< 개인정보처리자의개인정보처리방침 > 비엔피파리바은행서울지점 ( 이하 당행 ) 은개인정보보호법제30조와정보통신망이용촉진및정보보호에관한법률제27조의2에따라정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은처리방침을둔다. 정보주체 라함은처리되는정보에의하여식별될수있는사람으로서그정보의주체가되는사람을말한다. 제 1 조 ( 개인정보보호원칙 ) 개인정보보호법제 3 조에명시된바와같이개인정보처리자는다음과같은개인정보 보호원칙을준수해야한다. 1. 개인정보처리자는개인정보의처리 ( 개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그밖에이와유사한행위 ) 목적을명확히해야하고그목적에필요한범위에서최소한의개인정보만을적법하고정당하게수집해야한다. 2. 개인정보처리자는개인정보의처리목적에필요한범위에서적합하게개인정보를처리해야하며그목적용도외의용도로사용해서는안된다. 3. 개인정보처리자는개인정보의처리방법및종류등에따라정보주체의권리가침해받을가능성과그위험정도를고려하여개인정보를안전하게관리해야한다. 4. 개인정보처리자는정보주체의사생활침해를최소화하는방법으로개인정보를취급해야한다. 5. 개인정보처리자는개인정보의익명처리가가능한경우에는익명으로처리될수있도록해야한다. 제 2 조 ( 개인정보의처리목적 ) 당행은개인정보를다음각호의목적을위해처리 ( 개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그밖에이와유사한 행위 ) 한다. 처리한개인정보는그목적외의용도로는사용해서는안되며이용목적이 1
변경될때에는관련법령상허용되는경우가아닌한, 정보주체의사전동의를구해야 한다. 1. 임직원관리 - 인력관리 : 채용, 배치, 부서이동, 퇴직, 승진, 평가, 보상, 상벌, 징계, 교육훈련, 직원명부작성, 그룹인사관리시스템입력, 그룹인트라넷등록등 - 경력관리 : 재직증명서 경력증명서등직원의요청에따라당행근무 / 재직사실 관련증명서의발급및해당사실의확인등 - 급여관리 : 기본급, 상여금, 기타수당, 퇴직금 ( 퇴직보험포함 ) 등 - 세금 / 보험처리 : 소득세등세금의원천징수와납부, 법정사회보험의가입 / 해지 - 복리후생 : 건강검진, 의료지원, 휴가 병가, 단체보험, 기타보험, 경조금지급등 - 근로관계법규준수및근로계약의이행 : 고용계약의이행, 취업규칙등당행 제반내부규정의준수, 임직원에대한균등한처우와기회의제공, 보훈대상자 확인및처우제공, 고용관련법규, 산업안전 보건관련법규, 외국인근로자관련 법규등에의거하여당행에부과되는모든법적 행정적의무의준수등 - 보안관련 : 당행에서처리되는정보의보호, 보안시스템의유지 향상 점검, 사내에서발생가능한범죄, 비리등의예방및증거수집, 연락처공유와 비상연락망구축등 - 기타국내외법령의준수 : 기타금융기관으로서준수하여야할국내외의법령 준수및외국계열사의외국법령준수, 국내외의정부, 금융감독기관의감독행위에 대한협조등 2. 법인고객과의금융거래 ( 법인고객의임직원정보처리관련 ) - 금융거래의설정여부의판단및금융거래관계의설정, 유지, 이행및관리등 - 금융사고조사, 분쟁해결, 민원처리등 - 자금세탁방지법관련법규및 / 또는금융관련당국의지도사항을준수하기위한경우등 제 3 조 ( 처리하는개인정보의항목 ) 당행이제 2 조에규정된목적을달성하기위해처리하는개인정보의항목은다음과같다. 2
1. 임직원의경우 < 필수적정보 > - 성명, 사진, 주민등록번호, 외국인등록번호, 여권번호등고유식별정보와 국적, 주소, 전자우편주소, 전화번호등개인식별정보 - 근로관계 유지 목적상의 인사 관리 정보, 즉 입사지원서, 주민등록등본, 가족관계증명서 등 입사지원시 제출한 서류상의 기재정보와 직원고유번호, 소속부서, 직책, 직무, 근태및업무평가정보, 직무상비위행위정보, 징계정보, 퇴직정보등근로관계에따라발생 생성 수집된인사관리정보, 상벌, 징계및 평정을위해합리적으로필요한정보, - 복리후생등급여와직무상비위행위확인목적을위한금융기관계좌번호등 - 회사내 CCTV를이용하여수집한영상등 < 선택적정보 > - 학력 ( 학교, 전공, 입학및졸업연도, 졸업여부, 학점등 ), 경력 ( 근무지, 직책, 담당업무, 근무연한등 ), 자격, 수상 / 징계내역등 - 주거및가족사항, 세대구성, 결혼여부, 가족관계 ( 가족과의관계, 성명, 연령, 직업, 동거여부, 가족의주민등록번호포함 ), 보훈사항, 병역사항, SNS계정, 취미등 - Personal Account Dealing 내역 ( 해당되는임직원에한함 ) < 민감정보 > - 건강관련정보 2. 법인고객의임직원의경우 - 당행의기업금융업무에필요한범위의법인고객의임직원정보, 즉이름, 직책, 주민등록번호, 주소, 등 제 4 조 ( 개인정보의수집 이용 ) 개인정보는다음의각경우에수집될수있으며, 그수집목적의범위에서이용될수있다. - 정보주체의동의를받은경우 - 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 3
- 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 제 5 조 ( 개인정보의처리및보유기간 ) 제 2 조에기재한목적으로수집된정보주체의개인정보는위에기재한수집 이용의목적을 달성할때까지보유 이용하며, 법령에따라해당개인정보를보존해야할필요가없다고 확인된때에는파기해야한다. 제 6 조 ( 개인정보의제공 ) 다음각호의어느하나에해당하는경우에는정보주체의개인정보를제3자에게제공 ( 공유를포함 ) 할수있다. - 정보주체의동의를받은경우 - 제4조제2항및제4항따라개인정보를수집한목적범위에서개인정보를제공하는경우 제 7 조 ( 개인정보수집 이용 제공에관한동의및동의서 ) 제 4 조제 1 항및제 6 조제 1 항에따른동의를받을때에는다음각호의사항을 정보주체에게설명하고서면동의를받아야한다. 다음각호의어느하나의사항을 변경하는경우에도정보주체에게이를알리고동의를받아야한다. 1. 개인정보의수집 이용목적 ( 제3자에게제공시에는제공받는자의이용목적을의미한다 ) 2. 수집 이용또는제공하는개인정보의항목 3. 개인정보의보유 이용기간 ( 제3자에게제공시에는제공받는자의보유 이용기간을의미한다 ) 4. 개인정보를제공받는자 5. 동의거부권리및동의거부에따른불이익이있는경우에는그불이익의내용 개인정보의수집 이용 제공목적이나수집 이용 제공항목, 개인정보의보유 이용기간중의 4
어느하나의사항을변경하는경우에도정보주체에게이를알리고동의를받아야한다. 동의서의양식은정보주체의유형, 즉직원 ( 별첨 1), 입사지원자 ( 별첨 2), 법인고객의임직원 ( 별첨 3) 등에따라취급되는개인정보에맞추어만들도록한다. 제 8 조 ( 개인정보의이용 제공제한 ) 개인정보처리자는개인정보를제4조에따른범위를초과하여이용하거나제6조에따른범위를초과하여제3자에게제공해서는안된다. 그럼에도불구하고다음각호의어느하나에해당하는경우에는정보주체또는제3자의이익을부당하게침해할우려가있을때를제외하고는개인정보를목적외의용도로이용하거나제3자에게제공할수있다. - 정보주체로부터별도의동의를받은경우 - 다른법률에특별한규정이있는경우 - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 - 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 위의각경우에해당하여개인정보를목적외의용도로제3자에게제공하는경우에는개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의안정성확보를위하여필요한조치를마련하도록요청해야하고, 이경우요청을받은자는개인정보의안전성확보를위하여필요한조치를해야한다 ( 개인정보보호법제18조제5항 ). 제 9 조 ( 정보주체이외로부터수집한개인정보의수집출처등고지 ) 정보주체이외로부터수집한개인정보를처리하는경우에는정보주체의요구가있으면정당한사유가없는한즉시개인정보의수집출처, 처리목적및개인정보보호법제37조에따른개인정보처리의정지를요구할권리가있다는사실을정보주체에게알려야한다. 5
그러나고지로인해다른사람의생명, 신체를해할우려가있거나다른사람의재산과그 밖의이익을부당하게침해할우려가있는경우와, 고지요구대상이되는개인정보가 개인정보보호법제32조제2항각호의어느하나에해당되는개인정보파일, 즉아래에 열거된 개인정보파일에 포함되어 있는 경우에는 이 규정이 적용되지 않는다. 단 개인정보보호법에따른정보주체의권리보다명백히우선하는경우에한한다. - 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한 개인정보파일 - 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보호관찰처분과출입국관리에관한사항을기록한개인정보파일 - 조세범처벌법 이나 관세법 에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 - 공공기관의내부적업무처리만을위하여사용되는개인정보처리파일 - 다른법령에따라비밀로분류되는개인정보파일 제 10 조 ( 개인정보처리의위탁 ) 1. 개인정보의처리업무를제3자에게위탁하는경우에는다음각호의내용이포함된문서에의하여야한다. - 위탁업무수행목적외개인정보의처리금지에관한사항 - 개인정보의기술적 관리적보호조치에관한사항 - 그밖에개인정보의안전한관리를위해대통령령으로정한사항 2. 제1항에따라개인정보의처리업무를위탁하는개인정보처리자 ( 위탁자 ) 는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자 ( 수탁자 ) 를정보주체가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개해야한다 ( 별첨 개인정보의수집 이용 제공동의서 에명시된내용참조 ) 3. 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지않도록수탁자를교육하고, 처리현황점검등대통령령으로정하는바에따라수탁자가개인정보를안전하게처리하는지를감독해야한다. 4. 수탁자가변경된때에는은행이메일이나은행인트라넷, 또는개인정보처리방침의변경등을통해고지한다. 6
제 11 조 ( 개인정보의파기 ) 1. 개인정보의보유기간이경과되었거나, 개인정보의처리목적이달성되어그개인정보가불필요하게되었을때에는, 다른법령에따라보존하여야하는경우를제외하고는, 지체없이그개인정보를파기해야한다. 2. 개인정보가기록된출력물, 서면등은파쇄또는소각의방법으로파기하고, 전자적파일형태의개인정보는복원이불가능한방법으로영구삭제한다. 3. 제1항의단서조항에따라개인정보를파기하지않고보존해야하는경우에는해당개인정보또는개인정보파일을다른개인정보와분리하여저장 관리해야한다. 제 12 조 ( 개인정보처리의안전조치 ) 개인정보보호법제29조에따라개인정보가분실 도난 유출 변조또는훼손되지않도록다음과같이안전성확보에필요한기술적 / 관리적및물리적조치를해야한다. 1. 개인정보를취급하는직원을최소한으로지정하고개인정보의적정한취급 관리에필요한교육을실시해야한다. 2. 개인정보처리의안정성확보를위해정기적인자체감사를실시해야한다 ( 연 1회 ). 3. 개인정보파일은비밀번호를이용하여저장 관리해야하며전송데이터는솔루션을이용하여암호화하는등의별도보안기능을사용해야한다. 4. 해킹이나컴퓨터바이러스등에의한개인정보유출및훼손을막기위하여보안프로그램 / 장치를설치하고주기적인갱신및점검을하며외부로부터접근이통제된구역에시스템을설치하고기술적 / 물리적으로감시및차단해야한다. 5. 개인정보에대한접근을통제하기위하여, 개인정보를처리하는데이터베이스시스템 / 파일시스템에대한접근권한을필요할때마다부여, 변경, 말소해야하며침입차단시스템을이용하여외부로부터의무단접근을통제해야한다. 6. 개인정보처리시스템에접속한기록을최소 6개월이상보관, 관리해야하며, 접속기록이위 변조및도난 분실되지않도록보안기능을사용해야한다. 7. 개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관해야한다. 8. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등 7
물리적조치를수립, 운영해야한다. 제 13 조 ( 개인정보보호 관리책임자지정 ) 1. 개인정보를보호하고개인정보와관련한고충처리를포함한개인정보업무를 총괄하기 위하여 개인정보보호법 제31조 제1항에 따른 개인정보 보호책임자와 정보통신망이용촉진 및 정보보호에 관한 법률 제27조 제1항에 따른 개인정보 관리책임자를지정해야한다. 개인정보보호책임자 개인정보관리책임자 1 소속 / 직책 PRD PRD 성명 노재현 노재현 전화번호 /FAX 02-317-1964 02-317-1964 2. 개인정보열람청구를접수 처리하는부서및담당자는다음과같다. 담당부서 직책 성명 전화번호 /FAX 인사부 본부장 백복실 02-317-1917 / 02-774-2874 고객서비스관리팀 대리 정유나 02-317-1971 3. 개인정보보호책임자, 개인정보관리책임자및개인정보열람청구담당자를 지정하거나변경하는경우그지정및변경사실, 성명과부서의명칭, 전화번호등 연락처를이개인정보처리방침의변경등을통해고지해야한다. 제 14 조 ( 개인정보유출통지 ) 개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게다음의사항을알려야하며, 유출로인한피해를최소화하기위한대책을마련하고필요한조치를하여야한다. - 유출된개인정보의항목 1 정보통신망이용촉진및정보보호등에관한법률제 27 조에따른개인정보관리책임자를지정한경우에는개 인정보보호책임자를별도로두지않을수있으므로그러한경우에는동일인임을표시한다.( 예 : 개인정보보호 책임자겸개인정보관리책임자 ) 8
- 유출된시점과그경위 - 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 - 대응조치및구제절차 - 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 제 15 조 ( 정보주체의권리 의무및그행사방법 ) 1. 정보주체는 당행이 처리하는 자신 및 14세 미만 아동 ( 법정대리인만 해당 ) 의 개인정보의열람을요구할수있다. 2. 자신의개인정보를열람한정보주체는사실과다르거나확인할수없는개인정보에 대하여당행에정정또는삭제를요구할수있다. 다만, 다른법령에서그개인정보가 수집대상으로명시되어있는경우에는그삭제를요구할수없으며당행은지체없이 그내용을정보주체에게알려야한다. 3. 정보주체가개인정보의오류에대한정정및삭제를요청한경우에는다른법령에 특별한절차가규정되어있는경우를제외하고는지체없이그개인정보를조사하여 정보주체의요구에따라수정한후그결과를정보주체에게알려야한다. 개인정보를 조사할경우필요하면해당정보주체에게정정 삭제요구사항의확인에필요한 증거자료를제출하게할수있다. 개인정보를삭제할때에는복구또는재생되지 않도록조치해야한다. 4. 정보주체는당행에대하여자신의개인정보처리의정지를요구할수있다. 다만 다음각호의어느하나에해당하는경우에는당행은해당사유를정보주체에게 알리고, 처리정지요구를거절할수있다. - 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 - 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의 이익을부당하게침해할우려가있는경우 - 개인정보를처리하지아니하면정보주체와약정한서비스를제공하지못하는등 계약의이행이곤란한경우로서정보주체가그계약의해지의사를명확하게 밝히지아니한경우 5. 정보주체가개인정보의열람요청및열람요청에대해거절당했을경우이의 제기의구체적인방법과절차는제13조개인정보보호 관리책임자지정에명시된 9
담당자및담당부서에게문의하면된다. 제 12 조 ( 개인정보처리방침의변경 ) 이개인정보처리방침은 2012 년 4 월부터적용되며, 법령및방침에따른변경내용의추가, 삭제및정정이있는경우에는변경사항의시행 7 일전부터이메일등을통하여 관계당사자에게고지해야한다. 제 13 조 ( 권익침해구제방법 ) 정보주체는개인정보침해로인한신고나상담이필요한경우아래기관에문의할수있다. 1. 개인정보분쟁조정위원회 2. 한국인터넷진흥원개인정보침해신고센터 (www.kopico.or.kr/02-1336) 3. 정보보호마크인증위원회 (www.eprivacy.or.kr/02-580-0533~4) 4. 대검찰청첨단범죄수사과 (www.spo.go.kr/02-3480-2000) 5. 경찰청사이버테러대응센터 (www.ctrc.go.kr/02-392-0330) 10