9.개인정보관리책임자 지정
| ■■■ 개인정보보호법 ■■■ 제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. ② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리·감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 ③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. ④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. ⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다. ⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다. 제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다.)에 대하여 적절한 관리·감독을 행하여야 한다. ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다. |
| ■■■ 정보통신망법 ■■■ 제27조(개인정보 관리책임자의 지정) ①정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 관리책임자를 지정하여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자 등의 경우에는 지정하지 아니할 수 있다. ②제1항 단서에 따른 정보통신서비스 제공자등이 개인정보 관리책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 관리책임자가 된다. ③개인정보 관리책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다. |
| 벌칙 규정 | 벌칙 |
| 개인정보관리책임자 미지정 | 1천만원 이하의 과태료 |
○ (자격요건) 사업자가 지정하는 개인정보 관리책임자는 다음의 각호의 어느 하나에 해당하는 지위에 있는 사람이어야 하며, 이용자의 개인정보 이용 또는 보호와 업무연관성이 있는 자이어야 한다.
① 회사의 임원: 예) 마케팅부서, CRM부서, 정보보호부서 등의 임원
② 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장 : 예) 고객서비스 센터장, 고객보호팀장 등
■■■ 개인정보관리책임자의 구체적인 담당업무 예시 ■■■ ▶ 개인정보의 안전한 취급을 위한 내부 관리계획의 수립·이행 ▶ 고객 개인정보의 수집·이용·제공 및 관리에 관한 업무의 총괄 ▶ 소속 직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검 ▶ 고객으로부터 제기되는 개인정보에 관한 불만이나 의견의 처리 및 감독 ▶ 소속직원, 수탁자 등에 대한 개인정보보호 교육 실시 ▶ 개인정보의 출력·복사물에 대한 사전 승인 ▶ 기타 고객의 개인정보보호에 필요한 사항 등 |
○ (지정 예외) 상시 종업원 수가 5명 미만인 사업자는 개인정보 관리책임자를 지정하지 아니할 수 있다. 다만 개인정보관리책임자를 지정하지 않는 경우 그 사업주 또는 대표자가 개인정보관리책임자가 된다.
○ (개인정보관리책임자 공개) 개인정보관리책임자의 성명과 그 전화번호 등 연락처는 개인정보취급방침에 공개하여야 한다. 만약 개인정보관리책임자가 인사이동 등의 사유로 변경되는 경우 지체없이 변경하여 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.
10.개인정보취급방침 공개
| ■■■ 개인정보보호법 ■■■ 제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다.)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다.) 5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항 6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. |
| ■■■ 정보통신망법 ■■■ 제27조의2(개인정보취급방침의 공개) ① 정보통신서비스제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보취급방침을 정하여 이를 이용자가 언제든지 쉽게 확인할 수 있도록 정보통신부령이 정하는 방법에 따라 공개하여야 한다. ② 제1항에 따른 개인정보취급방침에는 다음 각 호의 사항이 모두 포함되어야 한다. 1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법 2. 개인정보를 제3자에 제공하는 경우 제공받는 자의 성명(법인의 경우에는 법인의 명칭), 제공받는 자의 이용 목적 및 제공하는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 방법(제29조 단서의 규정에 따라 개인정보를 보존하려는 경우에는 그 보존근거 및 보존하는 개인정보 항목을 포함한다.) 4. 개인정보취급위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에 한한다.) 5. 이용자 및 법정대리인의 권리와 그 행사방법 6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 7. 개인정보관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처 ③정보통신서비스제공자등은 제1항에 따른 개인정보취급방침을 변경하는 경우에는 그 이유 및 변경 내용을 정보통신부령이 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다. |
| 벌칙 규정 | 벌칙 |
| 개인정보취급방침을 공개하지 아니한 경우 | 1천만원 이하의 과태료 |
○ (공개내용) 이용자가 알아야 할 개인정보보호에 관한 사항 중에서 반드시 포함하여야 할 사항은 다음과 같다.
① 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법
② 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인의 경우에는 법인의 명칭), 제공받는 자의 이용목적 및 제공하는 개인정보의 항목
③ 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 방법(다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거 및 보존하는 개인정보 항목을 명시)
④ 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(개인정보 취급위탁을 하는 경우에 한함.)
⑤ 이용자 및 법정대리인의 권리와 그 행사 방법
⑥ 인터넷 접속 정보파일 등 개인정보를 자동으로 수집하는 장치(쿠키 등)의 설치·운영 및 그 거부에 관한 사항
⑦ 개인정보관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
○ (공개방법) 반드시 ‘개인정보취급방침’ 이라는 명칭으로 표시하여야 하며, 이 경우 글자 크기, 색상 등을 활용하여 개인정보취급방침을 쉽게 확인할 수 있도록 표시하여야 한다. 또한 개인정보의 수집 장소와 매체 등을 고려하여 다음 어느 하나 이상의 방법으로 공개하여야 한다.
① 인터넷 홈페이지의 첫 화면 또는 첫 화면과의 연결화면을 통하여 재화 또는 용역을 제공받는 자가 볼 수 있게 하는 방법
② 점포·사무소 안의 보기 쉬운 장소에 써서 붙이거나 갖춰 놓고 열람하게 하는 방법
③ 같은 제목으로 연 2회 이상 계속적으로 발행하여 이용자에게 배포하는 간행물·소식지·홍보지·청구서 등에 지속적으로 게재하는 방법
④ 재화 또는 용역을 제공하기 위한 이용계약서에 게재하여 배포하는 방법
■■■ 개인정보취급방침 표시 예시(홈페이지 하단) ■■■
○ (변경시 공지방법) 개인정보취급방침의 변경이유 및 내용은 다음 어느 하나 이상의 방법으로 공지한다.
① 정보통신서비스 제공자 외의 자가 운영하는 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법
② 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 재화 또는 용역을 제공받는 자에게 공지하는 방법
③ 점포·사무소 안의 보기 쉬운 장소에 써서 붙이거나 갖춰 놓는 방법
④ 재화 또는 용역을 제공하기 위한 이용계약서에 게재하여 배포하는 방법
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보 생명주기 관리 - 개인정보 파기 (0) | 2022.06.12 |
|---|---|
| 개인정보 생명주기 관리 - 개인정보 기술적·관리적 보호조치 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 영업의 양수·양도시 개인정보 이전 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 개인정보 수집·이용·제공 등의 동의획득 방법 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 개인정보 취급업무 위탁시 보호조치 (0) | 2022.06.12 |