전자정부 로고 이 사이트는 대한민국 공식 전자정부 사이트입니다.
개인정보처리방침

여성폭력 예방과 근절, 폭력 피해자에 대한 지원을 위해
전문성과 경험을 바탕으로 최선을 다할 것입니다.

트위터 블로그

프린트

개인정보처리방침

한국여성인권진흥원 개인정보처리방침

2016. 11. 11 개정

제1장 총칙

제1조 목적

이 지침은「개인정보 보호법」및 「여성가족부 개인정보보호지침」, 「한국여성인권진흥원 개인정보 내부관리계획」의하여 (재)한국여성인권진흥원(이하 진흥원)이 보유·관리하고 있는 개인정보의 처리 적법성 및 관리 적정성 등을 정함으로써 진흥원 소관 개인정보 보호업무를 효율적으로 수행하기 위해 필요한 사항을 규정함을 목적으로 한다.

제2조 적용범위

이 지침은 (재)한국여성인권진흥원에 적용한다.

제3조 용어의 정의

이 지침은 (재)한국여성인권진흥원에 적용한다.

  • 1. “개인정보”라 함은 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
  • 2. “개인정보 처리”라 함은 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
  • 3. “정보주체”라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
  • 4. “개인정보파일” 이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
  • 5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 단체 및 개인 등을 말한다.
  • 6. “개인정보 보호책임자”라 함은 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항 제1호 및 제2호에 해당하는 자를 말한다.
  • 7. “개인정보 취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말한다.
  • 8. “공개된 장소”라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.

제4조 개인정보 보호 원칙

  • 1. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
  • 2. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
  • 3. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
  • 4. 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
  • 5. 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
  • 6. 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
  • 7. 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

제5조 정보주체의 권리

정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.

  • 개인정보의 처리에 관한 정보를 제공받을 권리
  • 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
  • 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함)을 요구할 권리
  • 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
  • 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

제2장 개인정보 보호체계

제6조 개인정보 보호책임자(CPO : Chief Privacy Officer) 지정 및 책임

  • 1. 개인정보 보호책임자는 경영지원본부장으로 한다.
  • 2. 개인정보 보호책임자의 업무는 다음과 같다
    • 개인정보 보호계획의 수립 및 시행
    • 개인정보 시행계획의 수립 및 시행
    • 개인정보 처리실태 및 관행의 정기적인 조사 및 개선
    • 개인정보 처리와 관련한 불만의 처리 및 피해 구제
    • 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
    • 개인정보 보호 교육 계획의 수립 및 시행
    • 개인정보파일의 보호 및 관리·감독
    • 개인정보 처리방침의 수립·변경 및 시행
    • 개인정보 보호 관련 자료의 관리
    • 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
    • 그 밖에 개인정보 보호를 위하여 필요한 업무
  • 3. 개인정보 보호책임자는 자신의 업무를 수행하기 위하여 필요한 경우에는 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
  • 4. 개인정보보호책임자는 개인정보 보호업무에 대한 실무를 수행하는 개인정보 보호담당자를 지정하여야 한다.
  • 5. 개인정보 보호책임자는 개인정보 보호와 관련하여 [개인정보 보호법](이하 “법”이라 한다.) 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 한다.

제7조 분야별 개인정보 보호관리자 지정 및 책임

  • 1. 개인정보파일 보유 부서장을 분야별 개인정보보호관리자로 지정한다.
  • 2. 분야별 개인정보보호관리자는 다음 각호의 업무를 수행한다.
    • 개인정보파일에 대한 안전성을 확보
    • 개인정보취급자에 대한 교육과 관리감독 책임을 갖는다.
    • 처리정보의 취급내역에 대한 접속기록 관리 및 주기적 점검
    • 소속 직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검 등
  • 3. 분야별 개인정보 보호관리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.
  • 4. 분야별 개인정보 보호관리자는 개인정보취급자로 하여금 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.

제8조 개인정보취급자의 지정 및 의무와 책임

  • 1. 분야별 개인정보 보호관리자는 개인정보를 수집·열람·수정·삭제 등을 직접 처리하는 자를 개인정보취급자로 지정하여야 한다.
  • 2. 개인정보취급자는 다음 각 호의 업무를 수행한다.
    • 개인정보보호 활동 참여
    • 여성가족부 개인정보 보호지침의 준수 및 이행
    • 개인정보의 기술적·관리적 보호조치 기준 이행

제9조 개인정보 보호 교육

  • 1. 개인정보 보호책임자는 내부 직원들을 대상으로 개인정보 보호정책 전달 및 인식제고를 위한 연간 교육계획을 수립·시행하여야 한다.
    • 교육대상 및 목적, 교육내용, 일정 및 방법, 수요조사 등 구체적 사항을 명시하여야 한다.
    • 개인정보 보호 업무관계자의 특성을 고려하여, 집합·사이버교육, 워크숍 등 다양한 방식의 개인정보 보호 전문교육을 선택·실시하여야 한다.
  • 2. 분야별 개인정보보호책임자는 개인정보 취급업무를 처음 시작하는 자에게 의무사항을 주지시키고, 수시 또는 정기적으로 보안교육을 실시하여야 한다.

제3장 개인정보파일

제10조 개인정보파일 등록

  • 1. 개인정보파일을 운용하는 경우에는 그 사실을 등록하여야 한다. 등록된 사항에 변경이 있는 경우에도 역시 그 내용을 등록하여야 한다.
  • 2. 개인정보파일을 운용하는 개인정보취급자는 <별지 제2호 서식>으로 개인정보 보호책임자에게 파일 등록을 신청하여야 하며, 개인정보보호 종합지원시스템(intra.privacy.go.kr)에 60일 이내 등록하여야 한다.
  • 3. 등록 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단하여 승인하며, 여성가족부장관에게 등록·변경사항의 검토 및 적정성 판단을 요청하여야 한다.

개인정보파일 등록 절차

여성가족부장관에게 <별지 제5호 서식>으로 공문 신청 → 개인정보보호 종합지원시스템 (intra.privacy.go.kr)에 등록 요청 입력 → 적정성 판단 후 승인

제11조 개인정보파일 등록사항

개인정보파일을 등록할 때에는 다음 각 호의 사항을 모두 등록하여야 하며 개인정보파일에 대하여 개인정보 영향평가를 실시한 경우에는 그 결과를 함께 첨부하여야 한다.

  • 개인정보파일의 명칭
  • 개인정보파일의 운영 근거 및 목적
  • 개인정보파일에 기록되는 개인정보의 항목
  • 개인정보의 처리방법
  • 개인정보의 보유기간
  • 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
  • 개인정보파일로 보유하고 있는 개인정보의 정보주체의 수
  • 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
  • 「개인정보 보호법 시행령」(이하 “영”이라 한다.) 제41조에 따른 개인정보의 열람 요구를 접수·처리하는 부서
  • 개인정보파일의 개인정보 중 법 제 35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보
  • 개인정보 영향평가를 실시한 경우 그 결과

제12조 개인정보파일 보유기간의 산정

  • 1. 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
  • 2. 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 4의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 시행령」에 따른 기록관리기준표를 상회할 수 없다.
  • 3. 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속적으로 보유할 수 있다.

제13조 개인정보파일 등록 제외

다음 각호에 해당하는 개인정보파일은 등록을 제외할 수 있다.

  • 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일
  • 내부적 업무처리만을 위하여 사용되는 개인정보파일
    • * 임직원 전화번호부, 비상연락망, 인사기록파일, 요금정산, 회의참석자 수당지급, 자문기구운영 등을 위한 개인정보파일 등
  • 다른 법령에 따라 비밀로 분류된 개인정보파일
  • 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
  • 자료·물품 또는 금전의 송부, 일회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일

제4장 개인정보 처리방침 공개

제14조 개인정보 처리방침 공개 대상

  • 1. 개인정보처리자가 법 제30조제2항에 따라 개인정보 처리방침을 변경하는 경우에는 [별지 제12호 서식]으로 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며 이 경우 “개인정보 처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
  • 2. 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리상의 하자가 있는 경우에도 개인정보 처리방침의 공개의무가 면제되는 것은 아니며, 다음 중 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다.
    • 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
    • 관보나 개인정보처리자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호 및 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
    • 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
    • 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

제15조 개인정보 처리방침 공개 내용

개인정보처리자가 개인정보 처리방침을 공개하는 경우 다음 내용을 반드시 포함하여야 한다.

  • 개인정보의 처리목적
  • 개인정보의 처리와 보유기간
  • 홈페이지에서 운영하는 보안조치
  • 링크, 배너
  • 개인정보의 제3자 제공
  • 정보주체의 권리, 의무 및 그 행사방법
  • 개인정보의 파기
  • 개인정보의 안전성 확보 조치
  • 개인정보의 위탁
  • 권익침해 구제 방법
  • 개인정보보호 책임자
  • 개인정보 열람청구

제16조 개인정보 처리방침의 변경

개인정보처리자가 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.

제5장 개인정보 처리단계별 일반 준수사항

제17조 개인정보 수집 및 보유

  • 1. 개인정보의 “수집”이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.
  • 2. 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
    • 정보주체의 동의를 받은 경우
    • 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
    • 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
    • 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
    • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 등의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
    • 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
  • 개인정보처리자가 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 “명함 등”이라 함)를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
  • 개인정보처리자가 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지 등"이라 함)에서 개인정보를 수집하는 경우, 해당 개인정보는 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
  • 개인정보처리자는 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인으로부터 또는 의사표시를 하는 경우 대리인의 개인정보를 수집·이용할 수 있다.
  • 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」 제2조제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.

제17조의2 정보주체의 동의를 받는 경우 개인정보 수집

  • 1. 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우에는 아래사항을 고지하고 개인정보 수집에 대한 동의를 받아야 한다.
    • 개인정보의 수집·이용 목적
    • 수집하려는 개인정보의 항목
    • 개인정보의 보유 및 이용기간
    • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등을 알리고 동의를 받아야 한다.
  • 2. ‘동의’는 개인정보를 수집·이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시로서 동의여부를 명확하게 확인할 수 있어야 한다.
    • 인터넷 웹사이트 화면에서 ‘동의’, ‘동의안함’ 버튼을 클릭하는 등으로 동의의 의사표시를 할 수 있다.
    • 가입신청서 등의 서면에 의한 경우 정보주체는 직접 자신의 성명을 기재하고 인장을 찍는 방법 또는 자필 서명한다.
    • 개인정보처리자는 전화상으로 개인정보 수집에 대한 정보주체의 동의를 받을 수 있다. 다만, 향후 입증책임 문제가 발생할 수 있으므로 정보주체의 동의하에 통화내용을 녹취할 수 있다.

개인정보 수집매체 등을 고려한 세부적인 동의 방법

  • 1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
  • 2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
  • 3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
  • 4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
  • 5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
  • 6. 전자문서를 통해 동의내용을 정보주체에게 알리고 정보주체가 전자서명을 받는 방법
  • 7. 개인명의의 휴대전화 문자메시지를 이용한 동의
  • 8. 신용카드 비밀번호를 입력하는 방법
  • 3. 개인정보처리자가 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 받아야 하며 정보주체가 동의를 구분해서 할 수 있다는 사실을 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 구분하여 동의를 받아야하는 사항은 다음과 같다.
    • 개인정보 수집·이용 동의
    • 제3자 제공동의
    • 목적 외 이용·제공의 동의
    • 법정대리인의 동의
    • 민감정보 처리 동의
    • 고유식별정보 처리 동의 등

제17조의3 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 개인정보 수집

  • 1. 법률에 특별한 규정이 있는 경우는 법률에서 개인정보의 수집·이용을 구체적으로 요구하거나 허용하고 있어야 하며, 수집·이용할 수 있는 개인정보의 대상·범위가 막연한 경우는 특별한 규정이라고 할 수 없다.

<‘법률의 특별한 규정’의 예시>

법률의 특별한 규정의 예시 - 법률명, 조문내용
법률명 조문내용
정보통신망 이용촉진 및 정보보호
등에 관한 법률		 제31조(법정대리인의 권리)
①정보통신서비스 제공자등이 만14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
  • 법령상 의무를 준수하기 위하여 불가피한 경우는 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로서 해당 개인정보처리자가 그 의무 이행을 위해서 개인정보를 불가피하게 수집·이용할 수 밖에 없는 경우를 말한다.
불가피하게 수집?이용할 수 밖에 없는 경우 - 구분, 내용
법률명 조문내용
법령에 따라 연령 확인이 필요한 경우
  • 「청소년보호법」 제16조 : 청소년유해매체물 판매·대여·배포 등을 하고자 하는 경우 그 상대방의 나이 및 본인 여부를 확인하여야 함
  • 「청소년보호법」 제26조 : 인터넷게임 제공자는 16세 미만 청소년에게 오전0시부터 오전6시까지 인터넷게임을 제공해서는 안됨
  • 「청소년보호법」 제29조 : 청소년유해업소 업주는 종업원을 고용하고자 하는 때 그 연령을 확인해야 하며, 출입자의 연령을 확인하여 청소년이 당해 업소에 출입·이용하지 못하게 해야 함
법령에 따라 본인 확인이 필요한 경우
  • 「정보통신망법」 제44조의5 : 게시판이용자의 본인확인
  • 공공기관이 접수된 민원을 처리하기 위햐여 신고자를 확인하는 경우

제17조의4 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우 개인정보 수집

  • 1. 개인정보를 수집할 수 있도록 명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관업무를 정하고 있고 그 소관 업무의 수행을 위하여 불가피하게 개인정보를 수집할 수밖에 없는 경우에는 정보주체의 동의 없이 개인정보 수집이 허용된다.
  • 2. ‘법령 등에서 정하는 소관 업무’란 「정부조직법」 및 기관별 직제령·직제규칙, 개별 조직법 등에서 정하고 있는 소관 사무와 소관법령에 의해서 부여된 권한과 의무 등을 의미한다.
  • 3. ‘불가피한 경우’란 개인정보를 수집하지 아니하고는 법령 등에서 해당 공공기관에 부여하고 있는 권한의 행사나 의무의 이행이 불가능하거나 다른 방법을 사용하여 소관 업무를 수행하는 것이 현저히 곤란한 경우를 의미한다.

제18조 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우 개인정보 수집

  • 1. 개인정보처리자는 정보주체에게 동의받은 개인정보 이용·제공의 목적 범위를 초과하거나 법 또는 다른 법령에 의하여 이용·제공이 허용된 범위를 벗어나서 개인정보를 이용하거나 제공해서는 아니 된다.

    “제공”의 의미

    • 저장매체 또는 출력물 등의 물리적 이전
    • 네트워크를 통한 개인정보의 전송, 제3자의 접근권한 부여
    • 제3자와 개인정보 공유 등 개인정보의 이전과 공동으로 이용 가능한 상태를 초래하는 모든 행위

    목적외 이용과 제3자 제공의 차이

    • 개인정보의 제3자 제공이란 개인정보처리자 외의 제3자에게 개인정보의 지배·관리권이 이전되는 것을 말한다.
      반면 목적외 이용이란 같은 개인정보처리자(기관·단체·법인 등)내에서 당초의 수집목적을 벗어나서 개인정보를 이용하는 것을 말한다.

    처리업무 위탁과 제공의 차이

    • 업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람(제3자)에게 이전되거나 공동으로 이용하게 된다는 측면에서는 동일하다. 그러나 ‘업무위탁’의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보가 제3자(수탁자)에게 이전되지만, ‘제3자 제공’은 그 제3자의 업무를 처리할 목적 및 그 제3자의 이익을 위해서 개인정보가 이전된다는 점이 다르다. 또한 업무위탁의 경우에는 개인정보처리자의 관리·감독을 받지만, 제3자 제공은 개인정보가 제공된 이후에는 제3자가 자신의 책임하에 개인정보를 처리하게 되며, 개인정보처리자의 관리·감독권이 미치지 못한다.
  • 2. 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
    • 정보주체의 별도의 동의를 받은 경우
    • 다른 법률에 특별한 규정이 있는 경우
    • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
    • 통계작성 및 학술연구 등의 목적
    • 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
    • 공공기관의 조약, 그 밖의 국제협정의 이행
    • 공공기관의 범죄 수사와 공소의 제기 및 유지
    • 법원의 재판업무 수행
    • 형 및 감호, 보호처분의 집행
  • 3. 정보주체의 동의를 받을 때에는 다른 동의와 분리해서 별도의 동의를 받아야 한다.

    목적 외 이용시 고지사항

    • ① 개인정보의 이용 목적
    • ② 이용하는 개인정보의 항목
    • ③ 개인정보의 보유 및 이용기간
    • ④ 동의거부권이 있다는 사실 및 동의거부에 따른 불이익에 관한 사항

    제3자에게 제공 시 고지사항

    • ① 개인정보를 제공받는 자
      ※ 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.
    • ② 개인정보를 제공받는 자의 개인정보 이용 목적
    • ③ 제공하는 개인정보의 항목
    • ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
    • ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익에 관한 사항

제19조 개인정보의 목적 외 이용 및 제3자 제공 공개

목적 외로 이용하거나 제3자에게 제공하는 경우에는 1개월 이내에 목적 외 이용·제공의 법적 근거, 이용 또는 제공일자·목적·항목에 관하여 관보 또는 인터넷 홈페이지에 게재하여 공고하여야 한다. 다만, 정보주체의 동의를 받거나 범죄수사와 공소제기 및 유지를 위해 개인정보를 목적 외로 이용하거나 제공하는 경우에는 그러하지 아니하다.

제20조 개인정보의 목적 외 이용 및 제3자 제공 시 보호조치

  • 1. 개인정보처리자가 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 제공과 동시에 또는 필요한 경우 제공한 이후에 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서를 포함한다. 이하 같다)로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다.
  • 2. 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공하는 자와 개인정보를 제공받는 자는 개인정보의 안전성에 관한 책임관계를 명확히 하여야 한다.
  • 3. 민감정보 및 고유식별정보를 제3자에게 제공하는 경우에는 법령의 명시적인 근거가 필요하다.
  • 4. 개인정보처리자가 법 제18조제3항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.
  • 5. 개인정보처리자가 법 제18조제2항제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다.
  • 6. 개인정보의 목적외 이용 및 제3자 제공에 관한 세부사항은 “개인정보 목적 외 이용 및 제3자 제공 절차”를 따른다.

제21조 민감정보의 처리제한

  • 1. 민감정보란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전 정보, [형의 실효 등에 관한 법률]제2조제5호에 따른 범죄경력자료에 해당하는 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 말한다.
  • 2. 개인정보처리자는 민감정보를 처리하여서는 아니 된다. 다만, 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에는 예외로 한다.
  • 3. 개인정보처리자가 법 제23조제1호에 따라 민감정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에는 다른 개인정보와 민감정보를 구분하여 민감정보에 대하여는 정보주체가 별도로 동의할 수 있도록 조치를 취하여야 한다.
  • 4. 정보주체에게 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
    • 민감정보의 수집·이용 목적
    • 수집하려는 민감정보의 항목
    • 민감정보의 보유 및 이용 기간
    • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

법령에서 민감정보의 처리를 정한 경우

아동·청소년 성보호에 관한 법률 시행령 제39조(민감정보 및 고유식별정보의 처리)

  • ① 다음 각 호의 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법 시행령」제18조제2호에 따른 범죄경력자료에 해당하는 정보, 같은 영 제19조제1호, 제2호 또는 제4호에 따른 주민등록번호, 여권번호 또는 외국인등록번호가 포함된 자료를 처리할 수 있다.
    • 1. 성범죄 경력자 점검·확인에 관한 사무
    • 2. 점검·확인결과 공개에 관한 사무

제22조 고유식별정보의 처리 제한

  • 1. 고유식별정보란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 말한다.
  • 2. 개인정보처리자는 고유식별정보를 처리할 수 없다. 다만, 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받거나 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우에는 예외로 하며, 주민등록번호는 법령에서 구체적으로 처리를 요구하는 경우로 한정한다.
  • 3. 정보주체에게 별도로 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알리고 개인정보수집 동의와 별도로 동의를 받아야 한다.
    • 고유식별정보의 수집·이용 목적
    • 수집하려는 고유식별정보의 항목
    • 고유식별정보의 보유 및 이용 기간
    • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
  • 4. 개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령이 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
  • 5. 주민등록번호 처리를 법령에서 허용한 경우에도 홈페이지 회원 가입시에는 주민등록번호를 사용하지 아니하고 회원으로 가입할 수 있는 방법을 제공하여야 한다.

제23조 개인정보 처리업무 위탁

  • 1. 개인정보처리자가 제3자에게 개인정보의 처리업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
    • 위탁업무 수행 목적 외 개인정보의 처리금지에 관한 사항
    • 개인정보의 기술적·관리적 보호조치에 관한 사항
    • 위탁업무의 목적 및 범위
    • 재위탁 제한에 관한 사항
    • 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
    • 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
    • 수탁자가 준수하여야할 의무를 위반한 경우의 손해배상 등에 관한 사항
  • 2. 개인정보처리자는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 홈페이지에 지속적으로 공개하여야 한다.
    다만, 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 공개하여야 한다.
    • 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
    • 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷 신문에 싣는 방법
    • 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
    • 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

제24조 개인정보 처리 위탁자의 책무와 의무

  • 1. 개인정보의 처리 업무를 위탁하는 개인정보처리자는 개인정보 처리 업무를 위탁받아 처리하는 자를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다.
  • 2. 개인정보처리자가 개인정보의 처리 업무를 위탁하는 때에는 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 마련하여야 한다.
  • 3. 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
  • 4. 위탁자는 수탁자가 이 법 또는 영에 따라 개인정보처리자가 준수하여야 할 사항 및 위·수탁 계약의 내용에 따라 준수하여야 할 사항의 준수 여부를 확인·점검하여야 한다.
  • 5. 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속직원으로 본다.

제25조 개인정보 처리 수탁자의 책무와 의무

  • 1. 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
  • 2. 개인정보 처리 업무를 위탁받아 처리하는 수탁자는 개인정보를 보호하기 위하여 “개인정보의 안전성 확보조치 기준 고시”가 정하고 있는 기술적·물리적·관리적 조치를 하여야 한다.

제26조 개인정보파기

  • 1. 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 된 경우, 지체 없이(5일 이내) 그 개인정보를 파기하여야 한다. 다만, 다른 법률에 따라 보존하여야 하는 경우는 예외로 한다.
    • 당초 고지하고 동의를 받았던 보유기간의 경과
    • 동의를 받거나 법령 등에서 인정된 수집·이용·제공 목적의 달성
    • 회원탈퇴, 제명, 계약관계의 종료, 동의 철회 등에 따른 개인정보처리의 법적 근거 소멸
  • 2. 개인정보를 파기 시 전자적 파일 형태인 경우에는 복원이 불가능한 방법으로 영구 삭제하고 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우에는 파쇄 또는 소각해야 한다.
  • 3. 개인정보처리자는 ‘다른 법령에 따라 보존해야 하는 경우’에는 예외적으로 개인정보를 파기하지 않아도 된다. 개인정보처리자가 개인정보를 파기하지 않고 보존하려고 하는 경우에는 그 법적 근거를 명확히 해야 한다.
  • 4. 개인정보처리자는 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.

제27조 개인정보 영향평가

  • 1. ‘개인정보 영향평가’란 개인정보 수집·활용이 수반되는 사업 추진시 개인정보 오남용으로 인한 프라이버시 침해 위험이 잠재되어 있지 않는지를 조사·예측·검토하고 개선하는 제도를 말한다.
  • 2. 개인정보 영향평가 대상은 다음과 같다.
    • 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 : 구축·운용 또는 변경하려는 개인정보파일에 5만명 이상의 정보주체에 관한 개인정보가 포함된 경우
    • 다른 개인정보파일과 연계하려는 경우 : 해당 공공기관 내부 또는 외부에서 구축·운영하고 있는 다른 개인정보파일과 연계한 결과 50만명 이상의 정보주체에 관한 개인정보가 포함된 경우
    • 일반적인 개인정보 파일 : 구축·운용 또는 변경하려는 개인정보파일에 100만명 이상의 정보주체에 관한 개인정보가 포함된 경우
    • 영향평가를 받은 후 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우 : 해당 개인정보파일 중 변경된 부분
  • 3. 개인정보 영향평가를 실시하고자 하는 경우에는 행정자치부장관이 지정하는 평가기관 중에서 의뢰하여야 한다. 평가기관이란 영향평가 수행에 필요한 업무수행실적, 전문인력, 안전한 사무실·설비 등의 지정요건을 갖춘 법인으로 지정절차를 거쳐 행정자치부장관이 평가기관으로 지정한 기관을 말한다.
  • 4. 개인정보 영향평가를 실시한 때에는 그 결과를 행정자치부장관에게 제출하여야 한다. 이 경우 행정자치부장관은 제출 받은 영향평가 결과에 대하여 의견이 있을 때에는 보회위원회의 심의·의결을 거쳐 해당 공공기관에 의견을 제시할 수 있다. 또한 공공기관의 장은 행정자치부장관에게 개인정보파일을 등록할 때에는 개인정보 영향평가 결과도 함께 첨부하여야 한다.

제6장 개인정보 처리 단계별 기술적 보호조치

제30조 개인정보 수집 단계 시 보호조치

  • 1. 웹 사이트에서 개인정보를 수집하는 경우, 주민등록번호 대체기술(공공 I-PIN 등)이나 암호화 및 전자서명 기술(GPKI, NPKI 등) 등을 활용하여 개인정보가 노출되지 않도록 필요한 보호조치를 취하여야 한다.
  • 2. 키보드를 통한 개인정보 노출을 방지하고, 웹 사이트에서 회원가입이나 본인확인 등을 위하여 주민등록번호나 계좌번호 등 민감한 개인정보를 입력하는 경우, 이를 별표(*) 등의 임의문자로 치환하여 개인정보 노출을 차단하여야 한다.
  • 3. 사용자 PC와 웹서버간 SSL 인증서 또는 응용프로그램을 통하여 암호화하여야 한다.

제31조 개인정보 저장 및 보유 단계

  • 1. 개인정보파일을 보관하는 전산실 또는 자료실에는 CCTV나 감시카메라 등의 감시 장비 또는 전자출입증 등의 출입통제장치를 설치하고, 출입내역을 기록·관리하여야 한다.
  • 2. 외부공격으로부터 내부 네트워크를 보호하기 위한 보안시스템을 설치 운영하여야 한다.
  • 3. 허용되지 않은 불법 인터넷사이트나, P2P, 메신저, 웹하드, FTP 파일 송수신, Telnet, 공유폴더 등 내부정보유출 매체가 되는 인터넷서비스의 이용을 통제하여야 한다.
  • 4. 고유식별정보, 비밀번호, 바이오정보의 경우 데이터 암호화 등의 대책을 수립하여 해킹 등에 의한 개인정보 유출을 최대한 방지하여야 한다.
  • 5. 개인정보 DB 전체 또는 DB 테이블 내의 중요 개인정보에 대한 사용자 및 그룹별 접근권한을 최소화하고, 그에 따른 접근을 통제하여야 한다.
  • 6. DB 접근내역에 대한 로그(해당 개인정보파일의 명칭, 접근 데이터 항목, 접근일시, 접근주체 및 해당 IP 등)를 저장 관리하여야 한다.
  • 7. CD/USB 둥 휴대용 저장매체는 국가정보원의 ‘USB 메모리 등 휴대용 저장매체 보안관리지침’에 의거 관리하여야 하며, 주기적으로 수량 및 보관상태를 점검하고 반출·입을 통제하여야 한다.
  • 8. CD/USB 등 휴대용 저장매체에 개인정보를 장기간 저장하거나 타 기관에 제공하기 위해 저장하는 경우, 비밀번호 설정 또는 암호화 등의 보안조치를 수행해야 한다.
  • 9. 특히, 개인정보가 저장된 CD/USB 등의 휴대용 저장매체를 보관·관리하는 경우, 잠금장치가 있는 캐비넷 등의 장소에 안전하게 보관하여야 한다.

제32조 개인정보 이용 및 제공 단계

  • 1. 아이디/패스워드를 이용하여 인증을 수행하는 기관은 비밀번호 유효기한 설정, 동일 또는 유사 비밀번호의 재이용 제한, 최저 비밀번호 문자수의 설정 등을 통해 안전성을 확보하여야 하며, 패스워드 저장시에는 암호화하여 저장하여야 한다.
  • 2. 일정 횟수 이상의 입력오류가 발생할 경우, 경고 메시지와 함께 더 이상의 인증시도를 막을 수 있도록 보호조치를 취하여야 한다.
  • 3. 대량의 개인정보 또는 민감한 개인정보를 취급하는 자에 대해서는 공인인증서(GPKI, NPKI 등) 등의 안전한 방식으로 인증토록 해야 한다.
  • 4. 컴퓨터 바이러스, 스파이웨어 등 악성프로그램 침투 여부를 항시 점검, 치료할 수 있는 백신 프로그램을 설치하고, 자동 패치 및 업데이트를 실시하여야 한다.
  • 5. 웹 어플리케이션 개발시 OWASP Top 10 보안취약점(www.owasp.org), 국가정보원 8대 취약점(www.ncsc.go.kr)에서 언급된 주요 항목에 대해 개발단계에서 보안사항을 고려하여 개발하여야 하며, 지속적인 취약점 점검과 업데이트를 수행하여야 한다.
  • 6. 개인정보처리시스템의 사용자별 또는 그룹별 권한관리를 통해 과도한 권한설정을 통한 권한 오남용을 방지하고, 권한부여 내역을 주기적으로 점검하여야 한다.
  • 7. C/S 프로그램을 이용한 업무처리 시, 화면캡처 방지프로그램을 이용하여 업무화면 복제를 방지하는 기능을 제공하고, 캡처한 이미지를 저장, 출력, 복사 하는 등의 메뉴를 권한에 따라 제어하여야 한다.
  • 8. 웹브라우저를 이용한 업무처리시, 웹브라우저 화면상에서 소스보기 기능, 화면 캡쳐 또는 키보드나 마우스를 이용한 Drag, Drop, Copy 및 Paste 기능 등을 통제하여야 한다.
  • 9. 각 기관은 해당 웹 사이트에 개인정보가 노출되지 않도록 점검 관리하여야 하며, 구글 등 검색엔진에 개인정보가 노출되지 않도록 기술적 조치를 취하여야 한다.
  • 10. 각 기관은 업무 PC 내에 보유목적이 끝난 개인정보가 잔존하고 있는지 여부를 주기적으로 점검하고 불필요한 개인정보는 즉시 삭제하거나 필요한 경우 암호화하여 저장하여야 한다.
  • 11. 각 기관은 개인정보 처리내역에 대해 식별 인증정보(일시, IP 주소, ID), 서비스 이용정보(생성, 수정, 삭제, 검색, 출력 등)에 대한 접속기록를 6개월 이상 보관·관리 해야한다.
  • 12. 각 기관은 개인정보 처리내역을 모니터링하고 반기별 1회 점검하여 직원들이 동료 직원 및 유명인사 등에 대한 조회, 혹은 권한을 벗어난 조회 및 비합리적으로 많은 개인정보를 조회하는 경우 열람 금지 및 경고 조치하여야 한다.
  • 13. 고유식별정보, 민감정보, 대량의 개인정보를 포함하고 있는 파일의 경우, 사용자별 파일에 대한 접근권한을 차등부여하여 비인가자의 접근을 방지하고 허용된 범위 내에서 처리될 수 있도록 통제하여야 하여야 한다.
  • 14. 출력물의 경우 고유식별정보, 민감정보, 대량의 개인정보를 포함하는 파일에 대해 인쇄를 금지하거나 부득이하게 인쇄를 할 경우 출력자 성명, 일시 등을 기재하여 문서 유출 등을 방지하여야 한다.

제7장 정보주체의 권리 보장

제33조 정보주체의 개인정보 열람 요구권

  • 1. 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람(사본 교부 포함)을 해당 개인정보처리자에게 요구할 수 있다.
  • 2. 열람대상은 정보주체가 직접 제공한 개인정보 이외에 제3자 또는 공개된 소스로 부터 수집한 개인정보, 개인정보처리자가 생산한 개인정보, 서비스제공 등의 과정에서 자동적으로 생성된 개인정보(수발신내역, 입출기록, 쿠키, 로그 기록 등) 등도 열람요구의 대상이 된다.

제34조 정보주체의 개인정보 열람 요구의 방법 및 절차

  • 1. 정보주체는 자신의 개인정보에 대한 열람을 요구하려는 경우에는 [개인정보 보호 시행규칙]에 정하는 바에 따라 다음 각 호의 사항 중 열람하려는 사항을 표시한 <별지 제3호 서식> 개인정보 열람요구서를 개인정보처리자에게 제출하여야 한다.
    • 개인정보의 항목 및 내용
    • 개인정보의 수집·이용의 목적
    • 개인정보 보유 및 이용 기간
    • 개인정보의 제3자 제공 현황
    • 개인정보 처리에 동의한 사실 및 내용

※ 공공기관에 대한 특례

정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 행정안전부장관을 통하여 열람을 요구할 수 있다. 정보주체가 행정자치부장관을 통하여 자신의 개인정보에 대한 열람을 요구하려는 경우에는 <개인정보 열람요구서>를 행정자치부장관에게 제출하여야 한다. 이 경우 행정자치부장관은 지체 없이 그 <개인정보 열람요구서>를 해당 공공기관에 이송하여야 한다.

  • 2. 개인정보처리자는 개인정보 열람요구서를 받은 날부터 10일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하는 경우와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우에는 열람할 개인정보와 열람이 가능한 날짜·시간 및 장소 등(제42조제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함한다)을 [개인정보 보호 시행규칙]으로 정하는 <별지 제4호 서식> 열람통지서로 해당 정보주체에게 알려야 한다.
  • 3. 개인정보처리자는 법 제41조제1항에 따른 열람 요구 사항 중 일부가 법 제35조제4항 각 호의 어느 하나에 해당하는 경우에는 그 일부에 대하여 열람을 제한할 수 있으며, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 하여야 한다.
  • 4. 개인정보처리자가 법 제35조제3항 후단에 따라 정보주체의 열람을 연기하거나 같은 조 제4항에 따라 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기 또는 거절의 사유 및 이의제기방법을 [개인정보 보호 시행규칙]으로 정하는 열람의 연기·거절 통지서로 해당 정보주체에게 알려야 한다.
  • 5. 개인정보처리자가 법 제35조제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다.
  • 6. 정보주체로부터 시행령 제41조제1항제4호의 규정에 따른 개인정보의 제3자 제공현황의 열람청구를 받은 개인정보처리자는, 국가안보에 긴요한 사안으로 법 제35조제4항제3호 마목의 규정에 따른 업무를 수행하는데 중대한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.

제35조 개인정보의 정정·삭제

  • 1. 정보주체가 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있으며 그 경우에 <별지 제3호 서식> 개인정보 정정·삭제 요구서를 해당 개인정보처리자에게 제출하여야 한다.
  • 2. 개인정보처리자가 법 제36조 제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
  • 3. 개인정보처리자가 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
  • 4. 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없다. 이 경우 개인정보처리자는 개인정보 정정·삭제 요구서를 받은 날부터 10일 이내에 삭제의 요구에 따르지 않기로 한 사실, 근거 법령의 내용 및 그 이유와 이의제기 방법을 <별지 제5호 서식> 개인정보 정정·삭제 결과통지서로 해당 정보주체에게 알려야 한다.

제36조 정보주체의 처리정지 요구권

  • 1. 정보주체는 개인정보처리자에 대하여 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 <별지 제3호 서식> 개인정보 처리정지 요구서에 의거 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.

처리정지요구 제외 개인정보파일(법 제32조2항)

  • 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
  • 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
  • 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위조사에 관한 사항을 기록한 개인정보파일
  • 공공기관의 내부적 업무처리만을 위하여 사용 되는 개인정보파일
  • 다른 법령에 따라 비밀로 분류된 개인정보파일
  • 2. 개인정보 처리정지 요구서를 받은 개인정보처리자는 10일이내에 처리정지를 하고 그 조치한 사실을 개인정보처리정지 요구에 대한 <별지 제5호 서식>결과 통지서로 해당 정보주체에게 알려야 한다.
  • 3. 개인정보처리자는 처리가 정지된 개인정보에 대하여 지체없이 해당 개인정보의 파기 등 조치를 취하여야 한다.
  • 4. 개인정보처리자가 정보주체로부터 개인정보 처리정지 요구를 받았을 때 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지요구를 거절할 수 있다. 이 경우 개인정보처리자는 정보주체로부터 개인정보 처리정지 요구서를 받은 날부터 10일 이내에 처리정지 요구를 거절하기로 한 사실 및 그 이유와 이의제기 방법을 적은 <별지 제5호 서식>개인정보 처리정지 요구에 대한 결과 통지서를 해당 정보 주체에게 알려야 한다.
    • 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
    • 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
    • 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
    • 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

제37조 권리행사의 방법 및 절차

  • 1. 정보주체는 개인정보 열람요구권, 정정·삭제요구권, 처리정지요구권 등의 권리행사를 대리인을 통하여 할 수 있다. 대리인의 범위에는 정보주체의 법정대리인 이외에 정보주체로부터 위임을 받은 수임인도 포함된다.
  • 2. 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동에 관한 개인정보의 열람, 정정·삭제, 처리정지 등을 요구할 수 있다. 만14세 미만 아동에 관한 개인정보의 열람등은 법정대리인이 직접 해야 하며 아동이 법정대리인의 동의를 받아서 하는 것은 허용되지 않는다.
  • 3. 대리인의 경우에는 대리인 자신에 관한 신원확인뿐만 아니라 정보주체와 대리인 사이의 대리관계를 증명할 수 있는 위임장 및 인감 또는 법정대리인의 경우에는 법정대리인임을 확인할 수 있는 서면(주민등록등본, 가족관계증명서 등)을 추가로 확인하여야 한다.
  • 4. 개인정보처리자는 정보주체가 열람등을 요구할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야한다.

개인정보 처리방침 변경

  • 이 개인정보처리방침은 2016년 11월 11일부터 적용됩니다.
  • 이전의 개인정보처리방침은 아래에서 확인하실 수 있습니다.

- 2016.11.11 개인정보파일 보유기간 변경사항 반영 (클릭)
- 2016.06.30 별지 제 12호 서식으로 변경 (클릭)
- 2015.10.14 개인정보처리 항목 추가 (클릭)
- 2015.06.04 개인정보 보호 서약서 및 위탁계약서 변경 (클릭)