[ISMS-P] 개인정보 처리 단계별 요구사항 (3.5 정보주체 권리보호)

#개인정보 처리 단계별 요구사항 기준

3.5 정보주체 권리보호

3.5.1 개인정보처리방침 공개

인증기준 : 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.

 

확인사항

- 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?

- 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가?

- 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하고 있는가?

 

관련법규

- 개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개)

 

증거자료

- 개인정보 처리방침

- 개인정보 처리방침 개정 관련 공지 내역(게시판 등)

 

결함사례

1) 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우

2) 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우

3) 개인정보 처리방침이 공개는 되어 있으나 명칭이 '개인정보 처리방침'이 아니라 '개인정보 보호정책'으로 되어 있고 글자 크기, 색상 등을 활용하여 정부주체(이용자)가 쉽게 찾을 수 있도록 되어 있지 않은 경우

4) 개인정보 처리방침 이 몇 차례 개정되었으나, 예정에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우

---

3.5.2 정보주체 권리보장

인증기준 : 정보주체(이용자)가 개인정보의 열람, 정정/삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법/절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립/이행하고 정보주체(이용자)의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립/이행하여야 한다.

 

확인사항

- 정보주체(이용자) 또는 그 대리인이 개인정보에 대한 열람, 정정, 삭제, 처리정지, 이의제기, 동의 철회(이하 열람 등) 요구를 개인정보 수집방법, 절차보다 쉽게 할 수 있도록 권리 행사 방법 및 절차를 마련하고 있는가?

- 정보주체(이용자) 또는 그 대리인이 개인정보 열람 요구를 하는 경우 규정된 기간 내에 열람 가능하도록 필요한 조치를 하고 있는가?

- 정보주체(이용자) 또는 그 대리인이 개인정보 정정, 삭제 요구를 하는 경우 규정된 기간 내에 처리정지 등 필요한 조치를 하고 있는가?

- 정보주체(이용자)의 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하고 있는가?

- 정보주체(이용자) 또는 그 대리인이 개인정보 수집, 이용, 제공 등의 동의를 철회하는 경우 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하고 있는가?

- 개인정보 열람 등의 요구 및 처리 결과에 대하여 기록을 남기고 있는가?

- 정보통신망에서 사샐황 침해 또는 명예훼손 등 타인의 권리를 침해한 경우 침해를 받은 자가 정보통신서비스 제공자에게 정보의 삭제 요청 등을 할 수 있는 절차를 마련하여 시행하고 있는가?

 

관련법규

- 개인정보 보호법 제35조(개인정보의 열람), 제36조(개인정보 정정/삭제), 제37조(개인정보의 처리정지 등), 제38조(권리행사의 방법 및 절차), 제39조의7(이용자의 권리 등에 대한 특례)

- 정보통신망법 제44조(정보통신망에서의 권리보호), 제44조의2(정보의 삭제요청 등), 제44조의3(임의의 임시조치)

 

증거자료

- 개인정보 처리방침

- 열람, 정정/삭제, 처리정지 요구 처리 절차, 관련 양식

- 개인정보 열람 신청서

- 개인정보 열람 요구 시 조치 내역

- 개인정보 정정/삭제, 처리정지 신청양식(개인정보 정정, 삭제 요구서 등)

- 개인정보 정정, 삭제, 처리정지 요구 시 조치내역(개인정보 정정/삭제 통지서 등)

- 회원 탈퇴 절차

 

결함사례

1) 개인정보의 열람, 정정/삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우

2) 개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과하여 회신하고 있는 경우

3) 개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우

4) 정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어지는 경우

5) 개인정보 정정/삭제 요구에 대하여 정정/삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하는 경우

6) 회원 가입 시에는 온라인을 통하여 쉽게 회원 가입이 가능하였으나 회원 탈퇴 시에는 신분증 등 추가 서류를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우

---

3.5.3 이용내역 통지

인증기준 : 개인정보의 이용내역 등 정보주체(이용자)에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다.

 

확인사항

- 법적 의무 대상자에 해당하는 경우 개인정보 이용내역을 주기적으로 정보주체(이용자)에게 통지하고 그 기록을 남기고 있는가?

- 개인정보 이용내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가?

 

관련법규

- 개인정보 보호법 제39조의8(개인정보 이용내역의 통지)

 

증거자료

- 개인정보 이용내역 통지 기록

- 개인정보 이용내역 통지 양식 및 문구

 

결함사례

1) 전년도 정보통신서비스 부문 매출액이 100억원 이상이었으나, 금년도에 개인정보 이용내역을 통지하지 않은 경우

2) 개인정보 이용내역을 개별 이용자에게 직접적으로 통지하는 대신 홈페이지에서 팝업창이나 별도 공지사항으로 안내만 하는 경우