COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2012년 4월 2 교시 각급학교 개인정보보호 실무 2 교시 각급학교 개인정보보호 실무 경기도교육청북부청사.

Presentation on theme: "COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2012년 4월 2 교시 각급학교 개인정보보호 실무 2 교시 각급학교 개인정보보호 실무 경기도교육청북부청사."— Presentation transcript:

1 COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2012년 4월 2 교시 각급학교 개인정보보호 실무 2 교시 각급학교 개인정보보호 실무 경기도교육청북부청사

2 - 2 - Ⅰ 개인정보 수집 · 이용 Ⅱ 개인정보보호 업무 운영 Ⅲ 홈페이지 운영 · 관리 목 차 Ⅳ CCTV 운영 관리 Ⅴ 개인정보처리 위탁 계약 관리

3 - 3 - I. 개인정보 수집 · 이용

4 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우 4. 정보주체와의 계약 체결·이행을 위해 불가피한 경우 5. 정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우) 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 개인정보를 수집·이용할 수 있는 경우 (법 제15조) 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의 하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부 금지 필요 최소한의 개인정보 수집 (법 제16조) 처벌규정 위반 시 5 천만원 이하의 과태료 처벌규정 위반 시 3 천만원 이하의 과태료 (1) 개인정보 수집·이용 및 제한

5 (2) 개인정보 수집·이용·제공에 따른 동의 서비스 제공에 필요한 최소정보(필수정보) 수집 수집하는 개인정보가 최소정보라는 것은 개인정보처리자가 입증해야 함 필수정보, 선택정보 국외의 제3자 제공동의 서비스 거부금지 14 세미만 법정대리인 동의 목적 외 이용·제공 동의 민감정보 처리 동의 고유식별정보 처리 동의 선택정보 미동의로 재화나 서비스 거부 금지 개인정보 국외이전시 제공 동의 수집 목적 외 이용 및 제3자 제공 시 정보주체의 별도 동의 필요 민감정보 및 주민번호 등 고유식별정보 처리 시 정보주체의 별도 동의 필요 개인정보 수집·이용 동의 수집 · 이용 동의 제3자 제공 동의 수집목적내 제3자 제공동의 만 14세 미만 아동의 개인정보 수집 시 법정 대리인의 동의 필요

6 (3) 개인정보 수집·이용 ·제공 동의 DON’Ts ( 위반사례 )DOs ( 조치사항 ) 개인정보 수집·이용 동의서에 목적, 수집항목, 보유기간, 미동의가 가능함과 그에 따른 불이익 명시 14세 미만 아동에 대한 개인정보 수집 시 법정대리인 동의절차 누락 민감정보, 고유식별정보 수집 시 별도동의 미획득 정보주체의 별도 동의없이 홍보, 판매를 위해 개인정보 무단 활용 정보주체 동의없이 이벤트를 위한 개인정보 제3자 제공 개인정보 수집에 따른 동의항목 확인 만 14세 미만의 아동 정보를 처리 하기 위해 법정대리인의 동의 필요 민감정보, 고유식별정보 수집 시 별도의 동의 획득 필요 홍보, 판매 등 목적외 이용제공을 위한 별도동의 획득 및 고지 필요 개인정보 목적외 제3자 제공 시 별도의 동의 획득 필요

7 (4) 최소정보 수집 이름 주민번호 주소 핸드폰번호 유선번호 직장명 직장주소 연소득 주거형태 배우자 정보 취미 수집하는 개인정보가 최소정보라는 것은 개인정보처리자가 입증 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수 없음 (과태료 3천만원) A사는 인터넷을 통한 신발 판매 시 주민번호, 직장정보, 소득, 자녀정보 등 필수정보와 선택정보를 구분하지 않고 포괄 동의 후 수집 DON’Ts ( 위반사례 )DOs ( 조치사항 ) “주민번호, 직장정보, 소득, 주거형태 등의 정보는 최소정보인가?” 신발 판매를 위한 필수정보와 부가적인 정보(선택정보)를 구분하여 동의 획득하고, 부가정보 수집에 동의하지 않은 이유로 서비스 제공 거부 금지

8 (5) 민감정보 및 고유식별정보 수집을 위한 별도 동의 민감정보에 대한 무단 수집 고유식별정보에 대한 무단 수집 이름 주민등록번호 여권번호 자동차등록번호 전화번호 - * 회원가입을 위한 필수항목입니다. 종교 본인병력 가족병력 지지하는 정당 * 회원가입을 위한 필수항목입니다. 고유식별정보 및 민감정보는 내용적으로 수집이 금지되고, 필요 시 별도의 동의 획득 필요 수집 및 이용목적 동의 민감정보 추가수집 동의 고유식별정보 수집 동의 OOOO 의 개인정보 수집 및 이용 OOOO 의 민감정보 추가수집 OOOO 의 고유식별정보 수집 동의 동의하지 않음 DON’Ts ( 위반사례 ) DOs ( 조치사항 )

9 (6) 만 14세 미만 아동의 개인정보 수집 DON’Ts ( 위반사례 )DOs ( 조치사항 ) 만 14세 미만 아동의 개인정보 수집 시 법정대리인의 동의 미획득 법정대리인의 동의 획득 시 형식적인 동의 절차 개인정보 수집 및 이용에 동의하십니까 □ 동의함 □ 동의하지 않음 만 14세 미만 아동의 개인정보 수집에 동의하십니까? □ 동의함 □ 동의하지 않음 만 14세 미만 아동의 개인정보 수집 시 별도 메뉴 제작 만 14세 미만 아동의 개인정보 수집 시 법정대리인(부모)의 동의 획득 시 휴대폰, 신용카드, 공인인증서 등 이용 휴대폰 신용카드 공인인증서

10 (참고) 개인정보 동의획득 양식 (예시) A사의 개인정보 수집 및 이용 회사는 회원가입, 고객상담, 서비스 제공을 위해 최초 회원가입 시 아래와 같은 개인정보를 수집하고 있습니다. 성명, 생년월일, 성별, 아이디, 비밀번호, 필수연락처, 가입인증정보 수집한 개인정보는 회원 유지기간 및 A/S 기간동안 보관합니다. 회원께서는 개인정보 수집 동의를 거부하실 수 있으며 다만 이 경우 회원가입이 제한됩니다. 개인정보 수집 및 이용에 동의하십니까 □ 동의함 □ 동의하지 않음 고유식별정보 처리에 동의하십니까 □ 동의함 □ 동의하지 않음 민감정보 처리에 동의하십니까 □ 동의함 □ 동의하지 않음 ( 필요시 ) 고유식별정보 처리 동의 ( 수집 또는 제공시의 고지사항 고지 ) ( 필요시 ) 민감정보 처리 동의 ( 수집 또는 제공시의 고지사항 고지 ) 개인정보 목적외 이용에 동의하십니까 □ 동의함 □ 동의하지 않음 ( 필요시 ) 목적 외 제공 동의시 ( 목적 외 제공시의 고지사항 고지 ) 일반동의 선택적 개인정보 수집 및 이용에 동의하십니까 □ 동의함 □ 동의하지 않음 기혼 여부, 기념일, 병력, 취미, 소득수준, 자녀 정보 ※ 선택정보 사항을 획득하지 못한 사유로 인해 서비스 제공을 거부할 수 없습니다. 별도동의

11 - 11 - II. 개인정보보호 업무 운영

12 (1) 개인정보 보호책임자의 지정 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 2) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 4) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 6) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 내용 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 도교육청 – 3급 ② 교육지원청 – 4급 또는 그에 상당하는 공무원 ③ 각급학교 - 교장 처벌규정 위반 시 1 천만원 이하 과태료

13 (2) 안전관리 주요 점검사항 안전조치 의무 내부관리 계획 수립 관리적 기술적 물리적 조치 영향평가 공공기관 : 의무 민간 : 적극적 권고 점검사항 주기적인 개인정보 보호 교육 실시 입출력 또는 저장된 개인정보와 저장매체 관리 및 보호 접근권한 부여 및 접근 사실 자동기록 개인정보 접근 인원 최소화 고유식별정보의 암호화 보안 프로그램 설치 및 운영 물리적 접근방지 개인정보 처리단계별 내부관리계획 수립 개인정보 처리방침 수립, 공개 개인정보 보호책임자 지정 개인정보 유출 통지

14 (3) 내부관리계획 수립 · 시행 내부관리계획 목차 예시 내부관리계획 승인 (CEO, CPO 등) 전직원 배포 개선계획 수립 (연간 1회) 적용 및 자체 감사

15 (4) 개인정보 처리방침 작성 · 공개 개인정보 처리방침 공개 정보주체를 위한 내용별 바로가기 버튼 설정 포함내용 개인정보의 처리 목적 개인정보의 처리 및 보유기간 개인정보의 제3자 제공에 관한 사항(해당되는 경우) 개인정보의 위탁에 관한 사항(해당되는 경우) 정보주체의 권리 의무 및 행사 방법 공개방법 홈페이지 첫 화면 게재 종이문서의 경우 이용계약서 등에 명기 관보게재(공공기관) ※ 개인정보 처리방침은 글자체 색상 등을 달리하여 공개해야 하며, 변경사항 발생 시 별도고지

16 (5) 개인정보 파일 등록 개인정보파일 등록  개인정보 보호책임자는 등록, 변경 사항 검토 및 적정성 판단  각급기관에서 종합지원시스템(intra.privacy.go.kr)에 입력 공통업무 개인정보파일 표준목록 참고(표준목록 이외도 대상 임)  교육과학기술부의 승인 후 행정안전부에 등록  대상기관 : 교육청 및 각급학교, 소속기관, 공공기관  등록시스템 : 개인정보보호 종합지원시스템(intra.privacy.go.kr)  등록시기 : 개인정보파일 운영일부터 60 일 이내 개인정보 침해가 우려될 경우 영향평가 수행 후 등록 개인정보파일 등록 절차

17 ▪ 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록 한 개인정보파일 ▪ 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호 처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 ▪ 조세범처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보 파일 ▪ 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일 ※ 급여, 인사, 회계, 예비군 등  CCTV 등 개인영상정보파일  자료 ․ 물품 또는 금전의 송부, 1 회성 자료의 제출 ▪ 다른 법령에 따라 비밀로 분류된 개인정보파일 (6) 개인정보파일 등록 면제 대상

18 (7) 개인정보 암호화 계획 수립 암호화 대상 비밀번호(홈페이지 등)   복호화 되지 않도록 일방향 암호화 바이오정보(지문,홍채) 암호화   양방향 ( 식별 및 인증에 대한 고유기능에 한정 ) 고유식별정보 암호화 고유식별정보 암호화  의무적용 : 인터넷 구간과 DMZ 구간  선택적용 : 내부망 ( 영향평가, 위험도분석 ) 결과 적용 ※ 내부망은 접근통제시스템에 의해 차단되어 외부에서 직접 접근이 불가능한 영역 내부 고유식별번호 운영시 개인정보 위험도 분석 기준에 내부 고유식별번호 운영시 개인정보 위험도 분석 기준에 의하여 암호화 실시 의하여 암호화 실시  한 개 항목이라도 ‘ 아니오 ’ 에 해당하는 경우 암호화 실시

19 (8) 보안프로그램 설치 및 운영 백신 SW 설치 및 운영  악성프로그램 방지 및 치료 바이러스, 인터넷 웜, 스파이웨어 등 보안 프로그램의 자동업데이트 보안 프로그램의 자동업데이트  자동업데이트 또는 일 1회 이상 주기적 업데이트 설치 백신 자동업데이트(VMS), PMS 악성 프로그램 경보발령 및 보안 업데이트 공지 악성 프로그램 경보발령 및 보안 업데이트 공지  OSㆍ응용프로그램 취약점 즉시 업데이트 매월 사이버보안 진단의 날 전 교직원 전 항목이‘안전’으로 점검 실시토록 독려

20 (9) 파기 시점과 방법 개인정보 파기 파기 시점파기 방법 개인정보의 처리목적 달성 등 개인정보가 불필요해진 경우 – 회원탈퇴 – 계약 또는 이벤트 종료 – 이용자의 요구 복구 또는 재생이 불가능하도록 파기 – 종이 : 세단기 분쇄 또는 소각 – 데이터 : 소거 S/W 사용 ※ 타 법령 등에 의거하여 개인정보 보존이 필요할 경우 다른 개인정보 파일과 분리 저장 관리

21 - 21 - Ⅳ. 기관 홈페이지 운영 · 관리

22 (1) 개인정보 처리방침 공개 개인정보 처리방침을 홈페이지 또는 사업장 내에 게시하여 정보주체가 쉽게 확인할 수 있도록 공개 (개인정보 보호책임자 공개) 정보주체가 쉽게 확인할 수 있도록 글자색을 달리 표시 공개사항을 모두 포함 [인터넷 홈페이지 첫화면][사업장내 벽면에 게시] 약관 개인정보 처리방침 회사소개/투자정보온라인제휴안내인트라넷

23 (2) 접근 권한의 관리 접근권한 범위   업무수행에 필요한 최소한의 범위로 차등부여 개인정보 책임자 ( 관리자 ) : 읽기 / 쓰기 / 변경 권한 개인정보 취급자 : 읽기권한 접근권한 조치 시기 접근권한 조치 시기   개인정보 관리자, 취급자 변경 시 전보, 퇴직, 인사이동 시 지체 없이 변경 또는 말소 접근권한 기록보관   최소 3년 개인정보 책임자 : 읽기 / 쓰기 / 변경 권한 개인정보 취급자 : 읽기권한 관리자 계정(ID) 발급 관리자 계정(ID) 발급   1인당 1개(책임 추적성 확보) 동일 업무 수행 시 계정 (ID) 공유 불허

24 계정 관리 : 관리자계정은 ADMIN등 쉽게 인식가능한 계정 사용 금지 비밀번호 작성 규칙 수립 적용  개인정보처리시스템 및 접근통제시스템 등도 동일 적용  비밀번호 설정 원칙 문자 종류에 따라 구성 ( 문자, 숫자, 특수문자 ) ※ 최소 10자리(2종류) 또는 9자리(3종류) 이상 추측하기 어려운 비밀번호 생성 동일한 비밀번호 사용 제한 : 2개 비밀번호 교대 사용 금지 비밀번호 변경 주기  비밀번호에 유효기간 설정, 최소 6 개월 마다 변경 (3) 계정 및 비밀번호 관리

25 (4) 접근통제 시스템 설치 및 운영 침입차단시스템 방화벽 (Firewall) 웹방화벽 보안 OS 침입탐지 (IDS) 차단기능 네트워크 ACL 침입방지시스템 접속권한은 IP 주소로 한정하여 인가 받지 않은 접근을 제한 접속한 IP 주소 분석으로 불법적인 유출 시도 탐지 업무용 컴퓨터 및 개인정보처리시스템 P2P, 사용 공유금지 개인정보처리시스템의 외부망 접속은 원칙적으로 차단 ※ 외부에서 접속시 VPN, 전용선 사용

26 (5) 개인정보 전송 전달시 암호화 암호화대상 암호화방법 정보통신망을 통하여 개인정보를 내ㆍ외부에 송 ㆍ수신하는 개인정보시스템 개인정보를 저장매체 등을 통하여 전달 시 암호화 암호화 정보 : 고유식별정보, 비밀번호, 바이오정보 ※ 암호화 정보 : 고유식별정보, 비밀번호, 바이오정보 보안서버 (SSL : Secure Socket Layer) 표준보안 API(GPKI) 나 암호화 SW 사용 고유식별정보는 암호화 SW사용 비밀번호는 복호화되지 않도록 단방향 암호화

27 (6) 만14세미만 아동의 동의절차 구현 만 14세 미만 아동 동의 (ex : 신용카드, 휴대폰, 공인인증서, 공공I-PIN등) 법정 대리인의 동의 획득방법 예시 만 14세 미만 아동의 일반적인 회원가입 절차 아동 본인의 수집 동의 아동의 법정 대리인 정보 (성명, 연락처) 수집 법정대리인 인증 회원가입 완료 신용카드 휴대폰범용 공인인증서 ※ 만 14세 미만의 아동 정보를 처리하기 위해 법정대리인의 동의 필요 법정 대리인 (보호자) 동의 인증 공공 I-PIN

28 (7) 홈페이지 게시판별 담당자 지정 운영 홈페이지 게시판 별 담당자 지정 홈페이지 게시판 별 담당자 지정  운영중인 게시판 별 담당자 지정 후 내부 결재 자료를 주로 게시하는 사람을 담당자로 지정 홈페이지 게시글에 대한 개인정보 등 불건전 정보에 대한 점검 강화 홈페이지 게시글에 대한 개인정보 등 불건전 정보에 대한 점검 강화  홈페이지 게시판 담당자는 일 1회이상 게시판 점검 실시 개인정보, 불건전 게시물 등 등록 시 즉시 삭제 후 삭제대장에 기록 ※ 경기도교육청 웹 사이트 개인정보 노출 처분기준 - 게시자 : 경고(본인이 작성하지 않고 암호화 등 보호조치 시 주의) - 관련자 : 주의 또는 현지시정 조치 ※ 담당자 지정 예시 게시판명담당부서담당자비고 자유게시판교육정보부홍길동 학교급식 자료실교육행정부김철수 교육과정 운영교무부박영희........

29 - 29 - Ⅳ. CCTV 운영 관리

30 (1) 영상정보처리기기의 설치시 고려사항 내용 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항) CCTV를 설치하는 경우 행정예고, 공청회 등을 거쳐 이해관계자의 의견 수렴 영상정보처리기기 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작, 다른 곳을 비추는 행위, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3 천만원 이하 징역 또는 3 천만원 이하 벌금 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 5) 교통정보의 수집·분석 및 제공 처벌규정 위반 시 3 천만원 이하의 과태료

31 안내판 설치 (2) 안내판 설치 및 운영관리방침 수립 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 다음의 경우, 안내판 설치에 갈음하여 인터넷 홈페이지에 기재사항 게재 1) 공공기관이 원거리 촬영, 과속, 신호위반단속 등 목적으로 설치하는 경우 2) 장소적 특성으로 안내판 설치가 불가능하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우 처벌규정 위반 시 1 천만원 이하의 과태료 영상정보처리기기 운영관리방침 수립 1) 설치근거 및 설치목적 2) 설치대수, 설치위치, 촬영범위 3) 관리책임자, 담당부서 등 4) 촬영시간, 보관기간, 보관장소, 처리방법 5) 운영자의 영상정보 확인방법 및 장소 6) 정보주체의 영상정보 열람 등 요구에 대한 조치 7) 기술적,관리적,물리적 조치 등 ※ 개인정보 처리방침으로 대체 가능

32 연번근 거주요 내용확 인위반시 처벌 1 법 제25조 ○ 설치운영 목적의 적법성 여부(공개장소) - 법령 허용, 범죄예방 및 수사, 시설안전 및 화재예방, 교통정보수집 과태료 3천 2 ○ 사생활 침해우려장소 설치금지 - 목욕실, 화장실, 발한실, 탈의실 등 과태료 5천 3 ○ 안내판 설치 여부 - 설치목적ㆍ장소, 촬영범위ㆍ시간, 관리책임자 연락처 등 기재 과태료 1천 4 ○ 녹음기능 및 임의조작 금지 - CCTV를 통한 녹음금지, 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 징역3년↓ 벌금3천↓ 5 법 ․ 영 제25조 지침 제40조 ○ 영상정보처리기기 운영관리 방침수립 및 공개 여부과태료 1천 (3) 영상정보처리기기 체크리스트①

33 (3) 영상정보처리기기 체크리스트② 연번근 거주요 내용확 인위반시 처벌 6 법 제31조 지침 제41조 ○ 개인영상정보 관리책임자 지정 여부과태료 1천 7 지침 제49조 ○ 개인영상정보 관리대장 작성 관리 여부시정권고 8 법 제25조 법 제29조 지침 제51조 ○ 개인영상정보의 안전성 확보조치 여부 - 내부관리계획 수립시행 과태료 3천 9 - 접근 통제 및 접근권한 제한조치 10 - 안전한 저장 전송 기술적용 (예 : 네트워크카메라의 전송암호화, 파일저장 비밀번호설정) 11 - 처리기록 보관 및 위 ․ 변조 방지 조치 12 - 물리적 보관을 위한 시설 및 잠금장치

34 (참고) 개인영상정보 관리대장

35 - 35 - Ⅴ. 개인정보 처리 위탁 계약 관리

36 (1) 업무위탁과 제3자 제공 비교 개인정보 위탁개인정보 제3자 제공 쇼핑몰 사업자 택배 업체이용자(회원) 회원가입 구매 물품 배송 회원가입 보험 서비스 제공 상품 텔레마케팅 업무위탁 쇼핑몰 사업자 보험 사업자이용자(회원) 제3자 제공 정의 의무내용 예시 개인정보처리자의 사업목적을 달성하기 위해 수탁자에게 개인정보를 제공하는 경우 고지의무 : 직접 마케팅 업무위탁으로 인한 개인정보 제공 시 공개의무 : 위탁 사실(위탁내용, 수탁자) 공개 계약체결 대행 서비스(텔레마케팅 등) 관리 대행 서비스(상품배송, AS 등) 전산관리 위탁 서비스(시스템, DB 개발 등) 개인정보처리자 외의 제3자의 이익이나 사업목적 달성을 위해 제3자에게 개인정보를 제공하는 경우 고지의무 : 제3자 제공에 대한 고지 동의의무 : 제3자 제공에 대한 정보주체 동의 획득 ※ 동의 항목(4가지):제공받는 자, 개인정보 항목, 목적, 보유 및 이용기간 금융서비스 제공을 위한 이메일 홍보 보험상품 소개를 위한 텔레마케팅 등 처리자의 사업목적을 달성하기 위한 개인정보 제공 제3자의 사업목적을 달성하기 위한 개인정보 제공

37 (2) 업무위탁과 제3자 제공 시 준수 의무 개인정보 위탁 개인정보 제3자 제공 의미 준수의무 유의사항 정보주체의 동의 필요항목 - 제공받는 자 - 제공받는 자의 개인정보 이용목적 - 제공하는 개인정보 항목 - 제공하는 자의 개인정보 보유 및 이용기간 제3자 제공 미동의 시에도 서비스 제공 개인정보 처리 업무위탁 시 문서로 명시 - 위탁업무의 수행 목적 외 개인정보의 처리금지 - 개인정보의 관리적·기술적 보호조치 업무위탁 시 정보주체가 쉽게 확인 가능 수집 목적 외 이용 금지 동의없는 제3자 제공 금지 미동의 시 불이익 내용 고지 위탁 사실에 대한 고지 (동의획득 불필요) 업무 아웃소싱 제휴, 공동상품 판매 기업(기관)간 업무 협약

38 (3) 업무위탁 시 공개내용 위탁에 대한 올바른 공개 예시 **전자 패밀리 서비스 이행을 위해 개인정보 취급 업무 중 일부를 아래와 같이 외부 전문 업체에 위탁하여 운영하고 있습니다. 위탁업무 내용위탁업체 AAA BBB CCC DDD EEE 마케팅 업무 운영 대행을 위한 위탁- 이벤트 당첨자 상품 배송을 위한 고객정보 추출, 제품/기업 및 이벤트 홍보 메일전송을 위한 고객정보 추출등과 같은 마케팅 업무 운영 고객 응대 업무 효율성 제고를 위한 위탁 - **전자 패밀리 회원 고객문의 응대, 물품 구매관련 및 배송관련 고객 문의 응대, 만족도 조사 (제품구매,배송설치,서비스) 회원제 서비스 이용에 따른 본인 실명 확인 온라인 광고, 캠페인 집행을 위한 위탁- 광고, 이벤트 등과 같은 마케팅 업무 수행에 필요한 고객 정보 추출, 활용 제품 구매에 따른 물품 배송 및 제품설치 개인정보 처리 업무위탁 시 공개내용 위탁업무의 수행 목적 외 개인정보의 처리금지 개인정보의 관리적·기술적 보호조치 관리감독 개인정보 처리 업무 위탁 시 수탁자 및 해당 내용 공개

39 (4) 수탁자 관리·감독 위탁사업자에 대한 관리계획 (보안서약서) 예시 개인정보 처리 수탁자에 대한 관리·감독 개인정보 보호 관련 교육, 처리현황 점검 등 관리·감독 개인정보 처리 업무의 재위탁 제한 개인정보에 대한 접근제한 등 안전성 확보 조치 개인정보의 관리현황 점검 및 소속 직원 교육 수탁자의 의무위반 시 손해배상 (수탁자도 개인정보처리자의 소속 직원으로 간주)

40 (5) 제3자 제공 고지와 동의 제3자 제공 고지 및 동의 예시 제3자 제공 시 고지해야 할 사항 1. 개인정보를 제공받는 자 2. 제공받는 자의 이용 목적 3. 제공하는 개인정보 항목 4. 제공받는 자의 보유 및 이용기간 5. 개인정보 수집 출처 점검사항 반드시 별도 동의 필요 선택적 개인정보 제공 미동의 시에도 서비스 이용 허용

41 수고 하셨습니다 개인정보보호는 수집 않는 것이 최선이다