|
김제사회복지관 개인정보보호를 위한 관리 지침
제정 2007. 7. 1.
개정 2014. 3. 24.
개정 2014. 11. 19
제 1조(목적)
이 지침은 김제사회복지관의 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. <개정 2014.3.24.>
제 2조(정의)
이 지침에서 사용하는 용어의 정의는 다음과 같다. <개정 2014.3.24.>
① "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
② "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
③ "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
④ "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
⑤ "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
⑥ "공공기관"이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
⑦ "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
제 3조(개인정보 보호의 원칙)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
제5조(개인정보화일의 보유범위)
복지관은 소관업무를 수행하기 위하여 필요한 범위 안에서 개인정보화일을 보유할 수 있다.
제6조(개인정보의 안정성확보 등)
① 복지관은 개인정보를 처리함에 있어서 개인정보가 분실․도난․누출․변조 또는 훼손되지 아니 하도록 안전성확보에 필요한 조치를 강구하여야 한다.
② 복지관의 처리정보의 정확성 및 최신성을 확보하도록 노력하여야 한다.
제 7조(처리정보의 이용 및 제공의 제한)
① 복지관은 업무에 의하여 보유기관의 내부에서 이용하는 것을 제외하고는 당해 개인정보화일의 보유목적외의 목적으로 처리정보를 이용하거나 다른기관에 제공하여서는 아니되며, 업무에 따라 접근권한을 달리 한다.
② 제1항의 규정에 불구하고 다음 각호의 1에 해당하는 경우에는 당해 개인정보화일의 보유목적외의 목적으로 처리정보를 이용하거나 다른 기관에 제공할 수 있다. 다만, 다음 각호의 1에 해당하는 경우에도 정보주체 또는 제3자의 권리와 이익을 부당하게 침해할 우려가 있다고 인정되는 때에는 그러하지 아니하다.
1. 정보주체의 동의가 있거나 정보의 주체에게 제공하는 경우
2. 통계작성 및 학술연구 등의 목적을 위한 경우로서 특정개인을 식별할 수 없는 형태로 제공 하는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 동의를 할 수 없는 경우로서 정보주체외의 자에게 제공하는 것이 명백히 정보주체에게 이익이 된다고 인정되는 경우
4. 범죄의 수사와 공소의 제기 및 유지에 필요한 경우
5. 법원의 재판업무수행을 위하여 필요한 경우
6. 기타 대통령령이 정하는 특별한 사유가 있는 경우
③ 복지관은 정보주체의 권리와 이익을 보호하기 위하여 필요하다고 인정하는 때에는 처리정보의 이용을 당해 기관내의 특정부서로 제한할 수 있으며, 제공 시 다음 각호의 1에 사항을 확인한다.
1. 제공범위, 데이터의 가공여부, 제공하는 파일의 형태 및 특성에 따른 보안방법 등 보호조치
2. 제공된 처리정보(출력자료를 포함)의 폐기방법 및 확인에 관한 사항 등
④ 복지관은 개인정보에 대한 접근제한을 위해 전산프로그램 접근권한 설정 및 반기 1회 비밀번호 변경을 실시하며, 다음 각 호의 서류를 비치한다.
1. 비밀번호 관리대장
제 8조(개인정보취급자의 의무)
복지관 직원 또는 직원이었던 자는 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니된다.
제 9조(개인정보의 파기)
① 개인정보의 보유기간이 경과하거나 처리목적이 달성되는 등 개인정보가 불필요하게 되었을 때에는 그 개인정보가 복구 또는 재생되지 않도록 파기하여야 한다.
1. 파기 목적
1) 개인정보를 수집했던 목적이 달성되어 보존 필요성이 없어졌는데도 이를 계속해서 보유할 경우 개인정보의 유출과 오용 가능성이 높아지게 됨
2) 개인정보가 더 이상 불필요하게 된 때에는 파기를 시킴으로써 유출·오용 가능성을 미연에 방지하여 개인정보를 안전하게 보호하려는 것임
2. 파기 대상
1) 개인정보의 수집․이용 목적이 달성된 경우
2) 개인정보의 보유 및 이용 기간이 끝난 경우
3) 이용자가 동의를 철회한 경우
4) 사회복지시설 사업을 폐업한 경우
3. 파기 시기
보유기간의 경과, 개인정보 처리목적 달성 등으로 개인정보가 불필요하게 되었을 때는 지체 없이 해당 개인정보 파기
4. 파기 방법
1) 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 개인정보가 복구 또는 재생되지 아니하도록 파쇄 또는 소각
- 종이 서류는 관련 협회를 통해 공동으로 파기하는 경우 파기를 위한 절차에 따라 분기·반기별로 일괄 파기할 수 있음 (이 경우 업무위탁에 관한 사항을 준수해야함)
2) 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
- 전자적 파일은 특별한 사유가 없는 한 보유기간 경과 후 5일 이내에 파기하여야 함
② 다만, 다음 각 호에 해당하는 경우에는 예외로 한다.
1. 상법 등 법령의 규정에 의하여 보존할 필요성이 있는 경우
2. 개별적으로 이용자의 동의를 받은 경우
제10조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제5항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.
② 개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.
③ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
④ 개인정보처리자는 정보주체가 제2항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제3항 및 제18조제2항제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
⑤ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
제 11조(개인정보보호 교육)
① 개인정보취급자에 대한 교육에 관한 사항
1. 개인정보보호 교육의 목적은 안전하게 개인정보가 관리될 수 있도록 개인정보취급자의 개인정보보호에 대한 인식을 제고시키고 개인정보보호 대책의 필요성을 이해시키는 것이다.
2. 교육 방법은 집체교육 뿐 아니라 조직의 환경을 고려하여 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하도록 하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수도 있다.
② 그 밖에 개인정보 보호를 위하여 필요한 사항
1. 개인정보처리자의 개인정보 운용(수집․이용․저장․제공․파기 등) 환경 및 중요도(민감정보 취급 등)를 고려하여 보안서약서 작성 등 개인정보 보호를 위하여 필요한 사항을 기술할 수 있다.
제 12조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
제 13조(개인정보 처리방침의 수립 및 공개)
① 공공기관은 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013.3.23.>
제 14조(개인정보 보호책임자의 지정)
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
제 15조(개인정보 침해대응 및 피해구제)
① 개인정보 유출시 확인한 시점으로부터 5일 이내에 정보주체에게 유출사실 통지하여야 한다. 우편, 전화, 전자우편 등을 이용할 수 있으며, 1만건 이상의 정보가 유출된 경우 유출사실을 홈페이지에 게시하고 안전행정부 또는 전문기관(한국인터넷진흥원, 한국정보화진흥원)에 신고하여야 한다.
② 침해신고자가 침해행위 중지, 손해배상 등을 원할 경우 분쟁조정위원회의 중재를 받을 수 있고, 50인 이상의 개인정보 침해사고 발생 시 집단분쟁조정을 통해 다수의 피해자에 대한 중재가 가능하다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정자치부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정자치부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013.3.23., 2014.11.19.>
제 16조(보 칙)
① 서비스제공자와 이용자 등 누구든지 정보통신망에 의하여 처리․보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해․도용 또는 누설하여서는 아니 된다.
② 이 지침에 제시되지 않은 사항은 사회복지시설 개인정보보호 지침을 준용 적용 한다.
부 칙
이 지침은 2014년 11월 19일부터 시행한다.