을위하여동의를받을때에는기본적인재화또는서비스의제공을위하여반드시필요한최소한의개인정보와부가적인재화또는서비스의제공을위하여필요한최소한의개인정보를구분하여정보주체에게알리고동의를받아야합니다 - 개인정보의수집 이용에관한동의를받을때에는다음의사항에관한동의를받아야하고, 동의를받아야하는사항을변경할경우에도그사항을알리고동의를받아야합니다. - 동의를받을때정보주체에게알려야하는사항은다음과같습니다. 1 개인정보의수집 이용목적 2 수집하려는개인정보의항목 3 개인정보의보유및이용기간 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 개인정보보호법 제 15 조, 초중등교육법 제 25 조, 표준개인정보보호지침 제 13 조제 1 항 1.3.4 만 14 세미만및미성년자본인이제공한개인정보의활용이가능한가? 가능하다면그범위는어디까지인가? 14세미만인학생의개인정보를수집 이용하기위하여서는법정대리인, 즉학생의부모또는후견인등의동의를받아야하며, 동의받은사항에대해서만이용할수있습니다. 14세이상인학생의개인정보를수집 이용하려고할때에는법정대리인의동의없이학생본인의수집 이용의동의를받아동의받은사항에한하여이용할수있습니다. 156 개인정보보호법업무사례집

개인정보보호법 제 22 조제 5 항, 표준개인정보보호지침 제 14 조 1.3.5 담임선생님이수집한개인정보를학교내부및교육청단위의업무를처리하는데에도따로동의를받거나당사자에게알려야하는가? 담임선생님은학교내부또는교육청의업무를법령등에근거하여처리하여야하며, 법령등에서정하는학교의업무수행을위하여불가피한경우에한하여학생의개인정보를수집하고, 수집목적의범위에서학생의개인정보를이용할수있습니다. 이경우따로학생의동의를필요로하지않으며, 수집목적의범위에서이용하는경우에는따로알리지않아도됩니다. 개인정보보호법 제 15 조제 1 항제 3 호, 표준개인정보보호지침 제 2 조제 6 호 1.3.6 학교에서학부모님들께가정통신문 ( 예 : 학부모서비스알림, 내교통지서, 기타안내문등 ) 을우편발송할때학생들의개인정보를이용해서발송하게되는데이러한경우동의는어떻게받아야하는가? 가정통신문은학교내에서의학습활동및학업성취사항등학생의활동사항은물론학사일정등학교의주요사항을학부모에게알려주어학교와학부모사이의원활한의사소통을가능하게하는통지문입니다. - 학교는 교육기본법 제23조의3에따라교육적목적으로학교생활기록등학생정보를수집 처리 이용및관리할수있고, 그범위내에서는개별적인동의를받지않아도됩니다. Ⅱ. 개인정보업무처리및응답 157

- 그러므로발송을위하여필요한주소, 전화번호등과같은인적사항은법률에근거하여수집이허용되는개인정보이므로따로동의를받을필요없이해당개인정보를이용할수있습니다. 개인정보보호법 제 15 조제 1 항제 2 호, 교육기본법 제 23 조의 3 1.3.7 보건교사가내부업무처리를위하여요양호자현황을조사 관리하고자할경우따로동의서를받아정보를수집하여야하는가? 보건교사는간호사면허를갖고보건교육과학생들의건강관리를담당하는교사를말합니다. 보건교사는신체가허약한학생에대한보건지도를하고, 보건지도를위하여학생의가정을방문할수있으며, 학생건강기록부를관리하는등의직무를수행합니다. 학생건강기록부에는 신체의발달상황, 신체의능력, 건강조사및건강검진 등의결과가기록됩니다. 그러므로보건교사는학교내에서보건지도가필요한학생 ( 요양호자 ) 에관한정보를법률에근거하여수집하고이용할수있습니다. 학교보건법 제 14 조의 2 제 15 조, 학교보건법시행령 제 23 조제 3 항제 1 호, 학교건강검사규칙 주민등록번호등고유식별정보의수집 이용 1.3.8 학교와기관간의체험학습등의사유로보험가입용주민등록번호를수집할때이런정보는얼마나보존해야하는가? 158 개인정보보호법업무사례집

개인정보를수집할때에는 개인정보의보유및이용기간 을정보주체에게알리고동의를받는것을원칙으로합니다. 그러므로보유기간이경과한경우에는지체없이그개인정보를파기하여야합니다. 그렇지만, 법률에특별한규정이있는등 개인정보보호법 이특별히정하고있는수집허용사유가운데어느하나에해당하는경우에는처리목적이달성되어개인정보가불필요하게되었을때지체없이파기하여야합니다. 개인정보보호법 제 15 조 제 21 조제 1 항 시간강사의재직, 경력등각종증명서에 주민등록번호 1.3.9 전체를표기해도되는가? 주민등록번호는개인을고유하게구별하기위하여부여된 고유식별정보 입니다. 본인확인및증명을위하여학교에서발행하는각종증명서에주민등록번호전체를표기할수있습니다. 주민등록번호는다음과같은경우에처리할수있습니다. 1 정보주체에게개인정보의수집 이용또는제공을위하여동의를받을때알려야하는사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 2 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 개인정보의수집 이용을위한동의를받을때정보주체에게알려야하는사항 1 개인정보의수집 이용목적 2 수집하려는개인정보의항목 3 개인정보의보유및이용기간 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 Ⅱ. 개인정보업무처리및응답 159

고유식별정보의범위 1 주민등록법 제 7 조제 3 항에따른주민등록번호 2 여권법 제 7 조제 1 항제 1 호에따른여권번호 3 도로교통법 제 80 조에따른운전면허의면허번호 4 출입국관리법 제 31 조제 4 항에따른외국인등록번호 - 개인정보처리자가고유식별정보를처리하는경우그고유식별정보의분실 도난 유출 변조또는훼손되지아니하도록암호화등안전성확보에필요한조치를하여야한다. 암호화등안전성확보에필요한조치의내용 1 고유식별정보의안전한처리를위한내부관리계획의수립 시행 2 고유식별정보에대한접근통제및접근권한의제한조치 3 고유식별정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4 고유식별정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5 고유식별정보에대한보안프로그램의설치및갱신 6 고유식별정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 개인정보의목적외이용 개인정보를목적외의용도로이용할수있는가? 1.3.10 개인정보는수집목적의범위에서이용할수있으므로, 그범위를초과하여이용하는것은금지됩니다. 그렇지만, 정보주체로부터별도의동의를받거나다른법률에특별한규정이있는등 개인정보보호법 이개인정보의목적외용도로이용할수있도록허용하는사유에해당하는경우에는목적외이용을할수있습니다. 다만, 정보주체또는제3자의이익을부당하게침해할우려가있는경우에는목적외용도로이용할수없습니다. 160 개인정보보호법업무사례집

개인정보의목적외이용허용사유 1 정보주체로부터별도의동의를받은경우 2 다른법률에특별한규정이있는경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7 범죄의수사와공소의제기및유지를위하여필요한경우 8 법원의재판업무수행을위하여필요한경우 9 형 (14) 및감호, 보호처분의집행을위하여필요한경우 5-9 는공공기관의경우로한정한다. 학교가개인정보의목적외이용허용사유가운데 2-6, 8, 9의사유에해당하여개인정보를목적외의용도로이용하는경우에는목적외이용을한날부터 30일이내에 1 목적외이용을한날짜, 2 목적외이용의법적근거, 3 목적외이용의목적, 4 목적외이용을한개인정보의항목을관보또는인터넷홈페이지에게재하여야합니다. 인터넷홈페이지에게재할때에는 10일이상계속게재하되, 게재를시작한날은목적외이용을한날부터 30일이내여야합니다. 학교가개인정보를목적외의용도로이용하는경우에는 개인정보의목적외이용및제3자제공대장 에기록하고관리하여야합니다. Ⅱ. 개인정보업무처리및응답 161

개인정보의목적외이용및제 3 자제공대장 의필요적기재사항 1 이용하거나제공하는개인정보또는개인정보파일의명칭 2 이용기관또는제공받는기관의명칭 3 이용목적또는제공받는목적 4 이용또는제공의법적근거 5 이용하거나제공하는개인정보의항목 6 이용또는제공의날짜, 주기또는기간 7 이용하거나제공하는형태 8 개인정보보호법제 18 조제 5 항에따라제한을하거나필요한조치를마련할것을요청한경우에는그내용 162 개인정보보호법업무사례집

개인정보보호법 제 18 조제 2 항 1.3.11 개인정보를목적외의용도로이용하는경우절차는어떻게진행되어야하는가? 개인정보를목적외용도로이용하기위해서는정보주체로부터별도로목적외이용에대한동의를받거나다른법률에서특별히목적외이용을허용하는규정이있는등 개인정보의목적외이용허용사유 에해당하는지여부를살펴보아야합니다. - 학교가목적외이용을하는때에는목적외이용을한날부터 30일이내에 1 목적외이용을한날짜, 2 목적외이용의법적근거, 3 목적외이용의목적, 4 목적외이용을한개인정보의항목을관보또는인터넷홈페이지에게재하여야합니다. - 인터넷홈페이지에게재할때에는 10일이상계속게재하되, 게재를시작한날은목적외이용을한날부터 30일이내여야합니다 ( 개인정보의목적외이용허용사유 가운데 2-6, 8, 9의사유에해당하는경우에한정합니다.) 개인정보보호법 제 18 조제 2 항 제 4 항, 개인정보보호법시행규칙 제 2 조 1.3.12 학교내에서연구목적으로학교에등록된개인정보를이용할수있는가? 개인정보보호법 은학술연구의목적으로필요한경우에는개인정보의목적외이용을허용하고있습니다. 그렇지만, 개인정보의목적외이용이허용된다고하더라도특정개인을알아볼수없는형태로이용하여야합니다. Ⅱ. 개인정보업무처리및응답 163

개인정보보호법 제 18 조제 2 항제 4 호 1.3.13 발전기금모금과관련하여발전기금모금부서에서졸업생 ( 교우 ) 의정보를졸업생의동의없이모금활동을위해사용할수있는가? 졸업생의개인정보를발전기금모금부서에서이용하는것은개인정보의목적외이용에해당합니다. 개인정보를목적외의용도로이용하기위해서는정보주체인졸업생의동의를받아이용하여야합니다. 개인정보보호법 제 18 조제 1 항 제 2 항 제 4 항, 개인정보보호법시행령 제 15 조, 개인정보보호법시행규칙 제 2 조 제 3 조제 1 항 1.3.14 개인정보의목적외이용을위하여별도동의를받아야하는경우정보주체에게알려야하는사항은무엇인가? 개인정보의목적외이용을위하여정보주체로부터별도의동의를받을때에는다음의사항을기재하여야합니다. - 1 개인정보의이용목적, 2 이용하는개인정보의항목, 3 개인정보의보유및이용기간, 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용등 4가지를알려야합니다. - 고지사항중어느하나를변경하는경우에도이를알리고동의를받아야합니다. 정보주체로부터별도의동의를받고자하는경우에는정보주체가다른개인정보처리의목적과별도로동의여부를표시할수있도록조치를취하고동의를받아야한다 164 개인정보보호법업무사례집

개인정보보호법 제 18 조제 3 항, 표준개인정보보호지침 제 13 조제 3 항 1.3.15 학교에서정보주체의동의를받아개인정보를수집, 이용하고자하는경우미리정보주체에게개인정보의수집, 이용목적등을고지하여야한다는것은잘알고있는데, 이미수집한개인정보를수집이용목적과다르게사용할경우다시정보주체에게이용목적을고지하여야하는가? 정보주체인학생의개인정보를수집하기위하여학생의동의를받을때에는 1 개인정보의수집 이용목적, 2 수집하려는개인정보의항목, 3 개인정보의보유및이용기간, 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용을알려야합니다. - 동의를받아수집한개인정보는그목적의범위에서이용하여야하고, 목적이외의용도로이용하는것은금지됩니다. - 그렇지만, 정보주체인학생으로부터별도의동의를받거나다른법률에특별한규정이있는경우등 개인정보의목적외이용허용사유 에해당하는때에는목적외이용이허용됩니다. - 정보주체인학생으로부터별도의동의를받는경우에는 1 개인정보의이용목적, 2 이용하는개인정보의항목, 3 개인정보의보유및이용기간, 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용등 4가지를알려야합니다. 그러므로개인정보의이용목적을반드시학생에게알리고동의를받아야합니다. Ⅱ. 개인정보업무처리및응답 165

개인정보보호법 제 18 조제 1 항 제 2 항 제 4 항, 개인정보보호법시행령 제 15 조, 개인정보보호법시행규칙 제 2 조 제 3 조제 1 항 1.3.16 학교에서처리하는대부분의업무가이미보유중인학교생활기록부또는학생건강기록부등의자료를활용하여업무를처리하는경우가많습니다. 1 보유목적을달리하더라도해당개인정보를학교내부의업무처리에이용하는것이법률을위배되지는않는가? 2 이용가능한경우 개인정보목적외이용및제 3 자제공대장 에기재하여야하는가? 교육기본법 에따라학교의장은학교생활기록등학생정보를수집 처리 이용및관리할수있습니다. 학생정보는법률로정하는경우외에는해당학생 ( 학생이미성년자인경우에는학생및학생의부모등보호자 ) 의동의없이제3자에게제공하여서는안됩니다. 학교생활기록부 는학생의학업성취도및인성등을종합적으로관찰 평가하여학생지도및상급학교의학생선발에활용하기위한자료입니다. 학생건강기록부 는학생의신체발달상황, 신체의능력, 건강조사및건강검진결과를작성한자료입니다. - 이와같은자료를교육적목적을벗어나이용하거나제공하는것은허용되지않습니다. 개인정보를그목적외의용도로이용하기위해서는 개인정보의목적외이용허용사유 에해당하여야합니다. 해당하지않은경우에는목적외이용은금지됩니다. - 개인정보의목적외이용허용사유에해당하면목적외용도로이용할수있으며, 이경우 개인정보목적외이용및제3자제공대장 에기록하고관리하여야합니다. 166 개인정보보호법업무사례집

개인정보보호법 제 18 조제 1 항 제 2 항 제 4 항, 교육기본법 제 23 조의 3, 개인정보보호법시행령 제 15 조, 개인정보보호법시행규칙 제 2 조 제 3 조제 1 항 1.3.17 입시자료를신청했던학생리스트를활용하여대학을안내하는홍보이메일을보내려고하는데보내는것에문제가없는건가? 입시자료를신청한학생이제공한개인정보는입시자료의수신을목적으로제공한것이므로대학의홍보이메일을송부하기위해입시자료신청학생명단을활용하는것은개인정보의목적외이용이됩니다. 개인정보의목적외이용을위해서는정보주체인입시자료신청학생의별도동의가있어야합니다. 개인정보보호법 제 18 조제 1 항 제 2 항 제 4 항, 개인정보보호법시행령 제 15 조, 개인정보보호법시행규칙 제 2 조 제 3 조제 1 항 1.3.18 대학자체업무수행중내부업무를목적으로학생의개인정보를사용할경우정보주체에게이사실을고지하고동의를받아야하는가? 교육기본법 제23조의3에따라학교생활기록등의 ( 학교생활기록부및학교생활세부사항기록부 ) 학생정보는교육적목적으로이용할수있습니다. 그러므로교육적목적을실현하기위한대학의내부업무를처리할때학교생활기록등의학생정보를이용하는것은 법률에특별한규정이있는경우 에해당하여정보주체인학생의동의를받지않고도이용할수있습니다. Ⅱ. 개인정보업무처리및응답 167

정보주체의개인정보는명확한목적을가지고수집되어야하고, 수집목적의범위에서이용하여야합니다. - 대학내부의업무를처리하기위하여학생의개인정보를이용할때에는해당개인정보의수집목적의범위에서개인정보를이용하여야합니다. 수집목적이외의용도로개인정보를이용할경우에는 개인정보의목적외이용허용사유 에해당하여야합니다. - 개인정보의목적외이용을위하여정보주체의동의를별도로받는경우에는목적외이용을한다는것만을알리는것이아니라, 1 개인정보의이용목적, 2 이용하는개인정보의항목, 3 개인정보의보유및이용기간, 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용등 4가지를알리고동의를받아야합니다. - 그리고반드시 개인정보의목적외이용및제3자제공대장 을작성하고관리하여야합니다. 개인정보보호법 제 15 조 제 18 조, 교육기본법 제 23 조의 3 1.3.19 1 입학할때얻은정보를학생관리를위하여학교내에서사용할때동의없이사용해도되는가? 2 입학업무때동의받은개인정보자료를학교업무 ( 학적, 등록, 장학, 도서등 ) 에사용할때다시정보주체인학생의동의를받아야하는가? 교육기본법 제23조의3에따라학교생활기록등의학생정보는교육적목적으로이용할수있습니다. 그러므로교육적목적을실현하기위한대학의내부업무를처리하는경우에는해당개인정보를정보주체의동의를받지않고도이용할수있습니다. 168 개인정보보호법업무사례집

개인정보보호법 제 15 조 제 18 조, 교육기본법 제 23 조의 3 1.3.20 대학의행정부서에서는학생지도차원에서전공 ( 학과 ) 으로학생의학번, 전공 ( 학과 ) 명, 주소, 연락처등의개인정보를내려보냅니다. 내부적인업무처리도개인정보보호법의적용대상이되는가? 교육기본법 제23조의3에따라학교생활기록등의학생정보는교육적목적으로이용할수있습니다. 그러므로교육적목적을실현하기위한대학의내부업무를처리하는경우에는해당개인정보를정보주체의동의를받지않고도이용할수있습니다. 개인정보보호법 은성명, 주민등록번호등을통하여개인을알아볼수있는정보의수집 유출 오용 남용으로부터사생활의비밀을보장하는것을목적으로합니다. - 학번, 주소, 연락처 ( 유선전화번호, 휴대전화번호, 이메일주소등 ) 는개인정보로서 개인정보보호법 의보호대상이되고, 이와같은개인정보를처리하는업무라면 개인정보보호법 의적용을받습니다. 개인정보보호법 제 15 조 제 18 조, 교육기본법 제 23 조의 3 1.3.21 학적부를집적하고있고, 도서관, 장학등유관부서에서재학여부, 성적등을전산을통하여공동으로이용하여있습니다. 이경우학생의동의를받아야하는가? 동의가필요하다면어떤방식으로동의받아야하는가? Ⅱ. 개인정보업무처리및응답 169

학적부는학생의인적사항, 등록사항, 수강신청사항, 장학사항, 성적사항등을기재한 학교생활기록 으로해당개인정보는개인정보처리자인학교가처리합니다. - 학교생활기록등학생정보는교육적목적으로수집 이용등처리하고관리할수있습니다. 그러므로 법률에특별한규정이있는경우 에해당하므로정보주체의동의를받지않고도이용할수있습니다. - 동의를받는방법은다음과같습니다. 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6 그밖에제 1 호부터제 5 호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 개인정보보호법 제 15 조, 교육기본법 제 23 조의 3 1.3.22 도서관행사홍보를위해개인정보를가공하여 ( 학부, 대학원생등으로구분하여 ) 제 3 자 (SMS 발송대행업체 ) 에게의뢰하는데, 이를위해매행사마다정보활용의동의를받아야하는가? 170 개인정보보호법업무사례집

학교행사를위하여개인정보의처리업무를위탁할때에는문서에의하여야하며, 다음과같은사항을기재하여야합니다. 1 위탁업무수행목적외개인정보의처리금지에관한사항 2 개인정보의기술적 관리적보호조치에관한사항 3 위탁업무의목적및범위 4 재위탁제한에관한사항 5 개인정보에대한접근제한등안전성확보조치에관한사항 6 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 7 법제 26 조제 2 항에따른수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항이포함되어야합니다. - 개인정보의처리업무를위탁하는학교는위탁하는업무의내용과개인정보의처리업무를위탁받아처리하는수탁자를정보주체가언제든지쉽게확인할수있도록지속적으로인터넷홈페이지에게재하여야합니다. - 그리고수탁자가개인정보의처리업무를수행하는경우에개인정보처리자가준수하여야할사항과처리업무를위탁할때문서에기재한사항이잘준수하는지를감독하여야합니다. 정보주체의동의를받을때에는포괄적동의가아닌개별적동의를받아야하므로처리업무를위탁할때마다동의를받아야합니다. - 즉, 정보주체의동의를받을때에는각각의동의사항을구분하여정보주체가이를명확하게인식할수있도록알리고각각동의를받아야합니다. 개인정보보호법 제 26 조, 개인정보보호법시행령 제 28 조 Ⅱ. 개인정보업무처리및응답 171

1.3.23 같은기관내에서다른부서로개인정보를제공하여이용하게할수있는가? 학교내한부서가수집 보관하고있는개인정보는개인정보처리자인학교가수집하여보관하고있는것이며, 학교내다른부서는그개인정보를 제공받아이용 하는것이아니라, 해당개인정보를직접 이용 하는것입니다. - 그러므로수집목적의범위에서해당개인정보를이용하여야하고, 수집목적외의용도로이용할때에는정보주체로부터별도의동의를받거나 개인정보의목적외이용허용사유 에해당하는경우에해당개인정보를이용할수있습니다. 개인정보의목적외이용허용사유 1 정보주체로부터별도의동의를받은경우 2 다른법률에특별한규정이있는경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7 범죄의수사와공소의제기및유지를위하여필요한경우 8 법원의재판업무수행을위하여필요한경우 9 형 (14) 및감호, 보호처분의집행을위하여필요한경우 5-9 는공공기관의경우로한정한다. 172 개인정보보호법업무사례집

개인정보목적외이용의공고 학교등공공기관이 개인정보의목적외이용허용사유 가운데 2-6, 8, 9 에근거하여개인정보를목적외의용도로이용하는경우에는목적외이용을한날부터 30 일이내에 1 목적이용을한날짜, 2 목적외이용의법적근거, 3 목적외이용의목적, 4 목적외이용을한개인정보의항목을관보또는인터넷홈페이지에게재하여야합니다. 인터넷홈페이지에게재할때에는 10 일이상계속게재하되, 게재를시작하는날은목적외이용을한날부터 30 일이내여야합니다. 개인정보보호법 제 18 조제 2 항, 개인정보보호법시행규칙 제 2 조 1.3.24 신입생모집시원서상에 원서접수시기재하는수험생의개인정보에대하여수집, 이용, 제공에동의하는것으로간주하며, 수집된정보는대입전형을위한자료로만사용됨 이라는문구가있고, 이로인해취득된입시지원정보 ( 전화번호, 휴대폰번호, 주소등 ) 를대학내다른부서에서이벤트홍보용으로사용하고자입시지원정보를요구할때에는어떤조치를하여야하는가? 다른부서에서개인정보파일을요구할때에는어떤조치를하고, 개인정보를줄수있는가? 개인정보는수집목적의범위에서이용할수있으며, 정보주체인지원자로부터별도의동의를받는등 개인정보의목적외이용허용사유 중어느하나에해당하는경우목적외이용이가능합니다. - 이미 수집된정보는대입전형을위한자료로만사용됨 이라고그이용목적을지원자들에게알리고동의를받은경우에는해당목적을위해서만개인정보를이용할수있습니다. Ⅱ. 개인정보업무처리및응답 173

- 그러므로대입전형을위해서만수집된정보를이벤트홍보용으로이용할수는없습니다. 다른부서에서해당개인정보를이용하고자할때에는정보주체로부터별도의동의를받거나그밖의 개인정보의목적외이용허용사유 가운에어느하나에해당하는경우에만이용할수있습니다. 정보주체인수험생의별도의동의를받기위해서는다음의사항을알려야합니다 ( 고지사항가운데어느하나의사항을변경하는경우에도이를알리고동의를받아야합니다 ). 1 개인정보를제공받는자 2 개인정보를제공받는자의이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 - 정보주체로부터별도의동의를받고자하는경우에는정보주체가다른개인정보처리의목적과별도로동의여부를표시할수있도록조치를취하고동의를받아야한다 개인정보보호법 제 18 조제 2 항, 개인정보보호법시행령 제 15 조, 표준개인정보보호지침 제 3 조제 1 항 별지제 1 호서식 1.3.25 원래의업무처리부서가아닌다른부서에서학생정보를이용하여업무를처리해야할경우이에관한개인정보수집시별도로동의를받아야하는가? 수집한개인정보를그목적의범위에서이용하는것은허용됩니다. - 그렇지만, 수집목적을벗어난용도로이용하는것은금지됩니다. 174 개인정보보호법업무사례집

- 다만, 정보주체로부터별도의동의를받는등개인정보의목적외이용이허용되는사유에해당하는경우에는개인정보의목적외이용이가능합니다. 개인정보보호법 제 15 조제 1 항 제 18 조제 2 항 1.3.26 1 다른부서에서개인정보의제공을요청할때정보주체의동의와개인정보파일대장을기록하여야하는가? 2 개인정보파일을관련된부서로복사및전달할때에도정보동의와개인정보파일대장기록을해야하는가? 개인정보는수집목적의범위에서정보처리자가이용할수있습니다. - 학생과관련하여정보처리자는학교이며, 학교내기관또는부서는해당개인정보의수집목적의범위에서이용할수있습니다. - 학교등공공기관이개인정보파일을운용하는경우행정안전부장관에게등록하여야하고, 1개의개인정보파일에 1개의 개인정보파일대장 을작성하여야합니다. 개인정보보호법 제 15 조, 표준개인정보보호지침 제 62 조 1.3.27 외부전문가정보를한번동의를받은후영구보관하여전직원이이용하여도되는가? 외부전문가의개인정보를수집하기위하여동의를받을때에는수집 이용 제공등개인정보처리과정마다그리고각각의처리 Ⅱ. 개인정보업무처리및응답 175

항목마다동의사항을구분하여이를정보주체가명확하게인지할수있도록알리고각각동의를받아야합니다. - 동의를받을때에는개인정보의보유및이용기간을반드시알려야합니다. 이규정은개인정보를장기간또는영구적으로보유함으로써나타날수있는개인정보침해의위험성을최소화하기위한것입니다. 그러므로고지한보유및이용기간이경과하면해당개인정보를지체없이파기하여야합니다. 개인정보보호법 제 15 조 제 22 조제 1 항, 표준개인정보보호지침 제 6 조제 5 항 1.3.28 1 외부전문가정보 ( 이력서및고유식별정보 ) 를지급신청시내부시스템에등록하여이후에활용을위해전직원이열람하도록하여도문제가되지않는가? 2 이력서및고유식별정보, 계좌정보포함한지급신청서가결재완료후부서원들 ( 기안자, 결재자아님 ) 인원이열람하여도되는가? 외부전문가의개인정보는처리과정별로, 그리고처리항목별로동의사항을구분하여정보주체가명확하게인지할수있도록알리고각각동의를받아야합니다. - 고유식별정보와계좌정보등을등록한후이를이용하기위해서정보주체의개인정보이용에대한개별적동의가필요합니다. - 특히고유식별정보를처리하기위해서는다른개인정보와는별도로처리에관한동의를받아야합니다. - 그러므로정보주체의동의를받지아니하고이용또는열람등을할수는없습니다. 이용등을하는경우에도고유식별정보는 176 개인정보보호법업무사례집

분실 도난 유출 변조또는훼손되지아니하도록암호화등안전성확보에필요한조치를하여야한다. 그렇지만, 교원, 교직원, 기간제교원, 시간강사등학교와근로계약관계에있는근로자의경우에는 근로기준법 제2조제5호의임금지급, 교육, 증명서발급, 근로자복지제공을위하여근로자의동의없이개인정보를수집 이용할수있습니다. 근로관계에서근로자는사용자보다약자의지위에처하게되므로근로자의개인정보는더욱중요하게보호될필요가있습니다. 따라서근로자의동의를받지는않는다하더라도, 근로계약체결시근로계약서등을통해직원의개인정보수집 이용에관한사항을알리는것이바람직합니다 직원개인정보수집목적, 수집항목, 직원의열람 처리정지 정정 삭제등에관한사항, 보유기간, 퇴직후직원정보처리절차등 개인정보보호법 제15조 제22조제1항, 표준개인정보보호지침 제6조제6항 1.3.29 현재행정안전부주민과의권고사항으로부서간개인정보를이용하는할때대량자료의경우주민등록번호를마스킹하여이용하고있지만, 특정부서의업무처리를위해서엑셀파일로마스킹되지않은주민등록번호를 Ⅱ. 개인정보업무처리및응답 177

해당부서에서이용할경우개인정보보호법에저촉되는부분이있겠는가? 신원및연령등을확인하기위하여고유식별정보를이용하는것이법령에서요구하거나허용하는경우또는개인정보처리자가정보주체에게 고유식별정보의처리를위한별도의동의를받을때의고지사항 을알리고다른개인정보의처리에대한동의와별도로동의를받은경우에는해당주민등록번호를이용할수있습니다. - 고유식별정보의이용을위하여동의를받을때에는다른개인정보와고유식별정보를구분하여고유식별정보에대하여는정보주체가별도로동의할수있도록조치를취하여야합니다 고유식별정보를처리할때에는분실 도난 유출 변조또는훼손되지아니하도록암호화등안전성확보에필요한조치를하여야합니다. 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 에는다른법령에서단순히신원 연령확인의무만을규정하고있는것은포함되지않습니다. - 왜냐하면고유식별정보처리를구체적으로요구 허용한것으로볼수없기때문입니다. - 이경우에는신원 연령확인을위한고유식별정보처리에관한별도의동의를받거나, 주민등록번호를사용하지않는수단을이용하여신원 연령을확인하여야한다. 고유식별정보의처리를위한별도의동의를받을때의고지사항 1 고유식별정보의수집 이용목적 2 수집하려는고유식별정보의항목 3 고유식별정보의보유및이용기간 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 178 개인정보보호법업무사례집

개인정보보호법 제 24 조제 1 항및제 3 항, 개인정보보호법시행령 제 21 조및제 30 조, 표준개인정보보호지침 제 16 조 개인정보의공개 1.3.30 학교를비롯한일반적인홈페이지상에는학교행사를비롯한행사결과및실정을홍보하고있습니다. 이때홈페이지에게시되는사진이나동영상에대해서도개인정보수집에대한동의가이루어져야하는가? ( 특수학급이있는경우사진속에는장애아동이포함될수도있습니다. 이경우학부형이불만을제기할경우의수가있다고봅니다.) 일반적으로홈페이지는로그인없이누구나방문하여그내용을살펴보고각종정보를수집 이용할수있습니다. - 홈페이지에사진, 동영상등영상정보를포함한개인정보를게시할때에는정보주체의동의를받아야합니다. - 학생의연령이만 14세미만인경우에는법정대리인의동의를받아게시할수있습니다. 법정대리인의동의를받기위하여필요한최소한의정보, 즉, 이름과연락처는법정대리인의동의없이해당아동으로부터직접수집할수있습니다. 이경우개인정보처리자는해당아동에게자신의신분과연락처, 법정대리인의성명과연락처를수집하고자하는이유를알려야합니다. - 법정대리인의개인정보를수집한개인정보처리자는해당개인정보를법정대리인의동의를얻기위한목적으로만이용하여야하며, 법정대리인이동의를거부하거나동의의사가확인되지않는경우에는수집일로부터 5일이내에파기하여야합니다. Ⅱ. 개인정보업무처리및응답 179

동의를받는방법 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6 그밖에제 1 호부터제 5 호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 시각장애, 청각장애, 정신지체등특수교육대상자가일반학교에서장애유형 장애정도에따라차별을받지아니하고또래와함께개개인의교육적요구에적합한교육을받는 통합교육 이실시되고있습니다. - 통합교육이실시되고있는학교의특수학급학생의영상정보를포함한개인정보는일반학급학생의경우와같이학생본인또는그법정대리인의동의를받아게시하여야합니다. 개인정보보호법 제 15 조및제 22 조제 5 항, 개인정보보호법시행령 제 17 조, 표준개인정보보호지침 제 14 조, 장애인등에대한특수교육법 180 개인정보보호법업무사례집

1.3.31 학교홈페이지에올리는사진 ( 학생활동사진 ) 일경우학급홈페이지처럼로그인하고제한된사람만볼수있는경우와갤러리처럼로그인없이보는경우개인정보보호에대해어떻게처리되는가? 학생의활동사진을홈페이지에게시하는경우에는로그인등의방법으로제한된사람만이용할수있는지여부와관계없이정보주체인학생본인또는그법정대리인의동의를받아야합니다. 1.3.32 학급홈페이지에올리는아동사진이나동영상은게시동의서를받지만유튜브에올리는동영상정보는동의서없이정보를공개하고있습니다. 이경우에도따로동의서를받아야하는가? 유튜브에아동의사진이나동영상을게시하여많은사람들이이용하도록할때에도정보주체인학생또는법정대리인의동의를받아야합니다. 개인정보보호법 제 15 조및제 22 조제 5 항, 개인정보보호법시행령 제 17 조, 표준개인정보보호지침 제 14 조 1.3.33 개인블로그, SNS 등에학생사진을올리는것이가능한가? 1. 교사가개인 SNS 나유튜브등에비영리목적으로학생의사진이나동영상을게시할경우에도동의를받아야하는가? 2. 페이스북이나개인홈페이지를통해빠져나간개인정보나사진이웹상에서떠돌고있을때막을수있는방법은없는가? Ⅱ. 개인정보업무처리및응답 181

교사가학생들과의의사소통을목적으로개인적으로블로그또는 SNS 등을이용하는경우에는친목활동을하는것이라고볼수있습니다. 이경우교사는개인정보처리자가됩니다. 교사가동호회, 동아리등친목단체를운영하기위하여개인정보를처리하는경우에는정보주체의동의를받지아니하고친목단체구성원의개인정보를수집 이용할수있습니다. - " 친목단체 " 란학교, 지역, 기업, 인터넷커뮤니티등을단위로구성되는것으로서자원봉사, 취미, 정치, 종교등공통의관심사나목표를가진사람간의친목도모를위한각종동창회, 동호회, 향우회, 반상회및동아리등의모임을말한다. 정보주체의개인정보가정보주체의동의없이이용또는제공되는경우에해당개인정보처리자에게자신의개인정보에대한열람을요구하여삭제를요구하거나개인정보처리정지요구를할수있습니다. 개인정보보호법 제 36 조 제 37 조 제 58 조제 3 항, 표준개인정보보호지침 제 2 조제 4 호 제 13 조 1.3.34 다음의사항을홈페이지에게시할경우허용되는것은어느것인가? - 활동사진, 동영상 - 홍보자료속사진 - 과제물 ( 아이들이름포함 ) - 공개수업사진등 - 운영위원회개인정보 - 방과후강사전화번호 - 본인이올린본인개인정보 - 칭찬합시다에포함된개인정보 - 주간학습내교사정보 - 대학진학결과 182 개인정보보호법업무사례집

개인을식별할수있는개인정보에해당하므로이를게시할때에는정보주체의동의를받아게시하여야합니다. - 위의예시에서처럼대학진학결과, 예를들면 대 명 이라는것은개인을식별할수없으므로게시할수있지만, 개인의이름을게시할때에는정보주체인해당정보주체의동의를받아야합니다. 개인정보보호법 제 17 조 1.3.35 학교대표홈페이지또는학과별홈페이지에교원및교직원의이름, 전화번호, e-mail, 사무실위치, 사진의게시가가능한가? 이름, ID, 이메일주소, 사진등은개인정보입니다. - 사무실개인전화번호도개인정보에해당되지만, 담당직원이담당하고있는업무와관련한목적을위해서는직원의전화번호와이메일을수집 이용할수있다. - 다만, 사무실의위치는개인을식별할수있는개인정보로보기어렵습니다. 그러므로홈페이지에위의개인정보를게시할때에는정보주체의동의를받아야합니다. 교육관련기관의정보공개에관한특례법 제5조및제6조에따라공시대상정보에해당하는경우는예외로인정될수있습니다. 개인정보보호법 제 17 조 Ⅱ. 개인정보업무처리및응답 183

1.3.36 학교홈페이지방문자 ( 교내ㆍ외부인 ) 가홈페이지상에서개별교원의성명, 소속, 연구실적 ( 논문, 단행본, 특허등 ) 을조회할수있도록하는것이개인정보처리법에위반되는것인가? 개인을식별할수있는정보를누구나이용할수있도록하기위해서는정보주체의동의를받아야합니다. - 그러므로교원의성명, 연구실적등을누구나조회할수있도록하기위해서는해당교원의동의를받아야합니다. 공공기관의정보공개에관한법률 제9조에근거하여처리할수있습니다. 개인정보보호법 제 17 조, 공공기관의정보공개에관한법률 제 9 조 1.3.37 학교에서가정으로배부하는가정통신문에의문사항이있을경우를대비해업무담당자의연락처 ( 휴대폰번호 ) 가포함되는경우가간혹있습니다. 그리고학교홈페이지가정통신문탑재메뉴에이를탑재할경우개인정보에속하는연락처 ( 휴대폰번호 ) 는삭제하고올려야하는가? 학교에서가정으로배부하는가정통신문은학부모와학교간의의사소통및업무처리등교육적목적으로하는통지문입니다. - 그러므로, 해당업무담당자의동의를받아휴대전화번호등연락처를제공하는것은가능합니다. - 업무담당자의동의를받아홈페이지에가정통신문을게시할때휴대전화번호등연락처를함께게시하는것도가능합니다. 184 개인정보보호법업무사례집

개인정보보호법 제 17 조, 교육기본법 제 23 조의 3 강사의프로필을인터넷상에수강생들을위해제공할때, 1.3.38 본인이동의하였다해도피해야할개인정보가있는가? 민감정보와고유식별정보는처리할수없으므로수강생들에게공개할수없습니다. - 물론민감정보와고유식별정보의공개에대하여별도로동의를받거나법령에서그처리를요구하거나허용하는경우에는공개할수있습니다. 민감정보 : 사상, 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서유전정보와범죄경력정보를말합니다. 고유식별정보 란법령에따라개인을고유하게구별하기위하여부여된식별정보로서주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를말합니다. 개인정보처리자가민감정보또는고유식별정보의이용을위하여정보주체의별도의동의를받을때에는동의사항을구분하여정보주체가이를명확하게인지할수있도록알리고각각동의를받아야합니다. 민감정보의처리를위하여정보주체의동의를받을때알려야하는사항 1 민감정보의수집 이용목적 2 수집하려는민감정보의항목 3 민감정보의보유및이용기간 4 동의를거부할권리가있다는사실및동의거부에따른불 Ⅱ. 개인정보업무처리및응답 185

이익이있는경우에는그불이익의내용 위의사항의어느하나를변경하는경우에도이를알리고동의를받아야한다. 개인정보보호법 제 23 조및제 24 조, 개인정보보호법시행령 제 18 조, 표준개인정보보호지침 제 15 조 1.3.39 교직이수대상자선발, 해외자원봉사선발등학생을대상으로신청을받아선발자혹은합격자를발표할때학교홈페이지의게시판에학번, 이름, 소속등의정보를발표하는경우가있는데이렇게게시판에학번, 이름등의자료가공개되어도되는건지궁금합니다. 만약공개가불가능하다면선발신청공고시선발자는게시판을통해공고하겠다는내용이포함되어있으면가능한가? 선발전형을위하여지원신청을받을때개인정보처리자인학교는필요최소한의개인정보 ( 이름, 학번등 ) 를수집합니다. - 이경우정보주체인신청학생으로부터개인정보의수집에대한동의를받았음을명확히하여야하고, 수집목적의범위에서이용할수있습니다. 개인정보의수집에대한동의를받을때수집및이용목적, 수집하려는개인정보의항목, 보유및이용기간을알린후동의를받아야합니다. - 특히수집및이용의목적을합격자발표까지로명확히한다면, 선발전형의결과를발표할때학생으로부터수집한개인정보가운에합격자를식별할수있는개인정보를게시하는것은가능합니다. 186 개인정보보호법업무사례집

개인정보보호법 제 15 조 1.3.40 홈페이지에사진을게시할때학교전체행사의경우에는외부인이사진에나타날때가있습니다. 이때이들의동의를받기어려운데어떻게해결해야하는가? 사진과같이개인을특정할수있는개인정보를게시하기위해서는정보주체의사전동의를받아야합니다. - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서개인정보의수집 이용, 목적외이용및제3자제공이허용되는경우는 명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 에한합니다. 그밖의경우에는사전동의를받아야하며, 동의를받을수없는경우에는해당개인정보를처리할수없습니다. 개인정보보호법 제 17 조 제 22 조제 1 항 1.3.41 학교홈페이지와신문에나온유아의사진도부모의동의를받아야하는가? 살아있는사람에대한모든개인정보는보호되므로유아도정보주체로서동의를받아야합니다. - 다만, 14 세미만의아동은법정대리인의동의를받아야합니다. Ⅱ. 개인정보업무처리및응답 187

개인정보보호법 제 22 조제 1 항 1.3.42 같은반학생의성적이모두출력되어있는일람표로성적을확인하는것이개인정보침해에해당되는가? 성적은학생들의지식, 기능, 태도등을평가한결과로써점수자체로는개인식별성이없지만, 학번, 번호, 이름등과결합되는경우에는개인정보라고할수있습니다. - 성적정보는학교생활기록부에포함되는학생정보로서교육적목적을위하여수집 이용 처리또는관리할수있습니다. 그러므로성적을일람표로작성할수있지만, 제3자에게제공하는것은금지됩니다. - 그러므로성적을학번, 번호, 이름등과결합하여일람표로작성 출력하여게시판에게시할때에는정보주체의동의를받아야합니다. - 성적의열람은본인의학업성취도를확인하기위한목적이므로본인이아닌제3자가해당정보를열람하게하는행위는개인정보의보유목적외제공입니다. 그러므로해당정보주체로부터별도의동의가있는경우를제외하고는제3자가성적일람표로다른사람의성적을확인하도록하여서는안됩니다. 초 중등교육법 및 고등교육법 에따른각급학교, 평생교육법 에따른평생교육시설, 그밖의다른법률에따라설치된고등교육기관에서의성적평가또는입학자선발에관한업무를수행할때, 업무수행에중대한지장을초래하는경우에는성적열람을요구한정보주체에게그사유를알리고열람을제한하거나거절할수있습니다. 188 개인정보보호법업무사례집

개인정보보호법 제 35 조제 1 항및제 4 항제 3 호나목, 교육기본법 제 23 조의 3, 학교생활기록의작성및관리에관한규칙 1.3.43 1 각종시험및경시대회후합격자를홈페이지나현수막을통해게시하는경우에도정보주체의동의를받아야하나요? 받아야한다면, 개인정보이용동의서를받는시점은원서접수할때인가요, 합격자발표시점인가? 2 대회및행사의결과 ( 우수학생 ) 홍보를위한정보공개의허용범위는어디까지인가? 합격자를홈페이지나현수막을통하여게시하는경우에도정보주체인합격자의동의를받아야합니다. 동의는사전동의를원칙으로하기때문에게시또는공개전에만받으면됩니다. 개인정보보호법 제 22 조, 개인정보보호법시행령 제 17 조 Ⅱ. 개인정보업무처리및응답 189

4) 개인정보의제공 제공사유 1.4.1 개인정보보호법에따라개인정보를제공하려면어떻게하여야하는가? 개인정보의 제공 이라함은개인정보의저장매체또는개인정보가담긴출력물이나책자등의물리적이전, 네트워크를통한개인정보의전송, 개인정보에대한제3자의접근권한부여, 개인정보처리자와제3자의개인정보공유등개인정보의이전과공동으로이용할수있는상태를초래하는모든행위를말합니다. 개인정보는 개인정보보호법 이그제공을허용하는사유에해당할때제3자에게제공할수있습니다. 개인정보의제 3 자제공이허용되는사유 1 정보주체의동의를받은경우 2 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우로개인정보를수집한목적범위에서개인정보를제공하는경우 제3자 : 정보주체와정보주체또는그의법정대리인으로부터개인정보를실질적 직접적으로수집 보유한개인정보처리자를제외한모든자를말합니다. 그러나개인정보처리업무를위탁받아처리하는자는제3자에서는제외합니다. 190 개인정보보호법업무사례집

개인정보의제공을위하여정보주체로부터동의를받을때에는다음의사항을알리고동의를받아야합니다 ( 고지사항중어느하나가변경하는경우에도이를알리고동의를받아야합니다 ). 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 개인정보를처리하기위하여정보주체의동의를얻고자하는경우에는정보주체의동의가필요한경우와필요하지않은경우를구분하고, 후자의경우에는정보주체의동의없이개인정보를처리할수있다는점과그사유를알려야한다. 개인정보처리자가정보주체에게개인정보를제공받는자를알리는경우에는그성명 ( 법인또는단체인경우에는그명칭 ) 과연락처를함께알려야합니다. 개인정보를목적외의용도로제3자에게제공하는경우에개인정보처리자는제공받은자에게개인정보의안전성을확보하기위하여필요한조치를마련하도록요청하여야합니다. - 안전성확보를위한조치를요청받은부서는개인정보의안전성확보를위하여필요한조치를하여야하고, 개인정보를제공하는부서와개인정보를제공받는부서는개인정보의안전성에관한책임관계를명확히하여야한다. 개인정보보호법 제 18 조, 표준개인정보보호지침 제 8 조및제 13 조제 2 항 Ⅱ. 개인정보업무처리및응답 191

제공에대한동의 1.4.2 보유목적으로수집된개인정보를다른기관에제공할때에도정보주체의동의를받아야하는가? 개인정보보호법 은보유를목적으로개인정보를수집하는것은허용되지않습니다. - 단지, 수집을목적으로수집된개인정보를보유할수있지만, 수집할때정보주체에게보유기간을알린후동의를받아야하므로그기간동안만해당개인정보를보유할수있을뿐입니다. - 그리고수집된개인정보를다른기관에제공할때에는정보주체의동의를받거나해당개인정보의수집목적의범위에서제공할수있습니다. 개인정보보호법 제 17 조제 1 항 1.4.3 1 개인정보를제 3 자에게제공할경우정보주체에게어떠한방법으로동의를받아야하는가? 2 정보주체의별도동의를받아개인정보를제 3 자에게제공하고자하는경우에는정보주체에게어떤내용을미리알려야하는가? 3 공공기관이정보주체로부터동의를받아개인정보를제공하고자할때사전에정보주에게고지하여야하는데구체적인내용에는어떤것들이있는가? 4 정보주체의동의를받은경우에만제 3 자에게개인정보제공이가능한데방법은무엇이있는가? 제3자에게개인정보를제공하기위하여정보주체로부터별도의동의를받을때에는다음의사항을알려야합니다 ( 고지사항중어느하나를변경하는경우에도이를알리고동의를받아야합니다 ). 192 개인정보보호법업무사례집

1 개인정보를제공받는자 2 개인정보를제공받는자의이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 - 정보주체의동의를받는방법은다음과같습니다. 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6 그밖에제 1 호부터제 5 호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 개인정보보호법 제 17 조제 2 항 1.4.4 저소득층관련업무를하다보면통신사에학생주민등록번호나학부모주민등록번호를제공할때가있는데어떤절차를거쳐야하는지요? 전기통신사업법 에따른보편적역무의내용가운데 장애인 저소득층등에대한요금감면전화서비스 가시행되고있습니다. Ⅱ. 개인정보업무처리및응답 193

- 이서비스는사회복지증진을위한장애인 저소득층등에대한전화서비스를그내용으로하고있습니다. - 이같은보편적역무의제공자는방송통신위원회가지정하며, 서비스대상자여부를확인하기위하여통신사는주민등록번호를수집하게됩니다. 이경우서비스대상자의동의를받아주민등록번호를통신사에제공하여야합니다. - 제공동의를받을때에는개인정보를제공받는자, 개인정보를제공받는자의개인정보이용목적, 제공하는개인정보의항목, 개인정보를제공받는자의개인정보보유및이용기간, 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용을알린후동의를받아야합니다. 장애인 저소득층등에대한요금감면전화서비스 1 시내전화서비스및통화권간의전화서비스 2 시내전화서비스및시외전화서비스의부대서비스인번호안내서비스 3 기간통신역무중이동전화서비스, 개인휴대통신서비스, 아이엠티이천서비스및무선호출서비스, 4 인터넷가입자접속서비스 대상자 : 장애인 장애인복지시설및장애인복지단체, 특수학교, 국민기초생활수급자및차상위계층등 개인정보보호법 제 24 조제 1 항, 전기통신사업법 제 4 조제 3 항, 전기통신사업법시행령 제 2 조 1.4.5 저소득층학생들의개인정보를공문으로보낼경우개인정보보호법에위반되지않는가? 194 개인정보보호법업무사례집

저소득층의개인정보는정보주체의동의를받거나법률에특별한규정이있는경우등개인정보수집허용사유에해당하여야수집하고그목적의범위에서이용하거나제공할수있습니다. - 개인정보의수집에관한동의를받을때에는정보주체에게수집 이용목적및수집하려는개인정보의항목등의사항을고지하여야합니다. - 그러므로고지한목적의범위에서제공할수있습니다. 그렇지만, 그범위를벗어난경우에는정보주체의동의를받아제공할수있으며, 제공을위한동의를받을때에는제공받는자와제공하는개인정보의항목등을알려야합니다. 제3자에게개인정보를제공하기위하여정보주체로부터별도의동의를받을때에는다음의사항을알려야합니다 ( 고지사항중어느하나를변경하는경우에도이를알리고동의를받아야합니다 ). 1 개인정보를제공받는자 2 개인정보를제공받는자의이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 저소득층지원사업은 국민기초생활보장법, 한국장학재단법 등에근거하여이루어지지만, 해당법률에서주민등록번호의처리를요구하거나허용하고있습니다. 정보주체의동의가없어도주민등록번호의수집 이용이허용됩니다. 개인정보보호법 제 17 조 Ⅱ. 개인정보업무처리및응답 195

1.4.6 정보주체의동의를받은경우에만제 3 자에게개인정보제공이가능한것으로아는데, 그방법은무엇인가? 제3자에게정보를제공하기위해서는 개인정보의제3자제공허용사유 또는 개인정보목적외제3자제공허용사유 가운데어느하나에해당하여야합니다. - 제공허용사유가운데정보주체의동의를받을때에는개인정보를제공받는자, 개인정보를제공받는자의개인정보이용목적, 제공하는개인정보의항목, 개인정보를제공받는자의개인정보보유및이용기간, 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용등 5 가지를정보주체에게알려야합니다. 개인정보의제3자제공허용사유 1 정보주체의동의를받은경우 2 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우로개인정보를수집한목적범위에서개인정보를제공하는경우 개인정보의목적외제 3 자제공허용사유 1 정보주체로부터별도의동의를받은경우 2 다른법률에특별한규정이있는경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서 196 개인정보보호법업무사례집

명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7 범죄의수사와공소의제기및유지를위하여필요한경우 8 법원의재판업무수행을위하여필요한경우 9 형 (14) 및감호, 보호처분의집행을위하여필요한경우 5-9 까지의경우는공공기관의경우로한정한다. 개인정보보호법 제 17 조및제 18 조 1.4.7 4 대보험과관련하여주민등록번호등개인정보가포함된문서를 FAX 로수신, 발신하는경우개인정보보호를위하여취해야할조치는무엇인가? 근로계약을체결하는경우임금지급, 국민연금, 건강보험, 고용보험, 산재보험 의가입등근로자복지제공을위해서는근로자의동의없이개인정보를수집 이용할수있으며, 그범위에서제3자에게제공할수있습니다. - 고유식별정보를제3자에게제공하는경우에는고유식별정보가분실 도난 유출 변조또는훼손되지아니하도록안전성확보에필요한조치를하여야합니다. 개인정보보호법 제 15 조 제 18 조제 2 항, 표준개인정보보호지침 제 6 조제 6 항 Ⅱ. 개인정보업무처리및응답 197

1.4.8 개인정보제공시주기적이아닌일회성으로제공할경우에도제공근거, 목적, 범위등을관보또는인터넷홈페이지에게재하여야하는가? 공공기관이관보또는인터넷홈페이지등에게재하는대상은 개인정보의목적외의용도로제3자에게제공한경우 로한정합니다. - 그리고그사유는다음과같습니다. 1 다른법률에특별한규정이있는경우 2 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 3 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 4 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 5 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 6 법원의재판업무수행을위하여필요한경우 7 형 (14) 및감호, 보호처분의집행을위하여필요한경우 개인정보를목적외의용도로제3자에게제공한경우에는주기성과관계없이목적외의용도로제3자에게제공을한날부터 30일이내에다음의사항을관보또는인터넷홈페이지에게재하여야합니다. 1 목적외제 3 자제공을한날짜 2 목적외제 3 자제공의법적근거 3 목적외제 3 자제공의목적 4 목적외제 3 자제공을한개인정보의항목 198 개인정보보호법업무사례집

- 인터넷홈페이지에게재할때에는 10일이상계속게재하되, 게재를시작하는날은목적외용도로제3자에게개인정보를제공한날부터 30일이내여야합니다. 개인정보보호법 제 18 조제 2 항 제 4 항, 개인정보보호법시행규칙 제 2 조 1 학교에서수학여행학생명단을보험가입하기위하여보험회사에주민등록번호를제공하게되는데, 당초수학여행신청서받을때개인정보제 3 자제공에대한정보주체의동의를받으면되는가? 2 교직원맞춤형복지및학생수학여행등과같이보험계약체결을위하여각기관교직원및학생들의개인정보 ( 주민등록번호포함 ) 를보험회사에제공하여야할경우정보주체의동의서를구해야하는가? 3 직원들의직무수행능력향상및사기진작을위해교육청및소속학교직원들을대상으로제주도에서워크숍을실시하는경우에여행자보험가입을위해보험회사에직원들의개인정보를제공할때에도동의를받아야하는가? 4 교직원및학생에대한단체보험가입시종전에는보험회사에서개인정보수집. 이용동의서를받아가입처리하였으나, 법개정이후부터동의서를생략하고학교로부터가입자의개인정보를공문으로받아일괄처리하도록변경요청하는데이러한방식으로처리해도문제가되지않는지요, 이경우에도별도의동의서를학교에서받아서처리해야하는가? 5 학교에서학생들의수학여행이나현장체험학습시버스를대여할경우학생의보험을계약합니다. 주민등록번호를나이스에서다운받아서활용하게되는경우가생깁니다. 담당자나교사가주의해야할사항은무엇인가? Ⅱ. 개인정보업무처리및응답 199

1.4.9 6 여행자보험가입을위하여개인정보를수집받는경우, 수집동의와별도로제공동의를받아야하는가? ( 수집동의목적을여행자보험가입으로주체자에게고지함 ) 7 수학여행이나청소년단체여행시단체여행자보험가입을위해학생들의주민등록번호등개인정보를보험회사로제공하여야하는데학교에서이에대한처리방법은어떻게되는가? 8 학과에서졸업여행을위하여대상자들의정보를일괄취합하여보험사에정보제공시동의를받아야하는가? 9 수학여행, 체험활동시보험가입을위해계약업체에학생주민등록번호를제공하는사례가많습니다. 이와관련하여학교에서구체적으로지켜야할업무절차는무엇이있는가? 10 프로그램참여기간중신변보호를위한목적으로보험가입이불가피하여회원가입시주민등록번호를받으려합니다. 이런경우에는주민등록번호를어떻게받을수있는가? 11 취업캠프참여, 실습선승선등은참여학생의보험가입이필수 ( 주관부서는상이함 ) 입니다. 취업캠프는원하는학생이개별로신청하여참여하는선택사항이고, 실습선승선은정규수업으로의무입니다. 이런경우개별건별로보험가입에대한동의서를모두받아야하는가? 12 하계및동계방학을이용하여우리대학교학생들은해외자원봉사활동을하고있습니다. 해외자원봉사를위하여여권발급, 항공예약등여행사와협력체계를유지하고있으며, 부서에서보험가입을위해일괄적으로여행사에주민등록번호등개인정보를제공할것을요구하고있습니다. 본업무행정에대해서여행사를제 3 자로판단하여개인정보제공에대한동의를별도로받아야되는가? 200 개인정보보호법업무사례집

개인정보보호법 에따르면주민등록번호와같은고유식별정보는원칙적으로제공이금지됩니다. - 다만, 개인정보의수집 이용, 제3자제공을위한고지사항을정보주체에게알리고다른개인정보의처리에대한동의와별도도동의를받은경우, 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우는예외입니다. 수학여행을할때발생할수있는각종사고에대비하기위하여여행자보험의가입이강제되고, 여행자보험에가입하기위해서는주민등록번호가필수적기재사항입니다. - 여행자보험의가입강제는조달청의공고인 수학여행 수련활동용역다수공급자계약추가특수조건 에근거하고있습니다. 이에따르면계약상대자, 즉관광사업자는 관광진흥법 등관계법령에따라수학여행자전원에대하여여행자보험을가입하도록강제하고있습니다. 여행자보험의가입을강제하는조달청의 공고 는법령의범위에포함되지않습니다. - 그러므로단체보험의가입을위하여학생의주민등록번호는다른개인정보와는별도로제3자제공에대한동의를개인별로받아야합니다. 제3자 : 정보주체또는정보주체또는그의법정대리인으로부터개인정보를실질적 직접적으로수집 보유한개인정보처리자를제외한모든자를의미하며, 개인정보처리업무수탁자는제외됩니다. 수학여행 수련활동용역다수공급자계약추가특수조건 ( 조달청공고제2011-46호, 2011.10.31, 일부개정 ) 제15조 ( 여행자보험 ) 1계약상대자는 관광진흥법 등관계법령에따라수학여행자전원에대하여여행자보험을가입하고, 여행중 Ⅱ. 개인정보업무처리및응답 201

발생한제반사고에대한보상은 보험업법 등관계법령에따른다. 2수련활동에대한여행자보험은수요기관에서직접가입한다. 3계약상대자는여행자보험에가입한후출발 7일전까지보험료납부영수증사본과보험증권을수요기관에제출한다. 개인정보보호법 제 17 조제 1 항, 수학여행 수련활동용역다수공급자계약추가특수조건 제 15 조 1.4.10 학교에서체험학습이나수학여행등을갈때학생들의사고에대비하기위하여보험을가입하게되는데, 보험사에학생들의주민등록번호가포함된개인정보파일을제공하게됩니다. 보험사에개인정보파일을안전하게제공하는방법은무엇이있는가? 수학여행과는달리수련활동의경우에는조달청의공고인 수학여행 수련활동용역다수공급자계약추가특수조건 에따라수요기관인학교가직접여행자보험에가입하여야합니다. 그러므로학교가여행자보험의가입을위한업무수행을하여야합니다. - 현장체험학습등수련활동을위하여여행자보험을가입하는경우 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 에해당하여개인정보를보험사에제공할수있습니다. 그렇지만, 주민등록번호의처리는정보주체의별도의동의를받거나법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우에한하여인정됩니다. - 따라서조달청공고는법령에포함되지않으므로정보주체의별도의동의를받아보험사에제공하여야합니다. 정보주체의별도의동의를받을때에는 고유식별정보의처리를위한별도의동의를받을때의고지사항 을반드시알리고다른개인정보처리에대한동의와별도로동의를받아야합니다. 202 개인정보보호법업무사례집

개인정보파일은안전성확보를위하여비밀번호를설정해둘것을권장합니다. - 개인정보처리자는안전한비밀번호를설정하여이행할수있도록작성규칙을수립하여적용하여야합니다. 개인정보보호법 제 15 조제 2 항, 제 17 조제 1 항 제 2 항, 제 24 조제 1 항, 수학여행 수련활동용역다수공급자계약추가특수조건 제 15 조제 2 항 1.4.11 본대학소속학과에서졸업여행등으로인하여여행업체에학과학생의주민등록번호를제공하기위해전산팀에학생들의주민등록번호자료제공을요청하는경우에는 개인정보제공 공유절차 방법 에해당하는것인가? 아니면 개인정보목적외이용 제공절차 방법 에해당하는것인가? 개인정보보호법 에따르면개인정보처리자는학교이며, 학교내의기관또는부서는 개인정보취급자 로서학교가수집한개인정보를공동으로이용할수있습니다. - 그러므로학교내의기관및부서는개인정보의이용에관한절차에따라해당개인정보를이용하면됩니다. 개인정보를수집 이용할수있는경우라하더라도제3자에게제공할수없으며, 법률에특별한규정이있는경우에한해서개인정보를제공할수있습니다. - 단, 주민등록번호의제3자제공은원칙적으로금지되며정보주체의동의를받거나법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우에한하여만가능합니다. Ⅱ. 개인정보업무처리및응답 203

개인정보보호법 제 15 조제 1 항 1.4.12 1 학교에서해외어학연수를보내는데비행기티켓팅을위해성명및영문이름, 전화번호를보내는데이것도동의서를받아야하는가? 2 하계및동계방학을이용하여우리대학교학생들은해외자원봉사활동을하고있습니다. 해외자원봉사를위하여여권발급, 항공예약등여행사와협력체계를유지하고있으며, 담당부서에서보험가입을위해일괄적으로여행사에주민등록번호등개인정보를제공할것을요구하고있습니다. 본업무행정에대해서여행사를제 3 자로판단하여개인정보제공에대한동의를별도로받아야되는가? 해외어학연수의지원신청을받아선발과정을거쳐선발된학생의개인정보는신청을받을때수집 이용목적과수집하려는개인정보의항목등을알려주고동의를받아수집하여이용할수있습니다. - 제3자에게정보를제공할때에는정보주체의동의를받거나법률에특별한규정이있는등 개인정보제공허용사유 중어느하나에해당하여야합니다. 교내의해외연수업무는법령상의의무로보기어려우므로정보주체의동의를받아야합니다. - 동의를받을때에는다음의사항을알려야합니다. 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 204 개인정보보호법업무사례집

5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용등 5 가지를정보주체에게알려야합니다. 개인정보를제공하기위하여정보주체의동의를얻고자하는경우정보주체의동의가필요한경우와필요하지않은경우를구분하고후자의경우에는정보주체의동의없이개인정보를제공할수있다는점과그사유를알려야한다 해외연수와관련하여해당학생의주민등록번호와여권번호가사용되는데, 이와같은고유식별정보를제공할때에는정보주체인학생에게고유식별정보의제공을위한고지사항을알리고다른개인정보의처리에대한동의와별도로동의를받아제공하여야합니다. - 고유식별정보의제공을위하여개인정보처리자 ( 학교 ) 는정보주체의동의를받을때에는일정한사항을고지하여야합니다. 동의를받을때에는동의사항을구분하여정보주체가이를명확하게인지할수있도록알리고각각동의를받아야합니다. - 다른개인정보와고유식별정보를구분하여고유식별정보에대해정보주체가별도로동의할수있도록조치를취하여야합니다 고유식별정보의처리를위한별도의동의를받을때의고지사항 1 고유식별정보의수집 이용목적 2 수집하려는고유식별정보의항목 3 고유식별정보의보유및이용기간 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 동의를받는방법 1. 동의내용이적힌서면을정보주체에게직접발급하거나우편 Ⅱ. 개인정보업무처리및응답 205

또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2. 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3. 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4. 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5. 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6. 그밖에제 1 호부터제 5 호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 위의사항중어느하나에해당하는사항을변경하는경우에도이를알리고동의를받아야합니다. 제 2 호의전화에의한동의와관련하여통화내용을녹취할때에는녹취사실을정보주체에게알려야합니다. 개인정보보호법 제 17 조제 1 항 제 2 항, 제 24 조제 1 항, 표준개인정보보호지침 제 13 조제 2 항 1.4.13 희망하는학생에한해학교에서단체로공인된시험 ( 어학능력시험 ) 에응시하고자해당학생들의주민등록번호를취합하여시험주관기관에제출하고자할경우개인정보보호법과관련하여필요한절차가있는가? 있다면구체적으로어떤절차인가? Toeic, Tofle 등공인영어시험을학교에서단체로응시하기위하여주민등록번호를수집하여시험주관기관에제공하고자할때에는정보주체인응시학생의동의를받아야합니다. 206 개인정보보호법업무사례집

- 주민등록번호와같은고유식별정보를제공할때에는정보주체인학생에게고유식별정보의제공을위한고지사항을알리고다른개인정보의처리에대한동의와별도로동의를받아제공하여야합니다. - 고유식별정보의처리를위하여정보주체에게동의를받고자하는경우에는다른개인정보와고유식별정보를구분하여고유식별정보에대하여는정보주체가별도로동의할수있도록조치를취하여야한다 개인정보보호법 제24조제1항, 표준개인정보보호지침 제16조 1.4.14 교직원복지차원으로신청자들에한해건강검진을추진하고자한다. 이때병원에대상자명단이제공되는데신청자들에게개인정보제공동의서를받아야하는가? 이런경우병원과진행사항은업무위탁인지제3자제공인가? 학교보건법 에따라유치원, 초 중등학교, 고등교육기관의장은교직원에대하여건강검진을실시하여야하는데, 교직원에대한건강검사는 국민건강보험법 제47조에따른건강검진으로갈음할수있습니다. - 그러므로 국민건강보험법 제47조에따른건강검진은국민건강보험공단이실시기관이므로학교가해당교직원의개인정보를제공하지는않습니다. - 그렇지만, 학교장이병원을지정하여건강검진을하는경우해당병원에교직원의최소한의개인정보 ( 이름및연락처등 ) 를제공할수있습니다. - 또한건강검진병원을선택하도록하는경우에는교직원이선택한병원에해당교직원의최소한의개인정보를제공할수있습니다. 제3자제공과업무위탁의비교 Ⅱ. 개인정보업무처리및응답 207

- 업무위탁과개인정보제 3 자제공모두개인정보가다른사람에게이전하거나다른사람과공동으로이용하게된다는측면에서는같지만, 개인정보이전의목적이전혀다르고이전된개인정보에대한관리 감독등법률적관계도전혀다릅니다. - 업무위탁의경우에는개인정보처리자의업무처리범위내에서개인정보처리가행해지고위탁자인개인정보처리자의관리 감독을받지만, 제 3 자제공은제 3 자의이익을위해서개인정보처리가행해지고제 3 자가자신의책임하에개인정보를처리하게됩니다. - 업무위탁의경우에는수탁자에게개인정보가이전되더라도개인정보에대한개인정보처리자의관리 감독권이미치지만, 제 3 자제공의경우에는일단개인정보가제 3 자에게제공되고나면개인정보처리자의관리 감독권이미치지못합니다. 구분제 3 자제공업무위탁 관련조항제 17 조제 26 조 예시사업제휴, 개인정보판매등배송업무위탁, TM 위탁등 이전목적제 3 자의이익을위하여처리 예측가능성 이전방법 관리 감독책임 손해배상책임 정보주체가사전예측곤란 ( 정보주체의신뢰범위밖 ) 원칙 : 제공목적등고지후정보주체의동의획득 제공받는자책임 위탁자의이익을위하여처리 ( 수탁업무의처리 ) 정보주체가사전예측가능 ( 정보주체의신뢰범위내 ) 원칙 : 위탁사실공개 예외 : 위탁사실고지 ( 마케팅업무위탁 ) 위탁자책임 제공받는자부담위탁자부담 ( 사용자책임 ) 개인정보보호법 제 24 조제 1 항, 학교보건법 제 7 조제 1 항, 국민건강보험법 제 47 조, 표준개인정보보호지침 제 16 조 208 개인정보보호법업무사례집

1.4.15 자격증시험및기타원서등을학생이직접작성하여학과에제출하였을경우학과에서해당기관에대리로접수, 제출하고자할경우다른절차를거쳐야하는것이있는가? 학과에서응시원서를취합하여대리로접수시키는경우처리하여야할개인정보가없으므로특별한절차를거칠필요는없습니다. - 다만, 응시원서에는주민등록번호를표기하는경우가많으므로안전하게접수시킨후접수증을안전하게보관한후에해당응시자들에게직접배포하여야합니다. 1.4.16 보건소에서협조요청이있어서구강건강실태조사를작성할때학생의주민등록번호, 주소를제공하는데이는개인정보보호법에저촉되는가? 보건복지부장관은 구강보건사업기본계획 을수립하고, 특별시장 광역시장 도지사및시장 군수 구청장은구강보건사업기본계획에따라각각세부계획및집행계획을수립하여야한다. - 구강보건사업기본계획에는 학교구강보건사업 이포함됩니다. 교육감또는교육장과미리협의하여야하는학교구강보건사업은유치원및초 중등학교의장이주체가되어유치원및초 중등학교의학생을대상으로합니다. 학교구강보건사업의내용 : 구강보건교육, 구강건강진단, 집단잇솔질, 불소용액양치, 계속구강건강관리, 기타학생의구강건강증진에필요하다고인정되는사항등 - 시장 군수 구청장은구강보건사업집행계획의시행결과를시행이완료되는연도의다음연도 1월 31일까지관할시 도지사에게제출하여야합니다. 이때그계획에포함되어있는학교구강보건사업에대한결과도함께제출하여야합니다. 이경우학생의 Ⅱ. 개인정보업무처리및응답 209

주민등록번호를포함한개인정보까지결과에포함될필요는없는것으로판단됩니다. 또한, 보건복지부장관은국민의구강건강상태및구강건강의식등구강건강실태에대하여 3년마다조사하여야합니다. - 국민구강건강실태조사는구강건강상태조사및구강건강의식조사로구분하여표본조사를실시합니다. - 다만, 구체적으로개인이특정하여야할개인정보가필요한가에대해서는다소논란의여지가있을수있습니다. 구강건강에관한정보는민감정보이므로이를처리하는것은원칙적으로금지되지만, 법령에서처리할것을요구하거나허용하는경우에는예외적으로처리할수있습니다. 주민등록번호는정보주체의별도의동의를받아야하며, 그밖의개인정보는수집된목적의범위에서제공하여야합니다. 구강보건법 제 5 조내지제 9 조, 제 12 조 제 13 조, 구강보건법시행령 제 4 조, 구강보건법시행규칙 제 3 조, 학교보건법 제 7 조제 1 항제 1 호 1.4.17 학교에서는학교보건법및감염병의예방및관리에관한법률에따라주기적으로학생들의건강검사및예방접종을실시하는데, 이때학생들의개인정보를의료기관에제출해야합니다. 이런경우에도정보주체동의서등의관련서류들을받아야하는가? 유치원, 초 중등학교, 고등교육기관의장은학생에대하여건강검사를하여야하고, 그결과를작성 관리하여야합니다. - 특히, 건강검사결과를작성 관리할때에는 교육정보시스템 을 210 개인정보보호법업무사례집

이용하여 1 인적사항 ( 성별, 주민등록번호, 혈액형등 ),2 신체의발달상황및능력, 3 그밖에교육목적을이루기위하여필요한범위에서교육과학기술부령으로정하는사항 ( 전염병예방접종의실시여부, 건강검진및별도검사실시현황등을말하며, 전염병예방접종의실시여부등을포함한학생의건강검사결과등 ) 을처리하여야합니다. 초등학교와중학교의장은학생이새로입학한날부터 90일이내에시장 군수또는구청장에게 감염병의예방및관리에관한법률 에따른예방접종증명서를발급받아모두예방접종받았는지를검사한후이를교육정보시스템에기록하여야합니다. - 초등학교와중학교의장은검사결과예방접종을모두받지못한입학생에게는필요한예방접종을받도록지도하여야하며, 필요하면관할보건소장에게예방접종지원등의협조를요청할수있다. 학교의장은건강검사또는예방접종을위하여필요한개인정보를건강검사기관또는보건소의장에게제공하는것은 법률에특별한규정이있고, 학교가법령등에서정하는소관업무의수행을위하여불가피한경우 에해당합니다. - 결국학교의장은건강검사또는예방접종을위한개인정보를제공할수있습니다. Ⅱ. 개인정보업무처리및응답 211

212 개인정보보호법업무사례집

학교보건법 제 7 조 제 7 조의 3 제 10 조 제 11 조, 감염병의예방및관리에관한법률 제 24 조 - 제 27 조 1.4.18 학교에서단체헌혈을할때, 적십자혈액원에서전교생의명렬과주민등록번호를요구합니다. 학생들의헌혈이끝나는대로명렬과주민등록번호는바로되돌려주겠다고하면서요. 다른학교에서는다그렇게하고있다고말씀하십니다. 학생개인의승낙없이주민등록번호가포함된명렬표를혈액원에제공해도되는가? 혈액원은채혈전에헌혈자에대하여신원확인및건강진단을실시하여야하고, 신원이확실하지아니하거나신원확인에필요한요구에응하지아니하는자로부터의채혈은금지됩니다. Ⅱ. 개인정보업무처리및응답 213

- 신원은사진이붙어있어본인임을확인할수있는주민등록증, 여권, 그밖의신분증명서에따라확인하여야합니다. 다만, 학생, 군인등의단체헌혈의경우그관리ㆍ감독자의확인으로갈음할수있습니다. 그러므로학생의단체헌혈의경우학생증또는학교보건교사등의확인으로본인확인을할수있으므로혈액원이전교생의명렬표와주민등록번호를요구하는데응하지않아도됩니다. 혈액관리법 제 7 조, 혈액관리법시행규칙 제 6 조제 1 항 제 2 항 1.4.19 1 학생증발급을위해은행으로파일을제공할경우학생에게동의를받아야하는가?( 학생증의경우카드의기능이없는순수한학생증용도입니다 ) 2 학교학생증은특정은행과연계하여체크카드 ( 신용카드 ) 로도사용가능합니다. 따라서은행에서학생의주소및전화번호등학생증갱신의목적으로개인정보를실시간으로연동하고자할경우개인정보제공에대한동의를받아야하는가? 3 대학들이은행과학생증발급에관한협약을맺고협약내용안에서학생의개인정보를제공하고있는데학생의동의를받고제공해야하는가? 체크카드또는신용카드의기능이결합된학생증의제작을목적으로학생의개인정보를제공하는경우해당개인정보의제공에대한동의를받아야합니다. - 정보주체의주소및전화번호등개인정보가변경될때변경된개인정보를제공할수있음을별도의동의를받아동의한정보주체에한하여연동하면됩니다. 214 개인정보보호법업무사례집

- 또한체크카드또는신용카드의경우주민등록번호가제공되어야하는데, 이경우에는다른개인정보의제공에대한동의와별도로동의를받아야제공할수있습니다. 개인정보보호법 제 17 조 제 18 조 제 24 조 1.4.20 학생증발급을위해계약업체에성명, 반, 번호등의정보를송부하는경우에도해당사항에대한정보주체의동의서를받아야하는가? 학생증의단순외주제작의경우는업무위탁으로볼수있습니다. 따라서제3자제공에대한동의는받지않아도됩니다. 다만, 위탁시다음내용이포함된문서에의하여야합니다. 1 위탁업무수행목적외개인정보의처리금지에관한사항 2 개인정보의기술적 관리적보호조치에관한사항 3 위탁업무의목적및범위 4 재위탁제한에관한사항 5 개인정보에대한접근제한등안전성확보조치에관한사항 6 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 7 수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항준수하여야할사항을크카드또는신용카드의기능이결합된학생증의제작을목적으로학생의개인정보를제공하는경우해당개인정보의제공에대한동의를받아야합니다. 개인정보보호법 제 26 조 Ⅱ. 개인정보업무처리및응답 215

1.4.21 학생증발급을위해거래은행에자료를일괄로보내학생들이학생증을발급받을수있도록하는데이러한업무는공공기관이법령에서규정한소관업무가맞는가? 학생증발급은학교의소관업무라고할수있지만, 체크카드또는신용카드기능을갖는학생증의발급을위한개인정보의제공은정보주체의동의가필요한사항입니다. 학생증을외부은행등과연계하여발급하는경우에는제3자제공으로볼수있으며, 제공에대한동의를받아야합니다. 이때주민등록번호가제공된다면다른개인정보의제공에대한동의와별도로동의를받아야합니다. 개인정보보호법 제 17 조 제 18 조 제 24 조 1.4.22 1 동창회에서졸업생명부를요구할경우학교에서는어떻게해야하는지, 동창회의요청을들어주어도무방한가? 2 대학에서학사 행정시스템관리및운영을위해개인정보이용, 제공에대한동의를학생또는교직원으로부터구하지않아도된다고개인정보순회교육때전달받았습니다. 그러면학사 행정의범위에따라학생이나교직원의개인정보 DB 제공이모호해집니다. 동창회에 DB 제공은별도동의를구해야하는가? 3 대학총동문회또는단과대학동문회에서동문명부제작에필요한졸업생자료 ( 학과, 학번, 이름, 주소, 자택 / 직장전화번호, 휴대전화번호, E-mail) 를요구하는경우개인정보활용동의를받아사용해야하는가? 동창회는학교를단위로졸업생들의친목을위하여만든모임을말합니다. 동창회에서학교에졸업생명부를요구하는것은개인 216 개인정보보호법업무사례집

정보의제공을요구하는것이므로제공에대하여정보주체의동의를받아동창회에제공하여야합니다. - 동창회를계속적으로운영 관리할목적으로동창회원의개인정보파일을운용하기위하여개인정보를처리하는법인, 단체, 개인은다음의사항을수집할때에는정보주체의동의를받지않고도해당개인정보를수집할수있습니다. 1 친목단체의가입을위한성명, 연락처및친목단체의회칙으로정한공통의관심사나목표와관련된인적사항 2 친목단체의회비등친목유지를위해필요한비용의납부현황에관한사항 3 친목단체의활동에대한구성원의참석여부및활동내용에관한사항 4 기타친목단체의구성원상호간의친교와화합을위해구성원이다른구성원에게알리기를원하는생일, 취향및가족의애경사등에관한사항 개인정보보호법 제 17 조제 1 항, 표준개인정보보호지침 제 2 조제 2 호 제 13 조제 5 항 1.4.23 1 교우회에서직원, 교원정보를요청할경우동의없이제공할수있는지여부, 제공할수있다면어느범위의정보까지제공할수있는가? 2 교우회에서졸업생의정보를요청할경우동의없이제공할수있는지여부, 제공할수있다면어느범위의정보까지제공할수있는가? 교우회 란같은학교의교원, 직원, 재학생, 졸업생등이모여만든모임을말합니다. 교우회가학교에직원또는교원정보를요구하는것은개인정보의제공을요구하는것입니다. 개인 Ⅱ. 개인정보업무처리및응답 217

정보의제공에대하여정보주체의동의를받아동창회에제공하여야합니다. - 개인정보의제공범위는정보주체가개인정보의제공에대한동의를할때정보주체에게알려주어야하는 제공하는개인정보의항목 에국한됩니다. 개인정보보호법 제 18 조제 3 항 1.4.24 학교홈페이지에학교동창회홈페이지가따로있을경우회원정보게재 ( 사진, 연락처 ) 에대한개인정보동의서를따로받아야하는가? 학교동창회에서홈페이지가없고단지동창회회원명부 ( 연락처 ) 작성시에도개인정보동의서를받아야하는가? 홈페이지에동창회회원정보를게시하거나동창회명부의작성을할때연락처또는사진등과같은개인정보에대해서는해당정보주체의동의를받아야합니다. - 동의받을때에는반드시문서로할필요는없고, 전화나인터넷홈페이지등에의하여받는것도가능합니다. 개인정보보호법 제 15 조, 개인정보보호법시행령 제 17 조제 1 항, 표준개인정보보호지침 제 13 조제 3 항 218 개인정보보호법업무사례집

1.4.25 1 총학생회선거등을위해학생회에학생정보를제공하는경우어떤절차를거쳐야하며어떤형태로제공해야하는가? 2 학생회에서졸업앨범 (CD 앨범포함 ) 을제작하고자졸업학생의성명, 주소, 전화번호 ( 집 / 휴대폰 ) 를요구시자료를학생회에제공할수있는가? 총학생회선거또는졸업앨범의제작을위하여총학생회에학생정보를제공하기위해서는정보주체의동의를받아야합니다. 동의를받을때에는 개인정보의제3자제공을위한동의를받을때정보주체에게알려야하는사항 5가지를알려야하고, 동의를받은후에제공하여야합니다. 동의하지않은학생의개인정보는제공할수없습니다. 개인정보보호법 제 17 조 1.4.26 학생회에서신입생예비대학참가연락을위해신입학합격자의주소, 휴대폰, 이메일자료를요구하고있습니다. 기관장의허락하에제공이가능한것인지, 아니면이것도개인의동의를받아야만가능한것인가? 학생회는개인정보처리자및정보주체가아닌제3자입니다. 그러므로합격자의개인정보의제공을위해서는정보주체의동의를받아야합니다. 개인정보보호법 제 17 조 Ⅱ. 개인정보업무처리및응답 219

1.4.27 1 학부모회운영을위해학부모회대표가학교또는학급전체학부모의연락처를요구할경우이를제공하는것은개인정보보호법에위배되는가? 2 학교에서신학기초학생명부를작성할경우학생의주소, 보호자명, 직업, 전화번호를조사하거나전년도정보를그대로사용하기도합니다. 물론이러한정보를외부로유출은하지않지만학부모회장에의하여사용될수도있었습니다. 개인정보보호법에서지켜야할사항은무엇인가? 학부모회의대표또는장에게학교가보유하고있는학부모의개인정보를제공하기위해서는정보주체인학부모의동의가있어야합니다. 개인정보보호법 제 17 조 1.4.28 본인의동의없이부모님의주소로자녀의성적표를발송해도되는가? 학부모는자녀에대한학교생활기록및학교생활세부기록부의학생정보를제공받을권리가있습니다. 그러므로성적정보도제공받을권리가있습니다. 따라서정보주체의동의를받지않고성적표를발송하는것은허용됩니다. 개인정보보호법 제 17 조제 1 항, 교육기본법 제 23 조의 3 220 개인정보보호법업무사례집

1.4.29 1 자녀가알려주지않는다는등의이유로부모님이자녀의성적이나출결사항을확인해달라는요청을할경우알려주어야하는가? 2 현재인터넷제증명발급을유도하고있으나보호자가유선상으로간략한개인정보를열람하고자할경우, 본인확인의절차를어떠한범위까지해야하는가? 예 ) 졸업, 재적상태, 성적등. 학부모는자녀에대한학교생활기록및학교생활세부기록부의학생정보를제공받을권리가있습니다. 그러므로출결에대한정보도제공받을권리가있습니다. 14세미만의아동의개인정보처리에대해서는그의법정대리인이동의권을가지고, 14세이상의경우에는본인이개인정보처리권을갖게됩니다. 그런데, 개인정보의열람은정보주체또는대리인이서면 ( 개인정보열람, 정정 삭제, 처리정지요구서 ) 으로하여야합니다. 개인정보보호법 제 17 조제 1 항 제 22 조제 5 항 제 35 조, 교육기본법 제 23 조의 3 1.4.30 가정통신문등우편발송시전공명, 성명, 연락처, 주소가표기가되는데, 개인정보보호에위배가되는가? 학교의장은교육적목적으로학교생활기록등학생정보를수집 이용 처리또는관리할수있습니다. 그러므로가정통신문등학교와학부모간의의사소통을통하여교육의목적을달성하기위하여개인정보를표시하는것은개인정보보호법을위반하는것은아닙니다. Ⅱ. 개인정보업무처리및응답 221

개인정보보호법 제 15 조제 1 항, 교육기본법 제 23 조의 3 1.4.31 1 개인정보를제 3 자에게제공할때정보주체의동의를받아야하는데, 학교에서상급기관인교육지원청으로개인정보를제공할때도정보주체의동의를받아야하는가? 또한처리정보이용 제공대장에기록해야하는가? 2 지역교육청등상급기관에서개인정보가포함된실적물이나보고공문을제출할때정보주체의동의를받아야하는가? 3 교육지원청또는관련기관에서주관하는행사참가에필요한개인정보를매번정보주체의동의서를징구한후처리해야하는가? 시 도의교육 학예에관한사무를분장하기위하여 지역교육청 ( 교육청, 교육지원청 ) 을두고, 교육장 은시 도의교육 학예에관한사무중 1 공 사립의유치원 초등학교 중학교 공민학교 고등공민학교및이에준하는각종학교의운영 관리에관한지도 감독, 2 그밖에조례로정하는사무를위임받아분장합니다. - 교육지원청등에개인정보를제공하는것은 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우또는공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 에해당합니다, 이경우에는개인정보를수집한목적범위에서정보주체의동의를받지않고도제공할수있습니다. - 개인정보의목적외제3자제공허용사유 중어느하나에해당하여개인정보를제공하는경우에는 개인정보의목적외이용및제3자제공대장 에기록하고관리하여야합니다. 222 개인정보보호법업무사례집

교육장이위임받아분장하는각급학교의운영 관리에관한지도 감독사무의범위 1 교수학습활동, 진로지도, 강사확보 관리등교육과정운영에관한사항 2 과학 기술교육의진흥에관한사항 3 특수교육, 학교부적응학생교육, 저소득층학생지원등교육복지에관한사항 4 학교체육 보건 급식및학교환경정화등학생의안전및건강에관한사항 5 학생통학구역에관한사항 6 학부모의학교참여, 연수 상담, 학교운영위원회운영에관한사항 7 평생교육등교육 학예진흥에관한사항 8 그밖에예산안의편성 집행, 수업료, 입학금등각급학교의운영 관리에관한지도 감독사항 개인정보보호법 제 17 조 제 18 조, 개인정보보호법시행령 제 15 조, 지방교육자치에관한법률 제 34 조, 지방교육자치에관한법률시행령 제 6 조 1.4.32 1 범죄의수사와공소의제기및유지를위하여필요한경우에는제 3 자에게개인정보를제공할수있다고되어있는데, 학교의경우경찰서, 보호관찰소등범죄관련기관에서교직원이나학생의개인정보를요구하는경우가있습니다. 피의사실이명확하지않은상황에서제공해도되는지, 제공하는경우적법한처리절차는무엇인가? 2 경찰서로부터수사를위하여회원의개인정보를제출하여달라는협조문서를받았다면, 본인의동의없이회원정보를수사기관에제공하여도되는가? Ⅱ. 개인정보업무처리및응답 223

개인정보는정보주체또는제3자의이익을부당하게침해할우려가없는한범죄의수사와공소의제기및유지를위하여필요한경우에는제3자에게제공할수있습니다. - 수사란범죄의혐의유무를명백히하여공소의제기와유지여부를결정하기위하여범인을발견 확보하고증거를수집 보전하는수사기관 ( 검사, 사법경찰관리 ) 의활동을말합니다. - 그러므로피의사실이명확하지않더라도수사기관의요구가있으면제공할수있습니다. 범죄수사를목적으로개인정보를제공한경우에는 개인정보의목적외이용및제공대장 에기록하고관리하여야합니다. 대장에기재하여야하는사항은다음과같습니다. 1 이용하거나제공하는개인정보또는개인정보파일의명칭 2 이용기관또는제공받는기관의명칭 3 이용목적또는제공받는목적 4 이용또는제공의법적근거 5 이용하거나제공하는개인정보의항목 6 이용또는제공의날짜, 주기또는기간 7 이용하거나제공하는형태 8 개인정보보호법 제 18 조제 5 항에따라제한을하거나필요한조치를마련할것을요청한경우에는그내용 개인정보를목적외의용도로제3자에게제공하는경우에는개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의안전성확보를위하여필요한조치를마련하도록요청하여야합니다. - 이경우요청을받은자는개인정보의안전성확보를위하여필요한조치를하여야한다. 224 개인정보보호법업무사례집

개인정보보호법시행규칙 [ 별지제 1 호서식 ] 개인정보또는 개인정보파일명칭 이용또는제공구분 [ ] 목적외이용 [ ] 제3자제공 목적외이용기관의명칭 ( 목적외이용의경우 ) 제공받는기관의명칭 ( 제 3 자제공의경우 ) 이용하거나제공한날짜, 주기또는기간 이용하거나제공한형태 이용또는제공의법적근거 담당자 담당자 소속성명전화번호 성명소속전화번호 이용목적또는제공받는목적이용하거나제공한개인정보의항목 개인정보보호법 제18조제 5항에따라제한을하거나필요한조치를마련할것을요청한경우에는그내용 210mm 297mm[ 인쇄용지 ( 특급 ) 34g/ m2 ] Ⅱ. 개인정보업무처리및응답 225

개인정보보호법 제 18 조제 2 항제 7 호, 개인정보보호법시행령 제 15 조, 개인정보보호법시행규칙 별지제 1 호서식, 형사소송법 제 195 조 제 196 조 1.4.33 1 경찰에서학교생활기록부를요구할경우, 사건수사와학생들의생활기록부가연관이없는것으로판단되는데경찰이요구하면무조건정보를제공해야하는지? 2 경찰서, 보호관찰소, 검찰등에서학생의학적정보를요청할경우제공이가능한가? 경찰에서개인정보의제공을요구하는사유가 개인정보의목적외제공허용사유 에해당하지않으면제공하지않아도됩니다. - 그러나범죄수사를목적으로하는경우에는목적외제공이허용되고, 제공여부는개인정보처리자인학교가판단하여결정을할수있습니다. 개인정보보호법 제 18 조제 2 항 1.4.34 경찰서에서사기, 명예훼손등범죄수사관련개인정보제공요청시제공해야할개인정보범위및정보주체에대한통보여부는어떻게되는가? 범죄의수사를목적으로하는경우에는개인정보를목적외용도로제3자에게제공할수있습니다. 그러므로범죄수사와관련하여경찰서에서요구한개인정보를제공할수있습니다. - 그렇지만, 범죄수사와관련없는개인정보를요구하는경우에는제공을거부할수있습니다. 개인정보처리자가개인정보를제공한경우에는 개인정보의목적외이용및제3자제공대장 에 226 개인정보보호법업무사례집

기록하고관리할의무만있을뿐, 정보주체에대한통지의무는없습니다. 개인정보보호법 제 18 조제 2 항, 개인정보보호법시행령 제 15 조 1.4.35 학교에서집단도난사고가발생하여경찰에수사를의뢰하였더니학생의개인정보를요청하여제공하고자합니다. 그런데범죄의수사와관련된것은정보주체의동의없이제공이가능하기는하지만개인정보의목적외제공시 1 개월이내에인터넷홈페이지에게재하게되어있는데학교홈페이지를통해서이런내용을반드시게재해야만하는가? 범죄수사를목적으로개인정보의제공을요구받아해당개인정보를제공한때에는개인정보처리자는 개인정보의목적외이용및제3자제공대장 에기록하고관리할의무만있을뿐이며, 관보또는인터넷홈페이지에게재할의무는없습니다. 개인정보보호법 제 18 조제 2 항 제 4 항 Ⅱ. 개인정보업무처리및응답 227

1.4.36 1 무단결석등으로학생의개인정보제공동의를받을수없는경우에경찰서등공공기관에서개인정보제공을요구하는경우에어떻게처리해야하는가? 2 개인정보보호법제 18 조에게재된예외조항에따라법원이나검찰에서정보주체에게알리지않는것을조건으로재판및수사기초자료로활용하고자기관에서보유하고있는개인정보를요구할때, 정보주체의동의를얻을수없는상황에서개인정보를제공할수있는지? 아니면압수및수색영장을필요로하는가? 3 경찰서, 보호관찰소, 검찰등에서학생의학적정보를요청할경우제공이가능한가? 4 국회, 법원등국가기관등공공기관에서공문으로요청한자료는해당학생의동의없이제공해도되는가? 5 공공기관에서보유하고있는개인정보를다른공공기관에서제공해달라고요청하는경우정보주체의동의를받아야하는가?( 학교에서보유하고있는학교운영위원개인정보를지자체에서제공해달라고요청하는경우 ) 공공기관이개인정보제공을요구하는경우에는우선적으로 개인정보제3자제공허용사유 에해당하는경우에는공공기관에제공할수있습니다. - 개인정보의제공을위하여정보주체의동의를받을때에는다음의사항을알려야합니다. 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 228 개인정보보호법업무사례집

개인정보제 3 자제공허용사유 1 정보주체의동의를받은경우 2 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 4 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우에따라개인정보를수집한목적범위에서제공하는경우 공공기관이 개인정보의목적외제3자제공허용사유 에해당하는경우에도개인정보를제공할수있습니다. - 개인정보를제공하는경우에는 개인정보의목적외이용및제공대장 에기록하고관리하여야합니다. - 그리고다음의사항에해당하는경우에한하여제공의법적근거, 목적 범위등을관보또는인터넷홈페이지등에게재하여야합니다. 1 다른법률에특별한규정이있는경우 2 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 3 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 4 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 5 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 6 법원의재판업무수행을위하여필요한경우 7 형 (14) 및감호, 보호처분의집행을위하여필요한경우 Ⅱ. 개인정보업무처리및응답 229

게재는목적외제공을한날부터 30일이내에목적외제공날짜, 목적외제공의법적근거, 목적외제공의목적, 목적외제공을한개인정보의항목등 4가지를관보또는인터넷홈페이지에하여야합니다. - 인터넷홈페이지에게재할때에는 10일이상계속게재하되, 게재를시작하는날은목적외제공을한날부터 30일이내여야합니다. 개인정보보호법 제 17 조, 제 18 조제 2 항 제 4 항, 개인정보보호법시행규칙 제 2 조 1.4.37 출입국사무소로부터수사를위해외국인유학생의개인정보를제공하여달라는협조문서를받았다. 본인의동의없이학생정보를수사기관에제공하여도되는가? 범죄수사를목적으로하는경우에는개인정보를목적외용도로제3자에게제공할수있습니다. 그러므로범죄수사와관련하여경찰서에서요구한개인정보를제공할수있습니다. 개인정보보호법 제 18 조제 2 항 제 4 항 1.4.38 병무청및수사기관등공공기관에서긴급한업무로정식절차없이유선상개인정보확인요청이있을시회신가능한가? 개인정보의목적외제3자제공허용사유에해당하는경우에는개인정보의목적외제공이허용되지만, 유선전화등공공기관여부를확인할수없는경우에는제공하지않아도됩니다. 230 개인정보보호법업무사례집

개인정보보호법 제 18 조제 2 항 제 4 항 1.4.39 1 감사원, 국회의원, 검찰등에서개인정보요구시어떠한경우에한하여만자료를제출하여야하는가? 그범위와판단기준은무엇이며누가하는가? 2 국가기관및기타기관에서의개인정보제공요청시제공가능한범위는? 또한, 그에대한법적근거는무엇인가?` 개인정보의목적외제3자제공허용사유에해당하여개인정보를제공하는때에는정보주체또는제3자의이익을부당하게침해할우려가있을때를제외하고는개인정보의제공이허용됩니다. 그사유는다음과같습니다. 1 정보주체로부터별도의동의를받은경우 2 다른법률에특별한규정이있는경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7 범죄의수사와공소의제기및유지를위하여필요한경우 8 법원의재판업무수행을위하여필요한경우 9 형 (14) 및감호, 보호처분의집행을위하여필요한경우 Ⅱ. 개인정보업무처리및응답 231

제공하여야하는개인정보의범위는제공을요청받은개인정보에한하며, 관련이없는개인정보는해당개인정보처리자가그제공을거부할수있습니다. 개인정보보호법 제 18 조제 2 항 1.4.40 지방자치단체나자선단체에서학비지원을위한증빙서류로학생의생활기록부를요구합니다. 학생이나학부모의동의없이생활기록부자료를제공하면개인정보침해에해당되는가? 국민기초생활보장법 에따라교육급여를받는수급자또는수급자의친권자나후견인이입학금, 수업료및학용품비와그밖의수급품등 학비 를지원받기위하여서는학비지급신청서와해당학교에서발급한수업료등납입고지서사본을시장 군수 구청장에게제출하여야합니다. - 이경우관할시장 군수 구청장은해당수급자가재학하는학교장에게수급자의재학사실을확인하여야합니다. 이를위하여시장 군수 구청장이해당학생의개인정보제공을요구하는것은 다른법률에특별한규정이있는경우 로서그제공이허용됩니다. 자선단체에서학비지원을위하여대상학생의개인정보를요구하는것은 다른법률에특별한규정이없는한 정보주체의동의를받아야만제공할수있습니다. 개인정보보호법 제 18 조제 2 항, 국민기초생활보장법 제 12 조, 국민기초생활보장법시행령 제 16 조, 국민기초생활보장법시행규칙 제 12 조 제 13 조 232 개인정보보호법업무사례집

1.4.41 국민연금공단및병무청등공공기관에서관련법에의거하여재학생또는졸업생에대한자료를요청하는것은학생의동의없이제공가능한건가요? 동의가필요하다면, 입학시업무상학생의개인정보를제공하는데동의한다는내용을일괄적으로받고있는데이런경우동의한것으로간주하고처리해도되는가? 학교는 개인정보보호법 이외의 다른법률에특별한규정이있는경우 에는정보주체또는제3자의이익을부당하게침해할우려가있는때를제외하고는개인정보의목적외제3자제공이허용됩니다. - 그러므로정보주체로부터따로동의를받을필요는없습니다. 그리고개인정보의목적외제3자제공을한경우학교는 개인정보의목적외이용및제3자제공대장 에기록하고관리하여야합니다. 개인정보보호법 제 18 조제 2 항, 개인정보보호법시행령 제 15 조 1.4.42 각시 도교육청에서교원임용시험의자격을확인하기위해학교로응시자교원자격확인요청을하고있습니다. 이경우개인의동의없이자료를제공해줘도되는지궁금합니다. 교육청이된다면다른공공기관혹은민간기업일경우는어떻게되는가? 교원임용시험응시자격의확인을위한개인정보의제공은 다른법률에특별한규정이있는경우 로서목적외제3자제공이허용되므로정보주체의동의를받을필요는없습니다. - 다른법률에특별한규정이있다면공공기관은물론민간기업에대해서도 개인정보의목적외제3자제공 이가능합니다. Ⅱ. 개인정보업무처리및응답 233

- 다만, 개인정보의목적외이용및제3자제공대장 에기록하고관리하여야합니다. 개인정보보호법 제 18 조제 2 항, 개인정보보호법시행령 제 15 조, 교육공무원법 제 6 조, 교육공무원임용후보자선정경쟁시험규칙 1.4.43 공공기관또는기업체등에서입사자및승진대상자의학력조회의뢰시개인의동의서없이공문과조사대상자의명단만으로도회신가능여부? 위기업체의대상범위또는판단기준은무엇인가? 법률로자격요건을정하고있고충족여부를조회하는것은법률에특별한규정이있는것으로대상자의학교에학력조회를요청하는경우에는개인정보의제공이허용됩니다. 그렇지만그밖의경우, 일반기업체가학교에학력을조회하는경우에는정보주체의동의를받아해당정보의제공이가능합니다. 경찰공무원법 제 8 조제 2 항, 국가정보원직원법 제 6 조, 교육공무원법 제 6 조내지제 9 조, 계약직공무원규정 제 3 조 1.4.44 입학, 편입학한학생에대한해당대학 ( 기관 ) 에서학력조회의뢰요청이오거나해당대학 ( 기관 ) 으로학력조회요청공문을발송하고있습니다. 개인동의없이처리해도되는지그리고이에대한법적인근거가무엇인가? 대학, 대학원의입학및편입학은법률상자격요건이정해져있고, 그충족여부를조회하기위하여학력을조회하는것은법률에근거한것으로해당학생의개인정보의제공이허용됩니다. 234 개인정보보호법업무사례집

초 중등교육법 제 39 조 제 40 조 제 43 조 제 44 조 제 47 조, 고등교육법 제 23 조의 2 제 33 조 1.4.45 회사혹은기타단체에서입사등사유로학적조회의뢰를자주신청하는데, 학생의사전동의없이정보를제공해줘도되는가? 회사또는단체등에서학력조회를하는것은법률에근거하지않는한정보주체의동의를받아제공하여야합니다. 개인정보보호법 제 18 조제 2 항 1.4.46 학교와기업간의협약으로사업이추진될경우기업에서학교의구성원인것을확인하기위해학생의학번, 이름등개인정보를요구하고있습니다. 학번과이름의조합일경우개인정보로판단할수있는지, 개인정보라고한다면별도의개인정보동의를구해야하는가? 그리고어떤경우에어떤절차로개인의동의없이제공가능한가? 학번이나이름은개인을식별할수있는개인정보에해당합니다. - 이와같은개인정보를제공하기위해서는정보주체의동의를받아서제공하여야합니다. - 정보주체의동의를받지않고제공하기위해서는 개인정보의제3자제공허용사유 가운데어느하나에해당하여야합니다. 개인정보보호법 제17조 제18조 Ⅱ. 개인정보업무처리및응답 235

1.4.47 국정감사및조사에관한법률등명시적인법률적근거가없이국회의원개인명의의자료제출요구시개인정보를제공할수있는가? 법률에근거없이개인정보의제공을요구하는경우에는거절할수있습니다. - 다만, 정보주체의동의가있는경우나통계작성의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공할수있습니다. 개인정보보호법 제 18 조제 2 항 1.4.48 1 국정감사, 행정사무감사등감사요구자료에개인정보가포함되어있습니다. 개인정보가포함된감사자료 ( 특정개인을알아볼수있는형태 ) 를제출할경우법제 18 조제 2 항제 1 호에따라정보주체로부터별도동의를받아야하는가? 아니면제 2 항제 2 호의 다른법률에특별한규정이있는경우 에 국회에서의증언 감정등에관한법률 이해당된다고보아정보주체의동의없이제출가능한것인가? 2 국정감사또는행정사무감사시자료를요구받았습니다. 그자료가운데교직원또는학생들의개인정보를요구한다면자료수집과이를제공하여야하는근거는무엇인가? 국회는국정감사또는국정조사를위하여이와관련된보고또는서류의제출을관계인또는기관기타에요구할수있으며, 요구받은사람또는기관은이에응하여야합니다. 236 개인정보보호법업무사례집

- 지방의회는지방자치단체의행정사무의감사또는조사에있어서서류제출을요구할수있으며, 이에응하여야합니다. 따라서국정감사등에서자료제출요구는법률에특별한규정이있는경우로서제공을요구받은경우에는정보주체의동의를받지않고제공을요구받은개인정보를제공할수있습니다. 국회나지방의회가개인정보를수집할수있는근거는법률에특별한규정이있거나법령상의무를준수하기불가피한경우또는법령등에서정하는소관업무의수행을위하여불가피한경우에해당하므로개인정보를수집할수있으며, 수집목적의범위에서이용할수있습니다. 국정감사및조사에관한법률 제 10 조, 지방자치법 제 41 조, 개인정보보호법 제 15 조제 1 항제 2 호 제 3 호, 제 18 조제 2 항제 2 호 1.4.49 감사원감사관이유선상으로주민등록번호등개인정보에관한사항을요청또는확인을요구할경우제공해주어야하는가?( 감사원규정등에상기내용에대해명시가되어있다고하는데개인정보보호법상에위배되지않는지 ) 감사원의개인정보의확인또는제공을요구하는것은법률에근거하지만, 감사원소속직원여부를확인할수없는상태에서제공할수는없습니다. 감사원법 제 25 조 제 27 조 제 30 조 제 45 조 제 50 조, 감사원사무처리규칙 제 12 조의 2 Ⅱ. 개인정보업무처리및응답 237

1.4.50 1 교수의수업진행을돕기위해정보시스템을통해해당과목의담당교수가자기과목을수강하는학생들의연락처 ( 휴대폰, 이메일 ) 를제공받을수있는가? 2 본대학원소속의교수님께서학생들명단 ( 이름, 전화번호, 이메일 ) 을요구하는데어떻게하여야하는가? 교수는학생지도및교육의의무가있으므로이를이행하기위하여수강생의연락처를학생지도및교육의목적으로수집된개인정보를이용하는것은가능합니다. - 다만, 수강생이아닌학과의모든재학생들의연락처를요구할때제공하는것은정보주체의별도의동의가없는한제공할수없습니다. 개인정보보호법 제 17 조제 1 항 제 18 조제 1 항 1.4.51 방과후학교강사가학생관리를위해별도의개인정보를보유할필요성이있으며, 학급담임교사에게학생에관한정보를요구하는경우제공해줄수있는가? 제공할수있다면그절차는어떻게되는가? 방과후교사가학생지도및교육을목적으로수강생의개인정보를이용할수있습니다. 그렇지만, 수강생의개인정보를제공하는경우에는정보주체의동의를받아제공하는것이가장좋은방법입니다. 정보주체의동의를받아제공하는때에는일정한사항을알려야합니다. 개인정보의제3자제공을위한동의를받을때정보주체에게알려야하는사항 238 개인정보보호법업무사례집

1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 개인정보보호법 제 17 조제 1 항 제 2 항, 제 18 조제 1 항 1.4.52 1 수강생이급한사정에의해담당교수의휴대전화번호를물어볼경우알려줘도되는가? 2 OOO 교수님을오래전부터알고있던후배입니다. 교수님휴대전화번호를가르쳐주시겠습니까? 3 OOO 교수님께논문심사요청을하고싶습니다. 혹은 OOO 교수님과동창입니다 등을언급하며개인연락처를문의할때제공하여도됩니까? 4 XX 대학원원생들이 5 학기에논문예비심사를진행하는과정에서부심교수님들의연락처를알려주실수있는가? 담당교수의전화번호는정보주체인해당교수의동의를받아제공하여야합니다. 개인정보보호법 제 17 조제 1 항 학교외부에서장학금을지급하려고대상학생을추천하라고할때학생의신상정보와성적또는재산세납부증명등을요구하는경우, 특히부모의생년월일 Ⅱ. 개인정보업무처리및응답 239

1.4.53 이나통장번호등을요구하는경우가있다. 이럴경우학교에서는학생의이익을위해어디까지정보를주어야하며학생의동의만구하면정보를주어도되는가? 장학재단등에장학생선발을위하여학생의개인정보를제공하기위해서는정보주체인학생의동의를받아야합니다. - 명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우에도개인정보의제공이허용되지만, 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우여야합니다. 개인정보보호법 제 17 조제 1 항, 제 18 조제 2 항제 3 호 1.4.54 매학기대학의신임교수채용후각대학별신규교수프로필을기사화하기위해언론매체 ( 교수신문사등 ) 로부터신규교수의프로필 ( 성명, 나이, 학력, 경력사항 ) 제공요구가있는데정보제공을위해신임교수의동의를받아야하는가? 신임교수의인적사항등개인정보를제공하기위해서는정보주체인신임교수의동의를받아야합니다. 개인정보보호법 제 17 조제 1 항 학년초학급아동에관한개인신상을조사하여그중집전화, 부모님휴대폰번호를정리하여비상연락망을 240 개인정보보호법업무사례집

1.4.55 만들어아동들에게배포하는데이런경우는정보보호에위반되지않습니까? 개인정보를수집할때에는학부모님의동의를얻었기에배포도자유롭게할수있는것인가? 개인정보를수집할때에는수집목적을알리고정보주체의동의를받아야합니다. 다만, 비상연락망작성을위한경우 개인정보보호법 제15조및 교육기본법 제23조의3에따라정보주체의동의없이개인정보를수집및이용할수있습니다. 개인정보보호법 제 15 조 제 17 조 1.4.56 1 개인정보를목적외의용도로제공했을때조치사항은무엇인가? 2 법제18조제2항제3호의정보주체또는그법정대리인이의사표시를할수없는경우개인정보제공처리절차나방법은무엇인가? 개인정보를목적외의용도로정보주체로부터별도의동의를받아제3자에게제공하기위하여동의를받을때에는다음의사항을알려야합니다. 1 개인정보를제공받는자 2 개인정보를제공받는자의이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 Ⅱ. 개인정보업무처리및응답 241

공공기관은개인정보를목적외의용도로제공하기위하여정보주체로부터별도의동의를받은경우를제외하고, 다음의사항에해당되는경우제공의법적근거, 목적및범위등에관하여필요한사항을관보또는인터넷홈페이지에게재하여야합니다. 1 다른법률에특별한규정이있는경우 2 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 3 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 4 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 5 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 6 법원의재판업무수행을위하여필요한경우 7 형 (14) 및감호, 보호처분의집행을위하여필요한경우 개인정보를목적외의용도로제3자에게제공을한날부터 30일이내에다음의사항을관보또는인터넷홈페이지에게재할때에는 10일이상계속게재하되, 게재를시작하는날은목적외제공을한날부터 30일이내여야합니다. 1 목적외제공을한날짜 2 목적외제공의법적근거 3 목적외제공의목적 4 목적외제공을한개인정보의항목 개인정보처리자는개인정보를목적외용도로제3자에게제공하는경우에는개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의 242 개인정보보호법업무사례집

안전성확보를위하여필요한조치를마련하도록요청하여야합니다. - 이경우요청을받은자는개인정보의안전성확보를위하여필요한조치를하여야합니다. 개인정보를목적외용도로제공한경우에는 개인정보목적외이용및제3자제공대장 에기록하고관리하여야합니다. 개인정보보호법 제 18 조, 개인정보보호법시행령 제 15 조, 개인정보보호법시행규칙 제 2 조 별지제 1 호서식 1.4.57 학교앨범의제작을위해아동의정보를업체에넘길경우목적외이용과목적외제공중어느것에해당하는가? 학교앨범제작사에 14세미만인아동의개인정보를제공하는것은목적외제공에해당하며, 제공을하기위해서는반드시정보주체인아동의법정대리인의동의를받아야합니다. 개인정보보호법 제 18 조 1.4.58 학생들이제3의기관에서봉사활동을하여봉사활동확인서를받기위해 " 이름, 학교명, 학번, 주민등록번호 " 를요구하기에 " 이름, 학교명, 학번 " 만으로충분할것같은데너무과도하게개인정보를요구하는기관에게주민등록번호제공을거절하고봉사활동확인서를요구할수있는가? 주민등록번호는원칙적으로처리가금지됩니다. 그렇지만, 수집 이용, 제3자제공을위하여정보주체에게알려야하는사항을 Ⅱ. 개인정보업무처리및응답 243

알리고다른개인정보의처리에대한동의와별도로동의를받은경우에는처리할수있습니다. - 그러므로학교에서제공을거부할권리는없고정보주체인학생에게판단하도록하여야하는것이적합합니다. 개인정보보호법 제 24 조 1.4.59 본교와같은재단의대학병원에임직원들의의료비감면혜택을위해교원 / 직원들의개인정보를제공할경우별도의동의가필요한가? 비록같은재단이라고하더라도대학병원과대학은독립기관으로각자독립적개인정보처리자입니다. 그러므로이경우대학이수집한개인정보를대학병원에제공하기위해서는정보주체의동의를받아야합니다. 개인정보보호법 제 17 조제 1 항 1.4.60 우리대학교에서는대학원졸업예정자의개인정보 ( 전화, 메일, 신분상태, 학번 ) 자료를한국교육학술정보원의 dcollection 에학위논문제출자료로일괄제공하고있습니다. 위업무를위하여개인정보를제공에대한동의를별도로받아야되는가? 한국교육학술정보원은공공기관에대하여업무수행에필요한간행물이나자료의제공을요청할수있습니다. 그러므로법률에근거하여자료제공을요구하는것이므로정보주체의동의를받지않고제공할수있습니다. 244 개인정보보호법업무사례집

개인정보보호법 제 18 조제 2 항제 2 호, 한국교육학술정보원법 제 18 조 1.4.61 사단법인등에서자격증을발급하기위해서개인정보를요청한다면, 학생들의동의를받아서처리해야합니까? 동의를받아야하는것과받지않아도되는것이있다면어떻게구분지어야하는가? 자격증발급을위한개인정보의제공은정보주체인학생의동의를받아야합니다. 그렇지만, 법률에근거하여개인정보를조회할수있는국가공인자격증의경우에는법률에특별한규정이있으므로정보주체인학생의동의를받지않아도됩니다. 개인정보보호법 제 18 조제 2 항제 2 호, 공인노무사법시행령 제 14 조, 공인노무사법시행규칙 제 5 조 1.4.62 법률에근거하여상급기관에개인정보를제공하는것은동의서가없어도된다고하였는데진학대학에학교생활기록부를제공하는것은동의서가없어도되는가? 고등교육법시행령 제35조제1항에따라대학의장은입학자를선발하기위하여고등학교학교생활기록부의기록, 교육과학기술부장관이시행하는시험 ( 대학수학능력시험 ) 의성적, 대학별고사 ( 논술등필답고사, 면접 구술고사, 신체검사, 실기 실험고사및교직적성 인성검사 ) 의성적과자기소개서등교과성적외의자료등을정보주체인학생의동의없이입학전형자료로활용할수있습니다. Ⅱ. 개인정보업무처리및응답 245

개인정보보호법 제 18 조, 고등교육법시행령 제 35 조 1.4.63 전화상으로본인이나타인의주민등록번호, 졸업증서번호, 교원자격증번호, 주소, 학번등개인정보를알려달라고민원으로요청할경우정보를알려줄수있는가? 전화로는본인확인을할수없으므로개인정보를알려주지않아야합니다. 또한다른사람의개인정보의제공에대해서도알려주지않아야합니다. 개인정보보호법 제 18 조 1.4.64 1 전화로긴급을요하는상황에서본인의신원을밝히고 ( 전화받는입장에서는신원진위여부알길없음 ) 어느개인 ( 단, 사정에의해직접전화통화불가 ) 의연락처및주소등과같이개인정보를알려달라고하는경우에어떻게해야하는가? 2 학생들간에문제가생겼을경우피해자측의학부모가가해학생의개인정보를요구하는경우가있습니다. 이런경우가해학생의개인정보를제공할수있는가? 정보주체또는제3자의급박한생명 신체 재산상의이익을위하여필요하다고인정되는경우에한하여정보주체의동의없이개인정보를제3자에게제공할수있습니다. - 예를들면, 동사무소나경찰관서가시급히수술등의의료조치가필요한교통사고환자의연락처를의료기관에알려주는행위가여기에해당합니다. 246 개인정보보호법업무사례집

피해자측의학무보가가해학생의개인정보를요구하는경우학교는가해학생의동의를받고제공하여야하며, 가해학생의학부모의연락처등개인정보를제공하는경우에도당해학부모의동의를받아야합니다. 개인정보보호법 제 18 조제 2 항제 3 호 1.4.65 1 중학교친구를찾고자예전에다니던 OO 중학교에친구의연락처를문의했지만학교측에서개인정보라는이유로알려주지않았습니다. 학교측의이러한행위가법률적근거가있는가? 2 학교동창이름을기억하지못해학교에동창들이름을알려달라고하는데개인정보제공에해당되는가? 연락처는개인을식별할수있는개인정보로서 개인정보보호법 제17조에따라본인의동의를받지않고는제공할수없습니다. 개인정보보호법 제 17 조 1.4.66 방과후 A 학생이귀가하지않아 A 학생의학부모가 A 학생친구인 B 학생의전화번호를문의할때알려주어도되는가? 객관적으로정보주체의급박한생명신체재산상의이익을위하여필요하다고인정되는경우에한하여정보주체의동의없이제공할수있습니다 Ⅱ. 개인정보업무처리및응답 247

개인정보보호법 제 18 조제 2 항제 3 호 1.4.67 인터넷교육에서전화통화시에공공기관의요청이아닌개인적으로다른사람의전화번호를묻거나출근여부를물을때알려주거나휴가또는외근등근태를알려주면그것도개인정보유출이라는동영상을보았는데요. 그럴때에는어떻게답변을해야하는가? 정보주체와정보주체또는그법정대리인으로부터개인정보를실질적 직접적으로수집 보유한개인정보처리자를제외한모든자가제3자가됩니다. - 제3자에대하여전화번호, 근태등을알려주기위해서는정보주체의동의를받아야합니다. 그러므로정보주체의동의없이개인정보를제공할수없다고답변하시면됩니다. 개인정보보호법 제 17 조 1.4.68 제가빌리고싶은책이현재대출중인경우대출자가누구인지알려줄수있는가? 도서대출자의인적사항은바로개인정보이므로정보주체의동의없이는알려줄수없습니다. 개인정보보호법 제 17 조 248 개인정보보호법업무사례집

1.4.69 논문지도학생 ( 홍길동 ) 이논문에필요한설문조사를위하여다른학생의정보 ( 학번, 이름, 이메일주소, 휴대폰번호 ) 를조교또는교수에게요청한경우학생의정보를제공할수있는가? 학번, 이름, 이메일주소, 휴대폰번호는개인정보이므로정보주체의동의없이개인정보를제공할수없습니다. 개인정보보호법 제 17 조 1.4.70 1 대학내타부서에서연구등의목적으로외국인유학생의연락처 ( 성명, 휴대전화번호, E-mail 등 ) 를알고자하는경우 ( 예 : 일본어연구소에서연구협력을위한목적으로일본유학생자료요청 ) 에도개인의동의를받아야하는가? 2 교내타부서, 학과의업무협조요청에따른개인정보관련사항은어떻게처리되어야하는가? 유학생의연락처도 개인정보보호법 의적용대상인개인정보에포함됩니다. 대학내부서에서업무를목적으로개인정보를이용할수있습니다. - 다만, 수집할때그수집 이용목적에연구등을목적으로개인정보를이용할수있음을알리고이에대한동의를받을것을권장합니다. 개인정보보호법 제 17 조 Ⅱ. 개인정보업무처리및응답 249

1.4.71 개인정보라도공문및근거자료가있으면제공되어도상관없는가? ( 예, 국가가시행하는시험등록을위하여학생들주민등록번호제공협조등의경우-약학대학 / 식품영양학과등 ) 주민등록번호의수집은금지됩니다. 다만, 국가가시행하는시험등록을위하여학교가학생들로부터주민등록번호를수집하는것은 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 에해당하므로가능합니다. 개인정보보호법 제 24 조제 1 항 1.4.72 입주민투표로선출하는아파트동별대표자및부녀회장등의선거등에서학적사항을확인하고자그제공을의뢰할때공문과개인의동의서가없을경우회신하여야하는가? 입주자대표회의 4명이상으로구성하되, 동별세대수에비례하여 공동주택관리규약 으로정한선거구에서선출된동별대표자로구성합니다. 동별대표자의자격요건중에는학력에관한사항이없으므로해당정보를제공할의무는없습니다. 그제공을요구받은경우에는정보주체인동별대표후보자또는동별대표당선자의동의를받아야합니다. 아파트부녀회는법정단체는아니고임의단체입니다. 그러므로부녀회장선거시해당정보주체의학력정보의제공에응할의무가없습니다. 제공을하고자할때에는정보주체의동의를받아야합니다. 250 개인정보보호법업무사례집

주택법 제 43 조, 주택법시행령 제 50 조, 개인정보보호법 제 17 조 1.4.73 개인정보제 3 자제공및개인정보처리업무위탁시정보주체에게고지할때지정된고지형식 ( 고지수단 ) 이있는가? 개인정보의제3자제공, 개인정보처리업무위탁, 영업양도에따른개인정보의이전의고지사항및공고사항은다음과같습니다. 근거조문고지사유고지사항 고지방법 개인정보의제 3 자제공 개인정보의목적외제 3 자제공 영업양도에따른개인정보의이전 제 17 조제 2 항제 18 조제 3 항제 27 조제 1 항 정보주체의동의를받정보주체로부터별도은경우의동의를받은경우 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 5. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 고지방법에대한특별한규정은없지만, 동의를받을때고지하고동의를받아야하므로동의방법과동일하다. 1. 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2. 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3. 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의 영업의전부또는일부의양도 합병등에의한이전 1. 개인정보를이전하려는사실 2. 개인정보를이전받는자의성명 ( 법인의경우에는법인의명칭을말한다 ), 주소, 전화번호및그밖의연락처 3. 정보주체가개인정보의이전을원하지아니하는경우조치할수있는방법및절차 1 서면, 전자우편, 팩스, 전화, 문자전송또는이에상당하는방법 2 개인정보를이전하려는자의과실없이위탁하는업무의내용과수탁자를정보주체에게알릴수없는경우에는해당사항을인터넷홈페이지에 30일이상게재하여야 Ⅱ. 개인정보업무처리및응답 251

의사표시를확인하는방법 4. 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5. 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6. 그밖에제 1 호부터제 5 호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 한다. 다만, 인터넷홈페이지를운영하지아니하는개인정보를이전하려는자의경우에는사업장 영업소 사무소 점포등의보기쉬운장소에 30일이상게시하여야한다. 근거조문 방법 내용 고지사항 개인정보의처리업무위탁 제 26 조제 1 항 개인정보의처리업무를위탁하는개인정보처리자 ( 위탁자 ) 는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자 ( 수탁자 ) 를정보주체가언제든지쉽게확인할수있도록위탁자의인터넷홈페이지에위탁하는업무의내용과수탁자를지속적으로게재하여야한다. 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 < 대통령령으로정한사항 > 1. 위탁업무의목적및범위 2. 재위탁제한에관한사항 3. 개인정보에대한접근제한등안전성확보조치에관한사항 4. 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 5. 법제 26 조제 2 항에따른수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 사유 방법 1 위탁자가재화또는서비스를홍보하거나판매를권유하는업무를위탁하는경 2 위탁하는업무의내용이나수탁자가변경된경우에도또한같다. 1 서면, 전자우편, 팩스, 전화, 문자전송또는이에상당하는방법 2 위탁자의과실없이위탁하는업무의내용과수탁자를정보주체에게알릴수없는경우에는해당사항을인터넷홈페이지에 30 일이상게재하여야한다. 다만, 인터넷홈페이지를운영하지아니하는위탁자의경우에는사업장 영업소 사무소 점포등의보기쉬운장소에 30 일이상게시하여야한다. 개인정보보호법 제 17 조제 2 항 제 18 조제 3 항 제 26 조제 1 항 제 27 조제 1 항, 개인정보보호법시행령 제 17 조, 제 28 조제 1 항 제 2 항, 제 29 조 252 개인정보보호법업무사례집

1.4.74 홍보부서에서보도자료를언론사에제공하는경우소속정보나이름, 사진등개인정보를제공하게됩니다. 이런경우에도개인정보동의서를받아야하는가? 받아야한다면, 사진에나온모든사람에대해서동의서를받아야하는가? 개인정보를제공하기위해서는정보주체의동의를받아야합니다. 동의는서면, 전화, 인터넷홈페이지등에의하여도받을수있습니다. 개인정보보호법 제 17 조제 2 항, 개인정보보호법시행령 제 17 조 개인정보의관리 1.4.75 1 업무의효율성을높이기위하여학생들의기본신상정보를파일로보관하고있을경우정보주체의동의를받아야하는가? 2 학과에서학생신상정보를 PC에저장해도된다는동의서를받을경우 PC에저장해도상관없는가? 수집한학생의신상정보를포함한개인정보는분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등안전성확보에필요한기술적 관리적및물리적조치를하여야한다. - 안전성확보조치의이행는개인정보처리자의의무이고이에대한정보주체의동의를받지않아도됩니다. 안전성확보조치의내용 Ⅱ. 개인정보업무처리및응답 253

1 개인정보의안전한처리를위한내부관리계획의수립 시행 2 개인정보에대한접근통제및접근권한의제한조치 3 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5 개인정보에대한보안프로그램의설치및갱신 6 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 개인정보보호법 제 29 조, 개인정보보호법시행령 제 30 조 담임교사가담임학반의학생의개인정보 ( 주민등록번호, 주소, 연락처, 부모연락처등 ) 가담긴한글파일을개인 1.4.76 USB에보관하여도되는가? 담임교사가개인정보를보조저장매체에저장하여관리하는경우잠금장치가있는안전한장소에보관하여야합니다. - 보조저장매체 라함은이동형하드디스크 (HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게분리할수있는저장매체를말합니다. 개인정보보호법 제 29 조, 개인정보보호법시행령 제 30 조, 개인정보의안전성확보조치기준 제 2 조제 17 호 제 10 조제 2 항 254 개인정보보호법업무사례집

1. 개인정보를 PC에저장할수없는가? 2. 개인정보파일에암호를걸어서가지고있어도되는가? 1.4.77 3. 컴퓨터에학생정보가저장되면원칙적으로변경불가인가? 개인정보를저장하는경우에는분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. 개인정보파일은안전성확보를위하여비밀번호를설정해둘것을권장합니다. 개인정보처리자는안전한비밀번호를설정하여이행할수있도록작성규칙을수립하여적용하여야합니다. 개인정보처리자는개인정보의처리목적에필요한범위에서개인정보의정확성, 안전성및최신성이보장되도록하여야합니다. 그러므로개인정보가변경된경우에는최신성이유지되도록하여야합니다. 개인정보보호법 제 3 조제 3 항, 개인정보의안전성확보조치기준 제 5 조 1.4.78 전자결재시개인정보가포함된내용이나첨부물이있을경우어떤방법 ( 공개, 비공개 ) 으로결재해야되는가? 전자결재를하여학교업무를처리할때에는개인정보가포함된문서를공개하여서는안됩니다. - 공문서에서공개 비공개에관한사항은 공공기관의정보공개에관한법률 제9조 ( 비공개대상정보 ) 에규정되어있으며, 개인정보에관한사항은동조제1항제6호에따라처리해야합니다. Ⅱ. 개인정보업무처리및응답 255

개인정보보호법 제 15 조 1.4.79 1 서면으로작성된개인정보에대한관리는어떻게해야하는가? 2 개인정보를포함하는수기문서는어떻게처리해야하는가? 3 개인정보가포함된서류의보관방법은무엇인가? 4 개인정보가담긴출력물등의관리는어떻게해야하는가? 5 업무를하다보면개인정보관련문서를출력, 복사하는경우가많다. 이경우어떠한보호조치를취해야하는가? 6 디지털정보가아니라전입, 개명, 병결, 공결등의서류에첨부되는개인정보가담겨있는증빙서류 ( 진단서, 주민등록등본등 ) 등의경우에는어떻게관리를해야개인정보보호법위반이되지않는가? 7 학부모서비스가입을위한공인인증서발급시학교에서학부모님의공인인증번호와주민등록증사본을가져와야합니다. 이에업무담당자가학부모님의개인정보를어떻게보관해야하며개인정보보호법에어긋나는것은아닌가? 개인정보처리자는개인정보가포함된수기문서등서류를잠금장치가있는안전한장소에보관하여야합니다. 개인정보보호법 제 29 조, 개인정보의안전성확보조치기준 제 10 조제 2 항 256 개인정보보호법업무사례집

1.4.80 해마다담임교사가가정환경조사를통해아동명부를작성하고원활한업무처리를위해교무실과행정실에 1 부씩비치하고있습니다. 이것도동의를따로받아야하는가? 몇년전명부도교무실에보관되어있던데이것은폐기해야하나요? 만약파기해야한다면파기기록도따로남겨야하는가? 개인정보는정보주체의동의와관계없이안전하게관리하여야합니다. 수기문서또는출력물등서류는잠금장치가있는안전한장소에보관하여야합니다. 개인정보처리자는보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야합니다. - 파기할때에는복구또는재생되지아니하도록조치하여야합니다. 다른법령에따라보존하여야하는경우해당개인정보또는개인정보파일을다른개인정보와분리하여서는저장 관리하여야합니다. 개인정보의보유기간이경과된경우에는정당한사유가없는한보유기간의종료일로부터일이내에개인정보의처리목적달성해당서비스의폐지사업의종료등그개인정보가불필요하게되었을때에는정당한사유가없는한개인정보의처리가불필요한것으로인정되는날로부터일이내에그개인정보를파기하여야합니다 개인정보처리자는개인정보의파기에관한사항을기록 관리하여야합니다. 개인정보보호법 제 21 조, 표준개인정보보호지침 제 11 조 Ⅱ. 개인정보업무처리및응답 257

1.4.81 교사용교무수첩이나학급경영록에있는학생들의개인정보보호같은경우에는어떻게보호해야하는가? 교무수첩이나학급경영록은일상적으로사용되지만, 보관은반드시잠금장치가있는안전한장소에보관하여야합니다. 개인정보보호법 제 29 조, 개인정보의안전성확보조치기준 제 10 조제 2 항 1.4.82 FAX 민원신청서사용시최소한신청인 ( 본인 ) 의성명이나주민등록번호, 연락처등의정보가있어야하는데이러한정보는어떻게처리해야하는가? 팩스민원신청서는팩스를보낸이후에는그목적이달성된것으로판단됩니다. 그러므로개인정보의처리목적달성으로그개인정보가불필요하게되었을때에는정당한사유가없는한개인정보의처리가불필요한것으로인정되는날로부터일이내에그개인정보를파기하여야합니다팩스를보낸후에팩스민원신청서는파쇄또는소각을하여야합니다 개인정보보호법 제 21 조제 1 항, 개인정보보호법시행령 제 16 조 1.4.83 1 기관 ( 학교 ) 등에주소록및휴대전화등을책상속유리에끼워넣어사용하고있는데 개인정보보호법 과관련하여문제가없는지? 있다면어떤조치를취해야하는가? 2 정보주체의동의를받아제작한직원일람표는업무의필요상책상위에노출된상태로보관해도되는가? 258 개인정보보호법업무사례집

개인정보는안전하게보관하여야합니다. 그러므로누구나볼수있도록노출되지않도록조심하여야합니다. 개인정보보호법 제 29 조 1.4.84 직원들의내선번호, 휴대전화번호, 차량번호등을총무과업무편의상보관하고있고, 각자책상에연락처를붙여놓는데직원들의정보를수집할때에도동의를받아야하는지여부와책상위에연락처게시는괜찮은가? 직원의연락처등수집한개인정보는안전하게보관되어야합니다. 그러므로누구나볼수있도록개인정보가노출되지않도록주의하여야합니다. 개인정보보호법 제15조 제29조 1.4.85 저소득층자녀지원을위한다량의신청서등개인정보가기록된기록물중에서보유기한이지정되어있지않은수기서류나출력물의경우업무담당자의재량에의해폐기시킬수있는가? 보유기간이정해지지않았다고하더라도개인정보의처리목적달성해당서비스의폐지사업의종료등그개인정보가불필요하게되었을때에는정당한사유가없는한개인정보의처리가불필요한것으로인정되는날로부터일이내에그개인정보를파기하여야합니다 개인정보보호법 제21조제1항, 개인정보보호법시행령 제16조 Ⅱ. 개인정보업무처리및응답 259

5) 개인정보의파기 파기시기 개인정보는언제파기하여야하는가? 1.5.1 보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때에는지체없이파기하여야합니다. - 개인정보의보유기간이경과된경우에는정당한사유가없는한보유기간의종료일로부터 5일이내에파기하여야합니다. - 개인정보가불필요하게되었을때 ( 개인정보의처리목적달성, 해당서비스의폐지, 사업의종료등 ) 에는정당한사유가없는한개인정보의처리가불필요한것으로인정되는날로부터 5일이내에파기하여야합니다. 다만, 다른법령에따라보존하여야하는경우에는그러하지않습니다 ( 개인정보보호법 제21조제1항단서 ). - 이에따라개인정보를파기하지아니하고보존하여야하는경우에는법령에따라해당개인정보또는개인정보파일을보존한다는점을분명히표시하여야합니다. - 그리고파기하지아니하고보존하는해당개인정보또는개인정보파일을다른개인정보와분리하여서저장 관리하여야합니다. 개인정보파일의보유기간은전체개인정보가아닌개별개인정보의수집부터파기까지의생애주기로서보유목적에부합된최소기간으로산정하되, 개별법령의규정에명시된자료의보존기간에따라산정하여야합니다. 260 개인정보보호법업무사례집

- 개별법령에구체적인보유기간이명시되어있지않은경우에는개인정보보호책임자의협의를거쳐기관장의결재를통하여산정하여야합니다. - 다만, 그보유기간은 표준개인정보보호지침 에서정한개인정보파일보유기간책정기준표에서제시한기준과 공공기록물관리에관한법률시행령 에따른기록관리기준표를상회할수없습니다. 정책고객, 홈페이지회원등의홍보및대국민서비스목적의외부고객명부는특별한경우를제외하고는 2년을주기로정보주체의재동의절차를거쳐동의한경우에만계속적으로보유할수있습니다. 개인정보파일보유기간책정기준표 ( 표준개인정보보호지침 ) 보유기간영구준영구 30년 대상개인정보파일 1. 국민의지위, 신분, 재산을증명하기위해운용하는개인정보파일중영구보존이필요한개인정보파일 2. 국민의건강증진과관련된업무를수행하기위해운용하는개인정보파일중영구보존이필요한개인정보파일 1. 국민의신분, 재산을증명하기위해운용하는개인정보파일중개인이사망, 폐지그밖의사유로소멸되기때문에영구보존할필요가없는개인정보파일 2. 국민의신분증명및의무부과, 특정대상관리등을위하여행정기관이구축하여운영하는행정정보시스템의데이터셋으로구성된개인정보파일 1. 관계법령에따라 10 년이상 30 년미만의기간동안민. 형사상또는행정상의책임또는시효가지속되거나, 증명자료로서의가치가지속되는개인정보파일 Ⅱ. 개인정보업무처리및응답 261

10년 5년 3년 1년 1. 관계법령에따라 5 년이상 10 년미만의기간동안민. 형사상또는행정상의책임또는시효가지속되거나, 증명자료로서의가치가지속되는개인정보파일 1. 관계법령에따라 3 년이상 5 년미만의기간동안민. 형사상또는행정상의책임또는시효가지속되거나, 증명자료로서의가치가지속되는개인정보파일 1. 행정업무의참고또는사실증명을위하여 1 년이상 3 년미만의기간동안보존할필요가있는개인정보파일 2. 관계법령에따라 1 년이상 3 년미만의기간동안민. 형사상또는행정상의책임또는시효가지속되거나, 증명자료로서의가치가지속되는개인정보파일 3. 각종증명서발급과관련된개인정보파일 ( 단다른법령에서증명서발급관련보유기간이별도로규정된경우해당법령에따름 ) 1. 상급기관 ( 부서 ) 의요구에따라단순보고를위해생성한개인정보파일 기록물의보존기간별책정기준 ( 공공기록물관리에관한법률시행령 ) 보존기간 영구 대상기록물 1. 공공기관의핵심적인업무수행을증명하거나설명하는기록물중영구보존이필요한기록물 2. 국민이나기관및단체, 조직의지위, 신분, 재산, 권리, 의무를증명하는기록물중영구보존이필요한기록물 3. 국가나지역사회의역사경험을증명할수있는기록물중영구보존이필요한기록물 4. 국민의건강증진, 환경보호를위하여필요한기록물중영구보존이필요한기록물 5. 국민이나기관및단체, 조직에중대한영향을 262 개인정보보호법업무사례집

미치는주요한정책, 제도의결정이나변경과관련된기록물중영구보존이필요한기록물 6. 인문 사회 자연과학의중요한연구성과와문화예술분야의성과물로국민이나기관및단체, 조직에중대한영향을미치는사항중영구보존이필요한기록물 7. 공공기관의조직구조및기능의변화, 권한및책무의변화, 기관장등주요직위자의임면등과관련된기록물중영구보존이필요한기록물 8. 일정규모이상의국토의형질이나자연환경에영향을미치는사업 공사등과관련된기록물중영구보존이필요한기록물 9. 제 17 조제 1 항각호의어느하나에해당하는사항에관한기록물중영구보존이필요한기록물 10. 제 18 조제 1 항각호의어느하나에해당하는회의록중영구보존이필요한기록물 11. 제 19 조제 1 항각호의어느하나에해당하는시청각기록물중영구보존이필요한기록물 12. 국회또는국무회의의심의를거치는사항에관한기록물중영구보존이필요한기록물 13. 공공기관의연도별업무계획과이에대한추진과정, 결과및심사분석관련기록물, 외부기관의기관에대한평가에관한기록물 14. 대통령, 국무총리의지시사항과관련된기록물중영구보존이필요한기록물 15. 정책자료집, 백서, 그밖에공공기관의연혁과변천사를규명하는데유용한중요기록물 16. 다수국민의관심사항이되는주요사건또는사고및재해관련기록물 17. 대통령, 국무총리관련기록물과외국의원수및수상등의한국관련기록물 18. 토지등과같이장기간존속되는물건또는재산의관리, 확인, 증명에필요한중요기록물 19. 장 차관급중앙행정기관및광역자치단체의장의공식적인연설문, 기고문, 인터뷰자료및해당기관의공식적인브리핑자료 20. 국회와중앙행정기관간, 지방의회와지방자치 Ⅱ. 개인정보업무처리및응답 263

준영구 단체간주고받은공식적인기록물 21. 외국의정부기관혹은국제기구와의교류협력, 협상, 교류활동에관한주요기록물 22. 공공기관소관업무분야의통계 결산 전망등대외발표혹은대외보고를위하여작성한기록물 23. 영구기록물관리기관의장및제 3 조각호의어느하나에해당하는공공기관의장이정하는사항에관한기록물 24. 다른법령에따라영구보존하도록규정된기록물 24 의 2. 기관의조직, 기능및기관과국민간의의사소통등에관한웹기록물및웹기록물관련시스템의구축ㆍ운영과관련된중요한기록물 25. 그밖에역사자료로서의보존가치가높다고인정되는기록물 1. 국민이나기관및단체, 조직의신분, 재산, 권리, 의무를증빙하는기록물중관리대상자체가사망, 폐지, 그밖의사유로소멸되기때문에영구보존할필요성이없는기록물 2. 비치기록물로서 30 년이상장기보존이필요하나, 일정기간이경과하면관리대상자체가사망, 폐지, 그밖의사유로소멸되기때문에영구보존의필요성이없는기록물 3. 국민이나기관및단체, 조직의권리, 신분증명및의무부과, 특정대상관리등을위하여행정기관이구축하여운영하는행정정보시스템의데이터셋 (dataset) 및운영시스템의구축과관련된중요한기록물 4. 토지수용, 보안업무규정 제 30 조에따른보호구역등국민의재산권과관련된기록물중 30 년이상보존할필요가있는기록물 5. 관계법령에따라 30 년이상의기간동안민 형사상책임또는시효가지속되거나, 증명자료로서의가치가지속되는사항에관한기록물 6. 그밖에역사자료로서의가치는낮으나 30 년이상장기보존이필요하다고인정되는기록물 264 개인정보보호법업무사례집

30 년 10 년 5 년 1. 영구 준영구적으로보존할필요는없으나공공기관의설치목적을구현하기위한주요업무와관련된기록물로서 10 년이상의기간동안업무에참고하거나기관의업무수행내용을증명할필요가있는기록물 2. 장 차관, 광역자치단체장등고위직기관장의결재를필요로하는일반적인사항에관한기록물 3. 관계법령에따라 10 년이상 30 년미만의기간동안민 형사상또는행정상의책임또는시효가지속되거나, 증명자료로서의가치가지속되는사항에관한기록물 4. 다른법령에따라 10 년이상 30 년미만의기간동안보존하도록규정한기록물 5. 그밖에 10 년이상의기간동안보존할필요가있다고인정되는기록물 1. 30년이상장기간보존할필요는없으나공공기관의주요업무에관한기록물로 5년이상의기간동안업무에참고하거나기관의업무수행내용을증명할필요가있는기록물 2. 본부 국 실급부서장의전결사항으로공공기관의주요업무를제외한일반적인사항과관련된기록물 3. 관계법령에따라 5년이상 10년미만의기간동안민 형사상책임또는시효가지속되거나, 증명자료로서의가치가지속되는사항에관한기록물 4. 다른법령에따라 5년이상 10년미만의기간동안보존하도록규정한기록물 5. 그밖에 5년이상 10년미만의기간동안보존할필요가있다고인정되는기록물 1. 처리과수준의주요한업무와관련된기록물로서 3년이상 5년미만의기간동안업무에참고하거나기관의업무수행내용을증명할필요가있는기록물 2. 기관을유지하는일반적인사항에관한예산 회계관련기록물 (10 년이상보존대상에해당하는 Ⅱ. 개인정보업무처리및응답 265

주요사업관련단위과제에포함되는예산 회계관련기록물의보존기간은해당단위과제의보존기간을따른다 ) 3. 관계법령에따라 3 년이상 5 년미만의기간동안민사상 형사상책임또는시효가지속되거나, 증명자료로서의가치가지속되는사항에관한기록물 4. 다른법령에따라 3 년이상 5 년미만의기간동안보존하도록규정한기록물 5. 그밖에 3 년이상 5 년미만의기간동안보존할필요가있다고인정되는기록물 3 년 1 년 1. 처리과수준의일상적인업무를수행하면서생산한기록물로서 1년이상 3년미만의기간동안업무에참고하거나기관의업무수행내용을증명할필요가있는기록물 2. 행정업무의참고또는사실의증명을위하여 1년이상 3년미만의기간동안보존할필요가있는기록물 3. 관계법령에따라 1년이상 3년미만의기간동안민 형사상의책임또는시효가지속되거나, 증명자료로서의가치가지속되는사항에관한기록물 4. 다른법령에따라 1년이상 3년미만의기간동안보존하도록규정한기록물 5. 그밖에 1년이상 3년미만의기간동안보존할필요가있다고인정되는기록물 6. 각종증명서발급과관련된기록물 ( 다만, 다른법령에증명서발급관련기록물의보존기간이별도로규정된경우에는해당법령에따름 ) 7. 처리과수준의주간 월간 분기별업무계획수립과관련된기록물 1. 행정적 법적 재정적으로증명할가치가없으며, 역사적으로보존하여야할필요가없는단순하고일상적인업무를수행하면서생산한기록물 2. 기관내처리과간에접수한일상적인업무와관련된사항을전파하기위한지시공문 266 개인정보보호법업무사례집

3. 행정기관간의단순한자료요구, 업무연락, 통보, 조회등과관련된기록물 4. 상급기관 ( 부서 ) 의요구에따라처리과의현황, 업무수행내용등을단순히보고한기록물 ( 취합부서에서는해당단위과제의보존기간동안보존하여야한다 ) 개인정보보호법 제 21 조제 1 항 제 3 항및 표준개인정보보호지침 제 11 조제 1 항, 제 12 항, 제 64 조 1.5.2 학년도가바뀌는경우학급교육과정에포함된학생 학부모의개인정보는별도로빼내어파기해야하는가? 학급교육과정은당해학년도에있어서교육목표의달성을위한전체계획이므로, 학급교육과정에특정한학생 학부모의개인정보는포함되지않는것이바람직하고, 포함된경우당해학년도가종료하는경우에는파기하여야할것입니다. 1.5.3 체험학습등의사유로보험가입용주민등록번호를수집할때이런정보는얼마나보존해야하는가? 일회성체험학습등에있어서보험가입을위하여수집한주민등록번호는당해행사가종료한때지체없이파기하여야할것입니다. 1.5.4 홈페이지의폐쇄, 회원탈퇴또는개인정보의처리목적달성등으로개인정보가불필요하게되었을때어떻게하여야하는가? Ⅱ. 개인정보업무처리및응답 267

개인정보의처리목적달성및해당서비스의폐지, 사업의종료등은개인정보가불필요하게되었을때에해당하므로, 불필요한것으로인정되는날로부터 5일이내에파기하여야합니다. 1.5.5 개인정보에대한보존기간이경과된자료에대한즉시폐기의기준은무엇입니까? 만료되는일기준인가요? 해당년도중처리하면되는가? 개인정보의보유기간이경과된경우에는정당한사유가없는한보유기간의종료일로부터 5일이내에그개인정보를파기하여야합니다. 1.5.6 개인정보보호법 제 21 조의개인정보폐기시기중 불필요하게되었을때 란구체적으로어떤것인가? 개인정보가불필요하게되었을때란개인정보의처리목적달성, 해당서비스의폐지, 사업의종료등을말합니다. 1.5.7 도서관에서회원가입시생성되는데이터베이스를개인정보파일로등록하고있는데보유기간을어떻게산정하여야하는가? 도서관회원가입을위하여수집한개인정보는 도서관이용 이라는목적이존재하는한보존할수있습니다. 다만, 더이상도서관을이용하지않게되는경우 ( 회원탈퇴 ) 또는도서관의폐관등의경우에는개인정보가불필요하게되었을때에해당하므로지체없이파기하여야합니다. 1.5.8 행정, 학사등의정보시스템을운영하는경우, 개인정보파일의보유기간이지났을경우데이터베이스자료도삭제하여야하는가? 268 개인정보보호법업무사례집

보유기간의경과는개인정보를파기하여야하는때에해당하므로, 지체없이삭제하여야합니다. 홍보및대국민서비스목적의외부고객명부 1.5.9 학교홈페이지의회원정보는 2 년마다재동의를받아야하는가? 정책고객, 홈페이지회원등의홍보및대국민서비스목적의외부고객명부는특별한경우를제외하고는 2년을주기로정보주체의재동의절차를거쳐동의한경우에만계속적으로보유할수있습니다. 1.5.10 홈페이지회원의개인정보는 2년을주기로정보주체의재동의를받아서처리하도록되어있습니다. 여기서 2년은각회원들의가입시점인가? 회원전체에대해 2년을주기로재동의받으면되는가? 개인정보파일의보유기간은전체개인정보가아닌개별개인정보의수집부터삭제까지의생애주기로서보유목적에부합된최소기간으로산정하여야합니다. 1.5.11 홈페이지회원으로부터 2 년을주기로재동의를받는방식은무엇인가? 동의의획득방법으로 1 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법, 2 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법, 3 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를 Ⅱ. 개인정보업무처리및응답 269

확인하는방법, 4 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법, 5 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법등이있습니다. - 그밖에동의의의사표시를확인할수있는방법으로 1 전자문서를통해동의내용을정보주체에게알리고정보주체의전자서명을받는방법, 2 개인명의의휴대전화문자메시지를이용한동의, 3 신용카드비밀번호를입력하는방법등도이에준하는방법등이있을수있습니다. 개인정보보호법 제22조및동법시행령제17조, 표준개인정보보호지침 제13조 제14조 파기절차 1.5.12 개인정보의보유기간만료또는처리목적달성등개인정보가불필요하게되었을때파기절차는어떻게되는가? 개인정보파기의시행및확인은개인정보보호책임자의책임하에수행하여야하고, - 개인정보보호책임자는개인정보파기시행후파기결과를확인하여야합니다. - 개인정보처리자는개인정보의파기에관한사항을기록 관리하여야합니다. 공공기관은개인정보파일의보유기간, 처리목적등을반영한개인정보파기계획을수립 시행하여야합니다. 270 개인정보보호법업무사례집

- 다만, 개인정보보호법시행령 제30조제1항제1호에따른내부관리계획이수립되어있는경우에는내부관리계획에개인정보파기계획을포함하여시행할수있습니다. 공공기관개인정보취급자는파기사유 ( 보유기간경과, 처리목적달성등 ) 가발생한개인정보파일을선정하고, 개인정보파일파기요청서에파기대상개인정보파일의명칭, 파기방법등을기재하여개인정보보호책임자의승인을받아개인정보를파기하여야합니다. - 개인정보보호책임자는개인정보파기시행후파기결과를확인하고개인정보파일파기관리대장을작성하여야합니다. - 개인정보취급자는개인정보파일을파기한경우, 개인정보보호책임자에게 개인정보보호법 제32조에따른개인정보파일의등록사실에대한삭제를요청해야합니다. - 개인정보파일등록의삭제를요청받은개인정보보호책임자는그사실을확인하고, 지체없이등록사실을삭제한후그사실을행정안전부에통보합니다. 개인정보보호법 제 21 조및 표준개인정보보호지침 제 59 조 1.5.13 개인정보를파기하는경우에도파기사실을정보주체에게알려야하는가? 개인정보보호법 은개인정보를파기하기위하여정보주체에게알리거나동의를받을것을규정하고있지는않습니다. Ⅱ. 개인정보업무처리및응답 271

파기방법 1.5.14 개인정보의보유기간만료또는처리목적달성등개인정보가불필요하게되었을때파기절차및방법은어떻게되는가? 개인정보를파기할때에는복구또는재생되지아니하도록조치하여야합니다. 전자적파일형태인경우에는복원이불가능한방법으로영구삭제하여야합니다. 복원이불가능한방법이란사회통념상현재의기술수준에서적절한비용이소요되는방법을말합니다. - 전자적파일형태가아닌기록물, 인쇄물, 서면, 그밖의기록매체인경우에는파쇄또는소각하여야합니다. 개인정보보호법 제 21 조제 2 항및동법시행령제 16 조, 표준개인정보보호지침 제 11 조제 2 항부터제 6 항까지 1.5.15 대부분의전자적파일은삭제를해도복원이가능하다고하는데, 복원불가능한방법으로영구삭제하는방법에는어떤것이있는가? 전자적파일의영구삭제방법은소거SW 등사회통념상현재의기술수준에서적절한비용이소요되는방법이면됩니다. 272 개인정보보호법업무사례집

2. 개인정보의처리제한 1) 민감정보 민감정보란무엇입가? 2.1.1 민감정보 란사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령이정하는정보 ( 유전정보, 범죄경력자료에해당하는정보 ) 입니다. 개인정보처리자가민감정보를처리하기위하여정보주체에게동의를받고자하는경우에는다른개인정보와민감정보를구분하여민감정보에대하여는정보주체가별도로동의할수있도록조치를취하여야합니다. 개인정보보호법 제 2 조, 제 23 조 2.1.2 사상 신념, 건강상태등민감정보를처리하고자하는경우에는어떻게하면되는가? 개인정보처리자가 개인정보보호법 제23조제1호에따라민감정보의처리를위하여정보주체에게동의를받고자하는경우에는다른개인정보와민감정보를구분하여민감정보에대하여는정보주체가별도로동의할수있도록조치를취하여야합니다. 개인정보처리자는민감정보의처리에대한동의를받을때다음과같은사항을정보주체에게알려야합니다. Ⅱ. 개인정보업무처리및응답 273

수집 이용 제공 1 민감정보의수집 이용목적 2 수집하려는민감정보의항목 3 민감정보의보유및이용기간 4 동의거부권이있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 1 민감정보를제공받는자 2 민감정보를제공받는자의민감정보이용목적 3 제공하는민감정보의항목 4 민감정보를제공받는자의민감정보보유및이용기간 5 동의거부권이있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 개인정보보호법 제 2 조, 제 23 조 2.1.3 의사능력이부족한지체장애아동의민감정보수집시동의받는방법은무엇인가? 개인정보처리자는 14세미만아동의 ' 민감정보 ' 를처리하기위하여원칙적으로그법정대리인의동의를받아야한다. - 하지만, 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우동의없이도이를처리할수있습니다. - 이와같이만 14세미만의아동의개인정보, 특히민감정보를처리하기위해서는원칙적으로법정대리인의동의가필요하지만, 법정대리인조차의사표현능력의부족혹은법정대리인의부재 274 개인정보보호법업무사례집

등으로동의를받을수없는경우정보주체의이익을위하여필요한경우동의없이도이를처리할수있습니다. 만 14세미만이아닌경우에도위와같은예외의경우에는개인정보를수집할수있지만, 그외에는본인의동의를받아야합니다. - 다만, 동의여부를판단할수없는자에게는법정대리인의동의를받아야합니다. 개인정보보호법 제 15 조, 제 22 조, 제 23 조 교사가수업을위해어쩔수없이민감정보 ( 사상, 신념, 정치적견해등 ) 를수집해야할경우에도학생과학부모 2.1.4 에게정보활용동의를받아야하는가? 법정대리인의동의 만 14세미만아동의민감정보를처리하기위하여그법정대리인의동의를받아야합니다. - 법정대리인의동의를받기위한필요최소한의정보 ( 성명및연락처 ) 는법정대리인의동의없이해당아동으로부터직접수집할수있습니다. 또한, 민감정보는다른개인정보처리에대한동의와별도로개인정보의처리에대한동의를받아야합니다. - 이같은민감정보에는사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 범죄경력자료가해당됩니다. 개인정보보호법 제 22 조, 제 23 조 Ⅱ. 개인정보업무처리및응답 275

사상, 신념, 노동조합, 정당의가입, 탈퇴, 정치적견해, 2.1.5 건강, 성생활등민감정보의처리는어떻게해야하는가? 민감정보 는다른개인정보와민감정보를구분하여정보주체가별도로동의할수있도록조치를취하여야합니다. 개인정보보호법 제 2 조, 제 23 조 2.1.6 신규교원및직원입사지원시에지원자개인정보에대한동의를받아야하는지또는민감정보가있는데민감정보에는어떠한것들이있는가? 개인정보처리자는법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우, 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우, 정보주체와의계약의체결및이행을위하여불가피하게필요한경우를제외하고는원칙적으로정보주체의동의를받아개인정보를수집할수있으며그수집목적의범위에서이용할수있습니다. - 형의실효등에관한법률 제6조제1항제9호에서다른법령에서규정하고있는공무원임용등을확인하기위하여필요한경우에해당하는경우라할수있습니다. 민감정보 : 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보 ( 유전정보, 범죄경력자료에해당하는정보 ) 를말합니다. 개인정보보호법 제 15 조제 2 항, 형의실효등에관한법률 제 6 조제 1 항제 9 호 276 개인정보보호법업무사례집

개인정보라함은 생존하는개인에관한정보 라고하던데, 고유식별정보, 민감정보등의용어를또다시분류하여 2.1.7 사용하는이유는무엇인가? 고유식별정보는원래공익목적으로개인에게부여된것이나그편리성때문에공공부문은물론민간영역에서도광범위하게수집 이용되고있습니다. - 특히주민등록번호의유출과도용으로인한피해등이급증하고있으므로, 주민등록번호등고유식별정보의오 남용을방지하고원래의목적에충실하게사용될수있도록그처리를일정범위에서제한할필요가있습니다. 민감정보는특히사회적차별을야기하거나현저히인권을침해할우려가있는민감한개인정보는보다엄격히보호되어야하기때문입니다. 개인정보보호법 제 2 조, 제 23 조 2.1.8 법제23조와 24조의민감정보와고유식별정보의처리라함은개인정보를전자적으로수집해서처리할경우를말하는것인지, 아니면공문서로각기관에자료를요구하는경우에도해당되는것인가? 처리 란개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를말합니다. - 공문서로각기관에자료를요구하는경우뿐만아니라, 전자적으로수집해서처리하는경우도이에해당한다고할수있습니다. Ⅱ. 개인정보업무처리및응답 277

개인정보보호법 제 2 조 2.1.9 민감정보의구체적인정의는무엇이며, 민감정보의기준은무엇인가? 또한민감정보를처리해야할경우암호화를하여야하는가? 민감정보란사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보 ( 유전정보, 범죄경력자료에해당하는정보 ) 를말합니다. - 민감정보를처리하는경우안전조치의무에따라안전성확보에필요한기술적, 관리적및물리적조치를하여야합니다. 1 개인정보의안전한처리를위한내부관리계획의수립ㆍ시행 2 개인정보에대한접근통제및접근권한의제한조치 3 개인정보를안전하게저장ㆍ전송할수있는암호화기술의적용또는이에상응하는조치 4 개인정보침해사고발생에대응하기위한접속기록의보관및위조ㆍ변조방지를위한조치 5 개인정보에대한보안프로그램의설치및갱신 6 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 개인정보보호법 제 23 조, 제 29 조 2.1.10 학년초에받는아동기초조사서에민감점보에해당하는아동개인특성및취미특기사항등은써서는안되는가? 그리고이러한정보는부모동의를얻으면해도되는가? 278 개인정보보호법업무사례집

교육기본법 에따라학교에서교육목적으로학교생활기록등 ( 학교생활기록, 학교생활세부기록부 ) 학생정보를수집 처리 이용및관리하는경우에는그범위내에서는개별적인동의를받지않아도된다고볼수있습니다. - 하지만수집하려는정보가민감정보에해당하는경우, 이는통상의개인정보와달리취급되어야하며이에대한개별적인동의를필요로합니다. 이때개인정보처리자는별도의동의를받을때다음과같은사항을알려야합니다. 수집 이용 제공 1 민감정보의수집 이용목적 2 수집하려는민감정보의항목 3 민감정보의보유및이용기간 4 동의거부권이있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 1 민감정보를제공받는자 2 민감정보를제공받는자의민감정보이용목적 3 제공하는민감정보의항목 4 민감정보를제공받는자의민감정보보유및이용기간 5 동의거부권이있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 이경우만 14세미만아동에해당하므로그법정대리인의동의를받아야합니다. 법정대리인의동의를받기위하여필요한최소한의정보는법정대리인의동의없이해당아동으로부터직접수집할수있습니다. 개인정보보호법 제 23 조, 교육기본법 제 23 조의 3 Ⅱ. 개인정보업무처리및응답 279

2) 고유식별정보 고유식별정보일반 2.2.1 " 고유식별정보란무엇인가? 고유식별정보제공시조치사항 " 고유식별정보 란법령에따라개인을고유하게구별하기위하여부여된식별정보로서대통령령으로정하는정보 ( 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 ) 를말합니다. - 법령에의해서개인에게부여된것이어야하므로기업, 학교등이소속구성원에게부여하는사번, 학번등은고유식별정보가될수없습니다. 또한법인이나사업자에게부여되는법인등록번호, 사업자등록번호등도고유식별정보가될수없습니다. 개인정보보호법 이정하는바에따라고유식별정보를처리하는경우에는그고유식별정보가분실 도난 유출 변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야합니다. 개인정보보호법 제 24 조 학번도고유식별번호라할수있는가? 2.2.2 고유식별정보 란법령에따라개인을고유하게구별하기위하여부여된식별정보로서대통령령으로정하는정보를말합니다. 따라서기업, 학교등이소속구성원에게부여하는사번, 학번등은고유식별정보가될수없습니다. 280 개인정보보호법업무사례집

개인정보보호법 제 24 조 2.2.3 주민등록번호등고유식별정보를처리하고자하는경우에는어떻게하면되는가? 주민등록번호는 개인정보보호법 제24조에따른고유식별정보에해당됩니다. - 개인정보보호법 제24호제1항제1호에따라다른개인정보의처리에대한동의와별도로정보주체로부터동의를받은경우, 법령에서구체적으로고유식별정보의처리를요구하는경우에이를처리할수있습니다. 개인정보보호법 제 24 조제 1 항제 1 호 2.2.4 주민등록번호는원칙적으로처리금지라고하는데, 법령근거가있는경우에는예외허용이라고합니다. 예외허용이되는법령에는어떤것들이있는가? 고유식별번호는법령에따라개인을고유하게구별하기위하여부여된식별정보로서원칙적으로대통령령으로정하는정보를처리할수없습니다. - 다만, 예외적으로정보주체에게 개인정보보호법 제15조제2항각호또는제17조제2항각호의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우와법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우에한하여처리할수있습니다. Ⅱ. 개인정보업무처리및응답 281

- 예를들어, 고등교육법시행령 제4조의3제1항에따른등록금심의위원회회의록에주민등록번호를기재할수있는근거가마련되어있습니다. 개인정보보호법 제 24 조 2.2.5 인터넷회원가입시본인확인절차로주민등록번호를이용할수있는가? 개인정보처리자는 1 다른개인정보의처리에대한동의와별도로동의를받은경우와 2 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우를제외하고는, 고유식별정보를처리할수없습니다. 고유식별정보 란 1 주민등록번호와 2 여권번호 3 운전면허의면허번호 4 외국인등록번호를말합니다. - 또한, 1 공공기관 과 2 전년도말기준직전 3개월간홈페이지방문자수가하루평균 1만명이상인개인정보처리자 는정보주체가인터넷홈페이지를통하여회원으로가입할경우대체가입수단 ( 주민등록번호를사용하지아니하고도회원으로가입할수있는방법 ) 을제공하여야합니다. 대체가입수단은 `12년 3월 30일부터시행됩니다. 따라서원칙적으로인터넷회원가입시본인확인절차로주민등록번호를이용할수없으나, 다른개인정보의처리에대한동의와별도로동의를받는경우에는이를처리할수있습니다. 다만, 이경우에도공공기관등은대체가입수단을제공하여야합니다. 282 개인정보보호법업무사례집

- 이러한동의를받을때에는 1 고유식별정보의수집 이용목적 2 수집하려는고유식별정보의항목 3 고유식별정보의보유및이용기간 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용을알려야하고, 이중어느하나의사항을변경하는경우에도이를알리고동의를받아야합니다. - 다른개인정보와고유식별정보를구분하여고유식별정보에대하여는정보주체가별도로동의할수있도록조치를취하여야합니다. 개인정보보호법 제24조제1항, 동법시행령제19조, 표준개인정보보호지침 제16조 2.2.6 홈페이지가입을할경우최소한의본인확인을위해주민등록번호를수집하려고합니다. 이때홍길동 (791001-1059***) 이라는형식으로전체수집이아닌일부수집도제한되어야하는가? 에포함된예시 (13자리의주민등록번호중 10자리의정보 ) 는주민등록번호의대부분을포함하고있고, 이를통하여출생일및성별등을식별또는유추할수있으므로, 개인정보보호법 이정하고있는고유식별정보 ( 주민등록번호 ) 와같이다루어야할것입니다. Ⅱ. 개인정보업무처리및응답 283

주민등록번호대체가입수단 2.2.7 인터넷홈페이지를통해회원으로가입할경우주민등록번호를사용하지않는회원가입방법을별도로제공하여야하는가? 모든개인정보처리자가주민등록번호를사용하지않는회원가입방법을별도로제공하여야하는것은아닙니다. - 그러나 1 공공기관 과 2 전년도말기준직전 3개월간홈페이지방문자수가하루평균 1만명이상인개인정보처리자 는 2012년 3월 30일부터정보주체가인터넷홈페이지를통하여회원으로가입할경우대체가입수단 ( 주민등록번호를사용하지아니하고도회원으로가입할수있는방법 ) 을제공하여야합니다. 대체가입수단은 주민등록번호를사용하지아니하고도회원으로가입할수있는방법 이기때문에, 홈페이지회원가입시주민등록번호를사용하지않는경우에는아이핀 (i-pin) 등대체가입수단을반드시제공하여야하는것은아닙니다. - 따라서여권번호는고유식별정보이지만주민등록번호와는구별되기때문에내 외국인의여권번호를사용한홈페이지회원가입의경우에는대체가입수단의제공이없어도가능합니다. - 그러나, 학교에서홈페이지회원가입 글쓰기등을함에있어서학적시스템과연동하는경우와같이종전에수집한주민등록번호를사용하는경우에는대체가입수단을제공하여야합니다. 개인정보보호법 제24조제2항, 동법시행령제20조, 표준개인정보보호지침 제17조 284 개인정보보호법업무사례집

2.2.8 주민등록번호를사용하지아니하고도회원으로가입할수있는방법, 즉대체가입수단으로는어떠한방법이있는가? 주민등록번호대체가입수단으로는아이핀 (i-pin) 및공인인증서, 전자서명, 휴대폰인증등이있습니다. 고유식별정보암호화대상 2.2.9 고유식별정보의안전성확보를위한암호화기술의적용대상은무엇인가? 고유식별정보처리자는고유식별정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치등고유식별정보의안전성확보조치를하여야합니다. - 고유식별정보는주요개인정보로서암호화되지않고개인정보처리시스템에저장되거나네트워크를통해전송될경우, 불법적인노출및위 변조등의위험이있으므로암호화등의안전한보호조치가제공되어야합니다. 암호화 는개인정보취급자의실수또는해커의공격등으로인해개인정보가비인가자에게유출또는노출되더라도그주요내용을확인할수없게하는보안기술을말합니다. 고유식별정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야합니다. - 인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Dem ilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. - 내부망에고유식별정보를저장하는경우에는 1 ( 개인정보영향평가의대상이되는공공기관의경우 ) 개인정보영향평가의결과 Ⅱ. 개인정보업무처리및응답 285

또는 2 위험도분석에따른결과에따라암호화의적용여부및적용범위를정하여시행할수있습니다. 내부결재문서또는전자공문등에고유식별정보가포함된경우에는암호화대상이며, 인터넷등외부정보통신망과의연결이차단된경우에도암호화를적용하여야합니다. WEB으로개발된프로그램은물론 Client/Server 프로그램도포함합니다. - 그러나, 암호화의무대상은고유식별정보, 비밀번호및바이오정보이므로, 학생명부나성적일람표, 고유식별정보를제외한인적사항등은암호화의무대상은아닙니다. 개인정보보호법 제24조제3항, 동법시행령제21조및제30조, 개인정보의안전성확보조치기준 제7조 고유식별정보의암호화방법 2.2.10 고유식별정보의안전성확보를위한암호화는구체적으로어떠한조치를말하는가? 정보통신망내외부로송 수신할고유식별정보는암호화하여야합니다. - 개인정보암호화전송을위해보안서버를활용할수있다. 보안서버 란웹서버에 SSL(Secure Sockets Layer) 인증서나암호화소프트웨어를설치하여암호통신을수행하는방식을말합니다. - 고유식별정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야합니다. 286 개인정보보호법업무사례집

- 업무용컴퓨터에고유식별정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화저장하여야합니다. 안전한암호알고리즘 이란미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의외국및국내외암호연구기관에서권고하는알고리즘을의미합니다. - 주민등록번호를시스템운영을위한검색키로사용하는경우, 속도등성능을고려하여일부정보만암호화조치를취할수있습니다. 주민등록번호의경우뒷자리 6개번호이상의암호화조치가필요합니다 ( 예시 : 700101-1# &). 개인정보보호법 제 24 조제 3 항, 동법시행령제 21 조및제 30 조, 개인정보의안전성확보조치기준 제 7 조 2.2.11 지급관련결재시스템에서결재완료시점에서회계시스템으로고유식별정보를넘기는경우암호화를하여넘겨야하는가? 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있습니다. 2.2.12 고유식별정보의분실 도난 변조 훼손등의방지를위해암호화등안전성을확보해야한다고정하고있는데, 망이분리되었고업무망에서내부업무처리용도로만사용되는인사기록의주민등록번호도암호화를하여야하는가? 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있으나, 비밀번호와바이오정보는반드시암호화하여야합니다. Ⅱ. 개인정보업무처리및응답 287

- 전용선을이용하여개인정보를송 수신하는경우, 암호화가필수는아니지만, 내부자에의한개인정보유출등을대비해서가급적암호화전송을권장합니다. 288 개인정보보호법업무사례집

3) 개인정보처리업무위탁 개인정보처리업무위탁의개념 2.3.1 개인정보를제 3 자에게 취급위탁 하는경우와개인정보를제 3 자에게 제공 하는경우의차이는무엇인가? 개인정보보호법 은 제3자에대한업무위탁 과 제3자에대한제공 을각각별도로규정하고있습니다. 위탁 은법률행위나사무의처리를다른사람에게맡겨부탁하는일을말합니다. - 개인정보의 업무위탁 이란계약체결대행서비스 ( 텔레마케팅등 ) 또는관리대행서비스 ( 상품배송, AS 등 ), 전산관리위탁서비스 ( 시스템, DB 개발등 ) 등개인정보처리자의목적을위해개인정보의수집 처리 이용등의업무를제3자에게위탁하는것을말합니다. - 개인정보의처리를제3자에게위탁하는경우에는 업무위탁을하는업무의내용 을알리고홈페이지등에공개해야합니다. - 다만, 홍보판매목적으로위탁하는경우에는정보주체에게통지 ( 고지 ) 하여야합니다. 개인정보의 제3자제공 이란금융서비스제공을위한이메일홍보또는보험상품소개를위한텔레마케팅등개인정보를제공받는자 ( 제3자 ) 의목적을위해개인정보를제3자에게제공하는것을말합니다. - 이에따라서개인정보를제3자에게제공하는경우에는 제공받는자의이용목적 을알리고동의를받아야합니다. Ⅱ. 개인정보업무처리및응답 289

개인정보수집목적의범위에포함되지않은경우건강검진및계좌연동, 여행자보험가입등을위하여개인정보를의료기관 금융기관등에게전달하는것은제3자제공에해당합니다. - 즉, 1 계좌연동을위하여학생개인정보를금융기관에제공하는경우및 2 구성원의건강검진을위하여의료기관에제공하는경우, 3 여행자보험가입을위하여보험사에제공하는경우등은제3자제공에해당합니다. - 반면, 1 개인정보포함자료의출력을출판사 인쇄소에맡기는경우또는 2 외부업체 (DM업체등 ) 를이용한재학생성적표등의우편발송업무, 3 학생증 졸업앨범등의외주제작, 4 입시업무대행업체를통한입학원서접수, 5 외주업체에의한도서관전산화패키지 (KOLAS) 의유지보수, 6 개인정보보유정보시스템 ( 홈페이지등 ) 개편용역사업, 7 홈페이지웹호스팅의경우, 8 단체여행시여행자보험가입을여행사에위탁하는경우, 9 방과후활동을외부업체와계약하는경우등은업무위탁으로볼것입니다. 개인정보보호법 제 26 조 개인정보처리업무위탁의형식 2.3.2 개인정보의처리업무를위탁하는경우그형식에제한이있는가? 개인정보처리자가제3자에게개인정보의처리업무를위탁하는경우다음의내용이포함된문서에의하여야합니다. - 1 위탁업무수행목적외개인정보의처리금지에관한사항 290 개인정보보호법업무사례집

- 2 개인정보의기술적 관리적보호조치에관한사항 - 3 위탁업무의목적및범위 - 4 재위탁제한에관한사항 - 5 개인정보에대한접근제한등안전성확보조치에관한사항 - 6 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 - 7 수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 개인정보처리업무위탁에관하여별도의문서서식은없습니다. 개인정보보호법 제 26 조제 1 항및동법시행령제 28 조제 1 항 개인정보처리업무위탁의공개및고지 2.3.3 개인정보의처리업무를위탁하는경우공개하여야하는사항과위탁사실을공개하는방법은무엇인가? 위탁자 ( 개인정보의처리업무를위탁하는개인정보처리자 ) 는 1 위탁하는업무의내용과 2 수탁자 ( 개인정보처리업무를위탁받아처리하는자 ) 를위탁자의인터넷홈페이지에지속적으로게재하는방법으로정보주체가언제든지쉽게확인할수있도록공개하여야합니다. 인터넷홈페이지에게재할수없는경우에는다음의방법으로위탁하는업무의내용과수탁자를공개하여야합니다. - 1 위탁자의사업자등 ( 사업장 영업소 사무소 점포등 ) 보기쉬운장소에게시하는방법 - 2 관보 ( 위탁자가공공기관인경우 ) 나일반일간신문 일반주간신문 인터넷신문에싣는방법 Ⅱ. 개인정보업무처리및응답 291

- 3 같은제목으로연 2회이상발행하여정보주체에게배포하는간행물 소식지 홍보지또는청구서등에지속적으로싣는방법 - 4 재화나서비스를제공하기위하여위탁자와정보주체가작성한계약서등에실어정보주체에게발급하는방법 개인정보보호법 제 26 조제 2 항및동법시행령제 28 조제 2 항 제 3 항 2.3.4 개인정보의처리업무를위탁하는경우정보주체에게고지하여야하는사항과위탁사실을고지하는방법은무엇인가? 위탁자가재화 서비스를홍보하거나판매를권유하는업무를위탁하는경우에는 1 서면, 2 전자우편, 3 팩스, 4 전화, 5 문자전송또는 6 이에상당하는방법으로위탁업무내용과수탁자를정보주체에게알려야합니다. - 위탁업무내용이나수탁자가변경된경우에도같습니다. 위탁자가과실없이위탁업무내용과수탁자를정보주체에게알릴수없는경우에는해당사항을인터넷홈페이지에 30일이상게재하여야합니다. - 다만, 인터넷홈페이지를운영하지아니하는위탁자의경우에는사업장 영업소 사무소 점포등의보기쉬운장소에 30일이상게시하여야합니다. 개인정보보호법 제 26 조제 3 항및동법시행령제 28 조제 4 항 제 5 항 292 개인정보보호법업무사례집

개인정보처리업무수탁자의감독 2.3.5 개인정보처리업무의위탁과관련하여위탁자가수탁자를관리 감독하기위하여어떠한조치를취하여야하는가? 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자교육및처리현황점검등수탁자가개인정보를안전하게처리하는지를감독하여야합니다. - 위탁자는수탁자가개인정보처리업무를수행하는경우에 개인정보보호법 또는동법시행령에따라개인정보처리자가준수하여야할사항과위탁업무에관한문서에포함된사항을준수하는지를감독하여야합니다. 위탁자가수탁자를선정할때에는인력과물적시설, 재정부담능력, 기술보유의정도, 책임능력등을종합적으로고려하여야하고, - 개인정보의처리업무를위탁하는때에는수탁자의처리업무의지연, 처리업무와관련없는불필요한개인정보의요구, 처리기준의불공정등의문제점을종합적으로검토하여이를방지하기위하여필요한조치를마련하여야합니다. 수탁자는개인정보처리자로부터위탁받은해당업무범위를초과하여개인정보를이용하거나제3자에게제공하여서는아니되고, - 수탁자는위탁받은개인정보를보호하기위하여 개인정보의안전성확보조치기준고시 에따른관리적 기술적 물리적조치를하여야합니다. 수탁자가위탁받은업무와관련하여개인정보를처리하는과정에서 개인정보보호법 을위반하여발생한손해배상책임에대하여는수탁자를개인정보처리자의소속직원으로간주하고, Ⅱ. 개인정보업무처리및응답 293

- 정보주체는재수탁자 ( 수탁자로부터개인정보처리업무를재위탁받아처리하는자 ) 가재위탁받은개인정보처리업무를수행하면서발생하는손해에대한배상을청구할수있습니다. 개인정보보호법 제 26 조제 4 항 제 5 항 제 6 항및동법시행령제 28 조제 6 항, 표준개인정보보호지침 제 19 조 294 개인정보보호법업무사례집

4) 영상정보처리기기 영상정보처리기기의개념 2.4.1 교육 실습용으로강의실 실습실에설치한영상정보처리기기또는통제구역내의 CCTV, 모형 CCTV 등은영상정보처리기기에해당하는가? 영상정보처리기기란일정한공간에지속적으로설치되어사람또는사물의영상등을촬영하거나이를유 무선망을통하여전송하는일체의장치로서폐쇄회로텔레비전 (CCTV) 및네트워크카메라를말합니다. - 폐쇄회로텔레비전 (CCTV) 은 1 일정한공간에지속적으로설치된카메라를통하여영상등을촬영하거나촬영한영상정보를유무선폐쇄회로등의전송로를통하여특정장소에전송하는장치및 2 이를통하여촬영되거나전송된영상정보를녹화 기록할수있도록하는장치를말합니다. - 네트워크카메라는일정한공간에지속적으로설치된기기로촬영한영상정보를그기기를설치 관리하는자가유무선인터넷을통하여어느곳에서나수집 저장등의처리를할수있도록하는장치를말합니다. 교육 실습용으로실습실에설치한영상정보처리기기 또는 강의운영을위하여강의실에설치된네트워크카메라, 학교내의문서보관실내부에설치된 CCTV 등은 개인정보보호법 이규정하고있는영상정보처리기기에해당하지만 - 모형CCTV 또는 공개수업동영상촬영을비디오카메라 등은 개인정보보호법 에따른영상정보처리기기에해당하지않습니다. Ⅱ. 개인정보업무처리및응답 295

통제구역내에 CCTV의경우공개된장소에설치되어있지않으므로 개인정보보호법 제25조제3항및제4항의의견수렴절차및안내판설치의무는지지않으나, 안전성확보에관한조치는취하셔야합니다. 모형CCTV는 개인정보보호법 이정하는영상정보처리기기에해당하지않기때문에모형CCTV의설치 운영에대한 개인정보보호법 에따른제한은없습니다. 개인정보보호법 은원칙적으로 공개된장소 에영상정보처리기기를설치 운영하는것을금지하고, 일부예외를인정하고있습니다. - 예외적으로설치 운영하는경우에의견수렴과정과안내판설치등의의무를이행하도록규정하고있기때문에, 영상정보처리기기이더라도설치 운영장소가 공개된장소 가아닌경우에는의견수렴과정과안내판설치의무가없습니다. 개인정보보호법 제 2 조제 7 호및제 25 조, 동법시행령제 3 조, 표준개인정보보호지침 제 2 조제 8 호 영상정보처리기기설치및운영범위 2.4.2 초등학교또는특수학교에안전관리및사고예방의목적으로 CCTV 를설치 운영할수있는가? 원칙적으로누구든지공개된장소에영상정보처리기기를설치 운영하여서는안됩니다. 다만예외적으로다음과같은경우에는영상정보처리기기의설치가가능합니다. - 1 법령에서구체적으로허용하고있는경우, 2 범죄의예방및 296 개인정보보호법업무사례집

수사를위하여필요한경우, 3 시설안전및화재예방을위하여필요한경우, 4 교통단속을위하여필요한경우, 5 교통정보의수집 분석및제공을위하여필요한경우 - 안전관리및사고예방은상기의 2번및 3번에해당될수있으므로, 영상정보처리기기의설치 운영이가능합니다. 영상정보처리기기운영자는영상정보처리기기의설치목적과다른목적으로영상정보처리기기를임의로조작하거나다른곳을비춰서는아니되며, 녹음기능은사용할수없습니다. 또한, 영상정보처리기기운영자는 영상정보처리기기운영 관리방침 을마련하여야합니다. 영상정보처리기기운영 관리방침 을마련한경우 개인정보처리방침 ( 개인정보보호법 제30조참조 ) 을정하지않을수있습니다. 영상정보처리기기운영 관리방침에포함될사항 : 1 영상정보처리기기의설치근거및설치목적, 2 영상정보처리기기의설치대수, 설치위치및촬영범위, 3 관리책임자, 담당부서및영상정보에대한접근권한이있는사람, 4 영상정보의촬영시간, 보관기간, 보관장소및처리방법, 5 영상정보처리기기운영자의영상정보확인방법및장소, 6 정보주체의영상정보열람등요구에대한조치, 7 영상정보보호를위한기술적 관리적및물리적조치, 그밖에영상정보처리기기의설치 운영및관리에필요한사항 개인정보보호법 제 25 조, 동법시행령제 20 조및제 25 조 Ⅱ. 개인정보업무처리및응답 297

2.4.3 초과근무수당부정수습사례적발또는교통안전교육등의목적으로 CCTV 를설치 운영할수있는가? 원칙적으로누구든지공개된장소에영상정보처리기기를설치 운영하여서는안됩니다. 다만예외적으로다음과같은경우에는영상정보처리기기의설치가가능합니다. - 1 법령에서구체적으로허용하고있는경우, 2 범죄의예방및수사를위하여필요한경우, 3 시설안전및화재예방을위하여필요한경우, 4 교통단속을위하여필요한경우, 5 교통정보의수집 분석및제공을위하여필요한경우 - 초과근무수당부정수습사례적발또는교통안전교육등은 개인정보보호법 에따라허용되는예외에해당하지않으므로, CC TV의설치 운영이금지됩니다만, 공개된장소 가아닌경우에는이러한목적으로설치 운영이가능합니다. 공개된장소 란공원, 도로, 지하철, 상가내부, 주차장등정보주체가접근하거나통행하는데에제한을받지아니하는장소를말합니다. BTL 방식의학교에설치된 CCTV BTL(Build Transfer Lease) 사업에의한학교에있어서, 건물내에설치된 CCTV관리및운영에대한책임은 2.4.4 어디에있는가? BTL사업은 사회기반시설에대한민간투자법 제4조제2호의 임대형민자사업 을말합니다. - BTL 사업에의해당해시설 ( 학교 ) 은국가 지방자치단체에귀속 298 개인정보보호법업무사례집

하고, 실질적인관리 운영의책임은민간시행사업자가아닌당해시설 ( 학교 ) 에있는것으로보아야합니다. 따라서, BTL사업에의한학교에있어서, 학교내에설치된 CC TV의관리및운영에대한책임은민간사업자가아닌당해시설 ( 학교 ) 에있는것으로보아야하고영상정보처리기기 (CCTV) 의설치 운영에관한사무가 BTL사업자에게위탁된것으로볼것입니다. 이는영상정보처리기기설치 운영사무의위탁에해당하기때문에, 공공기관인학교와민간사업자간에는다음의내용이포함된문서로사무위탁이이루어져야합니다. - 1 위탁하는사무의목적및범위 2 재위탁제한에관한사항 3 영상정보에대한접근제한등안전성확보조치에관한사항 4 영상정보의관리현황점검에관한사항 5 위탁받는자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 - 또한, 영상정보처리기기안내판등에위탁받는자의명칭및연락처를포함시켜야합니다. 임대형민자사업 은사회기반시설의준공과동시에해당시설의소유권이국가또는지방자치단체에귀속되며, 사업시행자에게일정기간의시설관리운영권을인정하되, 그시설을국가또는지방자치단체등이협약에서정한기간동안임차하여사용 수익하는방식을말합니다. - 사업시행자는임대형민자사업방식으로추진되는사회기반시설을실시협약에명시된공개경쟁과정을거쳐결정된총민간사업비의범위에서해당시설의준공후일정기간무상으로사용 수익할수있고 ( 사회기반시설에대한민간투자법 제25조제1항 ), Ⅱ. 개인정보업무처리및응답 299

- 주무관청은사업시행자에게관리운영권 ( 무상으로사용 수익할수있는기간동안해당시설을유지 관리하고시설사용자로부터사용료를징수할수있는사회기반시설관리운영권 ) 을설정할수있습니다 ( 사회기반시설에대한민간투자법 제26조제1항 ) 개인정보보호법 제 25 조및 사회기반시설에대한민간투자법 제 25 조 제 26 조 영상정보처리기기의설치 운영을위한의견수렴 2.4.5 학교에서 CCTV 설치시의견수렴과설명회, 설문조사를해야하는가? 영상정보처리기기를설치 운영하려는공공기관의장은 1 행정절차법 에따른행정예고의실시또는의견청취를거치거나 2 해당영상정보처리기기의설치로직접영향을받는지역주민등을대상으로하는설명회 설문조사또는여론조사를거치는등관계전문가및이해관계인의의견을수렴하여야합니다. - 학교시설내에범죄예방 ( 도난방지 ) 을위하여 CCTV를설치 운영하고자하는경우교직원및학생등이이해관계인에해당할것입니다. 교정시설과정신의료기관 ( 수용시설을갖추고있는것만해당 ), 정신질환자사회복귀시설및정신요양시설에영상정보처리기기를설치 운영하려는자는 1 관계전문가의의견과 2 해당시설에종사하는사람, 해당시설에구금되어있거나보호받고있는사람또는그사람의보호자등이해관계인의의견을수렴하여야합니다. 300 개인정보보호법업무사례집

영상정보처리기기의설치목적변경에따른추가설치등의경우에도관계전문가및이해관계인의의견을수렴하여야합니다 ( 표준개인정보보호지침 제42조 ). 개인정보보호법 제 25 조제 3 항및동법시행령제 23 조, 표준개인정보보호지침 제 42 조 2.4.6 범죄예방의 CCTV 설치 운영을위한공청회에서다수의반대가있거나, CCTV 설치장소인근주민의항의가있는경우설치가불가능한가? 개인정보보호법 은원칙적으로 CCTV의설치 운영을금지하고있습니다만, 범죄의예방및시설안전을위하여필요한경우등에있어서 CCTV의설치 운영을허용하고있습니다. 공공기관등이 CCTV를설치 운영하고자하는경우에는설명회 설문조사또는여론조사등의의견수렴이필수적입니다만, 모든이해관계인또는지역주민의동의를요건으로하지는않습니다. 영상정보처리기기안내판 영상정보처리기기안내판은어떻게설치하여야하는가? 2.4.7 영상정보처리기기운영자 ( 영상정보처리기기를설치 운영하는자 ) 는영상정보처리기기가설치 운영되고있음을정보주체가쉽게알아볼수있도록안내판을설치하여야합니다. - 다만, 건물안에여러개의영상정보처리기기를설치하는경우에는출입구등잘보이는곳에해당시설또는장소전체가영상정보처리기기설치지역임을표시하는안내판을설치할수있습니다. Ⅱ. 개인정보업무처리및응답 301

그러나, 영상정보처리기기가다음의경우에는안내판설치를대신하여인터넷홈페이지에 안내판기재사항 을게재할수있습니다. - 1 공공기관이원거리촬영, 과속 신호위반단속또는교통흐름조사등의목적으로영상정보처리기기를설치하는경우로서개인정보침해의우려가적은경우 - 2 산불감시용영상정보처리기기를설치하는경우등장소적특성으로인하여안내판을설치하는것이불가능하거나안내판을설치하더라도정보주체가쉽게알아볼수없는경우 인터넷홈페이지에 안내판기재사항 을게재할수없으면 1 영상정보처리기기운영자의사업장등 ( 사업장 영업소 사무소 점포등 ) 의보기쉬운장소에게시하는방법또는 2 관보나일반일간신문 일반주간신문 인터넷신문에싣는방법으로공개하여야합니다. 안내판기재사항 은 1 설치목적및장소 2 촬영범위및시간 3 관리책임자의성명및연락처 4 ( 영상정보처리기기설치 운영에관한사무를위탁하는경우 ) 수탁자의명칭및연락처입니다. 안내판은촬영범위내에서정보주체가알아보기쉬운장소에누구라도용이하게판독할수있게설치되어야하며, - 이범위내에서영상정보처리기기운영자가안내판의크기, 설치위치등을자율적으로정할수있습니다. 302 개인정보보호법업무사례집

개인정보보호법 제 25 조제 4 항및동법시행령제 24 조, 표준개인정보보호지침 제 43 조 영상정보처리기기의안전성확보 2.4.8 개인영상정보가분실 도난 유출 변조 훼손되지않도록필요한안전성확보에필요한조치는무엇인가? 영상정보처리기기운영자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적조치를하여야합니다. 개인영상정보의안전성확보를위한조치는다음과같습니다. - 1 개인영상정보의안전한처리를위한내부관리계획의수립 시행 ( 다만, 소상공인 은내부관리계획을수립하지아니할수있음 ) - 2 개인영상정보에대한접근통제및접근권한의제한조치 - 3 개인영상정보를안전하게저장 전송할수있는기술의적용 ( 네트워크카메라의경우안전한전송을위한암호화조치, 개인영상정보파일저장시비밀번호설정등 ) Ⅱ. 개인정보업무처리및응답 303

- 4 처리기록의보관및위조 변조방지를위한조치 ( 개인영상정보의생성일시및열람할경우에열람목적 열람자 열람일시등기록 관리조치등 ) - 5 개인영상정보의안전한물리적보관을위한보관시설마련또는잠금장치설치 교직원및일반인의출입이가능한교육행정실또는교무실등에 CCTV 모니터를설치하는것은 개인영상정보에대한접근통제및접근권한의제한조치 가충분히이루어졌다고보기어렵습니다. 관제센터 ( 영상정보처리기기에의하여전송되는영상정보가실제로열람 재생되는장소 ) 를출입제한구역으로지정하고접근권한이부여된사람외의출입시기록관리되는것이바람직합니다. 개인정보보호법 제 25 조제 6 항및동법시행령제 25 조, 표준개인정보보호지침 제 51 조 영상정보처리기기운영 관리방침 2.4.9 영상정보처리기기운영 관리방침에포함될구체적내용은무엇인가? 영상정보처리기기운영 관리방침 을수립하거나변경하는경우에는정보주체가쉽게확인할수있도록공개하여야합니다. 영상정보처리기기운영 관리방침 을마련한경우에는 개인정보처리방침 을정하지아니하거나, 영상정보처리기기설치 운영에관한사항을 개인정보처리방침 에포함하여정할수있습니다. 304 개인정보보호법업무사례집

영상정보처리기기운영 관리방침 은 1 영상정보처리기기의설치근거및설치목적 2 영상정보처리기기의설치대수, 설치위치및촬영범위 3 관리책임자, 담당부서및영상정보에대한접근권한이있는사람 4 영상정보의촬영시간, 보관기간, 보관장소및처리방법 5 영상정보처리기기운영자의영상정보확인방법및장소 6 정보주체의영상정보열람등요구에대한조치 7 영상정보보호를위한기술적 관리적및물리적조치 8 그밖에영상정보처리기기의설치 운영및관리에필요한사항이포함되어야합니다. 영상정보처리기기운영 관리방침 을마련하는별도의기본지침은없으며, 표준개인정보보호지침 제3장제39조부터제52조까지에영상정보처리기기설치 운영에규정을포함하고있습니다. 개인정보보호법 제 25 조제 7 항및동법시행령제 25 조, 표준개인정보보호지침 제 40 조 영상정보처리기기관리책임자 2.4.10 영상정보처리기기관리책임자의역할은무엇이고, 개인정보보호책임자가겸할수있는가? 영상정보처리기기운영자는개인영상정보의처리에관한업무를총괄해서책임질 개인영상정보보호책임자 를지정하여야합니다. - 개인정보보호책임자 가지정되어있는경우에는그개인정보보호책임자가개인영상정보보호책임자의업무를수행할수있습니다. Ⅱ. 개인정보업무처리및응답 305

개인영상정보보호책임자 는 개인정보보호책임자 의업무에준하여다음의업무를수행합니다. - 1 개인영상정보보호계획의수립및시행 - 2 개인영상정보처리실태및관행의정기적인조사및개선 - 3 개인영상정보처리와관련한불만의처리및피해구제 - 4 개인영상정보유출및오용 남용방지를위한내부통제시스템의구축 - 5 개인영상정보보호교육계획수립및시행 - 6 개인영상정보파일의보호및파기에대한관리 감독 - 7 그밖에개인영상정보의보호를위하여필요한업무 개인정보보호법 제 25 조제 7 항및동법시행령제 25 조, 표준개인정보보호지침 제 41 조 영상정보처리기기영상의파기 2.4.11 영상정보처리기기영상은어떠한경우에어떻게파기하여야하는가? 다른법령에특별한규정이있는경우외에는, 영상정보처리기기운영 관리방침에명시한보관기간이만료한때에는그개인정보를지체없이파기하여야합니다. - 영상정보처리기기운영자가그사정에따라보유목적의달성을위한최소한의기간을산정하기곤란한때에는보관기간을개인영상정보수집후 30일이내로합니다. 개인영상정보는 1 개인영상정보가기록된출력물 ( 사진등 ) 등은파쇄또는소각하고, 2 전자기적 ( 電磁氣的 ) 파일형태의개인 306 개인정보보호법업무사례집

영상정보는복원이불가능한기술적방법으로영구삭제하여파기합니다. 개인정보보호법 제 25 조제 6 항및 표준개인정보보호지침 제 45 조 영상정보의열람 제공 2.4.12 CCTV 영상정보열람은어떤경우에허용되고, 어떤절차로열람시켜주어야하는가? 정보주체는영상정보처리기기운영자가처리하는개인영상정보에대하여열람 존재확인을해당영상정보처리기기운영자에게요구할수있습니다. - 이경우정보주체가열람 존재확인을요구할수있는개인영상정보는정보주체 1 자신이촬영된개인영상정보및 2 명백히정보주체의급박한생명, 신체, 재산의이익을위하여필요한개인영상정보에한합니다. - 공공기관에대한열람 존재확인요구는 개인영상정보열람 존재확인청구서 ( 전자문서를포함한다 ) 로하여야합니다. Ⅱ. 개인정보업무처리및응답 307

- 열람 존재확인요구를받았을때에는, 열람 존재확인요구를한자가본인이거나정당한대리인인지를신분증명서 ( 주민등록증 운전면허증 여권등 ) 를제출받아확인하고, 지체없이필요한조치를취하여야합니다. 반면, 원칙적으로개인영상정보는수집목적이외로이용하거나제3자에게제공해서는안됩니다. 예외적인경우는다음과같습니다. (5~9는공공기관인경우로한정 ) 308 개인정보보호법업무사례집

1 정보주체에게동의를얻은경우 2 다른법률에특별한규정이있는경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인영상정보를제공하는경우 5 개인영상정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7 범죄의수사와공소의제기및유지를위하여필요한경우 8 법원의재판업무수행을위하여필요한경우 9 형 (14) 및감호, 보호처분의집행을위하여필요한경우 각종범법행위 ( 절도 폭행등 ) 또는사고 ( 차량파손 교통사고등 ) 의확인등을목적으로개인이영상자료의열람 제공을요청하는경우에는이를열람 제공할수없습니다. - 다만, 7 범죄의수사와공소의제기및유지를위하여필요한경우또는 8 법원의재판업무수행을위하여필요한경우에는이를열람 제공할수있습니다. 개인정보보호법 제 25 조제 6 항및 표준개인정보보호지침 제 44 조및제 48 조 영상정보처리기기설치 운영의동의필요여부 CCTV 촬영의경우에도동의가필요하는가? 2.4.13 Ⅱ. 개인정보업무처리및응답 309

개인정보보호법 제58조제2항에서는법적용일부제외중의하나로서영상정보처리기기를설치 운영하여처리되는개인정보와관련된내용이규정되어있습니다. - 즉, CCTV를설치 운영하여처리되는개인정보에대하여는 개인정보보호법 제15조 ( 개인정보의수집, 이용 ) 및제22조 ( 동의를받는방법 ) 등이적용되지않기때문에동의가필요하지않습니다. 개인정보보호법 제 58 조제 2 항 310 개인정보보호법업무사례집

3. 개인정보의안전한관리 1) 안전조치의무 개인정보내부관리계획 3.1.1 개인정보보호법 에따라수립 시행하여야하는내부관리계획에포함될내용과작성방법은어떻게되는가? 개인정보처리자는다음사항이포함된내부관리계획을수립 시행하여야합니다. - 1 개인정보보호책임자의지정에관한사항 - 2 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 - 3 개인정보의안전성확보에필요한조치에관한사항 - 4 개인정보취급자에대한교육에관한사항 - 5 그밖에개인정보보호를위하여필요한사항 3 개인정보의안전성확보에필요한조치에관한사항 이란접근권한의관리와비밀번호관리, 접근통제시스템설치 운영, 개인정보의암호화, 접속기록의보관및위 변조방지, 보안프로그램설치및운영, 물리적접근방지등을말합니다. 내부관리계획은전사적인계획내에서개인정보가관리될수있도록최고경영층으로부터내부결재등의승인을받아모든임직원및관련자에게알림으로써이를준수할수있도록하여야합니다. 개인정보내부관리계획목차의예시는다음과같습니다. Ⅱ. 개인정보업무처리및응답 311

제 1 장총칙제 1 조 ( 목적 ) 제 2 조 ( 적용범위 ) 제 3 조 ( 용어정의 ) 제 2 장내부관리계획의수립및시행제 4 조 ( 내부관리계획의수립및승인 ) 제 5 조 ( 내부관리계획의공표 ) 제 3 장개인정보보호책임자의의무와책임제 6 조 ( 개인정보보호책임자의지정 ) 제 7 조 ( 개인정보보호책임자의의무와책임 ) 제 8 조 ( 개인정보취급자의범위및의무와책임 ) 제 4 장개인정보의처리단계별기술적 관리적안전조치제 9 조 ( 개인정보취급자접근권한관리및인증 ) 제 10 조 ( 접근통제 ) 제 11 조 ( 개인정보의암호화 ) 제 12 조 ( 접근기록의위변조방지 ) 제 13 조 ( 보안프로그램의설치및운영 ) 제 14 조 ( 물리적접근제한 ) 제 5 장개인정보보호교육 제 6 장개인정보침해대응및피해구제 개인정보보호법 제29조, 동법시행령제3조제1항, 개인정보의안전성확보조치기준 제24조 312 개인정보보호법업무사례집

3.1.2 내부직원이개인정보처리시스템에서개인정보를유출하는행위를방지하기위하여어떤조치를취하여야하는가? 개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야합니다. - 전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야합니다. - 개인정보처리시스템에접속할수있는사용자계정을발급하는경우, 개인정보취급자별로한개의사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야합니다. 개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야합니다. 개인정보보호책임자및개인정보취급자를대상으로매년정기적으로개인정보보호교육을실시하여야합니다. - 특히, 개인정보취급자가고객의개인정보를훼손 침해 누설할경우에는중벌에처해지므로, 교육시이러한점을개인정보취급자에게인식시키기위해노력해야합니다. - 교육내용에는해당업무를수행하기위한분야별전문기술교육뿐만아니라개인정보보호관련법률및제도, 사내규정등필히알고있어야하는기본적인내용을포함하여교육을실시하도록합니다. 전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야합니다. Ⅱ. 개인정보업무처리및응답 313

개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관하여야합니다. 개인정보취급자 ( 직원등 ) 가개인정보처리시스템에접속한기록을최소 6개월이상보존 관리해야하며, 월 1회이상정기적으로확인 감독하여야합니다. - 접속기록의항목에는개인정보취급자의식별정보, 이용자의식별정보, 접속일시, 접속지, 수행업무등이포함되어야합니다. 3.1.3 개인정보취급자에게실시하여야하는정기교육의필수주기는얼마인가? 개인정보취급자를대상으로실시하여야하는개인정보보호교육은매년마다이루어져야합니다. 3.1.4 개인정보보호법 에따라학교가구성해야조직은무엇이있는가? 개인정보책임자를지정하는외에별도의조직을구성할필요는없습니다. - 다만, 개인정보의분실 도난 유출 변조또는훼손을방지하기위하여개인정보처리시스템에대한접근권한은업무수행목적에따라최소한의범위로업무담당자에게차등부여하고접근통제를위한조치를취해야합니다. 3.1.5 일정규모이상의기관에서개인정보보호업무를전담하는전문가고용의의무가있는가? 개인정보보호법 은의무고용에관한규정은두고있지않습니다. 314 개인정보보호법업무사례집

기술적조치 3.1.6 개인정보처리자의안전성확보조치와관련하여구체적인기준은어떻게되는가? 개인정보의안전한관리를위하여다음의기술적보호조치를강구하여야합니다. - 1 개인정보에대한접근통제및접근권한의제한조치 - 2 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 - 3 개인정보침해사고의발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 - 4 개인정보에대한보안프로그램의설치및갱신등 개인정보보호법 제 29 조동법시행령제 3 조제 1 항, 개인정보의안전성확보조치기준 제 7 조 3.1.7 기술적조치중 암호화조치 는구체적으로어떠한조치를말하는것인가? 비밀번호, 바이오정보, 주민등록번호등과같은주요개인정보가암호화되지않고개인정보처리시스템에저장되거나네트워크를통해전송될경우, 불법적인노출및위 변조등의위험이있으므로암호화등의안전한보호조치가제공되어야합니다. 주민등록번호, 비밀번호, 바이오정보등정보통신망내외부로송 수신할개인정보에대해서는암호화하여야합니다. Ⅱ. 개인정보업무처리및응답 315

- 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있으나, 비밀번호와바이오정보는반드시암호화하여야합니다. - 전용선을이용하여개인정보를송 수신하는경우, 암호화가필수는아니나내부자에의한개인정보유출등을대비해서가급적암호화전송이권장됩니다. 개인정보암호화전송을위해보안서버를활용할수있습니다. 보안서버 란웹서버에 SSL(Secure Sockets Layer) 인증서나암호화소프트웨어를설치하여암호통신을수행하는방식을말합니다. 비밀번호및바이오정보 ( 지문, 홍채등 ) 는암호화하여저장하여야합니다. 단비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야합니다. - 비밀번호 바이오정보가노출또는위 변조되지않도록암호화하여저장하여야하며, 특히비밀번호의경우에는복호화되지않도록일방향 ( 해쉬함수 ) 암호화하여야합니다. - 일방향암호화는저장된값으로원본값을유추하거나복호화할수없도록한암호화방법으로, 인증검사시에는사용자가입력한비밀번호를일방향함수에적용하여얻은결과값과시스템에저장된값을비교하여인증된사용자임을확인합니다. 바이오정보의경우, 복호화가가능한양방향암호화저장이필요하나, 이는식별및인증등의고유기능에사용되는경우로한정되며콜센터등일반민원상담시저장되는음성기록이나일반사진정보는암호화대상에서제외됩니다. 인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Dem ilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야합니다. 316 개인정보보호법업무사례집

- 내부망에고유식별정보를저장하는경우에는 1 ( 개인정보영향평가의대상이되는공공기관의경우 ) 개인정보영향평가의결과또는 2 위험도분석에따른결과에따라암호화의적용여부및적용범위를정하여시행할수있습니다. 개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야합니다. - 안전한암호알고리즘 이란미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의외국및국내외암호연구기관에서권고하는알고리즘을의미합니다. - 고유식별정보와바이오정보는원칙적으로암호화하여야하지만, 시스템운영이나개인식별을위해해당개인정보를활용하는경우암호화 복호화에대한부하가발생할수있기때문에, 주민등록번호등과매핑하여임의의서비스번호를부여해서사용할수있으며임의의서비스번호와매핑되는주민등록번호는암호화하여저장 관리하여야합니다. - 주민등록번호를시스템운영을위한검색키로사용하는경우, 속도등성능을고려하여일부정보만암호화조치를취할수있습니다. 주민등록번호의경우뒷자리 6개번호이상의암호화조치가필요합니다 ( 예시 : 700101-1# &). 3.1.8 기술적조치중 접속기록 은구체적으로몇년동안보관하고있어야하는가? 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을최소 6개월이상보관 관리하여야합니다. Ⅱ. 개인정보업무처리및응답 317

접속기록은어떻게보관하여야하는가? 3.1.9 개인정보처리자는개인정보처리시스템의접속기록이위 변조및도난, 분실되지않도록안전하게보관하여야합니다. 정기적으로접속기록백업을수행하여개인정보처리시스템이외의별도의보조저장매체나별도의저장장치에보관하여야합니다. - 접속기록에대한위 변조를방지하기위해 CD-ROM 등과같은덮어쓰기방지매체를사용하는것이바람직합니다. - 접속기록을수정가능한매체 (HDD 또는테이프등 ) 에백업하는경우에는무결성보장을위해위 변조여부를확인할수있는정보를별도의장비에보관 관리할수있습니다. 접속기록을 HDD에보관하고, 위 변조여부를확인할수있는정보 (HMAC 값또는전자서명값등 ) 는별도의 HDD 또는관리대장에보관하는방법으로관리할수있습니다. 보안프로그램이란무엇을말하는가? 3.1.10 악성프로그램등으로인한개인정보유출등을예방 방지 치료하기위한백신소프트웨어등을말합니다. - 개인정보처리자는보안프로그램을설치 운영함에있어서 1 보안프로그램의자동업데이트기능을사용하거나, 일 1회이상업데이트를실시하고, 2 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를실시하여야합니다. 318 개인정보보호법업무사례집

3.1.11 교내에위치한시스템에있고외부 ( 인터넷 ) 와연결이차단된학교관련사이트의경우에도암호화 (Database 및 SSL) 를적용해야하는가? 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있으나, 비밀번호와바이오정보는반드시암호화하여야합니다. 개인정보처리방침의수립 개인정보처리방침에는어떤내용이포함되어야하는가? 3.1.12 개인정보처리자는다음사항이포함된개인정보처리방침을정하여야합니다. - 1 개인정보의처리목적 - 2 개인정보의처리및보유기간 - 3 개인정보의제3자제공에관한사항 ( 해당되는경우에만 ) - 4 개인정보처리의위탁에관한사항 ( 해당되는경우에만 ) - 5 정보주체의권리 의무및그행사방법에관한사항 - 6 처리하는개인정보의항목 - 7 개인정보의파기에관한사항 - 8 개인정보보호책임자에관한사항 - 9 개인정보처리방침의변경에관한사항 - 10 개인정보의안전성확보조치에관한사항 필수적기재사항이외에 1 정보주체의권익침해에대한구제방법및 2 개인정보의열람청구를접수 처리하는부서를개인정보처리방침에포함할수있습니다. 공공기관은등록대상이되는개인정보파일에대하여개인정보처리방침을정하여야합니다. Ⅱ. 개인정보업무처리및응답 319

개인정보처리방침을작성하는때에는각사항을명시적으로구분하되, 알기쉬운용어로구체적이고명확하게표현하여야합니다. 개인정보의처리목적에필요한최소한의개인정보라는점을밝혀야합니다. 목적에필요한최소한의개인정보이외에개인별맞춤서비스등을위하여처리하는개인정보의항목이있는경우에는양자를구별하여표시하여야합니다. 개인정보보호법 제 30 조제 1 항및동법시행령제 31 조제 1 항, 표준개인정보보호지침 제 36 조부터제 38 조까지 3.1.13 대학자체개인정보처리방침을수립하면서, 관련주요사항만을표시하고 세부사항은 개인정보보호법 에준한다 라고표현하여도가능한가? 개인정보보호법 은개인정보처리방침에포함되어야할필수기재사항을정하고있습니다. - 따라서 세부사항은 개인정보보호법 에준한다 고표현하고, 필수기재사항을생략하는것은허용되지않습니다. 개인정보처리방침의작성예시가있는가? 3.1.14 개인정보보호종합지원포털은 3종 ( 공공기관용및소상공인용, 민간용 ) 의 개인정보처리방침작성예시 를제공하고있습니다. 개인정보보호종합지원포털 (http://www.privacy.go.kr) 자료실 참고자료 320 개인정보보호법업무사례집

개인정보처리방침의공개 3.1.15 개인정보처리방침의공개는어떠한방법으로하여야하는가? 개인정보처리방침을수립하거나변경하는경우에는개인정보처리자의인터넷홈페이지에지속적으로게재하는방법으로정보주체가쉽게확인할수있도록공개하여야합니다. 이경우 개인정보처리방침 이라는명칭을사용하되, 글자크기, 색상등을활용하여다른고지사항과구분함으로써정보주체가쉽게확인할수있도록하여야합니다. 인터넷홈페이지에게재할수없는경우 ( 인터넷홈페이지를운영하지않는경우또는인터넷홈페이지관리상의하자가있는경우등 ) 에는다음의방법으로개인정보처리방침을공개하여야합니다. - 1 위탁자의사업장등 ( 사업장 영업소 사무소 점포등 ) 의보기쉬운장소에게시하는방법 - 2 관보 ( 위탁자가공공기관인경우 ) 나일반일간신문 일반주간신문 인터넷신문에싣는방법 - 3 같은제목으로연 2회이상발행하여정보주체에게배포하는간행물 소식지 홍보지또는청구서등에지속적으로싣는방법 - 4 재화나용역을제공하기위하여위탁자와정보주체가작성한계약서등에실어정보주체에게발급하는방법 이경우 개인정보처리방침 이라는명칭을사용하되, 글자크기, 색상등을활용하여다른고지사항과구분함으로써정보 Ⅱ. 개인정보업무처리및응답 321

주체가쉽게확인할수있도록하여야합니다. 개인정보처리방침을변경하는경우에는변경및시행의시기, 변경된내용을지속적으로공개하여야하며, - 변경된내용은정보주체가쉽게확인할수있도록변경전 후를비교하여공개하여야한다 ( 아래예시참조 ). 개인정보보호법 제 30 조제 2 항및동법시행령제 31 조제 2 항 제 3 항, 표준개인정보보호지침 제 34 조 제 35 조 3.1.16 홈페이지가장기간폐쇄될예정입니다. 어떤방법으로개인정보처리방침을공개하여야하는가? 인터넷홈페이지에게재할수없는경우에는 1 위탁자의사업장등 ( 사업장 영업소 사무소 점포등 ) 의보기쉬운장소에게시하는방법 2 관보 ( 위탁자가공공기관인경우 ) 나일반일간신문 일반주간신문 인터넷신문에싣는방법 3 같은제목으로연 2회이상발행하여정보주체에게배포하는간행물 소식지 홍보지또는청구서등에지속적으로싣는방법 4 재화나용역을제공하기위하여위탁자와정보주체가작성한계약서등에실어정보주체에게발급하는방법으로공개하여야합니다. 322 개인정보보호법업무사례집