상황별 맞춤 100건

● 시나리오 52

DB 접속기록도 암호화?

DB 접속기록에 포함된 고유식별정보 암호화

우리 회사는 개인정보 등이 보관된 DB에 대한 접근을 통제 관리할수 있도록 DB 접속 기록과 접속 결과를 보관하는 시스템을 도입하고자 함
그런데 시스템이 보관하는 접속 기록 및 접속 결과에는 임직원의 주민등록번호 등 고유식별정보가 포함됨

DB 접속기록에 포함되어 있는 고유식별정보를 암호해야 하나?

개인정보보호법에 따라 고유식별정보(주민등록번호, 운전면허번호, 여권번호, 외국인등록번호)와 바이오정보 및 비밀번호는 안전한 알고리즘으로 암호화하여야 함
안전성확보조치를 하는 과정에서 DB 접속 기록 및 접속 결과에 암호화 대상정보(고유식별 정보, 바이오 정보, 비밀번호)가 포함되어 있다면 이 또한 암호화 기술의 적용 등 개인 정보보호법에 따른 안전성확보에 필요한 조치를 해야 함

안전성확보조치를 하는 과정에서 DB 접속 기록 및 접속 결과에 암호화 대상정보(고유식별정보,바이오정보,비밀번호)가 포함되어 있다면 암호화 기술의 적용 등 개인정보보호법에 따른 안전성확보에 필요한 조치를 해야 함

자료실-->지침자료-->[개인정보의 안전성 확보조치 기준 및 해설서]

★ 관련규정

개인정보보호법 제29조, 개인정보의 안전성 확보조치 기준 제7조

==========================================================================================

 

● 시나리오 53

직원들의 개인정보를 노동조합에 제공해도 된다?

단체교섭에 필요한 자료를 제3자에게 제공 여부?

노동조합에서 단체교섭에 필요한 조합원의 급여내역, 근태현황 등의 자료 제공을 요청하고 있음.
회사에서 보유하고 있는 직원들의 정보를 노동조합에 제공하는 것은 수집 이용목적 범위를 벗어난 것으로 개인정보의 제3자 제공에 해당하므로 직원의 동의 없이 제공할 수 없다고 하니, 노동조합에서는 개인정보의 제3자 제공에 관한 조합원의 동의서를 받아옴

노동조합에서 조합원들의 동의서를 받아 개인정보 제공을 요청하는 경우 회사에서는 직원의 급여내역, 근태현황 등의 자료를 제공해야 하는가?

노동조합 및 노동관계조정법 제30조는 노동조합과 사용자의 성실한 교섭 의무와 정당한 이유 없는 거부 금지 등의 원칙을 규정하고 있지만 사용자가 근로자의 동의 없이 해당 근로자의 개인정보를 노동조합 등 제3자에게 제공할수 있도록 허용하는 내용을 규정하고 있지 않음 따라서 회사에서 보유하고 있는 직원의 개인정보를 노동조합에 제공하기 위해서는 원칙적으로 회사에서 해당 직원의 동의를 받아야 함

다만, 회사와 노동조합이 상호 합의하는 경우에는 조합원이 직접 작성한 동의서를 노동조합이 회사에 대신 제출할수 있으며, 이 경우 회사는 조합원의 개인정보를 노동조합에 제공할수 있을 것임

회사에서 보유하고 있는 직원의 급여내역, 근태현황 자료를 노동조합에 제공하기 위해서는 원친적으로 회사에서 해당 직원의 동의를 받아야 함

★ 관련규정

개인정보보호법 제18조

=============================================================================================

● 시나리오 54

개인정보가 포함된 공공기록물은 함부로 파기해서는 안된다?

공공기관의 개인정보 파기 시 개인정보보호법 적용여부

저는 공공 의료기관에서 근무하고 있는 의무기록사임 국가기록원에서 공공기록물 관리에 관한 법률에 따라 의료원에 기록물관리 자격을 갖춘 전문요원을 배치하도록 하고, 2012년 부터는 전문요원의 심사 없이는 기록물을 폐기해서는 안된다는 공문을 받음. 의료법과 개인정보보호법에 의해 보관기간이 지난 의무기록을 파기하고자 하는데 이런 경우 공공기록물을 관리에 관한 법률에 따라 의료원에 전문요원을 배치하고 전문요원의 심사를 거친 후에 의무기록을 파기해야 하는지 아니면 즉시 파기하여야 하는지가 불분명함

공공기관에 해당하는 의료기관은 어느 법률에 따라 개인정보를 파기하여야 하는가?

개인정보보호법에 따라 개인정보 보호에 대해 다른 법률에서 특별하게 규정하고 있는 경우에 해당 법률이 개인정보보호법에 우선해 적용됨 따라서 공공의료기관이 보유하고 있는 의무기록 중에 공공기록물 관리에 관한 법률이 적용되는 공공기록물은 공공기록물 관리에 관한 법률에 따라 의료기관에 배치된 전문요원의 심사를 받은 후 파기

공공기록물 관리에 관한 법률의 적용을 받는 공공기록물은 공공기록물에서 정한 절차에 따라 파기

★ 관련규정
개인정보보호법 제6조 및 제21조, 공공기록물 관리에 관한 법률 제27조

==========================================================================

● 시나리오 55

휴대전화번호만 제공하는 것은 적법이다?

휴대전화번호 개인정보에 해당 여부

우리 회사는 고객의 성명, 생년월일, 주소, 휴대전화번호, 이메일 주소 등을 동의를 받고 수집하여 이용하고 있음 수집한 고객정보를 제3자에게 제공해야 할 경우, 고객의 동의를 받아야 하기 때문에 저희는 고객성명은 제외하고 휴대전화번호만 제공하고 있음

다른 개인정보와 결합하지 않은 휴대전화번호만도 개인정보보호법에 따라 보호되는 개인정보에 해당하는지요?

개인정보보호법에 따라 보호되는 개인정보는 개인을 알아볼수 있는 정보뿐만 아니라 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해서 알아볼 수 있는 정보까지 의미함

휴대전화번호는 다른 정보와 쉽게 결합하여 개인을 알아 볼수 있고, 정보주체와 직접 연락이 가능한 contact point 홍보 마케팅에 활용될 수 있으므로 개인정보에 해당됨

★ 개인정보보호법 제2조, 제18조

=============================================================================

★ 시나리오 56

보험회사의 개인정보는 삭제되지 않는다?

개인정보의 삭제 요청 방법

몇 년 전 보험회사에서 무료로 자동차 점검을 해주겠다고 하여 차주 및 운전자의 주민등록번호, 성명, 연락처 등을 알려줌 자동차 점검을 받고 난 이후 보험회사에서 전화와 문자메세지를 통해 보험 상품 소개와 가입안내를 지속적으로 해오고 있음 보험회사에 연락하여 이미 다른 자동차보험에 가입하였으나, 보유하고 있는 개인정보를 삭제해 달라고 요청함. 보험회사에서는 삭제 할 수 없고 대신 연락이 가지 않도록 조치를 취해준다고 함
그러나 삭제요청 이후 몇 개월이 지난 후에 여전히 자동차 보험이 만기되었다며 보험 가입을 안내하는 전화가 옴

보험회사가 보유하고 있는 나의 개인정보를 삭제하도록 요청할수 있는지?

개인정보보호법에 따라 정보주체는 자신의 개인정보 처리 여부를 확인하고 열람, 처리정지, 정정 및 삭제를 요청할 권리가 있으며, 다른 법령에 따라 보존해야 하는 경우가 아니라면 정보주체의 요청이 있는 경우, 개인정보처리자(보험사)는 삭제 등의 필요한 조치를 해야 함

만약 보험회사에서 고객의 요청에도 불구하고 계속적으로 마케팅을 진행하고 개인정보를 삭제하지 않는 경우에는 개인정보침해사고센터로 신고할수 있음

개인정보의 열람, 처리정지, 정정 및 삭제 요청은 개인정보보호법 시행규칙 제8호 서식인 개인정보 열람,정정,삭제 처리정지 요구서를 작성하여 보험회사에 제출하면 됨

개인정보침해신고센터 또는 국번없이 118
개인정보보허법 시행규칙 별지 제8호 서식(개인정보 열람, 정정 삭제 처리정지 요구서)

★ 관련규정
개인정보보호법 제35조, 제36조, 제37조 및 제 38조. 개인정보보호법 시행규칙 및 제3조 제6항

==================================================================================================

● 시나리오 57

복리후생을 위한 임직원 가족정보는 동의 없이 수집이 가능하다.

복리후생을 위해 임직원의 가족정보 수집 시 동의 여부

우리 회사는 임직원의 복리후생을 위해 야근 교통비, 동호회운영비, 자격증 수당, 자녀 학비, 가족수당 등을 지급하고 있음 이에 따라서 회사에서는 임직원에게 자녀의 학비와 가족수당 지급 등을 위해 가족의 개인정보를 수집하고자 함 그런데 임직원이 가족을 대표해 동의를 할 수 있다는 의견과 가족 개개인으로부터 동의를 받아야 한다는 의견이 제기됨

임직원 복리후생을 위해 가족의 개인정보를 수집하는 경우 반드시 가족구성원의 동의를 받아야 하는가?

근로복지기본법 제5조에 따라 회사는 자녀 학비 지원, 직계존속 건강진단, 주택지원 등 근로자에 대한 복지를 제공해야 하므로, 이를 위하여 가족의 개인정보를 수집 이용하는 것은 개인정보보호법 제15조 제1항제2호에 따른 법령상 의무 수행을 위한 경우에 해당됨 그러나, 주민등록번호 등 고유식별정보는 법령에서 구체적으로 요구 및 허용하는 경우가 아니라면 정보주체의 별도 동의를 받아야 함 다만, 가족관계 및 연령 확인 등을 위한 증명서 제출 시 가족의 주민등록번호 뒷자리를 가린 후 관련 서류를 발급받도록 한다면 고유식별정보 수집에 대한 별도의 동의를 받을 필요가 없음

회사는 임직원 및 임직원의 가족에 대한 복리후생 제공을 위해 가족의 개인정보(단 주민등록번호 등 고유식별정보와 건강정보 등 민감정보는 동의 필요)를 수집 이용할수 있으며, 가족구성원의 동의는 필요하지 않음

자료실--> 지침자료[개인정보보호 가이드라인(인사,노무 편)]

★ 관련법규
개인정보보호법 제15조, 제24조, 근로복지기본법 제5조

=====================================================================================

● 시나리오 58

학교 홈페이지에 학생들의 수상내역 게시, 동의가 필요하다?

사진과 수상내역 홈페이지 공개

학생들이 경시대회 등에서 수상을 하는 경우 수상 정보 및 개인정보(학년,반,성명)을 홈페이지에 공개하고, 학교에서 각종 행사를 진행하면서 학부모나 외부에 알리기 위해 사진을 홈페이지에 공개하고 있음
그런데, 일부 교사들은 이렇게 공개를 하는 행위가 개인정보보호법에 위반된다고 함

학생의 수상 정보와 사진을 홈페이지에 공개하는 것이 개인정보보호법에 위반되는지?

학교에서 교육기본법 및 초중등교육법 등 관련 법령을 준수하기 위해 불가피한 경우 개인정보를 수집하여 이요하는 것은 학생이나 부모의 동의가 필요하지 않습니다. 그러나, 학생의 수상정보와 사진을 홈페이지에 공개하는 것은 관련 법령을 준수하기 위하여 불가피한 경우에 해당된다고 보기 어려움 아울러, 학교에서는 원활한 학교 행정을 위하여 학기 초, 학년 초, 입학 시 정보주체에 알려야 할 사항을 명시하고 각각의 사안별로 동의를 선택하도록 하는 경우라면 일괄동의가 가능할 것임

학생의 개인정보를 홈페이지 등을 통해 불특정 다수에게 공개하는 경우는 정보주체인 학생 본인 또는 그 법정대리인의 동의를 받아야 함

★ 관련규정
개인정보보호법 제15조, 제17조

====================================================================

● 시나리오 59

업무위탁 시 개인정보 처리는 어떻게?

회사는 웹사이트를 기획제작하고 운영하는 회사로서 통상적으로 공문이나 이메일, 보안서약서, 수탁업무확인서 등을 통해 개인정보를 처리하고 있음

이렇게 업무위탁에 관한 문서가 있는 경우에도 별도의 개인정보처리업무의 위탁에 관한 문서가 필요한자?

개인정보보호법에서는 업무를 위탁하는 경우에는 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항과 개인정보의 기술적 관리적 보호조치에 관한 사항, 위탁업무의 목적 및 범위 재 위탁 제한에 관한 사항, 수탁자의 개인정보 관리현황 감독에 관한 사항 및 손해배상 등 책임에 관한 사항이 포함된 문서에 의하도록 하고 있음

따라서 위탁업무의 내용 및 범위, 관리감독에 대한 책임, 의무 위반 시 손해배상 책임 등을 명확하게 하기 위해 표준 개인정보처리위탁 계약서(안)을 활용해 위탁자와 수탁자가 상호 협의하고 서명이나 직인을 날인하는 것이 바람직 할것임

문서의 형식에는 제한이 없으나 위탁업무의 내용 및 범위, 관리감독에 대한 책임, 의무 위반 시 손해배상 책임 등을 명확하게 하기 위해 표준 개인정보처리위탁 계약서를 활용해 위탁자와 수탁자가 상호 협의하고, 서명이나 직인을 날인하는 것이 바람직 함

★ 관련규정
개인정보보호법 제26조 및 동법 시행령 제28조

==============================================================================================

● 시나리오 60

내부 시스템 문제 발생 시 DB암호화 안 해도 된다?

개인정보 암호화의 위험도 분석

회사에서 직원의 인사정보와 고객사의 대표자, 업무 담당자 및 고객의 개인정보를 수집하여 업무를 활용하기 위해 받고 있음

개인정보보호법 시행에 따라 DB암호화 등의 처리수단 도입을 위해 테스트를 진행하였으나 데이터가 많은 테이블의 경우 ERP 시스템의 DB조회 속도가 현저히 느려지는 현상이 발생해 더 이상 진행하지 못하고 있음

내부시스템에 문제가 발생하는 경우에도 DB암화화를 해야 하는가?
개인정보보호법 제29조, 같은 법 시행령 제30조 및 개인정보의 안전성 확보 조치 기준 제7조에 따라 ERP 등 내부정보시스템에 고유식별정보를 저장하는 경우, 개인정보 위험도 분석 기준의 26가지 항목을 모두 충족하는 경우에는 암호화 조치를 하지 않을 수 있음

개인정보 위험도 분석 기준에 모두 충족하지 모할 경우에는 DB의 개인정보를 암호화해야 함

★ 관련규정
개인정보보호법 제29조, 개인정보의 안전성 확보조치 기준 제7조

==============================================================================================

● 시나리오 61

회원여부 확인을 위한 전화번호 이용은 동의 없이 가능하다?

개인정보의 이용 동의 방법

저희 마트에서는 고객을 대상으로 멤버십카드를 발급하여 구매금액에 따른 적립 및 할인 서비스를 제공하고 있음 멤버십카드를 소지 하지 않은 고객이 점포를 방문하여 구매한 경우 전화번호를 이용해 멤버십카드 소지자임을 확인하고 있음

멤버십카드 회원여부를 확인하기 위해 고객의 전화번호를 이용하는 경우 동의를 받아야 하는가?

멤버십 카드 회원인지 확인하기 위해 회원가입 당시 수집한 개인정보와의 대
조를 통하여 본인 여부를 확인하는 행위는 당초 정보주체의 동의를 받아 수집하거나 계
약체결 및 이행을 위해 수집한 개인정보를 목적 범위 내에서 이용하는 것으로 다시 동의
를 받을 필요가 없을 것입니다.

회원여부를 확인하기 위하여 기존에 수집한 고객정보와 대조․확인하는 경우에는
다시 동의를 받을 필요가 없습니다.

★ 관련규정
개인정보보호법 제15조 및 제18조

=================================================================================

● 시나리오 62

병원 진료기록 삭제 요청하면 즉시 삭제 가능하다

병원의 개인정보 삭제 요청 가능 여부

병원에 방문해서 진료를 받으려고 하니 주민등록번호, 성명, 주소 등을 물어
봐서 알려주었습니다. 진료과정이나 서비스가 마음에 들지 않아 앞으로는 이 병원에 방
문하지 않으려고 합니다. 그래서 병원에 주민등록번호와 개인정보를 삭제해달라고 요청
하였는데, 병원은 보유하고 있는 개인정보를 삭제할 수 없으며, 10년간 보관해야 한다고
합니다.

개인정보보호법에 따라 환자가 개인정보 삭제요청을 한 경우 병원에서 삭제하지
않고 10년 동안 보관하는 것이 타당한가요?

개인정보보호법에 따라 정보주체는 자신의 개인정보에 대해서 삭제를 요청할
수 있습니다. 그러나 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있고 일정기
간 보존하도록 규정하고 있는 경우, 개인정보처리자(병원)는 정보주체의 삭제요청이 있더
라도, 법에서 정한 보유기간 동안 개인정보를 파기하지 않고 보존하여야 합니다.
병원은 의료법에 따라서 환자의 성명, 주소, 주민등록번호 등이 기재된 진료기록부를 작
성해야 하고, 작성된 진료기록부를 의료법에 따라 최소한 10년간 보존해야 합니다. 다만,
의료기관이 10년 이상 보관하고 있는 진료기록에 대하여 환자가 자신의 개인정보 삭제를
요청하는 경우에는 의료법에서 따른 보존기간이 경과하였으므로, 삭제 등의 필요한 조치
를 하여야 합니다.

병원을 더 이상 이용할 계획이 없는 환자가 병원에 자신의 개인정보를 삭제해달
라고 요청하는 경우에도 병원은 의료법에 따라 진료기록을 10년간 보존해야 합니다
따라서, 10년간은 진료기록부에 기재된 개인정보를 환자의 요청에 따라 삭제할 수 없습니다.

★ 관련규정
개인정보보호법 제21조 및 제36조, 의료법 시행규칙 제15조

================================================================================================

● 시나리오 63

만족도 조사를 위해 고객정보를 이용해도 된다?

고객만족도 조사를 위해 고객의 개인정보 이용

이태리음식 전문점인 저희 매장은 예약 고객을 대상으로 서비스가 제공되고
있으며, 예약접수 및 예약 확인을 위해 고객의 성명과 전화번호를 수집하고 있습니다.
예약 후 매장을 방문하여 서비스를 이용한 고객을 대상으로 예약담당자의 친절도와 서비
스 이용의 만족도, 불만사항 및 개선사항 등을 알아보기 위하여 ‘만족도 조사’를 진행하
려고 합니다. 그러나 아직 고객들로부터 만족도 조사에 대한 사전 동의를 받지는 않았습
니다.

고객만족도를 조사하기 위하여 예약접수 시 수집한 고객의 연락처를 이용해도 되
는지요?

개인정보보호법 제15조제1항제4호에 따라 계약의 체결 및 이행을 위하여 불
가피한 경우 정보주체의 동의 없이 개인정보를 수집･이용할 수 있습니다.
서비스 이용자의 만족도 조사는 서비스계약의 일부에 해당하므로, 매장은 예약접수 시
수집한 개인정보를 이용하여 고객만족도 조사를 실시할 수 있으며, 고객의 동의는 필요
하지 않습니다.
다만, 고객이 원하지 않거나 자신의 개인정보를 처리정지 및 파기하기를 요청하는 경우
에는 지체 없이 필요한 조치를 취하여야 합니다. 또한 수집한 고객의 개인정보를 홍보나
마케팅에 이용하기 위해서는 고객의 별도의 동의를 받아야 합니다.

해당 서비스 이용자의 만족도 조사를 위해 예약접수 시 수집한 고객의 연락처를
이용할 때는 정보주체의 동의를 받지 않아도 됩니다.

★ 관련규정

개인정보보호법 제15조, 제18조

=============================================================================

● 시나리오 64

법인이나 개인사업자 정보도 개인정보로 보호되어야 한다?

법인 및 개인사업자 정보가 개인정보보호법상 개인정보에 해당 여부

우리 회사는 업무 효율성을 높이기 위해 협력사 및 거래처에 대한 정보를 체
계적으로 관리하려고 합니다. 회사에서 관리하고자 하는 정보는 법인 및 개인사업자의
사업자등록번호, 사업장 주소, 사업장 전화번호, 대표자 성명입니다.

개인정보보호법에 따르면 개인정보는 살아 있는 개인에 대한 정보라고 정의 되어
있는데, 이러한 정보들이 개인정보에 해당되나요?

개인정보보호법은 생존하고 있는 자연인에 대한 개인정보를 보호 대상으로
하고 있습니다. 자연인이 아닌 법인이나 사업체(개인사업자 포함)의 정보는 원칙적으로
개인정보보호법상 보호대상인 개인정보에 해당하지 않습니다.
그러나 대표자의 성명이 법인이나 사업체의 정보로서가 아니라 자연인으로서의 개인정보
로 처리되는 경우 또는 마케팅 목적으로 이용되는 경우에는 개인정보보호법에 따른 개인
정보에 포함될 수 있습니다.

법인이나 사업체의 정보인 사업장주소, 사업장전화번호, 대표자성명은 자연인으
로서의 개인정보에 해당하지 않습니다

★ 관련규정

개인정보보호법 제2조

=============================================================================

● 시나리오 65
고객정보 제3자 제공 시 제공받는 자 기재는 어떻게?

부동산 중개업소가 고객 정보를 관련 협회 및 사업자 단체와 공유 가능 여부

[문제상황] 부동산중개업을 하고 있는 사업자가 부동산 거래를 희망하는 고객의 개인정보를 중개
업소 단체 및 지역 사업자들과 공유하고자 합니다. 개인정보 보호법에 따르면 제3자 제공에 관한
동의를 받을 때 개인정보를 제공받는 자를 알려야 하는데, 공인중개업소가 모든 업체를 동의서에
기재하는 것은 불가능합니다.

[질문] 개인정보의 제3자 제공에 관한 동의서에 개인정보를 제공받는 자를 ‘동종 사업자단체 및
동종 사업자’로 기재해도 되는지요?

개인정보를 제3자에게 제공하기 위하여 정보주체에게 동의를 받을 때에는 개인정보를
제공받는 자를 구체적으로 정보주체에게 알리고 동의를 받아야 합니다. 다만, 제공받는 자가 많아
서 동의서에 모두 기재하는 것이 곤란한 경우에는 동의서에 개인정보를 제공받는 자는 별도의 서
면 또는 인터넷 홈페이지에 구체적으로 기재하고, 정보주체가 해당 내용을 확인할 수 있도록 안내
하는 것은 가능합니다. 또한, 표준 개인정보 보호지침에 따라 부동산 중개업소는 고객에게 개인정
보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체의 명칭) 및 연락처를 함께 알려야
합니다.
동의서에 별도의 서면이나 인터넷 홈페이지에 개인정보를 제공받는 자의 구체적 목록이
기재되어 있고, 고객이 이를 확인할 수 있다면 동의서에 ‘동종 사업자단체 및 동종 사업자’라고
기재할 수 있습니다

사업자는 개인정보의 제3자 제공 동의를 받을 때에는 개인정보를 제공받는 자, 개인정보를
제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정
보 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경
우에는 그 불이익의 내용 등을 고객에게 반드시 알리고 동의를 받아야 합니다.

★ 곤련규정

개인정보보호법 제18조, 표준 개인정보 보호지침 제8조

===========================================================================================

● 시나리오 66

영업 양도 시 고객정보는 통지 후 제공?

개인정보보호법 제18조, 표준 개인정보 보호지침 제8조

소매점을 운영하면서 고객관리, 포인트 적립 및 이벤트 안내 문자메시지 전
송 등을 위해 고객 1천 명의 성명, 주소, 전화번호를 수집하여 관리하고 있습니다. 그런
데 최근 경영의 악화와 개인적인 사유로 인하여 평소 알고 지내던 동종업계의 사람에게
소매점을 양도하려고 합니다. 소매점 양도 시 양수자에게 고객의 개인정보를 함께 제공
하지 않는다면, 고객들은 그 동안 적립한 포인트를 사용할 수 없게 되어 많은 항의가 있
을 것으로 예상됩니다.

영업을 양도하면서 고객들의 개인정보를 양수자에게 제공하는 경우에 취해야 할
조치사항은 무엇인가요?

영업의 양도․합병 통지는 원칙적으로 양도자 및 양수자 양측이 모두 고객에게
통지해야 하지만, 양도하는 자가 이미 통지를 한 경우에는 양수자 측은 통지하지 않아도
됩니다.

개인정보처리자는 영업의 전부 또는 일부 양도․합병 등으로 개인정보를 이전하는
경우에는 서면, 전자우편, FAX, 전화, 문자전송 등의 방법으로 개인정보를 이전하려는 사
실과 개인정보를 이전받는 자의 성명(법인명칭), 주소, 전화번호, 기타 연락처 및 정보주
체가 개인정보 이전을 원치 아니하는 경우 조치방법과 절차 등을 고객에게 반드시 통지
해야 합니다.

★ 관련규정

개인정보보호법 제27조

=================================================================

● 시나리오 67

조합은 업무 위탁 시 용역업체에 조합원 정보를 제공할 수 있다?

주택재개발정비사업 조합장이 용역업체에 조합원 정보를 제공하여 서면 결의서를
받는 행위의 적법 여부

저는 주택재개발정비사업조합의 조합원으로서 저의 개인정보를 조합에는 제공하였으나 다른 사람에게 제공하는 것에 동의한 적은 없습니다 그런데 최근 조합의 용역업체의 홍보요원으로부터 총회 개최에 대한 서면 결의서를 받으 러 온다는 연락이 왔습니다

제가 개인정보 제3자 제공에 대한 동의를 하지 않았는데도 불구하고, 조합이 조합원의 개인정보를 용역업체의 홍보요원에게 제공하는 것은 개인정보보호법 위반이 아닌가요?

도시 및 주거환경정비법에 따라 조합은 조합원으로 구성되는 총회를 두어야 하고, 총회는 조합장의 직권 또는 조합원 5분의1 이상 또는 대의원 3분의2 이상의 요구로 조합장이 소집할 수 있으며, 조합장은 총회 개최 내용을 조합원에게 알려야 합니다. 개인정보처리자는 개인정보 처리업무를 제3자에게 위탁할 수 있으며, 이때 정보주체의 동의를 필요로 하지는 않습니다. 개인정보처리업무를 위탁하는 경우에는 위탁업무 수행목적 외 개인정보의 처리 금지에 관한 사항과 개인정보의 기술적․관리적 보호조치에 관한 사항, 위탁업무의 목적 및 범위, 재 위탁 제한에 관한 사항, 수탁자의 개인정보 관리현황 감독에 관한 사항 및 손해배상 등 책임에 관한 사항이 포함된 문서에 의하여야 하며, 위탁하는 업무의 내용과 수탁자를 인터넷 홈페이지에 지속적으로 공개하여야 합니다.

개인정보보호법상의 업무위탁 절차와 기준에 따라 조합이 용역업체를 선정하여 개인정보처리가 수반되는 업무를 위탁하는 경우에는 조합은 조합원의 동의 없이 개인정보를 용역업체에게 제공할 수 있습니다.

★ 관련규정
개인정보보호법 제26조, 도시 및 주거환경정비법 제22조․제24조

======================================================================================

● 시나리오 68

개인이 휴대전화 카메라로 타인의 영상정보를 촬영하였다?

개인이 휴대전화 카메라로 타인의 영상정보를 촬영

몇일전 퇴근하려고 지하철을 탔는데 경로석에 앉아 대화를 나누시던 할아버지 두 분이 갑자기 언성을 높이면서 몸싸움이 벌어졌습니다 그런데 바로 맞은편에 서 있던 중학생정도로 보이는 학생이 휴대전화 카메라로 몸싸움 장면을 촬영하고 있었습니다.

다른 사람을 함부로 촬영하는 것은 개인정보침해 아닌가요?

개인정보보호법은 기본적으로 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인(개인정보처리자)에게 적용되는 바, 사적․개인적 목적으로 영상을 촬영하는 행위는 개인정정보보호법이 적용되지 않습니다. 다만, 다른 사람의 영상을 무단으로 촬영하여 인터넷 등에 올리는 경우 형법상 명예훼손 등에 따라 처벌받을 수 있습니다.

다른 사람의 영상을 무단으로 촬영하여 인터넷 등에 올리는 경우 형법상 명예훼
손 등에 따라 처벌받을 수 있습니다.

★ 관련규정
개인정보보호법 제2조 및 시행령 제3조
=====================================================================================

● 시나리오 69

입주민의 개인정보가 포함된 합의서를 공개한다?

개인정보가 포함된 전임 입주자대표회의 합의서를 입주민에게 공개 가능 여부

아파트 전임 입주자대표회의는 2004년 11월 주민동의서를 받아 ○○건설사
와 고속도로 교통소음과 관련한 피해보상에 대하여 상호 합의하고 추가 민원을 제기하지
않기로 합의하였습니다. 2011년 고속도로 확장 후 소음이 증가하면서 민원이 제기되자,
이에 대응하기 위하여 현 입주자대표회의는 전임 입주자대표회의가 합의한 합의서를 현
재 입주민에게 공개하려고 합니다. 2004년 합의서에는 전임 입주자대표회의 구성원의 직
책, 동․호수, 성명, 서명 및 당시 합의서에 동의한 입주자의 동․호수, 성명, 서명이 포함되
어 있습니다.

입주민의 개인정보가 포함되어 있는 합의서를 공개하는 경우 개인정보보호법 위
반에 해당하나요?

개인정보처리자(현 입주자대표회의)는 정보주체로부터 별도의 동의를 받거나,
다른 법률에 특별한 규정이 있는 경우 등 개인정보보호법 제18조제2항 각호에 따라 개인
정보를 제3자에게 제공할 수 있습니다.
입주자의 개인정보가 포함된 2004년 합의서를 현 입주민에게 공개하는 것은 개인정보의
제3자 제공에 해당됩니다. 따라서 주택법 등 관련 법령에서 합의서를 공개가능한 정보로
규정하고 있지 않은 한, 입주자대표회의는 2004년 합의서를 공개하기 위해서는 합의서에
기재된 입주민의 동의가 있어야 합니다.

입주자의 개인정보가 포함된 2004년 합의서를 현 입주민에게 공개하기 위해서는
합의서에 기재된 입주민의 동의가 있어야 합니다.

★ 관련규정

개인정보보호법 제18조

==========================================================================================

● 시나리오 70

CCTV 추가설치 시 목적이 동일하면 의견수렴 필요 없다?

공공기관 CCTV 추가 시 의견수렴 여부

공공기관에서 시설안전, 화재예방 및 범죄예방을 위한 목적으로 현재 15대의
CCTV를 운영하고 있습니다. 그런데 사각지대가 많아 현재 운영하고 있는 15대의 CCTV
로는 설치한 목적을 달성하기가 어렵다고 판단되어 2대의 CCTV를 추가로 설치하고자 합
니다.

최초의 설치 목적과 동일한 목적으로 CCTV를 추가 설치하는 경우에도 개인정보
보호법에 따라 의견수렴 절차를 거쳐야 하나요?
오후 2:14 2017-07-31
공공기관이 공개된 장소에 영상정보처리기기를 설치․운영하는 경우에는 개인
정보보호법에 따라 행정예고, 의견청취, 설명회 등 관계 전문가나 이해관계인의 의견을
반드시 수렴하여야 합니다.

다만, 동일한 설치목적 내에서 단순히 적은 대수의 영상정보처리기기를 추가 설치하거나
촬영범위를 일부 조정하는 경우에는 설치 목적이 변경된 것이 아니므로 관계전문가 및
이해관계인의 의견을 수렴할 필요는 없습니다.
그러나, 설치 목적을 변경하여 CCTV를 설치하는 경우에는 관계전문가 및 이해관계인의
의견을 수렴하여야 합니다.

동일한 설치목적 내에서 단순히 일부 영상정보처리기기를 추가 설치하거나 촬영
범위를 일부 조정하는 경우에는 설치 목적이 변경된 것이 아니므로 관계전문가 및 이해
관계인의 의견을 수렴할 필요는 없습니다.

★ 관련규정
개인정보보호법 제25조, 시행령 제23조, 표준 개인정보 보호지침 제42조

==============================================================================================