개인정보 보호법 개정 시행 - 손해배상보험 가입

반응형

개인정보 보호법 제39조의7, 시행일: 2024. 3. 15.

「개인정보 보호법」 내년 3월 15일부터 개정 시행되는 내용 중에, 손해배상 책임 이행을 위한 보험 또는 공제 가입조치가 의무화 됩니다.

기존에 정보통신서비스 제공자 등에 해당하던 것이 개인정보취급자로 확대적용되는 것입니다.

 

다만, 위 그림에서 보듯이 대통령령으로 정하는 비영리법인은 제외됩니다.
아직 시행령이 나오지 않아 구체적 적용범위가 어디까지인지는 더 확인해봐야하지만, 적용대상 여부와 관련없이 유출사고에 대한 대응방안으로 보험의 가입은 검토해볼만하지 않나 싶기도 합니다.

 

현행법 기준으로 보면, 개인정보 10만 명 미만을 다루면서, 매출이 50억 미만이라면, 5천만 원 이상에 해당하는 보험을 가입해야합니다. 그리고 대다수의 사회복지시설은 여기에 해당하지 않을까 합니다.

 

구체적인 시행령이 나오면 그때 다시한번 다뤄보겠습니다.

반응형

사회복지관 개인정보 안전성 확보조치 매뉴얼

반응형

사회복지관에 적용가능한 개인정보 안전성 확보조치 매뉴얼을 만들어보았다.

 

이 매뉴얼은 개인정보 보호법에 기반하고 있으며, 사회복지실천현장 특히 사회복지관에 맞추어 작성해보았다.

한편 이 매뉴얼의 위계는 아래와 같다.

개인정보 보호법
└  개인정보의 안전성 확보조치 기준
      └  개인정보 보호지침 (시설 운영규정에 포함)
                개인정보 안전성 확보조치(이 매뉴얼)
                    ├  내부 관리계획
                    │    ① 개인정보처리방침
                    │   ② 영상정보처리기기 운영방침

                    ├  개인정보처리 시스템 관리 
                    └  개인정보 유출 사고 대응

 

여기서 "내부 관리계획(제1장)" 개인정보처리자 유형1(1만명 미만)에 해당하는 경우 수립하지 않아도 된다.

하지만 내부관리계획과는 별개로 개인정보 처리방침, 필요시 영상정보처리기기 운영방침은 제정·공개하여야 한다.

 

그리고 개인정보처리시스템(제2장)에 대해서는 NAS를 사용하는 경우를 기준으로 작성하였다.

별도의 개인정보처리시스템을 사용하는 경우라면 그에 따라 수정하면 될 것이다.

 

마지막으로 개인정보 유출사고 발생시 대응절차(제3장)로 구성하였다.

이 문서는 사고가 발생하지 않는다면 적용할 일이 없는 문서이긴 하다.

개인정보 안전성 확보조치 매뉴얼

 

다음은 이 매뉴얼의 구성내용이다.

 

1장 내부 관리계획

7.1 개인정보처리자 유형

7.2 내부 관리계획(관련: 기준 제4, 유형 1 적용 제외)

      [별첨 1] 개인정보 내부 관리계획

  7.2.1 개인정보 보호책임자 등의 지정

  7.2.2 개인정보 보호책임자의 역할 및 책임

  7.2.3 개인정보 취급자의 역할 및 책임

           <DF-P-1> 개인정보 취급자 개인정보보호 서약서

           <DF-P-2> 비밀유지 및 보호 서약서(퇴직자용)

7.3 개인정보 보호교육

7.4 접근 통제 및 접근권한의 제한(관련: 기준 제5, 6)

  7.4.1 문서고

  7.4.2 개인정보처리시스템

  7.4.3 내부 네트워크 관리

7.5. 개인정보의 암호화

  7.5.1 기관의 홈페이지는 SSL을 적용한다. (https://)

  7.5.2 한글 문서의 암호화

  7.5.3 엑셀 문서의 암호화

  7.5.4 그 밖에 암호화를 지원하지 않는 경우

  7.5.5 비밀번호 작성 및 운용 규칙

7.6. 개인정보의 파기

  7.6.1 개인정보 파기 절차

  7.6.2 홈페이지 정보의 파기

7.7 개인정보 처리방침 등의 제정 및 공개

      [별첨 1] 개인정보 내부 관리계획

      [별첨 2] 개인정보 처리방침(□△종합사회복지관·□△장기요양기관)

      [별첨 3] 영상정보처리기기 운영관리 방침(□△종합사회복지관)

 

2장 개인정보처리시스템 관리

7.1 개인정보처리시스템

7.2 접근 통제 및 접근 권한의 제한

  7.2.1 접근 통제

  7.2.2 접근 권한의 제한

7.3 접속기록의 보관 및 위·변조 방지 조치

7.4 관리용 단말기의 안전조치

  7.4.1 Windows 로그인 비밀번호 설정

  7.4.2 화면보호기 설정

  7.4.3 Windows 방화벽 설정

  7.4.4 Windows 바이러스 및 위협 방지

  7.4.5 이동식 저장장치의 사용

  7.4.6 기타 주의사항

7.5 개인정보 파일 등의 백업 및 파기

  7.5.1 개인정보처리시스템 및 관리용 단말기의 개인정보 파기

  7.5.2 홈페이지 등의 개인정보 파기

 

3장 개인정보 유출사고 대응

7.1 긴급조치

  7.1.1 유출 대응체계() 구축

  7.1.2 피해 최소화 및 긴급조치

7.2 유출 통지조회 및 신고 절차

  7.2.1 유출 통지

  7.2.2 유출 신고

  7.2.3 유출시 조치

  7.2.4 경찰 수사 및 침해사고 신고

7.3 피해자 구제조치

7.4 재발방지 대책 마련

 

복지관 개인정보 안전성 확보조치 매뉴얼 Rev.0 2023.hwp
3.88MB

첨부된 파일은 개인적으로 확인하기 위해 첨부(비밀번호)한 것으로 여기서 배포하지는 않는다.

 

이 외에 복지관 운영규정(개인정보보호 규정), 내부 관리계획, 개인정보 처리방침, 영상정보처리기기 운영관리방침 등이 연결되어 작성 관리될 필요가 있다.

 

https://www.dscwc.or.kr 

 

사회복지법인 불국토 동삼종합사회복지관

#동삼종합사회복지관 #영도구 #동삼동 #동삼복지관 #불국토 #아동 #노인 #성인 #후원

www.dscwc.or.kr

 

 

 

 

반응형

개인정보 보호를 위한 컴퓨터(Windows) 설정하기

반응형

개인정보 보호법이 실행되면서, 업무용 PC들에 대한 보안설정 또한 중요해졌습니다.

 

1. 방화벽 설정하기

2. 바이러스 및 위협 방지 설정하기

3. Windows 업데이트 설정하기

 

세 가지 방법에 대해 간단히 이미지로 그 수행방법을 정리해보았습니다.

아래 PDF 파일을 확인하세요~

 

2023-0705 개인정보 보호를 위한 Windows 설정하기.pdf
1.58MB

 

반응형

후원자용 개인정보 이용 및 제공 동의서 서식

반응형

복지관을 이용하시는 분들은 일반 이용자들과 더불어 자원봉사자, 후원자 등이 있다. 

이때 후원자의 정보는 그 수집 목적이 일반 이용자들과는 다소 다를 수밖에 없다.

일반 이용자에 대한 개인정보 동의도 사업별로 다소 다를 수 있을텐데, 일단 그것은 차치하고 후원자에 대한 개인정보 동의서를 검토해보았다.

대표적인 모금기관인 사회복지공동모금회를 비롯해 몇몇 기관의 서식을 검토하고, 자체적으로 필수항목인지 선택항목인지 등을 검토해 일단의 최종안을 만들어보았다.

 

여기서 검토했던 대표적인 것 중의 하나가, 주민등록번호를 필수정보로 할 것인가, 선택정보로 할 것인가였다.

결론적으로는 후원자가 기부금영수증 발급을 원치 않는 경우도 있을 수 있어 선택정보로 결정하였다.

항목별로 수집목적과 사용항목들을 세분화하는데 중점을 두어 검토하였다.

 

후원자용 개인정보 이용 및 제공 동의서

 

2021-0702 개인정보 이용 및 제공 동의서(후원자용).hwp
0.06MB

반응형

개인정보 보호 교육

반응형

1. 근거: 「개인정보 보호법」 제28조 제2항

법 제28조(개인정보취급자에 대한 감독)
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

2. 용어의 정의
① 개인정보 보호책임자: 개인정보의 처리에 관한 업무를 총괄해서 책임을 지는 자2(법 제31조제1항)로 공공기관 이외의 시설은 사업주 또는 대표자, 임원(임원이 없는 경우 개인정보 처리 부서의 장)이 될 수 있다(시행령 제32조제2항제2호)
② 개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등(법 제2조제5호)
③ 개인정보취급자: 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(법 제28조제1항)

※ 필요조치사항: 내부기안으로 시설장을 개인정보 보호책임자로, 중간관리자를 개인정보처리자로, 직원을 개인정보취급자를 지정한 후, 개인정보 취급에 대한 서명 동의를 받아두는 것이 좋을 것이다.

3. 교육대상: 개인정보 취급자

4. 교육의 주체
1) 교육 계획 수립 책임: 개인정보처리자(법 제28조제2항)

2) 강사의 요건: 구체적으로 정해진 바 없음
  ※ 강사명단: https://www.privacy.go.kr/edu/tea/EduTeacherList.do

5. 교육방법
1) 교육시간 및 빈도: 연 1회(필수시간에 대한 규정 없음, 1시간 이상)

2) 교육방법: 사내(자체)교육, 온라인교육, 위탁교육, 외부강사 초빙 교육 등
  ※ 온라인교육: 개인정보보호 포털 활용
     https://www.privacy.go.kr/edu/grp/selectEduGrpInfo.do

3) 교육내용: 교육 필수항목에 대한 내용 없음


※ 개인정보 보호 관련 기타 조치사항
  ① 개인정보 안전조치 의무: 법 제29조 → 5천만원 이하의 과태료
  ② 개인정보 처리방침 수립 및 공개: 법 제30조 → 1천만원 이하의 과태료

→ 그 외 법 제75조 및 시행령 별표2에 의거 과태료가 부과될 수 있으니 검토에 유의하여야 한다.


※ 개인정보 처리방침의 수립 및 공개: 법 제30조
  ① 개인정보 처리방침 수립 및 공개: 법 제30조 및 시행령 제31조
     → 1천만원 이하의 과태료
  ② 영상정보처리기기(CCTV) 운영·관리 방침 마련 및 공개: 시행령 제25조
     → 설치는 법 제25조 검토

반응형