개인정보 보호 수준 진단 매뉴얼

분야

개인정보의 처리(수집·이용·제공·파기)

항목

1. 정보주체의 동의를 받아 최소한의 개인정보를 수집·이용하고 있으며, 필수 고지 항목(4개) 명시 여부

관련법

？ 제15조(개인정보의 수집·이용)

？ 제16조(개인정보의 수집 제한)

증빙자료

？ 개인정보 수집·이용 동의서

참고

？ 각급학교 개인정보 수집업무 길잡이

？ 개인정보 수집·이용 일괄 동의서(양식)

설명

？ 정보주체의 동의를 통해 개인정보를 수집하는 경우 필수 고지항목 4가지를 명확히 고지하고 수집하는지 확인

< 정보주체의 동의 없이 개인정보 수집？이용이 가능한 경우 >

< 필수 고지항목 >

？ 최소한의 개인정보에 대한 입증 책임은 해당 정보를 수집하는 개인정보처리자에게 있으므로 필요한 최소한의 정보만을 수집해야함

위반사례

？ 업무별로 수집 항목을 구분하지 않고 하나의 업무에 수집되는 개인정보 항목을 모두 모아 수집하는 사례

？ 학교에서 필요한 항목을 선별하지 않고 도교육청에서 예시로 제공한 일괄 동의서를 그대로 사용하는 사례(불필요한 수집 동의)

벌칙규정

？ 개인정보의 수집 기준(동의 절차 누락) 위반 ？ 5천만원 이하 과태료

？ 개인정보 동의 시 고지사항 위반 ？ 3천만원 이하 과태료

항목

2. 제3자 제공에 관한 사항을 정보주체에게 알리고 동의를 받고 있으며, 필수 고지항목(5개) 명시 여부

관련법

？ 제17조(개인정보의 제공)

증빙자료

？ 개인정보 제3자 제공 동의서

참고

？ 각급학교 개인정보 수집업무 길잡이

설명

？ 정보주체의 동의를 통해 개인정보를 제3자에게 제공하는 경우 필수 고지 항목

5가지를 명확히 고지하고 제공하는지 확인

< 정보주체의 동의 없이 제3자 제공이 가능한 경우 >

< 필수 고지항목 >

벌칙규정

？ 정보주체의 동의 없이 제3자 제공, 동의 없이 수집된 개인정보를 알면서 3자에게 제공 받은자 ？ 5년 이하 징역 또는 5천만원 이하 벌금

？ 개인정보 동의 시 고지사항 위반 ？ 3천만원 이하 과태료

항목

3. 동의 시 중요한 내용 알아보기 쉽게 표기 여부

4. 만 14세 미만 아동의 개인정보 수집 시, 법정대리인 동의 여부

관련법

？ 제22조(동의를 받는 방법)

증빙자료

？ 개인정보 수집·이용·제공 동의서

참고

？ 각급학교 개인정보 수집업무 길잡이

설명

？ 동의서의 중요한 내용 표시 방법

- 동의 시 중요한 내용은 최소 9pt이상, 다른 내용보다 20%이상 크게, 글씨의 색깔, 굵기, 밑줄 등을 통하여 내용을 명확하게 표시

< 대통령령으로 정하는 중요한 내용>

？ 수집·이용하고자 하는 개인정보의 정보주체가 만14세 미만의 아동이라면 반드시 법정대리인의 동의를 받아야 함

？ 만14세 미만 아동의 개인정보 수집이 없다면 ‘해당없음’ 체크

위반사례

？ 17.4.18. 관련법이 개정되었으나 중요 항목 명확하게 표시 위반 다수

벌칙규정

？ 동의 방법을 위반하여 동의를 받은 자 ？ 1천만원 이하 과태료

？ 14세 미만의 개인정보 수집 시 법정대리인 동의 의무 위반 ？5천만원 미만 과태료

항목

5. 목적외 이용·제공 절차 준수 및 개인정보의 목적 외 이용 및 제3자 제공 대장 비치·작성 여부

6. 목적외 이용·제공 내역 홈페이지 공개 여부

관련법

？ 제18조(개인정보의 목적 외 이용·제공 제한)

？ 제19조(개인정보를 제공받은 자의 이용·제공 제한)

？ 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)

증빙자료

？ 개인정보 목적 외 이용 및 제3자 제공 대장(해당 시)

？ 목적외 이용·제공 내역을 홈페이지에 공개한 내역(해당 시)

참고

？ 교육부 개인정보 보호지침 [별지 제8] 서식

？ 개인정보 제공 단계 홍보포스터

설명

？ 목적 외 이용 및 제3자 제공: 개인정보처리자(기관)이 보유한 개인정보를 당초의 수집 목적을 벗어나 다른 목적으로 개인정보를 이용하거나, 제3자에게 개인정보를 제공하는 것

？ 원칙적으로 개인정보처리자는 정보주체에게 이용.제공의 목적을 고지하고 동의를 받거나 법령에 의하여 이용·제공이 허용된 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 됨

？ 예외적으로 아래의 사유에 해당하는 경우에는 목적 외 이용·제공 가능하나, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우에 한 함

< 목적 외 이용·제3자 제공 금지 예외 사유>

？ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 개인정보의 목적 외 이용 및 제3자 제공 대장에 기록하고 관리하여야 함

？ 목적외 이용·제공한 경우 제공받는 자에게 안전성 확보 조치를 요청하여야 하며, 목적 외 이용·제공 내역을 관보 또는 홈페이지에 게재하여야 함

(30일 이내에 게재하고 10일 이상 공개)

？ 목적외 이용·제공한 사실이 없는 경우 ‘해당없음’ 체크(증빙 불필요)

벌칙규정

？ 개인정보의 목적 외 이용 기준 위반 ？ 5년 이하 징역 또는 5천만원 이하 벌금

항목

7. 개인정보의 보유 기간 경과 및 목적 달성 후 파기 여부

관련법

？ 제21조(개인정보의 파기)

？ 교육부 개인정보보호지침 제10조(개인정보의 파기 방법 및 절차)

증빙자료

？ 개인정보(파일) 파기 내부결재 공문, 개인정보파일 파기 관리 대장(파일 파기의 경우)

참고

？ 개인정보 파기 단계 홍보포스터

？ 교육부 개인정보 보호 지침 별지 제10호 서식

설명

？ 개인정보(파일)의 당초 수집목적이 달성되었거나, 보유기간이 경과된 경우 지체 없이(보유기간 종료일로부터 5일 이내) 복구 불가능한 방법으로 파기해야함

- 개인정보 파기는 개인정보보호 책임자(분야별책임자)의 결재를 득 한 후 시행

- 다만, 법령에 따라 보존이 필요한 경우에는 법령(공공기록물 관리에 관한 법률 등)에 명시된 기간 동안 보존 가능 ex)업무관리시스템으로 등록된 경우

※ 법령에 따라 보존 필요 시 기존 개인정보(파일)과 분리하여 보관

(소송, 민원, 감사 등 특별한 상황에만 접근)

< 개인정보(파일) 파기 절차>

？ 학교는 표준개인정보파일목록(8개)에 따라 등록 관리하고 있으며 해당 파일의 정보주체 수가 0이 되는 경우에만 파기

？ 보유중인 개인정보파일에 포함된 일부 개인정보의 보유기간 경과 시 개인정보 파기 필요

？ 개인정보 파기 시 수집 동의서도 함께 파기

위반사례

？ 수집 목적이 달성되고, 보유기간이 경과 후에도 파기하지 않고 보관

→ 학교는 매년(졸업, 수료 이후) 주기적 개인정보 파기 필요

？ 책임자 승인 없이 파기 진행 및 기록·관리하지 않음

벌칙규정

？ 개인정보 미파기 ？ 3천만원 이하 과태료

분야

개인정보의 처리 제한

항목

8. 민감정보 및 고유식별정보 수집·제공 시 별도 동의 여부

관련법

？ 제23조(민감정보의 처리 제한)

？ 제24조(고유식별정보의 처리 제한)

증빙자료

？ 민감정보 및 고유식별정보 수집 시 사용한 개인정보 수집·이용 동의서

(동의 없이 수집 시 관련법 고지문)

참고

？ 각급학교 개인정보 수집업무 길잡이

설명

？ 민감정보 및 고유식별정보가 포함된 개인정보파일을 처리할 경우, 정보주체에게 별도 동의를 받거나 법령에 근거하였는지 확인

< 민감정보의 구분 >

< 고유식별정보의 범위 >

위반사례

？ 민감정보, 고유식별 정보 수집 시 다른 동의 항목과 별도 구분 없이 동의 받는 사례

벌칙규정

？ 민감정보, 고유식별정보 처리 기준 위반 ？ 5년 이하 징역 또는 5천만원 이하 벌금

항목

9. 주민등록번호 수집 시, 법령에 근거하여 수집·처리 여부

관련법

？ 제24조의2(주민등록번호의 처리 제한)

증빙자료

？ 주민등록번호 수집 시 관련 법령 고지문

참고

？ 각급학교 개인정보 수집업무 길잡이

설명

？ 주민등록번호를 처리할 수 있는 경우

？ 주민등록번호는 정보주체가 동의하여도 법적 근거가 없으면 수집 불가

위반사례

？ 일부 학교에서 법령 근거 없이 채용서류나 스쿨뱅킹 동의서 등에 주민등록번호 수집

→ 채용서류 및 스쿨뱅킹 동의서에 주민등록번호를 수집할 법령 근거가 없으며, 주민등록번호는 동의를 받아도 수집 불가(주민등록번호 수집 불가의 원칙)

벌칙규정

？ 주민등록번호 처리 제한 방법을 위반한 자 ？ 3천만원 이하 과태료

항목

10. 영상정보처리기기 운영·관리방침 수립 및 개인영상정보 관리 대장 관리 여부

11. 영상정보처리기기(CCTV) 안내판을 눈에 띄게 설치 및 고지 내용의 적정성 여부

12. 영상정보처리기기(CCTV) 상황실 보호구역 지정 및 안전한 보관시설 구비(또는 잠금장치 설치) 여부

관련법

？ 제25조(영상정보처리기기의 설치·운영 제한)

？ 교육부 개인정보 보호지침 제4장(영상정보처리기기 설치 및 운영)

증빙자료

？ 영상정보처리기기 운영·관리방침(개인정보처리방침에 포함 가능 해당부분 발췌)

？ 개인영상정보관리대장(교육부 지침 [별지 12] 서식 활용)

？ CCTV 안내판, CCTV 상황실 보호구역 지정 공문 및 출입통제 장치 설치 사진 등

참고

？ 공공기관 영상정보처리기기 설치·운영 가이드라인

？ 교육부 개인정보 보호 지침 별지 제12호 서식

설명

？ 영상정보처리기기 운영·관리 수립에 포함되어야 할 내용

？ 영상정보처리기기 운영자는 개인영상정보를 ①수집 목적 이외로 이용하거나 제3자에게 제공하는 경우 ②열람 요청이 있는 경우 ③파기하는 경우에는 아래 사항을 기록하고 관리하여야 한다.

※ 영상정보가 설정된 주기에 따라 자동 삭제되는 영상정보처리기기의 경우에도 정상적으로 삭제되고 있는지를 정기적으로 점검하여 관리대장에 기록하여야 함

？ CCTV 안내판은 정보주체가 알아보기 쉬운 장소에 누구라도 판독가능하게 설치

- 건물 안에 여러 개를 설치하는 경우, 출입구 등 잘 보이는 곳에 해당시설 전체가 설치 지역임을 알리는 안내판 설치 가능

？ CCTV 안내판 의무 기재 내용

- 설치 목적 및 장소, 촬영범위 및 시간, 관리책임자 성명(직책) 및 연락처

？ 전라북도 정보보안 기본지침 제86조(영상정보처리기기 보안)

위반사례

？ CCTV 조작 장치 및 모니터링 화면 누구나 접근 가능한 곳에 설치

→ 별도 상황실 운영이 불가능한 경우 접근 제한을 위한 안전장치 설치

？ CCTV 상황실 보호구역 미지정

？ 영상정보의 주기적 자동 삭제 사항을 개인영상정보관리대장에 기록하지 않음

벌칙규정

？ 영상정보처리기기 설치·운영기준 위반 ？ 3천만원 이하 과태료

？ 영상정보처리기기 안내판 설치 등 필요조치 불이행 ？ 1천만원 이하 과태료

항목

13. 개인정보의 처리 업무를 위탁하는 경우, 문서(위탁 계약서 등) 작성 여부

14. 수탁자 교육 및 관리·감독 여부

15. 개인정보 처리 업무 위탁 사항 홈페이지 공개 여부

관련법

？ 제26조(업무위탁에 따른 개인정보의 처리 제한)

증빙자료

？ 개인정보처리 위탁 계약서, 수탁업체 교육 계획 및 결과 보고, 관리·감독 보고서

？ 개인정보 위탁사항 홈페이지 공개 현황

참고

？ 개인정보 처리 위·수탁 안내서

？ 개인정보 처리 업무 위탁 관련 자료

설명

？ 개인정보 처리에 관한 업무를 수탁하는 경우 필수사항(7개)을 포함한 문서(계약서)에 의한 계약을 체결하는지 확인

- 보안 약정서, 협약서 등의 형태의 계약 부속서류라 하더라도 필수사항(7개)이 모두 포함되어 있는 경우 인정

< 위탁계약 시 문서에 포함될 필수사항 >

？ 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 수탁자의 개인정보 처리현황 및 실태, 목적 외 이용·제공 여부, 재위탁 여부, 안전성 확보조치 여부 등을 관리·감독(수탁업체 자체 교육 및 점검표 등으로 대체 가능)

→ 개인정보 침해 사고 발생 시 수탁자는 위탁자의 직원으로 간주

？ 홈페이지 개인정보처리방침에 공개(위탁업무내용, 위탁기간, 수탁기관)

？ 위탁업무 종료 후 수탁기관으로부터 개인정보 파기확인서 징구

※ 학교에서의 개인정보처리 위탁 사례

？ 학생증 발급, 제증명발급프로그램 유지보수, 졸업앨범 제작, 여행사에 의뢰하여 추진되는 업무(현장학습체험, 수학여행), 개인정보가 있는 교지 발간, 교육수첩(앱)제작 등(개인정보보호 업무사례집 80p ~ 95p 참고)

위반사례

？ 위탁업무임을 인지하지 못하는 경우가 많고 위탁에 따른 업무 절차 위반

→ 위탁계약서 미작성, 수탁자 교육 및 관리 감독 미수행

？ 계약 시 개인정보에 관하여 비밀 누설 금지 등 일부 사항만 포함

벌칙규정

？ 업무위탁 시 필수 사항을 문서화 하지 않은 자, 업무위탁 시 공개의무 위반

？ 1천만원 이하 과태료

항목

16. 개인정보 보호담당자 교육 이수 여부

17. 개인정보 취급자 교육 실시 여부

관련법

？ 제28조(개인정보취급자에 대한 감독)

증빙자료

？ 개인정보보호 담당자 교육 이수증

？ 개인정보 취급자(직원) 개인정보보호 교육 계획 공문(교육자료 포함)

？ 개인정보 취급자 교육 결과 공문(등록부, 참석률 확인 가능)

참고

？ 개인정보보호 포털(privacy.go.kr) 자료마당/교육자료

？ 교육부 개인정보보호포털(privacy.moe.go.kr) 자료실/교육자료

설명

？ 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보 취급자에게 정기적으로 필요한 교육을 실시할 의무가 있음

？ 개인정보 보호 교육의 목적은 개인정보가 안전하게 관리될 수 있도록 개인정보 보호에 대한 인식을 제고시키고 개인정보 보호 대책의 필요성을 이해시키는 것

？ 교육대상(개인정보 보호책임자, 개인정보 보호담당자, 개인정보취급자/일반직원)에 따라 교육내용을 차별화하고 일정 및 방법 등 구체적 사항 명시

→ 내부관리계획 또는 “○○년 개인정보보호 교육 계획(안)”과 같은 문서를 통해 관리

？ 전북교육연수포털(jbstudy.kr) 개인정보보호 담당자 직무과정 등 원격 연수 상시 개설 운영 중

？ 교육방법은 기관의 환경을 고려하여 자체교육, 외부교육, 위탁교육, 온라인 교육 등 다양한 방법 활용

위반사례

？ 개인정보 보호담당자 교육 연 1회 이상 미이수

？ 개인정보취급자에 대한 교육은 대부분 실시하고 있으나, 교육결과 등록 누락 다수

분야

개인정보의 안전한 관리

항목

18. 내부 관리계획 수립 및 필수 사항 반영 여부(이력관리 포함)

19. 내부 관리계획 이행 실태 점검(연1회 이상) 여부

관련법

？ 제29조(안전조치의무)

？ 개인정보의 안전성 확보조치 기준 제4조(개인정보보호위원회 고시 제2020-2호)

증빙자료

？ 개인정보 내부관리계획(공문 포함)

？ 내부관리 계획 이행 실태 점검 결과 보고 공문

참고

？ 미래인재과-20813(2019.10.17.)

「개인정보 내부 관리계획 개정 및 이행 실태 자체 점검 실시」

설명

？ 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.

< 내부관리계획 필수항목 >

？ 개인정보처리자는 법 개정 등 중요 내용 변경이 있는 경우 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고 그 수정 이력을 관리하여야 한다.

？ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다.

위반사례

？ 내부 관리계획 수립에 대한 인식율이 저조하였으며 개인정보업무추진계획이나 개인정보처리방침과 혼동하는 경우 다수

→ 학교에서는 내부 관리계획과 개인정보처리방침 필수 수립 및 관리 필요

？ 내부 관리계획 미수립 또는 필수 항목 미반영, 최초 수립 후 개정 및 이력 관리 되지 않음

벌칙규정

？ 안전성 미확보로 개인정보를 분실, 도난, 유출, 위·변조 또는 훼손

？ 2년 이하 징역 또는 2천만원 이하 벌금

？ 안전성 확보에 필요한 의무조치 불이행 ？ 3천만원 이하 과태료

항목

20. 최소한 접근 권한 차등 부여 및 인사이동에 따른 접근 권한 변경 또는 말소 여부, 인증서 공유 여부

21. 비인가 된 P2P, 웹 하드, 공개된 무선망 등 공유 설정 차단 여부

22. 전산실, 자료보관실 등 개인정보를 취급하는 공간에 대해 출입통제 절차 수립·운영 여부

23. PC개인정보보호시스템 검출 파일 조치 여부

24. 홈페이지에 개인정보가 포함된 게시물이 존재하지 않는지 여부

관련법

？ 제29조(안전조치의무)

？ 교육부 지침 제37조(개인정보취급자 접근권한의 관리), 제43조(물리적 접근 방지)

증빙자료

？ 접근권한 부여·변경·말소 관련 공문 또는 관리대장

？ 사이버 보안진단의 날 점검 결과 및 내부결재 공문(최근 1건)

？ 개인정보 취급 공간 출입통제구역 지정 및 출입자 대장

？ 홈페이지 게시물 정비 공문 등(공문 불가시 홈페이지 게시물 탑재 현황 캡쳐)

참고

？ 미래인재과-2700(2021.2.8.)「2021년 사이버보안진단의 날 운영 계획」

？ 미래인재과-8011(2021.4.8.)「PC개인정보보호시스템(Privacy-i) 운영 계획」

설명

？ 나이스, 에듀파인 등 업무시스템 접근권한 관리 실태 확인

？ P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 PC에 조치를 취하고 있는지 확인

？ 전산실.자료보관실을 별도로 두고 있는 경우에는 비인가자의 접근으로 인한 개인정보의 절도, 파괴 등의 물리적 위협으로부터 정보 자산을 보호하기 위해 출입통제 절차를 수립하는지 확인

？ PC개인정보보호시스템(Pirvacy-i)으로 검출된 개인정보파일에 대한 조치 여부 확인

- 불필요한 파일은 완전삭제, 업무 처리 등을 목적으로 보유해야하는 경우 암호화

오탐인 경우 예외처리

※ 주민등록번호를 보유하는 경우 관련 법령 반드시 확인

？ 홈페이지를 통한 개인정보 노출이 일어나지 않도록 주기적 게시물 정리, 게시기한 설정 운영 등 조치 필요, 특히 이미지나 동영상 게시물에 개인정보가 포함되어 있는지 주기적 모니터링 필요

위반사례

？ 스캔 등의 이유로 공유 폴더를 사용하는 학교가 있었으며, 공유 폴더에 개인정보가 포함된 파일이 노출된 사례

？ 학생에게 제공하는 무선인터넷을 업무망에 연결하여 사용

？ 개인정보 취급되는 공간에 잠금장치 등은 설치하였으나, 출입통제 절차 미수립 및 출입자 대장 비치하지 않음

？ 업무용PC에 제증명 발급 프로그램을 설치하여 사용하면서 안전조치(암호화) 하지 않음

？ 업무용PC에 다수의 주민등록번호를 암호화하지 않고 보관

？ 홈페이지내 오래된 게시물 방치

→ 오래된 게시물에서 개인정보 노출이 발생하는 경우가 많으므로 주기적 삭제 필요

벌칙규정

？ 안전성 미확보로 개인정보를 분실, 도난, 유출, 위·변조 또는 훼손

？ 2년 이하 징역 또는 2천만원 이하 벌금

？ 안전성 확보에 필요한 의무조치 불이행 ？ 3천만원 이하 과태료

항목

25. 개인정보처리방침 수립 및 홈페이지 공개 여부

26. 개인정보처리방침 필수 사항 포함 및 이력관리 여부

관련법

？ 제30조(개인정보처리방침)

？ 교육부 개인정보 보호지침

- 제27조(개인정보 처리방침의 공개)

- 제28조(개인정보 처리방침의 변경)

- 제29조(개인정보 처리방침의 작성 기준 등)

- 제30조(개인정보 처리방침의 기재 사항)

증빙자료

？ 개인정보처리방침 내부결재 공문(최근 변경 건)

참고

？ 개인정보처리방침만들기(privacy.moe.go.kr)

설명

？ 필수 항목을 포함하여 개인정보처리방침을 수립하고 홈페이지에 공개하였는지 확인

< 개인정보처리 방침 필수 항목 >

？ 개인정보처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.(이력관리)

？ 모든 기관 및 학교 홈페이지 하단에 개인정보처리방침이 공개되어 있으므로 처리방침 변경 시 해당 페이지를 관리해야함(홈페이지 관리자 메뉴에서 관리 가능)

위반사례

？ 홈페이지 하단에 개인정보처리방침이 공개되어있으나, 최초 공개 후 변동사항에 대한 관리가 이루어지지 않은 사례 다수, 이력관리 되지 않음

？ 홈페이지 개인정보처리방침 공개 사실도 인지하지 못하고 메뉴를 개설하여 이중 공개 하는 경우도 있음

→ 도움센터 홈페이지 개설시 홈페이지 하단에 개인정보처리방침 기본으로 제공되어 있으며 기관별로 관리 가능

벌칙규정

？ 개인정보처리방침 미수립·미공개 ？1천만원 이하 과태료

항목

27. 개인정보 보호책임자(CPO) 지정 및 홈페이지(개인정보처리방침) 공개 여부

28. 개인정보 보호책임자 교육 이수 여부

관련법

？ 제31조(개인정보 보호책임자의 지정)

？ 교육부 지침 제21조(개인정보 보호책임자의 지정)

증빙자료

？ 개인정보 보호책임자 지정 공문

？ 개인정보 보호책임자 교육 이수증

설명

？ 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호책임자를 지정하고 있는지 확인

- 교육(행정)기관은 다음의 자격 요건에 맞게 지정

☞ 교육부 개인정보 보호지침 제21조(개인정보 보호 책임자의 지정)

< 공공기관 개인정보보호책임자 자격 요건 >

？ 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하려는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 연락처를 공개해야함

(개인정보처리방침 필수 항목에 포함되어 있음)

？ 개인정보 보호 책임자의 역할을 원활히 수행할 수 있도록 교육 이수 필요

☞ 전북교육연수포털(jbstudy.kr) 개인정보보호 책임자 직무과정 원격 연수 상시 개설 운영 중

위반사례

？ 교육부 개인정보 보호지침에 학교의 개인정보보호 책임자는 교장으로 명시되어 있고, 내부관리계획에도 책임자 지정에 대한 사항이 필수 항목이므로, 대부분의 학교에서 지정은 되어있으나 교장 인사이동 시 실명을 포함한 책임자 지정 내부결재하지 않음

？ 개인정보보호 책임자 교육 연1회 이상 미이수

벌칙규정

？ 개인정보 보호책임자 미지정 ？1천만원 이하 과태료

항목

29. 개인정보보호종합지원시스템(intra.privacy.go.kr)에 개인정보파일 등록·변경 관리 여부(CCTV포함)

30. 개인정보종합지원시스템 개인정보 파일 목록과 개인정보처리방침 개인정보파일목록 일치 여부(CCTV 수량 일치 포함)

관련법

？ 제32조(개인정보파일의 등록 및 공개)

증빙자료

？ 개인정보보호종합지원시스템(intra.privacy.go.kr) 및 각 기관 홈페이지 개인정보처리방침에서 확인 가능하므로 증빙 불필요

참고

？ 2021년 개인정보파일 정비 관련 공문 시행 예정

※ 매년 개인정보파일 정비 안내 및 표준보유목록 등 안내

설명

？ 개인정보의 열람, 정정·삭제 및 처리정지 요청 등 정보주체의 권리 보장을 위해 공공기관이 보유한 개인정보파일 등록 필요

？ 개인정보파일을 운용하는 공공기관의 장은 다음 각 호의 사항을 개인정보보호위원회(http://intra.privacy.go.kr)에 등록하여야 함(추후 등록사항이 변경된 경우 또한 같음)

<개인정보파일 등록 항목>

？ 개인정보파일의 보유기간 산정방법

- 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유 목적에 따른 최소기간으로 산정하되, 개별 법령에 규정에 명시된 보유기간이 있는 경우 그에 따름

- 다만, 개별 법령에 구체적인 보유기간이 명시되지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정

？ 개인정보보호종합지원시스템에 등록된 개인정보파일 목록과 개인정보처리방침에 공개된 개인정보 파일 목록은 일치하여야 함

？ 등록된 개인정보 파일 목록은 개인정보보호포털-민원마당-개인정보 열람등요구 신청-개인정보파일 목록 검색 에서 검색됨

위반사례

？ 개인정보보호종합지원시스템에 등록된 개인정보파일 변경하지 않고 방치

→ 최소 연1회 이상 변경사항 반영 필요(상시변경 가능)

？ CCTV 보유 현황 미 등록(매년 3월 보유현황 등록 → 민주시민교육과 공문 시행)

？ 학교 개인정보파일표준보유목록(8개)을 반영하지 않고 내부 업무용 파일까지 과다 등록·보유한 사례