개인정보 업무지침

본문 바로가기

개인정보 업무지침

개인정보 업무지침

개인정보보호 업무지침

 

 

제정 2019. 01 .31

개정 2022. 01. 07

 

 

 

1장 총칙

 

1(목적)

이 업무지침은 HRD서울법률교육원이 개인정보 처리의 적법성 및 절차의 정당성 등을 확보하여 국민의 권익 보호 및 공공 업무의 적절한 수행을 도모하기 위해 조치해야 할 사항 및 준수사항 등을 정함을 목적으로 한다. (개정 : 2022.01.07. 명칭변경)

 

2(적용범위)

이 지침은 전자적 처리여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보를 운용하는 훈련전담인력과 시간강사등 모든 개인정보취급자에 대하여 적용한다.

 

3(정의)

이 업무지침에서 사용하는 용어의 정의는 다음과 같다.

1. “개인정보라 함은 생존하는 개인에 관한 정보로서, 성명, 주민등록번호 등의 사항에 의하거나 다른 정보와 결합하여 당해 개인을 식별할 수 있는 정보를 말한다.

2. “처리라 함은 개인정보를 수집하고 파기하기까지 진행되는 수집, 기록, 저장, 보유, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 모든 행위를 말한다.

3. “개인정보파일이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.

4. “정보주체라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

5. “개인정보처리시스템이라 함은 개인정보를 처리하는 모든 컴퓨터를 의미한다.

6. “개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 개인정보보호법 제31조에 따른 지위에 해당하는 자를 말한다.

7. “개인정보 보호담당자란 개인정보 보호책임자의 지휘·감독을 받아 각 업무부서의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다.

8. “개인정보 취급자"란 교육원의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.

 

4(개인정보 보호책임자)

교육원의 개인정보보호를 위하여 개인정보 보호책임자와 개인정보 보호담당자를

두며, 다음 각 호의 업무를 수행한다.

1. 개인정보 보호책임자는 개인정보보호법 제31조제2항의 업무를 수행하여야 하며, 개인정보보호법 시행령 제30조의 내부 관리계획수립과 그 시행에 필요한 사항을 정하여야 한다.

2. 개인정보 보호책임자는 교육원 대표자로 하는 것을 원칙으로 하되, 필요에 따라 타 직원에게 위임할 수 있다.

 

5(개인정보 보호담당자)

교육원의 개인정보보호의 원활한 추진을 위하여 개인정보보호 담당자를 두며, 다음 각 호의 업무를 수행한다.

1. 개인정보보호 담당자는 부서의 개인정보보호 업무 지도·감독, 개인정보취급자의 지정·관리·지도·감독, 개인정보 처리시스템 사용에 대한 보안조치 등 개인정보보호에 필요한 사항 등을 담당한다.

2. 개인정보 보호담당자는 개인정보보호 계획의 운영, 관련기관(고용노동부, 직업능력심사평가원, 교육지원청 등) 업무협조 및 지적사항 관리, 개인정보 열람·정정청구 보관함 관리 등을 담당한다.

3. 개인정보 보호담당자는 부서 내 개인정보보호 기술적·관리적 보호 업무, 법정 서식 및 대장 작성·유지, 개인정보보호 관리 실태에 대한 자체 점검표 취합·통보, 개인정보 보호담당자 및 개인정보취급자 지정현황 관리 등을 담당한다.

4. 개인정보 보호담당자는 담당하는 개인정보에 대한 관리계획을 수립하여야 한다.

5. 개인정보 보호담당자는 PC 운영체제 및 각종 프로그램에 대한 최신 보안패치를 설치해야 한다.

6. 개인정보 보호담당자는 개인정보 보호책임자가 임명한다. 개인정보 보호담당자를 신규 또는 변경 지정하는 경우, 개인정보 취급자들에게 해당 사실을 즉시 알려야 한다.

7. 개인정보취급자는 바이러스 백신을 반드시 설치하고 최신 보안패치를 설치해야 하며, 바이러스 검사는 1주일에 1회 이상 실시하도록 한다.

 

6(개인정보취급자)

개인정보취급자는 훈련전담인력, 교강사 등 개인정보파일에 접근 가능한 모든 자이며, 개인정보취급자는 보유·접근·처리 가능한 개인정보의 안전한 보호와 관리를 위해 다음 각 호의 업무를 수행한다.

 

1. 개인정보취급자는 업무 외 용도로 개인정보를 저장·전송·가공할 수 없다. 업무용으로 개인정보를 저장·전송·가공 시에는 반드시 암호화하여 관리해야 한다.

2. 개인정보취급자는 업무 외 용도로 개인정보를 출력할 수 없다. 업무용으로 개인정보를 출력하는 경우에는 안전조치를 취하여야 하며 업무 목적 달성 시, 즉시 파기해야 한다.

3. 개인정보처리시스템의 접근 비밀번호는 반드시 설정하여야 하며 월 1회 변경해야 한다.

4. 개인정보취급자는 개인정보처리시스템에 화면보호기를 설치해야 하며, 해제 시 비밀번호 입력 설정을 하여야 한다.

5. 개인정보취급자는 공유 폴더의 지정 및 Peer-to-Peer(P2P) 시스템 등의 정보공유 프로그램의 설치·이용을 하지 말아야 한다.

6. 개인정보취급자는 악성코드로 의심되는 메일의 첨부파일을 실행하지 말아야 한다.

7. 개인정보취급자는 USB 자동 실행 차단 기능을 설정해야 한다.

 

7(개인정보보호위원회)

1. 교육원의 개인정보보호업무에 관한 주요 사안의 결정을 위하여 개인정보 보호책임자는 위원회(협의체)를 구성·운영할 수 있다.

2. 위원회의 구성은 개인정보 보호책임자를 의장으로 하여, 개인정보 보호담당자가 위원으로 참여한다.

3. 개인정보보호위원회는 교육원의 개인정보보호 관련 주요 사안의 의결이 필요한 경우 개인정보 보호책임자가 소집할 수 있다.

4. 개인정보 보호책임자는 개인정보보호위원회를 별도 구성하지 않을 경우, 매달 실시하는 정례회의때 개인정보보호 관련 회의를 진행하여 이때 의결된 내용을 적용할 수 있다.

 

 

 

2장 개인정보 수집

 

 

8(수집범위)

1. 개인정보 수집범위는 정보주체로부터 직접 성명, 주소, 전화번호 등의 정보를 제공받는 것뿐만 아니라, 정보주체 이외의 자로부터 개인정보를 취득하는 것 및 공개된 정보에서 개인정보를 취득하는 것 등 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.

2. 개인의 기본적인 인권을 현저하게 침해할 우려가 있는 개인정보는 수집을 금한다. 다만, 정보주체 의 동의가 있거나 다른 법률에 수집대상 개인정보가 명시되어 있는 경우에는 그러하지 아니하다.

 

9(개인정보 처리방침)

1. 개인정보 보호책임자는 교육원의 개인정보처리방침을 수립하고 교육원에서 운영하는 인터넷 홈페이지를 통해 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면에 지속적으로 게재하여야 한다.

2. 개인정보 보호책임자와 개인정보 보호담당자는 개인정보 처리방침을 수립함에 있어 다음 사항을 준수하여야 한다.

1) 개인정보 보호책임자와 개인정보보호 담당자의 성명, 소속부서, 직위, 전화번호, 그 밖의 연락처를 명시한다.

2) 개인정보처리방침을 게재하는 경우에는 개인정보처리방침이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.

3) 개인정보보호법 제30조 제1항 제1호부터 제6호까지에 관한 사항을 준수하여야 한다.

4) 그밖에 필요한 사항에 대하여 내부 관리계획에서 정한다.

 

10(개인정보파일의 보유변경 시 사전협의)

신규로 개인정보파일을 보유하거나 기존 개인정보파일을 변경하고자 하는 경우에는 다음 사항을 준수하여야 한다.

1. 개인정보 보호담당자는 신규로 개인정보를 수집할 경우 개인정보 수집에 대한 타당성(개인정보 수집목적, 수집항목, 보유기간, 이용범위 등) 검토를 실시하여야 한다.

2. 개인정보파일의 보유변경시 개인정보 보호담당자는 개인정보 보호담당자의 사전 결재를 득한 후 개인정보 보호책임자에게 관련사항을 통보하여야 한다.

3. 개인정보 보호책임자는 개인정보보호법 제32조에 따라 개인정보파일을 등록 및 공개하여야 한다.

 

 

 

3장 개인정보 이용 및 관리

 

 

11(이용 및 관리)

1. 개인정보 이용은 교육원 내부에서 활용하는 것을 의미한다.

2. 개인정보 이용 또는 조회는 업무를 수행하기 위해 필요한 최소한의 범위로 제한한다.

3. 개인정보시스템 관리는 개인정보 보호담당자를 지정하여 운영 및 관리하여야 한다.

4. 개인정보 보호담당자는 개인정보처리시스템의 보안 안전성 강화를 위한 계획수립 및 예산확보를 통해 지속적으로 기술적·관리적 보호 장치를 강화해야 한다.

5. 개인정보 보호담당자는 개인정보 유출 및 노출 방지를 위해 개인정보 노출 점검 및 해킹 취약점 점검을 정기적으로 실시하고 결과를 개인정보 보호담당자에게 보고해야 한다.

 

12(이용절차)

1. 개인정보 이용 시 개인정보 보호담당자는 개인정보 보호담당자에게 개인정보 이용 목적에 대한 사전 보고를 하여야 한다.

2. 개인정보 보호담당자는 이용목적에 부합하는 최소한의 개인정보 항목만을 활용해야 한다.

3. 개인정보 보호담당자는 개인정보 이용 목적이 완료될 경우 지체 없이 개인정보를 파기하여야 한다.

 

13(개인정보파일의 파기)

1. 개인정보 보호담당자는 개인정보파일의 보유목적 달성 등 당해 개인정보파일의 보유가 불필요하게 된 경우에는 당해 개인정보파일을 개인정보 보호책임자의 승인을 득한 후 지체 없이 파기하여야 하며, 파기 시행 후 결과를 개인정보 보호책임자에게 통보하여야 한다. 다만, 다른 법률에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

2. 1항에 따라 개인정보파일을 파기한 경우 개인정보 보호담당자는 개인정보파일을 파기한 사실을 1개월 이내에 인터넷 홈페이지에 공고하여야 한다.

3. 개인정보 보호담당자는 개인정보파일을 파기하려는 때에는 개인정보보호법 시행령 제16조 개인정보의 파기방법을 준수하여야 한다.

4. 개인정보 보호담당자는 개인정보 파기대장을 기록·관리해야한다.

5. 개인정보 보호담당자는 홈페이지 회원탈퇴 시, 회원정보를 즉시 파기하고 해당 기록을 회원관리대장에 관리해야 한다. 다만, 다른 법률에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

6. 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.

 

14(개인정보의 안전성 확보조치)

업무부서는 개인정보의 안전한 관리를 위하여 다음 각 호의 안전성 확보 조치를 하여야 한다.

1) 개인정보에 대한 접근 통제 및 접근권한의 제한 조치

2) PC 보안프로그램 실시간 감시 여부

3) 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

 

 

 

4장 개인정보 제공

 

15(제공)

1. 개인정보의 제공이란 교육원 직원 이외의 제3자에게 개인정보를 이전하거나 제3자가 개인정보를 공동으로 이용할 수 있도록 하는 모든 행위를 말한다.

2, 개인정보를 제3자에게 제공할 경우 개인정보 요청의 법률상 근거 및 이용목적, 제공되는 개인정보 항목의 적정성, 적절한 보안 대책 등을 확인 후 종합적으로 판단하여 제공하여야 한다.

3. 타 기관에서 제공받은 개인정보는 제공기관의 동의 없이 다른 기관에 제공할 수 없다.

 

16(제공절차)

1. 개인정보 보호담당자는 제3자로부터 개인정보 제공을 요청 받을 경우, 반드시 이용목적, 이용하고자 하는 처리정보의 범위 등을 명시한 공문형식으로 접수하여야 한다.

2. 개인정보 보호담당자는 제3자가 요청한 개인정보 제공에 따른 개인정보 항목의 타당성(법률상 근거 및 이용목적, 제공되는 개인정보 항목의 적정성, 적절한 보안 대책 등)을 검토하여야 한다.

3. 개인정보 보호담당자는 제3자에게 개인정보 제공시 원장의 결재(개인정보 보호책임자 협조 필요)를 득한 후 제공하여야 함을 원칙으로 한다. 다만, 제공하는 정보만으로는 개인을 식별하기 어려운 접속정보, 통계정보 등을 제공하는 경우에는 개인정보 보호담당자가 판단하여 전결처리 후 제3자에게 제공할 수 있다.

4. 3자에게 개인정보 제공에 관한 필요한 사항은 내부 관리계획에서 정한다.

 

 

 

5장 개인정보 열람 및 정정

 

17(열람 및 정정)

1. 개인정보의 열람은 교육원에서 처리하고 있는 개인정보에 대하여 정보주체가 자신의 개인정보에 대한 열람을 요구하는 것을 의미하며, 개인정보보호법 제35조에 따라 열람할 수 있도록 하거나 개인정보보호법 제34조 제4항에 따라 열람을 제한하거나 거절할 수 있다.

2. 개인정보 정정은 개인정보를 열람 후 사실과 다르게 기록된 정보의 정정, 특정항목에 해당사실이 없는 내용에 대한 삭제 등을 수용하여 개인정보를 정정하는 것을 의미한다.

 

18(본인 및 대리인의 확인 등)

1. 정보주체가 개인정보호법 제38조에 따라 자신의 개인정보에 대한 권리 보장을 요구할 때에는 요구를 한 자가 본인이거나 정당한 대리인인지를 확인하여야 한다.

2. 정보주체의 권리 보장에 관한 세부사항은 내부 관리계획에 의해 정한다.

 

19(장소 및 담당자)

1. 개인정보 보호책임자는 개인정보 열람 장소 및 열람창구담당자를 지정하여 운영하여야 한다. 열람창구담당자에 대한 별도 지정이 없는 경우 개인정보 보호담당자가 열람창구담당 업무를 수행한다.

2. 교육원에서 제공하는 서비스의 개인정보 열람 장소 지정 및 운영은 교육원 내에서 운영하여야 한다.

 

20(열람절차)

1. 교육원은 정보주체가 자신의 개인정보에 대한 열람을 요구하는 경우에는 정보주체의 권리가 보장될 수 있도록 합리적인 절차를 마련하여야 한다.

2. 정보주체가 자신의 개인정보에 대한 열람을 요구하는 경우에는 열람요구 의사를 교육원에 밝혀야 하며, 교육원은 제출된 사항을 확인하여 정당할 경우 열람절차를 진행하여야 한다.

3. 개인정보에 대한 열람의 제한·연기 및 거절을 해야 할 경우에는 개인정보호법 시행령 제42조에 따른 조치를 취하여야 한다.

 

21(정정·삭제절차)

1. 교육원은 정보주체가 개인정보보호법 제36조 제1항 및 제2항에 따라 자신의 개인정보에 대한 정정 또는 삭제를 요구하는 경우에는 정보주체의 권리가 보장될 수 있도록 합리적인 절차를 마련하여야 한다.

2. 정보주체가 자신의 개인정보에 대한 정정 또는 삭제를 요구하는 경우에는 개인정보보호법 시행령 제43조제1항에 따른 개인정보 정정·삭제요구서를 교육원에 제출하여야 하며, 교육원은 제출된 사항을 확인하여 제2항 및 제3항에 따른 필요한 조치를 하여야 한다.

3. 그밖에 정정·삭제에 필요한 사항은 내부 관리계획에서 정한다.

 

22(처리정보의 열람, 정정, 삭제 등 청구)

1. 정보주체가 교육원에서 처리하는 자신의 개인정보에 대한 열람, 정정, 삭제, 처리의 정지 등을 요구할 때에는 해당 개인정보를 보유하고 있는 개인정보 보호담당자가 지체 없이 법령에서 요구하는 필요한 조치를 취해야 한다.

2. 1항에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 내부 관리계획에서 정한다.

 

23(처리정지 등)

1. 개인정보보호법에 따라 개인정보처리를 정지하도록 요구받은 때에는 법의 단서에 해당하지 않고 다른 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보의 처리의 일부 또는 전부를 정지하여야 한다.

2. 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여는 정당한 사유가 없는 한 개인정보보호법 시행령 제44조 제2항에 따라 조취를 취해야 한다.

 

 

 

6장 개인정보 침해신고

 

24(개인정보 유출신고)

1. 교육원의 개인정보파일대장 열람 장소를 개인정보 유출신고창구로 지정하여 운영하며, 개인정보 보호담당자가 수행하도록 한다.

2. 개인정보 유출신고는 행정안전부의 표준 개인정보 보호지침29조를 준수하며 신속하게 대처하여야 한다.

 

 

 


HRD 수원 평생교육원 | 사업장 소재지 : 경기도 수원시 팔달구 갓매산로 36, 인정빌딩 4층 | 사업자 번호: 511-93-09274
전화 031-439-0909 | 팩스 070-8224-0909
Copyright © http://hrd-net.kr. All rights reserved.