개인정보의 수집/이용
1. 아파트 관리사무소가 방문자에 대한 개인정보를 방문 자동차에 부착도록 요구할 수 있는지?
-> 공동주택관리법 제64조 법령상 의무 수행을 위해 필요한 경우 차량 소유자 확인, 주차관리를 위해 필요한 개인정보를 수집/이용할 수 있다.
2. 병원 진료 시 정보주체의 개인정보 수집/이용 및 제공 등
= 병원 안내데스크에서 내원자를 대상으로 공개된 연명부에 개인정보를 기재토록 하는 것이 목적 외 제공에 해당하는지?
-> 성명과 생년월일을 기재토록 하는 행위는 목적 외 제공에 해당하지 않는다.
다만 안내데스크에 연명부를 펼쳐놓고 아무런 안전조치 없이 정보주체에게 성명과 생년월일 등을 기재토록 하는 행위는 (방치)개인정보 침해에 해당한다. - 그러므로 최소
화하는 방법으로 처리, 보관해야 함
3. 개인정보 처리를 위한 동의서 작성 시 주의사항
개인정보 처리를 위한 각종 동의서를 작성할 때 정보주체와의 계약 체결 및 이행에 필요한 개인정보를 수집하면서 동의가 필요없는 체크란을 만들어야 하는지?아니며 동의가 필요한 선택정보, 민감정보, 고유식별정보, 제3자 제공 동의에만 체크란을 만들어야 하는지?
-> 등의를 받아야 하는 사항과 동의를 받지 않아도 되는 사항을 구분하고 동의를 받지 않고도 개인정보를 처리할 수 있는 경우에는 정보주체의 동의를 받아야 하는 사항에서 제외하는 것이 바람직하다.
<정보주체의 동의를 받아야 개인정보를 처리할 수 있는 경우>
- 정보주체의 동의를 받아 개인정보를 수집/이용하는 경우
- 정보주체의 동의를 받아 정보주체의 개인정보를 제3자에게 제공하는 경우
- 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를 받아 민감정보를 처리하는 경우
- 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를 받아 고유식별정보(운전면허번호, 여권번호, 외국인등록번호에 한함)를 처리하는 경우
- 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보를 처리하는 경우
정보주체의 동의를 받아야 개인정보를 처리할 수 있는 경우
[개인정보 수집/이용15조, 개인정보의 제공17조, 개인정보를 국외의 제3자에게 제공할 때17조3항, 14세 미만 아동의 개인정보 처리하기 위해 개보법에 따른 동의를 받아야 하는 경우, 정보통신서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우 및 고지사항의 변경]
정보주체로부터 별도의 동의를 받아야 개인정보를 처리할 수 있는 경우
[개인정보의 목적 외 이용/제공, 개인정보를 제공받은 자가 제공받은 개인정보를 목적 외의 용도로 이용 또는 제공하는 경우, 민감정보의 처리, 고유식별정보의 처리]
정보주체의 동의 없이 개인정보를 처리할 수 있는 경우
[개인정보의 수집/이용15조1항2~6호, 당초 수집 목적과 합리적으로 관련된 범위에서 개인정보를 이용/제공하는 경우, 개인정보의 제공17조1항2호, ..]
4. 쿠키를 활용한 맞춤형 광고의 적법성 여부
웹에서 임시로 만들어지는 개인정보파일인 쿠키를 활용한 맞춤형 광고가 개인정보의 적법한 이용 범위에 있는지?
-> 쿠키는 여러 개의 코키를 종합하거나 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 경우 개인정보에 해당하며, 이를 광고 등 홍보 목적으로 이용하는 경우에는 정보주체의 사전 동의가 필요하다.
[개인정보처리자인 서비스 제공자의 입장에서 단말기 번호, IP 주소, 회원번호 등 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있다면 수 있다면 쿠키도 개인정보에 해당한다. ] 개보법 제2조1호, 제4조 2호, 17조..
GDPR은 전문에서 쿠키는 온라인 식별자로서 서버가 수집하는 고유식별자 및 그 밖의 정보와 결합하는 경우 사람의 프로파일을 생성하여 식별하는데 이용될 수 있다.
- 쿠키의 종류
보유기간
1. 세션 쿠키 : 일시적으로 사용되고 브라우저를 닫거나 세션이 끝날때마다 만료
2. 영구 쿠키 : 만료 날짜가 포함된 쿠키로서 만료 기간에 따라 이용자가 직접 삭제하거나 브라우저가 삭제전까지 남아있다.
쿠키출처
1. 당사자 쿠키 : 이용자가 방문한 웹 사이트가 이용자의 기기에 직접 설치하는 쿠키로서 해당 웹사이트만 읽을 수 있다.
2. 제3 쿠키 : 이용자가 방문한 웹사이트가 아닌, 광고주 또는 분석 시스템 등 제3자가 이용자의 기기에 설치하는 쿠키
쿠키 사용목적
1. 필수 쿠키(Strictly necessary cookie) : 웹사이트를 탐색하고 안전한 사이트에 접근하도록 하는데 필요한 쿠키를 말한다.
예 온라인 쇼핑몰에서 장바구니에 물건을 넣을 수 있도록 하는 쿠키
2. 설정 쿠키 : 기능성 쿠키로 불리며 이용자가 선택한 언어, 지역 사용자 이름 및 암호 등의 항목을 기억하여 자동으로 로그인하는 기능
3. 통계 쿠키 : 성능쿠키로 불리며 방문한 페이지와 클릭한 링크와 같은 웹사이트를 이용 방법에 대한 정보를 수집하는데 그 목적은 웹사이트 기능을 향상하기 위한 것.이용자를 식별할 수 없고 정보를 모아 익명화한다.
4. 마케팅 쿠키 : 이용자의 온라인 활동을 추적하여 광고주가 웹 사이트 방문자에게 보다 관련있는 정보를 전달하도록 돕
- 필수 쿠키 빼고 나머지는 이용자의 동의를 받아야한다.
- 이용자의 동의를 기록하고 보관할 것
5. 개인정보 수집과 약관
개인정보 수집 시 정보주체의 동의절차 없이 약관에 관한 동의만 받아도 되는지?
-> 특별한 규정 제외하고 안됨.
따라서 이용자의 개인정보를 수집하는 경우 목적과 항목을 구체적으로 밝히고 약관과 별도로 설명하고 자발적 의사에 따라 동의여부를 결정하도록 해야
특별한 규정으로 위치정보법(18조)
- 위치정보 수집 시 약관동의
위치정보사업자가 개인위치정보를 수집하고자 하는 경우에는 미리 다음의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.
- 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처
- 개인위치정보주체 및 법정대리인(14세 미만 아동의 경우)의 권리와 그 행사 방법
- 위치정보사업자가 위치기반 서비스 사업자에게 제공하고자 하는 서비스의 내용
- 위치정보 수집사실 확인자료의 보유근거 및 보유 기간
- 개인위치정보의 보유목적 및 보유기간
- 개인위치정보의 수집방법(22조)
- 위치정보 이용 시 약관동의
1,2,3,4,5 비슷
6. 위치갑ㄴ서비스 사업자가 개인위치정보를 개인위치정보주체가 지정하는 제3자에게 제공하는 경우 통보에 관한사항
불공정 약관 조항
1. 회원의 저작물에 대한 광범위한 이용 허락 의제
2. 사업자의 일방적인 콘텐츠 삭제, 계정 해지 또는 서비스 중단 조항
3. 사전 통지없이 약관을 변경하는 조항
4. 서비스 약관 및 개인 정보 수집 등에 관한 포괄적 동의 간주 조항
5. 과다한 개인 정보 수집 조항
6. 회원이 콘텐츠를 삭제하더라도 콘텐츠를 사업자가 보유/이용할 수 있는 조항
7. 사업자의 포괄적 면책 조항
8. 부당한 재판 관할 합의 조항
9. 부당한 환불 좋아
10. 기본 서비스 약관 및 추가 약관에 관한 포괄적 동의 간주 조항
4, 5, 10은 회원 가입 과정에서 서비스 약관과 개인정보 처리 방침에 대한 동의를 한번에 받고 있어 정보주체가 일괄 동의 우려가 있어 무효될 수 있다.(약관법 6조)
개인정보의 제공
1. 수집한 개인정보의 추가적인 제공
정보주체의 동의 없이 수집한 개인정보를 수집 목적 범위를 확대해 제3자에게 제공할 수 있는지?
-> 수집 목적과 추가적 이용/제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있어야 한다.
업무 위탁으로 보는 것이 타당하다
2. 계약 체결/이행 등 비동의 적법 근거에 따라 수집한 개인정보의 추가적 제공 가능 여부
계약 체결/이행 등의 목적으로 정보주체의 동의없이 수집한 개인정보를 수집 목적 범위를 확대해 제3자에게 제공할 수 있는지?
-> 개인정보처리자는 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우에 해당하거나 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에 해당하여 정보주체의 동의없이 수집한 개인정보는 이 법령이 정한 절차와 방법으로 수집 목적 범위를 확대해 이용할 수 있다.
다만, 계약 체결/이행 등의 목적으로 정보주체의 동의 없이 수집한 개인정보를 제3자에게 제공하는 경우는 안된다.
<개인정보의 수집/이용기준과 제공기준의 비교>
| 기준 | 수집/이용(제15조) | 제공(제17조) |
| 정보주체의 동의를 받은 경우 | 가능 | 가능 |
| 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 | 가능 | 수집 목적 범위 안에서 제공 가능 |
| 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 | 가능 | 수집 목적 범위 안에서 제공 가능 |
| 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 수반되는 경우 | 가능 | 제공 불가(정보주체의 동의 필요) |
| 정보주체 또는 그 법정 대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 | 가능 | 수집 목적 범위 안에서 제공 가능 |
| 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백히 정보주체의 권리보다 우선하는 경우[개인정보처리자 > 정보주체] | 가능 | 제공 불가(정보 주체 동의 필요) |
<추가적 이용/제공의 판단 근거 마련을 위한 4가지 고려사항>
- 당초 수집 목적과 관련성이 있는지 여부
- 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
- 정보주체의 이익을 부당하게 침해하는지 여부
- 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 했는지 여부
3. 자동차 정비(수리) 이력정보의 제공 인정 여부
[자동차 정비사업자가 자신이 정비하고 있는 자동차를 구매하려는] 사람이 자동차의 정비이력정보를 알려달라고 하는데, 알려줘야 하는지?
-> 중고자동차의 정비이력정보는 다른 정보와 쉽게 결합하여 정보주체를 알아볼 수 있는 개인정보에 해당한다.
그러므로 해당 자동차 소유자의 동의를 받은 경우에 한하여 제공이 가능하다.
4. 자동차 사고 CCTV 녹화 영상의 열람 허용 여부
누가 주차장에 주차한 자동차를 긁고 가는 사고가 발생. 피해차량 차주가 사고 장면 및 가해차량 번호판을 확인하기 위해 CCTV 녹화 영상의 열람을 요구한 경우, 비식별조치 후 열람할 수 있도록 해야하는지? 그리고 그걸 USB에 저장해 제공할 수 있는지?
-> 주차 차량의 사고 장면을 녹화한 CCTV 영상 또는 가해 차량의 번호판 모두 개인정보에 해당한다.
그러므로 비식별조치 후에 열람하게 하거나 USB 메모리 등 보조저장매체에 저장하여 제공할 수 있다.
<개인영상정보 열람 거부 사요>
1. 범죄수사/공소유지/재판수행에 중대한 지장을 초래하는 경우(공공기관)
2. CCTV의 보관기간이 경과하여 파기한 경우
3. 그 밖에 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우
<CCTV 관리대장에 기록해야 하는 사항>
1. 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처
2. 정보주체가 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용
3. 개인영상정보 열람등의 목적
4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유
5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유
# CCTV 열람 중 휴대전화로 몰래 촬영한 것은 개인정보의 이용에 해당하지 않는다.
5. 홈페이지 등을 통한 입주민의 개인정보 공유의 적법성 여부
입주민이 실명 또는 별칭으로 가입한 공동주택의 홈페이지에서 주민들이 서로의 개인정보를 공유하는 것이 개인정보의 유출에 해당하는지?
-> 자발적으로 자신의 개인정보를 공개하는 경우를 제외하고는 개인정보의 노출에 해당한다.
6. 온라인 화상회의 등에서의 얼굴, 음성, 발언 등 공유의 적법성 여부
covid-19가 창궐한 이후 비대면 온라인 화상회의 또는 수업이 많이 이뤄지고 있는데 회의 또는 수업 참석자의 얼굴, 음성, 발언 등이 상호 공유되는 경우 개인정보 유출 또는 제3자 제공에 해당되는 것인지?
-> 볼 수 없다.
하지만, 회의 또는 참석자가 다른 참석자의 얼굴 사진을 캡처하여 외모 또는 의견을 평가하거나 인터넷에 게재하는 때 처벌
얼굴 - 형법 307조 명예훼손죄, 311조 모욕죄
비방목적 얼굴 캡쳐 - 사이버명예훼손죄, 얼굴 음란하게 합성 - 형법 244조 음화제조
7. 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 횟수의 적법성 여부
개보법 20조2항 및 법 시행령 15조2에 근거해 정보주체의 동의를 받고 제3자로서 개인정보를 제공받은 이에 해당하는 개인정보처리자가 시행령 제15조의2 제2항 단서 규정에 근거해 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우, 연 1회만 고지하면 되는지?
-> 가능하다
개인정보의 파기
영상정보처리기기의 설치/운영의 제한
고유식별정보(주민등록번호 포함) 처리 제한
민감정보 처리 제한
가명정보의 처리 등
개인정보의 안전성 확보조치 등
'교육 및 자격증 > CPPG' 카테고리의 다른 글
| ISMS-P 인증 기준 (0) | 2023.04.01 |
|---|---|
| 2022 [개인정보 보호법] 표준 사례집 개인정보보호위원회 pdf (0) | 2023.03.22 |
| Part2. 개인정보보호제도 (0) | 2023.03.14 |
| part1. 개인정보보호의 이해 (0) | 2022.11.23 |
| CPPG; 개인정보관리사 김창중/황보준 저 (0) | 2022.11.16 |