💡목차
[1]. 개인정보 수집, 이용
[2]. 개인정보 저장, 관리
[3]. 개인정보 제공
[1]. 개인정보 수집, 이용
1.1 개인정보 수집, 이용 원칙
- 개인정보의 수집이 가능한 경우
1. 정보주체의 동의가 있는 경우 - 수집 목적, 수집 항목, 보유이용기간, 동의 거부 시 불이익 4가지 알리기
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무 수행 시 불가피한 경우
4. 정보주체와의 계약 체결 및 이행 위해 불가피한 경우
5. 명백히 정보주체 또는 제 3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 ex) 수술
6. 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 ex) 코로나 확진자 동선 정보
1.2 개인정보 수집, 이용 시 유의사항
- 개인정보의 추가적인 이용: 당초 수집 목적과 관련성, 예측 가능성, 이익 부당하게 침해, 안전성 확보조치
- 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에
필요한 조치를 하였는지 여부 등을 고려하고 다음사항에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
- 인터넷 홈페이지 등에서 개인정보를 수집하는 경우, 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용 가능하다.
- 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집ㆍ이용 가능하다.
- 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집ㆍ이용 가능하다.
1.3 개인정보 간접수집: 수집 출처, 처리 목적, 동의 철회할 권리
- ‘정보주체 이외’로부터 수집한 개인정보로 공개된 자료에서 수집, 제3자로부터 받은 것이 이에 해당한다.
1. 공개된 자료에서 간접수집: 정보주체가 고지 요구 시 3일 이내 통지해주어야 하며, 통지 내역을 보관해야 한다.
2. 제3자로부터 받아 간접수집: 5만명 이상의 민감정보 또는 고유식별정보를 제공받거나, 100만명 이상의 개인정보를 제공받을 경우 대량의 정보를 제공받은 날로부터 3개월 이내 통지해야한다. 단, 연2회 이상 지속적으로 제공 받을 시, 정보를 제공받은 날로부터 3개월 이내 통지하거나 동의 받은 날로부터 연1회 이상 통지
1.4 개인정보 목적 외 이용
- 개인정보를 본래 수집한 목적과 다르게 법령에서 허락하는 범위 내에서 이용하는 경우
- 목적 외 이용이 가능한 경우
1. 개인정보 사용에 있어 정보주체의 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 ‘명백히’필요한 경우
4. 목적 외 용도로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정한 소관 업무를 수행할 수 없는 경우로서 보호위원회 심의·의결을 거친 경우
5. 조약, 국제협정의 이행을 위해 필요한 경우
6. 형(刑) 및 감호, 보호처분의 집행을 위해 필요한 경우
7. 공중위생 등 국가안정을 위해 필요한 경
1.5 개인정보 영리목적 이용
- 전송 가능 시간: 정해진 시간에 해야 하며 야간(오후9시~오전8시)까지는 전송이 제한된다. 단, 전자우편은 시간에 구애 받지 않고 발송할 수 있다.
- 수신 내용 고지: 수신동의를 받은 날로부터 매 2년마다 수신자의 동의 여부를 확인해야한다. 전송자의 명칭, 수신동의 사실과 수신에 동의한 날짜, 유지 또는 철회 의사를 표시하는 방법을 밝혀야한다.
- 예외: 재화 등의 거래로 수신자로부터 직접 연락처를 수집한 자는 거래 종료 후 6개월 이내에 동일한 종류의 재화 등에 대한 영리 목적의 광고를 전송하는 경우, 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유판매를 하는 경우
[2]. 개인정보 저장, 관리
2.1 개인정보 파기의 원칙
- 개인정보가 불필요하게 되었을 때 지체 없이(5일 이내) 그 개인정보를 파기
- 보유기간은 필요 최소한으로 정해야 하며 필요한 기간이라는 입증책임은 개인정보처리자가 부담한다.
- 파기시점
ex) 법적 근거의 소멸: 법적으로 보존 근거가 있었던 개인정보가 법령 개정(삭제)등으로 그 효력을 잃었을 때, 폐업, 회원 탈퇴, 보유기간 만료
- 파기의무가 예외되는 경우 (다른 법령에 따라 보존해야하는 경우)
=> 개인정보를 파기하지 않고 보존해야 하는 경우, 해당 개인정보 또는 개인 정보 파일을 다른 개인정보와 분리하여
저장·관리 한다.
| 법 | 항목 | 보존기간 |
| 국제기본법 | 국세 부과 제척기간(조세시효) | 10년 |
| 국제기본법 | 국세징수권 및 국세환급금 소멸시효 | 5년 |
| 전자상거래법 | 소비자의 불만 또는 분쟁처리에 관한 기록 | 3년 |
| 전자상거래법 | 계약·청약철회, 대금결제 및 재화 공급 기록 | 5년 |
| 의료법 | 처방전 | 2년 |
| 의료법 | 진단서 등의 부본 | 3년 |
| 의료법 | 환자명부, 검사소견, 간호기록, 방사선사진 등 | 5년 |
| 의료법 | 진료기록부, 수술기록 | 10년 |
| 통신비밀보호법 | 로그기록자료, 접속지 추적자료 | 3개월 |
| 통신비밀보호법 | 통화일시, 시간, 사용도수, 상대번호, 위치추적 | 12개월 |
| 전자금융거래법 | 1만원 이하 거래 및 지급수단 승인 기록 | 1년 |
| 전자금융거래법 | 거래종류·금액, 상대방 정보, 접속기록 등 | 5년 |
| 신용정보법 | 신용정보 업무처리 관련 기록 | 3년 |
| 상법 | 보험금 청구권, 보험료/적립금 반환청구권 | 2년 |
| 상법 | 상사채권, 배당금 지급청구권 | 5년 |
| 상법 | 사채상환청구권 | 10년 |
2.2 개인정보 파기 방법
- 파기의 형태는 다양할 수 있으며, 그 핵심은 정보의 복원이 불가능한 것이다.
- 개인정보 파기 과정 및 결과를 기록하고 개인정보 보호책임자의 확인 하에 진행되어야한다.
- 수기 문서: 소각,파쇄. 하드디스크: 천공 등으로 파기
[3]. 개인정보 제공
3.1 개인정보 제공의 이해
- 제 3자 제공이 가능한 경우 (계약이행X)
1. 정보주체의 동의가 있는 경우 - 수집 목적, 수집 항목, 보유이용기간, 동의 거부 시 불이익 4가지 알리기
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무 수행 시 불가피한 경우
4. 명백히 정보주체 또는 제 3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 ex) 수술
5. 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
6. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 ex) 코로나 확진자 동선 정보
- 개인정보의 추가적인 제공: 당초 수집 목적과 관련성, 예측 가능성, 이익 부당하게 침해, 안전성 확보조치
- 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에
필요한 조치를 하였는지 여부 등을 고려하고 다음사항에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
3.2 제 3자 제공과 위탁의 구분
1. 제 3자 제공: 제 3자의 이익을 위해 처리, 관리감독: 제공받는자
ex) 개인정보 판매, 제휴
2. 위탁: 위탁자의 이익을 위해 처리, 관리감독: 위탁자
- 위탁 계약 문서화 의무
- 수탁자 선정시 인력, 물적 시설, 재정 부담 능력, 기술 보유 수준 등 고려
- 수탁자가 개인정보 처리 업무를 제3자에게 다시 위탁하려면 위탁자의 동의를 받아야 한다.
ex) 클라우드, 배송업무
3.3 개인정보 제공 시 유의사항
- 개인정보를 제공받은 자는 제공 목적 외로 이용하거나 제3자에게 제공하는 것이 금지된다. (수탁자는 포함X)
- 예외적으로 제공받은자가 제공 받은 목적 외로 이용하거나 제3자제공이 가능한 경우
- 다른 법률에 특별한 규정이 있는 경우
- 정보주체의 별도 동의 받은 경우
- 제공받은 자가 목적 범위 내의 경우, 제17조제1항제2호(정당한 수집 목적 범위 내 제공)에 해당하면, 정보주체 동의
없이 제3자 제공 가능하다.
3.4 개인정보 국외이전
- 개인정보를 국외로 이전이 가능한 경우
1. 정보주체로부터 국외이전에 관한 별도의 동의를 받은 경우
2. 법률, 조약, 국제협정 등에 국외 이전에 관한 특별한 규정이 있는 경우
3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우
4. 개인정보를 이전받는 자가 ISMS-P 인증을 받은 경우로서 안전조치 및 정보주체 권리보장 조치, 인증받은 사항을
이전되는 국가에서 이행하기 위해 필요한 조치를 모두 한 경우
5. 개인정보가 이전되는 국가 또는 국제기구의 국내 개인정보 보호법과 실질적으로 동등한 수준을 갖추었다고 보호위
원회가 인정하는 경우
3.5 영업 양도양수
- 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리
다음 사항을 해당 정보주체에게 알려야 한다.
- 개인정보를 이전하려는 사실
- 개인정보를 이전받는 자(양수자)의 성명, 주소, 전화번호 및 그 밖의 연락처
- 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
- 양도자가 통지 의무를 다하지 못하면 양수자가 통지
| 제 3자제공 | 처리위탁 | 양도양수 | 국외이전 | |
| 의미 | 제 3자의 이익을 위해 | 위탁자의 이익을 위해 | 타인에게 이전 | 국외로 이전 |
| 책임 | 제 3자 | 위탁자 | 양수자 | 수탁자 혹은 제3자 |
| 동의 | 고지 (목적, 항목, 기간, 거부, 제공받는자) | 동의 불필요 (홍보마케팅 위탁은 필요) |
계약전에 통지 (이전사실, 이전받는자, 거부 방법 등) | 고지 (목적, 항목, 기간, 거부 등) |
'보안 > 개인정보보호법' 카테고리의 다른 글
| [CPPG Part2] 개인정보보호 제도 (2) | 2026.04.26 |
|---|---|
| [CPPG] CPPG 헷갈리는 선지 정리 (0) | 2026.04.24 |
| [CPPG Part1] 개인정보보호의 이해 (0) | 2026.04.14 |