보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보보호 담당자가 꼭 알아야 할 ‘개인정보 처리방침 작성지침’ 23가지

입력 : 2024-05-28 13:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보 처리방침 작성지침, 법령 부합성·투명성 및 정확성·명확성 및 가독성·접근성에 부합해야

[보안뉴스 김경애 기자] 이용자의 권리 강화를 위해 개인정보 처리방침이 강화됐다. 하지만 많은 기업들이 개정된 개인정보 처리방침 작성에 대해 혼동하거나, 잘 모르는 경우가 적지 않다. 이에 따라 개인정보 처리방침 작성지침이 더 중요해지고 있다.

[이미지=gettyimagesbank]


개인정보보호위원회가 발간한 ‘개인정보 처리방침 작성지침’에 따르면 개인정보 처리방침 작성지침의 기본 원칙은 ① 법령 부합성 ② 투명성 및 정확성 ③ 명확성 및 가독성 ④ 접근성이다.

① 법령 부합성
개인정보처리자는 법 제30조 제1항 각 호와 영 제31조 제1항 각 호의 사항 중 해당되는 내용을 모두 작성해야 한다. 작성된 내용은 개인정보보호 법령에 부합해야 한다.

② 투명성 및 정확성
개인정보처리자는 정보주체의 알 권리 보장을 위해 자신의 개인정보 처리 현황을 정확하게 반영해 개인정보 처리방침을 작성하고, 이를 투명하게 공개해야 한다.

개인정보처리자는 개인정보 처리방침에 공개한 내용이 실제 개인정보 처리 현황과 일치할 수 있도록 하는 등의 정확성과 투명성, 최신성을 유지할 수 있도록 수립·관리해야 한다.

③ 명확성 및 가독성
개인정보처리자는 법 제30조 제1항 각 호와 영 제31조 제1항 각 호의 사항을 정보주체가 쉽게 알 수 있도록 구분해 작성해야 한다. 각각 별도의 항목과 명시적으로 구분해 작성하는 게 바람직하다.

개인정보 처리방침에 개인정보 처리 현황은 구체적으로 작성해야 한다. 모호하고 불명확한 표현을 사용하는 것은 지양해야 한다.

또한 알기 쉬운 용어로 구체적이고 명확하게 표현돼야 하며(표준지침 제18조 제1항), 정보주체가 쉽게 이해할 수 있도록 가급적 평어체를 사용하고, 전문용어(법률용어 등)는 쉬운 표현으로 부연 설명해 제공하는 것이 바람직하다.

특히 개인정보보호법 적용을 받는 해외사업자의 경우 국내 이용자가 이해할 수 있도록 쉽고 명확한 한글로 정보를 제공해야 한다.

④ 접근성
개인정보 처리방침은 정보주체 누구나 쉽게 확인할 수 있는 방법으로 공개돼야 한다. 개인정보 처리방침상 정보주체 권리행사 방법은 개인정보를 수집하는 방법과 동일한 수준이거나 보다 쉬운 절차로 설계하고 구체적이고 상세하게 안내해야 한다.

1. 제목
제목의 경우 ‘개인정보 처리방침’이라는 표준화된 명칭을 사용해 상단에 기재해야 한다. 정보주체가 개인정보처리자가 누구인지 명확히 확인할 수 있도록 제목에 개인정보처리자명을 작성하는 것을 권장하고 있다. 서문으로, 개인정보 처리방침 수립·공개의 취지를 기재하는 것을 권장하고 있다.

2. 개인정보의 처리 목적
개인정보 처리 목적은 개인정보처리자가 개인정보를 처리하기 위한 목적을 기재해야 한다. 가능한 구체적이고 상세히 기재하되, 해당 사무의 개인정보 처리 목적을 정보 주체가 알기 쉽게 이해할 수 있도록 기재해야 한다. 고유식별정보의 경우 개인정보 보호법 제24조 제1항에 따라 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 또는 정보주체로부터 별도의 동의를 받은 경우에만 처리할 수 있다. 개인정보 처리방침의 수집 목적은 ‘~등’으로 불명확하게 기재하지 않고, 구체적으로 기재해야 한다. 정보주체의 동의를 받아 개인정보를 수집·이용하는 경우 동의 받을 때 정보주체에게 고지하는 사항과 일치해야 한다.

3. 처리하는 개인정보의 항목
처리하는 개인정보 항목은 각각의 개인정보 항목을 기재해야 한다. 개인정보처리자는 정보주체의 동의없이 처리하는 개인정보에 대해 항목과 처리의 법적 근거를 동의받아 수집하는 개인정보와 구분해 기재해야 한다. 동의받아 처리하는 개인정보는 목적에 따른 개인정보 항목을 기재해야 한다. 해당 사무 처리 과정이나 서비스 제공 과정에서 자동으로 생성·수집되는 개인정보 항목이 있는 경우에는 해당 업무와 개인정보 항목을 명시해야 한다.

4. 14세 미만 아동의 개인정보 처리에 관한 사항
14세 미만 아동의 개인정보 동의를 받고자 하는 경우 법정대리인의 동의를 얻어 개인정보를 수집한다는 내용과 법정대리인 동의 확인방법 등을 별도로 구분해 기재하는 게 바람직하다. 개인정보처리자가 법정대리인의 동의를 받기 위해 아동으로부터 수집하는 법정대리인의 개인정보(이름, 연락처 등)에 대해 기재해야 한다. 14세 미만 아동의 개인정보 처리방침에 대해 안내할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 한다. 14세 이상의 청소년에게 개인정보 관련 사항을 안내하는 경우도 청소년의 눈높이에서 이해하기 쉬운 방식으로 개인정보 관련 사항을 안내해 청소년이 스스로 결정할 수 있게 지원하는 게 바람직하다. 법정대리인의 동의 없이 아동으로부터 직접 수집하는 법정대리인의 개인정보는 ‘처리하는 개인정보 항목’에 포함해 기재 가능하다.

5. 개인정보의 처리 및 보유 기간
동의받은 ‘보유·이용 기간’에 따라 개인정보를 보유할 수 있다는 내용을 기재해야 한다. 또한 ‘개인정보의 처리 목적’에서 기재한 해당 사무에 따른 구체적인 처리·보유 기간을 기재해야 한다. 관계 법령에 개인정보 보유 기간에 대한 근거가 있는 경우 해당 법령명과 조문, 항목, 법령에서 정한 보유 기간을 기재해야 한다. 보유 기간은 ‘목적 달성시’와 같이 추상적으로 기재하지 않고 구체적으로 기재해야 한다. 정보주체의 동의를 받아 개인정보를 수집·이용하는 경우 동의받는 사항과 일치하도록 기재해야 한다.

6. 개인정보의 파기 절차 및 방법에 관한 사항
처리하고 있는 개인정보가 불필요하게 됐을 경우 지체없이 파기한다는 내용을 기재해야 한다. 다른 법령에 따라 개인정보를 파기하지 않고 보존하는 경우 해당 법령과 조문, 보존하는 개인정보 항목을 구체적으로 기재해야 한다. 또한 파기의 절차, 방법 등에 관한 세부적인 내용을 기재해야 한다.

7. 개인정보의 제3자 제공에 관한 사항
개인정보처리자가 개인정보를 제3자에게 제공하는 경우 법 제17조에 따른 사항을 기재해야 한다. 만일 제3자 제공이 없을 경우 항목은 기재하지 않을 수 있다. 제3자 제공에 해당한다면, 정보주체의 동의를 받거나 제15조제1항제2호(법률규정 또는 법령 상 의무 준수), 제3호(공공기관 소관업무 수행), 제5호(급박한 생명·신체·재산상 이익), 제6호(개인정보처리자의 명백히 정당한 이익 달성), 제7호(공중위생 등 공공의 안전과 안녕을 위해 긴급한 필요)에 따라 개인정보를 수집한 목적 범위 내에서 동의없이 제3자에게 제공할 수 있음을 명확하게 기재해야 한다.

개인정보처리자가 법 제18조제2항에 따라 목적 외의 용도로 제3자에게 개인정보를 제공하는 경우, 허용된 범위를 벗어나 개인정보를 이용·제공하지 않는다는 원칙을 기재(법 제18조)해야 한다. 동의받아 제3자 제공이 되는 경우 △개인정보를 제공받는 자(제3자), △제3자의 이용목적 △제공하는 개인정보 항목 △제공받는 자의 보유·이용기간을 각각 기재해야 한다. 개인정보를 제공받는 자(제3자)는 △‘~등’ 또는 ‘A업체 등 O개사’로 축약하지 않아야 하며, △제공받는 자의 수가 많은 경우 별도의 화면(더보기, 전체보기, 팝업창 등), 목록 파일 내려받기 기능 등으로 공개 가능하다.

8. 추가적인 이용·제공이 지속적으로 발생 시 판단 기준
개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 법 제15조 제3항과 법 제17조 제4항에 따라 정보주체의 동의없이 개인정보를 추가로 이용·제공하는 게 지속 발생하는 경우, 관련 내용(제공받는자, 개인정보 항목, 이용·제공 목적, 제공받는 자의 보유 및 이용기간 등)을 시행령 제14조의2 제1항 각 호에 따른 추가적인 이용과 제공하기 위한 고려사항에 따른 판단기준과 함께 구체적으로 기재해야 한다.

9. 개인정보 처리업무의 위탁에 관한 사항
개인정보처리자가 개인정보 처리업무를 위탁하고 있는 경우 그에 관한 사항을 기재하고, 만일 개인정보 처리의 위탁이 없을 경우에는 본 항목은 기재하지 않는 것도 가능하다. 위탁이 이루어지고 있는 경우에는 1)위탁받은 자(수탁자), 2)위탁하는 업무의 내용을 각각 기재해야 한다. 개인정보 처리업무를 위탁받아 처리하는 자를 말하며, 위탁받은 업무를 다시 위탁받은 제3자(재수탁자)를 포함해야 한다. 개인정보 처리업무를 재위탁하는 경우 개인정보처리자(위탁자)가 수탁자의 개인정보 처리방침 링크 추가를 통해 재수탁자의 위탁업무 내용(재수탁자, 재수탁하는 업무의 내용)을 알릴 수 있다. 위탁업무의 내용이나 수탁자가 변경되는 경우 개인정보 처리방침에 지체 없이 변경 사항을 공개해야 한다.

10. 개인정보의 국외 수집 및 이전에 관한 사항
개인정보의 국외 수집·이전(제공, 처리위탁, 보관)은 정보주체의 개인정보가 국내와 개인정보보호 체계가 다른 제3의 국가로 옮겨지는 것으로, 정보주체가 이를 명확히 인지할 수 있도록 개인정보의 제3자 제공, 처리업무의 위탁 등 항목과 별도로 구분해 기재해야 한다. 개인정보를 국외에서 직접 수집·처리하는 경우 국외에서 직접 수집하는 경우임을 밝히고 개인정보를 처리하는 국가명을 모두 기재해야 한다. 개인정보를 국외로 이전(제공, 처리위탁, 보관)하는 경우 법 제28조의8 제1항에 따른 국외 이전의 법적 근거와 법 제28조의8 제2항 각 호의 사항을 기재해야 한다. 클라우드 서비스 이용 등으로 인해 복수의 국가로 개인정보가 이전되는 경우 해당 국가를 모두 기재해야 한다.

개인정보 국외이전의 법적 근거 중 다른 법률에 개인정보의 국외이전에 관한 특별히 규정이 있는 경우 법률 및 조문도 구체적으로 포함해 작성해야 한다. 개인정보의 국외 제3자 제공 또는 국외 개인정보 처리업무 위탁인 경우 ‘개인정보의 국외 수집 및 이전에 관한 사항’에서 통합해 작성할 수 있다.

11. 개인정보의 안전성 확보조치에 관한 사항
해당 개인정보처리자가 법 제29조, 같은 법 시행령 제30조 및 제30조의2에 따라 시행 중인 안전성 확보조치에 관한 사항을 기재해야 한다. 안전성 확보조치는 가능한 자세히 기재하되, 해당 개인정보처리자가 상세히 기술한 내용이 알려져 개인정보 침해 위협이 증가할 수 있다고 판단되는 경우 그 수준을 조절해 표현할 수 있다.

12. 민감정보의 공개 가능성 및 비공개를 선택하는 방법
개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보 중 민감정보가 포함되어 있는 경우 ‘민감정보가 공개될 수 있다는 사실’과 ‘비공개를 선택하는 방법’을 기재해야 한다. 공개될 수 있는 민감정보 항목을 모두 기재하고, 비공개를 선택하는 절차와 방법 등에 관한 구체적인 내용을 기재해야 한다.

13. 가명정보 처리에 관한 사항
개인정보처리자가 가명정보를 처리하는 경우에는 주요 사항을 구체적으로 기재해야 한다.

14. 개인정보 자동 수집 장치의 설치 운영 및 거부에 관한 사항
개인정보처리자가 자신이 운영하는 웹·앱에 쿠키 또는 이와 유사한 기술(이하, ‘쿠키 등’)과 같이 개인정보를 자동으로 수집하는 장치를 설치·운영할 경우, 그에 관한 사항을 기재해야 한다. 개인정보 처리방침에 쿠키 등의 정보에 대한 기본적인 설명과 함께 이를 통해 처리하는 개인정보에 관한 사항을 기재해야 한다.

개인정보처리자가 개인정보 자동 수집 장치를 통해 행태정보를 수집하고, 정보주체를 식별해 행태정보를 처리하는 경우, 그 수집·이용·제공 및 거부 등에 대해 기재해야 한다.

개인정보처리자가 정보주체를 식별하지 않고 행태정보를 처리하는 경우, 해당 처리 사실을 기재하고, 그 수집·이용·제공과 거부 등에 대해 작성하는 것을 권장한다.

한편, 제3자가 운영하는 웹·앱에서 개인정보 자동 수집 장치를 설치·운영하고, 그 결과 해당 개인정보 자동 수집 장치로부터 개인정보처리자가 행태정보를 수집하는 경우 해당 처리 사실을 기재할 것을 권고하고 있다.

15. 개인정보 자동 수집 장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 그 수집·이용과 거부에 관한 사항
개인정보처리자가 운영하는 웹·앱에서 제3자가 개인정보 자동 수집 장치를 통해 행태정보를 수집하도록 허용하는 경우, 수집해가는 행태정보에 관한 사항을 기재할 것을 권장하고 있다. 개인정보처리자가 직접 처리하는 경우가 아니므로, 정보주체의 효과적 확인을 위해 별도의 창으로 제공하는 형식 등으로 안내할 것을 권장하고 있다.

16. 정보주체와 법정대리인의 권리·의무 및 행사방법에 관한 사항
해당 개인정보처리자에 대해 정보주체와 법정대리인이 개인정보보호와 관련해 지니는 권리·의무를 기재해야 한다. 해당 개인정보처리자에 대해 정보주체가 지니는 개인정보 열람, 정정·삭제, 처리정지, 동의철회, 자동화된 결정 거부·설명 요구 등(이하 ‘열람 등’) 행사방법, 행사절차 등을 구체적으로 기재해야 한다. 정보주체가 해당 개인정보처리자에 대해 개인정보 열람 등 청구를 신청할 수 있는 부서명과 연락처를 기재할 것을 권장하고 있다.

17. 개인정보보호책임자의 성명 또는 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항
개인정보처리자가 법 제31조에 따라 지정한 개인정보보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처(전화번호, 전자우편 주소 등)를 기재해야 한다. 개인정보 처리방침에 공개된 연락처는 연결이 어렵거나 지나치게 지연되는 등 정보주체의 권리 행사를 어렵게 하지 않아야 한다.

정보주체의 알권리 보장 차원에서 개인정보 보호책임자의 성명과 개인정보보호 담당부서, 연락처를 모두 기재하는 것도 작성지침은 권장하고 있다.

18. 국내 대리인 지정에 관한 사항
국외사업자로서 법 제31조의2에 따라 국내대리인을 지정해야 하는 경우 국내대리인의 성명(법인인 경우 법인명, 대표자의 성명), 주소(법인인 경우 영업소 소재지), 전화번호 및 전자우편 주소를 기재해야 한다.

19. 정보주체의 권익침해에 대한 구제방법
정보주체가 개인정보침해에 대한 구제를 받을 수 있도록 하기 위해 법에 따른 전문기관(개인정보침해신고센터, 개인정보 분쟁조정위원회), 수사기관 등을 안내할 것을 권장하고 있다. 또한, 개인정보처리자를 통한 피해구제가 원만하게 이뤄지지 않을 경우 정보주체가 추가적으로 피해 구제를 요청할 수 있는 방법을 안내할 것을 작성지침에서는 권장하고 있다.

20. 고정형 영상정보처리기기 운영·관리에 관한 사항
법 제25조 제7항에 따라 고정형 영상정보처리기기 운영자가 마련해야 하는 ‘고정형 영상정보처리기기 운영·관리 방침’을 본 개인정보 처리방침에 포함해 작성하는 경우 적용해야 한다. 고정형 영상정보처리기기 운영자는 시행령 제25조 제1항에 따른 사항을 포함한 운영·관리 방침을 마련해야 한다.

21. 이동형 영상정보처리기기 운영·관리에 관한 사항
법 제25조의2 제4항에 따라 이동형 영상정보처리기기 운영자가 마련해야 하는 ‘이동형 영상정보처리기기 운영·관리 방침’을 본 개인정보 처리방침에 포함해 작성하는 경우에 적용해야 한다. 이동형 영상정보처리기기 운영자는 각 호의 사항이 포함된 이동형 영상정보처리기기 운영·관리 방침을 마련(표준지침 제39조의3)해야 한다.

22. 개인정보처리자가 개인정보처리 기준 및 보호조치 등에 관해 자율적으로 개인정보 처리방침에 포함해 정한 사항
개인정보처리자는 법령에서 규정하고 있는 안전성 확보조치 관련 의무사항 외에 개인정보처리자가 자율적으로 이행하고 있는 개인정보보호 조치 사항에 대해 기재할 수 있다.

23. 개인정보 처리방침의 변경에 관한 사항
개인정보 처리방침을 변경하는 경우 변경 및 시행 시기, 변경된 내용을 지속적으로 공개해야 한다. 이전의 개인정보 처리방침이 있는 경우에는 그간의 변경 이력을 기재해야 한다. 주요 변경 사항을 별도로 안내하는 경우 웹페이지 팝업창 등을 통해 정보 주체가 쉽게 확인할 수 있는 방법으로 알릴 것을 작성지침에서는 권장하고 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)