개인정보보호법 FAQ

ISMS-P 관련 시험준비를 하면서  개인정보보호 종합포털에서 소개하고 있는 개인정보보호법에 관련하여 자주하는 질문 응답글을 간추려보았습니다.  원문참조: <<Privacy.co.kr 자료 참조>>

Q1. 개인정보보호란?
개인정보를 취급하는 사업자가 정보주체의 개인정보를 수집·이용 하는 과정에서 정보주체의 동의를 받는 등 정당하게 개인정보를 수집·이용하고, 개인정보를 보관·관리하는 과정에서 내부자의 고의나 관리부주의 또는 외부의 공격 으로부터 유출·변조·훼손되지 않도록 하며, 정보주체의 개인정보 자기결정권이 제대로 행사될 수 있도록 보장하는 일련의 행위·조치를 의미한다.

‘개인정보’는 일반적으로 “특정 개인을 식별하거나 식별할 수 있는 정보”를 말한다. 즉, 개인과 관련된 일체의 정보는 모두 개인정보에 해당될 수 있다.(예 : 성명, 주소, 연락처, 직업 등)  개인정보에는 해당 개인과 직접 관련이 있는 정보뿐만 아니라 그 개인에 대한 타인의 의견, 평가, 견해 등 제3자에 의해 생성된 간접적인 정보(예: 신용평가 정보 등)도 해당될 수 있다.

Q2. 쇼핑몰에서 탈퇴하였으나 할부요금이 미납되었거나 제품A/S기간이 남아있는 회원 정보는 어떻게 처리해야 하나?
사업자는 개인정보의 수집∙이용 목적이 달성된 경우 등에는 지체없이 개인정보를 파기하여야 하나, 예외적으로 “다른 법률에 따라 개인정보를 보존하여야 하는 경우”에는 개인정보를 파기하지 않고 보존할 수 있다.   전자상거래 등에서의 소비자 보호에 관한 법률 및 시행령에서는 대금결제 및 재화 공급에 관한 기록을 5년간 보관하도록 하고 있으므로, 질의와 같이 요금 미납, A/S 등에 해당하는 경우에는 동법에 의거 5년간 개인정보 보관이 가능하다.

Q3. 소송을 거치지 않고 개인정보 노출사고를 원활하게 처리하려면?
개인정보 분쟁조정위원회에 조정신청을 하면 소송절차를 거치지 아니하고 비교적 빠른 시간 내에 분쟁을 해결할 수 있다.  분쟁조정 신청이 접수된 경우 사건접수일로부터 60일 이내에 사실조사 및 양 당사자의 합의를 거쳐 조정결정을 내린다. 개인정보 침해로 인한 분쟁이면 모두 조정대상이 될 수 있으며, 정보주체와 사업자가 모두 분쟁조정을 신청할 수 있다.

개인정보 분쟁조정위원회는 위원장을 포함하여 20인 이내의 법조계·학계·소비자 및 사업자단체 전문가 등으로 구성됨

Q4. 개인정보보호법이 적용되는 업종은?
개인정보보호법은 일반법의 성격을 가지며 모든 공공기관 및 모든 사업자가 적용대상이 되며 포털, 망사업자, 병원, 금융기관, 제조업, 서비스업, 택배사, 1인사업자, 꽃가게, 공인중개사, 약국, 정유소 등도 포함된다.

Q5.  개인정보처리자의 범위는?
업무를 목적으로 개인정보를 직접 또는 위탁하여 처리하는 모든 사업자, 단체, 기관, 개인, 공공기관 등은 개인정보처리자에 해당한다.

Q6. 개인정보보호책임자를 누구로 지정해야 하나?
개인정보 보호책임자는 개인정보 처리에 관한 전반적인 사항을 결정하고 이로 인한 제반 결과에 대하여 책임을 지는 자이므로 개인정보 수집·이용·제공 등에 대하여 실질적인 권한을 가지고 있어야 하며 조직 내에서 어느 정도 독자적인 의사결정을 할 수 있는 지위에 있는 자이어야 한다.  공공기관 외의 경우 개인정보보호 책임자는 ①대표자 또는 사업주 ②정보보호 처리부서의 장 ③ 개인정보보호에 소양이 있는 자 중에서 지정하면 된다.

Q7. 명함, 전호번호부, 공개자료 통해 개인정보 수집하는 경우도 동의 필요?
정보주체로부터 직접 명함 또는 그와 유사한 매체를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.  또한 전화번호부, 공개된 인터넷 홈페이지를 통해 개인정보를 수집하는 경우에도 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서 이용하여야 한다.

Q8. 졸업앨범, 동창회 명부 등 공개정보 이용한 마케팅은?
“공개되어 있는 개인정보”는 당초 공개된 목적 내에서만 이용할 수 있다. 예컨대 동창회 명부라면 해당 회원들의 상호 연락 및 친목 도모에만 이용될 수 있으며 회원의 동의를 얻지 않은 마케팅 행위 등에는 이용할 수 없다. 또한 동창회 명부 등을 동창이 아닌 제3자에게 제공하면 법 제18조 위반으로 처벌 받을 수 있다.

Q9. 감사 목적의 각종 직원 조사의 경우에도 사전에 고지/동의해야 하나?
개인정보 수집 동의가 면제되는 사유 중 하나로 ‘개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우’를 규정하고 있는바, 구체적인 사실관계에 따라 이 항목에 해당할 가능성이 있음.  다만, 이 경우에도 ‘개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한하는 것’으로 제한된다.  공공기관은 「공공감사에 관한 법률」의 적용을 받으므로 이에 따른 감사라면 정보주체의 동의없이 수집/이용할 수 있다.

Q10. 민감정보의 범위는?
법과 시행령은 사상, 신념, 노동조합(정당)의 가입/탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력에 관한 정보로 한정하고 있으므로, 그 이외의 정보는 민감정보로 보지 않는다.

Q11. 개별국가에서 통용되는 고유식별정보도 고유식별 정보인가? 
개별국가에서 통용되는 고유식별정보’는 개인정보로서 보호된다.  주민등록번호, 여권번호, 운전면허번호, 외국인등록번호만 고유식별정보로 규정됨

Q12. 환자접수 시 성명,주소,주민번호,전화번호를 받는데 개인정보 수집이용 동의서를 받아야 하나?
의료기관의 경우 의료법 및 동법 시행규칙에 의거 진료행위와 관련하여 진료기록부 작성시 성명, 주소, 주민등록번호를 기재하도록 의무화하고 있으므로  정보주체의 동의 없이 진료목적 내에서 개인정보의 수집·이용이 가능하다. 전화번호의 경우도 검사결과 통보, 처방전 오류 등 긴급한 경우의 연락을 위해서 수집·이용한다면 동의서가 필요없다. 그러나, 병원 소식지, 건강정보, 백신접종 홍보 등을 위한 연락 등 진료목적 외로 수집·이용한다면 동의를 받아야 한다.

Q13. CCTV촬영에도 동의가 필요한가?
공개된 장소에 설치하는 CCTV는 통행인의 동의를 받기가 현실적으로 불가능하므로 제한된 설치목적(범죄예방, 시설안전 등) 내에서는 동의없이(안내판고지로 갈음) 설치가 가능하다.  개인정보보호법 제58조제2항에서는 법적용 일부제외 중의 하나로서 CCTV와 관련된 내용이 규정되어 있다. 공개된 장소에 CCTV를 설치, 운영하여 처리되는 개인정보에 대하여는 법 제15조(개인정보의 수집, 이용), 제22조(동의를 받는 방법)등이 적용되지 않는다. 즉 동의를 필요로 않는다.  통상적으로 ‘공개된 장소’란 도로, 공원, 공항, 항만, 광장, 주차장, 놀이터, 버스, 택시, 상가, 식당 등과 같은 공공장소 또는 불특정 또는 제한된 다수가 이용하거나 출입할 수 있도록 허용된 장소를 의미한다. 개인이 소유하고 있는 사유지일지라도 불특정 다수가 왕래할 수 있도록 개방되어 있다면 공개된 장소로 보아야 한다.  공개된 장소가 아닌 경우(사무실·작업장 내부 등)에는 법 제25조가 적용되지 않고 법 제15조 등의 일반 원칙이 적용된다.

판례:  공개된 장소란?
o 다른 도로와 연결되어 있고 차단기가 설치되어 있지 않거나 설치되어 있더라도 별다른 통제가 없고 개방되어 누구나 차량으로 통행하는 아파트단지 또는 대학구내의 통행로
o 특정상가 건물을 위한 것이 아니고 관리인이 상주·관리하지 않고 출입차단장치가 없으며 무료로 운영되어 불특정 다수인이 수시로 이용할 수 있는 공영주차장
o 특정인들 또는 그들과 관련된 특정한 용건이 있는 자들만이 사용할 수 있고 자주적으로 관리되는 장소가 아닌 한 이 사건 주택가의 막다른 골목길 등과 같은 곳

판례:  공개된 장소가 아닌경우?
o 병원 내부의 개개의 입원실:  의료행위를 제공하거나 그에 부수하는 용역을 제공하기 위하여 출입하는 경우, 병문안 등의 목적으로 출입하는 경우 등에 한하므로 공개된 장소가 아님

Q14. 정보주체의 탈퇴요구시 어떻게?
정보주체로부터 회원탈퇴 요구를 받은 경우, 사업자는 원칙적으로 수집된 개인정보를 파기하고 회원 자격을 말소하는 등의 조치를 지체없이 취해야 한다.

□ 동의철회에 따른 조치
● 정보주체는 자신의 개인정보를 사업자가 수집·이용·제공하는데 동의할 권리가 인정되는 한편, 언제든지 그 동의를 철회할 권리도 있다.
● 그러나 실제 사업자의 영업 형태에서는“개인정보의 수집·이용·제공 동의철회”라는 용어보다는“회원탈퇴 신청, 서비스 거부신청”등의 용어가 자주 사용되므로, 정보주체의 요구가 어느 유형의 동의철회에 해당하는지를 판단하여 필요한 조치를 취해야 한다.

Q15. 사망한 사람의 회원탈퇴를 유가족이 하면?
 개인정보보호법에 따른 개인정보는 현재 ‘생존(生存)하고 있는 개인’에 관한 정보에 한하지만 사망자의 정보가 사망자와 유족과의 관계를 나타내는 정보이거나 유족 등의 사생활을 침해하는 등의 경우에는 사망자 정보인 동시에 관계되는 유족의 정보이기도 하므로 이 법의 적용대상이 될 수 있다. (유가족이 회원의 사망확인서, 가족관계등록부 등을 구비하여 탈퇴를 신청 가능)

Q16. 고객이 과거 개인정보 이용내역 전부를 확인시켜줄 것을 요구하면 어떻게 조치?
사업자는 정보주체의 자기정보에 대한 열람·제공 요구가 있는 경우에는 열람요구서를 받은 날부터 10일 이내에 필요한 조치를 취하여야 한다.  부가서비스 가입내역 등 개인정보 이용내역을 요구한 경우에는 비록 그 해당 기간이 길고 분량이 많다 하더라도 지체없이 열람·제공하여야 한다.  다만 개인정보 이용내역 산출 등의 업무에 소요되는 수수료와 우송료 등을 정보주체에게 청구할 수 있다.

Q17. 게시판에 세번에 걸쳐 회원탈퇴/개인정보 삭제 요구하는 게시글을 남겼다면?
개인정보처리자는 개인정보의 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 개인정보 삭제 요구서를 받은 날부터 10일 이내에 삭제 등의 조치 후 해당 정보주체에게 결과 통지서로 알려야 한다.

Q18. 할인마트 경품추첨 이벤트 종료후 이벤트 응모신청서 처리는 어떻게?
경품추첨 이벤트가 종료된 때에는 응모자로부터 개인정보의 보유·이용기간에 대해 별도의 동의를 얻지 않았다면, 이벤트 종료 후 5일 이내 개인정보가 기재된 응모신청서를 파기하여야 한다.

Q19. 멤버십 가입신청 시 이벤트 안내 이메일발송에 대한 고지사항 미기재되어 있었다.  이벤트 메일을 보내려면 어떻게 해야 하나 ?
최초 멤버십 가입 시에 기본적인 서비스 목적으로만 동의를 받고 ‘마케팅 활용’에 대해서는 따로 동의를 받지 않았다면 이벤트 안내 이메일 발송 등 마케팅 행위에 이용할 수 없으며, 이를 위해서는 별도의 동의를 받아야 한다.

Q20. 업무PC만으로 개인정보처리하는 사업자도 침입차단시스템을 구비해야 하나?
소지하고 있는 PC의 방화벽 프로그램 등을 사용하여 침입차단시스템을 설치 운영해야 한다.

Q21. 내부직원의 개인정보 유출방지를 위해 필요한 조치는?
– 접속기록의 보존 및 위·변조 방지를 위한 조치를 취하여야 한다.
개인정보 취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보존·관리해야 하며, 월 1회 이상 정기적으로 확인·감독하여야 한다.  (접속기록: 개인정보 취급자의 식별정보, 정보주체(고객)의 식별정보, 접속일시, 접속지, 수행업무 등이 포함)

Q22. 규모가 작은 중소기업인데 성명,id,비번,주민번호,주소 등 단순한 개인정보만 보관하고 있는데 모두 암호화해야 하나?
암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. 따라서 이 경우 비밀번호와 주민등록번호만  암호화 대상이다.

Q23. 시스템 부하를 최소화하면서 주민번호를 암호화하는 방법은?
주민등록번호와 비밀번호 등은 원칙적으로 전부 암호화해야 하나, 시스템 운영이나 고객 식별을 위해 해당 개인정보를 활용해야 하는 경우에는 그 개인정보의 일부만을 암호화할 수 있다.   (주민등록번호 중 생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리6개 번호 이상을 암호화 가능함.  예: 750101-1******)

Q24. 대리점, 위탁점에서도 개인정보처리시스템 접속 허용하려하는데 접근권한 부여시 지켜야할 원칙은?
개인정보 처리시스템에 대한 접근권한은 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하여야 한다.   대리점, 위탁점에 개인정보처리시스템에 대한 접근권한을 부여하는 경우에도 업무의 성격에 따라 반드시 필요한 범위 내에서 최소한의 자에게 접근 권한을 부여해야 한다.

Q25. 개인정보가 포함된 응모권을 사무실에 보관해도 되나?
이벤트 응모권 등 개인정보가 기재된 자료·서류는 사무실 내의 별도의 장소에 보관하고 출입통제를 하거나, 최소한 잠금장치를 마련하여 보관하는 등 물리적인 접근방지 조치를 취하여야 한다.

Q26. 전화로 예약받는 경우 동의받는데 시간이 길어지는데 해결방법은?
전화로 개인정보 수집에 대한 동의를 얻고자 하는 경우에는 동의 내용을 정보주체에게 알리고 동의를 얻거나, 중요사항은 알리고 관련된 세부사항은 참고할 수 있는 인터넷 주소 등을 안내한 후 구두로 동의를 얻을 수 있다.

Q27. 영업 양도에 따른 개인정보 이전 시 조치는?
영업 양도, 합병 등으로 개인정보를 이전하는 경우에는 “개인정보 이전 사실, 이전받는 자의 성명(명칭)·주소·전화번호 등 연락처, 정보주체가 개인정보 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차를 정보주체에게 알려야 한다.  다만, 개인정보를 이전하는 자(사업자)가 관련 사실을 알린 경우에는 이전받는 자 (영업양수자 등)는 알리지 않아도 된다.

Q28. 개인정보처리방침 포함사항은? (목/기/삼/위/권/항/파/책/변)
① 개인정보의 처리,
② 개인정보의 처리 및 보유
③ 개인정보의 3자 제공에 관한 사항(해당하는 경우)
④ 개인정보처리의 에 관한 사항(해당하는 경우)
⑤ 정보주체의 리 의무 및 그 행사방법에 관한 사항
⑥ 처리하는 개인정보의
⑦ 개인정보의 에 관한 사항
개인정보 보호임자에 관한 사항
⑨ 개인정보 처리방침의 경에 관한 사항 및 시행령 제30조제1항에 따른 안전성 확보조치에 관한 사항

Q29.  점포/대리점에서만 고객가입하는데 홈피에도 개인정보처리방침을 공개해야 하나?
개인사업자가 개인정보 처리방침을 공개할 때에는 개인정보의 수집 장소와 매체 등을 고려하여 다음 중 하나 이상의 방법으로 공개하여야 한다. 인터넷 홈페이지를 운영하지 않거나 관리상 하자가 있는 경우에는 ②~④ 중 하나의 방법으로 공개한다.
① 인터넷 홈페이지의 첫 화면 또는 첫 화면과의 연결화면을 통하여 정보주체가 볼 수 있도록 하는 방법(글자 크기, 색상 등을 활용하여 개인정보 처리방침을 쉽게 확인할 수 있도록 표시해야 함)
② 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법
③ 같은 제목으로 연 2회 이상 계속적으로 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지·청구서 등에 지속적으로 게재하는 방법
④ 재화 또는 용역을 제공하기 위한 계약서에 게재하여 배포하는 방법

질의와 같이 점포 및 대리점을 통해서만 고객 가입과 개인정보를 수집하는 경우에도, 위 항목 중 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다.

Q30. 신규서비스 제공에 따라 개인정보의 이용목적,수집항목 변경이 필요하다면 방침에 어떻게 반영하여야 하나?
개인정보의 수집·이용목적이 변경된 경우 정보주체로부터 재동의를 받아야 하며, 개인정보 처리방침은 변경된 내용을 아래의 방법에 따라서 정보주체에게 알려야 한다. 인터넷 홈페이지를 운영하지 않거나 관리상 하자가 있는 경우에는 ②~④ 중 하나의 방법으로 공개한다.
① 인터넷 홈페이지 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
② 서면·FAX·전자우편 또는 이와 비슷한 방법으로 정보주체에게 공지하는 방법
③ 점포·사무소 안의 보기 쉬운 장소에 써서 붙이거나 갖춰 놓는 방법
④ 이용계약서에 게재하여 배포하는 방법

개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.

Q31. 패밀리사이트 제도를 도입하려고 하는데 고객의 별도 동의를 받아야 하나?
제3자는 고객으로부터 동의를 받고 개인정보를 수집한 해당 사업자를 제외한 모든 법인, 단체 등을 의미하므로, 같은 그룹 내부의 계열사라 하더라도 개인정보의 수집·이용목적이 다른 별도의 법인에 해당한다면 제3자에 해당한다. 따라서 그룹 계열사 간이라도 패밀리 사이트라는 명목으로 개인정보를 제공·공유하기 위해서는 제3자 제공에 따른 사항을 알리고 동의를 얻어야 한다.

Q32. 제 3자란?
정보주체와 정보주체 또는 그의 법정대리인으로부터 개인정보를 실질적·직접적으로 수집·보유한 개인정보처리자를 제외한 모든 자를 의미하며 업무 위탁에 따른 수탁자는 제외한다.

Q33. 제3자 제공과  취급위탁의 차이는?
– 제3자 제공: “개인정보를 제공받는 자(제3자)의 목적”을 위해 개인정보를 제3자에게 제공하는 것,  ‘제공받는 자의 이용목적’을 알리고 동의를 받아야 한다.
– 개인정보 취급위탁: “사업자의 목적”을 위해 개인정보의 수집·처리·이용 등의 업무를 제3자에게 위탁하는 것.    ‘취급위탁을 하는 업무의 내용’을 알리고 홈페이지 등에 공개해야 한다. 홍보 판매 목적으로 위탁하는 경우에는 정보주체에게 통지(고지) 해야 한다.

Q34. 이벤트와 홍보업무콜센터에서 진행하려면?
위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 정보주체에게 알릴 수 없는 경우에는 해당 사항을 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 경우에는 사업장 등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.

Q35. 병원과 의료정보 전달시스템 관리업체간 환자정보공유도 동의가 필요한가?
의료법 등에 따른 전자처방전, 전자의무기록 등의 공유·제공을 위해 관리업체를 활용하는 것은“서비스 제공에 관한 계약을 이행하기 위해 필요한 개인정보 취급위탁”에 해당하므로 별도의 동의획득 없이 정보주체에 대한 공개만으로 위탁이 가능하다.

Q36. 고객센터 업무 아웃소싱 계약서에 반드시 포함시켜야 하는 사항은?
수탁자(아웃소싱 업체)와 취급위탁 계약서에 필수 포함사항
① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
② 개인정보의 기술적·관리적 보호조치에 관한 사항
③ 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항
– 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
– 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
– 법 제26조제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

Q37. 응모권이 너무작아 개인정보수집 고지사항 기재가 어렵다면?
오프라인에서 개인정보를 수집하는 경우에도 “수집·이용목적, 수집 항목, 보유·이용기간”을 빠짐없이 고지하여 동의를 얻어야 한다. 다만, 용지가 작은 참가신청서 등과 같이 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우에는 중요한 사항은 용지에 직접 고지하되, 세부 동의 내용을 확인할 수 있는 방법(경품이벤트에 대한 동의 내용이 게재되어 있는 인터넷 주소, 동의 내용을 안내받을 수 있는 사업장 전화번호 등)을 안내하고 동의를 얻을 수 있다

Q38. 개인정보 동의 받을 시  개인정보항목을 나열하면서 ‘등’의 용어를 사용할 수 있나?
개인정보 보호법은 개인정보 수집 시 필요 최소한의 개인정보만을 수집하도록 하고 있으며, ‘등’의 용어를 써서 추가적인 개인정보를 받을 수 있도록 한다면 무분별한 개인정보 수집으로 이어질 소지가 있으므로 정보주체 동의 시 개인정보 항목을 나열하면서 ‘등’을 써서는 안되며, 추후 업무상 새로운 개인정보가 필요한 경우 별도로 동의를 얻어야 한다.

Q39. 만 14세 미만 아동의 회원가입을 위해 부모 연락처 정보를 얻기 위한 방법은?
사업자가 만 14세 미만 아동의 개인정보를 수집·이용·제공하기 위해서는 부모 등 법정대리인으로부터 동의를 받아야 한다. 다만, 사업자가 법정대리인의 성명이나 연락처 등을 모르는 경우 법정대리인의 동의를 받는 것이 곤란하므로, 이 경우 사업자는 법정대리인의 성명·연락처 등 동의획득에 필요한 최소한의 개인정보를 수집·이용 할 수 있다.   만약  법정대리인이 아동의 개인정보 수집에 동의하지 않았다면 동의획득을 위해 취득한 법정대리인의 연락처도 모두 파기해야 한다.

Q40. 신상품 홍보 이메일을 보내려하는데 경품이벤트에 응모했던 고객리스트를 활용할수 있나?
개인정보처리자가 수집한 개인정보는 정보주체로부터 동의 받은 ‘수집·이용목적’의 범위안에서만 이용할 수 있다. 만약 동의 받은 수집·이용목적이 변경되거나 추가된 경우에는 변경·추가된 목적에 대해 별도의 동의를 받아야 한다.  경품 이벤트를 통해 개인정보를 수집하였는데 이벤트 활용 목적으로만 동의를 받고 “별도의 상품 광고”에 대해서는 동의를 받지 않았다면, 해당 개인정보는 상품출시 안내 이메일 발송 등의 광고 목적으로 이용할 수 없으며, 이를 이용하기 위해서는 별도의 동의를 받아야 한다.

Q41. 마케팅 동의를 전제로 고객에게 경품을 지급했다면 동의철회시 경품반환 의무가 있나?
명확하게 위 사항을 고지하여 동의를 얻었을 때에는 반환 의무가 있다.

Q42. 병원에서 치료성공사례 사진을 게시하려는 경우 문제가 있는가?
병원에서 환자의 진료결과 사진을 홍보 목적으로 활용하기 위해서는‘촬영한 사진을 병원의 홍보 목적’으로 게재한다는 사실을 환자에게 명확히 알리고 동의를 얻어야 한다. 만일 수집한 개인정보를 별도의 고지·동의 절차 없이 홍보 목적으로 임의로 사용한다면 이는‘개인정보의 목적 외 이용 행위’에 해당된다.

Q43. 호텔 멤버십 고객정보를 호텔내의 면세점에서 활용하는 경우도 동의가 필요한가?
호텔과 면세점이 호텔 고객정보를 공유하고 이벤트에 활용하기로 하였다면 호텔 고객정보를 제3자(면세점)에 제공하는데 대해 아래의 사항을 고객들에게 알리고 동의를 받아야 한다.
① 개인정보를 제공받는 자
② 제공받는 자의 이용 목적
③ 제공하는 개인정보의 항목
④ 개인정보의 보유 및 이용 기간
⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

Q44. 내부 직원의 개인정보도 개인정보보호법의 적용대상인가?
기관의 내부 근로자도 당연히 개인정보보호법 적용대상이다.
근로자가 사용자에게 근로를 제공하고 사용자는 이에 대하여 임금을 지급하는 것을 목적으로 근로계약을 체결한 경우, 근로계약을 이행하기 위해서 직원의 개인정보를 수집 이용하는 것은 반드시 필요한 사항이므로 사용자는 근로자의 임금 지급, 계약서에 명시된 복지제공 등 근로계약을 이행하기 위하여 근로자의 동의없이 개인정보를 수집이용할 수 있다.  다만, 근로자의 동의를 받지는 않는다 하더라도, 근로계약 체결시 근로계약서 등을 통해 직원의 개인정보 수집이용에 관한 사항을 알리는 것이 바람직하다. (직원 개인정보 수집목적, 수집항목, 직원이 열람처리정지 정정 삭제 등에 관한 사항, 보유기간, 퇴직 후 직원정보 처리 절차 등)

Q45. 내부관리계획에 포함해야 하는 내용 및 작성방법은?
내부관리계획에는 개인정보보호 책임자의 의무·책임에 관한 사항, 개인정보 처리단계별 기술적·관리적 보호조치에 관한 사항, 정기적 자체감사에 관한 사항, 개인정보취급자에 대한 교육개인정보보호를 위해 필요한 사항이 반드시 포함되어야 한다.
내부관리계획은 해당 사업자의 의사결정자(CEO, CPO 등)에 대한 보고 및 승인·결재를 거쳐 시행하여야 한다. 또한 내부관리계획은 개인정보보호 관련 법·제도의 변경 사항, 기업의 개인정보 관련 사업내용 변경사항 등을 즉시 반영하여야 하며, 해당 사업자의 전 직원 및 수탁·용역업체도 교육·열람되어야 한다.

Q46. 소규모사업자개인정보보호책임자를 지정해야 하나?
“상시 종업원이 5명 미만”인 소규모 사업자도 개인정보 보호책임자를 지정하여야 한다. 1인 사업자의 경우에는 대표자가 개인정보보호 책임자가 된다.

Q47. 개인정보취급자란?
개인정보 취급자라 함은 정보주체의 개인정보를‘취급’하는 자를 말한다. 여기에는 회원가입, 탈퇴처리, 고충처리 등과 같이 개인정보보호 업무를 직접 담당하는 직원과 그 외에 업무상 필요에 의해 개인정보를 수집·보관·처리·이용·제공·관리·파기 등의 업무를 하는 자가 모두 포함된다.

Q48. 온라인이벤트 개최시 개인정보 수집에 대한 동의절차가 꼭 필요한가?
일반적인 회원·멤버십 가입을 위해 개인정보를 수집하는 경우는 물론이고, 한시적·임시적인 이벤트 행사 개최, 비회원을 대상으로 한 물품 판매 등을 위해 개인정보를 수집하는 경우에도 고지사항을 알리고 동의를 받아야 한다.

Q49. 법 시행일 이전 수집된 개인정보에 대해서도 다시 동의받아야 하나?
종전 다른 법령에 따라 적법하게 이루어진 개인정보처리의 경우 다시 동의를 받지 않아도 된다.  법 시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 시행령, 시행규칙 및 이 지침에 따라야 한다.

Q50. 개인정보보호법, 정통망법, 신용정보법 등 법률간의 관계는?
개인정보보호법은 일반법으로서 모든 개인정보처리자와 개인정보주체와의 관계에 적용됨.   다만 망법 규정에 따른 정보통신서비스제공자와 정보주체의 관계, 신용정보법 규정에 따른 신용정보사업자와 정보주체와의 관계에 있어서 관련 법의 규정을 따른다.

다만, 같은 내용에 관하여 달리 규정되어 있는 경우, 특별법을 적용한다. 이에 따라, 15조에 2항에 따른 수집·이용 시의 동의사항은 정보통신서비스 제공자와 정보주체의 관계에 있어서는 망법 22조 1항을 적용 받음, 이에 따라, 해당 사안에 있어서의 동의 사항은 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간이 된다.

한편, 제31조에 따른 개인정보 보호책임자의 지정과 같이 유사하게 규정하고 있는 경우, 중복하여 적용되지 아니하도록 한다.  (망법 적용대상자가 개인정보 보호책임자를, 지정하였거나, 신용정보법에 따른 신용정보 보호책임자를 지정하였을 경우, 개인정보보호법에 따른 개인정보보호 책임자를 겸임하고 개인정보 처리방침에 명칭을 기록)
특히, 신용정보보호법에 따른 신용정보 보호책임자의 업무와 개인정보보호법에 의한 개인정보보호 책임자의 업무가 상이하므로 신용정보 보호책임자는 개인정보보호 책임자의 업무를 추가해서 수행하여야 한다.

Q51. 근로자의 업무공간에 CCTV 설치할 수 있나?
작업장에 노동 감시용으로 설치하는 경우 “근로자참여 및 협력증진에 관한 법률”에 따라 노사협의회의 협의사항이므로, 노사협의회의 협의가 있을 경우 설치 가능하다.

Q52. CCTV가 설치된 곳마다 안내판을 설치해야 하나?
공개된 장소에 설치된 CCTV마다 안내판을 설치하는 것이 원칙이나, 건물안에 다수의 CCTV를 운영하는 경우 출입구 등 정보주체가 출입하면서 잘 볼 수 있는 곳에 시설 또는 장소 전체가 영상정보 처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다.

또한, 공공기관원거리 촬영, 과속·신호위반 단속 또는 교통흐름 조사 등 목적으로 설치하는 경우로 개인정보 침해 우려가 적은 경우에 해당하거나 산불감시용 등 장소적 특성으로 인하여 안내판을 설치하는 것이 불가능 하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우에는 안내판 설치를 갈음하여 영상정보처리기기운영자의 인터넷 홈페이지에 CCTV설치 목적 및 장소, 촬영범위 및 시간, 관리책임자 및 연락처를 게재할 수 있다. (인터넷홈페이지를 운영하지 않는 경우에는 사업장 등에 게시, 일반일간신문, 일반 주간신문 또는 인터넷 신문에 싣는 방법 가능)

Q53. CCTV안내판의 규격/재질은?
장소별, 상황별로 사정이 다르므로 기준을 정하지 않았다. 촬영범위 내에서 정보주체가 잘 볼 수 있도록 설치하면 된다.

CCTV 설치 안내
◈ 설치목적 : 범죄예방 및 시설안전
◈ 설치장소 : 건물 출입문
◈ 촬영범위 : 50M 전방향
◈ 촬영시간 : 24시간
◈ 관리책임자 : OO과 홍길동 ( 02-OOO-OOOO )

Q54. CCTV 영상정보 열람 절차는?
개인정보처리자는 정보주체 자신이 촬영된 영상정보만을 해당 정보주체에게 열람시켜줄 수 있다. 만약 영상정보에 열람을 요청한 정보주체 외 다른 사람이 포함되어 있다면 마스킹 처리를 하는 등 개인을 식별할 수 없게 처리하여 열람시켜야 한다.

아래의 경우 중 어느 하나에 해당하면 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 단, ⑤~⑨ 는 공공기관이 정보를 제공하는 경우로 한정한다.
① 정보주체로부터 별도의 동의를 받은 경우
다른 법률에 특별한 규정이 있는 경우
③ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
⑤ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
⑥ 조약, 그 밖의 국제협정의 이행을 위하여 외국정보 또는 국제기구에 제공하기 위하여 필요한 경우
⑦ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
⑧ 법원의 재판업무 수행을 위하여 필요한 경우
⑨ 형(形) 및 감호, 보호처분의 집행을 위하여 필요한 경우

정보주체가 열람을 요구하는 방법은 특별한 제한은 없으나, 공공기관의 경우 개인영상정보 열람·존재확인 청구서로 신청을 하여야 한다. 열람을 요구받은 영상정보처리기기 운영자는 지체없이 필요한 조치를 취하여야 하며, 열람 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야 한다.

영상정보처리기기 운영자는 영상정보에 대한 열람 요구에 대하여 조치를 취한 후 다음 사항을 기록하고 관리하여야 한다.(이 경우 표준개인정보보호지침 별지 서식 제3호에 따른 ‘개인영상정보 관리대장’활용 가능)
① 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처
② 정보주체 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용
③ 개인영상정보 열람 등의 목적
④ 개인영상정보 열람 등을 거부한 경우 그 거부의 구체적 사유
⑤ 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유

Q55. CCTV에 대한 안전성 조치는?
접근 통제 및 접근권한 관리 등 아래의 사항을 준수해야 한다.
 · 내부관리계획 : 개인영상정보 보호책임자의 의무·책임에 관한 사항, 개인영상정보 물리적·기술적·관리적 보호조치에 관한 사항, 정기적 자체감사에 관한 사항, 개인정보취급자에 대한 교육 등 개인정보보호를 위해 필요한 사항이 반드시 포함되어야 한다.(소상공인은 내부관리계획을 작성할 의무는 없음)
· 접근통제 및 접근권한관리 : 영상정보를 저장하는 시스템 및 영상정보파일에 대한 관리자계정, 열람계정 등에 대해 차등적으로 권한을 부여하고 관리, 네트워크카메라의 경우 방화벽 등 설치로 접근가능 IP 제한조치 등
· 저장·전송시 암호화 등 기술적 조치 : 네트워크 카메라의 경우 전송시 암호화 조치, 영상정보 저장매체나 영상정보파 일에 대한 암호설정 등
· 처리기록의 보관 : 영상정보관리대장의 기록관리, 공공기관의 경우 접속로그, 열람로그, 삭제로그 등 시스템로그를  6개월 이상 보관
· 물리적 보호조치 : 영상정보보관시설 마련 또는 잠금장치 설치 등 물리적으로 접근을 제한할 수 있는 방안 마련

Q56. 개인정보의 안전성확보조치 기준 고시 제7조 3항의 비밀번호 암호화 대상은?
비밀번호 암호화는 개인정보처리시스템에 접속하기 위한 관리자, 취급자 및 이용자의 비밀번호가 적용 대상입니다.

개인정보보호법의 운영체계

개인정보보호법의 일원화된 운용을 위해 공공/민간분야의 운용체계를 아래와 같이 일원화하여 운영하고 있다.

보호위원회(심의/의결) – 행정안전부(총괄 집행) – 부처(소관 집행)

※ 예외적 적용사항
헌법기관(국회/법원/헌재/선관위):기본계획 및 시행계획의 수립시행 권한
방통위, 과학기술정보통신부: 정보통신분야에서의 개인정보보호관련 집행
– 금감위:  금융/신용 분야의 개인정보보호관련 집행

1. 개인정보위원회

법이 정하는 개인정보보호에 관한 사항을 심의/의결하기 위하여 대통령소속으로 설립된 독립적인 감독기구 (개인정보보호 7조)

주요업무:  (컨트롤타워 역할)
– 기본/시행계획의 심의/의결,
– 개인정보보호관련 정책, 제도개선, 권고등에 대한 심의/의결
– 오남용 감시
– 이행실태 조사
– 공공기관 간의 의견 조정
– 법령해석/운용에 대한 심의/의결
– 연차보고서의 작성/제출
– 영향평가결과에 대한 의견제시
– 개선방안 연구
– 개인정보침해요인평가 기본계획 수립/자료제출, 진술요구권한
– 분쟁조정위원회의 위원 임명권한
– 3년마다 개인정보 보호 기본계획을 관계 중앙행정기관장과 협의하여 수립

2. 행정안전부

행정안전부는 공공기관과 민간분야의 개인정보를 총괄 집행한다.
– 개인정보관리수준 및 실태파악을 위한 조사를 실시할 수 있다

주요업무:  (총괄집행)
– 표준 개인정보보호지침 제정
– 개인정보처리방침 작성 지침의 제정/권고
– 개인정보열람창구 구축/운영
– 개인정보유출신고제도 운영
– 개인정보파일 등록 접수 및 현황 공개
– 자율규재 촉진 및 지원시책
– 개인정보영향평가 관리/운영
– 법 위반 행위 조사 및 시정권고 및 명령, 과태료 부과

3. 개인정보 분쟁조정 위원회

개인정보보호위원회의 산하에 있으며 개인정보침해와 관련된 분쟁을 당사자 사이의 합리적이고 신속하게 해결하기 위한 기구로 심의를 통하여 손해배상을 결정하며 개인정보피해예방 활동, 법제도 개선 건의, 시정권고등을 통해 국민의 권리 보호 및 건전한 개인정보보호 이용환경 구축 등의 업무를 담당한다.

4. 개인정보 침해신고 센터

개인정보침해와 관련된 신고접수와 상담을 수행하고 신고된 개인정보처리자의 법률위반 여부를 조사하여 후속조치 지원하고있다.