“개인정보, 공문에 의해 요청·제공 및 제공사실 기록·공개해야”

[보안뉴스=정환석 대구도시공사 개인정보보호담당] 개인정보를 수집·이용함에 있어서 그 범위는 ‘수집목적내 이용·제공’ 또는 ‘수집목적외 이용·제공’이 있을 수 있다. 동의에 의한 개인정보 수집 시 수집목적 내로 이용하거나 제공하는 것은 법령에서 정하는 예외 규정을 포함하여 이용 및 제공할 수 있다.

하지만 공공기관은 법률의 특별한 규정이 있거나 법령상 의무준수를 위해 불가피한 경우, 또는 법령 등에서 정하는 소관업무 수행을 위하여 개인정보를 목적 외로 이용하거나 제3자 제공이 불가피하게 필요할 수 있다(정보주체의 동의 없이 목적 외로 이용 또는  제3자에게 제공할 수 있는 사항에 대해서는 법령으로 규정하고 있다. 법 제17조, 제18조).

따라서, ‘개인정보의 수집 목적 외 이용 및 제3자 제공절차’를 수립하고 모든 개인정보취급자들이 숙지하여 개인정보 유출 및 오남용이 발생하지 않도록 조치해야 한다.

다음은 법령에서 정한 개인정보의 제3자 제공절차에 대한 흐름도이다.

▲ 개인정보의 제3자 제공 절차 및 준수사항

1) 요청 : 개인정보는 공문에 의하여 요청(요청목적 및 법적근거 명시)

2) 제공 타당성 검토 : 요청근거의 정당성, 제공범위, 보유 및 이용기간 적정성 등

   (목적의 정당성, 수단의 적정성, 피해의 최소성, 법익의 균형성 준수)

3) 제공 : 개인정보는 공문에 의하여 제공(제공불가 시에도 공문 발송)

    -개인정보파일은 비밀번호 설정, 종이문서는 밀봉 전달(등기우편) 등

    -공문서 내 안전성확보조치 요청(이용목적, 방법, 기간, 형태, 파기 등)

4) 제공사실 기록·공개 :

    -목적 내 제공 : 개인정보 제3자 제공대장 기입·관리 (권고)

    -목적 외 제공 : 개인정보 수집 목적 외 이용 및 제3자 제공대장 기입

                      및 홈페이지 공개 (30일 이내, 10일 이상)

 

▲대구도시공사 정환석 개인정보보호 담당

※ 개인정보의 목적외 이용 및 제3자 제공 시 법 제18조 2항 각호(다른 법률에 특별한 규정이 있는 경우 등)에 해당하는 경우에만 가능하며, 이 외의 경우에는 정보주체의 사전 동의를 받은 사항에 대하여만 제공 가능하다.

※ 업무수행(수집 목적 내 제3자 제공)을 위하여 일반적으로 제3자에게 제공되는 사실에 대하여는 홈페이지(개인정보처리방침)에 공개해야 한다.

※ 첨부된 문서의 비밀번호는 공문서 내에 기재를 금지(유선통보)한다.

[글_ 정환석 대구도시공사 개인정보보호 담당(ISO27001/PIMS 심사원(보)(xpertstone@hanmail.net)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>