개인정보처리방침
삼척시도계노인복지관은 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 등 정보통신서비스제공자가 준수하여야 할 관련 법규상의 개인정보보호 규정을 준수하며, 관련 법령에 의거한 개인정보처리방침을 정하여 이용자 권익 보호에 최선을 다하고 있습니다.
제1절 총 칙
제 1 조(목적)
이 개인정보보호 규정은 「개인정보보호법」에 따라 제정한 것으로 삼척시도계노인복지관 (이하 “복지관”이라 한다)이 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조ㆍ훼손 또는 오ㆍ남용되지 아니하도록 함을 목적으로 한다.
또한 규정에는 개인정보의 안전한 보호 및 관리를 위하여 필요한 기술적․관리적 및 물리적 조치를 포함한다.
또한 규정에는 개인정보의 안전한 보호 및 관리를 위하여 필요한 기술적․관리적 및 물리적 조치를 포함한다.
제 2 조(적용 범위)
이 개인정보보호 규정은 정보통신망을 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통하여 수집, 이용, 제공 또는 관리되는 개인정보에 대하여서도 적용하며, 이러한 개인정보를 직접 취급하는 내부 임직원 및 외부업체 직원 등에 대하여 적용한다.
제 3 조(용어의 정의)
이 지침에서 사용하는 용어의 뜻은 다음과 같다.
- “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알 아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다) 를 말한다
- “개인정보 처리”란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검 색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사 한 행위를 말한다
- “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총 괄하여 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다.
- “개인정보 보호담당자”란 개인정보 보호책임자가 업무를 수행함에 있어 보조 적인 역할을 하는 자를 말하며, 개인정보보호 책임자가 일정 요건의 자격을 갖춘 이를 지정한다.
- “개인정보취급자”란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하 는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의하여 개인정보에 접근하여 처리하는 모든 자를 말한다.
- “개인정보처리시스템”이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
- “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유․무선망을 통하여 전송하는 일체의 장치로서 「개인정보 보호법」(이하 “법”이라 한다) 시행령 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.
- “개인영상정보”라 함은 영상정보처리기기에 의하여 촬영․처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
- “영상정보처리기기 보호책임자”라 함은 영상정보처리기기에 대한 전반적인 총괄과 책임을 지는 자를 말한다.
- “영상정보처리기기 운영자”라 함은 영상정보처리기기 보호책임자에 의하여 지정되어 영상정보처리기기를 설치ㆍ운영하는 자를 말한다.
- “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따 라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
제2절 개인정보 보호체계
제 4 조(개인정보 보호담당자)
① 개인정보 보호담당자는 개인정보 보호에 관한 실무를 담당한다.
② 개인정보 보호담당자는 다음 각 호의 업무를 수행한다.
② 개인정보 보호담당자는 다음 각 호의 업무를 수행한다.
- 개인정보 보호계획 및 방침 운영
- 개인정보 침해대응
- 개인정보 처리실태 관리 및 각종자료 취합
제 5 조(개인정보취급자)
① 분야별 책임자는 개인정보를 취급하는 업무 담당자를 개인 정보취급자로 지정하여 책임 및 권한을 부여한다.
② 개인정보취급자는 다음 각 호의 업무를 수행한다.
② 개인정보취급자는 다음 각 호의 업무를 수행한다.
- 업무를 수행함에 있어 처리되는 개인정보에 대한 보호관리(개인정보의 수집․ 보유․이용 및 제공․파기단계에서의 관리)
- 웹사이트에 게재되는 개인정보에 대한 안전한 관리
- 영상정보처리기기 화상정보에 대한 보호관리
- 개인정보의 열람, 정정, 삭제 시 보호관리
제3절 개인정보 보호 교육
제 6 조(개인정보 보호 교육계획의 수립)
① 개인정보 보호 교육계획은 상시교육과 정기 교육으로 구분하여 계획을 수립한다
- 상시교육은 개인정보 보호를 위하여 비정기적으로 실시하며, 개인정보 보호 책임자가 필요에 따라 교육계획을 수립
- 예) 집체교육, 인터넷교육, 외부 개인정보 보호교육 참여
- 정기교육은 매년 2회(상․하반기)이상 실시
② 교육계획 수립 시 다음 각 호의 항목을 포함하여 계획을 구체적으로 수립한다
- 교육목적 및 대상
- 교육내용
- 교육일정 및 방법
제 7 조(교육계획 시행)
① 개인정보 보호담당자는 교육 수행의 품질 향상을 위하여 다음 각 호의 방법에 따라 교육을 수행할 수 있다
- 개인정보 전문강사 섭외를 통한 교육 수행
- 외부 제공, 또는 자체 운영 온라인교육을 통한 교육 수행
제4절 개인정보의 안전성 확보조치
제 8 조(개인정보처리시스템)
개인정보처리시스템은 다음과 같다.
- 홈페이지 회원 가입, 온라인 신청 등 개인정보를 수집하는 웹서버
- 기타 DB내 개인정보를 포함한 시스템
제 9 조(개인정보취급자 접근권한 관리 및 인증)
① 개인정보처리시스템의 업무 수행에 필요한 접근권한을 각 업무 담당자에게 차등부여 한다.
② 접근권한을 받은 업무 담당자의 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우, 지체 없이 변경 또는 말소하여야 한다.
③ 접근권한 부여, 변경, 말소에 대한 내역은 접근권한 관리대장에 기록하여 3년간 보관하여야 한다.
④ 개인정보처리시스템 접속 시의 사용자 계정은 개인정보취급자별 하나의 계정으로 발급하여야 한다.
② 접근권한을 받은 업무 담당자의 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우, 지체 없이 변경 또는 말소하여야 한다.
③ 접근권한 부여, 변경, 말소에 대한 내역은 접근권한 관리대장에 기록하여 3년간 보관하여야 한다.
④ 개인정보처리시스템 접속 시의 사용자 계정은 개인정보취급자별 하나의 계정으로 발급하여야 한다.
제 10 조(비밀번호 관리)
재단은 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성기본원칙을 수립하여 적용하여야 한다.
제 11 조(개인정보의 암호화)
① 개인정보를 정보통신망을 통하여 송ㆍ수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 업무용 컴퓨터에 고유식별정보 및 개인정보파일을 저장하여 관리하는 경우, 상용 암호화 소프트웨어 또는 문서파일에서 제공하는 암호화를 사용하여 저장하여야 한다.
② 업무용 컴퓨터에 고유식별정보 및 개인정보파일을 저장하여 관리하는 경우, 상용 암호화 소프트웨어 또는 문서파일에서 제공하는 암호화를 사용하여 저장하여야 한다.
제 12 조(보안 프로그램의 설치 및 운영)
악성 프로그램 등을 방지ㆍ치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
제 13 조(물리적 접근 제한)
① 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입 통제절차를 수립ㆍ운영하여야 한다.
② 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
② 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
제5절 개인정보의 처리단계별 관리방안
제 14 조(개인정보의 수집)
① 각 부서에서 개인정보를 수집(온라인, 오프라인을 포함한다)하는 경우 정보주체의 동의를 받아야 한다.
- 주민등록번호 외 고유식별정보를 수집하는 경우, 별도 동의를 받도록 함
- 제3자 제공이나 민감정보 수집의 경우, 별도 동의를 받도록 함
제1항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 하며, 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 개인정보의 수집ㆍ이용목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경 우에는 그 불이익의 내용
제 15 조(개인정보의 이용ㆍ제공 및 제한)
① 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 이용하거나 제3자에게 제공(공유를 포함한다)할 수 있다.
- 정보주체의 동의를 받은 경우
- 개인정보를 수집한 목적범위 내에서 개인정보를 제공하는 경우
- 그 외의 사항은 개인정보를 제공할 수 없음
제 15 조(개인정보의 이용ㆍ제공 및 제한)
① 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 이용하거나 제3자에게 제공(공유를 포함한다)할 수 있다.
- 정보주체의 동의를 받은 경우
- 개인정보를 수집한 목적범위 내에서 개인정보를 제공하는 경우
- 그 외의 사항은 개인정보를 제공할 수 없음
제 16 조(개인정보의 파기방법 및 절차)
① 개인정보의 보유기간이 경과된 경우에는 정당한 사유가 없는 한 보유기간의 종료일로부터 5일 이내에, 개인정보의 처리목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기하여야 한다.
제6절 개인정보파일 관리기준
제 17 조(개인정보파일의 등록 주체와 절차)
① 개인정보 보호담당자는 개인정보파일 목록을 현행화하여 관리한다.
② 각 부서에서 취급하는 개인정보파일은 반드시 개인정보 보호책임자에게 등록 신청을 한 후 사용하도록 한다
② 각 부서에서 취급하는 개인정보파일은 반드시 개인정보 보호책임자에게 등록 신청을 한 후 사용하도록 한다
제 18 조(개인정보파일의 등록 및 변경)
① 개인정보파일을 운용하는 각 부서 개인정보 취급자는 해당 개인정보 보호책임자에게 개인정보파일 사용을 신청하여야 한다.
② 개인정보파일 사용 신청은 개인정보보호지침이 정하는 개인정보파일 (사용, 변경사용) 신청서를 작성하여야 한다.
② 개인정보파일 사용 신청은 개인정보보호지침이 정하는 개인정보파일 (사용, 변경사용) 신청서를 작성하여야 한다.
제 19 조(개인정보파일의 파기)
① 각 부서에서 운영하던 개인정보파일의 보유목적 달성 등 해당 개인정보파일의 보유가 불필요하게 된 경우, 개인정보보호지침이 정하는 개인정보파 일 파기 요청서를 작성하여 개인정보 보호책임자의 승인을 득한 후, 개인정보파일을 파기하고 부서장 확인을 받아 개인정보보호지침이 정하는 개인정보파일 파기 관리대장에 따라 기록․관리한다.
제 20 조(개인정보파일대장 작성)
① 각 부서에서 소관업무 수행을 위하여 보유하는 개인정보파일에 대한 종합적인 사항을 일정한 양식에 따라 기록한 장부로서 각 부서별로 개인정보 파일대장을 작성하여 보관하여야한다.
② 개인정보파일대장은 개인정보파일을 신규 보유하게 되거나 다른 기관으로부터 제공받아 보유하게 되면 작성하되 1개의 개인정보파일에 1개의 개인정보파일대장을 작성하여야 한다.
② 개인정보파일대장은 개인정보파일을 신규 보유하게 되거나 다른 기관으로부터 제공받아 보유하게 되면 작성하되 1개의 개인정보파일에 1개의 개인정보파일대장을 작성하여야 한다.
제 21 조(개인정보파일 보유기간의 산정)
① 보유기간은 전체 데이터가 아닌 개별 데이터의 보유부터 삭제까지의 생애주기로서 보유목적에 부합하는 최소기간으로 산정하여야 한다.
② 보유기간 산정은 다음 예시와 같이 개별 법령의 규정에 명시된 자료 보존기간에 따라 산정하여야 한다.
② 보유기간 산정은 다음 예시와 같이 개별 법령의 규정에 명시된 자료 보존기간에 따라 산정하여야 한다.
- 보유기간은「공공기록물 관리에 관한 법률 시행령」에 따른 기록물의 보존 기간별 책정기준 및 기록관리기준표를 상회할 수 없음
③ 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호담당자와 협의를 거쳐 개인정보 보호책임자의 결재를 통하여 산정하여야 한다.
제 22 조(개인정보파일 현황 공개 및 방법)
개인정보 보호책임자는 개인정보파일의 보유․파기현황을 주기적으로 조사하여 그 결과를 해당 개인정보 처리방침에 포함하여 관리하여야 한다.
7절 영상정보처리기기 설치․운영
제 23 조(영상정보처리기기의 보호책임자 지정)
① 영상정보처리기기 보호책임자는 재단 운영을 총괄하는 부서장으로 한다.
② 영상정보처리기기 보호책임자는 영상정보의 운영을 수행할 수 있는 영상정보 처리기기 운영자를 지정하여 실질적인 업무를 수행하게 한다.
③ 개인영상정보 보호책임자는 다음과 같은 사항에 대하여 업무를 수행하여야 한다.
② 영상정보처리기기 보호책임자는 영상정보의 운영을 수행할 수 있는 영상정보 처리기기 운영자를 지정하여 실질적인 업무를 수행하게 한다.
③ 개인영상정보 보호책임자는 다음과 같은 사항에 대하여 업무를 수행하여야 한다.
- 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
- 개인영상정보 유출 및 오․남용 방지 및 안전성 확보
- 개인영상정보 파일의 보호 및 파기에 대한 관리․감독
- 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
제 24 조(영상정보처리기기의 운영)
영상정보처리기기의 운영에 관한 사항은 다음과 같다
| 구분 | 소속 | 직위 |
|---|---|---|
| 보호책임자 | 운영팀 | 부장(팀장) |
| 접근권한자 | 운영팀 | 개인정보보호업무담당자 |
제 25 조(안내판 설치)
① 영상정보처리기기 안내판에 들어갈 내용은 다음과 같다.
- 설치목적 및 장소
- 촬영범위 및 시간
- 보호책임자의 성명 또는 직책 및 연락처
- 영상정보처리기기 설치ㆍ운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
제 26 조(개인 이용ㆍ제3자 제공 등의 제한)
영상정보처리기기 운영자는 개인영상정보를 수집목적 이외로 이용하거나 제3자에게 제공하는 경우에는 개인정보보호지침이 정하는 개인영상정보 관리대장에 기록하고 이를 관리하여야 한다
제 27 조(보관 및 파기)
① 영상정보처리기기 운영자는 수집한 개인영상정보를 영상정보처리기기 운영․관리 방침에 명시한 보관기간이 만료한 때에는 지체 없이(24시간 내) 파기하여야 한다.
제 28 조(파기의 기록 및 관리)
영상정보처리기기 운영자가 개인영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리한다.
- 파기하는 개인영상정보 파일의 명칭
- 개인영상정보 파기일시(사전에 파기시기 등을 정한 자동삭제의 경우에는 파 기주기 및 자동삭제 여부에 대한 확인시기)
- 개인영상정보 파기 담당자
제 29 조(영상정보처리기기 설치 및 관리 등의 위탁)
① 영상정보처리기기 보호책임자는 영상정보처리기기의 설치․운영에 관한 사무를 제3자에게 위탁하는 경우에는 그 내용을 정보주 체가 언제든지 쉽게 확인할 수 있도록 안내판 및 영상정보처리기기 운영․관리방침에 따른 수탁자의 명칭 등을 공개하여야 한다.
제 30 조(개인정보의 안전성 확보를 위한 조치)
영상정보처리기기 운영자는 개인영상정보가 분실 도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 다음 각 호의 조치를하여야 한다.
- 개인영상정보의 안전한 처리를 위한 보호 규정의 수립․시행
- 개인영상정보에 대한 접근 통제 및 접근권한의 제한조치
- 개인영상정보를 안전하게 저장ㆍ전송할 수 있는 기술의 적용(네트워크 카메 라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장 시 비밀 번호 설정 등)
제8절 개인정보의 열람
제 31 조(개인정보의 열람 청구)
① 개인정보의 열람 청구를 접수하는 부서를 지정하고 개인정보 처리방침에 해당 부서의 이름, 연락처, 주소 등을 기재하여야 한다.
개인정보 열람 청구를 접수하는 부서는 재단 운영을 총괄하는 부서로 한다.
② 접수된 개인정보 열람 청구에 대해서는 개인정보를 직접 보유․운영하는 각 해당 부서로 신속히 이첩하여 처리하게 한다.
개인정보 열람 청구를 접수하는 부서는 재단 운영을 총괄하는 부서로 한다.
② 접수된 개인정보 열람 청구에 대해서는 개인정보를 직접 보유․운영하는 각 해당 부서로 신속히 이첩하여 처리하게 한다.
제 32 조(개인정보의 열람절차)
① 해당 부서의 장은 정보주체에게 개인정보보호지침이 정하는 개인정보 열람 요구서를 통하여 개인정보의 열람을 접수하였을 경우에는 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 필요한 조치를 취하고 그 결과를 정보주체에게 개인정보보호지침이 정하는 개인정보 열람 통지서를 통하여 알린다.
② 10일 이내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 소멸한 날로부터 10일 이내에 열람하게 하여야 한다.
② 10일 이내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 소멸한 날로부터 10일 이내에 열람하게 하여야 한다.
제 33 조(개인정보의 열람의 제한ㆍ연기 및 거절)
해당 부서의 장은 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 이 경우 열람 요구를 받은 날로부터 10일 이내에 연기 또는 거절의 사유 및 이의제기 방법을 개인정보보호지침이 정하는 개인정보 열람연기․거절 통지서를 통하여 해당 정보 주체에게 알려야 하고, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 한다. 열람의 제한․연기 및 거절에 해당하는 내역은 다음 각 호와 같다.
- 법률에 따라 열람이 금지되거나 제한되는 경우
- 다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
제9절 개인정보의 정정․삭제 및 처리정지
제 34 조(개인정보의 정정ㆍ삭제 및 처리정지절차)
① 정정․삭제 및 처리정지에 대한 접수는 열람청구를 접수․처리하는 부서를 통하여 한다.
② 해당 부서의 장은 정보주체에게 개인정보보호지침이 정하는 서식을 통하여 개인정보의 정정․삭제 및 처리정지를 요구 받은 경우에는 10일 이내에 정보 주체의 요구에 필요한 조치를 취하고 그 결과를 개인정보보호지침이 정하는 서식을 통하여 알린다.
③ 다른 개인정보처리자로부터 개인정보를 제공받아 개인정보파일을 처리하는 경우에는 그 요구에 따라 해당 개인정보를 정정․삭제 및 처리정지를 하거나 그 개인정보의 정정․ 삭제 및 처리정지 요구서를 해당 개인정보를 제공한 기관의 장에게 지체 없이 보내고 그 처리결과에 따라 필요한 조치를 하여야 한다.
② 해당 부서의 장은 정보주체에게 개인정보보호지침이 정하는 서식을 통하여 개인정보의 정정․삭제 및 처리정지를 요구 받은 경우에는 10일 이내에 정보 주체의 요구에 필요한 조치를 취하고 그 결과를 개인정보보호지침이 정하는 서식을 통하여 알린다.
③ 다른 개인정보처리자로부터 개인정보를 제공받아 개인정보파일을 처리하는 경우에는 그 요구에 따라 해당 개인정보를 정정․삭제 및 처리정지를 하거나 그 개인정보의 정정․ 삭제 및 처리정지 요구서를 해당 개인정보를 제공한 기관의 장에게 지체 없이 보내고 그 처리결과에 따라 필요한 조치를 하여야 한다.
제 35 조(개인정보의 정정ㆍ삭제 및 처리정지의 제한 및 거절)
① 다른 법령에서 그 개인정보가 수집대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. 이 경우 지체 없이 그 내용을 정보주체에게 개인정보보호지침이 정하는 서식을 통하여 알린다.
② 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
② 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경 우
- 다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관업무를 수행할 수 없는 경우
- 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하 는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지의사를 명확하게 밝히지 아니한 경우
정보주체의 요구에 따라 처리가 정지되거나 삭제할 개인정보에 대하여는 지체 없이 해 당 개인정보의 파기 등 필요한 조치를 하여야 한다. 단, 파기를 할 때에는 복구 또는 재생되지 않도록 조치하여야 한다.
제 36 조(개인정보 처리방침의 공개)
법 제30조제2항에 따라 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지를 통하여 지속적으로 개제하여야 하며, 이 경우 개인정보 처리방침이라는 명칭을 사용하되, 글자 크기․색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
제 37 조(개인정보 처리방침의 변경)
개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보 주체가 쉽게 확인할 수 있도록 변경 전․후를 비교하여 공개하여야 한다.
제 38 조(개인정보 처리방침의 작성기준 등)
① 개인정보 처리방침을 작성하는 때에는 법 제30조 제1항제1호부터 제5호 및 법 시행령 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.
② 개인정보의 처리목적에 필요한 최소한의 개인정보라는 점을 밝혀야 한다.
③ 목적에 필요한 최소한의 개인정보 이외에 개인별 맞춤서비스 등을 위하여 처리하는 개인정보의 항목이 있는 경우에는 양자를 구별하여 표시하여야 한다.
② 개인정보의 처리목적에 필요한 최소한의 개인정보라는 점을 밝혀야 한다.
③ 목적에 필요한 최소한의 개인정보 이외에 개인별 맞춤서비스 등을 위하여 처리하는 개인정보의 항목이 있는 경우에는 양자를 구별하여 표시하여야 한다.
제 39 조(필수적 기재사항)
개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.
- 개인정보의 처리목적
- 개인정보의 처리 및 보유기간
- 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
- 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
- 정보주체의 권리․의무 및 그 행사방법에 관한 사항
- 처리하는 개인정보의 항목
- 개인정보의 파기에 관한 사항
- 개인정보 보호책임자에 관한 사항
- 개인정보 처리방침의 변경에 관한 사항
- 시행령 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
제 40 조(임의적 기재사항)
개인정보처리자는 제50조의 필수적 기재사항 이외에도 다음 각 호의 사항을 개인정보 처리방침에 포함할 수 있다.
- 정보주체의 권익 침해에 대한 구제방법
- 개인정보의 열람 청구를 접수․처리하는 부서
제 41 조(자체점검 주기 및 절차)
① 개인정보 보호책임자는 개인정보보호를 위한 보호 규정 및 관련 법령에서 정하는 개인정보보호 규정을 성실히 이행하는지를 주기적으로 점검하여야 한다.
② 개인정보 보호책임자는 개인정보 자체점검을 위한 점검대상, 점검절차 및 방법 등 점검의 실시에 관하여 필요한 별도의 계획을 수립할 수 있다.
③ 개인정보 보호 자체점검은 최소 연 1회 이상 실시한다.
② 개인정보 보호책임자는 개인정보 자체점검을 위한 점검대상, 점검절차 및 방법 등 점검의 실시에 관하여 필요한 별도의 계획을 수립할 수 있다.
③ 개인정보 보호 자체점검은 최소 연 1회 이상 실시한다.
제 42 조(자체점검 결과 반영)
① 개인정보 보호책임자는 개인정보 보호를 위한 자체점검 실시결과, 개인정보의 관리ㆍ운영상의 문제점을 발견하거나 관련 직원이 본 규정의 내용을 위반할 때에는 시정ㆍ개선 또는 인사발령 등 필요한 조치를 취하여야 한다.
② 개인정보 보호책임자는 개인정보 위반사실에 대한 시정ㆍ개선 조치가 이행되지 않거나, 개인정보 보호에 심각한 영향이 발생할 수 있는 우려가 되는 경우에는 개인정보 취급자 등에 대한 인사발령 등의 필요한 추가조치를 취할 수 있다.
② 개인정보 보호책임자는 개인정보 위반사실에 대한 시정ㆍ개선 조치가 이행되지 않거나, 개인정보 보호에 심각한 영향이 발생할 수 있는 우려가 되는 경우에는 개인정보 취급자 등에 대한 인사발령 등의 필요한 추가조치를 취할 수 있다.
제2절 부 칙
제 1 조(준용)
이 규칙에 규정되지 아니한 사항은 기타 관계 법령 및 통상 관례에 의한다.