개인정보보호요령 개정(안).hwp
닫기
개인정보보호요령 개정(안)
1. 개정사유
■ 개인정보보호법 개정에 따른 관련 내용을 반영하고자 함 (개인정보 보호법, ‘20.2.4.)
■ 과기정통부 개인정보보호지침 개정에 따른 관련 내용을 반영하고자 함 (과기정통부 훈령 제3호)
2. 주요골자
■ 신설 조항
- 개인정보 보호 원칙, 개인정보 취급부서 책임자의 지정, 개인정보 파일 등록 및 공개, 홈페이지 개인정보 노출 방지 조치 등
■ 개정 조항
- 적용범위, 개인정보 보호 책임자의 지정, 개인정보처리방침의 수립 및 공개 등
3. 개정 내용 : 신구대비표 참조
4. 신구대비표
현 행 |
개 정(안) |
개정 사유 |
제2조(적용범위) 이 요령은 전자적 처리여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보를 운용하는 전 부서에 대하여 적용한다. |
제2조(적용범위) 이 요령은 전자적 처리여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보파일을 운용하는 전 부서에 대하여 적용한다. |
과기부 개인정보보호지침 제2조 준용 |
<신설> |
제4조(개인정보 보호 원칙) 개인정보는 다음 각 호의 사항을 준수하여 수집, 이용 및 제공, 관리, 파기되어야 한다. 1. 개인정보 수집 목적을 명확히 하고, 그 목적달성을 위해서 최소한의 개인정보만 처리 2. 개인정보 수집 목적에 부합하도록 정확하고 최신의 상태를 유지 3. 개인정보 수집 방법 및 종류 등에 따라 분실 또는 불법 접근, 파괴, 사용, 변조 등의 가능성과 그 위험정도를 고려하여 기술적·관리적· 물리적으로 안전하게 관리 4. 개인정보 파일대장·처리방침 등 개인정보 처리에 관한 사항은 공개 5. 정보주체의 열람, 정정·삭제 요구 등 정보주체의 권리를 보장 6. 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리하여야 한다. |
개인정보보호원칙신설(개인정보 보호법 제3조) 및 과기부 개인정보보호지침 제4조 준용 |
제5조(개인정보파일의 보유) ① 연구원이 개인정보파일을 보유하는 경우 다음 각 호의 사항을 준수한다. 1. 당해 보유파일의 기록항목, 개인정보의 범위, 보유(폐기)기간에 대해서는 문서관리요령의 문서보존연한이 정하는 바를 명시하여야 한다. 2. 수집된 개인정보는 안전하게 보관하여야 하며, 그 목적을 달성한 즉시 파기하여야 한다. 3. 영상정보처리기기를 통해 저장되는 영상정보는 안전한 보관시설을 마련하여 보관 또는 안전한 잠금장치를 설치·운영하여야 한다. ② 개인정보파일을 보유하는 부서는 보유일로부터 50일 내에 별표 제1호의 서식으로 개인정보보호 소관부서에 통보한다. <신설> |
제6조(개인정보파일의 보유) ① <좌동> ② 개인정보파일을 보유하는 부서는 보유일로부터 50일 내에 개인정보파일(등록·변경등록) 신청서[별표 제1호 서식]를 개인정보보호 소관부서에 통보한다. ③ 개인정보 보호책임자는 개인정보파일(등록·변경등록) 신청서를 받은 날부터 10일 이내에 개인정보보호종합지원시스템에 등록하여야 한다. |
과기부 개인정보보호지침 제9조 준용 |
제6조(개인정보의 목적 외 이용 및 제3자 제공) <생략> |
제7조(개인정보의 목적 외 이용 및 제3자 제공) <좌동> |
|
제7조(개인정보의 파기) ① 연구원은 다음 각 호의 사항에 해당되는 기준을 준수하여 개인정보를 파기한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니한다. 1. 개인정보의 보유기간이 경과된 경우에는 정당한 사유가 없는 한 보유기간의 종료일로부터 5일 이내 2. 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내 ② 개인정보의 파기방법은 다음 각 호와 같다. 1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각 ③ 연구원은 개인정보의 파기에 관한 사항은 별표 제3호의 서식으로 기록·관리한다. ④ 연구원이 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 법령에 따라 해당 개인정보 또는 개인정보파일을 보존한다는 점을 표시하고 다른 개인정보와 분리하여 저장·관리한다. |
제8조(개인정보의 파기) ① <좌동> ② <좌동> ③ 연구원은 개인정보의 파기에 관한 사항은 개인정보파일 파기요청서[별표 제3호 서식] 및 개인정보파일 파기 관리대장[제4호의 서식]으로 기록·관리한다. ④ <좌동> |
|
<신설> |
제9조(개인정보 파기 절차) 개인정보 취급부서 책임자는 개인정보파일 파기 요청서[별표 제3호 서식]를 개인정보 보호책임자에게 제출하여 승인을 받아 파기해야 하며, 개인정보파일 파기 관리대장[별표 제4호 서식]을 작성하고, 개인정보파일 파기 결과를 개인정보 보호책임자에게 보고해야 한다. |
과기부 개인정보보호지침 제21조 준용 |
제8조(개인정보 처리의 위탁) ① 연구원이 개인정보 처리 업무를 위탁받아 처리하는 자 (이하 “수탁자”라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려한다. ② 연구원이 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무의 목적 및 범위 2. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 3. 재위탁 제한에 관한 사항 4. 개인정보에 대한 접근 제한 등 기술적, 물리적 안전성 확보 조치에 관한 사항 5. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 6. 법 제26조제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 <신설> <신설> <신설> |
제10조(개인정보 처리의 위탁) ① <좌동> ② 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 위탁업무의 목적 및 범위 4. 재위탁 제한에 관한 사항 5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 ③ 개인정보 취급부서 책임자는 수탁자가 개인정보를 안전하게 보호하도록 하기 위한 관리적·기술적·물리적 조치를 지도·감독하여야 한다. ④ 개인정보 취급부서 책임자는 위탁관리 계약 요구사항을 구매업무부서에 요구하여야 하며, 구매담당부서에서는 위탁 계약서에 이를 반영하여야 한다. ⑤ 개인정보 취급부서 책임자는 연 1회 이상 수탁자에 대한 실태 점검을 수행하고 그 결과를 개인정보 보호책임자에게 보고하여야 한다. |
과기부 개인정보보호지침 제16조 준용 |
제9조(개인정보 유출) ① 연구원은 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 연구원의 대응조치 및 피해구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ② 연구원은 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다. 1. 정보주체에게 유출이 발생한 사실 2. 제1항의 통지항목 중 확인된 사항 ③ 연구원은 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 과학기술정보통신부에게 보고하여야 하며, 5일 이내에 행정안전부장관 또는 정부가 지정한 전문기관 중 어느 하나에 별표 제4호의 서식으로 신고한다. <개정 2016.02.11., 2017.08.21> ④ 제3항의 사유가 있는 때에는 제1항에 따라 통지하고 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 제1항의 사항을 7일 이상 게재하여야 한다. |
제11조(개인정보 유출) ① <좌동> ② <좌동> ③ 연구원은 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 과학기술정보통신부에게 보고하여야 하며, 5일 이내에 행정안전부장관 또는 정부가 지정한 전문기관 중 어느 하나에 개인정보 유출신고서[별표 제5호의 서식]로 신고한다. ④ <좌동> |
|
제10조(내부관리의 필수적 항목) 연구원은 개인정보의 안전한 처리를 위하여 법 제29조에 따라 다음 각 호의 사항을 규정하고 준수한다. 1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자·분야별 책임자·담당자·취급자의 역할 및 책임에 관한 사항 3.~5. <생략> |
제12조(내부관리의 필수적 항목) 연구원은 개인정보의 안전한 처리를 위하여 법 제29조에 따라 다음 각 호의 사항을 규정하고 준수한다. 1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자·개인정보 취급부서 책임자·담당자·취급자의 역할 및 책임에 관한 사항 3.~5. <좌동> |
|
제11조(개인정보 보호책임자의 지정) 연구원의 개인정보 보호책임자는 연구원 업무를 목적으로 수집·이용되는 개인정보의 처리 업무를 담당하는 부서의 장인 운영보안실장으로 한다. |
제13조(개인정보 보호책임자의 지정) 연구원의 개인정보 보호책임자는 연구원 업무를 목적으로 수집·이용되는 개인정보의 처리 업무를 담당하는 부서의 최상위 부서장으로 한다. |
과기부 개인정보보호지침 제5조 준용 |
제12조(개인정보 보호책임자의 역할 및 책임) <생략> |
제14조(개인정보 보호책임자의 역할 및 책임) <좌동> |
|
<신설> |
제15조(개인정보 취급부서 책임자의 지정) ① 연구원은 제13조에 따른 개인정보 보호책임자를 보좌하기 위하여 개인정보 취급부서 책임자를 임명·운영할 수 있다. ② 개인정보 취급부서 책임자는 해당부서의 부서장이 되며 개인정보 보호책임자의 업무를 보좌하여 해당부서의 개인정보보호업무를 총괄한다. ③ 개인정보 취급부서 책임자는 해당부서의 효율적인 개인정보보호업무를 수행하기 위하여 다음 각 호의 업무를 수행한다. 1. 개인정보 취급자 지정·관리·감독·교육 2. 개인정보파일 지정·관리·보호·파기 3. 공개 대상 개인정보파일 등록·공개 4. 공개 대상 개인정보파일의 처리 5. 영상정보처리기기 운영·관리 6. 개인정보보호 관련 자료 관리 및 제출 7. 개인정보 처리와 관련한 요구 처리 8. 개인정보 유출 통지 및 피해확산 방지 9. 개인정보 관련 개선 권고 및 시정 조치사항 이행 등 |
과기부 개인정보보호지침 제6조 준용 |
제13조~제24조 <생략> |
제16조~제27조 <좌동> |
|
<신설> |
제28조(정보주체의 동의를 받는 방법) 개인정보처리에 대하여 다음 각 호의 방법으로 정보주체의 동의를 받을 수 있다. 1. 동의 내용이 적힌 서면을 직접발급·우편·팩스 등의 방법으로 전달하고, 정보주체로 부터 직접 서명한 동의서를 받는 방법 2. 인터넷 홈페이지 등에 동의내용을 게재하고 정보주체가 동의여부를 표시하도록 하는 방법 등 |
과기부 개인정보보호지침 제15조 준용 |
<신 설> |
제29조(홈페이지 개인정보 노출 방지 조치) 개인정보보호 책임자는 해당기관의 홈페이지를 대상으로 다음 각 호의 사항들을 조치하여야 한다. 1. 게시내용에 대해 책임부서 지정, 부서장 승인 후 내용 게시 2. 홈페이지에 개인정보 필터링 솔루션 도입 방안 마련 3. 홈페이지 개인정보 노출 차단을 위한 주기적 모니터링 방안 마련 |
과기부 개인정보보호지침 제19조 준용 |
<신설> |
제30조(개인정보 유출 신고) ① 개인정보 취급부서 책임자는 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 지체 없이 개인정보 보호책임자에게 신고하여야 한다. |
과기부 개인정보보호지침 제32조 준용 |
제25조(개인정보 처리방침의 수립 및 공개) ① 연구원은 개인정보보호법 제30조 제1항에서 정한 사항이 포함된 「개인정보처리방침」을 수립, 인터넷홈페이지에 게재 한다. ② 연구원이 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게시한다. |
제31조(개인정보처리방침의 수립) 개인정보 보호책임자는 등록대상이 되는 개인정보파일에 대하여 다음 각 호의 내용이 포함된 개인정보처리 방침을 수립하여야 한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우) 5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항 6. 처리하는 개인정보 항목 7. 개인정보 파기 절차 및 방법 8. 개인정보 안전성 확보 조치 9. 권익침해 구제방법 10. 개인정보 보호책임자 및 담당자 연락처 11. 개인정보처리방침 변경(변경 전·후 비교 내용 및 시행 시기) |
과기부 개인정보보호지침 제10조 및 제11조 준용 |
<신설> |
제32조(개인정보처리방침의 공개) ① 개인정보 보호책임자는 개인정보보호 방침의 내용을 인터넷 홈페이지 등에 공개하여야 한다. ② 개인정보처리방침을 홈페이지에 게재 시에는 홈페이지 초기화면 하단 등에 아이콘, 배너 등을 통해 민원인들이 쉽게 찾아 볼 수 있도록 하여야 한다. ③ 개인정보처리방침에 관해 자체점검을 실시하고 필요에 의해 개인정보처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 다음 각 호의 방법에 따라 공개하여야 한다. 1. 인터넷 홈페이지에 지속적으로 게재하는 방법 2. 오프라인 상의 개인정보열람 창구 등 보기 쉬운 장소에 게시하는 방법 등 |
|
제26조(영상정보처리기기 운영·관리) <생략> |
제33조(영상정보처리기기 운영·관리) <좌동> |
|
(부칙추가) |
부 칙 ①(시행일) 이 요령은 2020년 월 일부터 시행한다. |
|
<별표 제1호> 개인정보파일 보유 통보서 <신설> <별표 제3호> 개인정보파일 파기 관리대장 <별표 제4호> 개인정보 유출신고서 |
<붙임 1> 참조 <붙임 2> 참조 <별표 제4호> 개인정보파일 파기 관리대장 <별표 제5호> 개인정보 유출신고서 |
과기부 개인정보보호지침 별지 서식 준용 |
<붙임1>
별표 제1호 [현행]
개인정보파일 보유 통보서
구 분 |
내 용 |
|
부서명 |
||
업무 분야 |
||
파일 명칭 |
||
보유 근거(1) |
||
보유 목적 |
||
수집 개인정보 항목 |
||
수집 방법 |
ㅇ 오프라인(신청서 등) ㅇ 온라인 |
|
파일 생성일 |
||
파일 보유기간 |
||
개인정보를 통상적 또는 반복적으로 제3자에게 제공하는 경우(2) |
제공 받는 자 |
|
제공 근거(3) |
||
제공하는 개인정보의 범위 |
||
개인정보의 주체 수 |
||
해당 개인정보의 처리 업무를 담당하는 부서 |
담당자 |
|
파일 접근방법 |
||
공동사용부서 |
||
개인정보 열람 요구를 접수 처리하는 부서 |
||
열람제한 및 거절 |
제한하는 개인정보 범위 |
|
제한 등 사유(4) |
* 개인정보파일 보유일로부터 50일 이내에 개인정보보호 소관부서에 통보
1) 개인정보보호법 제15조 제1항 참조
2) 수집 정보를 연구원 외 제3자에게 제공하는 것을 말함(해당 정보의 원내 활용과는 무관)
3) 개인정보보호법 제17조 제1항 참조
4) 개인정보보호법 제35조 제4항 참조
별표 제1호 [개정후]
개인정보파일 ([ ]등록 [ ]변경등록) 신청서 |
||||||||
※‘변경정보 및 변경사유’란은 변경등록 시에만 작성합니다. |
||||||||
업무분야 |
|
|||||||
개인정보파일 생성일자 |
부서명 |
취급자 |
||||||
등록항목 |
등록정보 |
변경정보 및 변경사유 |
||||||
개인정보파일 명칭 |
보유 기간․목적․항목 등이 다른 경우에는 별도의 개인정보파일로 관리 |
|||||||
개인정보파일 운영 근거 |
- 개인정보파일 수집․보유 근거 ※ 근거 법령(관련 조항기술) 또는 정보주체 동의 등 - 고유식별정보, 민감정보에 대한 보유근거 명확히 기술 예) 주민번호 : 00법 시행령 0조 기타 개인정보 : 00법 시행령 0조 |
|||||||
개인정보파일 운영 목적 |
||||||||
개인정보파일에 기록되는 개인정보 항목 |
- 필수항목 : - 선택항목 : |
|||||||
개인정보 처리방법 |
개인정보파일생성 혹은 업무수행을 위하여 개인정보를 처리하는 방법(“수기”, “전자적”, “수기와 전자적” 처리로 구분) |
|||||||
개인정보 보유기간 |
관련 법 또는 개인정보보호 책임관과 협의 후 기관장의 결재(위임․전결 규정) - 근거 기술(관련 법령 조문, 결재 문서번호 등) ※ 별표 1호.『 개인정보파일 보유기간 책정기준표』 참조 ※ 홈페이지 회원의 경우 2년 주기로 재동의 확인 후 보유 |
|||||||
개인정보를 통상적 또는 반복적으로 제공하는 경우 |
제공받는 자 |
- 통상적 혹은 반복적으로 제공하는 기관명 작성 ※ 통상적 또는 반복적은 1년에 1회 이상 제공 - 시스템 간 연계 제공의 경우 연계 기관명 작성 |
||||||
개인정보 범위 |
- 제공하는 개인정보의 항목 |
|||||||
개인정보파일로 보유하고 있는 개인정보의 정보주체 수 |
정보주체의 수 (중복자 제외) |
|||||||
개인정보 처리 관련 업무를 담당하는 부서 |
개인정보파일 내 일부정보를 활용하는 부서도 작성 |
|||||||
개인정보의 열람 요구를 접수ㆍ 처리하는 부서 |
|
|||||||
개인정보파일에서 열람을 제한하거나 거절할 수 있는 개인정보 범위 및 그 사유 |
개인정보 범위 |
정보주체에게 열람이 제한되는 개인정보 항목 |
||||||
사유 |
||||||||
「개인정보 보호법」 제32조제1항과 같은 법 시행령 제34조제1항에 따라 위와 같이 개인정보파일 ([ ]등록 [ ]변경등록)을 신청합니다. |
||||||||
년 월 일 |
||||||||
신청자 |
(서명 또는 인) |
|||||||
부서장 |
(서명 또는 인) |
<붙임2>
별표 제3호 [신설]
개인정보파일 파기 요청서
작성일 |
작성자 |
|||
파기 대상 개인정보파일 |
||||
생성일자 |
개인정보취급자 |
|||
주요 대상업무 |
현재 보관건수 |
|||
파기 사유 |
||||
파기 일정 |
||||
특기사항 |
||||
파기 승인일 |
승인자 (개인정보 보호책임자) |
|||
파기 장소 |
||||
파기 방법 |
||||
파기 수행자 |
입회자 |
|||
폐기 확인 방법 |
||||
백업 조치 유무 |
||||
매체 폐기 여부 |