Honey bee

개인정보 처리방침 작성 지침 (일반형)

April 03, 2022

개인정보 처리방침 작성 지침 (일반형)

[TOC]

1. 개요

1. 배경 및 목적

2. 적용대상

  • 개인정보처리자 : ‘법 제2조 제5호에서는 “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다고 규정

3. 구성 및 성격

2. 개인정보 처리방침 작성 기본사항

1. 기본 원칙

2. 기재 사항

  • 법 제30조 및 동법 시행령 제31조의 사항, 작성지침에서 안내하는 사항 포함도 권장

picture 1

3. 처리방침의 구성

  • (권장) 1. 주요 개인정보 처리 표시(라벨링) / 2. 개인정보 처리방침 본문

4. 처리방침의 변경 사항

  • 변경 및 시행 시기
  • 변경된 내용을 지속적으로 공개
  • 변경 전/후 비교문

5. 처리방침의 공개

  • 인터넷 홈페이지에 공개

  • 영 제31조 제3항에 따른 방법으로 공개

    • 영 제31조(개인정보 처리방침의 내용 및 공개방법 등) 링크
    • 표준지침 제2조(개인정보 처리방침의 공개) 링크

3. 주요 개인정보 처리 표시 (라벨링) 방법

1. 개념

  • 정보주체가 개인정보 처리방침의 핵심 사항을 직관적으로 쉽게 확인할 수 있도록 기호로 표시

2. 반영하여야 하는 내용

  • 처리하는 개인정보 항목(민감정보, 고유식별정보, 생체정보, 자동으로 수집되는 정보 등 포함)
  • 개인정보 제3자 제공
  • 개인정보 관련 고충처리 부서의 정보

3. 주요 개인정보 처리 표시(라벨링)를 위한 기호 활용 방법

  • 생략

4. 개인정보 처리방침 본문 작성 방법

1. 제목 및 서문 (의무)

  • 처리자의 명칭 포함 가장 상단에 기재

    • <개인정보처리자명> 개인정보 처리방침

2. 개인정보의 처리 목적 (의무)

  • (사례1) 수집 목적에 ‘~등’ 으로 추상적 기재 불가, 구체적으로 기재
  • (사례2) 수집이용 동의 시 고지사항과 일치하여야 함

3. 개인정보의 처리 및 보유 기간 (의무)

  • 정보주체로부터 동의 받은 ‘보유, 이용기간’ 또는 법령에 따른 ‘보유, 이용기간’에 따라 개인정보 보유할 수 있따는 내용 기재
  • 법령에 따른 보유기간은 해당 법령명 및 조문번호, 법령에서 정한 보유기간을 기재
  • (사례1) ‘목적 달성 시’와 같은 추상적 기간 기재 불가
  • (사례2) 수집 이용 동의 시 고지사항과 일치하여야 함

4. 처리하는 개인정보의 항목 (의무)

  • (필수)와 (선택) 구분하여 기재. (필수)만 수집하는 경우 필수/선택 구분하지 않아도 됨
  • 서비스 제공 과정에서 자동 생성, 수집되는 개인정보 항목 있는 경우 해당 업무와 개인정보 항목 명시
  • (사례1) ‘~등’으로 축약하여 고지 불가
  • (사례2) 필수, 선택항목 구분하지 않고 게시 불가 picture 2

5. 만 14세 미만 아동의 개인정보 처리에 관한 사항 (권장, 해당시)

6. 개인정보의 제3자 제공에 관한 사항 (의무, 해당시)

  • 제3자 제공 시 법 제17조 (링크) 에 따른 사항 기재하고, 제공 없을 시 본 항목 기재하지 않을 수 있음
  • 목항기거자
  • 제3자는 ‘~등’ 으로 축약 불가. 제공받는 자의 수가 많은 경우 별도의 화면, 목록 파일 내려받기 기능 등으로 공개 가능
  • 참고자료 - 긴급 상황 시 개인정보 처리 및 보호수칙 (2021.10)

7. 개인정보 처리업무의 위탁에 관한 사항 (의무, 해당시)

  • 위탁이 이루어지고 있는 경우에는 1) 위탁받은 자(수탁자), 2) 위탁업무 내용 각각 기재
  • 수탁자에 대한 재위탁 제한에 관한 사항, 안전성 확보조치에 관한 사항, 관리감독에 관한 사항 각각 기재
  • 위탁업무의 내용이나 수탁자가 변경되는 경우 개인정보 처리방침에 지체 없이 변경 사항 공개
  • 수탁자는 ‘~등’으로 축약하여 표기 불가, 수탁자 수가 너무 많은 경우 별도 화면(팝업), 목록 파일 내려받기 기능 등으로 공개 가능
  • 참고자료 - 개인정보 처리 위, 수탁 안내서 (2020.12)

8. 개인정보의 국외 이전에 관한 사항 (권장, 해당시)

  • 국외이전 발생 시 정보주체의 권리를 침해할 위험성이 높아지므로 개인정보의 제3자 제공, 위탁과 구분하여 처리방침에 기재하는 것이 권장됨.
  • 법 제39조의 12 (링크)에서는 정보통신서비스 제공자 등은 이용자의 개인정보를 국외에 제공, 처리위탁, 보관하는 경우 이용자의 동의를 받아야 하나, 법 제39조의12 제3항 각 호의 사항을 모두 처리방침에 공개하는 등 이용자에게 알린 경우 개인정보 처리위탁, 보관에 따른 동의절차를 거치지 않을 수 있음.

  • 법 제39조의12 제3항

    • 이전하는 개인정보 항목
    • 개인정보가 이전되는 국가, 이전일시 및 이전방법
    • 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처)
    • 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

9. 개인정보의 파기 절차 및 방법에 관한 사항 (의무)

  • 다른 법령에 따라 개인정보 파기하지 않고 보존하는 경우 해당 법령명, 조문, 보존 개인정보 항목 구체적으로 기재
  • 파기 절차, 방법에 대한 세부내용 기재

  • 참고자료

    • 개인정보의 안전성 확보조치 기준(고지 제2020-2호)
    • 개인정보의 기술적 관리적 보호조치 기준(고시 제2020-5호)

10. 미이용자의 개인정보 파기 등에 관한 조치 (권장, 해당시)

  • 권장사항 - 휴면이용자(서비스 1년 동안 이용하지 않은 이용자) 에 대한 보호 조치 사항 기재
  • 처리방침 공개와는 별도로 법 제39조의6 (링크) 및 영48조의5(링크) 에서 규정한 방법으로 서비스 미용 기간 만료 30일 전까지 정보주체에게 알려야 함

11. 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항 (의무)

  • 정보주체의 개인정보 열람, 정정-삭제, 처리정지 등 행사방법, 행사절차 등을 구체적으로 기재
  • 회원정보 조회/변경 기능, 가입해지/회원탈퇴/동의철회 등의 이용방법 상세히 설명

12. 개인정보의 안전성 확보조치에 관한 사항 (의무)

  • 법 제29조(안전조치의무), 령 제30조 및 제48조의2에 따라 시행중인 안전성 확보조치에 관한 사항 기재

  • 그 밖에 자율적으로 이행하고 있는 개인정보보호 조치 사항 기재

    • 개인정보보호를 위한 국내외 인증 획득 현황
    • 개인정보처리자의 개인정보 처리와 관련한 타 법령 링크, 용어 설명 등
    • 이하 생략

  • 참고자료

    • 개인정보의 안전성 확보조치 기준 (고시 제2020-2호)
    • 개인정보의 기술적 관리적 보호조치 기준 (고시 제2020-5호)
    • 개인정보의 암호화 조치 안내서 (2020.12)

13. 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 (의무, 해당시)

  • 홈페이지 운영 시 쿠키 등과 같이 개인정보 자동 수집 장치를 설치, 운영 시 설치, 운영 및 그 거부에 관한 사항 기재
  • 조항 내용에 쿠기 정보에 대한 기본적인 설명, 사용 이유, 방법, 목적을 설명
  • 자동 수집 장치를 운영하지 않는 경우 기재하지 않아도 무방하나, 자동수집 장치를 설치, 운영하지 않음을 명시하는 것도 가능

  • 참고자료

    • 온라인 맞춤형 광고 개인정보보호 가이드라인 (방송통신위원회, 2017.02)

14. 행태정보의 수집·이용·제공 및 거부 등에 관한 사항 (의무, 해당시)

  • 온라인 행태정보 처리하고 온라인 맞춤형 광고 제공 시, 그 수집 이용에 관한 사항 및 거부방법에 대해 기재

  • 행태정보 수집 이용하는 경우

    • 수집하는 행태정보 항목
    • 수집 방법
    • 수집 목적
    • 보유, 이용기간 및 이후 정보처리 방법
    • 제3자 제공 시 제공받는자, 항목, 목적 등
    • 동의 거부권 및 거부방법 등

  • 관련용어

    • 온라인 맞춤형 광고 : 행태정보 처리하여 이용자의 관심, 흥미, 기호 및 성향 분석, 추정한 후 이용자에게 맞춤형으로 제공되는 온라인 광고 (이용자 편의제공을 위해 사용환경(UX, UI)을 구성을 달리하는것은 광고 아님)
    • 행태 정보 : 웹사이트 방문이력, 앱 사용이력, 구매 및 검색이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인 상의 이용자 활동정보
    • 쿠키(Cookies) : 사용자가 방문한 웹사이트에서 사용자의 브라우저에 전송하는 텍스트 조각
    • 광고식별자(ADID/IDFA 등) : 모바일 단말기에서 부여되는 광고용 고유 식별값

15. 추가적인 이용·제공 관련 판단 기준 (의무, 해당시)

  • 법 제15조제3항 및 법 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 추가적으로 이용, 제공하는 경우 동법 시행령 제14조의2 제1항 각 호에 따른 추가적인 이용 및 제공하기 위한 고려사항의 판단기준 기재

  • 영 제14조의2 제1항 고려사항

    1. 당초 수집 목적과 관련성이 있는지 여부
    2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
    3. 정보주체의 이익을 부당하게 침해하는지 여부
    4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

    제15조제3항: 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. 제17조제4항: 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.

16. 가명정보 처리에 관한 사항 (의무, 해당시)

  • 가명정보 처리 시 필수 기재 사항

    1. 가명정보의 처리 목적
    2. 가명정보 처리 및 보유기간
    3. 가명정보의 제3자 제공에 관한 사항 (해당되는 경우에만 작성)
    4. 가명정보 처리의 위탁에 관한 사항 (해당되는 경우에만 작성)
    5. 가명 처리하는 개인정보의 항목
    6. 법 제28조의4(가명정보에 대한 안전조치 의무 등)에 따른 가명정보의 안전성 확보조치에 관한 사항

  • 참고자료

    • 가명정보 처리 가이드라인 (2021.10)

17. 개인정보 보호책임자에 관한 사항 (의무)

  • 개인정보 보호책임자의 성명, 부서명, 연락처(전화번호, 전자우편주소 등)를 기재

18. 국내대리인 지정에 관한 사항 (의무, 해당시)

  • 국외사업자로 법 제39조의11에 따라 국내대리인 지정해야 하는 경우, 국내대리인의 성명(법인인 경우 법인명, 대표자 성명), 주소, 전화번호, 전자우편주소 기재

  • 국내 대리인 지정해야 하는 경우 (다음 중 하나에 해당하면 지정해야 함)

    • 전년도(법인인 경우 전 사업연도) 매출액 1조원 이상
    • 정보통신서비스 부문 전년도 매출액 100억원 이상
    • 전년도 말 3개월 간 일평균 이용자수 100만명 이상
    • ⭐개인정보 침해사고 발생했거나, 발생가능성 있는 경우 보호위원회로부터 관계 물품, 서류 등을 제출하도록 요구받은 자

19. 개인정보의 열람청구를 접수·처리하는 부서

  • ‘개인정보 보호책임자에 관한 사항(17번 사항)’ 의 개인정보보호 담당부서를 기재했다면, 해당 부서에서 개인정보 열람청구 업무를 담당한다고 기재하는 것도 가능

20. 정보주체의 권익침해에 대한 구제방법

  • 법에 따른 전문기관(개인정보침해신고센터, 개인정보 분쟁조정위원회), 수사기관 등 안내

    • 개인정보분쟁조정위원회 : (국번없이) 1833-6972 (www.kopico.go.kr)
    • 개인정보침해신고센터 : (국번없이) 118 (privacy.kisa.or.kr)
    • 대검찰청 : (국번없이) 1301 (www.spo.go.kr)
    • 경찰청 : (국번없이) 182 (ecrm.cyber.go.kr)
  • (사례1-잘못 작성된 사례) 권익침해 구제기관 연락처 누락 또는 오기재 한 경우

21. 영상정보처리기기 운영·관리에 관한 사항 (권장, 해당시)

  • 법 제25조 제7항에 따라 영상정보처리기기 운영자가 마련하여야 하는 ‘영상정보처리기기 운영 관리 방침’을 본 개인정보 처리방침에 포함하여 작성하는 경우에 적용

  • 영상정보처리기기 운영 관리 관련 필수 기재 사항 (영 제25조 제1항)

    • ① 영상정보처리기기의 설치 근거 및 설치 목적
    • ② 영상정보처리기기의 설치 대수, 설치 위치, 촬영 범위
    • ③ 관리책임자, 담당부서 및 영상정보에 대한 접근권한이 있는 자
    • ④ 영상정보 촬영시간, 보관기간, 보관장소, 처리방법
    • ⑤ 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
    • ⑥ 정보주체의 영상정보 열람 등 요구에 대한 조치
    • ⑦ 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
    • ⑧ 그 밖에 영상정보처리기기 설치·운영 및 관리에 필요한 사항

  • 참고자료

    • 영상정보처리기기 설치운영 가이드라인(공공, 민간) (2021.04)
    • 코로나19 관련 얼굴촬영 열화상카메라 운영 시 개인정보보호 수칙 (2020.11)

22. 개인정보 처리방침의 변경에 관한 사항 (의무)

  • 개인정보 처리방침의 시행 일자, 그간의 변경 이력을 기재
  • 정보주체가 이전버전 비교, 열람할 수 있도록 해야 함

5. 개인정보 처리방침 공개 방법

1. 누리집(인터넷 홈페이지)에 게재하는 경우

  • 홈페이지에 기재 시 화면 하단(Footer 영역)에 공개, 지속적으로 게재
  • 글자 크기 달리하거나, 색상 또는 굵기(Bold)를 활용해 다른 고지사항과 구분하여야 함

  • 반드시 “개인정보처리방침” 이라는 명칭 사용

    • 웹페이지 파일명은 “privacy_policy.<확장자>“를 권장

2. 사업장 등의 보기 쉬운 장소에 게시하거나 계약서에 첨부하는 경우

3. 간단하게 표시하고자 하는 경우

  • 처리방침 전문 대신 간단히 요약한 ‘간이형 개인정보 처리방침’을 공개 할 수 있음. 처리방침 전문은 사업장 내 별도 비치 하여야 함

  • 처리방침 간단 표시 가능한 경우

    • ① 개인정보처리자가 배달 주문을 접수받아 정보주체에게 상품을 배달하는 경우
    • ② 방역 지침 등을 준수하기 위해 사업장 내 출입명부를 비치할 경우
    • ③ 사업장에서 대면으로 서비스 이용 예약이 이루어지는 경우
    • ④ 박람회, 전시회 등에서 상담 등을 통해 개인정보를 수집하는 경우
    • ⑤ 매장에서 의류 등 구매 예약 등을 위해 주문서 등을 작성하는 경우
    • ⑥ 전화, 문자 등을 통해 좌석, 식사 등 예약을 접수하는 경우
Written by@bee
Hello.