제1장 총칙

제1조(목적)

개인정보보호 내부관리계획(이하‘내부관리계획’이라 한다)은 개인정보보호법(이하 “법”이라 한다) 제29조(안전조치의무) 및 동법 시행령(이하“시행령”이라 한다) 제30조(개인정보의 안전성 확보 조치) 내부관리계획의 수립 및 시행 의무에 따라 제정된 것으로 경기도교육청이 취급하는 개인정보를 체계적으로 관리하여 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 함을 목적으로 한다.

제2조(적용 범위)

본 계획은 정보통신망을 통하여 수집, 이용, 제공 또는 관리되는 개인정보 뿐만 아니라 서면 등 정보통신망 이외의 수단을 통해서 수집, 이용, 제공 또는 관리되는 개인정보 및 개인영상정보처리기기(CCTV)에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 직원(임시직, 파견근로자, 시간제근로자 포함) 및 외부업체 직원에 대해 적용된다.

제3조(용어 정의)

본 계획에서 사용하는 용어의 정의는 다음 각 호와 같다.

  1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 정보(해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경 우에는 그 정보를 포함한다)를 말한다.
  2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
  3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
  4. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법 제31조 및 시행령 제32조제2항에 따른 지위에 해당하는 자를 말한다
  5. “개인정보 보호담당자”란 각급기관의 실질적인 개인정보 보호업무를 담당하는 자로 개인정보 처리자가 지정한 자를 말한다.
  6. “개인정보보호 분야별책임자”(이하“분야별책임자”라 한다)란 경기도교육청 각 부서의 개인정보 업무를 지휘·감독하는 자를 말한다.
  7. “개인정보보호 분야별담당자”(이하“분야별담당자”라 한다)란 분야별책임자가 업무를 수행함에 있어 보조적인 역할을 하는 자를 말하며 부서 개인정보보호업무에 대한 실무를 총괄하는 자를 말한다.
  8. “개인정보취급자”란 개인정보처리자의 지휘감독을 받아 개인정보를 처리하는 자로서 직원, 파견근로자, 시간제근로자 등을 말한다.
  9. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 단체 및 개인을 말한다
  10. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
  11. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
  12. “위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.

제4조(개인정보 보호원칙)

  1. ① 개인정보취급자는 개인정보 처리 목적을 명확하게 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고

    정당하게 수집하여 직접적으로 필요한 범위 내에서만 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하지 않아야 한다.

  2. ② 개인정보취급자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록

    하여야 한다.

  3. ③ 개인정보취급자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여

    적절한 기술적·관리적 및 물리적 보안조치를 통하여 개인정보를 안전하게 관리하여야 한다.

  4. ④ 개인정보취급자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하며, 열람청구권 등 정보주체의 권리를

    보장하여야 한다.

  5. ⑤ 개인정보취급자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
  6. ⑥ 개인정보취급자는 개인정보의 처리에 관한 정보주체의 동의를 얻은 경우라도 구체적인 업무의 특성상 가능한 경우에는

    특정 개인을 알아볼 수 없는 형태로 개인정보를 처리하여야 한다.

  7. ⑦ 개인정보취급자는 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여

    노력하여야 한다.

제5조(내부관리계획의 수립 및 승인)

  1. ① 개인정보 보호책임자는 경기도교육청의 개인정보보호를 위한 전반적인 사항을 포함하여 내부관리계획을 수립하여야 한다.
  2. ② 개인정보 보호책임자는 개인정보보호를 위한 내부관리계획 수립 시 개인정보보호와 관련한 법령 및 관련 규정을 준수하여야 한다.
  3. ③ 개인정보 보호책임자는 개인정보 보호담당자가 수립한 내부관리계획의 타당성을 검토하여 개인정보보호를 위한 내부관리계획을

    승인하여야 한다.

  4. ④ 개인정보 보호담당자는 개인정보보호 관련 법령의 제·개정 사항 등을 반영하기 위하여 매년 내부관리계획의 타당성과 개정 필요성을

    검토하여야 하며, 개정할 필요가 있다고 판단되는 경우 개정안을 작성하여 개인정보 보호책임자에게 보고·승인을 받아야 한다.

제6조(내부관리계획의 공표)

  1. ① 개인정보 보호책임자는 제5조에 따라 개정된 내부관리계획을 경기도교육청 전 직원 및 관할기관에 공표한다.
  2. ② 내부관리계획은 내부직원이 언제든지 열람할 수 있도록 하여야 하며, 변경사항이 있는 경우에는 이를 공지하여야 한다.

제7조(개인정보 보호책임자 및 분야별책임자의 지정)

  1. ① 경기도교육청은 "시행령 제32조 제2항 제1호의 마”에 의하여 기획조정실장을 개인정보 보호책임자로 임명하며, 각 업무부서의 장을

    분야별책임자로 지정하여 업무를 담당하게 한다.

    • 분야별책임자 : 해당부서의 장
    • 분야별담당자 : 분야별 책임자의 권한을 위임받은 자

    ※ 인사이동 시 업무 인계 인수에 따라 자동 지정

제8조(개인정보 보호책임자의 의무와 책임)

  1. ① 개인정보 보호책임자는 정보주체의 개인정보를 보호하고 개인정보와 관련한 정보주체의 불만을 처리하기 위하여 다음 각 호의 임무를

    수행한다.

    1. 개인정보 보호 계획의 수립 및 시행
    2. 개인정보 처리 실태의 정기적인 조사 및 개선
    3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
    4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
    5. 개인정보 보호 교육 계획의 수립 및 시행
    6. 개인정보파일의 보호 및 관리·감독
    7. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
    8. 개인정보 보호 관련 자료의 관리
    9. 개인정보파일의 보유기간 산정
    10. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
    11. 개인정보보호 분야별책임자 지휘ㆍ감독
    12. 기타 정보주체의 개인정보보호에 필요한 사항
  2. ② 개인정보 보호책임자는 개인정보 관련 업무의 효율적 운영을 위하여 개인정보 관리 전담부서의 직원 중 1인 이상을 개인정보 보호담당자로

    임명한다.

  3. ③ 개인정보 보호담당자는 개인정보 보호책임자를 보좌하여 개인정보보호 업무에 대한 실무를 총괄하고 관리한다.
  4. ④ 개인정보 보호책임자는 개인정보관리에 대하여 분야별책임자를 지정하여 관리할 수 있다.
  5. ⑤ 개인정보 보호책임자는 연1회 이상 내부 관리계획의 이행 실태를 점검ㆍ관리한다.

제9조(분야별책임자의 의무와 책임)

  1. ① 분야별책임자는 정보주체의 개인정보를 보호하고 개인정보와 관련한 정보주체의 불만을 처리하기 위하여 다음 각 호의 임무를 수행한다.
    1. 각 업무부서의 개인정보 취급자 지정·관리·감독·교육
    2. 각 업무부서의 개인정보파일 지정·관리·보호·파기
    3. 각 업무부서의 개인정보 처리와 관련한 요구 처리 및 피해 구제
    4. 각 업무부서의 개인정보의 기술적·관리적 보호조치 기준 이행
    5. 각 업무부서의 개인정보 관련 개선 권고에 따른 조치사항 이행 등
    6. 각 업무부서의 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
  2. ② 분야별책임자는 개인정보취급자를 최소한으로 제한하여 지정하고 수시로 관리·감독하여야 하며, 직원 및 수탁자에 대한 교육 등을 통해

    개인정보 침해사고를 사전에 예방한다.

  3. ③ 분야별책임자는 개인정보 관련 업무의 효율적 운영을 위하여 부서 직원 중 1인 이상을 분야별담당자로 임명한다.
  4. ④ 분야별담당자는 분야별책임자를 보좌하여 부서 내 개인정보보호 업무에 대한 실무를 총괄하고 관리한다.

제10조(개인정보취급자의 역할 및 책임)

  1. ① 개인정보취급자란 본청의 지휘·감독을 받아 정보주체의 개인정보 처리 업무를 수행하는 모든 근로형태의 직원(임직원, 파견근로자,

    시간제근로자 등)을 포함하며, 이를 관리하기 위하여 분야별책임자를 둔다.

  2. ② 개인정보취급자는 정보주체의 개인정보보호와 관련하여 다음과 같은 역할 및 책임을 이행한다.
    1. 개인정보보호 활동 참여
    2. 내부관리계획의 준수 및 이행
    3. 개인정보의 기술적·관리적 보호조치 기준 이행
    4. 개인정보파일대장 관리
    5. 법률에 근거하여 개인정보 수집, 이용, 제공, 파기 등 이행
    6. 정보주체의 민원 신청접수 및 처리(열람, 정정, 삭제, 처리정지)
    7. 업무상 알게 된 개인정보의 남용 및 제3자 제공 금지
    8. 기타 정보주체의 개인정보보호를 위해 필요한 사항의 이행(서약서 제출 등)

제11조(개인정보의 수집·이용 및 제한)

  1. ① 개인정보취급자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
    1. 정보주체의 동의를 받은 경우
    2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
    3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
    4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
    5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
    6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 다만, 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
  2. ② 정보주체로부터 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을

    변경하는 경우에도 이를 알리고 동의를 받아야 한다.

    1. 개인정보의 수집·이용 목적
    2. 수집하려는 개인정보의 항목
    3. 개인정보의 보유 및 이용 기간
    4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
  3. ③ 선택적으로 동의할 수 있는 사항에 대한 동의를 받을 경우 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 인지할 수 있도록

    구분하여 표시하고 이를 동의하지 아니한다는 이유로 정보주체에게 서비스의 제공을 거부하여서는 아니 되며, 민감정보 또는 고유식별정보에 대하여도 정보주체가 별도로 동의할 수 있도록 조치를 취하여야 한다.

  4. ④ 만14세 미만 아동의 개인정보를 처리하기 위하여 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의

    동의를 받기 위하여 필요한 최소한의 정보(성명, 연락처)는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.

  5. ⑤ 정보주체의 개인정보를 수집하는 경우, 적법하고 공정한 수단에 의하여 서비스 제공에 직접적으로 관련되어 필요한 최소한의 정보를

    수집하여야 하며, 수집 및 이용 목적의 범위를 초과한 이용은 불가하다.

  6. ⑥ 법 제22조에 의거 동의를 받을 때에는 민감정보, 개인정보의 보유 및 이용기간 등 중요한 내용을 아래에(시행규칙 제4조) 정하는 방법에

    따라 명확히 표시하여 알아보기 쉽게 하여야 한다.

    1. 글씨 크기는 최소 9포인트 이상으로 다른 내용보다 20% 이상 크게 하여 알아보기 쉽게 표기
    2. 글씨 색깔, 굵기 또는 밑줄 등을 통해 그 내용을 명확히 표시
    3. 동의 사항이 많아 내용 구분이 어려운 경우 중요한 내용을 그 밖의 내용과 별도 구분하여 표기

제12조(민감정보와 고유식별정보의 처리 제한)

  1. ① 개인정보취급자는 민감정보 또는 고유식별정보를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지

    아니하다.

    1. 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    2. 법령에서 민감정보 또는 고유식별정보의 처리를 요구하거나 허용하는 경우
  2. ② 개인정보취급자가 제1항 각 호에 따라 민감정보 또는 고유식별정보를 처리하는 경우에는 필요한 최소한의 한도 내에서 분실·도난·유출·

    위조·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

  3. ③ 개인정보취급자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
    1. 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
    2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
    3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우

제13조(개인정보의 목적 외 이용 및 제3자 제공의 제한)

  1. ① 정보주체의 개인정보를 제11조제2항의 규정에 의한 고지의 범위 또는 서비스 이용약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니 된다. 다만, 정보주체의 별도 동의가 있거나 다음 각 호의 어느 하나에 해당하는 경우에는 예외로 한다.
    1. 다른 법률에 특별한 규정이 있는 경우
    2. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
    3. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
    4. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
    5. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
    6. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
    7. 법원의 재판업무 수행을 위하여 필요한 경우
    8. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
  2. ② 정보주체의 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다.
  3. ③ 정보주체의 개인정보를 제공받은 자는 정보주체의 별도 동의가 있거나 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공하여서는 아니 되며, 개인정보취급자는 개인정보를 수집 목적 외의 용도로 이용·제공하는 경우“개인정보의 목적 외 이용 및 제3자 제공대장”[별지 제1호]에 기록·관리하여야 한다.
  4. ④ 제1항에 의거 정보주체의 동의를 받아 제공하는 경우에는 다음 각 호의 사항을 정보주체에게 고지하여야 한다.
    1. 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처
    2. 제공받는 자의 개인정보 이용 목적
    3. 제공하는 개인정보의 항목
    4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
    5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
  5. ⑤ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하여야 하며 인터넷 홈페이지 게재시 10일 이상 게재하되, 목적외이용등을 한 날부터 30일 이내여야 한다. 단 제1항에 의한 정보주체 별도 동의와 제1항제6호는 제외한다.

< 목적 외 이용·제3자 제공 절차 >

절차 주요내용
1. 법적근거 검토
  • 목적 외 이용·제3자 제공이 가능한 경우에 해당하는지 법적근거 검토
2. 동의절차 이행
  • 법적 근거가 없는 경우에는 정보주체로부터 별도의 동의를 받아야 함

※ 동의절차 이행시 제공받는자, 수집목적, 수집항목, 보유 및 이용기간, 거부시 불이익 명시

3. 대장 기록·관리
  • 『개인정보의 목적 외 이용 및 제3자 제공대장』을 기록·관리하여야 함

※ 목적 외 이용 및 제3자 제공대장은 [별지 제1호] 참조

4. 주요 내용 공개
  • 30일 이내에 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관한 사항을 관보 또는 인터넷 홈페이지(10일 이상) 등에 게재
5. 보호조치 요구
  • 제3자 제공시에는 이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 문서로 요청
6. 조치결과 제출
  • 안전성 확보조치 요청을 받은 자는 그에 따른 조치를 취한 후, 그 결과를 개인정보를 제공한 개인정보처리자에게 문서로 알려야 함

제14조(정보주체 이외로부터 수집한 개인정보의 수집 출저 등 고지)

  1. ① 개인정보취급자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 요구가 있는 날로부터 3일 이내에 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
    1. 개인정보의 수집 출처
    2. 개인정보의 처리 목적
    3. 법 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
  2. ②정보주체의 요구가 없더라도 다음 각 호에 해당하는 경우는 개인정보처리자가 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 서면ㆍ전화ㆍ 문자전송ㆍ전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다.
    다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.
    1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 "민감정보"라 한다) 또는 법 제24조제1항에 따른 고유식별정보를 처리하는 자
    2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
  3. ③제2항의 경우로서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.
  4. ④제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 정보주체의 권리보다 명백히 우선하는 경우에 한한다.
    1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조 제2항(범죄의 수사 등에 관한 사항 등) 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
    2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
  5. ⑤ 개인정보취급자는 제4항 단서에 따라 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.

제15조(개인정보 취급자의 제한)

  1. ① 분야별책임자는 개인정보를 취급할 수 있는 자를 다음 각 호에 해당하는 자로 정하여 최소한으로 제한하여야 한다.
    1. 정보주체를 직접 상대로 하여 업무를 수행하는 자
    2. 개인정보 보호책임자 등 개인정보관리 업무를 수행하는 자
    3. 개인정보가 저장된 데이터베이스를 포함한 전산 관련 업무를 수행하는 자
    4. 기타 업무상 개인정보의 취급이 불가피한 자

제16조(개인정보처리의 위탁)

  1. ① 개인정보의 처리 업무를 위탁하는 때에는 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 마련하여야 한다.
  2. ② 제1항의 규정에 의한 위탁계약을 체결하는 때에는 수탁자와 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
    1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
    2. 개인정보의 기술적·관리적 보호조치에 관한 사항
    3. 위탁업무의 목적 및 범위
    4. 재위탁 제한에 관한 사항
    5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
    6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
    7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
  3. ③ 수탁자는 위탁받은 개인정보를 보호하기 위하여 행정안전부장관이 고시하는「개인정보의 안전성 확보조치 기준」에 따른 기술적·관리적·물리적 조치를 하여야 한다.
  4. ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지를 관리·감독 하여야 한다.
  5. ⑤ 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다.(시행령 제28조)
  6. ⑥ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
  7. ⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.

제17조(개인정보의 파기)

  1. ① 개인정보취급자는 보유기간의 경과, 개인정보의 처리 목적 달성, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니한다.
  2. ② 개인정보 보호책임자는 개인정보의 파기 승인 업무에 대하여 분야별책임자에 위임하여 관리하며, 분야별책임자는 매년 개인정보파일 파기현황을 개인정보 보호책임자에게 보고하여야 한다.
  3. ③ 분야별책임자는 개인정보파일의 보유기간, 처리목적 등을 반영한 개인정보 파기 계획을 수립하여 시행·확인하여야 한다.
  4. ④ 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
    1. 완전파괴(소각·파쇄 등)
    2. 전용 소자장비를 이용하여 삭제
    3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
    4. 개인정보 일부 파기시 전자적 파일은 개인정보 삭제 후 복구 및 재생되지 않도록 관리·감독하고, 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우는 해당 부분을 마스킹, 천공 등으로 삭제
  5. ⑤ 개인정보취급자는 개인정보의 파기 업무 수행시“개인정보파일 파기 관리대장”[별지 제2호]을 이용하여 기록·관리하여야 한다.

제18조(개인정보파일 대장 관리 및 공개)

  1. ① 분야별책임자는 1개의 개인정보파일에 대하여 1개의 개인정보파일 대장을 작성하여 관리하여야 한다.
  2. ② 분야별책임자는 개인정보보호종합지원시스템에 접속하여 개인정보파일을 등록 및 변경 신청하여야 한다.
  3. ③ 내부적 업무처리만을 위하여 사용되는 개인정보파일,「통계법」에 따라 수집되는 개인정보파일, CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일, 1회성 행사 수행 등은 법령에 따라 등록 신청 대상에서 제외된다.
  4. ④ 개인정보파일을 등록하는 때에는 교육부가 제공하는‘개인정보파일 표준목록’에 따라 등록하여야 한다.(교육부 개인정보 보호지침 제54조 제1항 및 제58조 참고)

제19조(개인정보 처리방침의 수립 및 공개)

  1. ① 개인정보 보호책임자는 개인정보처리방침을 수립하고 운영중인 인터넷 홈페이지를 통해 첫 화면 또는 첫 화면과의 연결화면에 지속적으로 게재하여야 한다.
  2. ② 별도 업무용 홈페이지를 운영하는 분야별책임자는 등록대상이 되는 개인정보파일에 대하여 별도의 개인정보처리방침을 정한다.
  3. ③ 개인정보처리방침을 게재하는 경우에는“개인정보처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
  4. ④ 개인정보처리방침에 반드시 포함되어야 할 사항은 다음 각 호와 같다.
    1. 개인정보의 처리 목적
    2. 처리하는 개인정보의 항목
    3. 개인정보의 처리 및 보유 기간
    4. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
    5. 개인정보의 파기에 관한 사항
    6. 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
    7. 시행령 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
    8. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
    9. 개인정보 처리방침의 변경에 관한 사항
    10. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
    11. 개인정보의 열람청구를 접수·처리하는 부서
    12. 정보주체의 권익침해에 대한 구제방법
    13. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
  5. ⑤ 개인정보 보호책임자 또는 분야별책임자가 개인정보처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 인터넷 홈페이지 등에 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.

제20조(개인정보 영향평가)

분야별책임자는 아래 각 호에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우 영향평가를 의무적으로 수행한 후 개인정보 보호책임자에게 그 결과를 제출하여야 한다.

  1. 구축·운용 또는 변경하려는 개인정보파일로서 5만 명 이상의 정보주체에 관한 법 제23조에 따른 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
  2. 구축·운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
  3. 구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
  4. 법 제33조제1항에 따른 개인정보 영향평가를 받은 후에 개인정보 검색 체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정

제21조(물리적 안전조치)

  1. ① 분야별 책임자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 장소에 대하여 통제구역으로 지정하고 이에 대한 출입통제 절차를 수립·운영하여야 하며, 잠금장치를 설치하고 출입자 관리대장을 비치하여 허가받지 않은 자의 출입을 통제 하여야 한다.
    1. 출입을 통제하는 방법으로는 물리적 접근 방지를 위한 장치를 설치·운영하고 이에 대한 출입 내역을 전자적인 매체 또는 수기문서 대장에 기록하여야 한다.
    2. 수기문서 대장을 이용하여 출입내역을 기록할 때에는 출입자, 출입일시, 출입목적, 소속 등이 포함되어 있어야 한다.
  2. ② 개인정보취급자는 물리적 접근제한 관리대장의 출입 및 열람 내용을 주기적으로 검토하여 정당하지 않은 권한으로 출입하거나 열람하는 경우가 있는지를 점검하여 확인하여야 한다.
  3. ③ 개인정보취급자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 캐비넷 등 안전한 장소에 보관하여야 하며, 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.

제22조(출력 복사시 보호조치)

  1. ① 분야별책임자는 개인정보가 포함된 정보를 출력하거나 복사할 경우에 개인정보 유출사고를 방지하기 위한 보호조치를 취하여야 한다.
  2. ② 분야별책임자는 민감한 개인정보 또는 다량의 개인정보가 포함된 정보를 출력하거나 복사할 경우 출력·복사자의 성명, 일시 등을 기재하여 개인정보 유출 등에 대한 책임 소재를 확인할 수 있는 강화된 보호조치를 추가로 적용할 수 있다.
  3. ③ 개인정보취급자는 개인정보의 이용을 위하여 출력 및 복사한 개인정보의 이용 목적이 완료된 경우 분쇄기로 분쇄하거나 소각하는 등의 안전한 방법으로 파기하여야 한다.

제23조(접근권한의 관리)

  1. ① 분야별책임자는 개인정보처리시스템에 대한 접근 권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
  2. ② 분야별책임자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보 처리시스템의 접근권한을 변경 또는 말소하여야 한다.
  3. ③ 분야별책임자는 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
  4. ④ 분야별책임자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
  5. ⑤ 분야별책임자는 개인정보취급자가 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 접속 수단을 적용하여야 한다.
  6. ⑥ 분야별책임자는 개인정보처리시스템에 대하여 다음 각 호의 내용이 포함된 권한관리지침을 수립하여 운영하여야 한다.
    1. 권한에 대한 총괄 관리책임자 지정에 관한 사항
    2. 사용자 등록, 권한 부여ㆍ변경ㆍ중지 등에 관한 사항
    3. 사용자 및 정보 중요도별 접근권한 차등 부여에 관한 사항
    4. 외부인력 및 업무보조자의 권한 관리에 관한 사항
    5. 접근권한 관리이력 보관에 관한 사항
    6. 보안서약서 징구 등에 관한 사항
  7. ⑦분야별책임자는 개인정보처리시스템의 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보 처리시스템에 대한 접근을 제한하는 방법 등 필요한 기술적 조치를 하여야 한다.

제24조(접근통제)

  1. ① 분야별책임자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 및 운영한다.
    1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
    2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
  2. ② 분야별책임자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 다음 각 호의 사항을 포함하여 비밀번호 작성규칙을 수립하여 적용하여야 한다.
    1. 영문, 숫자, 특수문자를 조합하여 최소 9자리 이상의 길이로 구성
    2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
    3. 비밀번호 변경은 분기별 1회 이상 변경
  3. ③ 분야별책임자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일기기 및 관리용 단말기 등에 접근통제에 관한 다음 각 호의 조치를 취하여야 한다.
    1. 인터넷 홈페이지 중 서비스 제공에 사용되지 않거나 관리되지 않는 사이트 또는 URL에 대한 삭제 또는 차단 조치
    2. 인터넷 홈페이지 설계·개발 오류 또는 개인정보취급자의 업무상 부주의 등으로 인터넷 서비스 검색엔진(구글링 등) 등을 통해 관리자 페이지와 취급중인 개인정보가 노출되지 않도록 필요한 조치
    3. 개인정보취급자는 개인정보처리시스템, 업무용 컴퓨터 및 모바일기기 및 관리용 단말기 등에 P2P, 공유설정은 기본적으로 사용하지 않는 것이 원칙이나, 업무상 반드시 필요한 경우에는 권한 설정 등의 조치를 통해 권한이 있는 자만 접근할 수 있도록 설정하여 접근통제 등에 관한 안전조치
    4. 개인정보취급자의 부주의로 인한 개인정보 및 개인정보파일 인터넷 홈페이지 게시 방지
  4. ④ 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 또는 안전한 인증수단을 적용하여야 한다.
  5. ⑤ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·위조·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하여야 하며, 그 결과에 따른 보완 조치를 하여야 한다.
  6. ⑥개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
  7. ⑦ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
  8. ⑧ 개인정보취급자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
  9. ⑨ 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
    1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
    2. 본래 목적 외로 사용되지 않도록 조치
    3. 악성프로그램 감염 방지 등을 위한 보안조치 적용

제25조(개인정보의 암호화)

  1. ①분야별책임자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조 저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
  2. ②분야별책임자는 비밀번호 및 바이오정보를 암호화하여 저장하여야 한다. 다만 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
  3. ③분야별책임자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitari zed Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
  4. ④분야별책임자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
  5. ⑤분야별책임자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

제26조(접속 기록의 보관 및 위·변조 방지)

  1. ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관ㆍ관리하여야 한다.
  2. ②개인정보처리자는 개인정보의 분실·도난·유출·위조·변조·훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
  3. ③개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

제27조(악성프로그램 등 방지)

  1. ①개인정보 취급자는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 한다.
  2. ②보안 프로그램의 자동업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지하여야 한다.
  3. ③ 보안 프로그램의 실시간 감시 기능을 적용하여야 한다.
  4. ④악성 프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시하여야 한다.

제28조(재해·재난 대비 안전조치)

  1. ① 분야별책임자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
  2. ② 분야별책임자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 하며, 백업 및 복구 계획에는 개인정보처리시스템 등 백업 및 복구 대상, 방법, 절차 등을 포함하도록 한다. 개인정보처리시스템 백업 및 복구를 위한 계획은 위기대응 매뉴얼에 포함할 수 있다.

제29조(위험도 분석)

  1. ① 분야별책임자는 개인정보처리시스템에 대하여 내부망에 고유식별정보를 저장하는 경우에는 위험도 분석을 실시하여 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안을 마련하여야 한다.
  2. ② 분야별책임자는 개인정보처리시스템에 대한 위험도 분석을 실시한 후 개인정보 보호책임자에게 그 결과를 제출하여야 한다.
  3. ③ 위험도 분석 절차는 아래와 같다.
    1. 위험도 분석을 위해 개인정보 파일 및 고유식별정보 보유 여부 등 현황조사
    2. 개인정보 파일단위별로 위험도 분석 항목별 점검을 수행
    3. 위험도 분석 결과보고서를 작성하여 내부결재 후 보관
    4. 점검 결과에 따라 고유식별정보 암호화 등을 수행

제30조(영상정보처리기기의 설치 및 운영관리)

  1. ①영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 개인영상정보 관리책임자를 지정하여야 한다. 다만 개인영상정보 관리책임자를 개인정보 보호책임자로 지정하여 운영할 수 있다.
  2. ②영상정보처리기기를 설치ㆍ운영 하려는 경우“개인정보 보호법 제25조”에 따라 전문가 및 이해관계인의 의견수렴 절차를 거쳐야 하며, 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 하여서는 아니 된다.
  3. ③제2항에 따라 영상정보처리기기를 설치ㆍ운영 하려는 경우 녹음기능을 사용하여서는 아니 되며, 기기의 임의 조작이나 다른 곳을 비춰서는 아니 된다.
  4. ④개인영상정보 관리책임자는 다음 각 호의 항이 포함된 안내판을 설치하여야 한다.
    1. 설치 목적 및 장소
    2. 촬영 범위 및 시간
    3. 관리책임자의 성명 및 연락처
    4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
  5. ⑤ 개인영상정보 관리책임자는 영상정보처리기기 운영ㆍ관리 방침을 수립하여 홈페이지 등에 공개하여야 한다.
  6. ⑥개인영상정보 관리책임자는 개인영상정보처리기기의 운영을 위하여 내부 관리계획 제21조에서 제27조까지의 기술적ㆍ 관리적 보호조치를 준수하여야 한다.

제31조(개인정보보호 교육 계획의 수립)

  1. ① 개인정보 보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 매년 수립하여야 한다.
    1. 교육목적 및 대상
    2. 교육내용
    3. 교육 일정 및 방법
  2. ② 개인정보 보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육계획 수립에 반영하여야 한다.

제32조(개인정보보호 교육의 실시)

  1. ① 개인정보 보호책임자는 개인정보보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오·남용 또는 유출 등을 적극 예방하기 위해 직원 및 관할기관을 대상으로 연 1회 이상 개인정보보호 교육을 실시한다.
  2. ② 분야별책임자는 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 연 1회 이상 수탁자 개인정보보호 교육을 실시한다.
  3. ③ 교육 대상에 따라 역할에 맞게 차별화된 교육 내용을 포함하여 개인정보보호 교육을 실시한다.
    대상 교육내용
    개인정보 보호책임자 개인정보 보호책임자의 역량 및 관리책임 강화 등
    개인정보 보호담당자 위탁·제3자 제공 안내, 개인정보 파일 관리, 노출방지 및 자율개선 등
    개인정보취급자(전직원) 개인정보보호법 준수사항 안내, 개인정보 수집, 관리, 파기 절차 안내, 안전성 확보 조치, 각종 사례 안내 등
    수탁사 위탁업무 준수사항, 안전성 확보 조치, 재위탁 금지 등
  4. ④ 교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 상급기관, 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.
  5. ⑤ 개인정보 보호책임자는 신규 채용자, 전입자에게 개인정보 보호교육을 실시하여야 하며, 개인정보 담당자의 개인정보 관련 전문기관 교육 및 기술 세미나 참석 등을 장려하는 등 개인정보 담당자의 업무 전문성을 제고하기 위하여 노력하여야 한다.
  6. ⑥ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보 보호책임자는 부서 회의 등을 통해 수시 교육을 실시할 수 있다.

제33조(개인정보의 열람)

  1. ① 정보주체는[별지 제4호]에 따른‘개인정보 열람 요구서’를 통하여 해당 개인정보를 처리하는 소속기관에게 다음 각 호에 대한 열람을 요구할 수 있다.
    1. 개인정보의 항목 및 내용
    2. 개인정보의 수집·이용의 목적
    3. 개인정보 보유 및 이용 기간
    4. 개인정보의 제3자 제공 현황
    5. 개인정보 처리에 동의한 사실 및 내용
  2. ② 제1항의 요구를 받은 업무부서는 개인정보 열람요구서를 받은 날부터 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람하게 할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 그 날로부터 10일 이내에 열람하게 하여야 한다.
  3. ③ 개인정보 열람요구를 받은 업무부서는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있으며, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 하여야한다.
    1. 법률에 따라 열람이 금지되거나 제한되는 경우
    2. 타인의 생명·신체를 해할 우려가 있거나 타인의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
    3. 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
      1. 가. 조세의 부과·징수 또는 환급에 관한 업무
      2. 나.「초·중등교육법」및「고등교육법」에 따른 각급학교,「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
      3. 다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
      4. 라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
      5. 마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
  4. ④ 제2항에 따라 열람을 연기하거나 열람을 제한·거절하려는 업무부서는 열람요구를 받은 날부터 10일 이내에‘열람의 연기·일부열람·거절통지서’를 통하여 연기 또는 제한이나 거절의 사유 및 이의제기방법을 해당 정보주체에게 알려야 한다.

제34조(개인정보의 정정·삭제)

  1. ① 정보주체는 자신의 개인정보를 처리하는 소속기관에게 [별지 제4호]에 따른‘개인정보 열람 요구서(정정·삭제 요구서)’를 통해 그 개인정보에 대한 정정 또는 삭제를 요구할 수 있다. 단, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
  2. ② 제1항의 요구를 받은 업무부서는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 다음 각 호 중 하나의 조치를 한 후 그 사실을 [별지 제6호]에 따른‘개인정보 정정·삭제 요구에 대한 결과통지서’를 통하여 해당 정보주체에게 알려야 한다.
    1. 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 사실
    2. 정보주체의 정정·삭제 요구가 제1항 단서에 해당하는 경우에는 삭제 할 수 없다는 사실과 삭제를 요구할 수 없는 근거법령의 내용 및 이의제기방법
  3. ③ 개인정보취급자가 제2항의 조치를 취하기 위하여 그 개인정보를 조사할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
  4. ④ 개인정보취급자가 제2항에 따라 개인정보를 삭제할 때에는 그 개인정보가 복구 또는 재생되지 아니하도록 조치하여야 한다.

제35조(개인정보의 처리정지)

  1. ① 정보주체는 자신의 개인정보를 처리하는 소속기관에게 [별지 제4호]에 따른‘개인정보 열람 요구서(처리정지 요구서)’를 통하여 그 개인정보 처리의 정지를 요구할 수 있다.
  2. ② 제1항의 요구를 받은 업무부서는 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 단, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
    1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
    2. 타인의 생명·신체를 해할 우려가 있거나 타인의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
    3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
    4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
  3. ③ 제1항의 요구를 받은 업무부서는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 다음 각 호 중 하나의 조치를 한 후 그 사실을 [별지 제6호]에 따른‘개인정보 처리정지 요구에 대한 결과통지서’로 해당 정보주체에게 알려야 한다.
    1. 처리정지 조치를 한 사실
    2. 정보주체의 처리정지 요구가 제2항 단서에 해당하는 경우에는 처리정지 할 수 없다는 사실 및 이유와 이의제기 방법
  4. ④ 업무부서는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.

제36조(개인정보 침해사고 대응)

  1. ① 개인정보취급자는 개인정보 침해·유출이 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 업무부서의 개인정보보호 분야별 책임자에게 이를 알려야 하며, 개인정보의 유출로 인한 침해사고 발생 시 아래 표와 같이 조치한다.
    침해사고 신고 신고접수 침해사고 대응팀 구성 침해사고처리 침해사고결과보고 개선 및 이행점검
    민원인, 직원 개인정보 보호담당자 개인정보 보호책임자 침해사고 대응팀 침해사고 처리책임자 개인정보 보호책임자
    신고 신고 접수 대응팀 구성 분석 및 조치 사건 보고 개선 이행
    민원인,직원신고
    개인정보취급자, 개인정보보호 분야별책임자 인지하여 개인정보보호 담당자에보고
    개인정보 보호책임자 보고 상위기관에 개인정보 유출 신고 필요시 분야별 개인정보전문가, 정보보안 전문가로 구성 조사, 분석조치 및 해결(회수, 삭제, 수사의뢰), 정보주체 통지 및 관련기관 신고 여부 결정, 관련자 징계 사건현황, 사건분석, 사건처리 및 조치현황, 사건종료 개선안 승인, 개선이행 점검
  2. ② 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다, 또한 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 아래의 사항을 7일 이상 게재하여야 한다.
    1. 유출된 개인정보의 항목
    2. 유출된 시점과 그 경위
    3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
    4. 개인정보처리자의 대응조치 및 피해구제절차
    5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
  3. ③ 제2항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.
    1. 정보주체에게 유출이 발생한 사실
    2. 제2항의 통지항목 중 확인된 사항
  4. ④분야별 보호책임자는 개인정보 유출 사고의 미인지로 인해 해당 정보주체에게 개인정보 유출 통지를 하지 아니한 경우에는 실제 유출 사고를 알게 된 시점을 입증하여야 한다.
  5. ⑤ 분야별 보호책임자는 개인정보가 유출되었을 경우 [별지 제3호]에 따른‘개인정보 유출신고서’를 작성하여 개인정보 보호책임자에게 제출하여야 한다.

제37조(개인정보 보호조직 구성 및 운영)

  1. ① 개인정보 침해사고 발생시 신속한 대응, 공격탐지, 피해복구, 예방 등 종합적이고 체계적인 공동대응 체제구축을 위해 행정관리담당관(정보화기획담당) 주관 하에“개인정보 보호조직(침해사고 대응반)”을 편성하고, 24시간 비상근무체제를 운영하며, 교육부, 경기도교육정보기록원 등 유관기관과 긴밀한 협조체제를 유지함으로써 침해사고에 신속히 대처한다.
  2. ② 중요 정보시스템에 대한 백업(시스템, DB 등)을 실시하고, 백업된 자료는 원격지로 소산하여 중요 정보 유실을 방지한다.
  3. ③ 개인정보 보호조직(개인정보 침해사고 대응 조직)체계는 아래와 같다.

    개인정보 보호조직(개인정보 침해사고 대응 조직)체계

  4. ④ 각 조직별 역할은 아래와 같다.
    구 분 내 용
    개인정보 보호책임자
    • 개인정보 침해사고 예방, 처리 및 재발방지 총괄 관리
    • 개인정보 침해사고 발생 시 침해사고 처리책임자를 지정
    • 침해사고 대응조직 구성 및 운영
    개인정보 보호조직
    (개인정보침해사고대응팀)
    • 개인정보 보호책임자가 침해사고분석, 대응 및 복구에 필요한 관련자를 지정하여 소집
    • 개인정보보호전문가, 정보보안전문가 등 필요시 외부 전문가 등으로 구성 가능
    • 해당기관 침해사고로 인하여 발생한 사고의 조사 및 복구
    개인정보보호 분야별책임자
    (침해사고 처리책임자)
    • 해당 침해사고 발생 부서의 장으로 지정
    • 처리 및 재발방지에 대한 책임을 지고 개인정보 침해사고 대응반과 협력하여 사고 해결
    개인정보 보호담당자
    • 개인정보 침해사고를 접수하고 침해사고 대응 절차를 개시
    • 대내(부서·팀 내)·외 비상연락 및 절차별 업무추진
    • 개인정보 침해기록을 관리하고 필요시 관련자 및 기관에 보고
    정보보안담당관·담당자
    (교육사이버안전센터)
    • 침해사고가 기술적인 분석을 요할 경우 이에 대한 지원을 제공(경기도교육정보기록원 사이버안전센터 협조)
    전 직원(개인정보취급자)
    • 모든 직원은 개인정보에 대한 침해사고가 발생한 것을 인지할 경우 개인정보보호 분야별 책임자를 경유하여 개인정보 보호담당자에게 신고

제38조(개인정보 유출신고)

  1. ① 개인정보 침해사고 발생시 신속한 대응, 공격탐지, 피해복구, 예방 등 종합적이고 체계적인 공동대응 체제구축을 위해 행정관리담당관(정보화기획담당) 주관 하에“개인정보 보호조직(침해사고 대응반)”을 편성하고, 24시간 비상근무체제를 운영하며, 교육부, 경기도교육정보기록원 등 유관기관과 긴밀한 협조체제를 유지함으로써 침해사고에 신속히 대처한다.
  2. ② 중요 정보시스템에 대한 백업(시스템, DB 등)을 실시하고, 백업된 자료는 원격지로 소산하여 중요 정보 유실을 방지한다.
  3. ③ 개인정보 보호조직(개인정보 침해사고 대응 조직)체계는 아래와 같다.

제39조(권익침해 구제방법)

  1. ① 개인정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청한다.
    이 밖에 기타 개인정보침해의 신고 및 상담에 대하여는 아래의 기관에 문의한다.
    1. 개인정보분쟁조정위원회, 개인정보침해신고센터 : (국번없이)118
    2. 대검찰청 사이버범죄수사단 : 02-3480-3571
    3. 경찰청 사이버테러대응센터 : (국번없이)182

부칙6

  1. 1) 본 계획은 2014년 10월 31일부터 시행한다.
  2. 2) 본 계획은 2015년 5월 12일부터 시행한다.
  3. 3) 본 계획은 2016년 9월 12일부터 시행한다.
  4. 4) 본 계획은 2018년 2월 7일부터 시행한다.
TOP