금마초등학교 로고이미지

개인정보 제 3자제공

RSS 페이스북 공유하기 트위터 공유하기 카카오톡 공유하기 카카오스토리 공유하기 네이버밴드 공유하기 프린트하기
2024 개인정보 처리방침
작성자 금마초 등록일 24.09.10 조회수 10

2019.10.16.개정

1장 총칙

1(목적)

개인정보보호 내부관리계획은 개인정보보호법 제29(안전조치의무) 내부관리계획의 수립 및 시행 의무에 따라 제정된 것으로 금마초등학교 취급하는 개인정보를 체계적으로 관리하여 개인정보가 분실, 도난, 누출, 변조, 훼손, .남용 등이 되지 아니하도록 함을 목적으로 한다.

2(적용범위)

본 계획은 홈페이지 등의 온라인을 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 오프라인(서면, 전화, 팩스 등)을 통해 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 교직원 및 외부업체 직원에 대해 적용된다.

2장 개인정보 보호조직 구성 및 운영

3(개인정보 보호조직 구성 및 운영)

개인정보처리자는 개인정보 보호를 위하여 조직을 구성운영한다.

개인정보 보호조직은 다음과 같이 구성ㆍ운영한다.

개인정보

보호책임자

교장

개인정보

보호담당자

교무실

행정실

유치원

개인정보취급자

개인정보취급자

개인정보취급자

4(개인정보 보호책임자 지정)

금마초등학교는 교육부 개인정보 보호지침 제21조에 따라 금마초등학교장을 개인정보보호책임자로 임명한다.

5(개인정보 보호책임자의 역할과 책임)

개인정보보호책임자는 정보주체의 개인정보 보호를 위하여 다음 각 호의 업무를 수행한다.

1. 개인정보 내부관리 및 개인정보처리방침 등 수립ㆍ변경 및 시행

2. 1회 이상 내부관리 및 개인정보처리방침의 이행 실태 및 변경할 사항 점검ㆍ관리

3. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

4. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

5. 개인정보 유출 및 오용남용 방지를 위한 내부통제시스템의 구축

6. 개인정보 보호 교육 계획의 수립 및 시행

7. 개인정보파일의 보호 및 관리 감독

8. 법 제30조에 따른 개인정보 처리방침의 수립변경 및 시행

9. 개인정보 보호 관련 자료의 관리

10. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

11. 기타 개인정보보호에 필요한 사항

개인정보보호책임자는 업무를 수행함에 있어서 필요한 경우 개인정보 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

개인정보보호책임자는 개인정보 보호와 관련하여 이법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 익산교육지원청 교육장 또는 전라북도교육청 교육감에게 개선조치를 보고하여야 한다.

6(개인정보취급자의 역할과 책임)

개인정보취급자의 범위는 다음과 같다.

1. 금마초등학교 내에서 정보주체의 개인정보를 처리하는 업무를 수행하는 자를 말하며, 정규직 이외에 계약제교원, 임시직, 파견근로자, 시간제근로자 등이 포함될 수 있다.

개인정보취급자의 의무와 책임

1. 내부관리계획의 준수 및 이행

2. 개인정보의 기술적관리적 보호조치 기준 이행

3. 업무상 알게 된 개인정보를 제3자에게 제공하지 않음

3장 개인정보의 기술적.관리적 보호조치

7(개인정보취급자 접근권한 관리 및 인증)

개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 하며, 또한 비밀유지의무 등에 대한 서약서를 받아야 한다.

1, 2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망 또는 전용선 등 안전한 접속수단을 적용하여야 한다.

8(비밀번호 관리)

개인정보취급자 또는 정보주체가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자나 개인관련 정보를 패스워드로 이용하지 않도록 하고, 비밀번호는 전라북도교육청 정보보안기본지침을 따라 문자, 숫자, 특수문자를 혼합하여 9자리 이상으로 정하여야 한다.

비밀번호에 적정한 기간의 유효기간(반기별 1회 이상)을 설정하여야 한다.

9(접근통제)

정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.

금마초등학교는 제1, 2항을 준수하기 위하여 전라북도교육청 및 전라북도교육연구정보원의 서비스를 이용할 수 있다.

10(개인정보의 암호화 조치)

주민등록번호, 비밀번호, 바이오정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다. , 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

정보주체의 개인정보를 정보통신망을 통하여 송수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

개인정보취급자는 정보주체의 개인정보를 업무용 컴퓨터(PC)에 저장 및 관리할 때에는 도교육청에서 구축한 PC개인정보보호시스템을 통해 불필요한 개인정보 파일은 삭제하고, 저장하고 있는 개인정보 파일은 암호화하여 관리하여야 한다.

11(접속기록의 보관 및 점검)

개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관하여야 한다.

개인정보취급자의 접속기록이 위변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

개인정보처리자는 개인정보의 분실도난유출위조변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접소기록 등을 반기별로 1회 이상 점검 한다.

- 비 인가된 개인정보 처리 및 대량의 개인정보 조회정정다운로드삭제 등 비정상적 행위를 탐지하여 적절한 대응 조치 등

나이스에듀파인 등 일괄 관리하는 시스템은 물적기반 관리 기관에서 접속기록을 보관 및 점검하는 내용으로 대체한다.

12(악성프로그램 등 방지)

개인정보처리시스템 또는 업무용 컴퓨터에 악성 프로그램 등을 방지치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치운영하여야 한다.

보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 적용하여야 한다.

악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 적용하여야 한다.

13(물리적 안전조치)

전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립.운영하여야 한다.

개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

물리적 접근방지를 위한 별도의 보호시설에 출입하거나 개인정보를 열람하는 경우, 그 출입자에 대한 출입사실 및 열람 내용에 관한 관리대장을 작성하도록 하여야 한다.

14(개인정보 파기)

보유기간 경과, 처리목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기하여야 한다.

- ,공공기록물 관리에 관한 법률등 다른 법령에서 보존해야 하는 경우에는 예외

- 다른 법령에 의해 파기하지 않고 보존하는 개인정보는 다른 개인정보와 분리하여 저장.관리

개인정보 파기 시 아래의 절차에 따라 파기한다.

- 공개하지 않는 개인정보파일(종이문서 포함)은 개인정보 파기절차와 동일하게 한다.

개인정보를 파기할 때에는 복구 또는 재생이 불가능한 방법으로 파기하여야 한다.

- 전자적 파일 형태의 경우 : 복원이 불가능한 방법으로 영구 삭제

- 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각

- 개인정보의 일부만을 파기하는 경우, 위 두 가지 방법으로 파기하는 것이 어려운 경우: 전자적파일 형태인 경우에는 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독하고, 그 외 기록물, 인쇄물, 서면인 경우에는 해당 부분을 마스킹, 천공 등으로 삭제

15(개인정보의 목적 외 이용 및 제3자 제공)

개인정보의 제공이 필요한 경우 목적의 정당성, 수단의 적정성, 피해의 최소성, 법익의 균형성에 대하여 종합적으로 검토한 후 필요한 최소한의 범위 내에서 제공하여야 한다.

개인정보의 제공이 필요한 경우 아래의 기준에 따라 확인하고 제공하여야 한다.

요청 기관의 개별법에 자료요청의 근거조항이 구체적으로 명시된 경우 제공 가능

요청 기관의 개별법에 자료요청 근거법이 없는 경우, 정보주체의 동의가 있었는지 여부 등 예외적 제공가능 사항에 대항되는지 확인한 후 제공 여부 결정

목적 외 이용.3자 제공 시 절차

절차

주요내용

법적근거 검토

목적 외 이용·3자 제공이 가능한 경우에 해당하는지 법적근거 검토

2. 동의절차 이행

법적 근거가 없는 경우 정보주체로부터의 별도의 동의를 받아야 함

제공받는자, 제공받는자의 개인정보 이용목적, 제공하는 개인정보 항목, 제공받는자의 개인정보 보유 및 이용기간, 동의를 거부할 권리 안내 및 거부 시 불이익 내용 명시

3. 제공 승인 획득

개인정보보호 책임자로부터 목적 외 이용·제공 승인 절차 진행

4. 대장 기록·관리

목적 외 이용 및 제3자 제공 대장을 기록·관리하여야 함

5. 보호조치 요구

3자 제공시에는 이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 문서로 요청

6. 조치결과 제출

안전성 확보조치 요청을 받은 자(제공받는자)는 그에 따른 조치를 취한 후, 그 결과를 개인정보를 제공한 개인정보처리자에게 문서로 알려야 함

7. 주요 내용 공개

30일 이내에 시작하여 10일 이상 게시(홈페이지-개인정보처리방침)

제공받는 자

개인정보파일명

제공근거

제공항목

제공목적

보유기간

정보주체의 동의를 받았거나, 범죄의 수사와 공소의 제기 및 유지를 위하여 제공한 경우는 공개하지 않음

개인정보 자료 제공은 문서로 시행되어야 하며, 문서에 제공 목적 이외의 이용금지, 사용 목적 달성 후 폐기, 사후관리 실태 확인 등의 안전성 확보 조치 문구를 표기하여 시행하여야 한다.

16(업무위탁에 따른 수탁자 관리감독사항)

개인정보처리에 관한 업무를 제3자에게 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁 업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적.관리적 보호조치에 관한 사항

3. 위탁업무의 목적 및 범위

4. 재위탁 제한에 관한 사항

5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

개인정보의 처리 업무를 위탁하는 경우 수탁자를 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재한다.

위탁업무내용

위탁기간

수탁기관(연락처)

관리감독결과

위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실.도난.유출.변조 또는 훼손되지 아니하도록 수탁자를 교육 한다.

위탁자는 수탁자가 개인정보처리자로서 준수해야할 사항과 문서(계약서)에 포함된 필수사항의 준수 여부를 관리.감독한다.

17(재해ㆍ재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항)

재해ㆍ재난에 대비하여 개인정보처리시스템을 물리적으로 안전하게 조치하여야 한다.

1. 화재, 홍수, 단전 등의 재해ㆍ재난 발생 시 개인정보처리시스템 보호를 위한 위기 대응 매뉴얼 등 대응절차를 마련하고 점검하여야 한다.

2. 재해ㆍ재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.

4장 영상정보처리기기의 설치 및 운영관리

18(영상정보처리기기 관리책임자 지정)

금마초등학교는() 교육부 개인정보 보호지침에 따라 금마초등학교장을 개인영상정보 보호책임자로 임명한다.

1항의 관리책임자는 법 제31조 제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행하여야 한다.

1. 개인영상정보 보호 계획의 수립 및 시행

2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제

4. 개인영상정보 유출 및 오용.남용 방지를 위한 내부통제시스템의 구축

5. 개인영상정보 보호 교육 계획 수립 및 시행

6. 개인영상정보 파일의 보호 및 파기에 대한 관리.감독

7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무

법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 개인영상정보 보호책임자의 업무를 수행할 수 있다.

19(영상정보처리기기 운영·관리 방침)

개인영상정보 보호책임자는 영상정보처리기기 운영·관리방침을 수립하여 홈페이지 등에 공개하여야 하며, 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

영상정보처리기기 운영 관리 방침은 법 제30조에 따라 개인정보 처리방침에 포함하여 정할 수 있다.

개인영상정보 보유목적의 달성을 위한 최소한의 기간을 설정하기 곤란한 때에는 보관기간을 개인영상정보 수집 후 30일 이내로 한다.

20(사전의견 수렴)

영상정보처리기기의 설치 목적 변경에 따른 추가 설치 등의 경우에도 시행령 제23조제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.

의견 수렴은 학교운영위원회 등을 통해 할 수 있다.

21(안내판 설치)

개인영상정보 보호책임자는 정보주체가 알아보기 쉬운 장소에 판독가능하게 안내판을 설치해야 한다.

- 건물 안에 여러 개를 설치하는 경우 출입구 등 잘 보이는 곳에 해당시설 전체가 설치지역임을 알리는 안내판 설치 가능

- 안내판 의무기재 내용

설치 목적 및 장소, 촬영범위 및 시간, 관리책임자 성명(직책) 및 연락처

22(개인영상정보 보호 조치)

영상정보처리기기 운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 않도록 다음 각 호의 조치를 취하여야 한다.

1. 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지, 녹음기능 사용 금지

2. 개인영상정보 접근통제 및 접근권한의 제한 조치

3. 개인영상정보를 안전하게 저장.전송할 수 있는 기술 적용(네트워크 카메라의 경우 암호화 전송, 개인정보영상파일의 비밀번호 설정 등)

4. 처리 기록의 보관 및 위.변조 방지를 위한 조치

- 개인영상정보의 이용.열람.제공.파기 시 개인영상정보 관리대장 작성 등

5. 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

23(영상정보처리기기 설치·운영 점검)

개인영상정보 보호책임자는 본 계획의 준수 여부에 대하여 자체점검을 실시하여 하여야 한다.

자체 점검사항

- 영상정보처리기기의 운영.관리 방침 내용

- 관리책임자의 업무 수행, 위탁 및 수탁자에 대한 관리.감독 현황

- 영상정보처리기기의 설치.운영 및 기술적.관리적.물리적 조치

- 개인영상정보 수집 및 이용.제공.파기, 정보주체 권리행사 조치

- 영상정보처리기기 설치.운영의 필요성 지속 여부 등

개인영상정보 보호책임자는 영상정보처리기기 운영 현황을 매년 개인정보보호종합지원포털(intra.privacy.go.kr)에 등록·관리하여야 한다.

5장 개인정보보호 교육

24(개인정보보호 교육의 실시)

개인정보보호책임자는 정보주체정보보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오.남용 또는 유출 등을 적극 예방하기 위해 교직원을 대상으로 매년 정기적으로 연1회 이상의 개인정보보호 교육을 실시한다.

- 개인정보보호 책임자/담당자는 전라북도교육청에서 안내하는 각종 집합/원격 교육 및 세미나를 년 1회 이상 참석(수강)한다.

- 개인정보취급자 교육은 개인정보보호담당자가 년 1회 이상 실시한다.

교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시한다.

개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 회의 등을 통해 수시 교육을 실시할 수 있다.

6장 개인정보 유출사고 대응 계획 수립 및 시행

25(개인정보 유출 등의 신고)

개인정보 취급자는 1건이라도 개인정보가 유출된 경우에는 즉시 개인정보 보호책임자에게 보고하고, 개인정보 보호책임자는 유출내용 및 조치결과를 5일 이내에 전라북도교육청 개인정보 보호책임자에게 신고한다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

개인정보 보호책임자는 1만 명 이상의 개인정보가 유출된 경우에는 법 제34(개인정보 유출 통지 등)3항에 따라 행정안정부장관 또는 시행령 제39(개인정보 유출 신고의 범위 및 기관) 2항에 따른 한국인터넷진흥원에 신고한다.

그 외 개인정보 유출통지 방법과 신고관련 세부적인 내용은 전라북도교육청 개인정보 유출사고 대응 매뉴얼에 따른다.

7장 개인정보 침해대응 및 피해구제

26(권익침해 구제방법)

개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센터 등으로 침해사실을 신고 할 수 있습니다.

- 개인정보침해신고센터 : (국번없이)118(내선2)

또한, 개인정보의 열람, 정정·삭제, 처리정지 등에 대한 정보주체자의 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익을 침해 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

- 중앙행정심판위원회(www.simpan.go.kr)의 전화번호 안내 참조


이전글 개인정보 제 3자제공