1교시 개인정보보호법 주요내용 2013년 9월 경 기 도 교 육 청 1.

Presentation on theme: "1교시 개인정보보호법 주요내용 2013년 9월 경 기 도 교 육 청 1."— Presentation transcript:

1 1교시 개인정보보호법 주요내용 2013년 9월 경 기 도 교 육 청 1

2 목 차 Ⅰ Ⅱ Ⅲ Ⅳ 개인정보보호법 위반 사례 개인정보보호법 개요 개인정보보호법 주요 내용
목 차 Ⅰ 개인정보보호법 위반 사례 Ⅱ 개인정보보호법 개요 Ⅲ 개인정보보호법 주요 내용 Ⅳ 각급학교 개인정보보호법 주요 점검 사항

3 I. 개인정보보호법 위반사례

4 1. 개인정보보호법 위반 사례(사회이슈) ▶ 네이트 온 사건
네이트ㆍ싸이월드는 2011년 7월 해킹을 당하면서 회원3500만명의 개인정보가 유출되었다. 이때2847명이 1억6천만원의 손해배상청구 소송을 내었고 2012년 11월서울중앙지법에서 네이트ㆍ싸이월드 개인정보 유출 사건에 대해SK컴즈의 손해배상 책임이 없다는 판결이 나왔다. 이는 지난4월구미시법원에서 나온 판결과는 배치되는 것이었다. 2012년 4월 구미시법원은 네이트 회원이SK컴즈를 상대로 낸 소송에서“100만원의 위자료를 지급하라”고 원고 일부승소 판결을 내린 바 있다. 현재 아직도 네이트 개인정보 유출과 관련해서는20여건의 개인 및 단체소송이 걸려 있다.

5 1. 개인정보보호법 위반 사례(사회이슈) ▶ 성추문 피해여성 사진 유출 사건
'성추문 검사' 사건 피해 여성의 사진을 유출한 혐의로 약식기소된 현직 검사들에게 벌금형이 내려졌다. 서울중앙지법 형사8단독 소병석 판사는 개인정보보호법 위반 혐의로 약식기소된 K(39) 검사와 P(36) 검사에게 각각 벌금 500만원과 300만원의 약식명령을 내렸다고 22일 밝혔다. 사진 캡처 파일을 모바일 메신저로 외부에 유출한 N(30) 실무관에게는 벌금 500만원의 약식명령을 내렸다. K검사는 의정부지검 소속이던 작년 11월께 실무관에게 피해 여성의 주민등록번호를 알려주며 사진을 구해오라고 지시해 실무관이 증명사진 캡처 파일을 생성·출력하게 한 혐의를 받았다. 인천지검 부천지청 소속이던 P검사는 이와 다른 경로로 캡처 파일을 만들어 검찰 직원 6명에게 메신저로 전송한 혐의로 약식명령이 청구됐다. 안산지청 N실무관은 메신저로 전달받은 파일을 변형해 카카오톡으로 외부에 유출한 혐의를 받았다.

6 2. 개인정보보호법 위반 사례(공무원 위반) 민원인이 도로공사관련 민원제기
▶ 주민불편사항을 접수한 시공무원 민원인개인정보를 피민원인에게 유출 민원인이 도로공사관련 민원제기 -> 담당공무원이 해당업체에 민원인 전화번호 제공해서 직접해결요망 ->민원인이 담당공무원이 개인정보 유출했다고 민원제기

7 2. 개인정보보호법 위반 사례(공무원 위반) 국세청 공무원들이 돈을 받거나 청탁으로 납세자 정보를 무단열람 후 유출
▶ 납세자 개인정보무단열람 및 유출로 세무공무원 14명 경찰송치 (국세청) 국세청 공무원들이 돈을 받거나 청탁으로 납세자 정보를 무단열람 후 유출 한국납세자연맹이 국세청공무원 32명고소, 14명 경찰송치

8 2. 개인정보보호법 위반 사례(공무원 위반) 행안부 전산망으로 연예인을 비롯 60명의 주민등록사진 및 정보, 병역정보를 열람
▶ 보건복지부 5급공무원 연예인 개인정보 열람으로 감봉3개월 및 전보조치 행안부 전산망으로 연예인을 비롯 60명의 주민등록사진 및 정보, 병역정보를 열람

9 2. 개인정보보호법 위반 사례(공무원 위반) 추적 및 관리가 어려운 출력물이 큰 문제로 대두
▶ 전주시 OO동 주민센터 개인정보출력물 방치했다가 민원인이 촬영하여 인터넷에 공개 ▶ 인천 O구청 개인정보출력물 파쇄하지 않고 버렸다가 공터에서 발견, 민원발생 추적 및 관리가 어려운 출력물이 큰 문제로 대두

10 3. 개인정보 침해 현황 개인정보 침해 규모 대규모 개인정보 침해사례 ▶ 개인정보 침해 민원의 지속적인 증가
발생일 발생기업 피해규모 사고원인 옥션 1,800만 명 해킹 하나로 텔레콤 600만 명 자사 고객 개인정보를 텔레마케팅업체에 제공 GS 칼텍스 1,150만 명 자회사 직원이 유출 신세계몰 등 25개 업체 2,000만 건 현대캐피탈 175만 건 해킹 및 내부 관리 소홀 리딩투자증권 12,000건 홈페이지 해킹 세티즌 140만 명 SK컴즈(네이트, 싸이월드) 3,560만 명 해커가 관리자 ID/비밀번호를 탈취 삼성카드 47만 건 자사 직원이 유출 넥슨 1,320만 건 EBS 422만 건 KT 873만 건 연예기획사,출판사,관공서 등 413만 건 구글링 코웨이 198만 건 < 개인정보 침해민원 추이 > 출처 : 개인정보침해신고센터

11 4. 개인정보 침해에 따른 집단 소송 현황

12 ※ 공무원 징계령

13 ※ 경기도교육청 웹사이트 개인정보 노출사고 처리기준

14 ※ 개인정보보호법 벌칙규정 구분 주요내용 처벌 및 수집 · 이용 개인정보 안전관리 정보주체 권익보호 제공 · 위탁 파기
정보주체의 동의 없는 개인정보 제3자 제공(17조) 개인정보의 목적 외 이용·제공 (18조, 제19조, 제26조) 민감정보 처리기준 위반(제23조) 고유식별정보 처리기준 위반(제24조) 부정한 수단이나 방법에 의해 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자(제59조) 개인정보의 수집기준 위반(제15조) 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의획득의무 위반 (제22조) 탈의실·목욕실 등 영상정보처리기기 설치 금지 위반(제25조) 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자 (제15조, 제17조, 제18, 제26조) 최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공을 거부한 자(제16조, 제22조) 주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제21조) 동의획득방법 위반하여 동의 받은 자 (제22조) 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 3천 만원 이하 과태료 1천 만원 동의 없는 개인정보 제3자 제공(17조) 개인정보의 목적 외 이용·제공 (18조, 제19조, 제26조) 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자(제15조, 제17조, 제18, 제26조) 업무위탁 시 공개의무 위반(제26조) 개인정보의 누설 또는 타인 이용에 제공 (제59조) 개인정보의 훼손, 멸실, 변경, 위조, 유출 (제59조) 영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자(제25조) 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조) 안전성 확보에 필요한 보호조치를 취하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자(제24조, 제25조, 제29조 위반) 안전성 확보에 필요한 조치의무 불이행 (제24조, 제25조, 제29조) 개인정보를 분리해서 저장․관리하지 아니한 자(제21조) 개인정보처리방침 미공개(제30조) 개인정보관리책임자 미지정(제31조) 영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조) 영상정보처리기기 설치·운영기준 위반 ( 제25조) 5천 만원 이하 벌금 2년 이하 개인정보의 정정·삭제요청에 대한 필요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자(제36조) 개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) 개인정보 유출사실 미통지(제34조) 정보주체의 열람 요구의 부당한 제한·거절(제35조) 정보주체의 정정삭제요구에 따라 필요조치를 취하지 아니한 자 (제36조) 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조) 시정명령 불이행(제64조) 정보주체의 열람, 정정·삭제, 처리정지 요구 거부 시 통지의무 불이행 (제35조, 제36조, 제37조) 관계물품·서류 등의 미제출 또는 허위 제출(제63조) 출입·검사를 거부·방해 또는 기피한 자 (제63조) 개인정보 미파기(제21조)

15 II. 개인정보보호법 개요

16 1. 개인정보 침해 사고 증가

17 2. 개인정보 보호의 필요성 개인정보 유출 등 정신적 피해, 보이스 피싱 등으로 개 인
개 인 개인정보 유출 등 정신적 피해, 보이스 피싱 등으로 금전적 손해, 유괴 등 각종 범죄에 노출 우려 기 업 기업의 이미지 실추, 소비자 단체 등의 불매운동, 다수 피해자에 대한 집단적 손해 배상 등으로 기업 경영 타격 국 가 정부, 공공행정의 신뢰성 하락, 국가 브랜드 하락, 프라이버시 라운드 대두에 따른 IT산업 수출애로

18 3. 개인정보 보호법의 제정 2011年 9月 30日 발효 개인정보 보호에 관한 일반법으로서 특별법인 정보통신망법 등에서
2011年 9月 30日 발효 개인정보 보호에 관한 일반법으로서 특별법인 정보통신망법 등에서 규정한 개인정보에 관한 법이 우선 적용되고, 특별법에서 정의되지 않거나 부족한 사안에 대하여 개인정보보호법이 보완하여 적용됨

19 4. 용어 정의 개인정보 처 리 정보주체 개인정보 처리자 개인정보 파 일 영상정보 처리기기
성명, 주민번호 등을 통하여 살아있는 개인을 알아볼 수 있는 정보 다른 정보와 용이하게 결합하여 개인을 알아볼 수 있는 정보 처 리 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 기타 이와 유사한 행위 정보주체 처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람 개인정보 처리자 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등 개인정보 파 일 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 집합물 영상정보 처리기기 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치 ※ 폐쇄회로 텔레비전(CCTV), 네트워크 카메라 19

20 5. 개인정보의 예시 구 분 항 목 일반 정보 경제 정보 사회 정보 통신 정보 민감 정보 고유식별 정보
구 분 항 목 일반 정보 성명, 주소, 연락처, 의료보험증 번호, 신용카드번호, 각종 단체가입 번호, 아이디, 패스워드, 생년월일, 계좌번호, 자격번호, 군번, 사번 등 경제 정보 소득, 재산상황, 신용정보. 부채 등 사회 정보 학업, 성적, 병역, 직업, 자격, 교육, 근로 등 통신 정보 전자우편, 통화내용, 인터넷 접속IP, 로그, 문자내역, 화상정보, 위치정보 등 민감 정보 사상, 신념, 조합·정당의 가입탈퇴, 정치적 견해, 건강, 신체의료정보 등 고유식별 정보 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 사무공간, 플랜트 등 다양한 영역에 20

21 6. 개인정보보호법 시행 전후 변경사항 법 시행 이전 법 시행 이후 분야별 개별법이 있는 경우에 한해 개인정보 보호의무 적용
- 공공기관 : 「공공기관 개인정보보호법」 - 신용정보 제공·이용자 : 「신용정보법」 - 정보통신서비스제공자 : 「정보통신망법」 - 여행사, 백화점 등 준용사업자 : 「정보통신망법」 법 시행 이후 적용의무의 확대: 공공·민간부문의 모든 개인정보처리자 - 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 전체 사업자 - 국회·법원·헌법재판소 등 헌법기관, 부처, 지자체, 공사, 공단, 학교 등 2.8만 전체 공공기관 보호범위의 확대 : 살아있는 모든 사람, 컴퓨터 등으로 처리되는 정보 외에 수기문서 등의 오프라인 정보까지도 포함 - 민원서류, 이벤트 응모권 등 수기문서 포함

22 수집제한의 원칙 정보정확성의 원칙 목적명확화의 원칙 이용제한의 원칙 안전보호의 원칙 공개의 원칙 개인참가의 원칙 책임의 원칙
7. 개인정보 보호의 기본원칙 수집제한의 원칙 목적에 필요한 최소한 범위 안에서 적법하고 정당하게 수집 정보정확성의 원칙 처리목적 범위 안에서 정확성, 안전성, 최신성 보장 목적명확화의 원칙 처리목적의 명확화 이용제한의 원칙 필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지 안전보호의 원칙 정보주체의 권리침해 위험성 등을 고려, 안전성 확보 공개의 원칙 개인정보 처리사항 공개 개인참가의 원칙 열람청구권 등 정보주체의 권리 보장 책임의 원칙 개인정보처리자의 책임 준수·실천, 신뢰성 확보 노력

23 8. 개인정보 처리단계별 의무사항 처리단계 개인정보보호 법령·규정 수집 이용 저장 관리 제공 위탁 파기 권리 보장
개인정보 수집의 제한 (필요 최소한의 정보수집 등) 민감정보 및 고유식별정보 처리제한 인터넷상 주민번호 이외의 회원가입 방법 제공 영상정보처리기기 설치·운영, 개인정보처리방침 공개 개인정보보호책임자 지정 개인정보 안전성 확보조치 개인정보의 제3자 제공, 목적 외 이용제공 금지 개인정보 처리위탁, 영업양도 등 개인정보 이전 이용 목적이 달성되면 즉시 개인정보 파기 개인정보 유출통지·신고 및 개인정보 침해신고 개인정보 열람, 정정·삭제, 처리 정지권 분쟁조정위원회 및 집단분쟁조정 권리침해 중지 단체소송 권리 보장

24 III. 개인정보보호법 주요내용

25 1. 개인정보 수집·이용·제3자 제공 개인정보 수집·이용 개인정보 3자 제공 목적외 이용·제공 처벌규정 처벌규정 처벌규정
1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 4. 정보주체와의 계약 체결이행에 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 1. 정보주체의 별도 동의를 받은 경우 2. 다른 법률의 특별한 규정 3. 명백히 정보주체 또는 제3자의 생명, 신체,재산의 이익에 필요한 경우 4. 통계작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우 5. 개인정보를 목적외로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관업무 수행 불가한 경우로 보호위원회의 심의·의결을 거친 경우 6. 조약, 국제협정 이행을 위해 외국정부 등 제공에 필요한 경우 7. 범죄수사 및 공소제기·유지 8. 법원의 재판업무 수행 9. 형 및 감호, 보호처분 집행 < 공공기관만 해당 > 처벌규정 처벌규정 위반 시 5천만원 이하의 과태료 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 처벌규정 ※ 개인정보 수집·이용은 폭넓게 인정하되, 제공, 목적외 이용·제공 기준은 요건을 엄격히 규정하여 차등화

26 ① 개인정보 목적외 이용 위반사례 위반 사례 주의사항 A기관 직원이 대학교 입시업무를
통해 수집된 개인정보를 기관 홍보목적으로 사용 B기관의 민원업무 담당자가 동생 배우자의 신원확인을 위해 혼인관계 증명서를 열람 업무상 사용하는 개인정보는 해당 목적으로만 이용하여야 함 (개인정보를 PC에 함부로 보관할 경우 불법이용 이나 유출의 위험이 있으므로 즉시 파기) 민원 담당자가 개인적인 목적으로 민원서류를 무단 열람하여 이용하면 목적외 이용에 해당

27 ② 개인정보 제3자 제공 위반 사례 위반 사례 주의사항
A기관 직원이 업무상 관리하던 직원 개인정보를 동생에게 알려주어 명절 열차표 예매에 사용하도록 함 B학교는 합격자 발표 게시물에 주민등록번호 등 개인정보를 포함 C교육기관은 기숙사 배정 문서에 성적, 주민등록번호 등의 개인정보가 포함된 채로 발송 D기관은 10명의 민원인에게 각각 통보해야 할 민원서류를 일괄적으로 전체 수신자에게 발송 부서내 직원정보 등 소규모 개인 정보도 유출하지 않도록 주의 홈페이지 게시물 확인 철저 (홈페이지에 게시되면 즉시 삭제해도 구글 등 검색엔진에 남아 계속 열람될 수 있음) 개인정보가 포함된 파일관리 철저 (외부 문서에 잘못 첨부되지 않도록 주의하고 비밀번호를 부여하여 잘못된 열람 방지) 개인정보가 포함된 문서는 각각 해당 수신자에게만 발송

28 <참고> 개인정보 수집·이용·제공에 따른 동의
서비스 제공에 필요한 최소정보(필수정보) 수집 필수정보, 선택정보 최소 수집 수집하는 개인정보가 최소정보라는 것은 개인정보처리자가 입증해야 함 서비스 거부금지 선택정보 미동의로 재화나 서비스 거부 금지 수집·이용 동의 개인정보 수집·이용 동의 수집목적내 제3자 제공동의 제3자 제공 동의 일반 동의 개인정보 국외이전시 제공 동의 국외의 제3자 제공동의 만 14세 미만 아동의 개인정보 수집 시 법정 대리인의 동의 필요 14세미만 법정대리인 동의 수집 목적 외 이용 및 제3자 제공 시 정보주체의 별도 동의 필요 민감정보 및 주민번호 등 고유식별정보 처리 시 홍보, 마케팅 시 별도 동의 목적 외 이용·제공 동의 별도 동의 민감정보 처리 동의 고유식별정보 처리 동의

29 2. 민감정보 및 고유식별정보 처리제한 민감정보·고유식별정보 처리제한
민감정보 및 고유식별정보의 처리는 원칙적으로 금지 (법 제23조, 제24조) 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 ※ 민감정보 : 사상, 신념, 노동조합, 정당가입, 건강정보, 유전정보, 범죄경력 정보 ※ 고유식별정보 : 주민등록번호, 외국인등록번호, 여권번호, 운전면허번호 처벌규정 위반 시 5년 이하 징역 또는 5천만원 이하 벌금 인터넷상 주민번호 대체수단 의무화 공공기관 및 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 의무 제공 (법 제24조제2항) ※ 주민등록번호 이외의 회원가입 방법 : i-PIN, 공인인증서, 전자서명 등 처벌규정 위반 시 3천만원 이하 과태료

30 3. 영상정보처리기기의 설치·운영 제한 내용 안내판 설치
영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항) <영상정보처리기기 설치·운영 허용 사유> 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 ) 교통정보의 수집·분석 및 제공 CCTV를 설치하는 경우 공청회 등을 거쳐 이해관계자의 의견 수렴 설치목적과 다른 목적으로 임의 조작, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3년 이하 징역 또는 3천만원 이하 벌금 안내판 설치 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) <안내판 기재사항> 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 처벌규정 위반 시 1천만원 이하의 과태료

31 4. 처리방침 공개 및 처리위탁 개인정보 처리방침 공개 처리업무의 위탁 및 공개
개인정보처리자는 개인정보처리방침을 수립하고 홈페이지에 공개 <개인정보처리방침 포함사항> 1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항 4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항 6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항 처벌규정 위반 시 1천만원 이하의 과태료 처리업무의 위탁 및 공개 제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조) 개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항) 개인정보처리방침에 위탁사실을 포함하여 홈페이지에 게재 (영 제28조제2항) <위탁자와 수탁자의 책임> 1) 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 함(법 제26조 제4항) 2) 수탁자가 위탁받은 업무와 관련하여 이 법을 위반한 손해배상책임 발생시 수탁자를 개인정보처리자의 소속직원으로 간주 (법 제26조 제6항) 처벌규정 위반 시 3천만원 이하의 과태료

32 ① 개인정보 업무 위탁 위반사례 위반 사례 주의사항 개인정보의 파기 업무 등을 외부에 A기관은 PC에 대한 폐기업무를
위탁할 경우 관리감독 철저 (외부에서 수행하는 위탁업무의 경우 특히 유출 위험이 계약서에 개인정보 관련 책임을 명시 하고 이행여부를 철저히 확인 ) CCTV 영상정보의 운영을 위탁할 경우 개인정보 유출 뿐 아니라 CCTV 임의조작 등 법 위반 소지가 크므로 운영현황을 수시로 점검하여야 함 A기관은 PC에 대한 폐기업무를 B회사에 위탁하였으나 B회사에서 하드디스크의 개인정보를 유출 C기관은 CCTV의 관리, 운영을 외부 업체에 위탁하였으나 개인정보의 관리와 책임 관련 내용을 계약서에 포함하지 않음 - CCTV가 고장난 채로 방치되는 등 관리소홀로 개인정보 유출위험 존재 (실태점검 시 위반사례로 지적)

33 5. 개인정보 보호책임자의 지정 내용 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) <개인정보 보호책임자 업무> (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 ) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 ) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 ) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 처벌규정 위반 시 1천만원 이하 과태료 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 도교육청 – 3급 ② 교육지원청 – 4급 또는 그에 상당하는 공무원 ③ 각급학교 - 교장

34 6. 안전성 확보 조치 및 파기 안전성 확보 조치 개인정보 파기조치
개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행 (법 제29조) 관리적 보호조치 : 내부관리계획 수립 ·시행 기술적 보호조치 : 접근통제, 암호화, 방화벽 · 백신 등 보안프로그램의 설치 물리적 보호조치 : 개인정보의 안전한 보관을 위한 보관시설 및 잠금장치 등 미이행시 3천만원 이하의 과태료, 미이행으로 인한 유출시 2년 이하 징역 또는 1천만원 이하 벌금 처벌규정 개인정보 파기조치 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조) 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 < 파기 방법 > 복구 또는 재생되지 아니하도록 폐기 - 전자적 파일형태 : 복구가 불가능하도록 포맷이나 삭제전용 소프트웨어를 사용하여 파기 - 기록물, 인쇄물, 서면 : 파쇄 및 소각 처벌규정 위반 시 3천만원 이하 과태료

35 7. 개인정보 영향평가 및 파일 등록 영향평가 개인정보파일 등록
공공기관이 개인정보 파일을 운용하는 경우, 개인정보 침해를 사전에 예방하기 위한 개인정보 영향평가 실시 < 개인정보 파일 기준 > 1) 5만명 이상의 정보주체에 대한 개인정보 파일(민감정보, 고유식별정보가 포함시) 2) 50만명 이상의 정보주체에 대한 개인정보 파일(다른 개인정보 파일과 연계·연동시) 3) 구축 ·운용 또는 변경하려는 개인정보파일로 100만명 이상의 정보주체 개인정보 파일 개인정보파일 등록 공공기관이 개인정보파일을 운용하는 경우, 법적 근거, 목적, 보유기간 등을 안전행정부 장관에게 등록(개인정보보호 종합포털, < 개인정보 파일 등록사항 > 1) 개인정보파일의 명칭, 운영 근거 및 목적 2) 개인정보파일에 기록되는 개인정보의 항목 3) 개인정보의 처리방법 및 보유기간 4) 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 안전행정부는 개인정보파일 현황을 누구든지 쉽게 열람할 수 있도록 공개

36 8. 정보주체 피해구제를 위한 제도 정보주체 권리보장 유출통지 및 신고제 집단분쟁조정 및 권리침해중지 단체소송
정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 유출통지 및 신고제 개인정보처리자는 개인정보 유출시 지체없이 정보주체에게 유출사실 통지 (법 제34조) 1만명 이상 개인정보 유출시 지체없이 안전행정부 또는 전문기관 (한국정보화진흥원, 한국인터넷진흥원)에 신고 (법 제34조제3항) 집단분쟁조정 및 권리침해중지 단체소송 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 집단분쟁조정을 신청할 수 있음 (법 제49조) 소비자단체, 비영리민간단체는 개인정보처리자가 집단분쟁조정 거부 또는 결과 불수락 시 법원에 권리침해행위의 금지·중지 소송 제기 (법 제51조)

37 9. 시행일 및 경과조치 시행일 경과조치 (영 부칙)
개인정보보호법은 ‘ (공포 후 6개월 경과일)부터 시행 (부칙 1조) 주민등록번호 외의 회원가입 방법(i-PIN등) 적용(법 제24조제2항)은 ‘ (공포 후 1년 경과일)부터 시행 (부칙 1조) 경과조치 (영 부칙) 개인정보 암호화는 고시 수립일로부터 3개월 이내에 암호화 계획 수립, ‘ 까지 암호화 적용 (영 제4조) 개인정보 영향평가는 고시 수립일로부터 3개월 이내에 영향평가 계획 수립, ‘ (5년 이내)까지 영향평가 완료 (개인정보 영향평가 고시 부칙 제2조) 법 시행 이전에 다른 법령에 따라 적법하게 처리된 개인정보, 근거 법령없이 처리된 개인정보는 이 법에 따라 처리된 것으로 간주(소급 불인정) 다만, 9.30 이후 새롭게 개인정보를 처리하는 경우 개인정보보호법 적용

38 Ⅳ. 주요 점검 사항

39

40

41

42

43

44

45

46 수고하셨습니다. 1교시 종료