< |

전체메뉴

메뉴명없음

학력인정 안양상업고등학교는 개인정보보호법에 따라 이용자의 개인정보 및 권익을 보호하고 개인정보와 관련

한 이용자의 고충을 원활하게 처리할 수 있도록 다음과 같은 처리방침을 두고 있습니다. 학교 홈페이지는 개인정보처리방침을 개정하는 경우 학교홈페이지(https://www.anyangco.hs.kr/)를 통하여 공지할 것입니다.

제1조 개인정보의 처리 목적 및 보유 기간, 개인정보의 항목

안양상업고등학교는 개인정보를 다음의 목적으로 처리합니다. 처리한 개인정보는 다음의 목적이외의 용도로는 사용되지 않으며 이용 목적이 변경될 시에는 사전 동의를 구할 예정입니다. 또한 안양상업고등학교에서 보유하고 있는 개인정보는 원칙적으로 개인정보의 처리목적이 달성되면 지체 없이 파기합니다. 단, 다음의 정보에 대하여는 아래의 사유로 명시한 기간 동안 보존합니다.

개인정보파일명	보유목적	보유근거	개인정보수집항목	보유기간
학교생활기록부	학생의 학업성취도 평가를 통한 내실화 도모	초중등교육법 제25조, 학교생활기록의 작성 및 관리에 관한 규칙 제3조	사진, 인적사항(성명, 성별, 주민등록번호, 주소, 보호자 성명, 보호자 생년월일, 특기사항), 학적사항	준영구
안양상업고등학교 홈페이지	홈페이지 회원 관리	2년 주기로 정보주체 동의	회원유형, 성명, ID, 비밀번호, 생년월일, 이메일주소	회원탈퇴시까지(2년)
민원처리부	민원접수및처리관리	민원사무처리에관한법률시행령 제8조, 민원사무처리에관한법률시행규칙제13조	성명, 주민등록번호, 주소, 연락처, 용도	10년

제2조 개인정보의 제3자 제공

안양상업고등학교는 원칙적으로 정보주체의 개인정보를 제1조 (개인정보의 처리 목적∙항목∙보유기간) 에서 명시한 범위 내에서 처리하며, 개인정보보호법 제17조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.

1. 개인정보 제3자 제공사항

개인정보 파일명	개인정보 제공받는기관	개인정보 제공근거	개인정보 제공항목	개인정보 제공목적	개인정보 보유기간
학교생활기록부	전·편입학교	초.중등교육법 제25조	사진, 인적사항, 학적사항	학생관리	10년

제3조 개인정보처리 위탁

안양상업고등학교는 원칙적으로 정보주체의 동의없이 해당 개인정보의 처리를 타인에게 위탁하지 않습니다. 다만, 정보주체의 동의를 받은경우 개인정보 처리를 위탁할 수 있습니다. 향후, 위탁계약 시 개인정보보호 관련 법규의 준수, 개인정보에 관한 제3자 제공 금지 및 책임부담 등을 명확히 규정하고, 계약내용을 서면 및 전자 보관하겠습니다.

담당자	위탁하는 업무의 내용	위탁받는 자(수탁자)
서강우	학교 홈페이지 유지 관리	(주)아미정보통신
서강우	웹호스팅학교홈페이지 유지관리	㈜에듀웍스

제4조 정보주체의 권리, 의무 및 행사방법

정보주체는 개인정보주체로서 다음과 같은 권리를 행사할 수 있습니다.

1. 자신 및 14세 미만 아동의 개인정보의 조회, 수정 및 가입해지의 요청

2. 개인정보의 오류에 대한 정정 및 삭제의 요청

3. 정보주체가 개인정보의 오류에 대한 정정 및 삭제를 요청한 경우에는 정정 및 삭제를 완료할 때 까지 당해 개인정보를 이용 또는 제공하지 않습니다. 이 경우, 잘못된 개인정보를 이용 또는 제공한 경우 지체없이 수정하도록 하겠습니다.

4. 정보주체는 개인정보 보호법 등 관계법령을 위반하여 안양상업고등학교가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 안됩니다.

제5조 개인정보 열람 및 정정·삭제 청구

정보주체는 안양상업고등학교에서 처리하는 개인정보파일에 대하여 다음과 같이 열람 및 정정·삭제 청구할 수 있습니다.

1. 개인정보 열람, 정정, 삭제, 처리정지에 대한 처리부서

번호	개인정보파일명	열람/정정/처리정지/삭제 처리부서	전화번호	비고
1	학교생활기록부	교무부	031-441-4634
2	학부모서비스신청자명단	교무부	031-441-4634
3	학생건강기록부관리	학생자치부	031-441-4634
4	홈페이지회원정보	연구부	031-441-4634
5	민원사무처리부	교무부	031-441-4634

2.개인정보 열람요구 처리절차

3.개인정보 열람 제한

가. 개인정보 열람 요구는「개인정보보호법」제35조제4항에 의하여 다음과 같이 제한될 수 있습니다.

(1) 법률에 따라 열람이 금지되거나 제한되는 경우

(2) 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

(3) 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

- 조세의 부과·징수 또는 환급에 관한 업무

- 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치 된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무

- 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무

- 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

- 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

4. 개인정보 정정·삭제 요구

가. 안양상업고등학교에서 보유하고 있는 개인정보파일에 대해서는 「개인정보보호법」제36조(개인정보의 정정·삭제)에 따라 개인정보의 정정·삭제를 요구할 수 있습니다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없습니다.

나. 정정 및 삭제 청구 절차

5. 개인정보 처리정지 요구

가. 안양상업고등학교에서 보유하고 있는 개인정보파일에 대해서는 「개인정보보호법」제37조(개인정보의 처리정지 등)에 따라 개인정보의 처리정지를 요구할 수 있습니다. 다만, 개인정보 처리정지 요구 시 「개인정보보호법」제37조제2항에 의하여 처리정지 요구가 거절될 수 있습니다.

(1) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

(2) 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

(3) 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

(4) 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

6. 정보주체는 개인정보에 대한 열람, 정정·삭제, 처리정지 요구를 대통령령으로 정하는 방법.절차에 따라 대리인에게 하게 할 수 있으며, 만14세 미만 아동의 법정 대리인은 그 아동의 개인정보에 대한 열람, 정정·삭제, 처리정지 요구를 할 수 있습니다.

7. 손해배상 청구

가. 안양상업고등학교에서 보유하고 있는 개인정보파일에 대하여 안양상업고등학교가 개인정보보호법을 위반한 행위로 정보주체가 손해를 입은 경우 손해배상 청구가 가능합니다.

제6조 개인정보의 파기

안양상업고등학교는 원칙적으로 개인정보 처리목적이 달성된 경우에는 지체없이 해당 개인정보를 파기합니다. 파기의 절차, 기한 및 방법은 다음과 같습니다.

1. 파기절차 : 정보주체가 입력한 정보는 목적 달성 후 별도의 DB에 옮겨져(종이의 경우 별도의 서류) 내부 방침 및 기타 관련 법령에 따라 일정기간 저장된 후 혹은 즉시 파기됩니다. 이때, DB로 옮겨진 개인정보는 법률에 의한 경우가 아니고서는 다른 목적으로 이용되지 않습니다.

2. 파기기한 : 정보주체의 개인정보는 개인정보의 보유기간이 경과된 경우에는 보유기간의 종료일로부터 5일 이내에, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기합니다.

3. 파기방법

가. 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다.

나. 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용합니다.

제7조 개인정보의 안정성 확보 조치

안양상업고등학교는 개인정보보호법 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하고 있습니다.

1. 개인정보 취급 직원의 최소화 및 교육 : 개인정보를 취급하는 직원을 지정하고 담당자에 한정시켜 최소화하여 개인정보를 관리하는 대책을 시행하고 있습니다.

2. 개인정보의 암호화 : 개인정보는 암호화 등을 통하여 안전하게 저장 및 관리되고 있으며, 중요한 데이터는 전송 시 암호화하여 사용하는 등 별도의 보안기능을 사용하고 있습니다.

3. 해킹 등에 대비한 기술적 대책 : 안양상업고등학교는 해킹이나 컴퓨터 바이러스 등에 의한 개인정보 유출 및 훼손을 막기 위하여 보안프로그램을 설치하고 주기적인 갱신 및 점검을 실시하고 있습니다.

4. 개인정보에 대한 접근 제한 : 개인정보를 처리하는 데이터베이스시스템에 대한 접근권한의 부여, 변경, 말소를 통하여 개인정보에 대한 접근을 통제하고, 침입차단시스템을 이용하여 외부로부터의 무단 접근을 통제하고 있습니다.

5. 비인가자에 대한 출입 통제 : 개인정보처리시스템은 외부로부터 접근이 통제된 구역에 설치되어 있으며 이에 대한 출입통제 체계를 구축, 운영하고 있습니다.

6. 접속기록의 보관 : 개인정보취급자가 개인정보시스템에 접속한 기록을 최소 6개월 이상 보관·관리하고 있습니다.

7.“개인정보의 안전성 확보조치 기준(행정안전부고시 제2011-제43호)” 준수

가. 안양상업고등학교는 “개인정보의 안전성 확보조치 기준”을 준수하여 개인정보를 처리하고 있습니다.

제8조 개인정보 보호책임자 및 분야별 책임자

개인정보의 처리에 관한 업무를 총괄하는 개인정보 보호책임자를 지정·운영하고 있습니다. 안양상업고등학교에서 처리하는 개인정보와 관련된 고충처리 및 상담, 정보주체의 권익이 침해될 우려가 있는 사실을 확인하였을 경우 아래의 연락처로 알려주시기 바랍니다.

1. 개인정보 보호책임자 및 개인정보담당자

개인정보 보호책임자		개인정보 보안담당관
책임자	교장 정인성	담당자	교사 서강우
전 화	031-441-4634
팩 스	031-449-4068

2. 개인정보 보호 분야별 책임자

부서	분야별책임자	비고
교무부	부장 정정욱
연구부	부장 정창원
학생부	부장 전병서

제9조 정보주체의 권익침해에 대한 구제방법

정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회，한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청 할 수 있으며, 개인정보침해의 신고 및 상담에 대해서는 아래기관으로 문의하시기 바랍니다

○ 개인정보침해 상담, 신고, 분쟁조정 신청

- 한국인터넷진흥원개인정보침해신고센터(국번없이) 118 (http://privacy.kisa.or.kr/kor/main.jsp)

○ 행정심판 청구

- 개인정보보호법」제35조(개인정보의 열람), 제36조(개인정보의 정정ㆍ삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

- 경기도 행정심판위원회 전화번호 안내 031-8008-2881

제10조 영상정보처리기기 운영·관리 방침

제1항 설치 근거 및 설치 목적

안양상업고등학교는 영상정보처리기기(CCTV)를 다음의 목적을 위하여 설치 및 운영하고 있으며, 영상정보처리기기(CCTV)에 의해 수집된 개인영상정보는 다음의 목적이외 용도로는 사용되지 않습니다. 영상정보처리기기(CCTV)의 설치 목적이 변경될 시에는 사전 의견수렴 및 안전성 확보 절차를 거친 후 설치 할 예정입니다.

1. 설치 근거 : 개인정보보호법 제25조 3항

2. 설치 목적 : 안양상업고등학교 시설안전 및 화재예방(학교폭력예방 및 시설안전, 화재예방 등)

제2항 영상정보처리기기(CCTV) 운영 현황

1. 설치 대수 : 10대

2. 설치 위치 및 촬영범위

시설물명	위치	카메라대수	성능	촬영범위
안양상업고등학교	교문 앞	1	210만 화소	본관 교문 앞
	본관 현관	1	210만 화소	본관1층복도입구 및 계단
	본관 1층 복도	1	210만 화소	본관1층복도전체
	본관 1층 교무실	1	210만 화소	교무실전체
	본관 1층 상담실	1	210만 화소	상담실전체
	실외체육장	1	210만 화소	실외체육장전체
	본관 옥상	2	210만 화소	옥상입구 및 옥상전체
	본관 주차장	2	210만 화소	주차장전체
	총	10

3. 개인영상정보의 처리방법 및 보관장소, 보유기간

◦ 처리방법 : 24시간 실시간 녹화

◦ 보관장소 : 안양상업고등학교 교무실(통제구역)

◦ 보유기간 : 화상정보 수집 후 30일 이내

4. 개인영상정보 확인 방법 및 장소 ◦ 확인방법 : 관리책임자에게 요구(학생자치부)

◦ 확인장소 : 안양상업고등학교 1층 교무실

제3항 CCTV의 관리 책임자 및 담당자

안양상업고등학교는 영상정보처리기기(CCTV)에 의해 촬영된 개인영상정보를 안전하게 보호하고 개인영상정보와 관련한 민원 등을 처리하기 위하여 다음과 같이 영상정보처리기기(CCTV) 관리책임자 및 담당자를 지정하여 운영하고 있습니다.

1. 관리책임자 및 접근 권한 자

개인영상정보 보호책임자		개인영상정보 보호담당자(접근 권한 자)
책임자	전병서	담당자	이은재
전화	031-441-4634	전화	031-441-4634

제4항 정보주체의 개인영상정보 열람

정보주체는 자신이 촬영된 개인영상정보나 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 대하여 열람 또는 존재확인을 요구할 수 있습니다. 다만, 개인영상정보의 열람 또는 존재확인 요구는 「표준개인정보보호지침」 제48조4항에 의하여 다음과 같이 제한될 수 있습니다.

1. 범죄수사ㆍ공소유지ㆍ재판수행에 중대한 지장을 초래하는 경우

2. 개인영상정보의 보관기간이 경과하여 파기한 경우

3. 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우

제5항 영상정보처리기기 관리·운영 방침의 변경

이 영상정보처리기기 관리·운영 방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 10일 전부터 공지사항을 통하여 고지할 것입니다

제11조 개인정보 처리방침의 변경

본 개인정보처리방침은 법령 및 방침에 따른 변경내용의 추가 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일전부터 공지사항을 통하여 고지할 예정입니다.

- 본 방침 시행일 : 2024년 03월07일

개인정보보호 내부관리계획(이하‘내부관리계획’이라 한다)은 개인정보보호법(이하 “법”이라 한다) 제29조(안전조치의무) 및 동법 시행령(이하“시행령”이라 한다) 제30조(개인정보의 안전성 확보 조치) 내부관리계획의 수립 및 시행 의무에 따라 제정된 것으로 경기도교육청이 취급하는 개인정보를 체계적으로 관리하여 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 함을 목적으로 한다.

제2조(적용 범위)

본 계획은 정보통신망을 통하여 수집, 이용, 제공 또는 관리되는 개인정보 뿐만 아니라 서면 등 정보통신망 이외의 수단을 통해서 수집, 이용, 제공 또는 관리되는 개인정보 및 개인영상정보처리기기(CCTV)에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 직원(임시직, 파견근로자, 시간제근로자 포함) 및 외부업체 직원에 대해 적용된다.

제3조(용어 정의)

본 계획에서 사용하는 용어의 정의는 다음 각 호와 같다.

1.“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2.“처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.

3.“정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4.“개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법 제31조 및 시행령 제32조제2항에 따른 지위에 해당하는 자를 말한다

5.“개인정보 보호담당자”란 각급기관의 실질적인 개인정보 보호업무를 담당하는 자로 개인정보 처리자가 지정한 자를 말한다.

6.“개인정보보호 분야별책임자”(이하“분야별책임자”라 한다)란 경기도교육청 각 부서의 장으로, 부서의 개인정보 업무를 지휘‧감독하는 자를 말한다.

7.“개인정보보호 분야별담당자”(이하“분야별담당자”라 한다)란 분야별책임자가 업무를 수행함에 있어 보조적인 역할을 하는 자를 말하며 부서 개인정보보호업무에 대한 실무를 총괄하는 자를 말한다.

8.“개인정보취급자”란 개인정보처리자의 지휘감독을 받아 개인정보를 처리하는 자로서 직원, 파견근로자, 시간제근로자 등을 말한다.

9.“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

10.“개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.

11. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.

12.“위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.

13.“개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.

14.“고유식별정보”란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다.

15.“민감정보”란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력 정보 등에 관한 정보와 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 말한다.

16.“관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.

17.“제3자”란 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인(명백히 대리의 범위 내에 있는 것에 한한다)과 법 제26조 제2항에 따른 수탁자는 제외한다.

18.“영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 시행령 제3조에 따른 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라를 말한다.

19.“개인영상정보”란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.

20.“영상정보처리기기운영자”란 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.

21.“공개된 장소”란 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.

제4조(개인정보 보호원칙)

① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

⑧ 개인정보처리자는 개인정보 보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

제2장 내부관리계획의 수립 및 시행

제5조(내부관리계획의 수립 및 승인)

① 개인정보 보호책임자는 경기도교육청의 개인정보보호를 위한 전반적인 사항을 포함하여 내부관리계획을 수립하여야 한다.

② 개인정보 보호책임자는 개인정보보호를 위한 내부관리계획 수립 시 개인정보보호와 관련한 법령 및 관련 규정을 준수하여야 한다.

③ 개인정보 보호책임자는 개인정보 보호담당자가 수립한 내부관리계획의 타당성을 검토하여 개인정보보호를 위한 내부관리계획을 승인하여야 한다.

④ 개인정보 보호담당자는 개인정보보호 관련 법령의 제․개정 사항 등을 반영하기 위하여 매년 내부관리계획의 타당성과 개정 필요성을 검토하여야 하며, 개정할 필요가 있다고 판단되는 경우 개정안을 작성하여 개인정보 보호책임자에게 보고·승인을 받아야 한다.

제6조(내부관리계획의 공표)

① 개인정보 보호책임자는 제5조에 따라 개정된 내부관리계획을 경기도교육청 전 직원 및 관할기관에 공표한다.

② 내부관리계획은 내부직원이 언제든지 열람할 수 있도록 하여야 하며, 변경사항이 있는 경우에는 이를 공지하여야 한다.

제3장 개인정보 보호책임자의 의무와 책임

제7조(개인정보 보호책임자 및 분야별책임자의 지정)

① 경기도교육청은 "시행령 제32조 제2항 제1호의 마”에 의하여 기획조정실장을 개인정보 보호책임자로 임명하며, 각 업무부서의 장을 분야별책임자로 지정하여 업무를 담당하게 한다.

- 분야별책임자 : 해당부서의 장

- 분야별담당자 : 분야별 책임자의 권한을 위임받은 자

※ 인사이동 시 업무 인계 인수에 따라 자동 지정

제8조(개인정보 보호책임자의 의무와 책임)

① 개인정보 보호책임자는 정보주체의 개인정보를 보호하고 개인정보와 관련한 정보주체의 불만을 처리하기 위하여 다음 각 호의 임무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리·감독

7. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행

8. 개인정보 보호 관련 자료의 관리

9. 개인정보파일의 보유기간 산정

10. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

11. 개인정보보호 분야별책임자 지휘ㆍ감독

12. 기타 정보주체의 개인정보보호에 필요한 사항

② 개인정보 보호책임자는 개인정보 관련 업무의 효율적 운영을 위하여 개인정보 관리 전담부서의 직원 중 1인 이상을 개인정보 보호담당자로 임명한다.

③ 개인정보 보호담당자는 개인정보 보호책임자를 보좌하여 개인정보보호 업무에 대한 실무를 총괄하고 관리한다.

④ 개인정보 보호책임자는 개인정보관리에 대하여 분야별책임자를 지정하여 관리할 수 있다.

⑤ 개인정보 보호책임자는 연1회 이상 내부 관리계획의 이행 실태를 점검ㆍ관리한다.

제9조(분야별책임자의 의무와 책임)

① 분야별책임자는 정보주체의 개인정보를 보호하고 개인정보와 관련한 정보주체의 불만을 처리하기 위하여 다음 각 호의 임무를 수행한다.

1. 각 업무부서의 개인정보 취급자 지정·관리·감독·교육

2. 각 업무부서의 개인정보파일의 지정, 보호 및 관리·감독

3. 각 업무부서의 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 각 업무부서의 개인정보에 대한 안전성 확보를 위한 기술적․물리적 보호조치 기준 이행

5. 각 업무부서의 개인정보 관련 개선 권고에 따른 조치사항 이행

6. 각 업무부서의 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

7. 각 업무부서의 개인정보 처리방침의 수립·변경 및 시행

8. 각 업무부서의 개인정보 보호 관련 자료의 관리

② 분야별책임자는 개인정보취급자를 최소한으로 제한하여 지정하고 수시로 관리․감독하여야 하며, 직원 및 수탁자에 대한 교육 등을 통해 개인정보 침해사고를 사전에 예방한다.

④ 분야별담당자는 분야별책임자를 보좌하여 부서 내 개인정보보호 업무에 대한 실무를 총괄하고 관리한다.

제10조(개인정보취급자의 역할 및 책임)

① 개인정보취급자란 본청의 지휘·감독을 받아 정보주체의 개인정보 처리 업무를 수행하는 모든 근로형태의 직원(임직원, 파견근로자, 시간제근로자 등)을 포함하며, 이를 관리하기 위하여 분야별책임자를 둔다.

② 개인정보취급자는 정보주체의 개인정보보호와 관련하여 다음과 같은 역할 및 책임을 이행한다.

1. 개인정보보호 활동 참여

2. 내부관리계획의 준수 및 이행

3. 개인정보의 기술적․물리적 보호조치 기준 이행

4. 개인정보파일대장 관리

5. 법률에 근거하여 개인정보 수집, 이용, 제공, 파기 등 이행

6. 정보주체의 민원 신청접수 및 처리(열람, 정정, 삭제, 처리정지)

7. 업무상 알게 된 개인정보의 남용 및 제3자 제공 금지

8. 기타 정보주체의 개인정보보호를 위해 필요한 사항의 이행(서약서 제출 등)

제4장 개인정보의 관리 절차

제11조(개인정보의 수집·이용·제공 등)

① 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 다만, 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

② 정보주체로부터 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

③ 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 제11조제1항제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

④ 제3항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보를 제공받는 자의 성명(법인 또는 단체의 경우에는 그 명칭)과 연락처

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

⑤ 개인정보처리자는 개인정보의 처리에 대하여 정보주체(법정대리인 포함)의 동의를 받을 때에는 정보주체가 명확하게 인지할 수 있도록 각각의 동의 사항을 구분하여 알리고 각각 동의를 받아야 한다. 정보주체의 동의없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 하며, 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.

⑥ 개인정보처리자는 제11조제1항제2호 내지 제6호에 따라 정보주체의 동의 없이 개인정보를 수집하는 경우에는 개인정보를 수집할 수 있는 법적 근거 등을 정보주체에게 알리기 위해 노력하여야 한다.

⑦ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 제4항 각 호의 사항을 알리고 동의를 받아야 하며, 정보주체에게 동의 또는 동의 거부를 선택할 수 있음을 명시적으로 알려야 한다.

1. 개인정보를 수집·이용하고자 하는 경우로서 제11조제1항제2호 내지 제6호에 해당하지 않은 경우

2. 제13조제1항에 따라 개인정보를 수집 목적 외의 용도로 이용하거나 제3자에게 제공하고자 하는 경우

3. 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하고자 하는 경우

4. 주민등록번호 외의 고유식별정보 처리가 필요한 경우로서 법령에 고유식별정보 처리 근거가 없는 경우

5. 민감정보를 처리하고자 하는 경우로서 법령에 민감정보 처리 근거가 없는 경우

⑧ 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법으로 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다.

⑨ 만 14세 미만 아동의 개인정보를 처리하기 위하여 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(성명, 연락처)는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.

⑩ 선택적으로 동의할 수 있는 사항에 대한 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 확인할 수 있도록 선택적으로 동의할 수 있는 사항 외의 사항과 구분하여 표시하여야 한다. 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니된다.

⑪ 제5항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 다음 각 호에서 정하는 중요한 내용에 대하여 제12항에서 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.

1. 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실

2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항

가. 시행령 제18조에 따른 민감정보

나. 여권번호, 운전면허의 면허번호 및 외국인등록번호

3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)

4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

5. 개인정보의 수집·이용 목적, 수집·이용하려난 개인정보의 항목

⑫ 서면 동의 시 제11항의 중요한 내용의 표시 방법은 다음 각 호의 방법을 말한다.

1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것

2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것

3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

제11조의2(개인정보의 수집 제한)

① 개인정보처리자는 제11조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 정보주체의 동의를 받아 개인정보를 수집하는 경우에는 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알려야 한다.

③ 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

제12조(민감정보와 고유식별정보의 처리 제한)

① 개인정보처리자는 민감정보 또는 고유식별정보를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.

1. 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 민감정보 또는 고유식별정보의 처리를 요구하거나 허용하는 경우

② 개인정보처리자가 제1항 각 호에 따라 민감정보 또는 고유식별정보를 처리하는 경우에는 필요한 최소한의 한도 내에서 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

③ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우

제13조(개인정보의 목적 외 이용 및 제3자 제공의 제한)

① 정보주체의 개인정보를 제11조제1항에 따른 범위를 초과하여 이용하거나 제11조제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. 다만, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 단, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처

2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적)

3. 이용 또는 제공하는 개인정보의 항목

4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

③ 공공기관은 제1항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 개인정보를 목적외이용등을 한 날부터 30일 이내에 다음 각 호의 사항을 관보 또는 인터넷 홈페이지에 10일 이상 계속 게재하되, 게재를 시작하는 날은 목적외이용등을 한 날부터 30일 이내여야 한다.

1. 목적외이용등을 한 날짜

2. 목적외이용등의 법적 근거

3. 목적외이용등의 목적

4. 목적외이용등을 한 개인정보의 항목

④ 제13조제1항 각 호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 “개인정보의 목적 외 이용 및 제3자 제공대장”[별지 제8호]에 기록․관리한다.

⑤ 정보주체의 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다.

⑥ 제13조제1항제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다.

< 목적 외 이용·제3자 제공 절차 >

절 차	주 요 내 용

1. 법적근거 검토	- 목적 외 이용·제3자 제공이 가능한 경우에 해당하는지 법적근거 검토 ※제13조제1항제2호부터 제9호까지 해당 여부 검토
⇓
2. 동의절차 이행	- 법적 근거가 없는 경우에는 정보주체로부터 별도의 동의를 받아야 함 ※ 동의절차 이행시 제공받는자, 수집목적, 수집항목, 보유 및 이용기간, 거부시 불이익 명시
⇓
3. 대장 기록·관리	-『개인정보의 목적 외 이용 및 제3자 제공대장』을 기록·관리하여야 함 ※ [별지 제8호] 참조
⇓
4. 주요 내용 공개	- 제13조제1항제2호부터 제6호까지, 제8호, 제9호에 해당하는 경우 - 30일 이내에 이용 또는 제공 날짜, 법적 근거, 목적, 항목 등에 관한 사항을 관보 또는 인터넷 홈페이지(10일 이상) 등에 게재
⇓
5. 보호조치 요구	- 제3자 제공시에는 이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 문서로 요청
⇓
6. 조치결과 제출	- 안전성 확보조치 요청을 받은 자는 그에 따른 조치를 취한 후, 그 결과를 개인정보를 제공한 개인정보처리자에게 문서로 알려야 함

제14조(정보주체 이외로부터 수집한 개인정보의 수집 출저 등 고지)

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 요구가 있는 날로부터 3일 이내에 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.

1. 개인정보의 수집 출처

2. 개인정보의 처리 목적

3. 법 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

②정보주체의 요구가 없더라도 다음 각 호의 기준에 해당하는 개인정보처리자가 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 서면ㆍ전화ㆍ 문자전송ㆍ전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다.

다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.

1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 "민감정보"라 한다) 또는 법 제24조제1항에 따른 고유식별정보를 처리하는 자

2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

③제2항의 경우로서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.

④제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 정보주체의 권리보다 명백히 우선하는 경우에 한한다.

1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조 제2항(범죄의 수사 등에 관한 사항 등) 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우

2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

⑤ 제2항 각 호의 어느 하나에 해당하는 개인정보처리자는 제1항에 따라 알린 경우 다음 각 호의 사항을 법 제21조(개인정보의 파기) 또는 법 제37조제4항(개인정보의 처리정지)에 따라 해당 개인정보를 파기할 때까지 보관·관리하여야 한다.

⑥ 개인정보처리자는 제4항 단서에 따라 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.

제15조(개인정보 취급자의 제한)

① 분야별책임자는 개인정보를 취급할 수 있는 자를 다음 각 호에 해당하는 자로 정하여 최소한으로 제한하여야 한다.

1. 정보주체를 직접 상대로 하여 업무를 수행하는 자

2. 개인정보 보호책임자 등 개인정보관리 업무를 수행하는 자

3. 개인정보가 저장된 데이터베이스를 포함한 전산 관련 업무를 수행하는 자

4. 기타 업무상 개인정보의 취급이 불가피한 자

제16조(개인정보처리의 위탁)

① 개인정보의 처리 업무를 위탁하는 때에는 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 마련하여야 한다.

② 제1항의 규정에 의한 위탁계약을 체결하는 때에는 수탁자와 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적·관리적 보호조치에 관한 사항

3. 위탁업무의 목적 및 범위

4. 재위탁 제한에 관한 사항

5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

③ 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지에 지속적으로 공개하여야 한다.

④ 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등의 방법”이라 한다)에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. 위탁자가 서면등의 방법으로 정보주체에게 알릴 수 없는 경우에는 인터넷 홈페이지에 30일 이상 게재하여야 한다.

⑤ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지를 관리·감독 하여야 한다.

⑥ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

⑧ 수탁자는 위탁받은 개인정보를 보호하기 위하여 행정안전부장관이 고시하는 「개인정보의 안전성 확보조치 기준」에 따른 기술적·관리적·물리적 조치를 하여야 한다.

제17조(개인정보(파일)의 파기)

① 개인정보취급자는 보유기간의 경과, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니한다.

② 개인정보 보호책임자는 개인정보 일부 파기 승인 업무에 대하여 분야별책임자에 위임하여 관리하며, 분야별책임자는 매년 개인정보 일부 파기현황을 개인정보 보호책임자에게 보고하여야 한다. 개인정보 일부만 파기하는 경우는 다음 각 호에 준한다.

1. 운영중인 개인정보가 포함된 여러 파일 중 특정 파일을 파기하는 경우

2. 개인정보가 저장된 백업용 디스크나 테이프에서 보유기간이 만료된 특정 파일이나 특정 정보주체의 개인정보만 파기하는 경우

3. 운영중인 데이터베이스에서 탈퇴한 특정 회원의 개인정보를 파기하는 경우

4. 회원가입신청서 종이문서에 기록된 정보 중 특정 필드의 정보를 파기하는 경우 등

③ 분야별책임자는 개인정보파일의 보유기간, 처리목적 등을 반영한 개인정보 파기 계획을 수립하여 시행·확인하여야 한다.

④ 개인정보취급자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.

1. 완전파괴(소각·파쇄 등)

2. 전용 소자장비를 이용하여 삭제

3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

4. 개인정보 일부 파기시 전자적 파일은 개인정보 삭제 후 복구 및 재생되지 않도록 관리․감독하고, 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우는 해당 부분을 마스킹, 천공 등으로 삭제

⑤ 개인정보취급자는 제1항에 따른 개인정보파일 파기 사유가 발생한 경우 “개인정보파일 파기 요청서”[별지 제9호]를 작성하여 개인정보 보호책임자의 승인을 득한 후 파기하고, 행정안전부 개인정보보호종합지원시스템에 등록한 개인정보파일을 개인정보 보호책임자의 승인을 통해 삭제하고 “개인정보파일 파기 관리대장”[별지 제10호]에 기록ㆍ관리하여야 한다.

⑥ 개인정보취급자는 제2항의 각 호에 준하는 개인정보 일부 파기 사유가 발생한 경우 개인정보 분야별책임자의 승인을 득한 후 파기하고 이를 기록·관리한다. 이때, 파기 승인과 기록·관리는 “개인정보파일 파기 관리대장”[별지 제10호]을 이용한다.

⑦ 제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 하고 개인정보처리방침 등을 통하여 정보주체가 이를 알 수 있도록 하여야 한다.

< 개인정보파일 파기 절차 >

개인정보처리자		개인정보 보호책임자

개인정보파일 파기 요청서 제출		개인정보파일 파기 검토
		↓
개인정보파일 파기		개인정보파일 파기 승인
↓
개인정보파일 등록 삭제요청		개인정보파일 파기 관리대장 작성 공개된 개인정보파일 등록 삭제 (intra.privacy.go.kr) (개인정보처리방침 정비)

< 개인정보 일부 파기 절차 >

개인정보처리자		개인정보 분야별책임자

개인정보파일 파기 관리대장 작성		개인정보 파기 검토
		↓
개인정보 파기		개인정보 파기 승인
↓
개인정보 파기 결과 보고		개인정보 파기 결과 확인

제18조(개인정보파일의 등록 및 공개)

① 분야별책임자는 1개의 개인정보파일에 대하여 1개의 개인정보파일 대장을 작성하여 관리하여야 한다.

② 분야별책임자는 개인정보보호종합지원시스템에 접속하여 개인정보파일을 등록 및 변경 신청하여야 한다.

③ 개인정보파일을 등록하는 때에는 교육부가 제공하는‘개인정보파일 표준목록’에 따라 등록하여야 한다.(교육부 개인정보 보호지침 제54조 제1항 및 제58조 참고)

④ 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항부터 제3항까지 적용하지 아니한다.

1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일

3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일

4. 개인정보처리자의 내부적 업무처리만을 위하여 사용되는 개인정보파일

5. 다른 법령에 따라 비밀로 분류된 개인정보파일

6. 법 제58조제1항에 따라 적용이 제외되는 다음 각 목의 개인정보파일

가. 「통계법」에 따라 수집되는 개인정보파일

다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일

7. CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일

8. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일

⑤ 제3항제4호에 해당하는 내부적 업무처리만을 위하여 사용되는 개인정보파일에는 임직원 전화기록부, 비상연락망, 인사기록파일, 요금정산, 회의 참석자 수당지급, 자문기구운영 등이 있다.

제19조(개인정보 처리방침의 수립 및 공개)

① 개인정보 보호책임자는 개인정보처리방침을 수립하고 운영중인 인터넷 홈페이지를 통해 첫 화면 또는 첫 화면과의 연결화면에 지속적으로 게재하여야 한다.

② 별도 업무용 홈페이지를 운영하는 분야별책임자는 등록대상이 되는 개인정보파일에 대하여 별도의 개인정보처리방침을 정한다.

③ 개인정보처리방침을 게재하는 경우에는“개인정보처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.

④ 개인정보처리방침에 반드시 포함되어야 할 사항은 다음 각 호와 같다.

1. 개인정보의 처리 목적

2. 처리하는 개인정보의 항목

3. 개인정보의 처리 및 보유 기간

4. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

5. 개인정보의 파기에 관한 사항

6. 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)

7. 시행령 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항

8. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항

9. 개인정보 처리방침의 변경에 관한 사항

10. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

11. 개인정보의 열람청구를 접수·처리하는 부서

12. 정보주체의 권익침해에 대한 구제방법

13. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

⑤ 개인정보 보호책임자 또는 분야별책임자가 개인정보처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 인터넷 홈페이지 등에 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전‧후를 비교하여 공개하여야 한다.

제20조(개인정보 영향평가)

① 분야별책임자는 다음 각 호의 어느 하나에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우 그 위험요인의 분석과 개선사항 도출을 위하여 개인정보 영향평가를 의무적으로 수행한 후 개인정보 보호책임자에게 그 결과를 제출하여야 한다.

1. 구축·운용 또는 변경하려는 개인정보파일로서 5만 명 이상의 정보주체에 관한 법 제23조에 따른 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

2. 구축·운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

3. 구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일

4. 법 제33조제1항에 따른 개인정보 영향평가를 받은 후에 개인정보 검색 체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정

제5장 개인정보의 안전성 확보조치

제21조(물리적 안전조치)

① 분야별 책임자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 장소에 대하여 통제구역으로 지정하고 이에 대한 출입통제 절차를 수립·운영하여야 하며, 잠금장치를 설치하고 출입자 관리대장을 비치하여 허가받지 않은 자의 출입을 통제 하여야 한다.

1. 출입을 통제하는 방법으로는 물리적 접근 방지를 위한 장치를 설치·운영하고 이에 대한 출입 내역을 전자적인 매체 또는 수기문서 대장에 기록하여야 한다.

2. 수기문서 대장을 이용하여 출입내역을 기록할 때에는 출입자, 출입일시, 출입목적, 소속 등이 포함되어 있어야 한다.

② 분야별책임자는 물리적 접근제한 관리대장의 출입 및 열람 내용을 주기적으로 검토하여 정당하지 않은 권한으로 출입하거나 열람하는 경우가 있는지를 점검하여 확인하여야 한다.

③ 개인정보취급자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 캐비넷 등 안전한 장소에 보관하여야 하며, 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.

제22조(출력 복사시 보호조치)

① 분야별책임자는 개인정보가 포함된 정보를 출력하거나 복사할 경우에 개인정보 유출사고를 방지하기 위한 보호조치를 취하여야 한다.

② 분야별책임자는 민감한 개인정보 또는 다량의 개인정보가 포함된 정보를 출력하거나 복사할 경우 출력·복사자의 성명, 일시, 활용목적, 활용기간 등을 별도의 대장에 기록·관리하고, 출력·복사물을 보관하는 경우 제21조의 물리적 안전조치를 준수하여 개인정보 유출 등에 대한 책임 소재를 확인할 수 있도록 강화된 보호조치를 추가로 적용하여야 한다.

③ 개인정보취급자는 개인정보의 이용을 위하여 출력 및 복사한 개인정보의 이용 목적이 완료된 경우 분쇄기로 분쇄하거나 소각하는 등의 안전한 방법으로 파기하여야 한다.

제23조(접근권한의 관리)

① 분야별책임자는 개인정보처리시스템에 대한 접근 권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 분야별책임자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보 처리시스템의 접근권한을 변경 또는 말소하여야 한다.

③ 분야별책임자는 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 분야별책임자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 분야별책임자는 개인정보처리시스템에 대하여 다음 각 호의 내용이 포함된 접근권한 관리지침을 수립하여 운영하여야 한다.

1. 권한에 대한 총괄 관리책임자 지정에 관한 사항

2. 접근권한의 정의 및 업무분장, 책임 및 역할에 관한 사항

3. 사용자 등록, 권한 부여ㆍ변경ㆍ중지 절차 및 방법 등에 관한 사항

4. 사용자 및 정보 중요도별 접근권한 차등 부여에 관한 사항

5. 외부인력 및 업무보조자의 권한 관리에 관한 사항

6. 접근권한 관리이력 보관에 관한 사항

7. 보안서약서 징구 등에 관한 사항

⑥ 분야별책임자는 개인정보처리시스템의 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보 처리시스템에 대한 접근을 제한하는 방법 등 필요한 기술적 조치를 하여야 한다.

⑦분야별책임자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 다음 각 호의 사항을 포함하여 비밀번호 작성규칙을 수립하여 적용하여야 한다.

1. 영문, 숫자, 특수문자를 조합하여 최소 9자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호 변경은 분기별 1회 이상 변경

제24조(접근통제)

① 분야별책임자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응

② 분야별책임자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN:Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.

③ 분야별책임자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일기기 및 관리용 단말기 등에 접근통제에 관한 다음 각 호의 조치를 취하여야 한다.

1. 인터넷 홈페이지 중 서비스 제공에 사용되지 않거나 관리되지 않는 사이트 또는 URL에 대한 삭제·차단 조치

2. 인터넷 홈페이지 설계·개발 오류 또는 개인정보취급자의 업무상 부주의 등으로 인터넷 서비스 검색엔진(구글링 등) 등을 통해 관리자 페이지와 취급중인 개인정보가 노출되지 않도록 조치

3. 개인정보취급자는 개인정보처리시스템, 업무용 컴퓨터 및 모바일기기 및 관리용 단말기 등에 P2P, 공유설정은 기본적으로 사용하지 않는 것이 원칙이나, 업무상 반드시 필요한 경우에는 권한 설정 등의 조치를 통해 권한이 있는 자만 접근할 수 있도록 설정하여 접근통제 등에 관한 안전조치

4. 개인정보취급자의 부주의로 인한 개인정보 및 개인정보파일 인터넷 홈페이지 게시 방지

④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·위조·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하여야 하며, 그 결과에 따른 보완 조치를 하여야 한다.

⑤ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.

⑥개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.

⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.

⑧ 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.

1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치

2. 본래 목적 외로 사용되지 않도록 조치

3. 악성프로그램 감염 방지 등을 위한 보안조치 적용

제25조(개인정보의 암호화)

①분야별책임자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조 저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

②분야별책임자는 비밀번호 및 바이오정보를 암호화하여 저장하여야 한다. 다만 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

③분야별책임자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitari zed Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

④분야별책임자는 내부망에 고유식별정보를 저장하는 경우, 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 경우 해당 개인정보 영향평가의 결과

2. 암호화 미적용시 위험도 분석에 따른 결과

⑤ 분야별책임자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

⑥ 분야별책임자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

⑦분야별책임자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

제26조(접속 기록의 보관 및 위·변조 방지)

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관ㆍ관리하여야 한다.

②개인정보처리자는 개인정보의 분실·도난·유출·위조·변조·훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.

③개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

제27조(관리용 단말기 안전조치 및 악성프로그램 등 방지)

①개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.

1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치

2. 본래 목적 외로 사용되지 않도록 조치

3. 악성프로그램 감염 방지 등을 위한 보안조치 적용

②개인정보처리자는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.

1. 보안 프로그램의 자동업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지

3. 발견된 악성프로그램에 대한 삭제 등 대응 조치

③ 보안 프로그램의 실시간 감시 기능을 적용하여야 한다.

제28조(재해‧재난 대비 안전조치)

① 분야별책임자는 화재, 홍수, 단전 등의 재해‧재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.

② 분야별책임자는 재해‧재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 하며, 개인정보처리시스템 백업 및 복구를 위한 계획은 위기대응 매뉴얼에 포함할 수 있다. 백업 및 복구 계획에는 다음 각 호의 사항을 포함하도록 한다.

1. 개인정보처리시스템 구성 요소(개인정보 보유량, 개인정보 항목, 중요도, 시스템 연계 장비·설비 등)

2. 재해·재난 등에 따른 파급효과(개인정보 유출, 손실, 훼손 등) 및 초기대응 방안

3. 개인정보처리시스템 백업 및 복구 우선순위, 목표시점·시간

4. 개인정보처리시스템 백업 및 복구 방안, 절차

5. 업무분장, 책임 및 역할

6. 실제 발생 가능한 사고에 대한 정기적 점검, 사후처리 및 지속관리 등

제29조(위험도 분석)

① 분야별책임자는 개인정보처리시스템에 대하여 내부망에 고유식별정보를 저장하는 경우에는 위험도 분석을 실시하여 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별‧평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안을 마련하여야 한다.

② 분야별책임자는 개인정보처리시스템에 대한 위험도 분석을 실시한 후 개인정보 보호책임자에게 그 결과를 제출하여야 한다.

③ 위험도 분석 절차는 아래와 같다.

1. 위험도 분석을 위해 개인정보 파일 및 고유식별정보 보유 여부 등 현황조사

2. 개인정보 파일단위별로 위험도 분석 항목별 점검을 수행

3. 위험도 분석 결과보고서를 작성하여 내부결재 후 보관

4. 점검 결과에 따라 고유식별정보 암호화 등을 수행

제30조(영상정보처리기기의 설치·운영 제한)

①영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 개인영상정보 관리책임자를 지정하여야 한다. 다만 개인영상정보 관리책임자를 개인정보 보호책임자로 지정하여 운영할 수 있다.

②영상정보처리기기를 설치ㆍ운영 하려는 경우“개인정보 보호법 제25조”에 따라 전문가 및 이해관계인의 의견수렴 절차를 거쳐야 하며, 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 하여서는 아니 된다.

③영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.

④개인영상정보 관리책임자는 다음 각 호의 항이 포함된 안내판을 설치하여야 한다.

1. 설치 목적 및 장소

2. 촬영 범위 및 시간

3. 관리책임자의 성명 및 연락처

4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처

⑤ 개인영상정보 관리책임자는 영상정보처리기기 운영ㆍ관리 방침을 수립하여 홈페이지 등에 공개하여야 한다.

⑥개인영상정보 관리책임자는 개인영상정보처리기기의 운영을 위하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 제21조에서 제27조까지의 안전성 확보에 필요한 관리적·기술적ㆍ물리적 보호조치를 준수하여야 한다.

⑦ 개인영상정보 관리책임자는 영상정보처리기기의 설치ㆍ운영에 관한 사무를 위탁할 수 있다. 다만, 공공기관이 영상정보처리기기 설치ㆍ운영에 관한 사무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.

1. 위탁하는 사무의 목적 및 범위

2. 재위탁 제한에 관한 사항

3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

4. 영상정보의 관리 현황 점검에 관한 사항

5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

제6장 개인정보보호 교육

제31조(개인정보보호 교육 계획의 수립)

① 개인정보 보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 매년 수립하여야 한다.

1. 교육목적 및 대상

2. 교육내용

3. 교육 일정 및 방법

② 개인정보 보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육계획 수립에 반영하여야 한다.

제32조(개인정보보호 교육의 실시)

① 개인정보 보호책임자는 개인정보보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오․남용 또는 유출 등을 적극 예방하기 위해 직원 및 관할기관을 대상으로 연 1회 이상 개인정보보호 교육을 실시한다.

② 분야별책임자는 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 연 1회 이상 수탁자 개인정보보호 교육을 실시한다.

③ 교육 대상에 따라 역할에 맞게 차별화된 교육 내용을 포함하여 개인정보보호 교육을 실시한다.

대상	교육 내용
개인정보 보호책임자	개인정보 보호책임자의 역량 및 관리책임 강화 등
개인정보 보호담당자	개인정보 라이프 사이클에 따른 처리단계별 조치사항, 개인정보의 안전성 확보 조치 기준, 개인정보파일 관리, 정보주체의 권리보장, 노출방지 및 자율개선 등
개인정보취급자(전직원)	개인정보보호법 준수사항 안내, 개인정보 수집, 관리, 파기 절차 안내, 안전성 확보 조치, 각종 사례 안내 등
수탁사	위탁업무 준수사항, 안전성 확보 조치, 재위탁 금지 등

④ 교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 상급기관, 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.

⑤ 개인정보 보호책임자는 신규 채용자, 전입자에게 개인정보 보호교육을 실시하여야 하며, 개인정보 담당자의 개인정보 관련 전문기관 교육 및 기술 세미나 참석 등을 장려하는 등 개인정보 담당자의 업무 전문성을 제고하기 위하여 노력하여야 한다.

⑥ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보 보호책임자는 부서 회의 등을 통해 수시 교육을 실시할 수 있다.

제7장 정보주체의 권리보장

제33조(개인정보의 열람)

① 정보주체는 자신의 개인정보에 대한 열람을 요구하려면 다음 각 호의 사항 중 열람하려는 사항을 표시하여 [별지 제1호]에 따른 “개인정보 열람요구서”를 개인정보처리자에게 제출하여야 한다.

5. 개인정보 처리에 동의한 사실 및 내용

② 제1항의 요구를 받은 개인정보처리자는 개인정보 열람요구서를 받은 날부터 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람하게 할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 그 날로부터 10일 이내에 열람하게 하여야 한다.

③ 개인정보 열람요구를 받은 업무부서는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있으며, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 하여야한다.

1. 법률에 따라 열람이 금지되거나 제한되는 경우

2. 타인의 생명・신체를 해할 우려가 있거나 타인의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

가. 조세의 부과・징수 또는 환급에 관한 업무

나.「초・중등교육법」및「고등교육법」에 따른 각급학교,「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무

다. 학력・기능 및 채용에 관한 시험, 자격 심사에 관한 업무

라. 보상금・급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

④ 제2항에 따라 열람을 연기하거나 제3항에 따라 열람을 제한·거절하려는 경우에는 열람요구를 받은 날부터 10일 이내에 연기 또는 제한이나 거절의 사유 및 이의제기방법을 [별지 제3호]“개인정보 일부열람·열람연기·열람거절 통지서”로 해당 정보주체에게 알려야 한다.

제34조(개인정보의 정정․삭제)

① 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 [별지 제1호] “개인정보 정정·삭제 요구서”를 통해 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

② 개인정보처리자는 정당한 사유가 없는 한 제1항에 따른 개인정보 정정·삭제 요구를 받은 날부터 10일 이내에 다음 각 호 중 하나의 조치를 한 후 [별지 제4호]“개인정보 정정·삭제 결과통지서”로 해당 정보주체에게 알려야 한다.

1. 그 개인정보를 조사하여 정보주체의 요구에 따라 정정・삭제 등 필요한 조치를 한 사실

2. 제1항 단서에 해당하여 삭제 요구에 따르지 아니한 경우에는 그 사실 및 이유(근거법령의 내용 등)와 이의제기방법

③ 개인정보처리자가 제2항의 조치를 취하기 위하여 그 개인정보를 조사할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.

④ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 그 개인정보가 복구 또는 재생되지 아니하도록 조치하여야 한다.

제35조(개인정보의 처리정지)

① 정보주체는 개인정보처리자에게 [별지 제1호]“개인정보 처리정지 요구서”를 통하여 제18조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.

② 제1항의 요구를 받은 개인정보처리자는 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 단, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

2. 타인의 생명・신체를 해할 우려가 있거나 타인의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

③ 제1항의 요구를 받은 개인정보처리자는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 다음 각 호 중 하나의 조치를 한 후 그 사실을 [별지 제6호]에 따른‘개인정보 처리정지 요구에 대한 결과통지서’로 해당 정보주체에게 알려야 한다.

1. 처리정지 조치를 한 사실

2. 제2항 단서에 해당하여 처리정지 요구에 따르지 아니한 경우에는 그 사실 및 이유와 이의제기방법

④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.

제8장 개인정보 침해대응 및 피해구제

제36조(개인정보 침해사고 대응)

① 개인정보의 유출이라 함은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.

1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖에 저장매체가 권한이 없는 자에게 잘못 전달된 경우

4. 그 밖에 권한이 없는 자에게 개인정보가 전달된 경우

② 개인정보 노출이라 함은 일반 인터넷 이용자가 해킹 등 특별한 방법을 사용하지 않고 정상적으로 인터넷을 이용하면서 다른 사람의 개인정보를 취득할 수 있도록 인터넷 상에서 관련 정보가 방치되어 있는 경우를 말한다.

③ 개인정보취급자는 개인정보 침해(유출·노출)가 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 업무부서의 개인정보보호 분야별책임자에게 이를 알려야 하며, 개인정보의 유출로 인한 침해사고 발생 시 아래 단계별 절차에 따라 조치한다.

< 개인정보 침해사고 대응 절차 >

단계	처리주체	상세 업무

사고 인지 및 신고	민원인, 직원 개인정보취급자	◦ 개인정보 유출사고 인지 ◦ 개인정보취급자, 개인정보보호 분야별책임자 유·노출 경위 조사 및 개인정보 보호담당자에게 신고
↓
신고 접수 및 보고, 긴급조치	분야별 책임자 개인정보 보호담당자	◦ 유출사고 접수 후 지체 없이 개인정보 보호책임자에게 보고 및 지도·감독기관에 보고 ◦ 유출된 개인정보의 확산 및 추가 유출 방지를 위한 긴급조치 이행
↓
정보주체 유출통지	개인정보 취급자	◦ 정보주체에게 개인정보 유출사실 통지(5일 이내) - 1천명 이상 개인정보 유출시 개별 통지와 함께 유출된 사실을 인터넷 홈페이지에 7일 이상 게재 ◦ 유출 신고(5일 이내) - 1명 이상의 개인정보 유출 시 상급기관을 경유하여 교육부에 보고 - 1천명 이상의 개인정보 유출 시 교육부 보고 및 개인정보보호위원회에 신고 ◦ 개인정보 보호담당자에게 [별지 제5호]“개인정보 유출신고(보고)서”제출
↓
피해 구제 및 사고 복구	유출사고 처리책임자	◦ 개인정보 유출에 대한 피해구제 절차 안내 ◦ 2차 피해 방지를 위한 민원 대응 및 불안 해소 조치 등 ◦ 사고원인 근본적 제거 및 보안 강화, 피해복구
↓
결과 보고 및 개선 이행	개인정보 보호책임자 유출사고 처리책임자	◦ 재발방지 대책, 유출사고 조치결과 등을 개인정보 보호책임자 및 지도·감독기관에 보고 ◦ 개인정보 유출사고 사례 전파·교육 및 개선대책 시행

④ 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후부터 5일 이내에 정보주체에게 알릴 수 있다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

⑤ 제4항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.

1. 정보주체에게 유출이 발생한 사실

2. 제4항의 통지항목 중 확인된 사항

⑥ 분야별책임자는 개인정보 유출 사고의 미인지로 인해 해당 정보주체에게 개인정보 유출 통지를 하지 아니한 경우에는 실제 유출 사고를 알게 된 시점을 입증하여야 한다.

⑦ 분야별책임자는 1명이라도 정보주체에 관한 개인정보가 유출된 경우에는 [별지 제5호]“개인정보 유출신고(보고)서”를 작성하여 개인정보 보호책임자에게 제출하여야 하며, 개인정보 보호책임자는 유출내용 및 조치결과를 5일 이내에 교육부에 보고하여야 한다. 1천명 이상의 개인정보가 유출된 경우에는 행정안전부장관 또는 전문기관(한국인터넷진흥원)에 신고하여야 하며, 제4항에 따른 통지와 함께 인터넷 홈페이지에 통지항목을 7일이상 게재하여야 한다.

제37조(개인정보 보호조직 구성 및 운영)

① 개인정보 침해사고 발생시 신속한 대응, 공격탐지, 피해복구, 예방 등 종합적이고 체계적인 공동대응 체제구축을 위해 교육정보담당관(정보기획담당) 주관 하에“개인정보 보호조직(침해사고 대응반)”을 편성하고, 24시간 비상근무체제를 운영하며, 교육부, 경기도교육정보기록원 등 유관기관과 긴밀한 협조체제를 유지함으로써 침해사고에 신속히 대처한다.

② 중요 정보시스템에 대한 백업(시스템, DB 등)을 실시하고, 백업된 자료는 원격지로 소산하여 중요 정보 유실을 방지한다.

③ 개인정보 보호조직(개인정보 침해사고 대응 조직)체계는 아래와 같다.

<안양상업고등학교 조직목록(구성도)>

개인정보 보호책임자


		개인정보 보호 담당자



업무별 담당자

④ 각 조직별 역할은 아래와 같다.

구 분	내 용
개인정보 보호책임자	- 개인정보 침해사고 예방, 처리 및 재발방지 총괄 관리 - 개인정보 침해사고 발생 시 침해사고 처리책임자를 지정 - 침해사고 대응조직 구성 및 운영
개인정보보호 분야별책임자 (침해사고 처리책임자)	- 해당 침해사고 발생 부서의 장으로 지정 - 처리 및 재발방지에 대한 책임을 지고 개인정보 침해사고 대응반과 협력하여 사고 해결
개인정보 보호담당자	- 개인정보 침해사고를 접수하고 침해사고 대응 절차를 개시 - 대내(부서·팀 내)·외 비상연락 및 절차별 업무추진 - 개인정보 침해기록을 관리하고 필요시 관련자 및 기관에 보고
정보보안담당관·담당자 (교육사이버안전센터)	- 침해사고가 기술적인 분석을 요할 경우 이에 대한 지원을 제공(경기도교육정보기록원 사이버안전센터 협조)
전 직원(개인정보취급자)	-모든 직원은 개인정보에 대한 침해사고가 발생한 것을 인지할 경우 개인정보보호 분야별 책임자를 경유하여 개인정보 보호담당자에게 신고

⑤ 각 조직별 비상연락망은 아래와 같다.

구 분	소속(부서)	성명	연락처	비고
개인정보 보호책임자	-	정인성	031-441-4634
개인정보보호 분야별책임자 (침해사고 처리책임자)	교육정보보안담당관	서강우	031-441-4634	제7조,제9조 참조
개인정보 보호담당자			031-441-4634
정보보안담당자			031-441-4634
경기도교육정보기록원 (경기교육사이버안전센터)	경기도교육정보기록원		031-240-6461~6