[보안] 개인정보처리방침 본문 작성 시 주의할 점: 처리목적, 항목, 기간, 제3자 제공, 위탁, 개인정보파일

 개인정보처리방침 작성 시 유의할 점에 대해서 알아봅니다.

 

[ Contents ]

 

 

1. 개인정보의 처리방침 구성

[필수]
- 제목 및 서문
- 개인정보 처리목적
- 개인정보 처리 및 보유 기간
- 개인정보 처리항목
- 개인정보 파기절차 및 방법
- 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
- 개인정보 안전성 확보조치
- 개인정보 보호책임자에 관한 사항
- 개인정보 열람청구를 접수·처리 부서
- 정보주체의 권익침해 구제방법

[해당 시 필수]
- 개인정보파일 등록 현황
- 개인정보 제3자 제공
- 개인정보처리 위탁사항
- 개인정보 자동 수집 장치의 설치·운영 및 그 거부에 관한 사항
- 가명정보 처리 사항

[권장]
- 개인정보 영향평가 수행 결과
- 개인정보 관리수준진단 결과
- 영상정보처리기기 운영·관리
- 기타 개인정보 처리 기준 및 보호조치

 이전 글에서 개인정보 처리방침 목차 구성에 대해서 알아봤습니다. 관련 내용은 아래 링크를 참조하시기 바랍니다.

 빨간색으로 표시해둔 부분을 유의해서 작성해야 하며, 이는 아래에서 자세히 알아보겠습니다.

 

2024.05.08 - [개인정보보호] - [보안] 개인정보처리방침 목차 구성: 의무, 권장 항목 및 S등급 우수사례들의 가점 사항

[보안] 개인정보처리방침 목차 구성: 의무, 권장 항목 및 S등급 우수사례들의 가점 사항

 

 

 

2. 개인정보 처리방침 작성 시 유의할 점

1) 개인정보 처리목적

- ~ 등 사용하지 않기
- 개인정보 수집·이용 동의서 '이용 목적' 일치

 개인정보 처리목적을 작성할 때에는 '회원가입 및 서비스 이용 제공 등' 과 같이 모호하고 추상적으로 기재하면 안 됩니다.

 또한 개인정보 처리방침 상의 목적은 개인정보 수집·이용 동의서와도 일치해야 합니다.

 

 

서울시 개인정보처리방침

서울시 회원가입 개인정보 수집·이용 동의서

 서울시의 경우, 개인정보처리방침의 처리목적과 개인정보 동의서의 수집·이용 목적이 토씨 하나 빠지지 않고 일치합니다.

 이는 둘 중 하나만 변경하거나, 타 기관의 개인정보처리방침을 그대로 베껴와서 불일치가 생기곤 합니다. 두 내용이 일치되도록 주의하시기 바랍니다. 

 

 

 

2) 개인정보 처리 및 보유기간, 처리항목

- 목적 달성 시까지, ~ 등 과 같은 모호한 표현 금지
- 개인정보 처리방침과 내용 일치

 개인정보 처리 및 보유기간도 목적과 유의사항이 비슷합니다.

 처리항목에 '등' 이라는 표현을 쓰면 안 되며, 보유기한도 명확히 제시해야 합니다. 다만 보유기간의 경우 '회원 탈퇴 후 즉시', '민원 종료 후 3년' 과 같은 표현도 가능합니다.

 

 

서울시 누리집

 개인정보 수집항목과 보유기간도 개인정보 처리방침과 동의서가 동일해야 합니다.

 서울시의 경우, 이 역시 일치하며 일반/어린이/기업 회원에 따라 보기 좋게 나눈 점이 인상 깊네요.

 

반응형

 

 

 

3) 개인정보파일 등록 현황

- 개인정보파일의 명칭, 운영근거/처리목적, 개인정보파일에 기록되는 개인정보 항목, 보유기간
- 개인정보 포털과 일치

 

 개인정보파일 등록 현황은 위 4가지를 포함하여 목록으로 제시합니다. 다만 개인정보 파일이 너무 많을 때에는 개인정보 포털 링크로 대체할 수도 있으나 권장하진 않습니다.

 

한국농수산식품유통공사

 보통 버튼으로 열고 닫는 방식을 선호하며, 정보주체 입장에서는 가장 편한 열람 방식입니다.

 하지만 이런 경우에는 개인정보파일 현황이 바뀔 때마다 개인정보 처리방침을 변경해야 하는 문제점이 생기죠. 그래서 홈페이지 내 게시판으로 이동하거나, 붙임 파일 형식으로도 많이들 합니다. 관리 측면에서는 이 방식이 편하긴 해요.

 

 

 농수산식품유통공사의 경우에는 개인정보파일이 51개나 되지만, 위와 같은 방식을 고수하고 있습니다. 상당히 공을 많이 들이고 있죠.

 또한 개인정보포털 링크도 제공하고 있습니다. 개인정보포털에 나오는 개인정보파일 목록은 '개인정보보호 종합지원시스템'에 기재된 내역입니다. 개인정보 처리방침과 개인정보보호 종합지원시스템 상의 개인정보 파일 목록이 상이하지 않도록 주의해야 합니다.

 

 

 

4) 개인정보 제3자 제공, 위탁사항

제3자 제공: 제공받는 자, 제공 목적, 제공 항목, 제공받는 자의 보유·이용 기간
위탁: 수탁자, 위탁하는 업무

 제3자 제공이나 위탁에 관한 사항이 없는 경우에는 작성하지 않으셔도 무관합니다. 그렇다고 목차 자체를 없애는 경우는 드물고, 목차는 유지한 채 '해당 사항이 없다'고만 기술해주시면 됩니다.

 하지만 보통 위탁 내역은 있기 마련입니다. 위탁의 경우에는 수탁자와 위탁하는 업무만 적어도 되나, 그대신 위탁 내역 변동 시 즉시 갱신해줘야 합니다. 따라서 보통은 위탁 기간도 같이 적는 경우가 많습니다. (물론 이 경우에도 즉시 갱신 의무는 있습니다.)

 

한국농수산식품유통공사

 aT의 경우에는 업체와 담당부서 연락처와, 재위탁 여부랑 관리실태 점검결과까지 같이 적어뒀습니다.

 이렇게까지 자세하게 하는 경우는 드물지만, [시스템명, 업체명, 위탁업무내용(위탁명), 위탁기간]은 기술하는 편입니다.

 이 역시 열고 닫는 형식으로 제공하는 편이 좋지만, 관리 측면에서 어려우면 붙임파일이나 게시판 링크로 제공하기도 합니다. 이렇게 관리하는 곳은 매달 위탁현황을 갱신하는 편이며, 개인정보처리방침에 직접 기재하는 곳은 위탁기간이 지난 업체들이 몇몇 보이곤 합니다.

 

 

위탁기간이 지난 업체 내역

 개인정보 처리방침을 갱신하려면 CPO(개인정보보호 책임자) 결재가 필요하므로, 매달 바꾸기는 쉽지 않죠. 홈페이지 관리 업체에게 매번 요청하기도 힘들고요. 쌓이는 개인정보 처리방침 변경 이력도 별로 좋지 않고요.

 개인적으로 이런 현황은 개인정보 처리방침 변경사항에 포함이 안 되었으면 좋겠어요. 하지만 지금은 그렇지 않으니, 잘 고려하셔서 선택하시기 바랍니다. 어느 방식으로 하든 개인정보 보호법은 준수하는 거니까요.