본문 바로가기
도전! ISMS-P 인증 심사원/3. 개인정보 처리단계별 요구사항

3.4.2 처리목적 달성 후 보유 시 조치

by JM's Dad 2023. 2. 1.
반응형

3. 개인정보 처리 단계별 요구사항 (22개)

[두음] 수이제파권

3.4 개인정보 파기 시 보호조치   3.4.1 개인정보의 파기
  3.4.2 처리목적 달성 후 보유 시 조치
  3.4.3 휴면 이용자 관리

(보)접삼 광육 만일 소삼 대계오

 

다른 개인정보와 분리 저장 · 관리, 접근권한 최소화

핵심 키워드 & 내용

 

보유기간 경과 또는 처리목적 달성, 다른 개인정보와 분리하여 저장 · 관리
개인정보 보존 시 보존 관리
분리 데이터베이스를 물리적 또는 논리적으로 분리
분리 보관 개인정보 목적 외 활용 금지
분리 보관 개인정보 접근권한 최소화

 

연관 두음

 

▶ 개인정보 보존의무 (보유기간)

[두음] (보)접삼 광육 만일 소삼 대계오

개인정보 유기간
속지 추적자료 : 3개월
표시 · 고에 관한 기록 : 6개월
건당 거래금액 1원 이하 전자금융거래에 관한 기록 : 1
비자 불만 또는 분쟁처리에 관한 기록 : 3
금결제 및 재화 등의 공급에 관한 기록 : 5
약 또는 청약철회 등에 관한 기록 : 5
인증기준

 

개인정보의 보유기간 경과 또는 처리목적 달성 후에도
관련 법령 등에 따라 파기하지 않고 보존하는 경우에는
해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장 · 관리하여야 한다.

 

주요 확인사항

 

* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도
  관련 법령 등에 따라 파기하지 않고 보존하는 경우,
  관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?

* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도
  관련 법령 등에 따라 파기하지 않고 보존하는 경우
  해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장 · 관리하고 있는가?

* 분리 보관하고 있는 개인정보에 대하여 법령에서
  정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?

* 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

 

관련 법규 

 

□ 개인정보 보호법 제21조(개인정보의 파기)

 

세부 설명

 

□ 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우

   관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하여야 한다.

 

▶ 보유기간

 

[두음] (보)접삼 보광육 만일 소삼 대계오

개인정보 유기간
속지 추적자료 : 3개월
표시 · 고에 관한 기록 : 6개월
건당 거래금액 1원 이하 전자금융거래에 관한 기록 : 1
비자 불만 또는 분쟁처리에 관한 기록 : 3
금결제 및 재화 등의 공급에 관한 기록 : 5
약 또는 청약철회 등에 관한 기록 : 5

 

 

□ 개인정보의 보유기간 경과 또는 처리목적 달성 후에도

   관련 법령 등에 따라 파기하지 않고 보존하는 경우

   해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장 · 관리하여야 한다.

 

▶ 분리 데이터베이스는 물리적 또는 논리적으로 분리하여 구성

 

□ 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하여야 한다.

 

▶ 분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지

 

□ 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다.

 

결함사례

 

사례 1 :
탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서
Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우

사례 2 :
전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록
법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우

[두음] (보)접삼 광육 만일 소삼 대계오

사례 3 :
분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아
업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

 

2022.11.27 - [두음달인] - 개인정보관리사 CPPG 두음달인 - ③ 개인정보 라이프사이클 관리

 

개인정보관리사 CPPG 두음달인 - ③ 개인정보 라이프사이클 관리

#01 개인정보 수집, 이용 [두음] 개인정보의 수집 · 이용이 가능한 경우 - 동법소급 계이친 정보 주체의 동의를 받은 경우, 법률에 특별한 규정, 법률상 의무 준수공공기관이 법령 등에서 정하는

taikun30.tistory.com

 

반응형

'도전! ISMS-P 인증 심사원 > 3. 개인정보 처리단계별 요구사항' 카테고리의 다른 글

3.5.1 개인정보처리방침 공개  (0) 2023.02.01
3.4.3 휴면 이용자 관리  (0) 2023.02.01
3.4.1 개인정보의 파기  (0) 2023.02.01
3.3.4 개인정보의 국외 이전  (0) 2023.01.31
3.3.3 영업의 양수 등에 따른 개인정보의 이전  (0) 2023.01.31

관련글

댓글

티스토리툴바