제1조(목적)
이 지침은 개인정보보호위원회(이하 “보호위원회”라 한다) 「개인정보 보호법」(이하 “법”이라 한다.) 및 「개인정보 보호법 시행령」(이하 “시행령”이라 한다.)에 따라 한국과학기술원 부설 한국과학영재학교(이하 “본교”이라 한다) 개인정보보호 업무 수행에서 법 준수 및 개인정보의 안전성 확보에 필요한 세부 사항을 규정함을 목적으로 한다.
제2조(적용 범위)
①이 지침은 전자 문서 및 수기문서를 포함한 모든 형태의 개인정보파일을 운용하는 본교 전 부서에 적용된다.
②개인정보 보호와 관련하여 별도의 규정을 두는 경우를 제외하고는 이 지침을 따른다.
제3조(용어의 정의)
이 지침에서 사용하는 용어의 뜻은 다음과 같다.
- 1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
- 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
- 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
- 다. 가목 또는 나목을 제2호에 따라 가명처리 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
- 2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
- 3. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
- 4. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
- 5. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
- 6. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- 7. “개인정보보호 책임자”란 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 사람으로서, 법 제31조에 따른 지위에 해당하는 사람을 말한다.
- 8. “개인정보보호 분야별책임자”란 개인정보보호 책임자의 업무를 보좌하기 위해 보호 분야별로 지정한 사람을 말한다.
- 9. “개인정보보호 담당자”란 개인정보보호 책임자를 보좌하여 개인정보보호 업무에 대한 실무를 담당하는 사람을 말한다.
- 10. “개인정보보호 분임책임자”란 개인정보보호 책임자 및 분야별책임자의 업무의 효율적 수행을 위해 지정한 사람으로서, 개인정보 취급 부서의 관리책임자를 말한다.
- 11. “개인정보보호 분임담당자”란 분임책임자를 보좌하여 각 부서의 개인정보 처리에 관한 업무를 수행하는 사람으로서, 각 부서 보안담당자(CERT)가 겸한다.
- 12. “개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 업무상 개인정보를 취급하는 사람으로서, 직접 개인정보에 관한 업무를 처리하는 모든 사람을 말한다.
- 13. “침해사고 처리책임자”란 해당 침해사고 발생 부서의 분임책임자 또는 개인정보보호 책임자가 지정하는 사람으로서, 해당 사고에 대한 분석, 대응, 복구 등의 처리에 대한 책임을 지는 사람을 말한다.
- 14. “정보보안 담당자”란 정보시스템 및 정보통신망을 통해 수집·가공·저장·검색·송수신 되는 정보의 유출·위변조·훼손 등을 방지하기 위하여 관리적·물리적·기술적 수단을 강구하는 일체의 행위를 수행하는 사람을 말한다.
- 15. “개인정보처리시스템”이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
- 16. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 「개인정보 보호법 시행령」(이하 “영”이라 한다) 제3조 각 호에서 정하는 장치를 말한다.
- 17. “개인영상정보”란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.
- 18. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
- 19. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
- 20. “P2P(Peer to Peer)”란 정보통신망을 통해 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
- 21. “보조저장매체”란 이동형 하드디스크(HDD), USB메모리, CD (Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말한다.
제4조(개인정보 보호 원칙)
- ①개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위 내에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
- ②개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용해서는 아니 된다.
- ③개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
- ④개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
- ⑤개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
- ⑥정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
- ⑦개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
- ⑧본교 구성원 전체는 이 지침 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
제5조(개인정보 보호조직)
개인정보의 안전한 처리와 효율적인 관리를 위하여 개인정보보호 책임자, 개인정보보호 분야별책임자 및 담당자, 개인정보보호 분임책임자 및 담당자, 침해사고 처리책임자 등을 두며 다음 각 호와 같이 지정한다.
- 1. 시행령 제32조제2항제1호의 규정에 의하여 본교의 개인정보보호 책임자는 행정지원부장으로 한다.
- 2. 개인정보보호 분야별책임자는 제8조제1항 각 호에 의하여 지정된 자를 말한다.
- 3. 개인정보보호 분야별담당자는 보호 분야별로 다음 각 목과 같이 지정한다.
- 가. 관리적보호 분야별담당자: 제3조제8호의 개인정보보호 담당자
- 나. 기술적보호 분야별담당자: 제3조제13호의 정보보안 담당자
- 4. 개인정보보호 분임책임자는 제9조제1항 각 호에 의하여 지정된 자를 말한다.
- 5. 개인정보보호 분임담당자는 제9조제3항에 의하여 지정된 자를 말한다.
- 6. 개인정보 침해사고 처리책임자는 제3조제11호에 의하여 지정된자를 말한다.
제5조의2(개인정보보호위원회)
- ①본교의 체계적이고 효율적인 개인정보보호 정책 수립·심의를 위하여 개인정보보호위원회(이하 “위원회”)를 구성·운영할 수 있다.
- ②위원회는 다음 각 호의 사항을 심의 및 의결한다.
- 1. 개인정보보호 관련 규정 및 제도 수립에 관한 사항
- 2. 개인정보보호 관련 주요 정책 방향 결정에 관한 사항
- 3. 개인정보 제공 및 상호 협력 등에 따른 개인정보 안전성 검토에 관한 사항
- 4. 개인정보보호 관련 신규 및 주요 업무 추진계획 수립에 관한 사항
- 5. 개인정보 침해요인 평가 및 실태조사에 관한 사항
- 6. 개인정보보호 관련 법규 위반자 등의 심사 및 처리에 관한 사항
- 7. 기타 위 각호에 부수되는 제반 사항 및 위원장이 필요하다고 판단하는 사항
- ③위원회는 위원장 1인을 포함하여 10인 내외로 하며, 다음 각 호와 같이 구성한다.
- 1. 위원장은 교감으로 한다.
- 2. 정책 및 개인정보보호 업무 관련성이 높은 교무연구부장, 대외기획부장, 학생생활부장, 행정지원부장, 입학팀장, 인사총무팀장, 시설안전팀장, 정보보안담당자는 당연직 위원이 된다.
- 3. 필요한 경우 법률 및 정보기술 분야 전문가로서 위원장의 추천으로 교장이 위촉하는 2인 내외의 전문위원을 둘 수 있다.
- ④위원장을 포함한 각 위원의 임기는 보직 재임기간 및 해당 업무기간으로 한다.
- ⑤위원회의 사무를 처리하기 위하여 개인정보보호 담당자를 간사로 둔다.
- ⑥위원회는 필요시 관계자·관계부서에 자료 제출 및 의견 진술 등을 요구할 수 있다.
- ⑦그 밖에 본조에서 정하지 않은 사항은 「위원회 운영규정」을 따른다.
제6조(개인정보보호 책임자)
- ①개인정보보호 책임자의 업무는 다음 각 호와 같다.
- 1. 기관 개인정보 처리에 관한 업무 총괄
- 2. 기관 개인정보 관리실태 평가 및 통제
- 3. 기관 개인정보보호 조직체계 관리 및 직무별 의무와 책임의 규정
- 4. 기관 내 법규 위반 사실 확인 시 개선조치 이행
- 5. 개인정보 침해사고의 예방 및 정보주체의 권리보장을 위한 조치
- 6. 기관 개인정보보호 문화확산, 관행개선, 인식제고를 위한 계획의 수립 및 시행
- 7. 개인정보파일의 신규 등록, 변경 또는 파기에 대한 적정성 검토 및 승인
- 8. 그 밖에 기관 개인정보 보호 및 관련 법령의 준수를 위해 필요한 사항
- ②개인정보보호 책임자는 제1항 각 호의 업무를 수행할 때 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
제7조(개인정보보호 책임자의 공개)
- ①개인정보보호 책임자를 지정하거나 변경하는 경우 개인정보보호 책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.
- ②개인정보보호 책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 다만, 개인정보보호 책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 기재할 수 있다.
제8조(개인정보보호 분야별책임자)
- ①개인정보보호 책임자의 업무를 보좌하기 위해 다음 각 호와 같이 관리적보호 및 기술적보호의 분야별책임자를 둔다.
- 1. 관리적보호 분야별책임자는 인사총무팀장으로 한다.
- 2. 기술적보호 분야별책임자는 시설안전팀장으로 한다.
- ②관리적보호 분야별책임자는 다음 각 호의 업무를 수행한다.
- 1. 개인정보 보호를 위한 관리적 보호 조치 총괄
- 2. 개인정보 보호를 위한 관련 규정 등의 제·개정
- 3. 개인정보 보호를 위한 장·단기 계획의 수립 및 시행
- 4. 개인정보 보호를 위한 교육계획의 수립 및 시행
- 5. 개인정보 처리방침의 수립, 변경 및 시행
- 6. 개인정보 처리에 관한 불만의 처리 및 피해 구제
- 7. 개인정보 수준진단, 영향평가, 인증 등 감사·검사 대응 총괄
- 8. 영상정보처리기기 관리책임 및 개인영상정보 열람청구 처리
- 9. 개인정보의 물리적 안전조치에 관한 사항
- 10. 개인정보 침해사고 대응계획 수립·시행에 관한 사항
- 11. 위험도 분석 및 대응방안 마련에 관한 사항
- 12. 그 밖에 개인정보 보호를 위해 필요한 관리적 조치 사항
- ③기술적보호 분야별책임자는 다음 각 호의 업무를 수행한다.
- 1. 개인정보 보호를 위한 기술적 보호 조치 총괄
- 2. 개인정보 보호를 위한 전산 교육 시행 및 감사 지원
- 3. 개인정보 유출 및 오·남용 방지를 위한 접근통제시스템의 구축·운영 총괄
- 4. 개인정보 수준진단, 영향평가, 인증 등 감사·검사에 기술적 사항 대응
- 5. 개인정보 침해사고 발생 시 기술적 대응
- 6. 원내 개인정보처리시스템의 실태점검 및 감독
- 7. 악성프로그램 등 방지를 위한 보안대책 수립 및 운영
- 8. 재해·재난 대비 개인정보처리시스템의 안전조치에 관한 사항
- 9. 안전한 비밀번호 작성규칙의 수립 및 교육, 관리
- 10. 개인정보의 암호화에 관한 사항 총괄
- 11. 접속기록 보관 및 관리에 관한 총괄 관리 및 감독
- 12. 그 밖에 개인정보 보호를 위해 필요한 기술적 조치 사항
- ③개인정보보호 분야별책임자는 각 분야별 보호조치 업무의 보좌 및 실무 총괄을 위해 다음 각 호와 같이 분야별담당자를 둔다.
- 1. 관리적보호 분야별담당자는 개인정보보호 담당자로 한다.
- 2. 기술적보호 분야별담당자는 정보보안 담당자로 한다.
제9조(개인정보보호 분임책임자)
- ①개인정보보호 책임자 및 분야별책임자의 업무의 효율적인 수행을 돕기 위하여 다음 각 호의 직위에 있는 사람을 개인정보보호 분임책임자로 정하며, 임용과 동시에 분임책임자가 된다.
- 1. 행정업무 지원부서장 및 팀장
- 2. 학부장
- 3. 위 각 호 직위에 해당하는 사람이 없는 부서의 경우 분임담당자
- ②개인정보보호 분임책임자는 다음 각 호의 업무를 수행한다.
- 1. 부서의 개인정보 처리에 관한 절차, 기준 및 계획 마련 등 소관 업무 분야 내 개인정보처리 및 보호에 관한 업무 총괄
- 2. 부서의 개인정보취급자를 업무상 필요한 한도에서 최소한으로 지정하고, 개인정보보호 서약서를 징구하며, 개인정보를 안전하게 취급하도록 교육 및 관리·감독
- 3. 부서 내 개인정보처리시스템의 안전성 확보조치 준수 여부 주기적 점검 및 개선
- 4. 부서의 개인정보 「접근권한 관리절차서」를 수립하고, 업무 수행에 필요한 최소한의 범위로 업무 담당자별 권한 차등 부여
- 5. 전보·퇴직 등 개인정보 취급자 변경 시, 접근권한을 변경·말소하고 그 내역을 3년 이상 기록·보관
- 6. 부서의 개인정보 접근권한 승인 및 단말기 설정 등 제반 보호 장치에 관한 사항 확인·감독
- 7. 부서의 개인정보 취급내역 및 취급자에 대한 기록 확보 및 정당성 점검을 통해 오·남용 사고 예방(월 1회 이상 접속기록 점검 등)
- 8. 부서의 개인정보파일 등록·변경·파기 관리
- 9. 부서에서 운영하는 웹사이트의 개인정보 처리방침을 수립하고 첫 화면에 공개
- 10. 부서 내 웹사이트의 개인정보 노출 방지 관리 및 월 1회 이상 주기적 점검
- 11. 부서의 개인정보 생애주기 단계별 법령 준수 및 보호조치 관리
- 12. 부서의 개인정보 취급(자) 현황 등의 통계, 개인정보 침해 및 위법 사항 등을 개인정보보호 책임자에게 주기적으로 보고
- 13. 부서 내 개인정보 침해사고 발생 시 개인정보보호 책임자에게 보고하고 협력하여 조사, 처리 및 재발 방지 방안 수립
- 14. 부서의 업무처리를 위해 개인정보를 유관기관에 제공하거나 접근권한을 제공하는 경우 그 관리·감독
- 15. 부서의 개인정보 취급 업무를 외부기관에 위탁하는 경우 그 수탁기관의 개인정보 보호에 관한 교육 및 관리·감독
- 16. 그 밖에 부서 개인정보 보호 및 관련 법규의 준수를 위해 필요한 사항
- ③개인정보보호 분임책임자는 부서 내 개인정보 보호 활동을 위해 개인정보보호 분임담당자를 둘 수 있으며, 특별한 사유가 없으면 해당 부서의 보안담당자(CERT)를 분임담당자로 한다.
제10조(개인정보취급자)
- ①개인정보취급자는 본교의 개인정보 처리 업무를 수행하는 모든 사람으로서 다음 각 호의 업무를 수행한다.
- 1. 처리하는 개인정보가 훼손 및 누설되지 않도록 안전하게 취급
- 2. 개인정보의 처리단계별(수집-보유·이용-제공-파기) 보호 관리
- 가. 수집단계(동의서식 확인)
- 1) 주요 내용 강조 표시(마케팅, 민감정보, 고유식별정보, 보유 기간, 제공받는 자, 제공 목적)
- 2) 필요 최소한의 정보 수집
- 3) 수집 항목에 “. . . 등”으로 포괄적 표현 금지
- 4) 최소한의 보유 기간 설정
- 5) 별도 동의 항목 확인(마케팅, 민감정보, 고유식별정보, 제3자 제공)
- 6) 주민등록번호 수집 금지(법률 근거 있는 경우 별도 고지, 동의는 불필요함)
- 7) ‘동의함'을 기본값으로 설정 금지
- 나. 보유·이용단계
- 1) 고유식별정보, 비밀번호, 바이오정보 등은 공인된 알고리즘을 이용하여 암호화 보관
- 2) 위탁 절차 준수(위탁계약서 작성, 수탁자 교육·감독, 위탁 내용 공지 등)
- 다. 제공단계: 목적 외 제공 절차 준수(관리적보호 분야별책임자 검토·승인, 안전조치 의무 고지, 제공 내용 웹사이트 공지 등)
- 라. 파기단계: 목적 달성 시 즉시 파기(다른 법령에 따라 보존해야 하는 경우, 다른 개인정보와 분리하여 보관)
- 3. 개인정보의 관리적·기술적·물리적 보호 조치 이행
- 가. 업무용 컴퓨터에 개인정보 저장 금지, 필요시 파일 암호화
- 나. 임시 출력물 사용 후 즉시 파기, 필요시 잠금장치가 있는 안전한 장소 보관
- 다. 1인 1계정 사용(1인 다(多)계정 및 다인 1계정 금지, 계정 공유 및 유출 금지)
- 라. 외부에서 개인정보처리시스템 접속 시 VPN 등 안전한 수단 이용
- 4. 개인정보파일의 등록·변경·파기 및 삭제 신청
- 가. 신규 개인정보파일 생성 시 등록 신청
- 나. 목적 달성 또는 보유 기간 경과 시 파기 신청
- 5. 웹사이트 게시물 개인정보 탑재 금지: 본문 및 첨부파일 등에 개인정보 포함 여부 확인
- 6. 엑셀 사용 시 주의
- 가. 숨기기(행·열·탭), 메모, 각종 수식 등으로 숨겨진 개인정보 확인
- 나. 엑셀파일 공유 지양, 필요시 PDF 변환
- 7. 이메일·메신저 사용 주의
- 가. 수신자 재확인(동명이인 등), 파일 비밀번호 설정
- 나. 메신저로 개인정보 공유 금지
- 8. 개인정보의 무단 조회 및 오·남용 금지, 목적 외 접근 및 접근권한 양도·대여 금지
- 9. 개인정보보호 관련 교육 이수, 활동 참여 및 관계 법령·규정 준수
- 10. 그 밖에 개인정보의 안전한 처리를 위해 필요한 사항
- ② 개인정보취급자는 별지 제1호서식에 따른 개인정보보호 서약서를 제출하여야 하며, 법 제59조에 따라 업무상 알게 된 개인정보를 누설하거나 이를 권한 없이 처리 또는 타인에게 제공하는 등의 행위를 하여서는 안 된다.
제11조(개인정보 수집·이용)
- ①다음 각 호의 어느 하나에 해당하는 경우 개인정보를 수집할 수 있으며 최소한의 범위 내에서 수집한다.
- 1. 정보주체의 동의를 받은 경우
- 2. 법률에 특별한 규정이 있거나 법규 준수를 위하여 불가피한 경우
- 3. 공공기관이 법령 등에서 정하는 소관 업무 수행을 위하여 불가피한 경우
- 4. 정보주체 또는 그 법정대리인의 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 5. 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
- ②제1항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 1. 개인정보의 수집·이용 목적
- 2. 수집하려는 개인정보의 항목
- 3. 개인정보의 보유 및 이용 기간
- 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
- ③개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 시행령 제14조의2로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
제12조(동의를 받는 방법)
- ①필수 서비스 제공을 위하여 반드시 필요한 개인정보와 부가서비스 제공을 위한 선택적 개인정보 수집을 구분하여 정보주체에게 알리고 동의를 받아야 한다.
- ②개인정보 처리 시 동의가 필요한 경우와 그렇지 않은 경우를 구분하고, 후자의 경우에는 정보주체의 동의 없이 개인정보를 처리할 수 있다는 점과 그 사유를 알려야 한다.
- ③정보주체로부터 별도의 동의를 받고자 하는 경우에는 정보주체가 이를 명확히 인식할 수 있도록 조치를 취하고 동의를 받아야 한다.
- ④정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니한다는 이유로 정보주체에게 재화나 서비스 제공을 거부하여서는 아니 된다.
- ⑤전화에 의한 동의와 관련하여 통화내용을 녹취할 경우 녹취사실을 정보주체에게 알려야 한다.
제13조(정보주체의 사전 동의를 받을 수 없는 경우)
- ①필수 서비스 제공을 위하여 반드시 필요한 개인정보와 부가서비스 제공을 위한 선택적 개인정보 수집을 구분하여 정보주체에게 알리고 동의를 받아야 한다.
- ②개인정보 처리 시 동의가 필요한 경우와 그렇지 않은 경우를 구분하고, 후자의 경우에는 정보주체의 동의 없이 개인정보를 처리할 수 있다는 점과 그 사유를 알려야 한다.
- ③정보주체로부터 별도의 동의를 받고자 하는 경우에는 정보주체가 이를 명확히 인식할 수 있도록 조치를 취하고 동의를 받아야 한다.
- ④정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니한다는 이유로 정보주체에게 재화나 서비스 제공을 거부하여서는 아니 된다.
- ⑤전화에 의한 동의와 관련하여 통화내용을 녹취할 경우 녹취사실을 정보주체에게 알려야 한다.
- 정보주체의 사전 동의 없이 개인정보를 수집, 이용 또는 제공한 경우, 해당 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집 또는 이용한 사실, 그 사유와 이용내역을 알려야 한다.
제14조(간접 수집에 대한 고지)
- ①개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다.
- ②개인정보처리자는 제1항에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.
제15조(법정대리인의 권리)
만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
제16조(가명정보의 처리 등)
- ①개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
- ②가명정보 처리에 관한 세부사항은 법 제28조2부터 제28조7까지의 규정을 준용한다.
제17조(수탁자의 선정 시 고려사항)
- ①개인정보 처리 업무를 위탁받아 처리하는 사람(이하 "수탁자"라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다.
- ②개인정보 처리 업무를 위탁하는 때에는 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 마련하여야 한다.
제18조(개인정보 보호 조치의무)
- ①수탁자는 위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적 조치를 한다.
- ② 개인정보 처리 업무의 위탁에 대해서는 법 제26조를 준용한다.
제19조(개인정보의 이용 및 제공시 제한)
- ①부서간의 개인정보 이용 또는 조회는 소관업무를 수행하기 위한 최소한의 범위로 제한한다.
- ②분임책임자는 다른 법률에 따라 개인정보를 제공 하는 경우를 제외하고는 보유목적 외의 목적으로 타 기관 및 타인에게 제공하여서는 아니 된다.
- ③분임책임자는 제2항의 규정에 적용되는 경우에도 다음 각 호의 어느 하나에 해당하면 해당 개인정보파일을 타인에게 제공할 수 있다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에도 정보주체 또는 제3자의 권리와 이익을 부당하게 침해할 우려가 있다고 인정되는 때에는 그러하지 아니한다.
- 1. 정보주체로부터 별도의 동의를 받은 경우
- 2. 다른 법률에 특별한 규정이 있는 경우
- 3. 공공기관 법령 등에서 정하는 소관 업무 수행을 위하여 불가피한 경우
- 4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 5. 조약이나 그 밖의 국제협정의 이행을 위하여 필요한 경우로서 외국정부 또는 국제기구에 제공하는 경우
- 6. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
- 7. 법원의 재판업무 수행을 위하여 필요한 경우
- 8. 형(形) 및 감호, 보호처분의 집행을 위하여 필요한 경우
- ④분임책임자는 정보주체의 권리와 이익을 보호하기 위하여 필요하다고 인정하는 때에는 처리정보의 이용을 본교 내부로 제한할 수 있다.
- ⑤제3항 각 호에 따라 보유 정보에 대해 제3자가 이용·제공을 요청한 경우에는 개별 법령의 근거 규정을 확인하여 별지 제2호서식에 따른 개인정보 목적 외 이용·제공 대장에 기록하여 관리해야 한다.
- ⑥분임책임자는 제3항제2호부터 제5호까지, 제7호 및 제8호에 따라 개인정보 목적 외 이용 및 제3자 제공 시에는 그 내용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 영으로 정하는 바에 따라 홈페이지나 그룹웨어에 공지하여야 한다.
제20조(개인정보의 이용 및 제공 시 승인 및 보안조치)
- ①분임책임자는 소관 업무 분야의 개인정보를 정보주체 외의 사람에게 이용하게 하거나 제공하는 때에는 처리 정보를 수령한 사람에 대하여 사용목적·사용방법 그 밖에 필요한 사항에 대하여 제한을 하거나 처리정보의 안전성 확보를 위하여 필요한 조치를 명시하여 구체적인 조치를 마련하도록 문서(전자문서를 포함한다. 이하 같다)로 요구하여야 하며, 이러한 요청을 받은 정보수령자는 필요한 조치를 취하여야 한다.
- ②외부 기관으로부터 개인정보의 이용·제공 요청을 받은 자는 다음 각 호에 대하여 관리적보호 분야별책임자의 승인을 받아 해당 정보를 요청기관에게 제공하고 그 내용을 대장에 기록한다.
- 1. 법률 등 요청 근거 및 이용 목적의 정당성
- 2. 목적달성에 필요한 최소한의 범위 제공
- 3. 해당 개인정보를 제공함으로써 개인이 입는 사생활 침해와 그로 인해 얻는 공익상의 목적과는 비례관계 유지
- 4. 이용·제공받는 기관의 처리정보 안전성 확보 대책의 적정성 등
- ③분임책임자는 정보수령자에 대하여 사용 목적 외 사용 금지 및 안전성 확보 조치 준수 여부를 지속적으로 관리하고 만일 준수하지 않을 경우에는 수령자에게 시정을 요구하고 처리 정보의 파기를 요청하여야 한다. 또한 이용·제공 목적 외 이용 시에는 고발 등의 조치를 취해야 한다.
- ④개인정보보호 책임자는 처리정보를 이용하거나 제공받은 기관이 법 제19조에 따른 제한이나 요청사항을 이행하지 아니하는 때에는 즉시 처리정보의 이용을 중지시키거나 제공을 중지하여야 한다.
제21조(개인정보의 파기)
- ①개인정보의 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
- ②제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
- ③제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
제22조(민감정보의 처리 제한)
사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 법령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
- 1. 정보주체에게 법 제15조제2항 또는 법 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
- 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
제23조(고유식별정보의 처리 제한)
- ①다음 각 호의 경우를 제외하고는 고유식별정보를 처리할 수 없다.
- 1. 정보주체에게 법 제15조제2항 각 호 또는 법 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
- 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
- ②개인정보취급자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
제24조(주민등록번호 처리의 제한)
- ①제11조제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
- 1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
- 2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
- 3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회 고시로 정하는 경우
- ②제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
제25조(내부관리계획의 수립·시행)
이용자의 개인정보를 보호하기 위해 다음 각 호의 사항을 포함하여 내부관리계획을 수립·시행하여야 한다.
- 1. 내부관리계획의 수립 및 시행에 관한 사항
- 2. 관리책임자의 의무와 책임에 관한 사항
- 3. 개인정보의 처리단계별 기술적·관리적 보호조치에 관한 사항
- 4. 정기적 자체감사에 관한 사항
- 5. 개인정보취급자에 대한 교육 등 그 밖에 개인정보 보호를 위해 필요한 사항
제26조(개인정보보호 교육)
- ①개인정보보호 책임자는 연 1회 이상 개인정보보호 교육에 참석하여야 하며, 개인정보 연간 교육 계획을 교육대상별(책임자, 담당자, 취급자·교직원 등)로 수립하여 제공한다.
- ②분임책임자는 소관 업무 분야 내에서 개인정보 취급 업무를 처음 시작하는 사람에게 관련 법령에 따른 의무사항 및 처벌규정을 주지시켜야 한다.
- ③개인정보보호교육 내용에는 이 지침 및 관련 법규에서 교육대상자에 관하여 규정한 사항을 최소 연 1회 이상 포함하여야 한다.
- ④개인정보보호 책임자는 전 직원의 개인정보보호 인식 제고를 위한 교육기회를 제공하여야 한다.
- ⑤개인정보보호 책임자는 교육 시행 후 교육 결과를 평가하여 차기 교육 계획에 반영하여야 한다.
제27조(개인정보처리 실태점검)
- ①개인정보보호 책임자는 연 2회 이상 각 부서에 대해 개인정보 보호에 대한 실태점검을 실시하여야 한다.
- ②개인정보보호 책임자는 제1항에 따른 실태점검을 마친 날로부터 14일 이내에 점검결과를 해당 부서에 통보하고, 점검결과를 통보받은 부서의 분임책임자는 개인정보 보호를 위한 자율적 개선계획 등 대책을 수립하여 이행하여야 한다.
제28조(개인정보취급자 관리)
- ①분임책임자는 소관 업무 분야 내에서 개인정보를 취급하는 사람을 업무 수행에 필요한 최소한으로 제한하여 개인정보취급자로 지정하여야 한다.
- ②분임책임자는 소관 업무 분야 내의 개인정보취급자 명단을 관리하여야 한다.
- ③분임책임자는 소관 업무 분야 내의 개인정보취급자가 개인정보를 안전하게 처리할 수 있도록 취급 업무를 지도·감독하고 교육 등 필요한 적절한 조치를 취해야 한다.
- ④분임책임자는 소관 업무 분야 내에서 개인정보를 취급하는 단말기를 안전하게 설치하고 개인정보 단말기별로 개인정보취급자를 지정하여 관리하여야 한다.
- ⑤분임책임자는 별지 제3호서식 개인정보 접근권한 관리대장에 개인정보취급자에 대한 권한을 기록 관리한다.
제29조(개인 단말기 개인정보관리)
- ①본교 구성원 전체는 월 1회 사이버보안 진단의 날에 개인정보탐지 프로그램을 실행하여 저장이 불필요한 개인정보 파일은 삭제한다.
- ②분임책임자는 단말기 내 저장이 불필요한 개인정보파일 발견 시 즉각 삭제 조치를 하여야 한다.
- ③본교 구성원 전체는 개인정보 취급 단말기(PC 등)의 공유 설정을 원칙적으로 금지하고 이메일이나 인터넷사이트 접속, 메신저, P2P 등을 통해 개인정보가 포함된 파일이 전송되지 않도록 설정·관리하여야 한다.
- ④단말기의 작업 중단 시 비밀번호 등이 적용된 화면보호조치를 이행하며, 단말기용 백신의 정기적인 검사와 운영체제 및 응용프로그램의 최신패치를 유지하여야 한다.
- ⑤본교 구성원 전체는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
- 1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시
- 2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
⑥단말기 내 개인정보의 도난 및 유출에 대한 책임은 단말기 사용자가 진다.
제30조(물리적 접근 방지)
- ①분임책임자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 조치를 시행하여야 한다.
- ②개인정보취급자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
제31조(개인정보 처리방침의 공개)
- ①법 제30조제2항에 따라 개인정보 처리방침을 수립하거나 변경하는 경우 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며 이 경우 “개인정보 처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
- ②인터넷 홈페이지에 게재할 수 없는 경우에는 시행령 제31조제3항 각 호의 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다. 이 경우에도 “개인정보 처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
제32조(개인정보 처리방침의 변경)
개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.
제33조(개인정보 처리방침의 작성기준 등)
- ①개인정보 처리방침을 작성하는 때에는 표준 개인정보 보호지침 제19조 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.
- ②개인정보 처리방침을 작성하는 때에는 개인정보의 처리 목적에 필요한 최소한의 개인정보라는 점을 밝혀야 한다.
- ③개인정보 처리방침 작성시 목적에 필요한 최소한의 개인정보 이외에 개인별 맞춤서비스 등을 위하여 처리하는 개인정보의 항목이 있는 경우에는 양자를 구별하여 표시하여야 한다.
제34조(필수적 기재사항)
- 개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.
- 1. 개인정보의 처리 목적
- 2. 개인정보의 처리 및 보유 기간
- 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
- 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
- 5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
- 6. 처리하는 개인정보의 항목
- 7. 개인정보의 파기에 관한 사항
- 8. 개인정보보호 책임자에 관한 사항
- 9. 개인정보 처리방침의 변경에 관한 사항
- 10. 시행령 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
제35조(개인정보의 암호화)
- ①시행령 제21조 및 제30조 등에 따라 고유식별정보, 비밀번호 및 바이오정보는 암호화하여야 한다.
- ②제1항에 따른 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에도 이를 암호화하여야 한다.
- ③비밀번호의 경우 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
- ④제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
- ⑤개인정보취급자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
제36조(접속기록의 보관 및 위·변조방지)
- ①분임책임자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
- ②분임책임자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 「접근권한 관리절차」에 따라 그 사유를 반드시 확인 및 기록하여야 한다.
- ③개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제37조(개인정보 노출 방지)
- ①정보통신망을 통한 개인정보의 노출을 방지하기 위하여 웹사이트 및 개인정보처리시스템을 운영하는 부서의 분임책임자는 다음 각 호의 조치를 하여야 한다.
- 1. 개인정보 수집의 전제가 되는 회원제 운영 지양
- 2. 회원제 운영이 필요할 경우 서비스 제공에 필요한 최소한의 개인정보만 수집
- 3. 웹사이트에 자료 게재 시 개인정보 포함 여부 검토
- 4. 월 1회 이상 웹사이트의 개인정보 노출 점검
- ②오프라인을 통하여 수집되는 개인정보의 노출방지를 위하여 분임책임자는 다음 각 호의 조치를 하여야 한다.
- 1. 서비스 제공 및 운영 목적에 필요한 최소한의 개인정보를 수집
- 2. 개인 단말기 및 저장매체에 대하여 안전성 확보
- 3. 중요문서 보관을 위한 캐비닛 등의 물리적 보안 조치를 확보
제38조(정책수립 및 접근권한 부여 원칙)
- ①분임책임자는 개인정보처리시스템 특성에 맞는 접근권한 정책을 수립하여야 하며, 접근권한 정책 수립 시 개인정보 등급 분류는 별표 제1호의 개인정보 등급 분류표에 따라 분류한다.
- ②분임책임자는 개인정보처리시스템의 접근권한을 법령 또는 업무규정 등에 따라 허용된 사람에 한정하여 최소한의 범위로 차등 부여하여야 한다.
제39조(접근권한 점검 및 관리)
- ①조직개편·인사발령·사무분장의 변경 등으로 업무 담당자의 접근권한을 변경해야 할 경우, 분임책임자는 그 변경된 인사 내용에 따라 지체 없이 접근권한을 변경하여야 한다.
- ②분임책임자는 개인정보취급자의 접근권한 부여, 변경 또는 말소 내역을 기록하고 3년간 보관하여야 한다.
- ③분임책임자는 소관 개인정보처리시스템에 대해서 접근권한 관리의 적절성 및 접근권한의 오·남용 여부를 주기적으로 점검하여야 한다.
제40조(개인정보의 열람)
- ①정보주체는 본교가 처리하는 자신의 개인정보에 대한 열람을 별지 제4호서식을 통하여 요구할 수 있다.
- ②제1항에 따른 열람을 요구받았을 때에는 10일 이내에 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
- ③제1항에 따른 개인정보의 열람 요구가 다음 각 호의 어느 하나에 해당할 때에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. (신설 2021.04.19)
- 1. 법률에 따라 열람이 금지되거나 제한되는 경우
- 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 3. 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
- 가. 조세의 부과·징수 또는 환급에 관한 업무
- 나. 교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
- 다. 학력·기능 및 채용에 관한 시험, 자격의 심사에 관한 업무
- 라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
- 마. 다른 법률에 의한 감사 및 조사에 관한 업무
제41조(개인정보의 정정·삭제)
- ①제40조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
- ②제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때에는 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를, 같은 항 단서에 해당하여 삭제 요구에 따르지 않았을 때에는 그 사실 및 이유와 이의제기 방법을 10일 이내에 정보주체에게 알려야 한다.
제42조(개인정보의 처리정지)
- ①정보주체는 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 본교는 정보주체의 처리정지 요구를 거절 할 수 있다.
- 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 3. 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
- 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
- ②제1항에 따른 요구를 받았을 때에는 정보주체의 요구에 따라 개인정보 처리의 전부 또는 일부를 정지한 후 그 조치 사실을, 같은 항 단서에 해당하여 처리정지 요구에 따르지 않았을 때에는 그 사실 및 이유와 이의제기 방법을 10일 이내에 정보주체에게 알려야 한다.
제43조(개인정보파일 등록 및 공개)
- ①분임책임자는 개인정보파일을 운용할 경우 별지 제6호서식에 따라 개인정보보호 책임자에게 개인정보파일 등록을 신청하여야 한다. 등록 후 등록한 사항이 변경된 경우에도 또한 같다. 다만, 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 적용하지 아니한다.
- 1. 법 제32조제2항에 따라 적용이 제외되는 다음 각 목의 개인정보파일
- 가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
- 나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
- 다. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 법칙행위 조사에 관한 사항을 기록한 개인정보파일
- 라. 본교의 내부적 업무처리만을 위하여 사용되는 개인정보파일(기관 내부 구성원, 자문위원회, 회의 참석자, 출입기자 등)
- 마. 다른 법령에 따라 비밀로 분류된 개인정보파일
- 2. 법 제58조제1항에 따라 적용이 제외되는 다음 각 목의 개인정보파일
- 가. 「통계법」에 따라 수집되는 개인정보파일
- 나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
- 다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
- 3. CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일
- 4. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일 ②개인정보파일 등록 또는 변경 신청을 받은 개인정보보호 책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 60일 이내에 보호위원회에 등록한다.
제44조(개인정보의 파기)
- ①개인정보취급자는 보유기간 경과, 처리목적 달성 등 개인정보 또는 개인정보파일이 불필요하게 되었을 때에는 정당한 사유가 없는 한 5일 이내에 그 개인정보 또는 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하며, 이 경우 해당 개인정보 또는 개인정보파일은 다른 개인정보와 분리하여 저장ㆍ관리하여야 한다.
- ②개인정보취급자는 개인정보파일의 보유기간, 처리목적 등을 반영한 개인정보 파기계획을 수립·시행하여야 한다. 다만, 시행령 제30조에 따른 내부 관리계획이 수립되어 있는 경우에는 내부 관리계획에 개인정보 파기계획을 포함하여 시행할 수 있다.
- ③개인정보취급자는 보유기간 경과, 처리목적 달성 등 파기 사유가 발생한 개인정보파일이 있을 경우 별지 제7호서식에 따른 개인정보파일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기재하여 개인정보보호 책임자의 승인을 받아 개인정보를 파기하여야 한다.
- ④개인정보보호 책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 별지 제8호서식에 따른 개인정보파일 파기 관리대장에 기록한다.
- ⑤개인정보보호 책임자는 개인정보파일을 파기한 경우 제43조에 따른 개인정보파일의 등록사실을 삭제한 후 보호위원회에 통보하여야 한다.
제45조(등록·파기에 대한 개선권고)
- ①개인정보보호 책임자는 제43조제2항에 따라 검토한 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우에는 개선을 권고할 수 있다.
- ②개인정보보호 책임자는 각 부서의 개인정보파일 등록·파기 현황에 대한 점검을 실시할 수 있다.
제46조(개인정보파일 보유기간의 산정)
- ①보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
- ②개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보보호 담당자의 협의를 거쳐 산정하여야 한다. 다만, 보유기간은 별표 제2호의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과 「공공기록물 관리에 관한 법률 시행령」에 따른 기록관리기준표를 상회할 수 없다.
- ③정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속적으로 보유할 수 있다.
제47조(개인정보 유출)
- 개인정보의 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 사람의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
- 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 사람이 접근한 경우
- 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖의 저장매체가 권한이 없는 사람에게 잘못 전달된 경우
- 4. 그 밖에 권한이 없는 사람에게 개인정보가 전달된 경우
제48조(통지시기 및 항목)
- ①침해사고 처리책임자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다.
- 1. 유출된 개인정보의 항목
- 2. 유출된 시점과 그 경위
- 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
- 4. 개인정보처리자의 대응조치 및 피해구제절차
- 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
- ② 침해사고 처리책임자는 제1항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.
- 1. 정보주체에게 유출이 발생한 사실
- 2. 제1항의 통지항목 중 확인된 사항
제49조(통지방법)
- ①침해사고 처리책임자는 정보주체에게 제49조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여야 한다.
- ②침해사고 처리책임자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제49조제1항 각 호의 사항을 공개할 수 있다.
제50조(개인정보 유출신고 등)
- ①개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 개인정보보호 책임자에게 보고 후 서면 등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다.
- ②제1항에도 불구하고 개인정보처리자는 같은 항 본문에 따라 개인정보가 유출되었음을 알게 되었을 때나 같은 항 단서에 따라 유출 사실을 알고 긴급한 조치를 한 후에도 법 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다.
- ③1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우 침해사고 처리책임자는 제48조에 따른 통지와 함께 홈페이지에 통지 항목을 7일 이상 게재하여야 하고, 개인정보보호 책임자는 과학기술정보통신부와 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다.
영상정보처리기기 설치·운영
제51조(관리책임자의 지정)
- ①개인영상정보의 처리에 관한 업무를 총괄하기 위해 관리적보호 분야별책임자를 관리책임자로 지정한다.
- ②제1항의 관리책임자는 다음 각 호의 업무를 수행한다.
- 1. 개인영상정보 보호 계획의 수립 및 시행
- 2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
- 4. 개인영상정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
- 5. 개인영상정보 보호 교육 계획 수립 및 시행
- 6. 개인영상정보 파일의 보호 및 파기에 대한 관리·감독
- 7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
제52조(사전의견 수렴)
- 영상정보처리기기의 설치·운영 시 다음 중 어느 하나에 해당하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다. 설치 목적 변경 및 추가 설치 등의 경우에도 또한 같다.
- 1. 「행정절차법」에 따른 행정예고의 실시 또는 의견청취
- 2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사
제53조(안내판의 설치)
- ①영상정보처리기기 운영자는 정보주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 법 제25조제4항 본문에 따라 다음 각 호의 사항을 기재한 안내판 설치 등 필요한 조치를 하여야 한다.
- 1. 설치목적 및 장소
- 2. 촬영범위 및 시간
- 3. 관리책임자의 성명 또는 직책 및 연락처
- 4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
- ②제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 영상정보처리기기운영자가 안내판의 크기, 설치위치 등을 자율적으로 정할 수 있다.
제54조(개인영상정보 보관 및 파기)
- ①영상정보처리기기 운영자는 수집한 개인영상정보를 영상정보처리기기 운영·관리 방침에 명시한 보관 기간이 만료한 때에는 지체 없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니하다.
- ②영상정보처리기기 운영자가 그 사정에 따라 보유 목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 한다.
- ③개인영상정보의 파기 방법은 다음 각 호의 어느 하나와 같다.
- 1. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각
- 2. 전자기적(電磁氣的) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구 삭제
제55조(영상정보처리기기 설치 및 관리 등의 위탁)
분임책임자는 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁하는 경우 그 내용을 정보주체가 언제든지 쉽게 확인할 수 있도록 제54조에 따른 안내판 및 영상정보처리기기 운영·관리 방침에 수탁자의 명칭 및 연락처 등을 공개하여야 하며, 그 사무를 위탁받은 사람이 개인영상정보를 안전하게 처리하고 있는지를 관리·감독하여야 한다.
제56조(정보주체의 열람 등 요구)
- ①정보주체는 영상정보처리기기 운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인(이하 “열람등”이라 한다)을 별지 제10호서식을 통하여 요구할 수 있다. 이 경우 정보주체가 열람 등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한정한다.
- ②영상정보처리기기 운영자는 제1항에 따른 요구를 받았을 때에는 지체 없이 필요한 조치를 취하여야 한다.
- ③제2항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 영상정보처리기기 운영자는 정보주체의 개인영상정보 열람등 요구를 거부할 수 있다. 이 경우 영상정보처리기기 운영자는 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지하여야 한다.
- 1. 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우
- 2. 개인영상정보의 보관기간이 경과하여 파기한 경우
- 3. 그 밖에 정보주체의 열람등 요구를 거부할 만한 정당한 사유가 존재하는 경우
- ④영상정보처리기기 운영자는 제2항 및 제3항에 따른 조치를 취하는 경우 다음 각 호의 사항을 기록하고 관리하여야 한다.
- 1. 개인영상정보 열람등을 요구한 정보주체의 성명 및 연락처
- 2. 정보주체가 열람등을 요구한 개인영상정보 파일의 명칭 및 내용
- 3. 개인영상정보 열람등의 목적
- 4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유
- 5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유
- ⑤정보주체는 영상정보처리기기 운영자에게 정보주체 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개인영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보처리기 기 운영자가 해당 파기조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다.
제57조(개인영상정보 관리대장)
제57조제4항에 따른 기록 및 관리는 별지 제11호서식에 따른 개인영상정보 관리대장을 활용할 수 있다.
제58조(개인영상정보의 안전성 확보를 위한 조치)
- 영상정보처리기기 운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법 제29조 및 시행령 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.
- 1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
- 2. 개인영상정보에 대한 접근 통제 및 접근권한의 제한 조치
- 3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용(네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
- 4. 처리기록의 보관 및 위조·변조 방지를 위한 조치(개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
- 5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
제59조(영상정보처리기기의 설치·운영에 대한 점검)
개인영상정보 관리책임자는 영상정보처리기기를 설치·운영하는 경우에는 연 1회 자체점검을 실시하여 그 결과를 홈페이지 등에 공개하여야 한다.
제60조(준용규정)
이 지침에서 정하지 않은 사항은 개인정보보호 관련 정부 법령 등을 준용한다.
부 칙
<2021. 10. 5.>
제1조(시행일)
이 지침은 교장의 승인을 얻은 날부터 시행한다.
제2조(규정의 폐지)
「개인정보처리방침」은 폐지한다.
제3조(경과조치)
이 지침 시행 이전에 처리된 사항은 이 지침에 의하여 처리된 것으로 본다. 주무부서: 행정지원부