개인정보보호위원회 표준개인정보보호지침 전문과 다운로드

개인정보보호위원회 표준개인정보보호지침 전문과 다운로드 입니다. 예전 표준 개인정보 보호지침은 행정안전부 고시였으나 표준 개인정보 보호지침은 개인정보보호법 개정에 따라 개인정보보호 관련 업무 주관부처가 개인정보보호 위원회로 이관 되었으며  개인정보보호위원회 고시로 공포되었습니다. 관리사무소에 출력하여 비치 해놓으십시요.

 

 

 

표준 개인정보보호지침 전문

표준 개인정보보호지침 전문입니다. 더보기를 누르시면 전문이 표시가 되오니 목차를 살펴보시고 필요하신 부분을 찾아 전문을 살펴보시면 빠르게 살펴 보실 수 있습니다.

 

관련 내용 : 개인정보보호법 전문과 다운로드

 

섬네일

 

(개인정보보호위원회) 표준 개인정보보호지침

 

[시행 2020.8.11.][개인정보보호위원회 고시 제2020-1호, 2020.8.11., 제정.]

개인정보보호위원회(개인정보보호정책과),02-2100-3053

제1장 총칙

제1조(목적)이 지침은「개인정보보호법」(이하"법"이라 한다) 제12조 제1항에 따른 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다.

제2조(용어의 정의)이지 침에서 사용하는 용어의 뜻은 다음과 같다.
1."개인정보처리"란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그밖에 이와 유사한 행위를 말한다.
2."개인정보 처리자"란 업무를 목적으로 법제 2조 제4호에 따른 개인정보 파일을 운용하기 위하여 개인정보를 처리하는 모든 공공기관, 영리 목적의 사업자, 협회·동창회 등비 영리 기관·단체, 개인 등을 말한다.
3."공공기관"이란 법제 2조 제6호 및「개인정보보호법 시행령」(이하"영"이라 한다) 제2조에 따른 기관을 말한다.
4."친목단체"란 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로서 자원봉사, 취미, 정치, 종교 등 공통의 관심사 나목 표를 가진 사람 간의 친목도모를 위한 각종 동창회, 동호회, 향우회, 반상회 및 동아리 등의 모임을 말한다.
5."개인정보보호책임자"란 개인정보 처리자의 개인정보처리에 관한 업무를 총괄해서 책임지는 자로 서영제 32조 제2항에 해당하는 자를 말한다.
6."개인정보취급자"란 개인정보 처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제 근로자 등을 말한다.
7."개인정보처리 시스템"이란 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.
8."영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 영 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.
9."개인 영상정보"란 영상정보 처리기기에 의하여 촬영·처리되는 영상정보 중개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.
10."영상정보 처리기 기운 영자"란 법제 25조 제1항 각호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.
11."공개된 장소"란 공원, 도로, 지하철, 상가 내부, 주차장 등불 특정 또는 다수가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.

제3조(적용범위)이 지침 은전자 적파 일과 인쇄물, 서면 등 모든 형태의 개인정보 파일을 운용하는 개인정보 처리자에게 적용된다.

제4조(개인정보보호 원칙)①개인정보 처리자는 개인정보처리 목적을 명확하게 하여 야하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법 하 고정당하게 수집하여야 한다.
②개인정보 처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③개인정보 처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성과 최신성을 유지하도록 하여 야하고, 개인정보를 처리하는 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 하여야 한다.
④개인정보 처리자는 개인정보의 처리방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 통하여 개인정보를 안전하게 관리하여야 한다.
⑤개인정보 처리자는 개인정보처리 방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등정 보주체의 권리가 보장될 수 있도록 합리적인 절차와 방법 등을 마련하여야 한다.
⑥개인정보 처리자는 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에 도정 보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦개인정보 처리자는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무목적을 달성할 수 있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧개인정보 처리자는 관계법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

제5조(다른 지침과의 관계) 중앙행정기관의 장이 소관분야의 개인정보처리와 관련한 개인정보보호지침을 정하는 경우에는 이 지침에 부합되도록 하여야 한다.

 

제2장 개인정보처리기준

제1절 개인정보의 처리

제6조(개인정보의 수집·이용)①개인정보의"수집"이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.
②개인정보 처리자는 다음 각호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체로부터 사전에 동의를 받은 경우
2. 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
3. 법령에서 개인정보 처리자에게 구체적인 의무를 부과하고 있고, 개인정보 처리자가 개인정보를 수집·이용하지 않고는 그 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
4. 공공기관이 개인정보를 수집·이용하지 않고는 법령 등에서 정한 소관업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우
5. 개인정보를 수집·이용하지 않고는 정보주체와 계약을 체결하고, 체결된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
6. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제삼자(정보주체를 제외한 그 밖의 모든 자를 말한다)의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
7. 개인정보 처리자가 법령 또는 정보주체와의 계약 등에 따른 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 다만, 이경우 개인정보의 수집·이용은 개인정보 처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니한 경우에 한한다.
③개인정보 처리자는 정보주체로부터 직접 명함 또는 그 와요 사한 매체(이하"명함 등"이라 함)를 제공 받음으로써 개인정보를 수집하는 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
④개인정보 처리자는 인터넷 홈페이지 등 공개된 매체 또는 장소(이하"인터넷 홈페이지 등"이라 함)에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시내용에 비추어 사회통념상 동의 의사가 있었다고 인정 되는 범위 내에서만 이용할 수 있다.
⑤개인정보 처리자는 계약 등의 상대방 인정 보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의개인정보를수집·이용할 수 있다.
⑥근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지 제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.

제7조(개인정보의 제공)①개인정보의"제공"이란 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제삼자의 접근권한 부여, 개인정보 처리자와 제삼자의 개인정보공유 등 개인정보의 이전 또는 공동이용상태를 초래하는 모든 행위를 말한다.
②법제 17조의"제삼자"란 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보 처리자를 제외한모 든 자를 의미하며, 정보주체 의대리인(명백히 대리의 범위 내에 있는 것에 한한다)과 법제 26조 제2항에 따른 수탁자는 제외한다(이하 같다).
③개인정보 처리자 가법 제17조제 2항 제1 호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과연락처를함께 알려야 한다.

제8조(개인정보의 목적 외 이용·제공)①개인정보 처리자가 법제 18조 제2항에 따라 개인정보를 목적 외의 용도로 제삼자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서를 포함한다. 이하 같다)로요청하여야 한다. 이경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보 처리자에게 문서로 알려야 한다.
②법제 18조 제2항에 따라 개인정보를 목적 외의 용도로 제삼자에게 제공하는 자는 해당 개인정보를 제공받는 자와 개인정보의 안전성 확보조치에 관한 책임 관계를 명확히 하여야 한다.
③개인정보 처리자 가법 제18조제 3항 제1 호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과연락처를함께 알려야 한다.

제9조(개인정보수집 출처 등고지)①개인정보 처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법제 20조 제1항 각호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 고지를 요구하는 대상이 되는 개인정보가 법제 32조 제2항 각 호의 어느 하나에 해당하는 개인정보 파일에 포함되어있는 경우
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
②개인정보 처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일이 내에 그거 부의 근거와 사유를 정보주체에게 알려야 한다.

제10조(개인정보의 파기방법 및 절차)①개인정보 처리자는 개인정보의 보유기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다.
②영제 16조 제1항 제1호의‘복원이 불가능 한방 법’ 이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다.
③개인정보 처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다.
④개인정보보호책임자는 개인정보파기 시행 후 파기 결과를 확인하여야 한다.
⑤개인정보 처리자 중공 공기관의 개인정보 파일 파기에 관하 여는 제55조및제56조를 적용한다.

제11조(법령에 따른 개인정보의 보존)①개인정보 처리자가 법제 21조 제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적방법으로분리하여서저장·관리하여야 한다.
②제1항에 따라 개인정보를 분리하여 저장·관리하는 경우에는 개인정보처리 방침 등을 통하여 법령에 근거하여 해당 개인정보 또는 개인정보 파일을 저장·관리한다는 점을 정보주체가 알 수 있도록 하여 야한다.
제12조(동의를 받는 방법)①개인정보 처리자가 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 하며, 정보주체의 동의는 동의가 필요한 개인정보에 한한다. 이경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보 처리자가 부담한다.
②개인정보 처리자는 다음 각호의 어느 하나에 해당하는 경우에는 정보주체에게 법 제18조 제3항 각호의 사항을 알리고 동의를 받아야 한다.
1. 개인정보를 수집·이용하고자 하는 경우로서 법제 15조 제1항 제2호 내지 제6호에 해당하지 않은 경우
2. 법제 18조 제2항에 따라 개인정보를 수집 목적 외의 용도로 이용하거나 제공하고자 하는 경우
3. 법제 22조 제3항에 해당하 여정 보주체에게 재화나 서비스를 홍보하거나 판매를 권유하고자 하는 경우
4. 주민등록번호 외의 고유 식별정보처리가 필요한 경우로서 법령에 고유 식별정보처리 근거가 없는 경우
5. 민감정보를 처리하고자 하는 경우로서 법령에 민감정보처리 근거가 없는 경우
③개인정보 처리자는 제2항 각호에 해당하여 개인정보를 처리하고자 하는 경우에는 정보주체에게 동의 또는 동의 거부를 선택할 수 있음을 명시적으로 알려 야한다.
④개인정보 처리자는 법제 15조 제1항 제2호 내지 제6호에 따라 정보주체의 동의 없이 개인정보를 수집하는 경우에는 개인정보를 수집할 수 있는 법적 근 거 등을 정보주체에게 알리기 위해 노력하여야 한다.
⑤개인정보 처리자가 영 제17조 제1항 제2호의 규정에 따라 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취 사실을 정보주체에게 알려 야한 다.
⑥개인정보 처리자가 친목단체를 운영하기 위하여 다음 각호의 어느 하나에 해당하는 개인정보를 수집하는 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있다.
1. 친목단체의 가입을 위한 성명, 연락처 및친 목단체의 회칙으로 정한 공통의 관심사 나목 표와 관련된 인적사항
2. 친목단체 의회 비등 친목유지를 위해 필요한 비용의 납부 현황에 관한 사항
3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동 내용에 관한 사항
4. 기타 친목단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항
⑦개인정보 처리자 가정 보주체의 동의를 받기 위하여 동의서를 작성하는 경우에는「개인정보수집·제공 동의서 작성 가이드라인」을 준수하여야 한다.

제13조(법정대리 인의동의)①영 제17조 제3항에 따라 개인정보 처리자 가법 정 대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.
②개인정보 처리자는 법제 22조 제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일이 내에 파기해야 한다.

제14조(정보주체 의사 전동의를 받을 수 없는 경우) 개인정보 처리자 가법 제15조제 1항 제5 호 및 법 제18조 제2항 제3호에 따라 정보주체 의사 전동의 없이 개인정보를 수집·이용 또는 제공한 경우 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집·이용 또는 제공한 사실과 그 사유 및 이용내역을 알려야 한다.

제15조(개인정보취급자에 대한 감독)①개인정보 처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보처리 범위를 업무상 필요한한도 내에서 최소한으로 제한하여야 한다.
②개인정보 처리자는 개인정보처리 시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해 야한다.
③개인정보 처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.

 

제2절 개인정보처리의 위탁

제16조(수탁자의 선정 시 고려사항) 개인정보의 처리업무를 위탁하는 개인정보 처리자(이하"위탁자"라 한다) 가 개인정보처리업 무를 위탁받아 처리하는 자(이하"수탁자"라 한다)를선정할때에는 인력과 물적 시설, 재정부담능력, 기술 보유의 정도, 책임능력 등 개인정보처리 및 보호 역량을 종합적으로 고려하여야 한다.
제17조(개인정보보호조치 의무) 수탁자는 위탁받은 개인정보를 보호하기 위하여「개인정보의 안전성 확보조치기준 고시」에 따른 관리적·기술적·물리적 조치를 하여 야한다.

 

제3절 개인정보처리 방침 작성

제18조(개인정보처리 방침의 작성기준 등)①개인정보 처리자가 개인정보처리 방침을 작성하는 때에는 법제 30조 제1항 각호 및 영제 31조 제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적 이고명 확 하게 표현하여야 한다.
②개인정보 처리자는 처리하는 개인정보가 개인정보의 처리 목적에 필요한 최소한이라는 점을 밝혀 야한다.

제19조(개인정보처리 방침의 기재사항) 개인정보 처리자가 개인정보처리 방침을 작성할 때에는 법제 30조 제1항에 따라 다음 각호의 사항을 모두 포함하여야 한다.
1. 개인정보의 처리 목적
2. 처리하는 개인정보의 항목
3. 개인정보의 처리 및 보유기간
4. 개인정보의 제삼자 제공에 관한 사항(해당하는 경우에만 정한다)
5. 개인정보의 파기에 관한 사항
6. 개인정보처리 수탁자 담당자 연락처, 수탁자의 관리현황 점검결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
7. 영제 30조 제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
8. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등정 보주체의 권리·의무 및 그 행사방법에 관한 사항
9. 개인정보처리 방침의 변경에 관한 사항
10. 개인정보보호책임자에 관한 사항
11. 개인정보의 열람청구를 접수·처리하는 부서
12. 정보주체의 권익침해에 대한 구제방법

제20조(개인정보처리 방침의 공개)①개인정보 처리자가 법제 30조 제2항에 따라 개인정보처리 방침을 수립하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며, 이경우"개인정보처리 방침"이라는 명칭을 사용하되, 글자크기, 색상 등을 활용하여 다른고 지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
②개인정보 처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리 상의하자가 있는 경우에는 영제 31조 제3항 각 호의 어느 하나 이상 의방 법으로 개인정보처리 방침을 공개하여야 한다. 이경우에도"개인정보처리 방침"이라는 명칭을 사용하되, 글자크기, 색상 등을 활용하여 다른고 지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
③개인정보 처리자가 영제 31조 제3항 제3호의 방법으로 개인정보처리 방침을 공개하는 경우에는 간행물·소식지·홍보지·청구서 등이 발행될 때마다 계속하여 게재하여야 한다.

제21조(개인정보처리 방침의 변경) 개인정보 처리자가 개인정보처리 방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하 여공 개 하여 야한다.

 

제4절 개인정보보호책임자

제22조(개인정보보호책임자의 공개)①개인정보 처리자가 개인정보보호책임자를 지정하거나 변경하는 경우 개인정보보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.
②개인정보 처리자는 개인정보보호책임자를 공개하는 경우 개인정보보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이경우 개인정보보호책임자와 개인정보보호업무를 처리하는담 당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 공개할 수 있다.

제23조(개인정보보호책임자의 교육) 영제 32조 제4항에 따라 보호위원회가 개설 운영할 수 있는 개인정보보호책임자에 대한 교육의 내용은 다음 각호와 같다.
1. 개인정보보호 관련 법령 및 제도의 내용
2. 법제 31조 제2항 및 영제 32조 제1항 각호의 업무수행에 필요한 사항
3. 그밖에 개인정보 처리자의 개인정보보호를 위하여 필요한 사항

제24조(교육계획의 수립 및 시행)①보호위원회는 매년 초당 해연도 개인정보보호책임자 교육계획을 수립하여 시행한다.
②보호위원회는 제1 항의 교육계획에 따라 사단법인 한국 개인정보보호협의회 등의 단체에 개인정보보호책임자 교육을 실시하게 할 수 있다.
③보호위원회는 개인정보보호책임자가 지리적·경제적 여건에 구애받지 않고 편리하게 교육을 받은 수 있는 여건 조성을 위해 노력하여야 한다.

 

제5절개 인정보 유출 통지 및 신고 등

제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보 처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보 처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각호의 어느 하나에 해당하는 경우를 말한다.
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리 시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보 처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달된 경우

제26조(유출 통지시기 및 항목)①개인정보 처리자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각호의 사항을 알려야 한다. 다만 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다.
1. 유출된 개인정보 의항 목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보 처리자의 대응 조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
②개인정보 처리자는 제1항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.
1. 정보주체에게 유출이 발생한 사실
2. 제1항의 통지 항목 중 확인된 사항
③개인정보 처리자는 개인정보유출사고를 인지하지 못해 유출사고가 발생한 시점으로부터 5일이 내에 해당 정보주체에게 개인정보유출 통지를 하지 아니 한경우에는 실제 유출사고를 알게 된 시점을 입증하여야 한다.

제27조(유출 통지방법)①개인정보 처리자는 정보주체에게 제26조 제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여지체없이 정보주체에게 알려야 한다.
②개인정보 처리자는 제1 항의 통지방법과동시에, 홈페이지 등을 통하 여제 26조 제1항 각호의 사항을 공개할 수 있다.

제28조(개인정보유출신고 등)①개인정보 처리자는 1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 보호위원회 또는 영제 39조 제2항의 전문기관에게 신고하여야 한다.
②제1항에 따른 신고는 별지 제1호 서식에 따른 개인정보유출 신고서를 통하여하여야 한다.
③개인정보 처리자는 전자우편, 팩스 또는 영제 39조 제2항에 따른 전문기관의 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를통하여제 26조 제1항의 사항을 신고한 후, 별지 제1 호서 식에 따른 개인정보유출 신고서를 제출할 수 있다.
④개인정보 처리자는 1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제26조 제1항에 따른 통지와 함께 인터넷 홈페이지 등에 정보주체가 알아보기 쉽도록 제26조 제1항 각 호의 사항을 7일 이상 게재하여야 한다.

제29조(개인정보유출사고대응 매뉴얼 등)①다음 각호의 어느 하나에 해당하는 개인정보 처리자는 유출사고 발생 시신 속한 대응을 통해 피해 발생을 최소화하기 위해「개인정보유출사고대응 매뉴얼」을 마련하여야 한다.
1. 법제 2조 제6호에 따른 공공기관
2. 그밖에 1천 명이 상의 정보주체에 관한 개인정보를 처리하는 개인정보 처리자
②제1항에 따른 개인정보유출사고대응 매뉴얼에는 유출 통지·조회 절차, 영업점·인터넷 회선 확충 등고객 민원 대응 조치, 현장 혼잡 최소화 조치, 고객 불안 해소 조치, 피해자 구제조치 등을 포함하여 야한다.
③개인정보 처리자는 개인정보유출에 따른 피해복구조치 등을 수행함에 있어 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력하여야 한다.

제30조(개인정보 침해사실의 신고처리 등)①개인정보 처리자의 개인정보처리로 인하여 개인정보에 관한 권리 또는 이익을 침해받은 사람은 법제 62조 제2항에 따른 개인정보침해신고센터에 침해사실을 신고할 수 있다.
②제1항에 따른 개인정보침해신고센터는 다음 각호의 업무를 수행한다.
1. 개인정보처리와 관련 한신 고의 접수·상담
2. 개인정보 침해신고에 대한 사실조사·확인 및 관계자의 의견청취
3. 개인정보 처리자에 대한 개인정보 침해사실 안내 및 시정 유도
4. 사실조사 결과 가정 보주체의 권리 또는 이익 침해사실이 없는 것으로 판단되는 경우 신고의 종결처리
5. 법제 43조에 따른 개인정보분쟁조정위원회 조정 안내 등을 통한 고충해소 지원

 

제6절정 보주체의 권리보장

제31조(개인정보 열람 연기사유의 소멸)①개인정보 처리자가 법제 35조 제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일이 내에 열람하도록 하여 야한다.
②정보주체로부터 영제 41조 제1항 제4호의 규정에 따른 개인정보의 제삼자 제공 현황의 열람청구를 받은 개인정보 처리자는 국가안보에 긴요한사안으로 법제 35조 제4항 제3호마 목의 규정에 따른 업무를 수행하는데 중대한 지장을 초래하는 경우, 제삼자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.

제32조(개인정보의 정정·삭제)①개인정보 처리자 가법 제36조 제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
②정보주체의 정정·삭제 요구가 법제 36조 제1항 단서에 해당하는 경우에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거법령의 내 용을 정보주체에게 알려야 한다.

제33조(개인정보의 처리정지)①개인정보 처리자가 정보주체로부터 법제 37조 제1항에 따라 개인정보처리를 정지하도록 요구받은 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일이 내에 개인정보처리의 일부 또는 전부를 정지하여야 한다. 다만, 법제 37조 제2항 단서에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
②개인정보 처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등정 보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알려야 한다.

제34조(권리행사의 방법 및 절차)①개인정보 처리자는 정보주체가 법제 38조 제1항에 따른 열람 등 요구를 하는 경우에는 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열 람 요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집 시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다.
②제1항의 규정은 영제 46조에 따라 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 영제 47조에 따른 수수료와 우송료의 정산에도 준용한다.

 

제3장 영상정보처리기기 설치·운영

 

제1절영상 정보처리기기의 설치

제35조(적용범위) 이장은 영상정보 처리기 기운 영자가 공개 된장 소에 설치·운영하는 영상정보처리기기와 이기기를 통하여 처리되는 개인 영상정보를 대상으로 한다.

제36조(영상정보처리기기 운영·관리지침)①영상정보처리기기 운영·관리지침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
②영상정보처리기기 운영·관리지침을 마련한 경우에는 법제 30조에 따른 개인정보처리 방침을 정하지 아니하거나, 영상정보처리기기 설치·운영에 관한 사항을 법제 30조에 따른 개인정보처리 방침에 포함하여 정할 수 있다.

제37조(관리책임자의 지정)①영상정보 처리기 기운 영자는 개인 영상정보의 처리에 관한 업무를 총괄해서 책임질 관리책임자를 지정하여 야한다.
②제1항의 관리책임자는 법제 31조 제2항에 따른 개인정보보호책임자의 업무에 준하여 다음 각호의 업무를 수행한다.
1. 개인 영상정보보호계획의 수립 및 시행
2. 개인 영상정보처리실태 및 관행 의정 기적인 조사 및 개선
3. 개인 영상정보처리와 관련한 불만의 처리 및 피해구제
4. 개인 영상정보유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인 영상정보보호 교육계획 수립 및 시행
6. 개인 영상정보 파일의 보호 및 파기에 대한 관리·감독
7. 그밖에 개인 영상정보의 보호를 위하여 필요한 업무
③법제 31조에 따른 개인정보보호책임자가 지정되어있는 경우에는 그 개인정보보호책임자가 관리책임자의 업무를 수행할 수 있다.

제38조(사전 의견수렴) 영상정보처리기기의 설치 목적 변경에 따른 추가 설치 등의 경우에도 영제 23조 제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.

제39조(안내판의 설치)①영상정보 처리기 기운 영자는 정보주체가 영상정보처리기기가 설치·운영중임을 쉽게 알아볼 수 있도록 법제 25조 제4항 본문에 따라 다음 각호의 사항을 기재한 안내판 설치 등 필요한 조치를 하여야 한다.
1. 설치 목적 및 장소
2. 촬영범위 및 시간
3. 관리책임자의 성명 또는 직책 및 연락처
4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
②제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 영상정보 처리기 기운 영자가 안내판의 크기, 설치 위치 등을 자율적으로 정할 수 있다.
③공공기관의 장이 기관 내 또는 기관 간에 영상정보처리기기의 효율적 관리 및 정보연계 등을 위해 용도별·지역별 영상정보처리기기를 물리적·관리적으로 통합하여 설치·운영(이하‘통합관리’라 한다) 하는 경우에는 설치 목적 등통합 관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 제1항에 따른 안내판에 기재하여야 한다.

 

제2절 개인 영상정보의 처리

제40조(개인 영상정보이용·제삼자 제공 등 제한 등)①영상정보 처리기 기운 영자는 다음 각호의 경우를 제외하고는 개인 영상정보를 수집 목적 이외로 이용하거나 제삼자에게 제공하여서는 아니 된다. 다만 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
1. 정보주체에게 동의를 얻은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제삼자의 급 박한생 명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계 작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인 영상정보를 제공하는 경우
5. 개인 영상정보를 목적 외의 용도로 이용하거나 이를 제삼자에게 제공하지 아니하면 다른 법률에서 정하는 소관업무를 수행할 수 없는 경우로서 보호위원회 의심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국 정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무수행을 위하여 필요한 경우
9. 형(刑)및 감호, 보호처분의 집행을 위하여 필요한 경우

제41조(보관 및 파기)①영상정보 처리기 기운 영자는 수집한 개인 영상정보를 영상정보처리기기 운영·관리방침에 명시한 보관기간이 만료한 때에는 지체 없이 파 기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니하다.
②영상정보 처리기 기운 영자가 그 사정에 따라 보유목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관기간을 개인 영상정보수집 후 30일이 내로 한다.
③개인 영상정보의 파기방법은 다음 각호의 어느 하나와 같다.
1. 개인 영상정보가 기록된 출력물(사진 등)등은 파쇄 또는 소각
2. 전자기적(電磁氣的) 파일 형태의 개인 영상정보는 복원이 불가능한 기술적 방법으로 영구삭제

제42조(이용·제삼자 제공·파기의 기록 및 관리)①영상정보 처리기 기운 영자는 개인 영상정보를 수집 목적 이외로 이용하거나 제삼자에게 제공하는 경우에는 다음 각호의 사항을 기록하고 이를 관리하여야 한다.
1. 개인 영상정보 파일의 명칭
2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭
3. 이용 또는 제공의 목적
4. 법령상 이용 또는 제공 근거가 있는 경우 그 근거
5. 이용 또는 제공의 기간이 정 하여져 있는 경우에는 그 기간
6. 이용 또는 제공의 형태
②영상정보 처리기 기운 영자가 개인 영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리하여야 한다.
1. 파기하는 개인 영상정보 파일의 명칭
2. 개인 영상정보파기 일시(사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 관한 확인 시기)
3. 개인 영상정보파기 담당자

제43조(영상정보 처리기기 설치 및 관리 등의 위탁)①영상정보 처리기 기운 영자가 영제 26조 제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제삼자에게 위탁하는 경우에는 그 내용을 정보주체가 언제든지 쉽게 확인할 수 있도록 영제 24조에 따른 안내판 및 영제 27조에 따른 영상정보처리기기 운영·관리방침에 수탁자의 명칭 등을 공개하여야 한다.
②영상정보 처리기 기운 영자가 영제 26조 제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제삼자에게 위탁할 경우에는 그 사무를 위탁받은 자가 개인 영상정보를 안전하게 처리하고 있는지를 관리·감독하여야 한다.

 

제3절 개인 영상정보의 열람 등 요구

제44조(정보주체의 열람 등 요구)①정보주체는 영상정보 처리기 기운 영자가 처리하는 개인 영상정보에 대하여 열람 또는 존재 확인(이하"열람 등"이라 한다) 을해당 영상정보 처리기 기운 영자에게 요구할 수 있다. 이 경우 정보주체가 열람 등을 요구할 수 있는 개인 영상정보는 정보주체 자신이 촬영된 개인 영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인 영상정보에 한한다.
②영상정보 처리기 기운 영자가 공공기관인 경우에는 해당 기관의 장에게 별지 제2호 서식에 따른 개인 영상정보 열람·존재 확인 청구서(전자문서를 포함한다)로 하여야 한다.
③영상정보 처리기 기운 영자는 제1항에 따른 요구를 받았을 때에는 지체없이 필요한 조치를 취하여야 한다. 이때에 영상정보 처리기 기운 영자는 열람 등 요구를 한자가 본인이거나 정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야 한다.
④제3항의 규정에 도 불구하고 다음 각호에 해당하는 경우에는 영상정보 처리기 기운 영자는 정보주체의 개인 영상정보 열람 등 요구를 거부할 수 있다. 이경우 영상정보 처리기 기운 영자는 10일이 내에 서면 등으로 거부사유를 정보주체에게 통지하여야 한다.
1. 범죄 수사·공소유지·재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)
2. 개인 영상정보의 보관기간이 경과 하 여파 기한 경우
3. 기타 정보주체의 열람 등 요구를 거부할만한 정당한 사유가 존재하는 경우
⑤영상정보 처리기 기운 영자는 제3항 및 제4항에 따른 조치를 취하는 경우 다음 각호의 사항을 기록하고 관리하여야 한다.
1. 개인 영상정보 열람 등을 요구한 정보주체의 성명 및 연락처
2. 정보주체가 열람 등을 요구한 개인 영상정보 파일의 명칭 및 내용
3. 개인 영상정보 열람 등의 목적
4. 개인 영상정보 열람 등을 거부한 경우 그거 부의 구체적 사유
5. 정보주체에게 개인 영상 정보사 본을 제공한 경우 해당 영상정보의 내용과 제공한 사유
⑥정보주체는 영상정보 처리기 기운 영자에게 정보주체 자신의 개인 영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개인 영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보 처리기 기운 영자가 해당 파기 조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다.

제45조(개인 영상정보관리대장) 제42조 제1항 및 제2항, 제44조 제5항 및 제6항에 따른 기록 및 관리는 별지 제3호 서식에 따른 ‘개인 영상정보관리대장’ 을 활용할 수 있다.

제46조(정보주체 이외 의자의 개인 영상정보보호) 영상정보 처리기 기운 영자는 제44조 제2항에 따른 열람 등조 치를 취하는 경우, 만일 정보주체 이외 의자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해의 우려가 있는 경우에는 해당되는 정보주체 이외의 자의 개인 영상정 보를 알아볼 수 없도록 보호조치를 취하여야 한다.

 

제4절 개인 영상정보보호조치

제47조(개인 영상정보의 안전성 확보를 위한 조치) 영상정보 처리기 기운 영자는 개인 영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법제 29조 및 영제 30조 제1항에 따라 안전성 확보를 위하여 다음 각호의 조치를 하여야 한다.
1. 개인 영상정보의 안전한 처리를 위한 내부관리계획의 수립·시행, 다만「개인정보의 안전성 확보조치기준 고시」제2조 제4호에 따른 ‘소상공인’ 은 내부 관리계획을 수립하지 아니할 수 있다.
2. 개인 영상정보에 대한 접근통제 및 접근권한의 제한 조치
3. 개인 영상정보를 안전하게 저장·전송할 수 있는 기술의 적용(네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인 영상정보 파일 저장 시 비밀번호 설정 등)
4. 처리기록의 보관 및 위조·변조 방지를 위한 조치(개인 영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등기 록·관리 조치 등)
5. 개인 영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

제48조(개인 영상정보처리기기의 설치·운영에 대한 점검)①공공기관의 장이 영상정보 처리기 기를 설치·운영하는 경우에는 이 지침의 준수 여부에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 보호위원회에게 통보하고 영제 34조 제3항에 따른시스템에등록하여야 한다. 이경우 다음 각호의 사항을 고려하여야 한다.
1. 영상정보처리기기의 운영·관리방침에 열거된 사항
2. 관리책임자의 업무수행현황
3. 영상정보 처리기기의 설치 및 운영현황
4. 개인 영상정보수집 및 이용·제공·파기 현황
5. 위탁 및 수탁자에 대한 관리·감독 현황
6. 정보주체의 권리행사에 대한 조치현황
7. 기술적·관리적·물리적 조치현황
8. 영상정보 처리기 설치·운영의 필요성 지속 여부 등
②공공기관의 장은제 1항 과제 3항에 따른 영상정보 처리기기 설치·운영에 대한 자체점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 한다.
③공공기관 외의 영상정보 처리기 기운 영자는 영상정보처리기기 설치·운영으로 인하여 정보주체의 개인 영상정보의 침해가 우려되는 경우에는 자체점검 등 개인 영상정보의 침해 방지를 위해 적극 노력하여야 한다.

 

제4장 공공기관 개인정보 파일 등록·공개

 

제1절 총칙

제49조(적용대상) 이장의 적용대상은 다음과 같다.
1. 중앙행정기관(대통령 소속기관과 국무총리 소속기관을 포함한다)및 그 소속기관, 지방자치단체
2.「국가인권위원회법」에 따른 국가인권위원회
3.「공공기관의 운영에 관한 법률」에 따른 공공기관
4.「지방공기업법」에 따른 지방공사 및 지방공단
5. 특별법에 의하여 설립된 특수법인
6.「초·중등교육법」,「고등교육법」및 그 밖의 다른 법률에 따라 설치된 각급 학교

제50조(적용제외) 이장은 다음 각호의 어느 하나에 해당하는 개인정보 파일에 관하 여는 적용하지 아니한다.
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보 파일
2. 법제 32조 제2항에 따라 적용이 제외되는 다음 각목의 개인정보 파일
가. 국가안전, 외교상 비밀, 그밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일
나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정 처분, 보호처분, 보안관찰 처분과 출입국관리에 관한 사항을 기록한 개인정보 파일
다.「조세범 처벌법」에 따른 범칙행위 조사 및「관세법」에따른범칙행위 조사에 관한 사항을 기록한 개인정보 파일
라. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보 파일
마. 다른 법령에 따라 비밀로 분류된 개인정보 파일
3. 법 제58조 제1항에 따라 적용이 제외되는 다음 각목의 개인정보 파일
가. 공공기관이 처리하는 개인정보 중「통계법」에따라수집되는 개인정보 파일
나. 국가안전보장과 관련된 정보분석을 목적으로 수집 또는 제공 요청되는 개인정보 파일
다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보 파일
4. 영상정보처리기기를 통하여 처리되는 개인 영상정보 파일
5. 자료·물품 또는 금전 의송부,1회 성행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보 파일
6.「금융실명거래 및 비밀보장에 관한 법률」에따른금융기관이 금융업무 취급을 위해 보유하는 개인정보 파일

 

제2절 개인정보 파일의 등록 주체와 절차

제51조(개인정보 파일 등록 주체)①개인정보 파일을 운용하는 공공기관의 개인정보보호책임자는 그 현황을 보호위원회에 등록하여야 한다.
②중앙행정기관, 광역자치단체, 특별자치 시도, 기초자치단체는 보호위원회에 직접 등록하여야 한다.
③교육청 및 각급 학교 등은 교육부를 통하여 보호위원회에 등록하여야 한다.
④중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 보호위원회에 등록하여야 한다.

제52조(개인정보 파일 등록 및 변경 신청)①개인정보 파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보보호책임자에게 개인정보 파일 등록을 신청하여야 한다.
②개인정보 파일 등록신청사항은 다음의 각호와 같다. 신청은「개인정보보호 법고 시」(이하"고시"라 한다) 제3조 제2항에 따른 별지 제2호 서식의‘개인정보 파일 등록·변경등록신청서‘를활용할수 있다.
1. 개인정보 파일을 운용하는 공공기관의 명칭
2. 개인정보 파일의 명칭
3. 개인정보 파일의 운영근거 및 목적
4. 개인정보 파일에 기록되는 개인정보의 항목
5. 개인정보 파일로 보유하고 있는 개인정보의 정보주체수
6. 개인정보의 처리방법
7. 개인정보의 보유기간
8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
9. 해당 공공기관에서 개인정보처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수·처리하는 부서
11. 개인정보 파일의 개인정보 중 법제 35조 제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
12. 법제 33조 제1항에 따른 개인정보 영향평가를 받은 개인정보 파일의 경우에는 그 영향평가의 결과
③개인정보취급자는 등록한 사항이 변경된 경우에는 고시 제3조 제2항에따른별지제2호 서식의‘개인정보 파일 등록·변경등록신청서‘를활용하여개인정보보호책임자에게 변경을 신청하여야 한다.

제53조(개인정보 파일 등록 및 변경 확인)①개인정보 파일 등록 또는 변경 신청을 받은 개인정보보호책임자는 등록·변경사항을 검토하고 그적 정성을 판단한후보호위원회에 등록하여야 한다.
②교육청 및 각급 학교 등의 개인정보보호책임자는 교육부에 제1항에 따른 등록·변경사항의 검토 및 적정성 판단을 요청한 후, 교육부의 확인을받아보호위원회에 등록하여야 한다.
③중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 제1항에 따른 등록·변경사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을받아보호위원회에 등록하여야 한다.
④제1항부터 제3항의 등록은 60일 이내에 하여야 한다.

제54조(개인정보 파일 표준 목록 등록과 관리)①특별지방행정기관, 지방자치단체, 교육기관(학교 포함) 등전 국적으로 단일한 공통업무를 집행하고 있는 기관은 각 중앙행정기관에서 제공하는 ‘개인정보 파일 표준 목록’에따라등록해야 한다.
②전국 단일의 공통업무와 관련된 개인정보 파일 표준 목록은 해당 중앙부처에서 등록·관리해야 한다.

제55조(개인정보 파일의 파기)①공공기관은 개인정보 파일의 보유기간 경과, 처리 목적 달성 등 개인정보 파일 이불 필요하게 되었을 때에는 지체 없이 그 개인정보 파일을 파 기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
②공공기관은 개인정보 파일의 보유기간, 처리 목적 등을 반영한 개인정보파기 계획을 수립·시행하여야 한다. 다만, 영제 30조제 1항 제1 호에 따른 내부관리계획이 수립되어있는 경우에는 내부관리계획에 개인정보파기 계획을 포함하여 시행할 수 있다.
③개인정보취급자는 보유기간 경과, 처리 목적 달성 등 파기 사유가 발생한 개인정보 파일을 선정하고, 별지 제4호 서식에 따른 개인정보 파일 파기 요청서에 파기 대상 개인정보 파일의 명칭, 파기방법 등을 기재하여 개인정보보호책임자의 승인을 받아 개인정보를 파 기하여야 한다.
④개인정보보호책임자는 개인정보파기 시행 후 파기 결과를 확인하고 별지 제5 호서 식에 따른 개인정보 파일 파기 관리대장을 작성하여 야한다.
제56조(개인정보 파일 등록사실의 삭제)①개인정보취급자는 제55조에 따라 개인정보 파일을 파기한 경우, 법제 32조에 따른 개인정보 파일의 등록사실에 대한 삭제를 개인정보보호책임자에게 요청해야 한다.
②개인정보 파일 등록의 삭제를 요청받은 개인정보보호책임자는 그 사실을 확인하고, 지체 없이 등록사실을 삭제한 후 그 사실을 보호위원회에 통보한다.

제57조(등록·파기에 대한 개선 권고)①공공기관의 개인정보보호책임자는 제53조 제1항에 따라 검토한 개인정보 파일이 과다하게 운용되고 있다고 판단되는 경우에는 개선을 권고할 수 있다.
②교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보보호책임자는 제53조제2항및제53조 제3항에 따라 검토한 개인정보 파일이 과다하게 운용된다고 판단되거나, 등록되지 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고할 수 있다.
③보호위원회는 개인정보 파일의 등록사항과 그 내용을 검토하고 다음 각호의 어느 하나에 해당되는 경우에는 법제 32조 제3항에 따라 해당 공공기관의 개인정 보보호 책임자에게 개선을 권고할 수 있다.
1. 개인정보 파일이 과다하게 운용된다고 판단되는 경우
2. 등록하지 않은 개인정보 파일이 있는 경우
3. 개인정보 파일 등록사실이 삭제되었음에도 불구하고 개인정보 파일을 계속 보유하고 있는 경우
4. 개인정보 영향평가를 받은 개인정보 파일을 보유하고 있음에도 그 결과를 등록사항에 포함하지 않은 경우
5. 기타법 제32조에 따른 개인정보 파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우
④보호위원회는 제3항에 따라 개선을 권고한 경우에는 그 내용 및 결과에 대하여 개인정보보호위원회의 심의·의결을 거쳐 공표할 수 있다.
⑤보호위원회는 공공기관의 개인정보 파일 등록·파기 현황에 대한 점검을 실시할 수 있다.

 

제3절 개인정보 파일의 관리 및 공개

제58조(개인정보 파일 대장 작성) 공공기관은 1개의 개인정보 파일에 1개의 개인정보 파일 대장을 작성해야 한다.

제59조(개인정보 파일 이용·제공 관리) 공공기관은 법 제18조 제2항 각호에 따라 제삼자가 개인정보 파일의 이용·제공을 요청한 경우에는 각각의 이용·제공 가능 여부를 확인하고 별지 제6호 서식의‘개인정보 목적 외 이용·제공 대장’에기록하여관리해야 한다.

제60조(개인정보 파일 보유기간의 산정)①보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산 정하되, 개별법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
②개별법령에 구체적인 보유기간이 명시되어있지 않은 경우에는 개인정보보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보 파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물관리에 관한 법률 영」에따른기록관리기준표를 상회할 수 없다.
③정책고객, 홈페이지 회원 등의 홍보 및 대국민 서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에 만계 속하여 보유할 수 있다.

제61조(개인정보 파일 현황 공개 및 방법)①공공기관의 개인정보보호책임자는 개인정보 파일의 보유·파기 현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보처리 방침에 포함하여 관리해야 한다.
②보호위원회는 개인정보 파일 등록현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다.
③보호위원회는 전공 공기관의 개인정보 파일 등록 및 삭제 현황을 종합하여 매년 공개해야 하며, 개인정보 파일 현황 공개에 관한 업무를 전자적으로 처리하기 위하여 정보시스템을 구축·운영할 수 있다.

 

제5장 보칙

제62조(친목단체에 대한 벌칙조항의 적용 배제)①친목단체의 개인정보 처리자에 대하여는 법제 75조 제1항 제1호, 법제 75조 제2항 제1호, 법제 75조 제4항 제8호 및 법제 75조 제4항 제8호의 벌칙을 적용하지 아니한다.
②제1항에서 규정한 사항을 제외한 벌칙규정은 친목단체의 개인정보 처리자에 대하여도 적용한다.

제63조(처리 중인 개인정보에 관한 경과조치)①법시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이법 시행이 후기 존의 수집 목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 영, 고시 및 이지 침에 따라야 한다.
②법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제삼자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보 처리자는 정보주체의 동 의를 받아야 한다.
③법 시행 전에 개인정보를 수집한 개인정보 처리자는 기존의 수집 목적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주체의 동의를받을목적으로 법시행 전에 수집한 개인정보를 이용할 수 있다.

 

부칙 <제2020-1호, 2020.8.11.>

이고시는 고시한 날부터 시행한다.

 

개인정보보호위원회 표준 개인정보보호지침 별표 및 별지 다운로드

 

 

 

[별표 1] 개인정보 파일 보유기간 책정 기준표

[별표 1] 개인정보파일 보유기간 책정 기준표((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

[별지 1] 개인정보 유출 신고서

[별지 1] 개인정보 유출신고서((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

[별지 2] 개인 영상정보(존재확인, 열람) 청구서

[별지 2] 개인영상정보(존재확인&cedil; 열람) 청구서((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

[별지 3] 개인영상정보 관리대장

[별지 3] 개인영상정보 관리대장((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

[별지 4] 개인정보 파일 파기 요청서

[별지 4] 개인정보파일 파기 요청서((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

[별지 5] 개인정보파일 파기 관리대장

[별지 5] 개인정보파일 파기 관리대장((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

[별지 6] 개인정보 목적 외 이용ㆍ제공 대장

[별지 6] 개인정보 목적 외 이용ㆍ제공 대장((개인정보보호위원회) 표준 개인정보 보호지침).hwp

0.01MB

 

개인정보보호위원회 표준 개인정보보호지침 다운로드

표준 개인정보 보호지침(개인정보보호위원회고시)(제2020-1호)(`22. 1. 26.).hwp

0.12MB

 

함께 보시기 좋은 글

▶ 영상정보 처리기기 CCTV 설치 운영시 안내판 설치 CCTV가 있다면 안내판을 꼭 설치해야 합니다.

▶ 영상정보처리기기 운영·관리 방침 수립? CCTV를 설치하셨다면 수립하셔야 하며 관리책임자를 지정해야 합니다.

▶ 영상정보의 이용 및 제삼자 제공은 원칙적으로 금지 CCTV 자료를 어떻게 볼 수 있는 걸까? 영상정보 열람과 관리 방법

 

이것으로 개인정보보호위원회 표준 개인정보보호지침 전문과 다운로드를 마치도록 하겠습니다. 관리사무소에 출력하여 비치해놓으시면 좋을 것 같습니다. 감사합니다.