제1조(목적)
이 개인정보 보호규정(이하 “규정”이라 한다)은「개인정보보호법(이하 “법률”이라 한다)에 따라 주식회사 세방테크의 개인정보 처리에 관한 기준,
개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함으로써 안정적인 개인정보보호 관리를 도모하는 것을 목적으로 한다.
제2조(적용범위) 이 규정은 ㈜세방테크의 전자적 파일과 인쇄물, 서면 등 모든형태의 개인정보파일을 운용하는 개인정보보호 관련 업무에 적용하며,
다른 법령 또는 규정에 특별히 정한 것을 제외하고는 이 규정에 따른다.
제3조(정의)
이 규정에서 사용하는 용어의 정의는 다음과 같다.
1. “개인정보”라 함은 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는
정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수있는 것을 포함한다)를 말한다.
2. “개인정보 처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공,편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기,
그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서그 정보의 주체가 되는 사람을 말한다.
4. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 ㈜자여를 말한다.
5. “개인정보보호책임자”라 함은 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서 법률 제31조 및 시행령 제32조에 해당하는 자를 말한다.
6. “분야별 개인정보보호책임자”란 개인정보보호책임자를 보좌하여 개인정보 보호업무에 대한 실무를 총괄하고 관리하는 자(각 부서의장)를 말한다.
7. “개인정보취급자”라 함은 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든자를 말한다.
8. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로구성한 데이터베이스시스템을 말한다.
9. “고유식별정보”란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록법에 따른 주민등록번호, 여권법에 따른 여권번호,
도로교통법에 따른 운전면허의 면허번호, 출입국관리법에 따른 외국인등록번호를 말한다.
10. “바이오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서
그로부터 가공되거나 생성된 정보를 포함한다.
11. “민감정보”란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전 정보,
「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력 자료에 해당하는 정보, 그 밖에 정보주체의 사생활을 현저히 침해 할 우려가 있는
개인정보를 말한다.
12. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 형식에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
13. “보조저장매체”라 함은 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는
매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말한다.
14. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행한 업무 내역 등을
전자적으로 기록한 것을 말한다.
15. “개인정보의 수집”이란 정보주체로부터 직접 이름, 주소, 전화번호등의 정보를 제공받는 것뿐만 아니라 정보주체에 관한
모든 형태의 개인정보를 취득하는 것을 말한다.
16. “개인정보의 유출”이란 법령이나 개인정보처리자의 적법한 절차에 의하지 아니하고, 정보주체의 개인정보에 대하여
개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 어느 하나에 해당하는 경우를 말한다.
가. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
나. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
다. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게
잘못 전달된 경우
라. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
17. “제3자 제공”이란 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송,
개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자 간의 정보 공유 등 개인정보처리자가 아닌 제3자가 개인정보를
처리할 수 있도록 하는 모든 행위를 말한다.
18. “제3자”란 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미한다.
제2장 개인정보보호책임자 등의 임무와 책임
제4조(개인정보보호책임자의 지정)
- 효율적인 개인정보 보호업무수행을 위하여 개인정보보호책임자를 지정한다.
- 개인정보보호책임자는 정보지원파트장으로 하며 ㈜자여의 개인정보보호 업무를 관장한다.
제5조(개인정보보호책임자의 의무와 책임)
① 개인정보보호책임자는 개인정보보호를 위하여 다음 각 호의 임무를 수행한다.
1. 개인정보보호를 위한 계획의 수립 및 시행
2. 개인정보 분실·도난·유출·변조·훼손 등의 개인정보 침해신고 접수 및 처리
3. 개인정보취급자의 개인정보 관리실태의 확인·감독
4. 개인정보취급자의 개인정보 열람권한 부여를 위한 권한관리 등 제반 보호 장치에 관한 사항의 확인·감독
5. 개인정보보호 관련 통계 및 자료 취합
6. 개인정보 오·남용 사고의 예방 및 사후관리
7. 개인정보보호 교육 계획의 수립 및 시행
8. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
9. 개인정보파일의 등록 및 공개
10. 그 밖에 기관장이 개인정보보호를 위해 필요하다고 인정하는 사항
② 개인정보보호책임자는 업무를 수행함에 있어 보조적인 역할 수행이 가능한 “개인정보보호담당자” 지정 및 개인정보를 처리하고 있는
각 부서의 장을 “분야별 개인정보보호책임자”로 임명할 수 있다.
제6조(분야별 개인정보보호책임자의 의무와 책임)
분야별 개인정보보호책임자는 개인정보보호를 위하여 다음 각 호의 임무를 수행한다.
1. 해당분야 개인정보 처리 실태 확인 및 점검
2. 분야별 개인정보시스템 운영 및 위탁 업무 관리
3. 해당 개인정보처리시스템의 사용자 권한설정
4. 해당 개인정보시스템 안전성 확보를 위한 기술적·관리적 보호조치
5. 개인정보파일의 등록 및 공개
6. 기타 개인정보보호를 위하여 필요한 업무
제7조(개인정보보호취급자의 의무와 책임)
부서별 개인정보보호취급자는 개인정보보호를 위하여 다음 각 호의 임무를 수행한다.
1. 「개인정보 보호법」 제32조에 따른 개인정보보호책임자, 분야별 개인정보보호책임자에게 개인정보파일 등록과 공개에 따른
실무를 처리하여야 한다.
2. 개인정보보호책임자의 승인을 받아 개인정보를 파기하여야 한다.
3. 개인정보보호책임자가 위임한 개인정보보호와 관련된 업무를 수행해야 한다.
4. 개인정보취급자는 개인정보에 대한 침해가 발생한 것을 인지한 경우 개인정보보호책임자 및 분야별 개인정보보호책임자에게 신고하여야 한다.
5. 개인정보 처리 관련 업무를 수행한다.
6. 개인정보 내부관리계획 및 처리방침을 준수한다.
7. 개인정보의 기술적·관리적 보호조치를 준수한다.
8. 소속 직원 또는 제3자에 따른 위법·부당한 개인정보 침해행위에 대한 점검을 수행한다.
9. 그 밖에 개인정보보호를 위해 필요한 사항의 준수 등
제3장 개인정보 처리단계별 보호조치
제8조(물리적 접근제한 대책)
① 장소에 대한 접근제한은 전산실 및 자료 보관장소에 대해 실시하며, 취급인가를 허가받은 직원만이 출입이 가능하며 통제구역 출입자명부를
생성하여 기록을 관리한다.
② 개인정보보호책임자는 개인정보와 개인정보처리시스템의 안전한 보관을 위한 물리적 잠금장치 등의 출입통제를 통한 보호조치를 취하여야 한다.
1. 개인정보보호책임자는 물리적 접근방지를 위한 별도의 보호시설에 출입하거나 개인정보를 열람하는 경우,
그 출입자에 대한 출입사실 및 열람 내용에 관한 관리대장을 작성하도록 하여야 한다.
2. 개인정보보호책임자는 물리적 접근제한 관리대장의 출입 및 열람 내용을 주기적(월 1회)으로 검토하여 정당하지 않은 권한으로 출입하거나
열람하는 경우가 있는지를 점검 및 확인하고 필요한 조치를 취하여야 한다.
③ 매체에 대한 접근제한은 USB 등 보조저장매체 및 개인정보가 포함된 서류 및 파일에 대해 실시하며, 분야별 개인정보보호책임자는 개인정보가
포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
제9조(개인정보취급자 접근권한 관리 및 인증)
① 개인정보처리자는 담당 업무 수행에 필요한 최소한의 범위로 업무 담당자에게 개인정보 취급 권한을 부여하며, 업무별/부서별/직급별에 따라
개인정보에 대한 접근 권한(읽기/쓰기/수정 및 삭제권한)을 차등 부여한다.
② 개인정보처리자는 전보 또는 퇴직 등 다음 각 호에 해당하는 인사 이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이
개인정보 처리시스템의 접근권한을 변경 또는 말소한다.
1. 인사이동 시 인사발령일 기준으로 기존 권한을 시스템적으로 자동 해지처리 하고 신규부서에서 업무에 따른 권한을 신규로 신청한다.
2. 휴직자는 인사명령에 따른 2개월 이상 장기 휴직 발생 시 모든 권한을 시스템적으로 자동해지처리 하고 복귀 시 업무에 따른 권한을 신규로 신청한다.
3. 퇴직자는 퇴직일을 기준으로 시스템적으로 모든 권한을 자동해지한다.
③ 개인정보처리자는 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.
④ 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 인당 한 개 고유한 사용자 계정(ID)을 발급하여야 하며,
다른 개인정보 취급자와 공유되지 않도록 한다.
제10조(개인정보의 암호화)
① 개인정보처리자는 고유식별정보, 비밀번호 및 바이오정보, 신용카드번호, 계좌번호를 암호화하여야 한다.
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 다음 각 호의
절차에 따라 이를 암호화하여야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야
④. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
1. 식별 및 인증 등의 고유기능에 사용되는 바이오정보(지문, 홍채 등)가 노출 또는 위·변조되지 않도록 암호화 하여 저장하여야 한다.
2. 콜센터 등 일반 민원 상담 시 저장되는 음성기록이나 일반 사진 정보는 암호화 대상에서 제외된다.
⑤ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지
⑥ (DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
⑦ 개인정보 취급자는 제1항에 따른 개인정보를 컴퓨터에 저장할 때에는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여
암호화한 후 저장하여야 한다. 단, 안전한 암호화 알고리즘의 유지기간은 국정원 암호화 알고리즘기준에 따른다.
제11조(비밀번호관리)
개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 다음 각 호와 같이
비밀번호 작성규칙을 수립하여 적용하여야 한다.
1. 변경주기 : 최소 반기별 1회 이상 변경
2. 조합규칙 : 영문 대문자, 영문 소문자, 숫자, 특수문자 등 4가지 종류 중 2종류 이상 조합하여 10자리 이상
또는 3종류 이상 조합하여 8자리 이상으로 구성한다.
3. 동일한 비밀번호 사용 제한 : 2개 이상의 비밀번호를 교대로 사용하지 않는다.
제12조(접근통제)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접속권한을 방화벽 등을 통해 제한하여
인가받지 않은 접근을 제한하는 등 접근통제시스템을 설치하여야 한다.
② 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망 또는 전용선 등 안전한 접속수단을
적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록
개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.
제13조(접속기록의 위변조 방지)
① 개인정보처리자는 접속기록의 위변조 방지를 위해 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리
(입/출력, 수정 등 DB접근)하는 경우에는 처리일시, 처리내역 등 접속기록을 최소 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 위·변조 방지를 위해 제1항의 접속기록을 안전하게 보관하여야 한다.
제14조(보안프로그램의 설치 및 운영)
① 개인정보처리자는 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 안전성 확보를 위한 백신 프로그램, PC패치관리시스템,
PC개인정보보호시스템 등의 보안 프로그램을 설치·운영하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시한다.
2. 백신 소프트웨어 등의 보안 프로그램은 실시간 감시 등을 위해 항상 실행된 상태를 유지해야 한다.
② 보안 프로그램은 자동 업데이트 기능 등을 통해 최신의 버전을 유지하여야 한다.
1. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가
있는 경우, 즉시 이에 따른 업데이트를 실시한다.
2. 보안 업데이트가 자동으로 설정되도록 한다.
③ 4장 정기적인 자체검사
제15조(자체감사 점검주기 및 절차)
① 개인정보보호책임자는 개인정보보호를 위한 관련 법령에서 정하는 규정의 이행여부를 주기적으로 감사 또는 점검하여야 한다.
② 개인정보보호책임자는 개인정보 자체감사 또는 점검을 위한 대상, 절차 및 방법 등 감사 또는 점검의 실시에 관하여 필요한 별도의 계획을 수립할 수 있다.
③ 개인정보보호 자체감사 점검은 최소 월 1회 이상 실시한다.
1. “보안 진단의 날”을 지정하여 개인정보취급자(전 직원)의 컴퓨터 안정성, 정기점검, 개인정보파일 현황 확인 등 자체보안점검(내부감사항목)을 실시한다.
2. 시행시기 : 매월 셋째 주 수요일
3. 주관부서 : 정보화 업무를 담당하는 팀
제16조(자체검사 점검 결과 반영)
① 개인정보보호책임자는 개인정보 보호를 위한 자체감사 또는 점검 실시 결과, 개인정보의 관리·운영상의 문제점을 발견하거나 관련 직원이
본 규정의 내용을 위반할 때에는 시정·개선 등 필요한 조치를 취하여야 한다.
② 개인정보보호책임자는 개인정보 위반사실에 대한 시정·개선 조치가 이행되지 않거나, 개인정보보호에 심각한 영향이 발생할 수 있는 우려가
있는 경우 개인정보 취급자 등에 대한 인사발령 등의 필요한 추가 조치를 취할 수 있다.
제17조(실태조사와 결과반영)
① 개인정보 보호책임자는 개인정보 보호관련 자체감사나 외부감사와 별도로 부정기적으로 개인정보보호 실태조사를 할 수 있다.
② 개인정보 보호책임자는 개인정보 실태조사를 위해 필요한 경우 조사대상, 조사절차 및 방법 등을 포함하는 별도의 실태조사 계획을 수립, 시행할 수 있다.
③ 개인정보 보호책임자는 실태조사 결과, 내부관리계획의 내용을 위반 하거나 그 밖에 개인정보의 관리·운영상의 문제점을 발견하였을 때에는
시정·개선 또는 필요한 조치를 취하여야 한다.
제4장 개인정보보호 교육
제18조(개인정보보호 교육 계획의 수립)
① 개인정보보호책임자는 다음 각 호의 사항을 포함하는 개인정보보호 교육 계획을 수립하여 분야별 개인정보보호책임자 및 개인정보취급자를
대상으로 매년 1회 이상 교육을 실시하여야 한다.
② 개인정보 보호책임자는 개인정보 보호교육을 실시한 이후에 교육의 성과와 개선 필요성 등을 검토하여 다음연도 교육계획 수립에 반영하여 야 한다.
제19조(개인정보보호 교육의 실시)
① 개인정보보호책임자는 정보주체 권리보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오·남용 또는 유출 등을 예방하기 위해
상반기와 하반기에 각 1회씩 매 년 1회 이상 정기적으로 개인정보보호 교육을 실시한다.
② 교육 방법은 집체 교육, 온라인교육(e-러닝)뿐만 아니라, 인터넷 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관 등에
위탁하여 교육을 실시할 수 있다.
③ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보보호책임자는 부서 회의등을
통해 수시 교육을 실시할 수 있다.
④ 분야별 개인정보보호책임자는 교육 전·후 교육계획서 및 교육 결과서 작성 등 증빙자료를 첨부하여 개인정보보호책임자의 결재를 받아 보관.
제5장 개인정보 처리
제20조(개인정보의 수집·이용)
① 개인정보취급자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적 범위에서 이용하여야 한다.
1. 정보주체의 동의를 받은 경우
2. 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
3. 정보주체와의 계약의 체결 및 이행을 위하여 불가피한 경우
4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 동의를 받을 수 없는 경우로서 명백히 정보주체
또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을
변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보 수집·이용 목적
2. 수집하려는 개인정보 항목
3. 개인정보의 보유 및 이용기간
4. 동의를 거부할 권리가 있다는 사실
제21조(개인정보의 수집 제한)
① 개인정보처리자는 제20조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다.
이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
② 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보 주체에게
재화 또는 서비스의 제공을 거부하여서는 아니 된다.
제22조(민감정보와 고유식별정보의 처리 제한)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우 외에는 민감정보와 고유식별정보를 처리하여서는 아니 된다.
1. 정보주체에게 제20조제2항 각 호 또는 제23조제2항 각 호의 사항을알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 해당 개인정보의 처리를 요구하거나 허용하는 경우
② 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입할 경우 고유식별정보인 주민등록번호를 사용하지 아니하고도 I-PIN,
공인인증서 등을 이용한 회원가입 수단을 제공해야 한다.
제23조(개인정보의 제공)
① 수집한 개인정보는 다음의 경우 정보주체의 개인정보를 제3자에게 제공할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 제20조제1항제2호·제4호에 따라 개인정보를 수집한 목적 범위에서 개인 정보를 제공하는 경우 <개정 2018.5.14.>
② 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 하며, 다음 각 호의 어느 하나의 사항을 변경하는 경우에도
이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보를 목적 외의 용도로 이용하거나 제3자에게 개인정보를 제공하는 경우에는 다음 각 호의 사항을 [별지 제1호서식]의
“개인정보의 목적 외 이용 및 제3자 제공 대장”에 기록하고 관리하여야 한다.
1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
2. 이용기관 또는 제공받는 기관의 명칭
3. 이용 목적 또는 제공받는 목적
4. 이용 또는 제공의 법적 근거
5. 이용하거나 제공하는 개인정보의 항목
6. 이용 또는 제공의 날짜, 주기 또는 기간
7. 이용하거나 제공하는 형태
8. 법률 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용
제24조(개인정보의 이용·제공 제한)
① 개인정보처리자는 개인정보 수집 시 고지한 제20조제2항의 이용목적 범위를 넘어 개인정보를 이용하거나 제23조제2항에 의한 고지 범위를 넘어
개인정보를 제3자에게 제공하여서는 아니 된다.
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해 당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할
우려 가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이 를 제3자에게 제공할 수 있다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 동의를 받을 수 없는 경우로서 명백히 정보주체
또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서
법률 제7조에 따른 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다.
다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을말한다.)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ ㈜자여는 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는
제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 개인정보보호법 시행규칙에서 정하는 바에 따라 인터넷 홈페이지 등에 게재하여야 한다.
⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는
자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다.
이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.
제25조(제공 받은 개인정보의 이용·제공 제한)
개인정보처리자로부터 개인 정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외 하고는 개인정보를 제공받은 목적 외의 용도로
이용하거나 이를 제3자에게 제공하여서는 아니 된다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
제26조(업무위탁에 따른 개인정보의 처리)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함 된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 기관장이 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가
언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지 등 보기 쉬운 장소에 게시하여야 한다.
③ 개인정보보호책임자는 위탁 처리되는 개인정보가 안전하게 관리 될 수 있도록 제1항의 내용이 성실하게 이행되는지 여부에 대하여 위탁한 업무의
범위 내에서 적절한 감독을 행하여야 한다.
제27조(개인정보의 파기)
① 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.
다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 제1항에 따라 개인정보를 파기할 때에는 다음의 각 호에 따라 복구 또는 재생되지 아니하도록 조치하여야 한다.
1. 전자적 파일 형태인 경우 : 복원이 불가능한 방법으로 영구 삭제
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각
3. DB에 저장된 레코드를 삭제 시에도 파기에 해당된다.
③ 개인정보처리자는 개인정보의 보유기간이 경과된 경우에는 정당한 사유가 없는 한 보유기간의 종료일로부터 5일 이내에,
개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한
개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기하여야 한다.
④ 개인정보처리자는 개인정보의 파기에 관한 사항을 개인정보파기관리대장에 기록·관리하여야 한다.
⑤ 개인정보파기의 시행 및 확인은 개인정보보호책임자의 책임 하에 수행된다.
⑥ 개인정보보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.
제28조(개인정보처리방침의 게재)
① 개인정보보호책임자는 다음 각 호의 사항을 포함하는 개인정보처리 방침을 수립하여 정보주체가 확인할 수 있도록
인터넷 홈페이지에 지속적으로 게재하여야 한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
6. 처리하는 개인정보의 항목
7. 개인정보의 파기에 관한 사항
8. 개인정보의 안전성 확보 조치에 관한 사항
9. 개인정보 보호책임자에 관한 사항
10. 개인정보 처리방침의 변경에 관한 사항
② 개인정보처리방침 내 고지사항의 변경은 인사발령 등 원인행위 발생 시 즉시 반영한다.
제6장 개인정보파일
제29조(개인정보파일의 등록 및 공개)
㈜자여에서 운용하는 개인정보파일은 ㈜자여 보안팀이 법률 제32조에서 정하는 바에 따라 다음의 절차로개인정보파일을 등록 및 공개하여야 한다.
1. 개인정보파일을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 안전행정부령으로 정하는 바에 따라
안전행정부장관에게 등록사항의 등록을 신청하여야 한다. 등록 후 등록사항이 변경된 경우에도 또한 같다.
2. 개인정보파일은 “개인정보파일등록·공개 시스템(www.privacy.go.kr)”에 등록하면 된다.
3. ㈜자여은 1개의 개인정보파일에 1개의 개인정보파일대장을 작성하여 관리하여야 한다.
제30조(개인정보파일 등록 예외)
다음 각 호의 어느 하나에 해당하는 개인 정보파일에 대하여는 제16조를 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범 처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. ㈜자여의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
제7장 정보주체의 권리보장
제31조(개인정보의 열람, 정정·삭제, 처리정지)
① 개인정보 보호법 시행령」 제48조(열람 요구 지원시스템의 구축 등)제2항에 의하여 개인정보의 열람, 정정·삭제, 처리정지 요청 시 개인정보보호 종합지원
포털을 (http://www.privacy.go.kr) 통해 신청하거나, ㈜자여의 개인정보의 열람, 정정·삭제, 처리정지 절차를 따른다.
② 정보주체가 ㈜자여에 신청서를 통해 개인정보를 열람하는 경우 개인정보 취급자는 다음과 같은 절차를 따른다.
1. 정보주체의 열람청구에 대하여 열람주체가 본인임을 확인하고, 열람하고자 하는 개인정보의 범위를 확인한다. 대리인인 경우 위임장과
위임자와 대리인의 주민등록증 등 신분을 확인할 수 있는 증명서로 확인하며, 법정대리인의 경우에는 법정대리인임을 확인할 수 있는 서면을
추가로 확인한다.
2. 제32조 개인정보의 열람, 정정·삭제, 처리정지의 제한사항을 확인한다.
3. 개인정보 열람의 제한‧연기 및 거절일 경우에는 열람요구를 받은 날로부터 10일 이내에 연기 또는 거절의 사유 및 이의제기 방법을
「개인정보 보호법 시행규칙(행정안전부령)」에서 정하는 열람의 연기·거절 통지서로[별지 제3호서식] 해당 정보주체에게 알린다.
4. 개인정보를 열람한다.
③ 정보주체가 ㈜자여에 신청서를 통해 개인정보의 정정·삭제, 처리정지를 요청하는 경우 개인정보 취급자는 다음과 같은 절차를 따른다.
1. 개인정보 정정·삭제, 처리정지 주체가 본인임을 확인하고, 정정·삭제, 처리정지 청구하고자 하는 개인정보의 범위를 확인한다. 대리인인 경우
위임장과 위임자와 대리인의 주민등록증 등 신분을 확인할 수 있는 증명서로 확인하며, 법정대리인의 경우에는 법정대리인임을 확인할 수 있는 서면을
추가로 확인한다.
2. 제32조 개인정보의 열람, 정정·삭제, 처리정지의 제한사항을 확인한다.
3. 개인정보의 정정·삭제, 처리정지 거절일 경우에는 요구를 받은 날부터 10일 이내에 거절의 사유 및 이의제기 방법을
「개인정보 보호법시행규칙(행정안전부령)」에서 정하는 정정·삭제, 처리정지 통지서로 [별지 제4호서식] 해당 정보주체에게 알린다.
4. 개인정보취급자가 정보주체의 요구에 따라 개인정보를 정정·삭제, 처리정지에 대한 사항을 수정한다.
④ 정보주체가 개인정보의 열람, 정정·삭제, 처리정지 요청에 대한 불복청구 절차는 다음과 같은 절차를 따른다.
1. ㈜자여의 결과통지에 대하여 정보주체가 불복제기 여부에 따라 이의를 제기할 수 있으며 ㈜자여은 이에 따라 재심을 거쳐 통지한다.
2. 재심의 결정통지에 대하여 불복할 경우 행정심판청구를 신청하면 행정심판위원회에 회부되어 심의, 의결과정을 거쳐 재결서를 통보한다.
3. 정보주체가 재결서에 대하여 불복할 경우 행정소송을 제기하면 행정법원에서 소장접수 및 관할확인과 확정판결에 대한 최종결정을 내린다.
제32조(개인정보의 열람, 정정·삭제, 처리정지의 제한)
① 개인정보처리자는 다음 각 호의 경우 정보주체에게 그 사유를 알리고 열람을 제한하거 나 거절할 수 있다.(「개인정보보호법」 제5장제36조)
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
② 조세의 부과·징수 또는 환급에 관한 업무
③ 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
④ 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 기타 법률에서 정한 경우
⑥ 정보주체는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
⑦ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.(「개인정보보호법」 제37조2항)
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
⑧ 개인정보처리자가 제1항, 제2항, 제3항에 따라 정보주체의 개인정보 열람 및 정정·삭제, 처리정지 요구를 연기 또는 거절하려는 경우에는
요구를 받은 날부터 10일 이내에 그 사유 및 이의제기방법을 열람의 연기·거절 통지서로 해당 정보주체에게 알려야 한다.
제33조(개인정보의 유출 시 대응방안)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
1. 개인정보가 유출 시 사고 등급을 분류하고 대응조직을 수립하여 대응한다.
2. 사고 등급은 영향도에 따라 심각, 주의, 관심 등급으로 분류한다.
3. 개인정보 유출 시 접속경로 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위해 필요한 긴급조치를 이행한다.
4. 관련 조직은 기관장을 사고대책본부장으로 하는 임시적인 대응조직을 수립한다.
③ 1만명 이상의 개인정보가 유출된 경우 개인정보처리자는 제1항 및 제2항에 따른 조치결과를 지체 없이 [별지 제5호서식]의 “개인정보 유출신고서”에 따라
안전행정부장관 또는 한국정보화진흥원 및 한국인터넷 진흥원에 신고하거나, 개인정보 유출신고사이트 (http://www.privacy.go.kr) 에 신고하며, 유출 시
대응절차는 [별표 1]과 같다.
④ 개인정보처리자는 개인정보 유출이 발생했을 경우 지체 없이 정보주체 에게 유출 관련사항을 통지하여야 하며, 유출신고 절차는 [별표 2]와 같다.
제34조(개인정보 침해예방)
개인정보처리자는 개인정보가 외부에 유출되거나 침해되지 않도록 관리적·기술적 조치를 취하여야 하며 개인정보취급자는 관련 사항을 이행하여야 한다.
제35조(개인정보영향평가)
개인정보처리자는 다음 각 호의 개인정보파일에대하여 개인정보영향평가를 실시하여 개인정보가 유출·침해되지 않도록 한다.
1. 구축·운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보 파일
2. 구축·운용하고 있는 개인정보파일을 ㈜자여 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서
연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보 주체에 관한 개인정보파일
4. 법률 제33조제1항에 따른 개인정보영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변 경하려는 경우
그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.
제36조(준용규정)
이 규정에서 정한 사항 외의 그 밖에 개인정보 처리 및
보호에 관한 사항은 「개인정보 보호법」또는 보건복지부 「개인정보보호 지침」을 준용한다.