[보안] 개인정보처리방침 목차 구성: 의무, 권장 항목 및 S등급 우수사례들의 가점 사항

 개인정보처리방침의 목차 구성을 알아봅니다. 2024년부터는 개인정보 처리방침 평가제가 시행됨에 따라, 개선의 필요성이 대두되고 있습니다.

 

[ Contents ]

 

 

1. 개인정보처리방침 목차

1) 필수(의무) 항목

- 제목 및 서문
- 개인정보 처리목적
- 개인정보 처리 및 보유 기간
- 개인정보 처리항목
- 개인정보 파기절차 및 방법
- 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
- 개인정보 안전성 확보조치
- 개인정보 보호책임자에 관한 사항
- 개인정보 열람청구를 접수·처리 부서
- 정보주체의 권익침해 구제방법

 어느 개인정보 처리방침에서나 볼 수 있는, 꼭 봐야할 항목은 위와 같습니다.

 필수항목들은 어느 정도 형식이 갖춰져 있으며, Ctrl+C Ctrl+V 했다고 느낄 정도로 내용이 동일합니다. 각 기관에 따라 상이한 처리 항목과 목적, 기간만 잘 작성하면 되겠습니다.

 다만 개인정보 안전성 확보조치에 관해서는 기관마다 조금씩 상이하며, 자세하게 명시한 곳도 있었습니다.

 

 

2) 해당 시 필수항목

- 개인정보파일 등록 현황
- 개인정보 제3자 제공
- 개인정보처리 위탁사항
- 개인정보 자동 수집 장치의 설치·운영 및 그 거부에 관한 사항
- 가명정보 처리 사항

 해당 시 필수항목이라고 적었지만, 대체로 모두 해당되는 항목입니다. 가명정보 정도만 여부가 나뉠 수 있겠네요.

 특히 개인정보파일이 없는 곳은... 전설로만 들었습니다. 개인정보 담당자가 개인정보 업무를 없애고자, 전산상의 개인정보파일을 모두 없애고 수기로 기록하게 바꿨다는 무서운 이야기죠.

 한편 제3자 제공이나 위탁, 쿠키 수집을 하지 않더라도 목차에는 들어가는 경우가 많으며, 해당 항목은 관계없다고 명시하곤 합니다.

 

 

 

3) 해당 시 권장항목

- 개인정보 영향평가 수행 결과
- 개인정보 관리수준진단 결과
- 영상정보처리기기 운영·관리
- 기타 개인정보 처리 기준 및 보호조치

 개인정보 영향평가의 경우에는 큰 규모의 기관이 아니라면 받지 않을테고, 개인정보 관리수준진단도 공공 계열이 아니라면 대상이 아닙니다.

 다만 CCTV가 없는 기관은 없죠. 영상정보처리기기 운영 관리에 대한 간략한 설명과 함께 운영방침을 링크로 걸어두면 좋습니다. 그리고 추가적으로 기관에서 하는 일이 있다면 기술해도 좋습니다.

 요즘은 개인정보 영향평가와 관리수준진단 등급은 물론이고, 개인정보보호 인증 현황까지 자랑하듯이 올려두는 기관들도 있어요. 이 역시 권장사항이며 관련 성과가 있으면 피력하시면 좋겠습니다.

 

 

 

반응형

2. 개인정보보호법 상 개인정보처리방침 항목

- 제30조 (개인정보 처리방침의 수립 및 공개)

1. 개인정보의 처리목적
2. 개인정보 처리 및 보유기간
3. 개인정보 제3자 제공에 관한 사항 (해당 시)
 - 개인정보 파기절차 및 파기방법
 - 민감정보 공개 가능성 및 비공개 선택 방법
4. 개인정보 처리 위탁 (해당 시)
 - 가명정보 처리에 관한 사항
5. 정보주체와 법정대리인 권리·의무 및 그 행사방법에 관한 사항
6. 개인정보 보호책임자 또는 부서 및 담당자의 성명과 연락처
7. 자동수집장치 설치·운영 및 그 거부에 관한 사항 (해당 시)
8. 그 밖에 대통령령으로 정한 사항

 

 2023년 3월 14일에 개정된 제30조 개인정보 처리방침에 관한 법령은 위와 같습니다.

 개인정보보호위원회의 권장 사항과 일맥상통하며, 1에서 언급한 가이드라인이 좀 더 상세한 편입니다.

 

 

 

3. 개인정보처리방침 우수사례

 개인정보 처리방침은 내규 및 내부 정책과 달리, 누구나 볼 수 있습니다. 따라서 명확히 알려주는 해설책은 없어도, 모범답안은 쉽게 찾아볼 수 있습니다. 아래에서는 2024년도 개인정보 수준진단에서 S등급을 받은 기관을 대상으로 살펴본 가점 항목입니다.

 

 1) 주요 개인정보 처리 표시 (라벨링)

농림축산식품부 개인정보처리방침

 정보주체가 알아보기 쉽도록, 목차 전에 라벨링과 함께 간략히 주요 개인정보를 소개합니다. 라벨링은 개인정보보호위원회에서 적극 권장하고 있으며, 관련 이미지도 개인정보보호위에서 공개하고 있습니다.

 농림축산식품부의 경우에는 마우스 오버 시 관련 플로팅 문구가 뜨도록 해두었네요.

 

 

 2) 인포그래픽 활용

한국재정정보원 개인정보처리방침

 사실 우리에게 익숙한 개인정보처리방침은 텍스트만 빼곡히 나열된 줄글입니다. 사실상 읽지 말고 그냥 동의하라는 의도가 다분했죠. 그렇기에 개보위에서는 인포그래픽 사용을 독려하고 있습니다.

 물론 인포그래픽을 사용할 곳이 마땅치 않지만, 열람 청구의 경우에는 활발히 사용하고 있습니다.

 

 

한국농수산식품유통공사 개인정보처리방침

 다소 개성적이고 파격적인 인포그래픽을 쓰는 곳도 있었어요. 따로 외주를 준 건 아니고, 담당자가 미리캔버스로 만든 거 같군요.

 

 

 

 3) 신구대조표

한국농수산식품유통공사 신구대조표

 신구대조표도 놓치기 쉬운 요소입니다.

 규정집에는 신구대조표가 있지만, 보통 처리방침에는 없죠.

 

 

건강보험심사평가원 개인정보처리방침

 건강보험심사평가원의 경우에는 개정 내역을 요약해서 보여주기도 했습니다.

 이런 디테일에서 좋은 점수를 받았을 거 같아요. 이외에도 [만 14세 미만을 위한 개인정보처리방침], [알기쉬운 개인정보처리방침] 등 다양한 버전이 나오고 있으며 영상으로 소개하는 곳도 있습니다.

 앞으로도 무궁무진한 발전이 있을 듯한데... 잘 찾아서 개선해보시길 바랍니다.