개인정보 처리 동의 안내서(CSAP)

hoegon kim·2022년 11월 29일
0

정보보안교육

목록 보기
1/22
post-thumbnail

목차

① 개요
1. 추진배경
2. 동의 제도 의의
3. 국내ㆍ외 개인정보 법ㆍ제도 현황
4. 적용대상

② 동의를 받을 때 준수할 사항
1. 필요한 최소한의 개인정보 처리
2. 동의내용의 명확한 고지
3. 정보주체의 능동적 의사 확인
4. 정보주체의 선택권 보장

③ 동의서 작성 방법 및 조치사항
1. 동의서 작성 전 확인사항
2. 동의서 작성
3. 동의 후 조치사항

① 개요

1. 추진배경

  1. 바람직한 동의 제도 구현을 위한 원칙 제시
    1-1) 과도한 동의 요구 관행 및 동의 의 형식화 제시
    1-2) 필요한 최소한의 개인정보 처리, 동의 내용의 명확한 고지, 정보주체의 능동적 선택권 보장 등 동의 시 준수할 사항을 제시

  2. 단계별 동의서 작성 방법 및 사례 안내
    2-1) 개인정보처리자가 정보주체의 실질적인 동의권을 보장할 수 있도록 단계별로 동의서 작성 방법을 설명
    2-2) 개인정보처리자가 쉽게 동의서를 작성할 수 있도록 실제 동의서 작성 사례 등을 검토하여 주요 분야 동의서 작성 예시를 안내

2. 동의 제도의 의의

  1. 개인정보자기결정권의 중요한 실현 수단
    1-1) 헌법 : 제10조 모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다. 국가는 개인이 가지는
    불가침의 기본적 인권을 확인하고 이를 보장할 의무를 진다.
    제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다
    1-2) 개인정보 보호법 : 개인정보의 처리에 관한 정보를 제공받을 권리
    개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

  2. 개인정보 처리 적법 요건으로서의 동의
    다른 개인정보 처리 요건과 달리 ‘동의’는 정보주체가 자신의 개인정보 처리 여부에 대한 통제권을 행사할 수 있는 수단

3. 국내ㆍ외 개인정보 법ㆍ제도 현황

3-1)국내 개인정보 법 제도
3-2)해외 개인정보 법 제도

4. 적용 대상

동의를 받아 개인정보를 처리하는 공공기관 및 민간사업자 등 모든 개인정보처리자

② 동의를 받을 때 준수할 사항

1. 필요한 최소한의 개인정보 처리

1-1) 필요한 최소한의 개인정보만을 수집하여야 함

개인정보를 수집하여 수행하려는 업무 목적 등을 고려하여 합리적인 범위 내에서 필요한 최소한의 개인정보를 수집하여야 함

  • 채용 계약의 경우, 채용 계약의 체결ㆍ이행과 관련 있는 정보만 수집하고 가족사항 등 직접 관련없는 개인정보는 수집하지 않아야 함

수집 목적에 비추어 필요한 최소한의 개인정보를 수집하는 경우에도 수집대상인 개인정보의 항목은 정보주체의 의사를 존중할 필요

  • 연락처가 필요한 경우, 휴대전화번호, 자택전화번호, 회사전화번호, 전자우편 주소 등의 연락처 중 각각의 용도를 정보주체에게 알리고, 정보주체의 선택에 따라 필요한 최소한의 개인정보를 수집하여야 함

개인정보 처리 목적에 필요한 범위 내에서 최소한의 개인정보라는 입증책임은 개인정보 처리자가 부담함

  • 수집한 정보도 불필요하게 된경우에는 파기하는 등 지속적으로 관리하여야 함

1-2) 필요한 시점에 수집

개인정보의 이용 여부가 불확실함에도 미리 수집하는 것은 불필요한 개인정보 수집에 해당할 수 있어 개인정보의 이용이 필요한 시점에 수집하여야 함

회원가입 및 회원 서비스 제공에 필요한 개인정보만 수집하고, 온라인 결제ㆍ배송 관련 개인정보는 해당 시점에 수집하는 것이 바람직

  • 다만, 온라인 결제ㆍ배송 서비스를 반복적으로 이용하고자 하는 정보주체를 위하여 정보주체의 자율적인 선택으로 온라인 결제ㆍ배송과 관련된 정보를 미리 수집하는 것은 가능

1-3) 필요한 최소한의 개인정보 제공

필요한 최소한의 개인정보만을 제공하여야 함

제공하는 개인정보의 항목을 최소화 하여 제공

  • 제공받는 자의 이용목적 등과 관계없이 지나치게 많은 개인정보를 제공하지 않도록 주의하여야 함

개인정보를 제공받는 제3자의 범위를 최소화하여 제공

  • 제공받는 자의 범위를 "~등"으로 포괄적으로 고지하여 개인정보처리자의 임의로 그 범위가 확대되지 않아야 하고, 제공받은 제3자를 확인할 수 있는 홈페이지 링크 등을 안내해야함

※ 개인정보를 제공받는 제3자의 특정이 어려운 특별한 사정이 있는 경우, 특별한 사정 및 제3자의 유형등을 알리고 동의를 받을 수 있음

2. 동의내용의 명확한 고지

2-1) 개인정보 처리 주체(개인정보처리자)고지

개인정보를 처리하는 주체(개인정보처리자)가 누구인지 명확히 고지하여야 함

개인정보 처리자가 동의서 등에 명확히 드러나지 않는 경우, 동의의 효력에 관한 문제가 제기될 수 있음

  • 개인정보 처리 업무 수탁자가 개인정보처리자를 대신하여 개인정보 수집 동의를 받는 경우 등에는 개인정보 처리의 위탁을 받아 처리하고 있다는 사실과 위탁자인 개인정보 수집 주체가 누구인지 명확히 하여야 함

  • 정보주체가 온라인 플랫폼을 이용하는 경우에 사업자 또는 판매자 중 처리가 주체가 누구인지 명확히 안내하여야 함

2-2) 개인정보 처리 내용 고지

수집 이용 : 목적 항목 보유 및 이용기간 동의를 거부할 권리

제공 : 제공받는자 목적 항목 보유 및 이용기간 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이있다면 그 불이익의 내용

개인정보 수집 항목 등은 구체적으로 명시하는 것이 바람직

동의 거부 시 불이익의 내용은 구체적이고 명확하게 고지하여 정보주체의 동의 선택원이 침해되지 않도록 하여야 함

동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야함

수행하려는 개인정보 처리가 2가지 이상인 경우, 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야함

※ 정보주체로부터 동의를 받아 성명, 연락처, 주소, 생년월일을 '회원관리'목적으로 수집 이용하고. 제휴 서비스 제공 목적으로 다른 사업자에게 성명, 연락처, 생년월일을 제공하려고 하는 경우에는 개인정보의 수집 이용과 다른 사업자에게의 제공을 구분하여 알리고, 각각 동의를 받아야 함

2-3) 홍보 목적의 개인정보 처리

상품 및 서비스 홍보와 마케팅 목적으로 개인정보를 수집하는 경우에는 그 목적을 명확히 알 수 있도록 고지하여야 함

계약의 체결 이행을 위해 불가피한 경우에 해당하여 개인정보를 수집하는 경우가 아니라면 쿠키 등을 통해 개인정보를 수집하는 경우에는 정보주체의 동의를 받은 후 수집하여야 함

2-4) 고유식별정보 및 민감정보의 별도 동의

주민등록번호를 제외한 고유식별정보 및 민감정보는 법령에 근거가 있거나 별도로 동의를 받은 경우에만 처리할 수 있음

주민등록번호는 법률ㆍ대통령령ㆍ국회규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회 규칙 및 감사원규칙에 근거가 있는 경우에 한하여 처리할 수 있음

3. 정보주체의 능동적 의사 확인

4. 정보주체의 선택권 보장

③ 동의서 작성 방법 및 조치사항

1. 동의서 작성 전 확인사항

1-1) 업무처리에 필요한 개인정보 확인

처리하고자 하는 업무에 반드시 필요한 최소한의 개인정보 결정

※ 예시) 스마트폰 앱 설치ㆍ운영 업무에 반드시 필요한 개인정보 외의 개인정보를 추가적으로 수집하는 것은 최소수집 원칙 등에 위반됨

고유식별정보* 나 민감정보**가 있는지 확인

1-2) 동의가 필요한지 여부 확인

동의가 필요한지 여부(법령에 근거가 있는 경우 등)확인

  • 동의가 필요한 경우에 동의서를 작성하고, 동의가 필요하지 않은 경우에는 수집ㆍ이용 근거를 안내

1-3) 개인정보의 보유기간 확인

수집ㆍ이용하는 개인정보의 보유기간 설정
※ 관련 법령이나 내부 개인정보 처리방침을 참고

개인정보 처리방침을 통해 보유기간을 정해놓지 않은 경우, 업무 특성을 고려하여 필요한 최소한의 보유기간을 설정

1-4) 개인정보의 제3자 제공 여부 확인

개인정보를 제3자에게 제공할 필요가 있는지 확인

    1. 개인정보를 제공받는자
    1. 개인정보를 제공받는 자의 개인정보 이용 목적
    1. 제공하는 개인정보 항목
    1. 개인정보를 제공받는 자의 개인정보 보유 및 보유기간
    1. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용 확인

1-5) 개인정보 처리업무 위탁 여부 확인

개인정보 처리 위탁 시 위탁에 대한 정보주체의 동의는 불필요
※ 위탁사실, 위탁내용, 수탁자를 홈페이지 등에 게시할 필요

1-6) 개인정보 목적 외 이용ㆍ제공 여부 확인

  • 동의를 받은 사항(항목, 목적, 보유ㆍ이용 기간 등)을 변경하는 경우 이를 알리고 동의를 받아야 함
  • 업무여건 변화 등으로 수집ㆍ이용 중인 개인정보를 수집 목적 외로 이용하거나 제3자에게 제공하려는 경우에는 별도의 동의 필요

1-7) 동의 거부시 불이익 확인

동의하면 제공하려는 편익의 내용을 명확히 할 필요
※ 해당 개인정보 처리와 직접 관련없는 재화나 서비스의 판매를 거부하는 등 부당한 불이익을 주어서는 아니 됨

2. 동의서 작성*전자문서를 포함한 서면 동의서

2-1) 동의서 제목 기재

  • 동의서의 목적과 내용을 쉽게 이해할 수 있도록 동의서 제목을 작성
    ※ 예시) OO이벤트를 위한 개인정보 수집ㆍ이용 동의서

  • 수집ㆍ이용과 함께 제3자 제공도 하려는 경우, 이에 대한 사실도 명시
    ※ 예시) OO회원가입을 위한 개인정보 수집ㆍ이용 및 제3자 제공 동의서

2-2) 동의내용 기재

처리하려는 개인정보의 항목, 목적, 처리내용, 보유 및 이용기간 등 동의 내용을 작성

2-3) 개인정보 제3자 제공 내용 기재(필요시)

2-4) 민감정보ㆍ고유식별정보 처리 내용 기재(필요시)

  • 민감정보나 고유식별정보를 처리하기 위하여 정보주체의 동의가 필요한 경우, 아래의 예시와 같이 동의서를 별도로 작성하여야 함
    ※ 법령의 근거등으로 동의가 불필요한 경우, 그 내용을 안내하는 것이 바람직

  • 민감정보나 고유식별정보 처리의 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재

2-5) 정보주체의 동의 없이 처리하는 개인정보 내역 기재

2-6) 개인정보 처리 주체(개인정보처리자) 기재

2-7) 동의 거부권 및 동의 거부에 따른 불이익 기재

  • 개인정보 처리에 관한 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재
    ※ 예시) 위 개인정보 수집ㆍ이용 동의를 거부할 권리가 있습니다. 동의를 거부하는 경우 동의 시에 제공하는 OO서비스를 제공받을 수 없습니다.

3 동의 후 조치사항

3-1) 동의의사 확인

  • 동의의사를 서명이나 날인 등으로 확인
  • 정보주체가 만 14세 미만의 아동이라면 법정대리인의 동의 확인

3-2) 동의의 입증

  • 처리하고자 하는 개인정보 업무수행에 꼭 필요한 정보인지는 해당 개인정보를 처리하는 개인정보처리자가 입증하여야 함

  • 동의를 받아 개인정보를 처리하는 경우, 개인정보 처리 근거에 관한 분쟁 등을 대비하여 동의를 받았음을 입증할 수 있어야 함

  • 입증은 특정 개인정보 처리에 관하여 해당 개인정보의 정보주체가 자유로운 의사로 동의하였음을 입증할 수 있는 방법*이면 개인정보 처리자가 자유롭게 그 방법을 정할수 있음

    • 동의내용의 녹음, 서면 동의서의 보관 등

  • 다만, 동의의 입증을 이유로 현재 처리하는 개인정보 이상의 개인정보를 추가적으로 처리하는 것은 바람직하지 않음*
    * 정보주체의 동의를 받아 성명, 전화번호, 주소를 처리하면서 동의 입증을 위해 보관하는 동의서에 생년월일 등 추가적인 인적사항을 기재하는것은 잘못된 처리임

profile
hoegon kim
다음 포스트

개인정보 수집 최소화 가이드라인(CSAP)

0개의 댓글