인사 노무분야에서의개인정보처리 2016. 6. 30.
I. 개인정보보호의현주소및개인정 보보호법의주요내용 2
개인정보보호의현주소 시기 유출기관 유출규모 ( 만명 ) 유형 2008. 2. 옥션 1,863 해킹 2008. 9. GS칼텍스 1,150 내부 2010. 3. 신세계몰, 아이러브스쿨등 25개 2,000 해킹 2011. 1. 현대캐피탈 175 해킹 2011. 7. SK커뮤니케이션즈 3,500 해킹 2011. 11. 넥슨 1,800 해킹 2012. 5. EBS 400 해킹 2012. 7. KT 873 해킹 2014. 1. 카드 3사 (KB, 롯데, 농협 ) 8,356 내부 2014. 2 ( 의사, 치과의사, 한의사 ) 협회 3개소 15 해킹 2014. 6. ( 천재교육등 ) 교육업체4개소 463 해킹 2014. 7. 제과업체 52 해킹 2015. 3. i-pin 부정발급 75 해킹 2015. 9. 뽐뿌 190 해킹 1 인당 3.7 회 3
개인정보유출신고현황 연도 2012 2013 2014 신고건수 ( 건 ) 27 23 72 2014 년개인정보유출사고관련금융회사행정처분내용 금융회사기관행정처분내용임직원행정처분내용 한국씨티은행 한국 SC 은행 KB 국민카드 롯데카드 농협은행 ( 농협카드 ) 기관경고, 과태료 600 만원부과 기관경고, 과태료 600 만원부과 업무일부정지 3 개월, 과태료 600 만원부과 업무일부정지 3 개월, 과태료 600 만원부과 업무일부정지 3 개월, 과태료 600 만원부과 감봉 3 월 5 명, 주의적경고 1 명, 견책 2 명, 주의 1 명 문책경고 1 명, 정직 3 월 2 명, 감봉 3 월 5 명, 주의적경고 1 명, 견책 1 명, 주의 1 명 해임권고 1 명, 면직 1 명, 정직 3 월 1 명, 감봉 3 월 6 명, 주의적경고 2 명, 견책 4 명, 주의 2 명, 퇴직자위법사실통지 2 명 해임권고 1 명, 면직 1 명, 정직 3 월 4 명, 감봉 3 월 7 명, 문책경고 1 명, 주의적경고 2 명, 견책 4 명 주의적경고상당 2 명, 정직 3 월 2 명, 감봉 3 월 5 명 출처 : 개인정보보호위원회, 2015 개인정보보호연차보고서 4
개인정보침해신고상담건수 122,215 166,801 177,736 158,900 152,151 출처 : 국가지표체계 2011 2012 2013 2014 2015 개인정보침해신고상담건수 [ 단위 : 건 ] 2011 2012 2013 2014 2015 - 개인정보무단수집 1,623 3,507 2,634 3,923 2,442 - 개인정보무단이용제공 1,499 2,196 1,988 2,242 3,585 - 주민번호등타인정보도용 67,094 139,724 129,103 83,126 77,598 - 회원탈퇴또는정정요구불응 662 717 674 792 957 - 법적용불가침해사례 38,172 12,915 35,284 57,705 60,480 - 기타 13,165 7,742 8,053 11,112 7,089 5
개인정보보호법의개정및주요내용 2011. 3. 29. 공포 ( 법률제 10465 호 ) [ 시행일유예 ] 2011. 9. 30. 부터시행 인터넷홈페이지회원가입시주민등록번호대체수단의제공및미제공자에대한과태료부과조항은 2012. 3. 30. 부터시행 2013. 3. 23. 정부조직법개정에따른법률개정 ( 법률제 11690 호 ) 2013. 8. 6. 개정 ( 법률제 11990 호 ) [ 주요내용 ] 주민등록번호의처리제한규정 ( 제 24 조의 2) 및위반자에대한과태료부과규정 ( 제 75 조제 2 항제 5 호 ) 신설 주민등록번호의분실 도난등에대한 5 억원이하의과징금부과규정신설 ( 제 34 조의 2) 과징금부과시과태료부과금지규정신설 ( 제 76 조 ) 2014. 8. 7. 부터시행함. 2014. 3. 24. 개정 ( 법률제 12504 호 ) [ 주요내용 ] 법의목적을 개인정보의처리및보호에관한사항을정함으로써개인의자유와권리를보호 로구체화 처리 의개념에 연계, 연동 추가 다른법률과의관계에서예시된법률삭제 주민등록번호의안전한보관, 암호화적용대상및대상별적용시기의대통령령위임 법률제 11990 호에의하여개정된제 24 조의 2 및제 75 조제 2 항제 5 호의개정규정은 2016. 1. 1. 부터시행함. 6
2014. 11. 19. 정부조직법개정에따른법률개정 ( 법률제 12844 호 ) 2015. 7. 24. 개정 ( 법률제 13423 호 ) [ 주요내용 ] 개인정보보호위원회의기능강화 - 정책ㆍ제도개선권고권및이행점검권, 자료제출요구권, 개인정보분쟁조정위원위촉권부여 ( 제 8 조제 4 항ㆍ제 5 항, 제 8 조의 2, 제 11 조제 1 항, 제 40 조제 3 항ㆍ제 4 항및제 63 조제 4) 징벌적손해배상제및법정손해배상제신설 ( 제 39 조제 3 항ㆍ제 4 항및제 39 조의 2) 개인정보보호인증기관의지정및지정취소의법적근거신설 ( 제 32 조의 2) 부정한수단이나방법으로취득한개인정보를영리또는부정한목적으로제 3 자에게제공한자에대한처벌및개인정보불법유통등으로인한범죄수익의몰수ㆍ추징신설 ( 제 70 조각호및제 74 조의 2) 제 8 조제 1 항, 제 8 조의 2, 제 9 조, 제 11 조제 1 항, 제 32 조의 2, 제 39 조제 3 항 제 4 항, 제 39 조의 2, 제 40 조, 제 75 조제 2 항제 7 호의 2 의개정규정은 2016. 7. 25. 부터시행 법률제 12504 호에의하여개정된제 24 조의 2 제 2 항전단및제 75 조제 2 항제 4 호의 3 의개정규정은 2016.1.1. 부터시행 2016. 3. 29. 개정 ( 법률제 14107 호 ) [ 주요내용 ] 대통령령으로정하는기준에해당하는개인정보처리자의정보주체이외로부터개인정보를수집하여처리하는때정보주체에게수집출처ㆍ처리목적등을고지의무신설 ( 제 20 조제 2 항 - 제 4 항까지신설 ) 개인정보처리자에대한민감정보의안전성확보조치의무신설 ( 제 23 조제 2 항 ) 행정자치부장관에의한개인정보처리자의고유식별정보처리시안전성확보조치의무이행의정기적조사권신설 ( 제 24 조제 4 항및제 5 항 ) 7
[ 주요내용 ] 주민등록번호를수집할수있는법령의범위를법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙및감사원규칙으로한정함 ( 제 24 조의 2 제 1 항제 1 호 ) 개인정보보호책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭ㆍ연락처와인터넷접속정보파일등개인정보자동수집장치의설치ㆍ운영및그거부에관한사항을개인정보처리방침에포함하도록함 ( 제 30 조제 1 항 ). 개인정보보호위원회의주민등록번호처리와관련된법률 대통령령 국회규칙 대법원규칙 헌법재판소규칙 중앙선거관리위원회규칙및감사원규칙의제정 개정현황보고의무신설 ( 제 67 조제 2 항제 5 호 ) 제 24 조의 2 제 1 항제 1 호및제 67 조제 2 항제 5 호의개정규정은 2017. 3. 30. 부터시행 제 30 조제 1 항의개정과관련하여개인정보처리방침의개정은 2016. 9. 29. 까지할것. 개인정보보호법의구성 현행개인정보보호법은본문 9 장 79 조, 부칙으로구성됨. ( 제 1 장총칙, 제 2 장개인정보보호정책의수립등, 제 3 장개인정보의처리, 제 4 장개인정보의안전한관리, 제 5 장정보주체의권리보장, 제 6 장개인정보분쟁조정위원회, 제 7 장개인정보단체소송, 제 8 장보칙, 제 9 장벌칙 ) 8
개인정보처리단계별주요내용 개인정보안전성확보조치 ( 관리적 기술적 물리적안전조치 ) 수집이용 개인정보수집 이용의제한 ( 필요한최소한의정보수집등 ) 민감정보 고유식별정보 ( 주민등록번호 ) 처리제한 영상정보처리기기설치 운영 개인정보처리방침공개 개인정보보호책임자지정 개인정보파일등록 ( 공 ) 관리 제공위탁 개인정보의제 3 자제공, 목적외이용 제공금지 개인정보처리업무위탁, 영업양도등개인정보이전 개인정보영향평가 ( 공 ) 파기 개인정보파기 ( 보유 ) 기간 ) 권리보장 개인정보유출통지 신고및개인정보침해신고 개인정보열람, 정정 삭제, 처리정지권 개인정보분쟁조정위원회및집단분쟁조정, 단체소송 9
다른법률과의관계 개인정보보호법 은일반법이므로다른법률에특별한규정이있는경우를제외하고는 개인정보보호법 적용 근로기준법, 고용보험법, 고용보험및산업재해보상보험의보험료징수등에관한법률, 고용상연령차별금지및고령자고용촉진에관한법률, 고용정책기본법, 근로복지기본법, 산업안전보건법등에따른개인정보수집 이용, 제공등개인정보처리의경우해당법률이우선적용 그렇지만, 해당법률의위임을받지않은시행령, 시행규칙, 고시등이개인정보처리에관하여규정하고있는경우에는우선적용에서제외함. 관계법령에규정되지않은사항은 개인정보보호법 에따라처리 개인정보의안전조치의무, 업무위탁에따른개인정보의처리제한등은모든인사 노무담당자도지켜야하는기준으로개인정보보호법을준수하여야함. 10
II. 인사 노무분야에서의개인정보의 처리원칙 11
개인정보보호법의주요개념 처 리 개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그밖에이와유사한행위 정보주체 개인정보파일 개인정보처리자 개인정보취급자 처리되는정보에의해알아볼수있는그정보의주체가되는사람 국적이나신분에관계없이국민은물론외국인도정보주체가되며, 소비자, 근로자, 환자, 학생, 교사, 군인, 공무원, 피의자, 죄수, 행정조치대상자등도정보주체가됨. 개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보집합물 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등 업무 란직업상또는사회생활상의지위에기하여계속적으로종사하는사무나사업의일체를의미하는것으로보수유무나영리여부와는관계가없으며, 단 1 회의행위라도계속 반복의의사가있다면업무로이해하여야함. 개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는사람으로서직접개인정보에관한업무를담당하는사람과그밖에업무상필요에의해개인정보에접근하여처리하는모든사람 12
영상정보처리기기 일정한공간에지속적으로설치되어사람또는사물의영상등을촬영하거나이를전송하는장치 폐쇄회로텔레비전 (CCTV), 네트워크카메라 개인영상정보 고유식별정보 민감정보 영상정보처리기기에의하여촬영 처리되는영상정보중개인의초상, 행동등사생활과관련된영상으로서해당개인의동일성여부를식별할수있는정보 법령에따라개인을고유하게구별하기위하여부여된식별정보로서주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를말함. 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보 유전자검사등의결과로얻어진유전정보, 범죄경력자료에해당하는정보 " 범죄경력자료 " 란수사자료표가운데 1 벌금이상의형의선고, 면제및선고유예, 2 보호감호, 치료감호, 보호관찰, 3 선고유예의실효, 4 집행유예의취소, 5 벌금이상의형과함께부과된몰수, 추징 ( 追徵 ), 사회봉사명령, 수강명령 ( 受講命令 ) 등의선고또는처분에해당하는사항에관한자료를말함 ( 형의실효등에관한법률제 2 조제 5 호 ). 13
살아있는개인에관한정보 생존한자연인에관한정보예외 ) 사망자의개인정보가사망자와유족과의관계를나타내는정보이거나유족등의사생활을침해하는등의경우에는보호대상 특정개인과의관련성 특정개인에대한사실, 판단, 평가등개인을특정할수있는정보 특정개인을알수없고, 통계적으로변환된정보는제외 ( 직원수, 평균재직년수, 평균연봉, 평균근무평정점수등 ) 개인정보의임의성 정보주체를알아볼수있는모든종류ㆍ형태ㆍ성격ㆍ형식의정보 객관적정보 - 나이, 키, 체중, 주소, 전화번호등 주관적정보 - 신용도평가, 근무평가, 근무평정점수, 직무태도등 개인에관한부정확한정보또는거짓정보도포함. 식별가능성 ( 개인을알아볼수있는정보 ) 특정정보또는정보의결합등을통하여특정자연인을다른자연인과구별할수있는정보 각각의정보를결합하는수단ㆍ방법이합리 적으로이루어질수있으면 쉽게결합하여 14 알아볼수있는정보 에해당함.
1) 회사에서업무효율성을높이기위해협력사및거래처에대한정보를체계적으로관리하려고합니다. 회사에서관리하고자하는정보는법인및개인사업자의사업자등록번호, 사업장주소, 사업장전화번호, 대표자성명입니다. 이것도개인정보에해당합니까? 2) 회사에서직원의개인정보파일을만들려고하는데직원들의이메일이나전화번호도개인정보에해당합니까? 개인정보는살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보뿐만아니라, 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것은모두개인정보에포함됨. 개인정보보호법은생존하고있는자연인에대한개인정보를보호대상으로하고있음. 자연인이아닌법인이나사업체 ( 개인사업자포함 ) 의정보는원칙적으로개인정보보호법상보호대상인개인정보에해당하지않음. 다만, 대표자의성명이법인이나사업체의정보로서가아니라자연인으로서의개인정보로처리되는경우또는마케팅목적으로이용되는경우에는개인정보보호법에따른개인정보에포함될수있음. 그렇지만, 직원의이메일이나전화번호는개인정보에해당함. 기업의경우고객가운데특정개인을구분할수있는정보 이름, ID, 결재정보, 주소및연락처, 소비패턴등 는개인정보임에주의하여야함. 다만, 한가지정보만으로는개인을특정할수없다고하더라도다른정보와쉽게 ( 합리적으로 ) 결합하거나조합하여특정개인을구분할수있다면개인정보에해당함. 15
개인정보보호책임자란? 개인정보처리자의개인정보처리에관한업무를총괄해서책임지거나업무처리를최종적으로결정하는자로서, 개인정보처리자가지정한자를말함. 민간부문의개인정보보호책임자는다음의사람이함. 사업주또는대표자 개인정보보호책임자 개인정보처리관련업무를담당하는부서의장또는개인정보보호에관한소양이있는사람 개인정보보호에관한소양이있는사람 이란관련개인정보처리업무경험이있는자로서, 개인정보보호를위한관리적 기술적 물리적보호조치를할수있는자를말함. 예외 ) 1친목단체, 2정보통신망법제27조에따라개인정보관리책임자를지정한경우 개인정보보호책임자의업무 1 개인정보보호계획의수립및시행 2 개인정보처리실태및관행의정기적인조사및개선 3 개인정보처리와관련한불만의처리및피해구제 4 개인정보유출및오용 남용방지를위한내부통제시스템의구축 5 개인정보보호교육계획의수립및시행 6 개인정보파일의보호및관리 감독 7 법제 30 조에따른개인정보처리방침의수립 변경및시행 8 개인정보보호관련자료의관리 9 처리목적이달성되거나보유기간이지난개인정보의파기 16
개인정보보호책임자의공개 개인정보보호책임자의권한과의무 CPO 의 지정사실 CPO 의 변경사실 고충처리 상담처리가능연락처 개인정보보호책임자공개사항 성명 부서의명칭 전화번호 17
개인정보의수집 이용 개인정보의 수집 이란근로자등정보주체로부터직접이름, 주소, 전화번호등의정보를제공받는것뿐만아니라근로자등정보주체에관한모든형태의개인정보를취득하는것을말함. 개인정보수집허용사유 근로자등정보주체의동의를받은경우 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 근로기준법에따른근로자명부및임금대장의작성등 근로계약의체결및이행을위하여불가피하게필요한경우 채용예정직위의직무특성에따른필요정보, 예를들면, 경력, 자격, 학력, 연락처등은동의없이수집가능 그렇지만, 학력또는경력등이요구되지않는단순노무등직위채용의경우학력등은필요정보가되지않음. 근로자등정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히근로자등정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 이사유가해소된때에는개인정보의처리를즉시중단하여야하며, 정보주체에게사전동의없이개인정보를수집또는이용한사실, 그사유와이용내역을알려야함. 18
사용자의정당한이익을달성하기위하여필요한경우로서명백하게근로자등정보주체의권리보다우선하는경우. 민사또는형사소송의제기및수행, 징계등 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 정보주체의동의를받을때알려야하는사항 1. 개인정보의수집 이용목적 2. 수집하려는개인정보의항목 3. 개인정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 5. 필요한최소한의정보외의개인정보수집에는동의하지아니할수있다는사실 필요한최소한의개인정보수집의입증책임은사용자에게있음. 필요한최소한의개인정보수집에동의하지않았다는이유로근로자등에게인사조치등불이익한처우를하여서는아니됨. 19
우리회사는음식물을생산 판매하는회사로 전자상거래법 에따라소비자의불만또는분쟁을처리하기위하여소비자식별정보및분쟁처리기록을 3 년간, 그리고계약내용및그이행등에관한기록을 5 년간보존하고있습니다. 이경우고객의동의없이수집할수있습니까? 전자상거래법 은인터넷쇼핑몰사업자에게전자상거래및통신판매에서의표시 광고, 계약내용및그이행등거래에관한기록을상당한기간보존하고, 소비자가쉽게거래기록을열람 보존할수있는방법을제공하여야함. 그결과 1 표시ㆍ광고에관한기록은 6 개월, 2 계약또는청약철회등에관한기록은 5 년, 3 대금결제및재화등의공급에관한기록은 5 년, 4 소비자의불만또는분쟁처리에관한기록은 3 년간보존하여야함. 또한인터넷쇼핑몰사업자사업자가보존하여야할거래기록및그와관련된개인정보 - 성명 주소 전자우편주소등거래의주체를식별할수있는정보로한정한다 - 는소비자가개인정보의이용에관한동의를철회하는경우에도 정보통신망법 등개인정보보호와관련된법률의규정에도불구하고이를보존할수있음 ( 전자상거래법제 6 조, 시행령제 6 조 ). 따라서인터넷쇼핑몰사업자는다른법령상의무를준수하기위하여불가피한경우에해당하며정보주체의동의없이수집하여이용할수있음 ( 개인정보보호법제 15 조제 1 항제 2 호 ). 20
개인정보의제공 개인정보의 제공 이란개인정보의저장매체또는개인정보가담긴출력물이나책자등의물리적이전, 네트워크를통한개인정보의전송, 개인정보에대한제 3 자의접근권한부여, 개인정보처리자와제 3 자의개인정보공유등개인정보의이전과공동으로이용할수있는상태를초래하는모든행위를말함. 제 3 자 란정보주체와정보주체또는그의법정대리인으로부터개인정보를실질적 직접적으로수집 보유한개인정보처리자를제외한모든자를말하며개인정보처리수탁자는제외함. 개인정보제공허용사유 정보주체의동의를받은경우 법률에특별한규정이있거나법령상의무를준수하기위하여불가피하게개인정보를수집한목적범위에서개인정보를제공하는경우 소득지급자의소득귀속자에대한원천징수의무및원천징수이행상황신고의무, 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우에개인정보를수집한목적범위에서개인정보를제공하는경우 이사유가해소된때에는개인정보의처리를즉시중단하여야하며, 정보주체에게사전동의없이개인정보를수집또는이용한사실, 그사유와이용내역을알려야함. 21
동의를받을때알려야하는사항 개인정보를제공받는자 성명 ( 법인또는단체의경우에는그명칭 ) 과연락처 개인정보를제공받는자의개인정보이용목적 제공하는개인정보의항목 개인정보를제공받는자의개인정보보유및이용기간 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 22
민감정보의처리제한 민감정보란? 개인정보처리자는사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령으로정하는정보 대통령령으로정하는정보 유전정보및범죄경력자료에해당하는정보 민감정보처리허용사유 정보주체에게다음의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 1. 민감정보의수집 이용목적 2. 수집하려는민감정보의항목 3. 민감정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그 불이익의내용 법령에서민감정보의처리를요구하거나허용하는경우 23
고유식별정보의처리제한 고유식별정보란? 개인을고유하게식별하기위한정보로서, 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호를말함. 고유식별정보의예외적처리허용사유 정보주체에게다음의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 1. 고유식별정보의수집 이용목적 2. 수집하려는고유식별정보의항목 3. 고유식별정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그 불이익의내용 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 ( 예 : 가정폭력방지법, 경찰공무원임용령, 경범죄처벌법시행령, 마약류관리에관한법률시행령, 범죄수익은닉의규제및처벌등에관한법률시행령등 ) 24
주민등록번호의예외적처리허용사유 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우 법률 대통령령 국회규칙 대법원규칙 헌법재판소규칙 중앙선거관리위원회규칙및감사원규칙에서구체적으로주민등록번호의처리를요구하거나허용한경우 (2017.3.30. 시행 ) 정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우 그밖에주민등록번호처리가불가피한경우로서행정자치부령으로정하는경우 개인정보의처리금지사유 거짓또는그밖의부정한수단이나방법을통한개인정보의취득또는처리동의받는행위의금지 정당한권한없이또는허용된권한을초과하여다른사람의개인정보를훼손, 멸실, 변경, 위조, 변조또는유출하는행위 업무상알게된개인정보를누설하거나권한없이다른사람이이용하도록제공하는행위 25
개인정보처리업무위탁 위탁자의필요한조치의무 수탁자의처리업무의지연, 처리업무와관련없는불필요한개인정보의요구, 처리기준의불공정등을종합검토후이를방지하기위하여필요한조치를마련하여야함. 업무위탁문서주의 필요적기재사항 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 1 위탁업무의목적및범위 2 재위탁제한에관한사항 3 개인정보에대한접근제한등안전성확보조치에관한사항 4 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 5 법제 26 조제 2 항에따른수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 위탁업무범위초과이용및제공의금지 수탁자는개인정보처리자로부터위탁받은해당업무범위를초과하여개인정보를이용하거나제 3 자에게제공하여서는아니됨. 26
위탁자의교육및감독의무 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등수탁자가개인정보를안전하게처리하는지를감독하여야함. 위탁자는수탁자가개인정보처리업무수행시개인정보처리자가준수하여야할사항과업무위탁계약서의필요적기재사항의준수여부를감독하여야함. 손해배상책임 수탁자가위탁받은업무와관련하여개인정보를처리하는과정에서개인정보보호법을위반하여발생한손해배상책임에대하여는수탁자를개인정보처리자의소속직원으로봄. 정보주체는수탁자로부터개인정보처리업무를재위탁받아처리하는재수탁자가재위탁받은개인정보처리업무를수행하면서발생하는손해에대한배상을청구할수있음. 위탁자의공개의무 위탁자는위탁하는업무의내용과수탁자를정보주체가쉽게확인할수있도록공개하여야함. 입사지원자 / 퇴직자를제외한내부근로자의개인정보처리위탁의내용은내부게시판, 내부간행물또는계약서등을통해관계자에게만공개할수있음. 27
우리회사는웹사이트를기획 제작하고운영하는회사로서통상적으로공문이나이메일, 보안서약서, 수탁업무확인서등을통하여개인정보를처리하고있습니다. 이렇게업무위탁에관한문서가있는경우에도별도의개인정보처리업무의위탁에관한문서가필요한가요? 개인정보보호법에서는개인정보처리업무를위탁하는경우에는문서에의하도록하고, 다음과같은사항이반드시포함되어야함. 1 2 3 4 5 6 7 위탁업무수행목적외개인정보의처리금지에관한사항개인정보의기술적 관리적보호조치에관한사항위탁업무의목적및범위재위탁제한에관한사항개인정보에대한접근제한등안전성확보조치에관한사항위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항법제26조제2항에따른수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 따라서위탁업무의내용및범위, 관리감독에대한책임, 의무위반시손해배상책임등을명확하게하기위해 표준개인정보처리위탁계약서 ( 안 ) 를활용하여위탁자와수탁자가상호협의하고서명이나직인을날인하는것이바람직함. 28
영상정보처리기기의설치 운영 영상정보처리기기란? 일정한공간에지속적으로설치되어사람또는사물의영상등을촬영하거나이를유 무선망을통하여전송하는장치로서폐쇄회로텔레비전 (CCTV) 및네트워크카메라를말함. 1 폐쇄회로텔레비전 : 다음각목의어느하나에해당하는장치가. 일정한공간에지속적으로설치된카메라를통하여영상등을촬영하거나촬영한영상정보를유무선폐쇄회로등의전송로를통하여특정장소에전송하는장치나. 가목에따라촬영되거나전송된영상정보를녹화ㆍ기록할수있도록하는장치 2 네트워크카메라 : 일정한공간에지속적으로설치된기기로촬영한영상정보를그기기를설치ㆍ관리하는자가유무선인터넷을통하여어느곳에서나수집ㆍ저장등의처리를할수있도록하는장치 영상정보처리기기설치 운영허용사유 1. 법령에서구체적으로허용하고있는경우 2. 범죄의예방및수사를위하여필요한경우 3. 시설안전및화재예방을위하여필요한경우 4. 교통단속을위하여필요한경우 5. 교통정보의수집 분석및제공을위하여필요한경우 29
영상정보처리기기의설치 운영금지 불특정다수가이용하는목욕실, 화장실, 발한실 ( 發汗室 ), 탈의실등개인의사생활을현저히침해할우려가있는장소의내부를볼수있도록하기위한영상정보처리기기의설 치 운영을금지됨. 예외 ) 교정시설 ( 교도소, 구치소및그지소 ), 정신질환자사회복귀시설, 정신요양시설 안내판설치의무 (1) 안내판설치장소 정보주체가쉽게알아볼수있는장소에누구라도쉽게판독할수있게설치 건물내여러개를설치하는경우출입구등잘보이는곳에해당시설또는장소전체가설치지역임을표시하여야함. 안내판내용 1 설치목적및장소 2 촬영범위및시간 3 관리책임자의성명및연락처 4 영상정보처리기기설치 운영에관한사무를위탁하는경우, 수탁자의명칭및연락처 영상정보처리기기의통합관리의경우설치목적등통합관리내용을정보주체가쉽게알아볼수있도록기재 안내판의크기, 설치위치등은영상정보처리기기운영자가자율적결정 30
구분 설치장소 건물 건물 1 층출입구또는정문, 그밖에사람들의이동이빈번한각층의출입구, 안내데스크등눈에잘띄는곳 건물이외의장소 ( 공원등 ) 안내판설치장소 ( 예시 ) 각출입구, 기둥또는시설물등눈에잘띄는곳 상가 주 ( 主 ) 출입문, 계산대등눈에잘띄는곳 버스등대중교통 승하차출입문, 버스내노선도옆등승객의눈에잘띄는곳 택시 보조석앞, 좌석머리받침뒤편등승객의눈에잘띄는곳 주차장 입구, 정산소, 주차장내기둥등눈에잘띄는곳 31
안내판설치의무 (2) 안내판설치에갈음한인터넷홈페이지게재허용사유 1 공공기관이원거리촬영, 과속 신호위반단속또는교통흐름조사등의목적으로영상정보처리기기를설치하는경우로서개인정보침해의우려가적은경우 2 산불감시용영상정보처리기기를설치하는경우등장소적특성으로인하여안내판을설치하는것이불가능하거나안내판을설치하더라도정보주체가쉽게알아볼수없는경우 인터넷홈페이지게재가불가능한경우 1 영상정보처리기기운영자의사업장 영업소 사무소 점포등의보기쉬운장소에게시하는방법 2 관보 ( 영상정보처리기기운영자가공공기관인경우 ) 나영상정보처리기기운영자의사업장등이있는특별시 광역시 도또는특별자치도이상의지역을주된보급지역으로하는 신문등의진흥에관한법률 제 2 조제 1 호가목 다목및같은조제 2 호에따른일반일간신문, 일반주간신문또는인터넷신문에싣는방법 안내판설치의무면제 - 군사시설, 국가중요시설, 보안목표시설 32
개인영상정보보호책임자지정의무 개인영상정보의처리에관한업무를총괄하여책임질개인영상정보책임자를지정하여야함. 개인정보보호책임자가지정된경우에는그개인정보보호책임자가개인영상정보보호책임자의업무를수행할수있음. [ 개인영상보호책임자의업무 ] 1. 개인영상정보보호계획의수립및시행 2. 개인영상정보처리실태및관행의정기적인조사및개선 3. 개인영상정보처리와관련한불만의처리및피해구제 4. 개인영상정보유출및오용 남용방지를위한내부통제시스템의구축 5. 개인영상정보보호교육계획수립및시행 6. 개인영상정보파일의보호및파기에대한관리 감독 7. 그밖에개인영상정보의보호를위하여필요한업무 개인영상정보취급자의지정의무 영상정보처리기기운영부서의장은개인영상정보취급자를지정하여다음의사무를담당하도록함. 1 2 3 주 1회영상정보처리기이상유무점검점검결과의영상정보처리기기운영 관리기록부기록고장발견시즉시수리 다만, 상황실등에서통합모니터링을하는경우해당장소근무자를총괄담당으로지정하여고장등특이사항이발생한때에는해당부서에즉시통보함. 33
영상정보처리기기운영 관리방침의작성 공개의무 영상정보처리기기운영자는영상정보처리기기를운영하고자할때에는영상정보처리기기운영 관리방침을작성하여야함. 개인영상정보보호책임자는영상정보처리기기운영 관리방침을종합하여정보주체가쉽게확인할수있도록홈페이지등에공개하여야함. 영상정보처리기기 설치 운영 영상정보처리기기 운영 관리방침제정 영상정보처리기기 운영 관리방침공개 1 영상정보처리기기의설치근거및설치목적 2 영상정보처리기기의설치대수, 설치위치및촬영범위 3 관리책임자, 담당부서및영상정보에대한접근권한이있는사람 4 영상정보의촬영시간, 보관기간, 보관장소및처리방법 5 영상정보처리기기운영자의영상정보확인방법및장소 6 정보주체의영상정보열람등요구에대한조치 7 영상정보보호를위한기술적 관리적및물리적조치 8 그밖에영상정보처리기기의설치 운영및관리에필요한사항 인터넷홈페이지 사업장등보기쉬운장소 관보, 일반일간 주간신문, 인터넷신문 같은제목연 2 회이상발행하여정보주체에게배포하는간행물, 소식지, 홍보지또는청구서등에지속적으로싣는방법 계약서등에실어정보주체에발급 34
설치계획수립및설치사유발생 설치목적과다른목적으로임의조작, 다른곳을비추거나녹음기능사용금지 영상정보처리기기설치 안내판설치 설치목적, 장소 촬영범위, 시간 관리책임자성명, 직책, 연락처 수탁자의명칭, 연락처 설치필요성검토 법령에서허용 범죄예방, 수사 시설안전, 예방 교통단속 교통정보수집 분석 제공 사전의견수렴 1 행정예고실시 2 의견청취 3 설명, 설문조사, 여론조사후관계전문가및이해관계인의견수렴 1 관계전문가 2 해당시설종사자, 해당시설에구금되어있거나보호받고있는사람또는그사람의보호자등이해관계인 분야별책임자에게보고 개인영상정보보호책임자에게보고 설치목적변경에따른추가설치등의경우 35
개인영상정보의목적외이용 제 3 자제공등 수집목적외이용또는제 3 자제공허용사유 다음의사유를제외한개인영상정보의수집목적외이용또는제 3 자제공의금지 1. 정보주체에게동의를얻은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인영상정보를제공하는경우 5. 개인영상정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7. 범죄의수사와공소의제기및유지를위하여필요한경우 8. 법원의재판업무수행을위하여필요한경우 9. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우공공기관 개인영상정보를목적외이용또는제공한때에는다음의사항을기록하고관리하여야함. 1. 개인영상정보파일의명칭 2. 이용하거나제공받은자 ( 공공기관또는 개인 ) 의명칭 3. 이용또는제공의목적 4. 법령상이용또는제공근거가있는경우그 근거 5. 이용또는제공의기간이정하여져있는 경우에는그기간 6. 이용또는제공의형태 7. 이용기간및파기예정절차 8. 파기등결과및처리일자 9. 안전관리요청및결과 36
영상정보보유기간및파기 다른법령에특별한규정이없는한영상정보처리기기운영 관리방침에명시한보유기간만료시파기 영상정보의보관기간은보유목적달성을위한최소한의기간산정이곤란한때에는개인영상정보수집후 30 일이내로하고, 법령에특별한규정이없는한보유기간이만료한때에는파기하여야함. 개인영상정보가기록된출력물등은파쇄또는소각, 전자기적파일형태의개인영상정보는복원이불가능한기술적방법으로영구삭제 파기한경우에는다음의사항을기록하고관리하여야함. 1. 파기하는개인영상정보파일의명칭 2. 개인영상정보파기일시 ( 사전에파기시기등을정한자동삭제의경우에는파기주기및 자동삭제여부에대한확인시기 ) 3. 개인영상정보파기담당자 영상정보처리기기의설치 운영사무의위탁 영상정보처리기기운영자는영상정보처리기기의설치 운영에관한사무를위탁할수있고, 개인정보처리업무위탁규정을준용함. ( 예 : 교통무인단속및교통정보수집용영상정보처리기기설치및관리등 ) 37
개인영상정보의열람등절차 열람 존재확인청구 개인영상정보열람 존재확인청구서 열람등대상개인영상정보여부확인 1 정보주체자신이촬영된개인영상정보 2 정보주체의급박한이익을위하여필요한개인영상정보 열람등거부정당화사유확인 1 범죄수사등중대한지장초래 2 보관기관경과후파기 3 열람등을거부할수있는정당한사유 개인영상정보관리대장기록 관리 열람등조치 본인, 대리인여부확인 1 열람등을요구한정보주체의성명및연락처 2 열람등을요구한개인영상정보파일의명칭및내용 3 열람등의목적 4 열람등을거부한경우거부의구체적사유 5 개인영상정보사본제공시해당영상정보의내용과제공사유 정보주체이외의자의개인영상정보를알아볼수없도록조치 주민등록증, 여권, 운전면허증등신분증명서확인 1 정보주체가자신의개인영상정보파기를요구하는때보존을요구한개인영상정보에대해서만파기요구가능 2 파기시그내용의기록, 관리 38
개인영상정보의안전성확보를위한조치 개인영상정보의분실 도난 유출 변조또는훼손되지아니하도록다음의안전성확보조치를하여야함. 1 2 3 4 5 개인영상정보의안전한처리를위한내부관리계획의수립 시행개인영상정보에대한접근통제및접근권한의제한조치개인영상정보를안전하게저장 전송할수있는기술의적용 ( 네트워크카메라의경우안전한전송을위한암호화조치, 개인영상정보파일저장시비밀번호설정등 ) 처리기록의보관및위조 변조방지를위한조치 ( 개인영상정보의생성일시및열람할경우에열람목적 열람자 열람일시등기록 관리조치등 ) 개인영상정보의안전한물리적보관을위한보관시설마련또는잠금장치설치 39
버스회사가운전기사개개인의동의를받지않고사전에그것이목적으로명시되지도않은경우에대중교통인버스안에설치되어있는 CCTV 녹화물을버스회사가분석하여추출된내용을가지고각운전기사들의징계나근무평정자료로사용하는행위가 개인정보보호법 을위반하는가? 시내버스회사가버스안에영상정보처리기 (CCTV) 를설치하면서그설치, 운영목적을교통사고증거수집 ( 제 5 호 ) 및범죄예방 ( 제 2 호 ) 이라고밝히고, 이를안내판에기재하였다면, 그영상정보를설치목적과직접관계없는운전기사의징계또는근무평정의자료로사용하는것은원칙적으로 개인정보보호법 제 18 조제 1 항에의하여허용되지아니함. 다만, 제 18 조제 2 항의요건을충족하는경우가있다면, 그범위내에서허용될수있음.( 개인정보보호위원회의결 2013. 5. 27.) 이와관련하여근로자를관리 감독하기위하여영상정보처리기기를설치하는경우에는 근로자참여및협력증진에관한법률 에따라노사협의회의협의대상임. 40
개인정보처리방침 개인정보처리방침이란? 개인정보처리방침 이란개인정보를처리하는기관의개인정보처리기준및보호조 치를문서화하는것을말함. 개인정보처리방침의수립 개인정보처리자는개인정보처리방침을수립하여야함. 다음과같은사항이반드시포함되어야함. 1. 개인정보의처리목적 2. 개인정보의처리및보유기간 3. 개인정보의제 3 자제공에관한사항 ( 해당되는경우에만정한다 ) 4. 개인정보처리의위탁에관한사항 ( 해당되는경우에만정한다 ) 5. 정보주체와법정대리인의권리 의무및그행사방법에관한사항 6. 개인정보보호책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과전화번호등연락처 7. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 ( 해당하는경우에만정한다 ) 8. 처리하는개인정보의항목 9. 개인정보의파기에관한사항 10. 개인정보의안전성확보조치에관한사항 41
개인정보처리방침의공개의무 개인정보처리자의인터넷홈페이지에지속적으로게재하여야함. 인터넷홈페이지에게재할수없는경우다음과같은방법으로공개하여야함. 1 위탁자의사업장 영업소 사무소 점포등의보기쉬운장소에게시하는방법 2 관보 ( 위탁자가공공기관인경우 ) 나위탁자의사업장등이있는시 도이상의지역을주된보급지역으로하는일반일간신문, 일반주간신문또는인터넷신문에싣는방법 3 같은제목으로연 2 회이상발행하여정보주체에게배포하는간행물 소식지 홍보지또는청구서등에지속적으로싣는방법 ( 발행될때마다계속게재 ) 4 재화나용역을제공하기위하여위탁자와정보주체가작성한계약서등에실어정보주체에게발급하는방법 42
개인정보처리자의안전조치의무 안전조치의무 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야함. 개인정보의안전성확보조치 안전성확보조치의내용 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2. 개인정보에대한접근통제및접근권한의제한조치 3. 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5. 개인정보에대한보안프로그램의설치및갱신 6. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 43
내부관리계획의수립 시행 [ 필수적기재사항 ] 1. 개인정보보호책임자의지정에관한사항 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보의안전성확보에필요한조치에관한사항 4. 개인정보취급자에대한교육에관한사항 5. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 6. 그밖에개인정보보호를위하여필요한사항 그내용의변경이있는경우에는즉시반영하여내부관리계획을수정하여시행하고그수정이력을관리하여야함. 접근권한의관리 및접근통제 1 업무수행에필요한최소한범위로업무담당자에따라접근권한차등부여 2 인사이동등의경우접근권한의변경또는말소 3 접근권한의차등부여및변경 말소에대한내역의기록및최소 3 년간해당기록보관 4 사용계정의발급은개인정보취급자별로발급하되, 다른개인정보취급자와공유되지않도록하여야함. 5 비밀번호작성규칙의수립및적용 6 불법적접근및침해사고방지를위한조치 7VPN 또는전용선등안전한접속수단의적용 8 정보주체의추가적정보확인 9 취급중인개인정보의공개또는유출을방지하기위한조치 10 고유식별정보의유출등방지를위한연 1 회이상취약점점검 11 업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우컴퓨터또는모바일기기의 OS 또는보안프로그램이제공하는접근통제기능이용가능 12 모바일기기의비밀번호설정등보호조치 암호화기술의적용등 고유식별정보, 비밀번호및바이오정보의암호화 암호화대상개인정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는암호화하여야함. 비밀번호및바이오정보는암호화하여저장하되, 비밀번호는일방향암호화할것. DMZ 에고유식별정보를저장하는경우암호화할것. 개인정보영향평가결과및위험도분석에따른결과에따라암호화적용여부또는적용범위를정하여시행가능 암호화대상개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장 업무용컴퓨터또는모바일기기에고유식별정보의저장 관리경우상용암호화소프트웨어또는안전한암호화알고리즘사용하여암호화한후저장할것. 44
접속기록의보관 위조 변조방지조치 보안프로그램의설치및갱신 개인정보의안전한보관을위한물리적조치 6 개월이상접속기록의보관 관리 반기별로접속기록을 1 회이상점검할것. 개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관 필수기록항목 ID 날짜및시간 접속자 IP 주소 설명 개인정보취급자식별정보 접속일시 접속자정보 수행업무열람, 수정, 삭제, 인쇄, 입력등 보안프로그램의자동업데이트기능을사용하거나일 1회이상업데이트를실시 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를실시 별도의개인정보의물리적보관장소를두고있는경우출입통제절차의수립 운영 개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관 개인전보가포함됨보조저장매체의반출 입통제를위한보안대책의마련 개인정보의파기 1 완전파괴 ( 소각 파쇄등 ) 2 전용소자장비를이용하여삭제 3 데이터가복원되지않도록초기화또는덮어쓰기수행 개인정보의일부파기 1 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2 그밖의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 45
개인정보의파기 파기사유및시기 [ 파기사유 ] 보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때 [ 파기시기 1] 개인정보의보유기간이경과된경우에는정당한사유가없는한보유기간의종료일로부터 5 일이내 [ 파기시기 2] 개인정보의처리목적달성, 해당서비스의폐지, 사업의종료등그개인정보가불필요하게되었을때에는정당한사유가없는한개인정보의처리가불필요한것으로인정되는날로부터 5 일이내 파기방법 복구또는재생이되지않도록조치할것. 전자적파일은복원이불가능한방법으로영구삭제 복원이불가능한방법 " 이란사회통념상현재의기술수준에서적절한비용이소요되는방법 그밖의기록물, 인쇄물, 서면그밖의기록매체는파쇄또는소각 46
개인정보처리자의의무 파기사항의기록및관리 개인정보파기관리대장을작성할것 파기하지아니하고보존하여야하는경우해당개인정보또는개인정보파일을다른개인정보와분리하여저장 관리하여야함. 다른법령에따라보존하여야하는경우법령에따라개인정보또는개인정보파일을보존한다는점을분명히표시하여야함. 개인정보보호책임자의의무 개인정보파기의시행및확인 개인정보파기시행후파기결과확인 47
정보주체이외로부터수집한개인정보의처리 개인정보처리자는정보주체이외의사람으로부터수집한개인정보를처리하는때에는정보주체의요구가있으면일정한사항을고지하여야함. 개인정보의종류 규모, 종업원수미매출액규모등을고려한개인정보처리자는반드시알리도록함 ( 연락처등정보주체에게알릴수있는개인정보불포함의경우예외 ). 고지사항 개인정보의수집출처 개인정보의처리목적 개인정보처리의정지를요구할권리가있다는사실 개인정보보호법에따른정보주체의권리보다명백히우선하는경우에한함. 1 고지를요구하는대상이되는개인정보가제 32 조제 2 항각호의어느하나에해당하는개인정보파일에포함되어있는경우 2 고지로인하여다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 < 법제 32 조제 2 항각호 > 1. 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일 2. 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 3. 조세범처벌법 에따른범칙행위조사및 관세법 에따른범칙행위조사에관한사항을기록한개인정보파일 4. 공공기관의내부적업무처리만을위하여사용되는개인정보파일 5. 다른법령에따라비밀로분류된개인정보파일 48
개인정보의열람청구 열람허용 열람청구 청구주체 / 개인정보열람범위확인 개인정보열람제한 / 거절사항확인 일부열람열람연기 열람거부 열람요구서접수후 10 일이내 개인정보열람제한 거절사유 1. 법률에따라열람이금지되거나제한되는경우 2. 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3. 공공기관이다음각목의어느하나에해당하는업무를수행할때중대한지장을초래하는경우 1 조세의부과 징수또는환급에관한업무 2 초 중등교육법 및 고등교육법 에따른각급학교, 평생교육법 에따른평생교육시설, 그밖의다른법률에따라설치된고등교육기관에서의성적평가또는입학자선발에관한업무 3 학력 기능및채용에관한시험, 자격심사에관한업무 4 보상금 급부금산정등에대하여진행중인평가또는판단에관한업무 5 다른법률에따라진행중인감사및조사에관한업무 49
개인정보의정정등청구 개인정보정정, 삭제, 처리정지청구 1 청구주체확인 2 개인정보 정정등 범위확인 개인정보정정등제한사항확인 정정등처리결과통지 정정등청구제한사항통지 정정등요구서접수후 10 일이내 [ 삭제금지 ] 다른법령에서그개인정보가수집대상으로명시되어있는경우 [ 처리정지요구거절사유 ] 1 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 2 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3 공공기관이개인정보를처리하지아니하면다른법률에서정하는소관업무를수행할수없는경우 4 개인정보를처리하지아니하면정보주체와약정한서비스를제공하지못하는등계약의이행이곤란한경우로서정보주체가그계약의해지의사를명확하게밝히지아니한경우 처리가정기된개인정보에대하여지체없이해당개인정보의파기등필요한조치를하여야함. 50
손해배상 (2016.7.25. 시행 ) 손해배상 정보주체는개인정보처리자가 개인정보보호법 을위반한행위로손해를입으면개인정보처리자에게손해배상을청구할수있음. 그렇지만, 개인정보처리자가고의또는과실이없음을입증하면책임을면함. 법원이배상액을선정할때고려하여야할사항 1. 고의또는손해발생의우려를인식한정도 2. 위반행위로인하여입은피해규모 3. 위법행위로인하여개인정보처리자가취득한경제적이익 4. 위반행위에따른벌금및과징금 5. 위반행위의기간 횟수등 6. 개인정보처리자의재산상태 7. 개인정보처리자가정보주체의개인정보분실 도난 유출후해당개인정보를회수하기위하여노력한정도 8. 개인정보처리자가정보주체의피해구제를위하여노력한정도 51
징벌적손해배상 개인정보처리자의고의또는중대한과실로인하여개인정보가분실 도난 유출 위조 변조또는훼손된경우로서정보주체에게손해가발생한때에는법원은그손해액의 3 배를넘지아니하는범위에서손해배상액을정할수있음. 그렇지만, 개인정보처리자가고의또는과실이없음을입증하면예외 법정손해배상 정보주체는개인정보처리자의고의또는과실로인하여개인정보가분실 도난 유출 위조 변조또는훼손된경우에는 300 만원이하의범위에서상당한금액을손해액으로하여배상을청구할수있음. 그렇지만, 개인정보처리자가고의또는과실이없음을입증하면면책 법원은손해배상청구가있는경우에변론전체의취지와증거조사의결과를고려하여 300 만원의범위에서상당한손해액을인정할수있음. 손해배상을청구한정보주체는사실심의변론이종결되기전까지그청구를법정손해배상청구로변경할수있음. 52
개인정보유출이란? 법 령 이 나 개인정보처리자의 자유로운 의사에 의하지 않고, 정 보 주 체 의 개인정보에대하여 개인정보처리자가 통제를상실하거나 또는권한없는자의 접근을허용한것 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터등을분실하거나도난당한경우 개인정보가저장된데이터베이스등개인정보처리시스템에정상적인권한이없는자가접근한경우 개인정보처리자의고의또는과실로인해개인정보가포함된파일또는종이문서, 그밖의저장매체가권한이없는자에게잘못전달된경우 그밖에권한이없는자에게개인정보가전달되거나개인정보처리시스템등에접근가능하게된경우 53
개인정보가유출된경우에는해당정보주체에게그사실을알려야하고, 행정자치부장관또는전문기관 ( 한국인터넷진흥원 ) 에신고하여야함. 개인정보유출유출통지및 신고의무자 1 만명이상의정보주체에관한개인정보가유출된개인정보처리자 피해확산방지, 피해복구등을위한기술지원 통지 통지및조치결과의신고 행정자치부장관 / 전문기관 전문기관 1 한국인터넷진흥원 유출된개인정보의정보주체 통지사항 1 유출된개인정보의항목 2 유출된시점과그경위 3 유출로인하여발생할수있는피해 를최소화하기위하여정보주체가할수있는방법등에관한정보 4 개인정보처리자의대응조치및피해구제절차 5 정보주체에게피해가발생한경우신 고등을접수할수있는담당부서및연락처 통지시기 - 개인정보가유출되었음을알게되었을때 예외 ) 개인정보가유출되었음을알게되었을때또는유출사실을알고긴급한조기를한후에도구체적인유출내용을확인하지못한경우에는먼저개인정보가유출된사실과유출이확인된사항만을서면등의방법으로알리고나중에확인되는사항을추가로알수있음. 통지방법 서면, 전자우편, 팩스, 전화, 문자전송또는이에상당하는방법 게재의무 서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록통지사항을 7 일이상게재하여야함. 인터넷홈페이지를운영하지않는개인정보처리자는서면등의방법과함께사업장 영업소 사무소 점포등의보기쉬운장소에통지사항을 7 일이상게시하여야함, 54
III. 인사 노무업무단계별개인정보처리 채용준비채용결정고용유지고용종료 55
채용준비단계 채용기획단계 개인정보최소수집원칙에근거한채용계획수립 - 기업별로인재선발에필요한개인정보의종류를결정및수집 이용계획의수립 기업의인재상, 채용예정직위의직무특성, 채용방법등에따른차별적개인정보의수집필요한최소한의개인정보수집에관한입증책임은기업에있으므로전형과관계없는개인정보 ( 본적, 주민등록번호등 ) 은수집하지않도록주의 - 개인정보기업채용시반드시필요하다고인정한개인정보는정보주체동의없이수집 이용가능 필요한최소한의개인정보 이름, 전화번호, 주소직무특성또는직무수행능력을고려한개인정보 학력, 경력, 자격사항등 - 고유식별정보및민감정보의수집 이용은원칙적으로금지 장애인, 국가유공자, 고령자등의우대를위한경우법령에근거하므로별도동의없이처리가능아동청소년관련교육기관, 공동주택의관리사무소, 인터넷컴퓨터게임시설제공업등에취업하고자하는경우 아동청소년의성보호에관한법률 에따라본인의동의를얻어성범죄경력조회를할것. 56
입사지원자개인정보의안전한관리를위한계획의수립 전형단계별개인정보취급자의최소지정개인정보유 노출가능성의최소화채용대행업체등에게입사지원자의개인정보처리업무를위탁하는경우위탁에관한법내용준수 채용전형단계 전형단계별필요한최소한의개인정보수집 전형단계서류전형필기시험면접 수집정보 학점, 외국어성적, 자격증보유여부, 관련경력등 [ 서류전형 ] 1 고유식별정보 ( 주민등록번호등 ) 및직무와무관한정보 ( 민감정보, 가족의직업, 신체정보, 사생활정보등 ) 의수집불가, 2 전형에필요한최소한의개인정보수집, 3 정보주체로직접수집 [ 신체검사 ] 직무수행가능여부판단을위해필요최소한의건강정보를수집해야하며, 동의를받아서실시 [ 합격통보 ] 당사자에대한직접통보의원칙 필기시험성적 인성 / 기타경험 / 논문제목 / 지도교수 / 포부등 [ 전형종료후파기 / 보관 ] 채용전형이종료된후, 입사지원자정보는지체없이파기. 다만, 상시채용등을위해탈락자의개인정보를보관 이용하기위해서는당사자의별도동의를받아야함. 57
입사지원자의권익보호 입사지원자의개인정보의제 3 자제공은금지. 다만, 제공허용사유에해당하는경우에한하여제공가능 채용전형을채용대행업체등에위탁하는경우 개인정보보호법 관련규정의준수및교육, 관리 감독의무 채용시험성적열람요구에대비해열람절차를마련하고, 정보주체가열람을요구하는경우공개하는것이원칙. 다만, 시험문제 / 면접기법등은개인정보가아니므로 개인정보보호법 에따른공개대상은아님. 58
< 채용방법및개인정보수집유형별준수사항 > 채용및개인정보수집유형개인정보직접수집온라인채용개인정보간접수집 사례 - 인터넷공개모집 - 사이버취업박람회 ( 설명회 ) - 사용자운영인재DB - 스토리텔링, 오디션 - 온라인채용대행업체 - 인물 DB 등 준수사항 - 최소한의개인정보만수집 - 해킹등에따른유 노출주의 - 반드시필요한정보만수집 - 수집출처 처리목적등고지 ( 지원자요청이있는경우 ) - 위탁계약은문서로처리 - 기업설명회 / 취업박람회 - 캠퍼스채용 ( 출장면접 ) 오프라인 채용 개인정보직접수집 - 인턴제 / 산학장학생제도 - 현장및지원자방문 (walk-ins) 채용 - 언론매체를통한모집광고 - 종업원채용추천 - 내부모집 ( 배치전환, 재고용, 사내공모등 ) - 최소한의개인정보만수집 - 입사지원자의개인정보취급자의최소화 개인정보간접수집 - 지도교수 ( 또는교사 ) 의추천 - 취업알선기관활용 ( 파견업체, 채용대행업체, 헤드헌터 ) - 최소한의개인정보만수집 - 수집출처 처리목적등고지 ( 지원자요청이있는경우 ) 59
1) 신입사원의채용을위하여입사지원서를받으려고합니다. 개인정보를얻기위해서지원자의동의를받아야합니까? 2) 입사지원자가제출한개인정보의진위를확인하여야하는데, 어떻게하여야합니까? 1) 민감정보, 고유식별정보를제외하고채용을위해필요한최소한의개인정보에관하여는동의없이수집할수있음. 입사지원단계는계약의체결을준비하는단계로서다음과같은개인정보를수집할수있음. 지원자를확인하는데필요한이름, 생년월일 지원자와연락하는데필요한연락처, 주소지원자의직무수행능력을평가하는데필요한학력, 성적, 자격사항등 ( 채용예정직위의직무수행을위해관련학력, 경력이요구되는경우 ) 2) 정당한기관에서발급한증명서를제공받아서확인하면되는데, 증명서의진위확인이필요하다면해당증명서발급기관에발급번호 ( 또는코드번호등 ) 확인을통하여증명서의진위를확인함. 발급번호 ( 또는코드번호등 ) 를통한증명서의진위확인은개인정보처리에해당하지않으므로정보주체의동의가필요없음. 60
채용결정단계 법령상의무를이행하기위한개인정보의처리 근로계약서, 근로자명부, 임금대장등작성과같은법령상의무를이행하기위한근로자동의없는개인정보수집허용 < 법령에따른근로자의개인정보수집예시 > 수집항목법령근거 근로자명부 성명, 성별, 생년월일, 주소, 이력, 종사하는업무의종류, 고용또는고용갱신연월일, 계약기간을정한경우그기간, 그밖의고용에관한사항, 해고, 퇴직또는사망한경우에는그연월일과사유, 그밖에필요한사항 ( 교육, 건강휴직등 ) 근로기준법제41조, 시행령제20조, 시행규칙별지제16호서식 임금대장 성명, 주민등록번호, 고용연월일, 종사하는업무, 임금및가족수당의계산기초가되는사항, 근로일수, 근로시간수, 연장근로, 야간근로또는휴일근로를시킨경우에는그시간수, 기본급, 수당, 그밖의임금의내역별금액, 임금의일부를공제한경우에는그금액등근로기준법제48조, 시행령제27조, 시행규칙별지제17호서식 소득세법에따른연말정산등과같은법령상의무이행을위한경우근로자및근로자가족등의동의없이주민등록번호처리가능 61
근로계약의체결 이행을위한개인정보의처리 근로계약서에는본인확인을위한필요한최소한의개인정보 ( 이름, 연락처, 주소 ) 만기록하고주민등록번호등불필요한개인정보는처리금지 인사업무 ( 근무성적평가, 연봉계약, 인사발령, 교육훈련, 복지후생 ) 등근로계약이행을위해서는근로자동의없이개인정보수집 이용가능 또한근로자가족에대한복리후생제공을목적으로하는경우근로자가족의동의없이개인정보수집 이용가능 가족관계및연령확인을위한증명서제출의경우주민등록번호뒷자리를가린후발급받을것. 사업주는근로자에대한목지를제공하여야하고 ( 근로자복지기본법제5조 ), 이를위하여개인정보를수집 이용하는것은법령상의무수행을위한경우에해당함. 근로자의동의에의한개인정보의처리 업무수행을위하여필요한최소한의개인정보가운데근로자의동의를받아야하는경우에는근로계약체결시동의를받아수집할것. 근로자의동의를받아제공이가능한경우 여행사직원정보의항공사제공, 계열사간인사교류를위한인사정보의제공, 컨설턴트및프로젝트담당자의개인정보의제공등홈페이지등을통한개인정보의공개 영업사원연락처, 고객만족도제고를위한담당자이름및연락처 62
개인정보처리동의는사규 ( 취업규칙 ) 의준수동의를받거나별도의동의서를통한동의등다양한방법가능 다만, 사규의준수동의를받는경우개인정보의처리내용은업무수행을위해불가결한경우에한함. 처리에대한동의는구체적 개별적동의가이루어지도록함 63
직원의주민등록번호를수집하고이용할경우, 별도의동의를받아야되나요? 주민등록번호를수집 이용하기위해서는 1 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우, 2 정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우, 3 주민등록번호처리가불가피한경우로서행정자치부령으로정하는경우가운데어느하나에해당하여야하며, 어느하나에해당하지않는경우에는수집 이용할수없음. 사업주 ( 개인정보처리자 ) 는법에따라산재보험, 건강보험, 고용보험, 국민연금을처리해야할의무가있고, 고용보험및산업재해보상보험의보험료징수등에관한법률, 국민연금법, 건강보험법에따라직원의이름, 주민등록번호, 급여내역등을근로복지공단, 국민연금공단, 국민건강보험공단등에제공해야하며이때역시직원의동의는필요하지않음. 64
1) 근로자의건강정보를수집하고이용할경우, 별도동의를받아야하나요? 2) 재직중인직원의종교, 범죄관련정보등을수집하고이용할경우, 별도 동의를받아야하나요? 1) 산업안전보건법이나진폐의예방과진폐근로자의보호등에관한법등관련법령에따라직원의건강보호유지목적으로사용할경우별도의동의가필요없음. 건강정보는민감정보로서그처리를허용요건가운데어느하나에해당하는경우에한하여수집 이용할수있으므로, 해당근로자의별도동의를받아건강정보를수집 이용할수있음. 2) 재직중인직원의별도동의를받아야함. 기업의특성에따라종교, 범죄경력자료등의민감정보를처리하고자하는경우에는별도동의를받아함. 65
고용유지단계 인력관리 [ 인력배치및이동 ] 전보, 파견, 휴직등인력배치및이동과같이근로계약이행을위한필요한최소한의위한개인정보는동의없이활용가능 민감정보, 주민등록번호를제외한고유식별정보는별도의동의를받아야함. 전보, 승진등의인사발령사실의외부공개는근로계약체결시동의를확보하여야함. 다만, 징계처분, 해고등불이익처분은비공개가원칙이며, 동의를받아공개할수있고, 그사실을전파하는경우에는개인식별을불가능하게하여야함, [ 인사평가 ] 직무수행의성과를평가와관련하여개인정보를수집 생성 연계 연동등을하는것은근로계약의이행및유지를위하여필요하므로근로자의동의없이처리가능 평가정보열람청구의경우성과 실적등에관한객관적평가정보는특별한사유가없는한공개주관적평가정보 ( 정성적평가 ) 의경우평가결과를제한적으로공개하거나거부가능인사고과, 연봉정보등의공개는기업및다른근로자의재산과그밖의이익을침해할우려가있으므로열람의제한또는거부가능 [ 보수 후생복지 ] 1급여, 성과급, 복지포인트등은개인정보이므로제3자제공을하기위해서는근로자의동의필요 2 직원상품할인, 공동구매등을위하여계열사등에제공하기위해서는근로자의동의필요 3 통계작성, 학술연구등의목적으로연구소, 공공기관등에개인정보제공시특정개인을알아볼수없도록처리하여제공 66
4 다만, 고용보험및산업재해보상보험의보험료징수등에관한법률 에따라근로복지공단, 국민연금관리공단등임직원급여내역의제공은법령에근거하고있으므로근로자의동의없이제공가능 [ 교육훈련 ] 외부교육기관에근로자교육을위탁하면서개인정보처리업무도함께위탁하는경우 개인정보보호법 이정하는바에따라야함. 인사정보관리 [ 안전한보관 ] 근로자개인정보의관리적, 기술적, 물리적보호조치를통한안전한보관 안전성확보조치기준에따른안전한보관공정하고합리적인사운영을위한개인정보의최신성및정확성확보하고이를위한열람 정정권보장등대책의마련필요 [ 개인정보처리방침등의공개 ] 개인정보처리방침등을사내게시판, 사내홍보지, 인터넷홈페이지등을통하여공개 [ 파기 ] 법령에따라수집한개인정보로서보유기간이지난개인정보및수집 이용목적을달성한개인정보의파기 67
개인정보의종류보유기간근거법령 재직자의건강진단및진단결과 발암성확인물질을취급하는근로자의건강검진결과 연말정산을목적으로수집한자료 복리후생제공을목적으로수집한근로자및가족의개인정보 < 법령에따라수집한개인정보의보유기간 > 5 년 30 년 법정신고기한이지난날부터 5 년 목적달성후 5 일이내파기 산업안전보건법제 43 조, 시행규칙제 105 조제 3 항, 제 107 조 시행규칙제 107 조단서 국세기본법제 85 조의 3 제 2 항 [ 제공 ] 근로자개인정보의목적외제 3 자제공은별도동의또는법령상의무준수를위한경우로한정 별도의동의가필요한경우 - 1기업인수합병여부판단에필요한임직원개인정보의제공, 2상품할인 공동구매등을위한다른회사와의제휴, 3카드사, 보험회사등에대한근로자개인정보의제공 다른법률에특별한규정이있는경우 연말정산을위한근로자및근로자가족의정보제공수사기관은형사소송법제115조규정에따라수색영장발부시, 법원은같은법제109조에따라동의없이수색가능 [ 위탁 ] 연말정산, 교육훈련, 퇴직급여지급등의근로자개인정보처리위탁시문서에의하여야함. 68
[ 열람 ] 근로자인사정보등에대한열람권의보장 다만, 인사고과, 연봉정보등의산출근거자료공개가회사및다른근로자의재산과그밖의이익침해가우려되는경우열람제한및거절가능 69
회사에서임직원이나고객들의개인정보수집 이용에관한동의를받고있습니다. 일일이개별적으로동의를받으려고하다보니시간과비용이상당히소요되고있습니다. 그래서임직원의경우에는인트라넷의공지사항을이용하고, 고객의경우에는이메일이나문자메시지를이용하여동의를받을때알려야하는사항과함께 일정기간까지동의거부의사를표시하지않는경우에는동의한것으로간주한다. 라는안내를하려고합니다. 개인정보보호법을위반하는것은아닙니까? 개인정보보호법은정보주체로부터개인정보를수집 이용 제공하기위한동의를받을때개인정보의처리목적, 항목등을알려동의의내용과의미를명확하게인지한상태에서정보주체가자발적으로개인정보처리에대한승낙의의사표시를하도록하고있음. 입증책임등을고려하여개인정보처리자는정보주체로부터명확한동의를받아야함. 70
회사가근로자의복리후생을위해가족의이름, 생년월일, 연락처등의개인정보를수집하는경우, 해당근로자가족구성원의동의를받아야하나요? 근로복지기본법 에따르면사업주 ( 근로자를사용하여사업을행하는자를말한다.) 는해당사업장근로자의복지증진을위하여노력하고근로복지정책에협력하여야함. 그리고노동조합및근로자는근로의욕증진을통하여생산성향상에노력하고근로복지정책에협력하여야함 ( 제 5 조 ). 이와같이법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우에는해당근로자가족구성원의동의를받지않고도개인정보를수집할수있음. 다만, 고유식별정보는정보주체의별도의동의를받아수집할수있지만, 주민등록번호의경우에는법령에서구체적으로그처리를요구하거나허용한경우등에해당하지않으면수집할수없음에주의하기바람. 또한자녀학비지원, 직계존속건강진단, 주택지원등을위하여부득이하게가족관계및연령확인등을위한가족관계증명서등을확인하여야할경우에는가족의주민등록번호뒷자리가노출되지않도록처리한후, 제출하도록하는것이바람직함. 71
회사가근로자의복리후생을위해가족의이름, 생년월일, 연락처등의개인정보를수집하는경우, 해당근로자가족구성원의동의를받아야하나요? 근로복지기본법 에따르면사업주 ( 근로자를사용하여사업을행하는자를말한다.) 는해당사업장근로자의복지증진을위하여노력하고근로복지정책에협력하여야함. 그리고노동조합및근로자는근로의욕증진을통하여생산성향상에노력하고근로복지정책에협력하여야함 ( 제 5 조 ). 이와같이법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우에는해당근로자가족구성원의동의를받지않고도개인정보를수집할수있음. 다만, 고유식별정보는정보주체의별도의동의를받아수집할수있지만, 주민등록번호의경우에는법령에서구체적으로그처리를요구하거나허용한경우등에해당하지않으면수집할수없음에주의하기바람. 또한자녀학비지원, 직계존속건강진단, 주택지원등을위하여부득이하게가족관계및연령확인등을위한가족관계증명서등을확인하여야할경우에는가족의주민등록번호뒷자리가노출되지않도록처리한후, 제출하도록하는것이바람직함. 72
노동조합에서단체교섭에필요한조합원의급여내역, 근태현황등의자료제공을요청하고있습니다. 회사에서보유하고있는직원들의정보를노동조합에제공하는것은수집 이용목적범위를벗어난것으로개인정보의제3자제공에해당하므로직원의동의없이제공할수없다고하는데, 노동조합에서는개인정보의제 3 자제공에관한조합원의동의서를받아오겠다고합니다. 노동조합에서조합원들의동의서를받아개인정보제공을요청하는경우회사에서는직원의급여내역, 근태현황등의자료를제공해야하나요? 노동조합및노동관계조정법제 30 조는노동조합과사용자의성실한교섭의무와정당한이유없는거부금지등의원칙을규정하고있음. 그렇지만사용자가근로자의동의없이해당근로자의개인정보를노동조합등제 3 자에게제공할수있도록허용하는내용을규정하고있지않음. 따라서회사에서보유하고있는직원의개인정보를노동조합에제공하기위해서는원칙적으로회사에서해당직원의동의를받아야함. 다만, 회사와노동조합이상호합의하는경우에는조합원이직접작성한동의서를노동조합이회사에대신제출할수있으며, 이경우회사는조합원의개인정보를노동조합에제공할수있음. 73
개인정보보호법이제정되어직원의개인정보를회사업무에활용하기위해서직원의동의가있어야된다고합니다. 직원의임금지급을위해서직원의이름, 은행계좌번호를이용해야하고, 산재보험, 건강보험, 고용보험, 국민연금의 4 대보험을처리하기위하여직원의이름, 주민등록번호를이용하여근로복지공단에제공해야합니다. 직원의동의없이제공할수있습니까? 개인정보처리자는원칙적으로정보주체의동의를받아개인정보를수집 이용 제공하여야함. 그렇지만, 개인정보보호법제 15 조제 1 항제 4 호에따라계약의이행을위해필요한경우에는정보주체의동의없이도개인정보를수집 이용할수있고, 개인정보보호법제 18 조제 2 항제 2 호에따라다른법률에특별한규정이있는경우에는정보주체의동의없이개인정보를제공할수있음. 회사는직원과의근로계약을이행하기위하여임금을지급해야하는경우직원의이름, 은행계좌번호등임금지급을위하여필요한개인정보를수집 이용할수있는데, 직원의동의는필요하지않음. 또한, 회사는법에따라산재보험, 건강보험, 고용보험, 국민연금을처리해야할의무가있고, 고용보험및산업재해보상보험의보험료징수등에관한법률, 국민연금법, 건강보험법에따라직원의이름, 주민등록번호, 급여내역등을근로복지공단, 국민연금공단, 국민건강보험공단등에제공해야하며이때역시직원의동의는필요하지않음. 74
1) 위탁교육등을위해외부업체에직원의개인정보를제공하려고하는데, 어떻게해야하나요? 2) 개인정보업무처리를외부업체에위탁했는데그업체의과실로손해가발생한경우손해배상책임은누구에게있나요? 1) 업무처리의뢰 ( 업무위탁 ) 에관한사항은문서 ( 표준개인정보처리업무위탁계약서 ) 로작성하여야함. 개인정보를제공받은수탁업체와업무의내용을내부게시판, 인터넷홈페이지내부망등을통해직원들에게공개하고, 직원정보를제공받은수탁업체가잘관리할수있도록감독하여야함 2) 개인정보보호법제 26 조제 6 항은손해배상책임에대해서수탁자를위탁자의소속직원으로본다고규정하여위탁자에게도사용자로서관리책임을부과하고있음. 업무를위탁한사업자는위탁받은사업자가개인정보보호규정을준수하도록교육, 관리, 감독의의무가있음. 손해를입은정보주체 ( 근로자등 ) 는위탁자나수탁자중어느한쪽에손해배상을청구할수있고, 위탁자가배상한경우에는수탁자에게구상권을행사할수있음. 75
인사관리시스템과인사담당자의 PC 를안전하게관리하기위해취해야할조치는무엇인가요? 비밀번호설정, 백신소프트웨어설치, 방화벽가능, 암호화기능등을적용해야함. 관계자 ( 관리자, 담당직원 ) 만컴퓨터를이용할수있도록비밀번호를설정할것. 2자리 ( 영문 / 숫자등 ) 조합은 10자리이상으로 3자리 ( 영문 / 숫자 / 특수문자 ) 조합은 8자리이상으로하세요. 비밀번호는적어도 6개월에 1번이상변경하세요. 비밀번호설정은컴퓨터의 제어판 사용자계정 암호변경 에서가능 백신소프트웨어를설치하고주기적으로 ( 매일 ) 업데이트할것. 컴퓨터의윈도우즈 (Windows) 등운영체제에서지원하는방화벽 (Firewall) 기능을적용할것. 윈도우즈방화벽기능은 제어판 시스템및보안 Windows 방화벽 에서적용가능 직원의개인정보가들어있는파일은안전한암호 S/W를이용해암호화할것. 주민등록번호를저장하여관리하는경우암호화할것. 이미보유하고있는경우 100만건미만은 2016년말까지, 100만건이상은 2017년말까지암호화하여야함. 76
고용종료단계 퇴직근로자의개인정보파기및경력증명서발급 퇴직근로자의개인정보는경력증명및근로계약에관한정보를제외하고지체없이삭제 근로자의경력증명등에관한정보는퇴직후 3년간별도보관 ( 근로기준법제39조, 시행령제19조 ) 3년이상경력증명정보를보관하고자할경우, 퇴직시점에퇴직근로자의동의를받아보관입사시또는취업규칙등에안내하고동의를받아보관하는것도가능 보유기간이종료된개인정보는복구또는재생되지않도록파기 보유기간이종료하거나그처리목적을달성한경우에는보유기간종료일또는처리목적달성으로개인정보가불필요한것으로인정되는날부터 5 일이내파기 77
퇴직근로자의개인정보의제공 퇴직근로자의개인정보제공을요구받은경우, 다른법령에특별한규정이없는한해당퇴직근로자의별도동의를받은후제공가능 순수친목단체로서퇴직자모임을위해동의없이개인정보수집은가능하나회사가제공하고자할때에는해당퇴직근로자의동의필요 78
1) 퇴사한직원의개인정보는언제파기하여야합니까? 2) 개인정보보호법시행이전부터보관하고있던퇴직자의개인정보에대하여보관을받거나파기하여야합니까? 1) 퇴사후 3 년이지나고, 보유기간이종료된후 5 일이내에파기하여야함. 근로기준법에서퇴직근로자의사용증명서청구권행사기간을 3 년으로하고있으므로사용증명서발급을위한퇴직근로자개인정보보존연한은최소 3 년임. 다만, 경력증명등퇴직근로자의사용증명서발급을위해 3 년이상보관할필요가있는경우, 근로자에게동의를받아서보관하면됨. 2) 경력증명등을위한목적으로보관 이용하고있던퇴직근로자의개인정보는해당목적으로만사용하는경우에는동의없이파기하지않고이용할수있음. 다만, 개인정보보호법시행이후에는퇴직근로자의개인정보를보관하기위해서는해당퇴직근로자의동의를받아야함. 다만, 주민등록번호등고유식별정보에관하여는개인정보보호법제 29 조에따라안전조치를해야할의무가있음. 퇴직근로자의개인정보를이용하여마케팅을하는등원래의보유목적과다른용도로이용하시고자하는경우에는별도동의를받아야함. 79
인사노무분야에서의개인정보보호를위한주요조치사항 단계수집 이용제 3 자제공파기 채용준비 채용결정 개인정보최소수집원칙에따라채용전형계획수립 채용전형에불필요한주민등록번호등고유식별정보및민감정보는원칙적으로수집불가 신체검사시입사지원자의동의를받아최소한건강정보수집 채용예정업무특성에따라수집정보종류및범위결정필요 근로자명부 임금대장작성등법령상의무준수를위한지원자개인정보수집시근로자등의동의불필요 법령에구체적근거없는고유식별정보수집불가 입사지원자의동의또는법령근거가있는경우에만가능 채용전형위탁시, 업무내용및수탁자를인터넷홈페이지공개 ( 게시 ) 필요 채용대행업체채용과정위탁시철저한관리감독필요 입사지원자의동의또는법령근거가있는경우에만가능 동의를받을경우제공받는자, 제공항목등을안내하고동의를받아야함 이의신청절차등채용전형종료후 5 일이내파기 인재수시선발등을위한탈락자개인정보보관및이용이필요한경우동의를받아야함. 보관기간을정하여목적, 기간등을명시하여동의필요 고용유지 인력배치등근로계약이행에반드시필요한개인정보수집시동의불필요 인사평가관련개인정보의경우동의불필요 연말정산등법령상의무준수를위한주민등록번호동의없이수집가능 입사지원자의동의또는법령근거가있는경우에만가능 교육훈련등근로자개인정보처리위탁시반드시위탁계약을문서로작성 위탁업무내용및개인정보처리업무수탁자를인터넷홈페이지공개 ( 게시 ) 필요 고용유지에필요하지않은개인정보는필요하지않게된날부터 5 일이내파기 회계자료등다른법에별도보관기간이명시된경우해당기간준수 80
단계정보주체열람등파기 고용종료 퇴직근로자개인정보제공요구시다른법령에특별규정이없는한근로자동의후제공필요 회사가퇴직자친목모임에 ( 퇴직 ) 근로자등의개인정보를제공할경우정보주체의동의를받은후에제공 법령에서정한사유가있는경우에만열람 정정 삭제 처리정지거절가능 ( 제 35 조 ~ 제 37 조 ) 안전성확보조치및정보주체권리보장등 퇴직근로자개인정보제공요구시다른법령에특별규정이없는한근로자동의후제공필요 회사가퇴직자친목모임에 ( 퇴직 ) 근로자등의개인정보를제공할경우정보주체의동의를받은후에제공 법령에서정한사유가있는경우에만열람 정정 삭제 처리정지거절가능 ( 제 35 조 ~ 제 37 조 ) 개인정보처리위탁및개인정보의안전한보관 목적외처리금지, 기술적 관리적보호조치등포함, 문서로위탁 내부관리계획수립 시행, 암호화, 접속기록보관및위 변조방지조치, 보안프로그램의설치및갱신, 보관시설또는잠금장치설치등 개인정보처리방침수립및공개, 개인정보보호책임자지정 유출신고 개인정보유출시정보주체에게고지, 단 1 만명이상에관한정보가유출시에는행정자치부또는전문기관 ( 한국인터넷진흥원 ) 에신고병행 81
벌 칙 구분주요내용처벌및벌칙 수집ㆍ이용제공ㆍ위탁개인정보안전관리 민감정보 ( 사상ㆍ신념ㆍ정당가입ㆍ건강등 ) 처리기준위반 ( 제 23 조 ) 고유식별정보 ( 주민등록ㆍ여권ㆍ운전면허번호등 ) 처리기준위반 ( 제 24 조 ) 부당한수단이나방법에의해개인정보를취득하거나개인정보처리에관한동의를얻는행위를한자 ( 제 59 조 ) 개인정보의수집기준위반 ( 제 15 조 ) 만 14 세미만아동의개인정보수집시법정대리인동의획득여부위반 ( 제 22 조 ) 탈의실ㆍ목욕실등 CCTV 설치금지위반 ( 제 25 조 ) 최소한의개인정보외정보의미동의를이유로재화또는서비스제공을거부한자 ( 제 16 조, 제 22 조 ) 주민등록번호를제공하지아니할수있는방법미제공 ( 제 21 조 ) 주민등록번호를처리또는암호화조치불이행한자 ( 제 24 조의 2) 동의획득방법위반하여동의받은자 ( 제 22 조 ) 정보주체의동의없는개인정보제 3 자제공 (17 조 ) 개인정보의목적외이용ㆍ제공 ( 제 18 조, 제 19 조, 제 26 조 ) 개인정보주체에게알려야할사항을알리지아니한자 ( 제 15 조, 제 17 조, 제 18 조, 제 26 조 ) 업무위탁시공개의무위반 ( 제 26 조 ) 개인정보의누설또는타인이용에제공 ( 제 59 조 ) 개인정보의훼손, 멸실, 변경, 위조, 유출 ( 제 59 조 ) 5 년이하징역또는 5 천만원이하벌금 3 년이하징역또는 3 천만원이하벌금 5 천만원이하과태료 3 천만원이하과태료 1 천만원이하과태료 5 년이하징역또는 5 천만원이하벌금 3 천만원이하과태료 1 천만원이하과태료 5 년이하징역또는 5 천만원이하벌금 CCTV 설치목적과다른목적으로임의조작하거나다른곳을비추는자또는녹음기능을사용한자 ( 제 25 조 )3 년이하징역또는 3 천만 직무상알게된비밀을누설하거나직무상목적외사용한자 ( 제 60 조 ) 안전성확보에필요한보호조치를취하지않아개인정보를도난ㆍ유출ㆍ변조또는훼손당하거나분실한자 ( 제 23 조, 제 24 조, 제 25 조, 제 29 조 ) 안전성확보에필요한조치의무불이행 ( 제 23 조, 제 24 조, 제 25 조, 제 29 조 ) CCTV 설치ㆍ운영기준위반 ( 제 25 조 ) 개인정보를분리해서저장ㆍ관리하지아니한자 ( 제 21 조 ) 개인정보처리방침미공개 ( 제 30 조 ) 개인정보보호책임자미지정 ( 제 31 조 ) CCTV 안내판설치등필요조치불이행 ( 제 25 조 ) 원이하벌금 2 년이하징역또는 1 천만원이하벌금 3 천만원이하과태료 1 천만원이하과태료 82
정보주체 권익보호 개인정보의정정ㆍ삭제요청에대한필요한조치를취하지않고, 개인정보를계속이용하거나제 3 자에게제공한자 ( 제 36 조 ) 개인정보의처리정지요구에따라처리를중단하지않고계속이용하거나제 3 자에게제공한자 ( 제 37 조 ) 개인정보유출사실미통지 ( 제 34 조 ) 정보주체의열람요구의부당한제한ㆍ거절 ( 제 35 조 ) 정보주체의정정ㆍ삭제요구에따라필요조치를취하지아니한자 ( 제 36 조 ) 처리정지된개인정보에대해파기등의조치를하지않은자 ( 제 37 조 ) 시정명령불이행 ( 제 64 조 ) 정보주체의열람, 정정ㆍ삭제, 처리정보요구거부시통지의무불이행 ( 제 35 조, 제 36 조, 제 37 조 ) 관계물품ㆍ서류등의미제출또는허위제출 ( 제 63 조 ) 출입ㆍ검사를거부ㆍ방해또는기피한자 ( 제 63 조 ) 2 년이하징역또는 1 천만원이하벌금 3 천만원이하과태료 1 천만원이하과태료 파기개인정보미파기 ( 제 21 조 ) 3 천만원이하과태료 주의사항 1 2 3 행정자치부장관은개인정보처리자에게 개인정보보호법 등개인정보보호와관련된법규의위반에따른범죄혐의가있다고인정될만한상당한이유가있을때에는관할수사기관에그내용을고발할수있음. 행정자치부장관은 개인정보보호법 등개인정보보호와관련된법규의위반행위가있다고인정될만한상당한이유가있을때에는책임이있는자 ( 대표자및책임있는임원을포함한다 ) 를징계할것을해당개인정보처리자에게권고할수있음. 이경우권고를받은사람은이를존중하여야하며그결과를행정자치부장관에게통보하여야함. 관계중앙행정기관의장은소관법률에따라개인정보처리자에대하여고발을하거나소속기관 단체등의장에게징계권고를할수있음. 이경우징계권고를받은사람은이를존중하여야하며그결과를관계중앙행정기관의장에게통보하여야함. 83
행정처분결과공표제도 2011 년개인정보보호법위반에대한행정처분결과를공개해경각심을고취하고, 유사사례발생을 막기위해도입 개인정보보호법제 66 조및시행령제 61 조에근거하여실시 당사자 관계자의경각심고취를통한경고적 예방적효과달성및유사사례발생방지를통한 개인정보보호법질서확립을그목적으로함. 다음의 7 가지항목가운데어느하나라도해당되는경우행정처분의결과를공표함. 항목내용 위반내용 위반정도 위반기간 위반횟수 피해범위 피해결과 시정조치 다른위반행위를은폐 조작하기위하여위반한경우 1 회과태료부과총금액이 1 천만원이상이거나과징금부과를받은경우 위반행위시점을기준으로위반상태가 6 개월이상지속된경우 행정처분시점을기준으로최근 3 년내과징금, 과태료부과또는시정조치명령을 2 회이상받은경우 유출 침해사고의피해자수가 10 만명이상인경우 유출 침해로재산상손실등 2차피해가발생하였거나불법적매매또는건강정보등민감정보의침해로사회적비난이높은경우 위반행위관련검사및자료제출요구등을거부 방해하거나시정조치명령을이행하지않음으로써이에대하여과태료부과를받은경우 84
유출기관명유출원인유출인원유출정보공표근거 유출 신고 ( 주 ) 해태제과식품해킹 526,584 명 이름, 주민번호, 주소, 아이디, 비밀번호, 이메일, 유출 침해사고피해자 수가 10 만명이상 14.7 월 사단법인한국교원단체총연합회 해킹 286,318 명 이름, 주민번호, 아이디, 비밀번호, 이메일 유출 침해사고피해자수가 10만명이상 14.4 월 ( 주 ) 더베이직하우스 해킹 218,798 명 아이디, 비밀번호, 전화번호, 이메일 유출 침해사고피해자수가 10만명이상 14.7 월 과태료 1 천만원이상 ( 주 ) 애경유지공업위탁직원 199,890 명 이름, 주민번호, 전화번호, 이메일 ( 과태료1,500만원부과 ) 유출 침해사고피해자 14.4 월 수가 10 만명이상 이름, 주민번호, 주소, ( 주 ) 파인리조트해킹 191,850 명 전화번호, 성별, 생년월일, 아이디, 비밀번호, 이메일, 유출 침해사고피해자수가 10만명이상 14.3 월 가입일, 결혼여부 85
감사합니다. ycpark@ysc.ac.kr 86