안녕하세요 그사람입니다.
오늘은 제가 21년에 충북, 대전, 세종 지역의 사회복지시설 및 단체등에 개인정보 및 정보보호 컨설팅을 진행하면서 확인했던 대부분의 기관에서 많이 보여지는 잘 지켜지고 있지 않은 관리적인 부분에 대해서 말씀드릴까 합니다.
홈페이지 있어야 하는데 없는 것, 그 첫번째는 개인정보처리방침입니다. 아래 관련 근거 확인하시구요
- 관련근거 :
개인정보 보호법[시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정] 제30조
제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보 보호법 시행령[시행 2022. 10. 20.] [대통령령 제32813호, 2022. 7. 19., 일부개정] 제31조
제31조(개인정보 처리방침의 내용 및 공개방법 등) ① 법 제30조제1항제8호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다. <개정 2016. 9. 29., 2020. 8. 4.>
1. 처리하는 개인정보의 항목
2. 삭제 <2020. 8. 4.>
3. 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항
② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.
③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다.
1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
(개인정보보호위원회) 표준 개인정보 보호지침[시행 2020. 8. 11.] [개인정보보호위원회고시 제2020-1호, 2020. 8. 11., 제정] 제18 ~ 20조
제18조(개인정보 처리방침의 작성기준 등) ① 개인정보처리자가 개인정보 처리방침을 작성하는 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.
② 개인정보처리자는 처리하는 개인정보가 개인정보의 처리 목적에 필요한 최소한이라는 점을 밝혀야 한다.
제19조(개인정보 처리방침의 기재사항) 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.
1. 개인정보의 처리 목적
2. 처리하는 개인정보의 항목
3. 개인정보의 처리 및 보유 기간
4. 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
5. 개인정보의 파기에 관한 사항
6. 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
7. 영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
8. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항
10. 개인정보 보호책임자에 관한 사항
11. 개인정보의 열람청구를 접수·처리하는 부서
12. 정보주체의 권익침해에 대한 구제방법
제20조(개인정보 처리방침의 공개) ① 개인정보처리자가 법 제30조제2항에 따라 개인정보 처리방침을 수립하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며, 이 경우 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
② 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리상의 하자가 있는 경우에는 영 제31조제3항 각 호의 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다. 이 경우에도 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
③ 개인정보처리자가 영 제31조제3항제3호의 방법으로 개인정보 처리방침을 공개하는 경우에는 간행물·소식지·홍보지·청구서 등이 발행될 때마다 계속하여 게재하여야 한다.
제21조(개인정보 처리방침의 변경) 개인정보처리자가 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.
출처 : 국가법령시스템(https://www.law.go.kr)
내용이 좀 많죠?
중요한 핵심은 꼭 있어야 한다는 것, 그리고 정확한 명칭과 포함해야 하는 내용이 있어야 한다는 것 입니다.
아직도 많은 홈페이지에서 개인정보 처리방침, 개인정보 취급방침 여러개로 보여지는데
개인정보 취급방침이란명칭은 2016년에 개인정보처리방침으로 통일 되었습니다.
따라서 명칭은 개인정보처리방침 이란용어를 사용하셔야 합니다.(표준개인정보보호지침 참고)
따라서 개인정보 취급방침은 잘못된 용어입니다. 변경하셔야 합니다.
기재사항도 표준개인정보보호지침 제19조(개인정보 처리방침의 기재사항) 참고하셔서 작성해야 합니다.
https://www.privacy.go.kr/a3sc/per/inf/perInfStep01.do
> 메인
개인정보 처리방침 만들기 개인정보 처리방침 간단히 만들기 개인정보 처리방침을 간단하게 작성해 보세요. 개인정보 처리방침 새로 만들기 - 개인정보보호법 및 시행령, 표준 개인정보 보호지
www.privacy.go.kr
아래 과태료 관련 조항 확인하시구요
개인정보보호법 제75조(과태료) 4항 7호
홈페이지에 있어야 하는데 없는것 혹은 잘못되어있는것
첫번째로 개인정보처리방침을 알아보았습니다.
_그사람
'그사람의 Security읽기 > 비영리정보보호지원센터' 카테고리의 다른 글
| [한국여성인권진흥원] 개인정보보호 안내서(2022) (0) | 2023.02.08 |
|---|---|
| 사회복지시설 개인정보보호 가이드라인 (0) | 2023.01.17 |
| 비영리정보호호지원센터 시작합니다. (0) | 2023.01.10 |