curation by zrungee curation by zrungee

개인정보에 대한 동의를 구현하는 경우는 주로 세 가지 입니다. - 회원가입 시, 서비스 제공에 필요한 '개인정보 수집 및 이용에 대한 동의' (개인정보보호법 제15조1항) - 광고성 정보/마케팅 활용을 위한 '광고성 정보 전송 동의' (개인정보보호법 제22조 4항) - 서비스 제공과는 무관하지만 '제3자 제공 동의' (개인정보보호법 제17조 2항) 동의를 받는 건 다 같은건 아니야? 라고 생각할 수 있지만, 이 세 가지 유형은 서로 다른 법률 조항에 따라 동의를 구현해야 합니다. 2010년도만 해도 제3자 제공은 '제휴업체'에게 제공하기 위한 동의가 일반적이었지만, 최근에는 기술의 발전, 사업의 다양성으로 제3자 제공의 유형이 다양해졌습니다. 1) 계정을 보유한 플랫폼사업자가 제공하는 oAuth 인증 -..

2020년부터 기업들은 법에서 허용한 범위 내에서 '가명정보'를 처리하는 것이 가능해졌습니다. '가명정보'는 개인정보를 가명처리함으써, 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보인데요. 가명정보 처리에 대한 규제는 '개인정보보호법 제3절, 가명정보의 처리에 관한 특례'에서 다루고 있습니다. 가명정보를 업무 상 활용하기 위해 분석했던 주요 포인트를 공유드리겠습니다. - '가명처리'와 '가명정보 처리'는 어떻게 다를까? - 가명정보는 개인정보가 아니니까, 동의 없이 활용해도 될까? - 가명정보와 추가정보에 대한 안전성 확보조치는 어떻게 해야할까? - 가명정보가 개인정보보다 더 관리하기 용이해야하는거 아니야? '가명처리'와 '가명정보 처리'는 다르다. 가명처..

개인정보보호 업무를 하면서 정보주체의 권리보장, 특히 '동의를 철회할 권리'에 대해 혼동되는 부분이 있었습니다. 한 번 '동의'했던 것을 번복하는 것도 정보주체의 권리라는 의미인데요. 사업자들은 동의 이력을 보유하고 있는 DB에서 '동의함'을 '동의하지 않음'으로 변경처리해야할 것 입니다. 개인정보처리자는 정보주체의 개인정보를 수집하거나, 개인정보 제3자에게 제공할 때 사전동의를 획득합니다. 동의를 철회하면 개인정보 처리와 제공을 중단해야하는데, 어디까지 파기해야하는 것일까요? 동의 유형을 나누어서 정리해보았습니다. 1. 개인정보 처리 및 이용에 대한 수집 동의(개인정보보호법 제15조 2항) - 개인정보를 처리 및 이용하겠다는 목적으로 수집에 동의를 획득한 케이스 - 동의를 철회했을 때, 개인정보 처리 ..

서비스 홍보 목적으로 메일이나 문자, 전화 등을 이용해 '광고성 정보'를 발송하는 것은 잘 알려진 마케팅 방식입니다. 마케팅 담당자들은 효과적인 홍보를 하기 위해 자사 서비스 회원에게 정성껏 마케팅 자료를 제작해서 발송합니다. 그런데, 전자적 전송매체를 이용하여 광고성 정보를 전송할 때에는 1) 법에서 정한 내용을 포함하고 2) 발송시간을 준수하고 3) 발송을 제한해야 하는 기준을 정의하고 4) 광고성 정보수신에 대한 의사 확인을 하도록 강제화한 법률이 있다는 것을 아시나요? * 전자적 전송매체 : 메일, 문자, 전화 등 정보통신망법 제 50조 (영리목적의 광고성 정보 전송 제한) 이 법률의 취지는 무작위로 발송하는 스팸메일, 문자, 전화로 인한 수신자의 권리 침해를 예방하는 목적입니다. 혹시 기억하실지..

판단 기준 보관 및 접근 정책 - 정보통신서비스 제공자등은 1년 이외의 기간으로 정하고자 하는 경우, 이용자가 이를 선택할 수 있도록 해야 함 - 미이용자의 개인정보는 일반 이용자의 개인정보 DB와 분리하여 별도로 저장, 관리하고 접근훤한 최소화 - 이용자의 권리를 보호할 필요가 있거나, 향후 재이용의 가능성이 있는 경우 최소한의 연결값(아이디 등)을 DB에 남겨두는 것은 가능 - 분리 저장, 관리되는 개인정보는 재이용이나 제3자에게 제공할 수 없음 재이용 및 제3자 제공이 가능한 경우 - 이용자가 정보통신서비스의 재이용(계정 활성화)를 요구하는 경우 [법률에 특별한 규정이 있는 경우] - 개인정보보호법(제63조 자료제출 및 검사) - 형사소송법(제106조 압수, 109조 수색, 제139조 검증) - 통..

Ref ) 2022년 개인정보보호 전문관리자 양성교육 RACI 차트를 통한 개인정보보호 거버넌스 - 업무의 수행책임(R), 소명/최종 책임(A), 의견개진/컨설팅/협의/자문 (C), 정보파악/공유/보고(I) - 개인정보보호 거버넌스, 보호조치, 규제대응, 사고관리 영역의 업무를 정의하고 RACI를 정의해볼 것 개인정보보호 수준 관리 - 사업/서비스/조직에서 가장 낮은 개인정보보호 수준이 그 회사의 개인정보보호 수준 - 가장 낮은 개인정보보호 수준을 최소한 평균 수준으로 끌어 올리는 것이 급선무 Idea ) - 각 부서에서 준수해야 하는 가이드라인 정의 - 보호 수준을 아래와 같이 5단계로 나누어 분류해볼 것 1) 가이드라인 존재를 모르는 경우 2) 가이드라인 이해하는 경우 3) 가이드라인을 업무에 적용하..

적용 법률 및 사업 등록 개인정보 개인위치정보 적용 법률 개인정보보호법 위치정보의 보호 및 이용 등에 관한 법률 개념 특정 개인을 식별할 수 있는 정보 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다) 소관 개인정보보호위원회 방송통신위원회 허가 /신고 제34조 (개인정보 유출통지) - 신고 제39조의4 (개인정보 유출등의 통지,신고에 대한 특례 - 신고 제62조 (침해사실의 신고) - 신고 제5조 (위치정보사업자) - 허가 제7조 (위치정보사업의 양수 및 법인의 합병) - 인가 제8조 (위치정보사업의 휴업,폐업) - 신고 제9조 (위치기반서비스사업자) - 신고 제10조 (위치기반서비스사업의 양수 및..