3. 개인정보 처리 단계별 요구사항 (22개)
[두음] 수이제파권
| 3.1 개인정보 수집 시 보호조치 | 3.1.1 개인정보 수집 제한 |
| 3.1.2 개인정보의 수집 동의 | |
| 3.1.3 주민등록번호 처리 제한 | |
| 3.1.4 민감정보 및 고유식별정보의 처리 제한 | |
| 3.1.5 간접수집 보호조치 | |
| 3.1.6 영상정보처리기기 설치·운영 | |
| 3.1.7 홍보 및 마케팅 목적 활용 시 조치 |
출목정(삼), 오민고백정 통삼, 사시방
요구 시 3일 이내 고지, 통지의무,
알린 기록 · 보관
핵심 키워드 & 내용
간접수집 적법성 확인 및 계약 명시
공개된 매체에서 수집 시 정보주체 동의 의사 표시 명확화
서비스 계약 이행 및 제공을 위해 필요한 최소한의 개인정보 수집
정보주체의 요구가 있을 시 정보주체 고지
수집 출처, 처리 목적, 처리정지의 요구권리
연관 두음
▶ 간접수집에 대해 정보주체(이용자)의 요구가 있는 경우 알려야 할 사항
[두음] 출목정(삼)
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 개인정보 처리의 정지를 요구할 권리가 있다는 사실
수집출처 요구 처리 기간 : 3일 이내
▶ 간접수집 통지의무가 부과되는 개인정보처리자 요건
[두음] 오민고백정 통삼
5만 명 이상, 민감정보 또는 고유식별정보를 처리,
100만 명 이상, 정보주체에 관한 개인정보를 처리,
통지 시기 : 3개월 이내
▶ 수집출처 고지 관련 보관 · 관리하여야 할 정보
[두음] 사시방1. 정보주체에게 알린 사실
2. 알린 시기
3. 알린 방법
인증기준
정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는
업무에 필요한 최소한의 개인정보만 수집 · 이용하여야 하고,
법령에 근거하거나 정보주체(이용자)의 요구가 있으면
개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.
주요 확인사항
* 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 ← 간접수집
개인정보 수집에 대한 동의 획득 책임이 개인정보를 제공하는 자에게 있음을
계약을 통하여 명시하고 있는가?
* 공개된 매체 및 장소에서 개인정보를 수집하는 경우 ← 간접수집
정보주체(이용자)의 공개 목적 · 범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만
수집 · 이용하는가?
* 서비스 계약 이행을 위하여 필요한 경우로서
사업자가 서비스 제공 과정에서
자동 수집장치 등에 의하여 수집 ・ 생성하는 개인정보(이용내역 등)의 경우에도 ← 간접수집
최소수집 원칙을 적용하고 있는가?
* 정보주체(이용자) 이외로부터 수집하는 개인정보에 대하여
정보주체(이용자)의 요구가 있는 경우 즉시 필요한 사항을 정보주체(이용자)에게 알리고 있는가?
* 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우
개인정보의 종류 · 규모 등이 법적 요건에 해당하는 경우
필요한 사항을 정보주체(이용자)에게 알리고 있는가?
* 정보주체(이용자)에게 수집출처에 대하여 알린 기록을
해당 개인정보의 파기 시까지 보관 · 관리하고 있는가?
관련 법규
개인정보 보호법 제16조(개인정보의 수집 제한),
제19조(개인정보를 제공받은 자의 이용·제공 제한),
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
세부 설명
□ 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우
적법한 절차에 따라 수집 · 제공되는 정보인지 여부를 확인하고
개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을
계약을 통하여 구체적으로 명시하여야 한다.
□ SNS, 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하는 경우
정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어
사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 이용할 수 있다
(표준 개인정보 보호 지침 제6조제4항).
□ 서비스 계약 이행을 위하여 필요한 경우로서
사업자가 서비스 제공과정에서 자동수집장치 등에 의하여
수집 · 생성되는 개인정보(통화기록, 접속로그, 결제기록, 이용내역 등)에 대해서도
해당 서비스의 계약 이행 및 제공을 위하여 필요한 최소한의 개인정보만을 수집하여야 한다.
□ 정보주체(이용자) 이외로부터 수집하는 개인정보에 대하여
정보주체의 요구가 있으면 즉시 필요한 사항을 정보주체(이용자)에게 알려야 한다.
▶ 정보주체(이용자)의 요구가 있는 경우 알려야 할 사항
[두음] 출목정(삼)
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 개인정보 처리의 정지를 요구할 권리가 있다는 사실
▶ 정당한 사유가 없는 한 정보주체(이용자)의 요구가 있은 날로부터 3일 이내에 알려야 함
(표준 개인정보 보호지침 제9조제1항).
□ 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 때에는
개인정보의 종류 · 규모 등 법적 요건에 해당하는 경우
필요한 사항을 정보주체(이용자)에게 통지하여야 한다.
▶ 통지 의무 요건 및 방법
통지의무가 부과되는 개인정보처리자 요건
[두음] 오민고백정 통삼
5만 명 이상, 민감정보 또는 고유식별정보를 처리,
100만 명 이상, 정보주체에 관한 개인정보를 처리,
통지 시기 : 3개월 이내
□ 정보주체(이용자)에게 수집출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관 · 관리하여야 한다.
▶ 수집출처 고지 관련 보관 · 관리하여야 할 정보(개인정보 보호법 시행령 제15조의2 제3항)
[두음] 사시방
1. 정보주체에게 알린 사실
2. 알린 시기
3. 알린 방법
결함사례
사례 1 :
인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서
정보주체(이용자)의 수집출처 요구에 대한 처리절차가 존재하지 않은 경우
사례 2 :
개인정보 보호법 제17조제1항제1호에 따라
다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나,
이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우
(다만 제공받은 사업자가 5만 명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나
100만 명 이상 정보주체의 개인정보를 처리하는 경우)
사례 3 :
서비스 제공과 직접 관련이 없는 타깃 마케팅 목적으로
쿠키에 포함된 개인정보를 동의받지 않고 수집하는 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
'도전! ISMS-P 인증 심사원 > 3. 개인정보 처리단계별 요구사항' 카테고리의 다른 글
| 3.1.7 홍보 및 마케팅 목적 활용 시 조치 (0) | 2023.01.25 |
|---|---|
| 3.1.6 영상정보처리기기 설치·운영 (0) | 2023.01.25 |
| 3.1.4 민감정보 및 고유식별정보의 처리 제한 (0) | 2023.01.25 |
| 3.1.3 주민등록번호 처리 제한 (0) | 2023.01.25 |
| 3.1.2 개인정보의 수집 동의 (1) | 2023.01.25 |
댓글