| 분야 |
인증기준 |
인증항목 |
상세 |
| 개인정보 처리 단계별 요구사항 (22) |
3.1 개인정보 수집 시 보호조치 |
3.1.1 개인정보 수집 제한 |
개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. |
| 3.1.2 개인정보의 수집 동의 |
개인정보는 정보주체(이용자)의 동의를 받거나 관계법령에 따라 적법하게 수집하여야 하며, 만 14세미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다. |
| 3.1.3 주민등록번호 처리 제한 |
주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집,이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체 수단을 제공하여야 한다. |
| 3.1.4 민감정보 및 고유식별정보의 처리제한 |
민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도 동의를 받아야 한다. |
| 3.1.5 간접수집 보호조치 |
정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는 업무에 필요한 최소한의 개인정보만 수집 이용하여야 하고 법령에 근거하거나 정보주체(이용자)의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다. |
| 3.1.6 영상정보처리기기 설치 운영 |
영상정보처리기기를 공개된 장소에 설치 · 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치)을 준수하고, 적절한 보호대책을 수립 이행하여야 한다. |
| 3.1.7홍보 및 마케팅 목적 활용 시 조치 |
재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집·이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다. |
| 3.2 개인정보 보유 및 이용시 보호조치 |
3.2.1 개인정보 현황관리 |
수집 · 보유하는 개인정보의 항목, 보유량, 처리목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. |
| 3.2.2 개인정보 품질보장 |
수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성 · 완전성 · 최신성이 보장되도록 정보주체(이용자)에게 관리절차를 제공하여야 한다. |
| 3.2.3개인정보 표시제한 및 이용 시 보호조치 |
개인정보의 조회 및 출력(인쇄, 화면표시, 파일 생성등) 시 용도를 특정하고 용도에 따라 출력 항목 최소화, 개인정보 표시제한, 출력물 보호 조치 등을 수행하여야 한다. 또한, 빅데이터 분석, 테스트 등 데이터 처리 과정에서 개인정보가 과도하게 이용되지 않도록 업무상 반드시 필요하지 않은 개인정보는 삭제하거나 또는 식별할수 없도록 조치하여야 한다. |
| 3.2.4 이용자 단말기 접근 보호 |
정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지 할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다. |
| 3.2.5 개인정보 목적 외 이용 및 제공 |
개인정보는 수집 시의 정보주체(이용자)에게 고지·동의를 받은 목적 또는 법령에 근거한 범위내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용 · 제공하려는 때에는 정보주체(이용자)의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립·이행하여야 한다. |
| 3.3 개인정보 제공시 보호조치 |
3.3.1 개인정보 제3자 제공 |
개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립 · 이행하여야 한다. |
| 3.3.2 업무 위탁에 따른 정보주체 고지 |
개인정보 처리 업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련 사항을 정보주체(이용자)에게 알려야 하며, 필요한 경우 동의를 받아야 한다. |
| 3.3.3 영업의 양수 등에 개인정보의 이전 |
영업의 양도 · 합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체(이용자) 통지 등 적절한 보호조치를 수립 · 이행하여야 한다. |
| 3.3.4 개인정보의 국외이전 |
개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립 · 이행하여야 한다. |
| 3.4 개인정보 파기시 보호조치 |
3.4.1 개인정보의 파기 |
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장, 관리하여야 한다. |
| 3.4.2 처리목적 달성 후 보유시 조치 |
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장 관리하여야 한다. |
| 3.4.3 휴면 이용자 관리 |
서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다. |
| 3.5 정보주체 권리 보호 |
3.5.1 개인정보처리방침 공개 |
개인정보의 처리목적 등 필요한 사항을 모두 포함하여 개읹어보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. |
| 3.5.2 정보주체 권리보장 |
정보주체(이용자)가 개인정보의 열람, 정정,삭제 처리정지, 이의 제기, 도으이철회 요구를 수집 방법,절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립,이행하고 정보주체의 요구를 받은 경우 지체없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립 이행하여야 한다. |
| 3.5.3 이용내역 통지 |
개인정보의 이용내역 등 정보주체(이용자)에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다. |