반응형
개인정보 생명주기란
개인정보 생명주기란 개인정보처리자가 개인정보를 처리하면서 발생하는 필수 행위들을 정형화한 것이다.
개인정보처리자가 업무목적으로 개인정보를 수집하는 경우 수집, 보관, 이용, 제공/위탁, 파기의 행위가 필수로 발생하게 된다. 이런 정형화된 생명주기 절차는 개인정보보호법에서도 반영되고 있고, ISMS-P, 개인정보 영향평가 등에서 요구하고 있는 증적 중 하나이다. 법, 인증 뿐 아니라, 정형화된 흐름 파악은 개인정보보호 관점의 리스크를 파악하기 좋은 수단이다.
따라서 공공, 민간 구분 없이 모든 개인정보보호 담당자는 흐름도 또는 흐름표를 가지고 주기적으로 갱신하고 있으므로, 개인정보 생명주기 파악과 흐름도/흐름표 작성 역량은 필수이다.
본 글에서는 개인정보보호 담당자가 개인정보 흐름표를 작성하기 위한 가이드로, 민간 기업 담당자를 기준으로 작성한다.
개인정보 흐름도를 작성하지 않고 흐름표를 작성하는 이유는
- 흐름도는 처리방법이 변경되면 수정하기 쉽지 않고,
- 흐름표가 흐름도보다 많은 정보를 관리하기 용이하기 때문이다.
물론 흐름도는 한눈에 확인가능한 무시못할 장점이 있으므로 담당자 성형, 조직의 문화 등을 고려해서 작성하면 된다.
개인정보 생명주기 절차 및 법률
| 행위 | 설명 | 유관 법령 |
| 수집 | 정보주체에게 서비스를 제공하기 위해 개인정보를 정보주체에게 전달받는 것 | 개인정보보호법 제15조 개인정보의 수집, 이용 제16조 개인정보의 수집 제한 제24조 고유식별정보의 처리제한 제24조의2 주민등록번호 처리의 제한 |
| 보관 | 전달받은 개인정보로 업무를 위해 보관하는 것 | 개인정보보호법 제19조 개인정보를 제공받은 자의 이용ㆍ제공 제한 개인정보 안전성 확보조치 제7조 개인정보의 암호화 제10조 물리적 안전조치 |
| 이용 | 저장된 개인정보를 통해 정보주체에게 서비스를 제공하는 것 | 개인정보 안전성 확보조치 제5조 접근 권한의 관리 제12조 출력, 복사 시 안전조치 제23조 민감정보의 처리 제한 제24조 고유식별정보의 처리제한 제24조의2 주민등록번호 처리의 제한 |
| 제공/위탁 | 제공 : 제공받는자의 이익을 위해 개인정보를 전달하는 것 위탁 : 개인정보처리자의 이익을 위해 특정 업무를 외부 업체로 이관하는 것 |
개인정보보호법 제17조 개인정보의 제공 제18조 개인정보의 목적 외 이용, 제공 제한 제19조 개인정보를 제공받은 자의 이용ㆍ제공 제한 제26조 업무위탁에 따른 개인정보의 처리 제한 개인정보 안전성 확보조치 제7조 개인정보의 암호화 |
| 파기 | 보관하는 개인정보를 삭제하는 것 | 개인정보보호법 제21조 개인정보의 파기 개인정보 안전성 확보조치 제13조 개인정보의 파기 |
개인정보 생명주기 간단 예시
| 행위 | 쇼핑몰 | 온라인 이벤트 | 광고성 문자 발송 |
| 수집 | 이용자 회원가입 | 설문조사 폼을 통한 이용자 신청 |
이용자 선택 동의 |
| 보관 | 쇼핑몰 이용자 DB | 설문조사 폼 관리자 사이트 | 광고 문자 발송 시스템 |
| 이용 | (주문시) 물품 배송 (주문시) 결제 |
이벤트 당첨자 추천 | 광고문자 발송 |
| 제공/위탁 | (위탁) 결제 서비스 (위탁) 택배사 |
(위탁) 설문조사 사이트 운영 업체 | 없음 (자체 시스템 이용) |
| 파기 | 이용자 탈퇴 법령 보관 기간 초과 |
(당첨자) N년 보관후 삭제 (미당첨자) 결과 통보 후 삭제 |
이용자 동의 철회 |
- 참고자료
- 개인정보보호법 및 하위법령
- ISMS-P 안내서
- 개인정보 영향 평가서
반응형
'개인정보 생명주기 흐름표' 카테고리의 다른 글
| 5 - 개인정보 파기 (0) | 2024.08.15 |
|---|---|
| 4 - 개인정보 위탁/제공 (0) | 2024.08.07 |
| 3 - 개인정보 이용 (0) | 2024.05.26 |
| 2 - 개인정보 보관 (0) | 2024.05.26 |
| 1 - 개인정보 수집 (0) | 2024.05.24 |