동반성장
리서치
자동차 빅데이터
회사소개
개인정보 처리방침
‘나이스디앤알 주식회사’는 (이하 '회사'는) 「정보통신망 이용촉진 및 정보보호에 관한 법률」, 「개인정보 보호법」 등 관련 법령에 따라 본 개인정보 처리방침을 정하고, 개인정보주체의 개인정보 보호에 최선을 다하고 있습니다.
1. 총 칙
제 1조 (목적) 이 규정은 개인정보 내부관리계획(이하 ‘본 규정’ 또는 ‘내부관리계획’이라 한다)으로 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」과 「개인정보 보호법」의 내부관리계획의 수립 및 시행 의무에 따라 제정된 것이며, 회사가 처리하는 개인정보를 체계적으로 관리하여 개인정보가 분실∙도난∙유출∙위조·변조∙훼손∙오∙남용 등이 되지 아니하도록 함을 목적으로 한다.
제 2조 (적용범위) 본 규정은 정보통신망을 통하여 수집∙이용∙제공 또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통해서 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 임직원 및 외부업체 직원에 대해 적용된다.
제 3조(용어 정의) 본 규정에서 사용하는 용어의 정의는 다음 각 호와 같다.
1-1. "개인정보" 란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. (21.08.06)
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제 1호의 2에 따라 가명처리 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
1-2. “가명처리” 란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. (21.08.06)
1-3. “위치정보” 란 GPS칩이 내장된 스마트폰을 통해 수집되는 GPS 정보를 의미한다.(23.04.05)
2. “처리” 란 개인정보의 수집∙생성∙연계∙연동∙기록∙저장∙보유∙가공∙편집∙검색∙출력∙정정∙복구∙이용∙제공∙공개∙파기, 그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보보호책임자” 라 함은 회사의 개인정보보호 업무 및 조직을 총괄하여 지휘하는 자를 말하는 것으로, 필요한 경우 2인 이상을 선임할 수 있다.
5. “개인정보보호관리자”와 “개인정보담당자”라 함은 개인정보보호책임자를 보좌하여 개인정보보호업무에 대한 실무를 관리하는 자와 담당하는 자를 말한다.
6. “개인정보취급자”라 함은 회사의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
7. “개인정보처리시스템”이라 함은 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
8. “영상정보처리기기” 라 함은 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로 폐쇄회로 텔레비전이나 네트워크 카메라를 말한다.
9. “개인영상정보”란 영상정보처리기기에 의하여 촬영•처리되는 영상정보 중 개인의 초상, 행동 등 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
2. 내부관리계획의 수립 및 시행
제 4조 (내부관리계획의 수립 및 승인)
① 개인정보보호관리자는 회사의 개인정보보호를 위한 전반적인 사항을 포함한 본 규정을 시행함으로써 개인정보 내부관리계획을 수행한다.
② 개인정보보호관리자는 본 규정을 시행함에 있어서 개인정보보호와 관련한 법령 및 관련 규정을 준수하여야 하며 타당성을 검토하여야 한다.
③ 개인정보보호관리자는 개인정보보호 관련법령의 제∙개정 사항 등을 반영 사항을 반영하기 위하여 본 규정의 타당성과 개정 필요성을 매년 11월 말까지 검토하여 개인정보보호책임자에게 승인을 받아야 한다.
④ 개인정보보호관리자는 모든 항목의 타당성을 검토한 후 개정할 필요가 있다고 판단되는 경우 12월 말까지 본 규정의 개정안을 작성하여 개인정보보호책임자에게 승인을 받은 후, 내규담당 부서에 개정을 요청하여 시행할 수 있도록 하여야 한다.
제 5조 (내부관리계획의 공표 또는 게시)
① 개인정보보호책임자는 제 4조에 따라 제•개정한 본 규정을 매년 1월 말까지 회사 전 임직원에게 공표 또는 게시한다.
② 본 규정은 임직원이 언제든지 열람할 수 있는 방법으로 비치 또는 게시하여야 하며, 변경사항이 있는 경우에는 이를 공지하여야 한다.
3. 개인정보의 수집∙이용 및 파기 등 처리 절차
제 6-1조(개인정보의 수집)
① 회사는 개인정보를 수집할 경우 이용 목적에 필요한 범위 내에서 최소한의 개인정보를 적법하고 정당하게 수집하여야 하며, 그 처리목적에 필요한 범위에서 적법하게 개인정보를 처리하여야 한다.
② 회사는 다음 각호의 경우에 개인정보를 수집할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명∙신체∙재산의 이익을 위하여 필요하다고 인정되는 경우
5. 회사의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 회사의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
③ 회사가 개인정보를 수집할 때는, 필수항목과 선택항목을 구분하여 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니하였다는 이유로 정보주체에게 서비스의 제공을 거부하여서는 아니된다.
④ 회사는 서비스계약의 체결 및 이행 등의 목적으로 고유식별정보를 수집하게 될 경우에는 해당내용을 정보주체에게 고지하도록 해야 하며, 별도의 동의란을 생성해 동의를 받도록 해야 한다.
⑤ 회사는 정보주체의 사생활을 침해할 수 있는 범죄정보∙유전정보∙종교 및 사상 등의 정보를 수집하여서는 아니된다.
⑥ 회사는 다음 각 호의 내용이 포함된 개인정보처리방침을 정하고, 이를 회사의 인터넷 홈페이지를 통해 공개하여야 한다. 인터넷 홈페이지에 공개하기 곤란한 경우에는, 이용계약서 등의 서면에 인터넷 홈페이지 주소를 기재함으로써 갈음할 수 있다.
1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법
2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함한다)
5. 이용자 및 법정대리인의 권리와 그 행사방법
6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
8. 개인정보의 안전성 확보조치에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항
10. 그 밖에 법령에서 정하는 사항
제 6-2조 (접근권한에 대한 동의)
① 회사는 모바일 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 회사는 모바일 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.
③ 회사는 이동통신단말기 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.
제 6-3조 (고유식별정보의 처리 제한)
① 회사는 다음 각 호의 경우를 제외하고는 고유식별정보를 처리할 수 없다.
1. 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
② 개인정보취급자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. (21.08.06)
제 6-4조 (주민등록번호 처리의 제한)
① 제6조의3제1항에도 불구하고 회사는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 법령으로 정하는 경우
② 회사는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 관련 법령에 따른다.
③ 회사는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
제 6-5조 (가명정보의 처리 등)
① 개인정보취급자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보취급자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다(21.08.06)
제 6-6조 (가명정보의 결합 제한)
① 제6-5조 (가명정보의 처리 등)에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보취급자 간의 가명 정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문 기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보취급자는 가명정보 또는 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보로 처리한 뒤 전문 기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 관련 법령에 따른다. (21.08.06)
제 6-7조 (가명정보에 대한 안전조치의무 등)
① 개인정보취급자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 제 6조의 8(가명정보에 대한 안전성 확보 조치)에 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② 개인정보취급자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 아래의 각 호의 사항에 대한 관련 기록을 작성하여 보관하여야 한다.
1. 가명정보 처리의 목적
2. 가명처리한 개인정보의 항목
3. 가명정보의 이용내역
4. 제 3자 제공 시 제공받는 자
5. 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항. (21.08.06)
제 6-8조 (가명정보에 대한 안전성 확보 조치)
① 개인정보취급자는 가명정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보(이하 이 조에서 “추가 정보” 라 한다)에 대하여 다음 각 호의 안전성 확보 조치를 해야 한다.
1. 개인정보처리방침에 따른 안전성 확보 조치
2. 가명정보와 추가정보의 분리 보관. 다만, 추가 정보가 불필요한 경우에는 추가 정보를 파기해야 한다.
3. 가명정보와 추가정보에 대한 접근 권한의 분리 관리,통제하여야 한다. (21.08.06)
제 6-9조 (가명정보 처리 시 금지 의무 등)
① 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보취급자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다. (21.08.06)
제 7조 (개인정보의 이용 및 제공의 제한)
① 회사는 수집된 개인정보를 아래 각 호의 경우를 제외하고는 보유목적 외의 목적으로 이용 및 제공을 하여서는 안되며, 보유목적에 따르더라도 업무수행에 필요한 최소한의 범위에 한하여 이용 및 제공한다.
1. 정보주체로부터 별도의 동의를 받은 경우. 동의를 받을 때에는 개인정보를 제공받는 자, 이용목적∙개인정보항목∙보유 및 이용기간∙ 동의거부권에 대한 사실을 고지하여야 한다.
2. 통계작성∙학술연구 또는 시장조사를 위하여 필요한 경우(21.08.06)
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우(21.08.06)
4. 범죄의 수사∙공소의 제기 및 유지를 위하여 필요한 경우
5. 관련법규에 특별한 규정이 있는 경우
6. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우(21.08.06)
7. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우(21.08.06)
8. 죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(21.08.06)
9. 원의 재판업무 수행을 위하여 필요한 경우(21.08.06)
10. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우(21.08.06)
② 회사는 제1항 각 호의 어느 하나에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용목적∙ 이용방법∙그 밖에 필요한 사항에 대하여 제한하거나 안전성 확보 조치를 요청하여야 한다.
③ 개인정보취급자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. (21.08.06)
1. 개인정보를 제공받는 자.
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 개인정보취급자는 정보 주체의 동의 없이 개인정보를 이용 또는 제공하려는 경우 다음 각 호의 사항을 고려해야 한다. (21.08.06)
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
⑤ 개인정보취급자는 제4항 각 호의 고려사항에 대한 판단 기준을 개인정보 처리방침에 미리 공개하고, 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다. (21.08.06)
제 8조(개인정보의 파기)
① 회사는 보유기간의 경과나 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다.
1. 관련법령에 따라 보존하여야 하는 경우
2. 내부규정에 의거해 보유기간을 미리 정보주체에게 고지하거나 명시한 경우
3. 개별적으로 정보주체의 동의를 받은 경우
4. 개인정보보호책임자나 대표이사의 보존기간 연장승인을 득한 경우
5. 보유한 개인정보의 형태 및 보유량, 파기방법에 따라 지체 없이 파기하기가 현실적으로 불가능하여 주기적으로 일괄 파기를 수행하는 경우
② 제 1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 제 1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
④ 개인정보의 파기 방법은 다음 각 호와 같다.
1. 개인정보가 기록된 출력물, 서면 등 모든 개인정보 문서: 「개인정보문서 관리지침」이 정하는 바에 따른다.
2. 개인정보가 포함된 PC내 전자파일: 「개인보안지침세칙」이 정하는 바에 따른다. (21.08.06)
3. 개인정보가 포함된 정보자산: 「정보자산관리지침」이 정하는 바에 따른다.
⑤ 제1항 제5호에 따라 개인정보를 주기적으로 파기해야 하는 경우 대상 개인정보, 사유, 파기주기, 파기방법에 대하여 사전에 개인정보보호책임자의 승인을 득하여야 한다.
⑥ 개인정보보호관리자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.
⑦ 개인정보 파기의 시행 및 결과확인은 개인정보보호책임자의 책임하에 수행한다.
제 8-2조 (미사용 이용자 개인정보의 파기)
① 서비스를 1년간 이용하지 않은 이용자의 개인정보는 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다. 다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다.
1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간
② 제 1항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.
③ 제 1항의 기간 만료 30일 전까지 개인정보가 파기되거나 분리되어 저장ㆍ관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다.
제 9조(개인정보의 처리 위탁)
① 개인정보의 처리 업무를 외부에 위탁할 경우, 계약 내용에 다음 각 호의 내용을 포함하고, 적정한 관리를 수행하여야 한다.
1. 개인정보의 기술적∙관리적 보호의무
2. 개인정보에 관한 비밀유지
3. 개인정보의 제 3자 제공 금지
4. 개인정보의 사용 목적 완료 시 개인정보의 반환 및 파기 등의 규정
5. 사고 발생에 따른 책임 소재 등
② 개인정보보호책임자 또는 담당자는 위탁 처리되는 개인정보가 안전하게 관리될 수 있도록 개인정보처리 수탁자를 정기적으로 감독 및 교육하여야 하며, 업무 개선 또는 사고 예방을 위해 개인정보처리 수탁자에 대한 업무 개선을 요구할 수 있다.
③ 개인정보의 처리 업무를 위탁하는 때에는 위탁하는 업무의 내용과 개인정보처리 처리 수탁자를 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지에 게시하거나, 다른 방식을 통해 공개 또는 고지하여야 한다.
④ 개인정보처리 수탁자는 회사의 동의를 받은 경우에 한하여 위탁 받은 업무를 제3자에게 재위탁 할 수 있다.
4. 개인정보보호책임자의 의무와 책임
제 10조 (개인정보보호 조직) 개인정보보호를 위한 조직 구성은 「정보보호조직운영지침」을 따른다.
제 11조 (개인정보보호책임자의 지정) 회사는 회사의 임원 또는 그에 준하는 직원 중에서 1인 이상을 개인정보보호책임자로 임명한다.
제 12조 (개인정보보호책임자의 의무와 책임)
① 개인정보보호책임자는 고객의 개인정보보호를 위하여 「정보보호조직운영지침」이 정하는 임무를 수행한다.
② 개인정보보호책임자는 개인정보 취급자를 최소한으로 제한하여 지정하고 수시로 관리∙감독하여야 하며, 임직원에 대한 교육 및 보안서약 등을 통해 개인정보 침해 사고를 사전에 예방한다.
③ 개인정보보호책임자는 필요한 경우 개인정보 관리에 대하여 실무를 담당하는 개인정보보호관리자와 개인정보보호담당자를 지정하여 관리할 수 있다.
④ 개인정보보호책임자는 개인정보 보호와 관련하여 이 규정 및 관련 법률의 위반 사실을 알게 된 경우에는 즉시 개선 조치를 하여야 하며, 필요하면 대표이사에게 개선 조치를 보고하여야 한다.
제 13-1조(개인정보취급자의 범위 및 의무와 책임)
① 개인정보취급자의 범위는 회사 내에서 고객들의 개인정보 수집∙보관∙처리∙이용∙제공∙관리 또는 파기 등의 업무를 수행하는 자를 말하고, 정규직 이외에 임시직이나 계약직 직원도 포함될 수 있다.
② 개인정보취급자는 고객의 개인정보보호와 관련하여 다음과 같은 역할 및 책임을 이행한다.
1. 개인정보보호 활동 참여
2. 내부관리계획의 준수 및 이행
3. 개인정보의 기술적∙관리적 보호조치 기준 이행
4. 임직원 또는 제 3자에 의한 위법∙부당한 개인정보 침해 행위에 대한 점검 등
5. 기타 고객의 개인정보보호를 위해 필요한 사항의 이행
제 13-2조 (개인정보 보호 원칙)(21.08.06)
① 개인정보취급자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보취급자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보취급자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보취급자는 개인정보의 처리 방법 및 종류 등에 따라 정보 주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보취급자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보 주체의 권리를 보장하여야 한다.
⑥ 개인정보취급자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보취급자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집 목적을 달성할 수 있는 경우 익명 처리가 가능한 경우에는 익명에 의하여, 익명 처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보취급자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보 주체의 신뢰를 얻기 위하여 노력하여야 한다.
5. 개인정보의 관리적∙기술적∙물리적 보호조치
제 14조 (물리적 접근제한)
① 개인정보와 개인정보처리시스템의 안전한 보관을 위한 물리적 잠금장치 등의 물리적 접근방지를 위한 보호조치를 취하여야 한다
② 물리적 접근방지를 위한 별도의 보호시설에 출입하거나 개인정보를 열람하는 경우, 그 출입자에 대한 출입사실 및 열람 내용에 관한 관리대장을 작성하도록 하여야 한다.
③ 물리적 접근제한 관리대장의 출입 및 열람 내용을 주기적으로 검토하여 정당하지 않은 권한으로 출입하거나 열람하는 경우가 있는지를 점검하여 확인하여야 한다.
④ 보호구역 설정 및 출입 통제 등 물리적 접근제한을 위한 세부사항은 「물리적보안지침」이 정하는 바에 따른다.
⑤ 개인정보문서에 대한 물리적 접근제한에 관한 세부사항은 「개인정보문서 관리지침」이 정하는 바에 따른다.
⑥ 정보보호 관리자는 개인정보처리시스템에 접속할 수 있는 중요 단말기를 지정하고 다음과 같이 보호 조치를 취하여야 한다.(2023.11.07)
1) 외부와 인터넷 연결이 되지 않도록 한다.
2) 단말기에 입/출력 장치 사용을 제한한다. 다만, 부득이하게 입/출력 장치를 사용하여야만 할 때는 정보보호 책임자의 승인 하에 사용할 수 있다.
3) 중요 단말기에 잠금장치를 설치하여야 한다.
4) 그 외 단말기에 대한 보안/보호 사항은 “개인보안세칙 제 2장 PC보안 관리”에 따른다.
5) “중요 단말기 지정 관리대장”을 관리한다.
제 15조(출력 복사 시 보호조치)
① 개인정보가 포함된 정보를 출력하거나 복사할 경우에 개인정보 유출사고를 방지하기 위한 보호조치를 취하여야 한다.
② 민감한 개인정보 또는 다량의 개인정보가 포함된 정보를 출력하거나 복사할 경우 출력∙복사자의 성명, 일시 등을 기재하여 개인정보 유출 등에 대한 책임 소재를 확인할 수 있는 강화된 보호조치를 추가로 적용할 수 있다.
③ 개인정보의 이용을 위하여 출력 및 복사한 문서의 관리를 위한 세부사항은 「개인정보문서 관리지침」이 정하는 바에 따른다.
④ 개인정보의 이용을 위하여 출력 및 복사한 개인정보가 이용 목적이 완료된 경우 분쇄기로 분쇄하거나 소각하는 등 안전한 방법으로 파기하여야 한다.
⑤ 출력물 관리를 위한 세부사항은 「개인보안세칙」이 정하는 바에 따른다. (21.08.06)
⑥ 민감한 개인정보 또는 다량의 개인정보가 포함된 정보를 단말기로 다운로드할 시 사유를 작성하고 정기적으로 검토하여야 한다. (2023.11.07)
제 16조 (개인정보취급자 접근권한 관리 및 인증)
① 개인정보처리시스템에 대한 접근 권한은 서비스 제공에 필요한 최소한의 인원에게만 부여하여야 한다.
② 개인정보취급 업무를 담당하는 임직원의 담당 업무에 따라 개인정보 취급 권한을 부여하며, 부서별∙직급별에 따라 개인정보에 대한 접근 권한(읽기∙쓰기∙수정 및 삭제 권한) 을 차등 부여한다.
③ 개인정보취급자가 전보 또는 퇴직 등 인사이동으로 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소한다.
④ 개인정보취급자가 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 ID/비밀번호 외에 다음 각 호 등의 안전한 인증 수단을 적용하여야 한다.(2-Factor 인증)
1. 공인인증서
2. 보안토큰
3. 휴대폰 인증
4. 일회용 비밀번호(OTP)
5. 바이오정보 생체 인식 정보(2023.11.07)
6. 단말기 IP 인증
⑤ 회사는 제1항 내지 제4항에 의한 권한 부여∙변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
⑥ 개인정보처리시스템에 접속하는 계정의 입력 제한의 횟수를 통상 5회로 하고, 지정된 횟수 실패 시 자동적으로 계정을 잠금 상태로 전환하며, 별도의 신청 절차에 따라 계정을 잠금 해지할 수 있다.(2023.11.07)
제 17-1조 (개인정보의 암호화)
① 회사는 다음 각 호의 항목을 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 생체 인식 정보(2023.11.07)
② 비밀번호는 복호화되지 아니하도록 일방향 암호화 하여 저장하여야 한다.
③ 정보통신망을 통해 고객의 개인정보 및 인증정보를 송수신할 때에는 안전한 보안 서버 구축 등의 조치를 통해 이를 암호화해야 한다.
④ 개인용 컴퓨터(PC)에는 개인정보를 보관하지 않는 것을 원칙으로 하되, 업무 수행 상 불가피하게 개인정보를 PC에 보관해야 하는 경우 「개인보안지침세칙」이 정하는 바에 따른다. (21.08.06)
⑤ 비정형 데이터(로그, 이미지, 녹취)에 포함된 주민등록번호를 전자적인 방법으로 보관하는 경우에는 암호화하여야 한다.
제 17-2조 (개인정보 표시 제한 보호조치) 응용프로그램 개발 시 개인정보의 보호를 위하여 화면 표시 제한(마스킹 등) 을 적용할 수 있으며 세부사항은 「응용프로그램보안지침」 을 따른다.
제 18조 (접근통제)
① 회사는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 및 운영한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP 주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
② 회사는 개인정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자나 개인관련 정보를 패스워드로 이용하지 않도록 비밀번호 작성 규칙을 수립하고, 이를 적용 및 운용하여야 하며, 그 세부사항은 「개인보안지침세칙」이 정하는 바에 따른다. 개인정보취급자는 개인정보보호책임자가 수립한 비밀번호 작성 규칙을 준수하여야 한다. (21.08.06)
③ 회사는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유 설정 등을 통해 열람 권한이 없는 자에게 공개되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 하며 그 세부사항은 「개인보안지침세칙」이 정하는 바에 따른다. (21.08.06)
④ 회사는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
⑤ 회사는 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 유지되도록 최대 접속시간 제한 등의 조치를 취하여야 한다.
⑥ 회사는 인터넷 홈페이지에서 이용자의 본인확인을 위해 성명, 주민등록번호를 사용할 수 있는 경우에도 다음 각 호중 하나를 이용하여 정보주체의 추가적인 정보를 반드시 확인하여야 한다.
1. i-PIN
2. 공인인증서
3. 휴대전화
4. 주민등록증 발급일자
5. 전자우편(e-mail) 주소
제 19조 (접속 기록의 위∙변조 방지)
① 접속 기록의 위변조 방지를 위해 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리(입/출력∙수정 등 DB접근)하는 경우에는 처리일시∙처리내역 등 접속기록을 저장한다.
② 제 1항의 접속기록에 대해 월 1회 이상 정기적으로 확인∙감독한다.
③ 제 1항의 접속기록에 대해 위∙변조 방지를 위해 별도의 저장매체에 백업 보관하며, 보관 기간은 최소 6개월 1년 이상으로 한다. (21.08.06)
제 20조 (보안프로그램의 설치 및 운영)
① 회사는 개인용 컴퓨터(PC) 등을 이용하여 개인정보를 취급하는 경우 개인정보가 분실∙도난∙유출∙변조 또는 훼손되지 아니하도록 안전성 확보를 위한 백신 프로그램 등의 보안 프로그램을 설치∙운영하여야 한다.
② 보안 프로그램은 항상 최신의 버전으로 업데이트를 적용하여야 한다.
③ 보안 프로그램의 최신 업데이트를 적용하기 위하여 자동 업데이트 설정 및 실시간 감시 기능을 적용하여야 한다.
6. 개인정보의 유출통지
제 21조 (개인정보의 유출통지)
① 회사는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이정보주체에게 유출된 개인정보의 항목∙시점과 경위∙피해 최소화를 위한 방법∙회사의 대응조치 및 피해구제절차∙피해신고 담당부서 및 연락처 등을 통지하여야 한다.
② 제 1항의 통지사항을 모두 확인하지 못한 때에는 확인된 사항만을 우선 알리고, 추후 확인되는 사항은 추가적으로 통지할 수 있다.
③ 제 1항의 사항을 통지할 때에는 서면∙전자우편∙모사전송∙전화∙휴대전화 문자 전송 또는 이와 유사한 방법을 사용할 수 있다.
④ 회사는 1천 명 이상의 개인정보가 유출되는 사고가 발생한 때에는, 제 1항의 통지와 피해최소화를 위한 조치 내용을 행정안전부나 한국정보화진흥원 또는 개인정보 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다. (21.08.06)
⑤ 제 4항에 해당되는 경우, 인터넷 홈페이지에서 쉽게 알아볼 수 있는 방법으로 제 1항의 통지사항을 30일 7일 이상 게시하여야 한다. (21.08.06)
⑥ 조사를 목적으로 고객사에서 제공받은 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 고객사에 통지하여야 한다.
⑦ 개인정보 유출통지 및 신고에 관한 세부사항은 「보안사고대응지침」을 따른다.
7. 정보주체의 권리
제 22조 (개인정보의 열람∙정정∙삭제 및 처리정지 등)
① 개인정보처리자취급자는 정보주체가 방문하거나 서면∙전화∙전자우편∙전자서명 또는 이용자ID 등을 이용하여 개인정보의 수집∙이용 또는 제공에 대한 동의를 철회하는 경우에는 본인여부를 확인하고 법령에 다르게 규정하고 있는 경우를 제외하고는 관련 개인정보를 파기하는 등 지체없이 필요한 조치를 취하여야 한다. 개인정보처리자취급자는 본인여부의 확인 등을 위해 신분증 사본을 저장하는 과정에서 지문 정보를 수집(복사, 스캔 등을 포함)해서는 아니된다. (21.08.06)
② 회사는 정보주체의 열람을 요구받았을 때에는 관련 법령이 정하는 기한 내에 정보 주체의 열람이 가능하도록 하여야 한다. 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알려야 한다.
③ 제 2항의 열람요청에도 불구하고, 다른 법률에 따라 열람이 금지 또는 제한되거나 다른 사람의 생명∙신체나 재산 등 이익을 침해할 우려가 있는 때에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
④ 제 2항에 따라 개인정보를 열람한 정보주체가 회사에 그 정보의 정정 또는 삭제를 요구하는 경우 지체없이 그 개인정보를 조사한 후 정정이나 삭제 등 필요한 조치를 하고, 그 결과를 정보주체에게 알려야 한다. 다만, 정보주체는 관련 법령에서 그 개인정보가 수집대상이 되는 경우에는 삭제를 요구할 수 없으며, 그럼에도 정보주체가 삭제를 요구한 때에는 정보주체에게 그 사유를 알려야 한다.
⑤ 정보주체는 회사에 대하여 자신의 개인정보처리의 중지를 요구할 수 있으며, 개인정보를 처리하지 아니하면 정보주체와 약정서비스를 제공하지 못하는 등 계약 이행이 곤란하거나 기타 제 3항이 정하는 사유가 있는 경우를 제외하고는 정보주체의 요구에 따라 개인정보 처리의 전부 또는 일부를 정지하여야 한다. 처리정지된 개인정보에 대하여는 파기 등 조치를 하여야 한다.
⑥ 개인정보와 관련된 민원 및 분쟁조정이 청구될 경우, 개인정보보호담당자가 해당사실을 알리고 가능한 모든 조치를 개인정보보호부서가 처리하도록 한다.
⑦ 회사는 정보주체 이외로부터 수집한 개인정보에 대하여 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 처리 목적, 처리의 정지를 요구할 권리가 있다는 사실에 대하여 정보주체에게 알려야 한다. 다만, 대상이 되는 개인정보가 국가안전이나 범죄와 관련된 파일에 포함되어 있거나 다른 사람의 생명•신체에 대한 위해 가능성 및 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우는 그 사유를 알리고 거절할 수 있다.
8. 정기적인 자체감사
제 23조 (자체감사 주기 및 절차)
① 개인정보보호책임자는 개인정보보호를 위한 내부관리 계획 및 관련 법령에서 정하는 개인정보보호 규정을 성실히 이행하는지를 주기적으로 감사 또는 점검하여야 한다.
② 개인정보보호책임자는 개인정보 자체감사를 위한 감사대상∙감사절차 및 방법 등 감사의 실시에 관하여 필요한 별도의 계획을 수립할 수 있다.
③ 개인정보보호 자체감사는 최소 년 1회 이상 실시한다.
④ 감사수행방안 및 감사업무 절차 등 세부사항은 「정보보호감사지침」을 따른다.
⑤ 개인정보보호 관리자는 연 1회 이상 내부관리 계획 이행 실태 점검을 실시하고 점검 결과를 개인정보보호 책임자에게 보고한다. 세부점검 항목은 “[별지2]개인정보 내부관리계획 이행실태 점검 체크리스트”에 따른다.(2023.11.07)
제 24조 (자체검사 결과 반영)
① 개인정보보호책임자는 개인정보 보호를 위한 자체감사 실시 결과, 개인정보의 관리∙운영상의 문제점을 발견하거나 관련 직원이 본 계획의 내용을 위반할 때에는 시정∙개선 또는 인사발령 등 필요한 조치를 취하여야 한다.
② 개인정보보호책임자는 개인정보 위반사실에 대한 시정∙개선 조치가 이행되지 않거나, 개인정보보호에 심각한 영향이 발생할 수 있는 우려가 되는 경우 개인정보 취급자 등에 대한 인사발령 등의 필요한 추가 조치를 취할 수 있다.
9. 개인정보보호 교육
제 25조 (개인정보보호 교육 계획의 수립)
① 개인정보보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 매년 12월말까지 수립한다.
1. 교육목적 및 대상
2. 교육내용
3. 교육일정 및 방법
② 개인정보보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육계획 수립에 반영하여야 한다.
③ 제1항의 개인정보보호 교육계획은 제4조의 내부관리계획에 포함하여 수립할 수 있다.
제 26조 (개인정보보호 교육의 실시)
① 개인정보보호책임자는 고객정보보호에 대한 직원들의 인식 제고를 위해 노력해야 하며, 개인정보의 오∙남용 또는 유출 등을 적극 예방하기 위해 임∙직원을 대상으로 매년 정기적으로 연 2회 이상의 개인정보보호 교육을 실시한다.
② 연 2회의 정기 교육은 상반기에 1회, 하반기에 1회 실시한다.
③ 교육 방법은 집체교육 뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.
④ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보보호책임자는 부서 회의 등을 통해 수시로 교육을 실시할 수 있다.
⑤ 제 1항 내지 제 3항에서 정하는 개인정보보호교육은 개인정보보호 관련 법령에서 정하는 개인정보보호를 위한 정기교육과 함께 시행할 수 있다.
⑥개인정보보호책임자는 고객정보보호에 대한 외주업체 임직원들의 인식 제고를 위해 노력해야 하며, 개인정보의 오•남용 또는 유출 등을 적극 예방하기 위해 외주업체 임직원들에 대해서도 매년 연 1회 이상의 개인정보보호 교육을 실시한다.
10. 영상정보처리기기에 의해 처리되는 화상정보의 보호
제 27조 (영상정보처리기기의 설치) 회사는 다음 각 호의 목적이 있는 경우 영상정보처리기기를 설치하고 운영할 수 있다.
1. 시설안전 유지
2. 화재 예방
3. 기타 연구조사
4. 기타 법령에서 정하는 경우
제 28조 (안내판의 설치) 전조에 따라 영상정보처리기기를 설치하는 경우 정보 주체가 이를 쉽게 인식할 수 있도록 다음 각 호의 사항을 기재한 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 건물 안에 다수의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다.
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 및 연락처
제 29조 (영상정보의 보호 및 유출방지)
① 영상정보처리기기를 운영∙관리하는 부서는 영상정보에 대한 불법적 접근 및 변조∙유출∙훼손 등에 대비하여 기술적∙관리적 안전조치를 강구하여야 한다.
② 영상정보처리기기에 의하여 전송되는 영상정보가 열람∙재생되는 장소는 출입제한구역으로 지정하고 접근 권한이 부여된 자 외의 출입을 통제하여야 한다.
③ 전보∙ 퇴직 등 인사이동 사유가 발생하여 접근 권한이 변경된 경우에는 지체없이 권한을 변경 또는 말소한다.
④ 영상정보처리기기의 정상 작동 여부를 주기적으로 점검하고 점검내역에 대한 기록자료를 정확하게 관리하여야 한다.
제 30조 (영상정보 수집 및 처리 제한)
① 영상정보처리기기에 의하여 영상정보를 수집하는 경우에는 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 된다
② 영상정보처리기기에 의하여 영상정보를 수집하는 경우에는 녹음 기능을 사용할 수 없다. 다만, 「통신비밀보호법」을 준수하여 적법한 절차에 따라 이루어지는 감청에 대하여 다른 법률에 특별한 규정이 있는 때에는 그러하지 아니한다.
③ 영상정보처리기기의 설치 운영에 관한 사무는 위탁할 수 있다.
제 31조 (보관 및 파기)
①영상정보처리기기에 의하여 수집된 영상정보는 보관기간이 만료한 후 지체 없이 삭제•파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니한다.
② 사업 등의 특성, 설치 목적 및 업무의 성격 등에 따라 보유 목적의 달성을 위한 최소한의 기간 산정이 곤란한 때에는 보관기간은 수집일로부터 30일 이내로 한다.
③ 금융거래의 안전성 확보 등을 위하여 전산실 등 출입제한 구역 등에 설치한 영상정보처리기기의 영상정보는 최대 3년을 초과하지 않는 범위 내에서 기간을 정하여 보관할 수 있다.
④ 영상정보처리기기의 영상정보 기록장치의 저장용량이 초과되는 경우 먼저 기록된 영상정보가 자동으로 삭제되도록 설정해서 운영할 수 있으나, 이 경우에도 보관기간을 크게 벗어나지 않도록 연 2회 이상 확인해야 한다.
제 32조 (개인영상정보) 개인영상정보는 본 장에서 따로 정하지 아니한 경우 이 규정의 개인정보와 동일하게 취급한다.
제 33조 (개인영상정보 관리책임 등)
① 원칙적으로 제 4장의 개인정보보호책임자가 다음 각 호의 업무를 포함하여 개인영상정보의 처리에 관한 업무를 총괄한다. 다만 필요한 경우 개인영상정보의 처리에 관한 업무를 총괄하여 책임질 개인영상정보 관리 책임자를 별도로 지정할 수 있다.
1. 개인영상정보 보호 계획의 수립 및 시행
2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인영상정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인영상정보 유출 및 오용•남용 방지를 위한 내부통제시스템의 구축
5. 개인영상정보 보호 교육 계획 수립 및 시행
6. 개인영상정보 파일의 보호 및 파기에 대한 관리•감독
7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
② 개인영상정보 관리책임자는 [별지 제1호] 영상정보처리기기 설치•운영 자체점검 체크리스트에 따라 이 규정의 준수 여부에 대한 자체점검을 연 1회 이상 주기적으로 점검한다.
나. 권익침해 구제방법
권익침해를 구제 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁 해결이나 상담 등을 신청할 수 있습니다.
1) 개인정보 분쟁조정위원회 : 02-405-5150 (http://www.kopico.go.kr)
2) 개인정보 침해신고센터 : (국번없이)118번 (http://privacy.kisa.or.kr)
3) 대검찰청 사이버안전수사단 : 02-3480-3571 (http://cybercid@spo.go.kr)
4) 경찰청 사이버안전국 : 1566-0112 (http://cyberbureau.police.go.kr)
방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 가능한 변경사항의 시행 7일 전부터 홈페이지를 통하여 고지할 것입니다.
[개인정보 처리방침 변경]
개인정보처리방침 변경일자: 2024년 1월 17일
개인정보처리방침 시행일자: 2024년 1월 24일
이전의 홈페이지 개인정보처리방침은 아래에서 확인하실 수 있습니다.