World of LAW

한국 개인정보처리방침 체크리스트

BNL Law 2025. 2. 7. 11:56

개인정보처리자는 개인정보처리방침을 정하여 인터넷 홈페이지에 게재하여야 합니다. 

 

이에 한국에서 개인정보를 처리하는 회사가 체크해야 할 개인정보처리방침 체크리스트를 만들어 보았습니다. 

 

필요하신 분들께 도움이 되시기를 바랍니다. 

 

모델 개인정보처리방침이 필요하신 분들은 아래 연락처로 연락주시기 바랍니다. 

한국 개인정보처리방침 체크리스트

장건 변호사(한국/미국)

 

BNL Law

글로벌 통합 법률서비스, 투자, M&A, 법인설립 및 운영, 인사노무, 계약, 기업분쟁 및 소송, 지식재산권, 법무교육

www.bnl.legal

 연락처: official@bnl.legal

 

개인정보처리방침 필수 포함 사항 (필수) 

법령이 정하고 있는 개인정보처리방침에 필수적으로 포함되어야 하는 사항은 다음과 같습니다. 

 

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항

3의2. 개인정보의 파기절차 및 파기방법

3의3. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법

4. 개인정보처리의 위탁에 관한 사항

4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항

5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항

6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

  (대통령령)

 1. 처리하는 개인정보의 항목

 2.  제28조의8제1항 각 호에 따라 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 같은 조 제2항 각 호의 사항

 3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항

 4. 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명

 

제목 (필수)

개인정보처리자 명을 담아 "OOOO 개인정보 처리방침" 등으로 설정합니다. 

 

개인정보의 처리 목적 (필수)

개인정보를 처리하는 목적을 사실에 부합하도록 구체적으로 기재합니다. 

 

정보주체의 동의를 받아 개인정보를 수집/이용하는 경우 동의를 받을 때 정보주체에게 고지하는 사항과 일치하여야 합니다. 

 

처리하는 개인정보의 항목 (필수)

이 경우 처리하는 개인정보 항목은 개인정보 처리 목적에 필요한 최소한의 개인정보여야 하며, 실제 처리 현황과 일치하여야 합니다.

 

개인정보보호위원회는 이때 개인정보처리의 법적 근거도 명시할 것을 권합니다. 

 

예를 들어, "개인정보보호법 제15조 제1항 제1호 (정보주체의 동의)", "개인정보보호법 제15조 제1항 제4호 (계약의 이행)", "개인정보보호법 제15조 제1항 제2호(법률에 특별한 규정) + 해당 법규정" 등 법령상의 근거를 명시하는 것을 권합니다. 

 

14세 미만 아동의 개인정보 처리에 관한 사항 (해당시 권장)

개인정보처리자가 14세 미만 아동의 개인정보를 처리하기 위해서는 법정대리인의 개인정보(이름, 연락처 등)를 기재하여야 하는데, 

 

개인정보보호위원회는 아동의 개인정보를 동의를 받아 처리하고자 하는 경우 법정대리인의 동의를 얻어 개인정보를 수집한다는 내용 및 법정대리인 동의 확인방법 등을 별도로 구분하여 기재하는 것을 권장합니다. 

 

개인정보의 처리 및 보유 기간 (필수)

정보주체로부터 동의 받은 ‘보유・이용 기간’, 또는 법령에 따른 ‘보유・이용기간’에 따라 개인정보를 보유할 수 있다는 내용을 기재합니다. 

 

수집한 각 개인정보에 대해 각각의 보유기간을 기재하여야 하며, 정보주체의 동의를 받은 경우 그 동의를 받을 때의 기간과 일치하여야 합니다. 

 

개인정보의 파기 절차 및 방법에 관한 사항 (필수)

처리하고 있는 개인정보가 불필요하게 되었을 경우 지체없이 파기한다는 내용과 그 절차 및 방법을 기재합니다. 

 

다른 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 해당 법령 및 조문과 보존하는 개인정보 항목을 구체적으로 기재하여야 합니다. 

 

개인정보의 제3자 제공에 관한 사항 (해당시 필수)

개인정보처리자가 개인정보를 제3자에게 제공하는 경우에는 법 제17조와 제18조에 따른 사항을 기재합니다.

 

만일 제3자 제공이 없을 경우에는 본 항목은 기재하지 않을 수 있습니다. 

 

개인정보를 제3자에게 제공할 경우 제17조 제18조 조항 중 어떤 근거로 제3자에게 제공하는지에 대해 기재하여야 합니다. 

 

그리고 이때 개인정보를 제공받는 제3자, 제3자의 이용목적, 제공하는 개인정보 항목, 그리고 제공받는 자의 보유/이용기간을 각각 기재합니다. 

 

추가적인 이용·제공이 지속적으로 발생하는 경우 (해당시 필수)

법 제15조 제3항 및 법 제17조 제4항은 개인정보처리자가 당초 수집 목적과 합리적으로 관련된 범위에서  정보주체의 동의 없이 개인정보를 추가적으로 이용 또는 제공할 수 있도록 규정하고 있습니다.

 

만일 이러한 추가적인 이용 또는 제공이 지속적으로 발생하는 경우에는, 관련 내용(제공받는자, 개인정보 항목, 이용・제공 목적, 제공받는 자의 보유 및 이용기간 등)을 시행령 제14조의2 제1항 각 호에 따른 추가적인 이용 및 제공하기 위한 고려사항에 따른 판단기준과 함께 구체적으로 기재하여야 합니다. 

 

개인정보 처리업무의 위탁에 관한 사항 (해당시 필수)

"개인정보 처리업무의 위탁"이란 개인정보처리자의 목적을 위하여 개인정보를 외부의 제3자에게 맡겨 업무를 처리하는 것을 말합니다.

 

개인정보처리자가 개인정보 처리업무를 위탁하고 있는 경우 그에 관한 사항을 기재합니다.

 

만일 개인정보 처리의 위탁이 없을 경우에는 본 항목은 기재하지 않는 것도 가능합니다. 

 

개인정보 처리업무 위탁이 이루어지고 있는 경우에는 수탁자와 위탁업무의 내용을 각각 기재합니다. 

 

개인정보의 국외 수집 및 이전에 관한 사항 (해당시 필수)

개인정보의 국외 수집・이전(제공, 처리위탁, 보관)은 정보주체의 개인정보가 국내와 개인정보 보호 체계가 다른 제3의 국가로 옮겨지는 것을 의미합니다. 

 

이 경우, 정보주체가 개인정보의 국외 수집 및 이전에 관하여 명확히 인지할 수 있도록 개인정보의 제3자 제공, 처리업무의 위탁 등 항목과 별도로 구분하여 기재하여야 합니다. 

 

예를 들어 클라우드 서비스 이용으로 인하여 복수의 국가로 개인정보가 이전되는 경우 해당 국가를 모두 기재하여야 합니다. 

 

이때 다음 사항들을 기재합니다.

  • 국외이전의 법적 근거
  • 이전되는 개인정보 항목
  • 이전되는 국가와 시기 및 방법
  • 이전받는 자의 성명(법인의 경우 그 명칭과 연락처)
  • 개인정보를 이전받는 자의 개인정보 이용목적 및 보유이용기간
  • 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과 

 

개인정보의 안전성 확보조치에 관한 사항 (필수)

개인정보처리자가 개인정보보호법 제29조 및 시행령에 따라 시행중인 안전성 확보조치에 관한 사항을 기재하여야 합니다.

 

민감정보의 공개 가능성 및 비공개를 선택하는 방법 (해당시 필수)

재화 또는 서비스를 제공하는 과정에서 공개되는 정보 중 민감정보가 포함되어 있는 경우 ‘민감정보가 공개될 수 있다는 사실’과 ‘비공개를 선택하는 방법’을 기재합니다. 

 

여기서 민감정보란 다음 정보를 의미합니다.

 

  • 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보
  • 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보 (1. 유전자검사 등의 결과로 얻어진 유전정보, 2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보, 3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 4. 인종이나 민족에 관한 정보)

 

가명정보 처리에 관한 사항 (해당시 필수)

개인정보처리자가 가명정보를 처리하는 경우에는 다음의 사항을 구체적으로 기재하여야 합니다. 

  • 가명정보의 처리 목적
  • 가명정보 처리 기간
  • 가명정보의 제3자 제공에 관한 사항 (해당되는 경우에만 작성)
  • 가명정보 처리의 위탁에 관한 사항 (해당되는 경우에만 작성)
  • 가명처리하는 개인정보의 항목
  • 법 제28조의4(가명정보에 대한 안전조치 의무 등)에 따른 가명정보의 안전성 확보조치에 관한 사항

 

개인정보 자동수집 장치의 설치 운영 및 거부에 관한 사항  (해당시 필수)

개인정보처리자가 자신이 운영하는 웹・앱에 쿠키 또는 이와 유사한 기술과 같이 개인정보를 자동으로 수집하는 장치를 설치・운영할 경우, 그에 관한 사항을 기재하여야 합니다. 

 

즉, 쿠키 등의 정보에 대한 기본적인 설명(쿠키 또는 이와 유사한 기술의 개념, 활용 목적, 개인정보 수집 방법, 거부방법 등)과 함께 이를 통해 처리하는 개인정보에 관한 사항을 기재하여야 합니다. 

 

한편, 개인정보처리자가 행태정보를 수집하고 "정보주체를 식별하여" 행태정보를 처리하는 경우, 이는 개인정보에 해당하므로 개인정보보호법 및 관련 법령이 요구하는 절차를 준수하여야 합니다. 

 

(개인정보처리자가 정보주체를 식별하지 않고 행태정보를 처리하는 경우에도, 개인정보보호위원회는 해당 처리 사실을 기재하고, 그 수집・이용・제공 및 거부 등에 대하여 작성하는 것을 권장합니다.)

 

개인정보 자동 수집 장치를 통해 제3자가 행태정보를 수집 하도록 허용하는 경우 그 수집 이용 및 거부에 관한 사항 (해당시 권장)

제3자가 운영하는 웹・앱에서 개인정보 자동 수집 장치를 설치・운영하고, 그 결과 해당 개인정보 자동 수집 장치로부터 개인정보처리자가 행태정보를 수집하는 경우에는 해당 처리 사실을 기재할 것을 권고합니다.

 

① 수집도구 명칭, ② 수집해가는 사업자, ③ 수집도구 종류, ④ 수집해가는 행태정보 항목, ⑤ 수집해가는 목적, ⑥ 거부방법 등을 기재합니다.

 

'⑥ 거부방법’의 경우, 웹 브라우저 또는 모바일 단말기에서의 차단방법을 안내하되, 모바일 브라우저를 활용하지 않는 앱의 경우, 자체 앱 또는 모바일 단말기에서의 차단방법을 안내하여야 합니다. 

 

정보주체와 법정대리인의 권리・의무 및 행사방법에 관한 사항 (필수)

해당 개인정보처리자에 대해 정보주체와 법정대리인이 개인정보 보호와 관련하여 지니는 권리・의무를 기재하여야 합니다. 

 

즉, 개인정보 열람, 정정, 삭제, 처리정지, 동의철회, 자동화된 결정 거부, 설명 요구 등(이하 ‘열람등’) 행사방법, 행사절차 등을 구체적으로 기재하여야 합니다. 

 

이때 정보주체가 해당 개인정보처리자에 대해 개인정보 열람등 청구를 신청할 수 있는 부서명 및 연락처를 기재할 것을 권장합니다. 

 

개인정보 보호책임자의 성명 또는 개인정보 업무 담당부서 및 고충사항을 처리하는 부서에 관한 사항 (필수)

개인정보처리자가 법 제31조에 따라 지정한 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처(전화번호, 전자우편 주소 등)를 기재합니다. 

 

국외사업자의 국내 대리인 지정에 관한 사항 (해당시 필수)

국외사업자로서 법 제31조의2에 따라 국내대리인을 지정하여야 하는 경우 국내대리인의 성명(법인인 경우 법인명, 대표자의 성명), 주소(법인인 경우 영업소 소재지), 전화번호 및 전자우편 주소를 기재하여야 합니다. 

 

국내대리인을 지정하여야 하는 경우는 다음의 자입니다.

① 전년도(법인인 경우 전 사업연도) 매출액이 1조원 이상 

② 전년도말 기준 직전 3개월간의 그 개인정보가 저장・관리되고 있는 국내 정보주체의 수 일일평균 100만명 이상인 자

③ 법 제63조제1항에 따라 관계 물품・서류 등 자료의 제출을 요구받은 자로서 국내대리인을 지정할 필요가 있다고 보호위원회가 심의・의결한 자

 

정보주체의 권익침해에 대한 구제방법 (권장)

정보주체가 개인정보침해에 대한 구제를 받을 수 있도록 하기 위하여 법에 따른 전문기관(개인정보침해신고센터, 개인정보 분쟁조정위원회), 수사기관 등을 안내할 것을 권장합니다.

 

고정형 영상 정보처리기기 운영·관리에 관한 사항 (해당시 권장)

고정형영상정보처리기기운영자는 '고정형 영상정보처리기기 운영·관리 방침'을 마련하여야 하는데, 이를 개인정보처리방침에 포함하여 공개할 수 있습니다. 

 

이동형 영상정보처리기기 운영·관리에 관한 사항 (해당시 권장)

마찬가지로 이동형영상정보처리기기운영자는 '이동형 영상정보처리기기 운영·관리 방침'을 마련하여야 하는데, 이를 개인정보처리방침에 포함하여 공개할 수 있습니다. 

 

개인정보처리자가 개인정보처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항 (권장)

개인정보처리자는 법령에서 규정하고 있는 안전성 확보조치 관련 의무사항 외에 개인정보처리자가 자율적으로 이행하고 있는 개인정보보호 조치 사항에 대해 기재할 수 있습니다. 

 

예시는 다음과 같습니다. 

 

✓ ISMS-P 인증 등 개인정보보호를 위한 국내외 인증 획득 현황 ✓ 개인정보 영향평가 수행 현황 ✓ 개인정보보호 관련 블로그・유튜브 등 소셜미디어 매체를 통한 개인정보처리자의 개인정보보호 활동 및 정책 게시 ✓ 개인정보처리자의 개인정보보호 관련 주기적인 투명성 보고서 발간 ✓ 공동규제 및 자율규약 참여 현황 ✓ 자율규제 단체 활동 현황 ✓ CPO 협의회 활동 현황 ✓ 개인정보보호를 위한 투자 현황 ✓ 휴면고객 정책 운영 ✓ 모바일앱의 접근권한 관리 및 동의 철회 방법 등 ✓ 아동・청소년의 개인정보 보호 정책 및 활동 ✓ 개인정보처리자의 개인정보 처리와 관련한 타 법령 링크, 용어 설명 등

 

개인정보처리방침의 변경에 관한 사항 (필수)

개인정보 처리방침을 변경하는 경우 변경 및 시행 시기, 변경된 내용을 지속적으로 공개하여야 합니다.

 

이전의 개인정보 처리방침이 있는 경우에는 그간의 변경 이력을 기재하여야 합니다. 

 

한국에서 개인정보를 처리하는 회사가 체크해야 할 개인정보처리방침 체크리스트를 만들어 보았습니다.

 

조금이라도 도움이 되셨기를 바랍니다.

 

장건 변호사 올림
 
연락처: official@bnl.legal

 

관련글: https://kunchang.tistory.com/59

 

미국 Privacy Policy 체크리스트 (캘리포니아주)

Privacy에 관한 법제는 주로 유럽에서 발달해왔고, 미국은 State 별로 그 법제를 따라가고 있는 모양새입니다.  미국의 여러 State들 중에서도 가장 앞장서서 Privacy 보호 법제를 도입하고 있는 주는

kunchang.tistory.com

관련글: https://kunchang.tistory.com/6

 

Privacy Policy 작성시 꼭 알아야 할 점

글로벌 서비스를 제공하는 기업들이 서비스 시작부터 반드시 마련해야 하는 것이 Privacy Policy(개인정보처리방침)이죠.  오늘은 Privacy Policy의 내용에 대해 말씀드리려 합니다.장건 변호사(한국/

kunchang.tistory.com