인사혁신처 개인정보보호 지침

2014. 11

제정 2014. 12. 4.  인사혁신처훈령 제16호

1. 목 적

○『개인정보보호법』과 같은 법 시행령, 시행규칙,『표준 개인정보보호 지침』(행정자치부 고시)에 따라 인사혁신처 본부 및 소속‧산하 기관의 개인정보보호 업무를 담당하는 자가 수행해야 할 개인정보보호 활동 규정

2. 적용 범위

   ○ 인사혁신처 본부 및 소속‧산하 기관에서 정보시스템, PC 파일, 종이, 개인정보영상처리기기 등의 개인정보를 처리하는 자에게 적용

3. 개인정보보호 원칙 (표준지침 제4조)

○ 수집 목적 명확화 및 이용 제한의 원칙

-  수집 목적을 명확히 특정하고 그 특정 목적달성을 위해서만 처리

○ 수집 제한의 원칙 

-  목적에 필요한 최소한의 개인정보 수집

○ 정보내용의 정확성의 원칙

-  개인정보는 목적에 부합하도록 정확하고 최신의 상태 유지

○ 안전성 확보의 원칙

-  개인정보의 분실 또는 불법 접근, 파괴, 사용, 변조 등에 대비하여 기술적‧관리적‧물리적 안전조치 

○ 공개 원칙 및 정보주체 권리 보장의 원칙

-  개인정보 파일대장‧처리방침 등 개인정보 처리에 관한 사항은 공개되어야하며 정보주체의 열람, 정정‧삭제 요구 등 권리 보장

- 1 -

4. 용어 정의 (법 제2조, 표준지침 제2조)

가. 개인정보

○ 살아있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 결합하여 알아볼 수 있는 것을 포함)

나. 개인정보파일

○ 쉽게 검색 가능하도록 체계적으로 배열 또는 구성한 개인정보의 집합물 

다. 개인정보보호 대상 

○ 종이, 정보시스템, PC, 영상정보처리기기 등에서 업무상 필요에 의하여 처리되고 있는 개인정보 

1. 개인정보 보호책임관 지정 (법 제31조, 영 제32조, 표준지침 제22조)

가. 개인정보 보호책임관 

○ 인사혁신처 개인정보 보호책임관 : 기획조정관

○ 소속기관 개인정보 보호책임관 

-  중앙공무원교육원 : 기획부장

-  소청심사위원회 : 행정과장

○ 산하기관 개인정보 보호책임관

-  개인정보 처리 관련 업무를 담당하는 부서의 장

- 2 -

나. 개인정보 보호책임관 역할

○ 개인정보보호 관련 지침 제‧개정

○ 개인정보보호 계획 수립 및 시행 

○ 개인정보 처리 실태 점검 및 개선 권고

○ 개인정보 처리와 관련한 불만 처리 및 피해 구제

○ 개인정보 유출 및 오‧남용 방지를 위한 내부통제시스템 구축 

○ 개인정보보호 교육 계획 수립 및 시행

○ 개인정보파일 및 대장 등록‧파기 승인, 관리 감독

○ 기관 개인정보 처리방침 수립 및 시행

○ 개인정보보호 관련 자료 관리

○ 개인정보보호 분야별 책임관 지휘‧감독 

2. 개인정보보호 분야별 책임관 지정 

가. 개인정보보호 분야별 책임관 (당연직) : 모든 부서의 장 -  과장급

나. 개인정보보호 분야별 책임관 역할

○ 개인정보 취급자 지정‧관리‧감독‧교육

○ 개인정보파일 지정‧관리‧보호‧파기 

○ 공개 대상 개인정보파일 등록‧공개

○ 공개 대상 개인정보파일의 처리방침 수립‧시행 및 공개

○ 영상정보처리기기 운영‧관리 방침 수립‧시행 

○ 개인정보보호 관련 자료 관리 및 제출

○ 개인정보 처리와 관련한 요구 처리 및 피해 구제

○ 개인정보 유출 통지 및 피해확산 방지

○ 개인정보 관련 개선 권고 및 시정 조치사항 이행 등

3. 개인정보취급자 지정 (법 제28조, 표준지침 제18조)

가. 개인정보취급자 : 개인정보를 수집‧열람‧수정·삭제 등 직접 처리하는 자

나. 개인정보취급자 역할 : 개인정보 처리 시 안전조치

- 3 -

1. 개인정보파일 공개 (법 제32조, 영 제33~34조, 규칙 제3조, 

표준지침 제53~57조, 제62조, 제64~65조)

가. 개인정보파일 등록‧공개 

<등록‧신청>             <검토‧승인>                  <공  개>

○ 파일을 보유한 날부터 60일 이내에 개인정보파일(등록‧변경) 신청서(별지 1호) 제출 및 개인정보보호종합지원시스템(intra.privacy.go.kr)에 등록

○ 개인정보 보호책임관은 신청파일에 대하여 검토‧승인

○ 개인정보 보호책임관의 승인으로 행정자치부 장관(개인정보보호과)이 운영하는 개인정보보호종합지원포탈(www.privacy.go.kr)에 등록‧공개됨 

나. 개인정보파일 등록 예외사항

○ 당해 기관의 내부적 업무처리만을 위하여 처리되는 개인정보파일

-  기관 내부 구성원, 자문위원회, 회의 참석자 등은 등록 제외 

○ 국가 안전, 외교상 비밀 등 국가의 중대한 이익에 관한 사항을 기록한 파일

○ 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 

○『공공기록물관리에 관한 법률』제33조(비밀 기록물의 관리),『보안업무규정』제4조(비밀의 구분) 등 다른 법령에서 비밀로 분류된 파일

○ 처리하는 개인정보 중「통계법」에 따라 수집되는 개인정보

○ 국가안전보장 관련 정보 분석을 위해 수집‧제공이 요청되는 개인정보

○ 공공안전을 위해 긴급히 필요한 경우로 일시적으로 처리되는 개인정보

○ CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일

○ 자료‧물품‧금전 송부, 1회성 행사 등의 목적으로 수집된 개인정보파일

- 4 -

2. 개인정보처리방침 공개 (법 제30조, 영 제31조, 표준지침 제34~35조)

가. 개인정보처리방침 공개

○ 공개된 개인정보파일에 대하여 개인정보처리방침(별지 2호) 수립

○ 반드시 “개인정보처리방침”으로 명칭 사용, 다른 고지사항과 구분하여 쉽게 확인 가능하도록 색깔 등 조치

○ 개인정보처리방침을 변경하는 경우 공개 내용

-  변경 및 시행의 시기, 변경 전‧후 비교 내용 

나. 개인정보처리방침 공개 방법

○ 인터넷 홈페이지 첫 화면 또는 첫 화면과의 연결화면

○ 인터넷 홈페이지 공개가 어려운 경우

-  정보 주체가 보기 쉬운 장소에 게시

-  관보에 게재

-  같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적 게재

-  재화나 용역을 제공하기 위하여 정보주체와 작성한 계약서 등에 실어 정보주체에게 발급

1. 고유식별정보‧민감정보 처리 제한 (법 제23~24조의2, 영 제18~21조, 표준지침 제15~17조)

○ 정보주체에게 고유식별정보‧민감정보 처리에 대해 별도로 동의를 받거나, 법령에서 처리를 요구하거나 허용하는 경우에 한하여 사용

-  단, 주민등록번호는 법령에서 구체적으로 처리를 요구하는 경우에 한함

-  주민등록번호의 처리를 법령에서 허용한 경우에도 홈페이지 회원 가입 시에는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공

- 5 -

2. 개인정보 수집 ‧ 이용 (법 제15조~16조, 표준지침 제6~7조)

가. 가능 범위

○ 정보주체로부터 사전에 동의를 받은 경우

○ 법률에서 구체적으로 명시하거나 허용하고 있는 경우⑴

○ 개인정보를 수집・이용하지 않고는 법령 등에서 정한 소관업무 수행이 불가능하거나 현저히 곤란한 경우⑵ 

○ 개인정보를 수집・이용하지 않고는 정보주체와 체결된 계약 내용의 의무이행이 불가능하거나 현저히 곤란한 경우

○ 정보주체 또는 제3자의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황에서 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 연락을 취할 수 없어 사전 동의를 받을 수 없는 경우⑶

○ 정보주체로부터 명함 등을 제공받아 수집하는 경우, 정보주체가 동의의사를 표시하거나 명함 등을 제공하는 정황에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용 

○ 인터넷 홈페이지 등 공개된 곳에서 개인정보를 수집하는 경우, 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시에 대한 정보주체의 동의가 있거나 인터넷 홈페이지 등의 표시내용에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용

○ 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우, 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집‧이용 가능 

○ 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집‧이용

나. 정보주체의 동의를 받아 수집‧이용하는 경우

○ 정보주체에게 알려야 할 사항

- 6 -

3. 개인정보 제공 (법 제17~18조, 영 제15조, 규칙 제3조, 표준지침 제8~9조)

가. 용어 정의

○ “제공”이란

○ “제3자”란

나. 제3자 제공 및 목적 외 이용 가능 범위

○ 정보주체로부터 별도의 동의를 받은 경우

○ 다른 법률에 특별한 규정이 있는 경우

○ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

○ 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

○ 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 개인정보 보호위원회의 심의·의결을 거친 경우

○ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

○ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

○ 법원의 재판업무 수행을 위하여 필요한 경우

○ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

※ 개인정보 수집근거가 6페이지의 ⑴, ⑵, ⑶인 경우 그 수집목적 범위내 제3자 제공 가능

- 7 -

다. 정보주체자의 동의를 받아 제공하는 경우

○ 정보주체에게 알려야 할 사항 

라. 제공시 안전성 확보

○ 제공자의 의무 

-  제공받는 자에게 이용 목적‧방법‧기간‧형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 문서로 요청

-  특히, 개인정보를 수집 목적 외의 용도로 이용‧제공하는 경우에는 “개인정보의 목적 외 이용 및 제3자 제공대장”(별지 3호)에 기록‧관리

○ 제공 받는 자의 의무

-  안전성 확보조치를 취하고 그 사실을 제공자에게 문서로 통지

-  정보주체의 별도 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공 금지 

4. 정보주체에게 동의를 받는 방법 (법 제22조, 영 제17조, 표준지침 제13조)

가. 개인정보 처리에 대하여 별도 동의를 받아야 하는 경우

○ 별도 동의사항을 구분하여 명확히 알 수 있도록 하고 개별 동의 표시

나. 만 14세 미만 아동에 대한 법정대리인의 동의를 받는 경우

○ 법정 대리인의 동의에 대한 사유를 설명하고 해당 아동으로부터 직접 법정 대리인의 성명‧연락처에 관한 정보 수집 가능

○ 법정 대리인의 거부가 있거나 동의의사가 확인되지 않는 경우에는 수집일로부터 5일 이내에 파기

- 8 -

다. 정보주체의 동의를 받는 방법 

○ 서면, 우편, 팩스 등의 방법으로 정보주체가 동의서에 직접 서명 

○ 전화를 통하여 동의내용을 알리고 동의의사 표시를 확인하는 방법, 녹취할 때에는 녹취사실을 정보주체에게 알림

○ 전화로 동의내용을 알리고 인터넷 홈페이지 등을 통하여 동의내용을 확인하도록 한 후 다시 전화로 동의의사 표시를 확인하는 방법

○ 인터넷 홈페이지 등에 동의내용을 게재하고 정보주체가 동의여부를 표시하도록 하는 방법

○ 전자우편으로 동의내용을 발송하여 정보주체로부터 동의의사 표시가 적힌 전자우편을 받는 방법 등 

1. 개인정보 처리 위탁 (법 제26조, 표준지침 제19~20조)

가. 위탁자 임무

○ 위탁문서 포함되어야 할 내용

○ 수탁자 선정 시 인력, 물적시설, 재정능력, 기술력, 책임능력 등을 고려 (손해배상책임에 대해 수탁자는 위탁기관의 직원으로 봄)

○ 정보주체의 개인정보 안전성 확보에 대하여 수탁자 교육 및 감독

나. 수탁자 임무 

○ 위탁받은 개인정보를 보호하기 위하여『개인정보의 안전성 확보조치 기준』(참고 1)에 따라 조치

- 9 -

2. 개인정보 이전 (법 제27조, 영 제29조) 

가. 해당 기관 이외의 다른 사람에게 이전 시 통지 내용

나. 통지 방법 

○ 서면 등의 방법으로 정보주체에게 직접 통지

○ 서면 등의 방법으로 직접 통지가 어려운 경우

-  인터넷 홈페이지에 30일 이상 게시, 인터넷 홈페이지가 없는 경우에는 정보주체가 보기 쉬운 장소에 30일 이상 게시

1. 개인정보 영향평가 (법 제33조, 영 제35조,『개인정보 영향평가에 관한 고시』) 

가. 영향평가 목적

○ 정보주체의 개인정보 침해가 우려되는 시스템에 대하여 개인정보 침해 위험요인 분석과 개선과제 도출 

나. 영향평가 대상

○ 5만명 이상의 민감정보 또는 고유식별정보가 포함된 개인정보파일을 구축‧운용 또는 변경하는 경우

○ 구축ㆍ운용하고 있는 개인정보파일을 다른 개인정보파일과 연계한 결과, 50만명 이상의 개인정보가 포함된 경우

○ 100만명 이상 정보주체가 포함된 개인정보파일을 구축‧운용 또는 변경하는 경우

○ 영향평가를 받은 후에 개인정보파일의 운용체계를 변경하려는 경우

다. 영향평가 결과 제출 

○ 영향평가 결과를 행정자치부 장관(개인정보보호과)에게 제출

- 10 -

라. 영향평가 방법

○ 행정자치부 장관(개인정보보호과)이 지정한 평가기관에 의뢰

○ 세부내용은『개인정보 영향평가에 관한 고시』(참고 2) 참조

2. 개인정보 안전성 확보 조치 (법 제29조, 영 제30조,『개인정보의 안전성 확보조치 기준』) 

○ 세부 사항은『개인정보의 안전성 확보조치 기준』(참고 1) 참조

3. 홈페이지 개인정보 노출 방지 조치

○ 홈페이지 게시내용에 대해 책임부서 지정, 부서장 결재 후 내용 게시

○ 게시판 등 글쓰기 화면에 개인정보 노출 경고메시지 안내

○ 개인정보 노출 가능성이 있는 페이지에 대하여 검색 로봇 배제 기능 설정

○ 홈페이지 개인정보 노출 차단을 위한 주기적 모니터링 등

1. 개인정보 파기 (법 제21조, 영 제16조, 표준지침 제11~12조, 제60조) 

가. 개인정보 파기(삭제) 계획 수립

○ 개인정보가 보유기간 만료 등으로 불필요하게 된 경우에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기

-  단,『공공기록물 관리에 관한 법률』등 다른 법령에서 보존해야 하는 경우에는 예외 

-  불필요하게 된 개인정보를 파기하지 않고 보존하는 경우에는 그 개인정보는 다른 개인정보와 분리하여 저장‧관리

- 11 -

○ 개인정보보호 분야별 책임관은 개인정보의 보유 기간 만료 등에 따른 구체적 파기 시점‧방법 등을 반영한 개인정보 파기계획을 수립‧시행, 파기 계획은 개인정보 처리방침에 포함하여 시행 가능

나. 개인정보파일 파기 절차

※ 소속‧산하기관 개인정보 보호책임관은 개인정보파일 등록 삭제 시 인사혁신처 개인정보 보호책임관에게 개인정보파일 파기결과 보고

다. 개인정보파일 파기 방법

○ 전자적 파일 형태의 경우 : 복원이 불가능한 방법으로 영구 삭제

○ 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각

1. 적용 범위 (법 제25조, 표준지침 제39조) 

○ 공개된 장소에 설치‧운영하는 영상정보처리기기, 그의 개인영상정보

○ 허가를 받은 사람만 출입이 허용되는 건물 내부공간은 ‘비공개 장소’로 영상정보처리기기 규정 대상 제외

2. 설치 ‧ 운영 기준 (법 제25조) 

가. 설치‧운영이 가능한 경우

○ 법령에서 구체적으로 허용하고 있는 경우

○ 범죄의 예방 및 수사를 위하여 필요한 경우

- 12 -

○ 시설안전 및 화재 예방을 위하여 필요한 경우

○ 교통단속을 위하여 필요한 경우

○ 교통정보의 수집·분석 및 제공을 위하여 필요한 경우

나. 설치‧운영이 금지된 경우

○ 목욕실, 화장실, 탈의실 등 개인 사생활 침해가 우려되는 장소의 내부

※ 구금‧보호시설, 정신보건시설 등 법령에 근거하여 구금‧보호하는 시설은 가능

3. 영상정보처리기기 설치 시 사전의견 수렴 (법 제25조, 영 제23조, 표준지침 제42조) 

○ 관계전문가 및 이해관계인의 의견 수렴 방법

- 「행정절차법」에 따른 행정예고(20일이상)의 실시 또는 의견청취

-  영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회ㆍ설문조사 또는 여론조사

4. 안내판 설치 (법 제25조, 영 제24조, 표준지침 제43조) 

가. 안내판 설치 방법

○ 정보주체가 알아보기 쉬운 장소에 누구라도 판독가능하게 설치

-  건물 안에 여러 개를 설치하는 경우, 출입구 등 잘 보이는 곳에 해당시설 전체가 설치 지역임을 알리는 안내판 설치 가능

○ 안내판에 의무 기재 내용

나. 안내판 설치 예외 사항

○『군사시설보호법』제2조에 따른 군사시설,『통합방위법』제2조 제13호에 따른 국가중요시설,『보안업무규정』제26조에 따른 보안목표시설

-  국가고시센터, 정부통합전산센터(대전, 광주), 정부청사(중앙, 과천, 대전), 역사기록관, 나라기록관 등

5. 개인영상정보 보호 조치 (법 제25조, 표준지침 제49조, 제51조) 

○ 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지, 녹음기능 사용 금지

- 13 -

○ 개인영상정보 접근통제 및 접근권한의 제한 조치

○ 개인영상정보를 안전하게 저장‧전송할 수 있는 기술 적용(네트워크 카메라의 경우 암호화 전송, 개인정보영상파일의 비밀번호 설정 등)

○ 처리 기록의 보관 및 위‧변조 방지를 위한 조치

-  개인영상정보의 이용‧열람‧제공‧파기 시 개인영상정보 관리대장(별지 6호) 작성 등

○ 안전한 물리적 보관을 위한 보관시설마련 또는 잠금장치 설치

6. 영상정보처리기기 운영‧관리 방침 수립 (법 제25조, 표준지침 제40조) 

가. 영상정보처리기기 운영‧관리 방침(별지 7호) 마련 

나. 개인영상정보 보유기간 설정

○ 개인영상정보 보유목적의 달성을 위한 최소한의 기간을 설정하기 곤란한 때에는 보관기간을 개인영상정보 수집 후 30일 이내로 함 

7. 영상정보처리기기 설치‧운영 점검 (표준지침 제52조) 

○ 개인정보 보호책임관은 개인정보영상처리기기의 점검사항에 대한 자체 점검 결과를 다음해 3월 31일까지 행정자치부 장관(개인정보보호과)에게 통보하고 개인정보보호종합포탈(www. privacy.go.kr)에 등록 

○ 점검 사항

-  영상정보처리기기의 운영‧관리 방침 내용

-  관리책임자의 업무 수행, 위탁 및 수탁자에 대한 관리‧감독 현황

-  영상정보처리기기의 설치‧운영 및 기술적‧관리적‧물리적 조치

-  개인영상정보 수집 및 이용‧제공‧파기, 정보주체 권리행사 조치

-  영상정보처리기기 설치‧운영의 필요성 지속 여부 등

- 14 -

1. 개인정보 유출 정의 (표준지침 제26조) 

○ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

○ 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

○ 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우

○ 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우

2. 개인정보 유출 통지 (법 제34조, 영 제40조, 표준지침 제27~28조) 

가. 유출 통지 시기

○ 개인정보보호 분야별 책임관은 유출사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 정보주체에게 유출 사실 알림

○ 개인정보보호 분야별 책임관은 유출사고 최초 발생 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무 입증 책임

○ 개인정보보호 분야별 책임관은 긴급한 조치가 필요한 경우에는 해당 조치를 취한 후 지체 없이 개인정보주체에게 알림 

-  유출된 개인정보의 확산 및 추가유출 방지를 위한 접속경로 차단 -  유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치

-  취약점 점검‧보완 등

나. 유출 통지 항목

○ 정보주체에게 통지 항목

- 15 -

○ 통지항목에 대하여 구체적인 내용을 확인하지 못 한 경우

-  유출이 발생한 사실과 통지항목 중 확인된 사항을 먼저 알리고 나중에 확인되는 사항을 추가로 알림

다. 유출 통지 방법

○ 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법

○ 연락처가 없어 개별통지가 어려운 경우, 인터넷 홈페이지에 지속 게재

○ 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우, 정보주체에게 통지하는 동시에, 인터넷 홈페이지에 유출 통지 항목을 7일 이상 게재

3. 유출 신고 (법 제34조, 영 제39조, 표준지침 제29조) 

가. 유출 신고 절차 

※ 보통은 ②까지, 1만명 이상 유출된 경우에는 ③까지 신고

※ 소속‧산하 기관은 유출 즉시 인사혁신처 개인정보 보호책임관에게 신고

나. 유출 신고 방법 

○ 전자우편, 팩스, 개인정보보호종합지원포털(www.privacy.go.kr)로 신고

○ 시간적 여유가 없거나 특별한 사정이 있는 경우, 전화로 사전 신고 후 개인정보 유출신고서(별지 8호) 제출

- 16 -

1. 개인정보 수집 출처 등 고지 (법 제20조, 표준지침 제10조) 

가. 처리 기한

○ 정보주체 이외로부터 수집한 개인정보에 대하여 수집 출처 등 고지를 정보주체가 요구한 때에는 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내에 정보주체에게 결과를 알림

나. 요구사항에 대한 통지 내용

다. 수집 출처 등 고지를 거부하는 경우

○ 거부의 근거와 사유를 정보주체에게 통지

○ 정보주체의 요구에 대한 거부가 가능한 경우 

-  요구 대상 개인정보파일이 등록‧공개 제외사항에 해당하는 경우

-  고지로 인하여 다른 사람의 생명‧신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

2. 개인정보 처리 요구 (법 제35조, 제37~38조, 영 제41조, 제43조, 제45조, 규칙 제3조, 표준지침 제31~32조) 

가. 개인정보 처리 요구 절차

※ 개인정보보호종합지원포털(www.privacy.go.kr)을 통해서도 요구 가능

- 17 -

나. 요구 처리기한

○ 개인정보 처리 요구서를 받은 날로부터 10일 이내에 정보주체의 개인정보에 대한 요구사항을 처리하고 그 결과를 정보주체에게 알림

다. 대리인에 의한 처리 요구 가능

○ 정보주체는 자신의 법정대리인 또는 자신이 위임한 자에게 개인정보 처리 요구를 대리하게 할 수 있음

○ 만14세 미만 아동의 법정대리인은 그 아동의 개인정보 처리 요구 가능

○ 대리인이 정보주체를 대리할 경우에는 위임장(별지 13호) 제출

○ 개인정보보호 분야별 책임관은 처리요구자가 본인이거나 정당한 대리인임을 반드시 확인

라. 처리요구에 대한 수수료 등 비용 청구 가능

○ 열람 등을 요구하는 자에게 수수료와 우송료(사본의 우송을 청구하는 경우)를 필요한 실비의 범위에서 청구 가능

-  수수료는『공공기관의 정보공개에 관한 시행규칙』(참고 3) 준용 

-  단, 열람 등 요구를 하게 된 사유가 그 기관에 있는 경우에는 제외

3. 개인정보 열람 (법 제35조, 영 제42조, 표준지침 제30조) 

가. 개인정보 열람 제한 또는 거부가 가능한 경우

○ 법률에 따라 열람이 금지되거나 제한되는 경우

○ 다른 사람의 생명‧신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

○ 학력‧기능 및 채용에 관한 시험, 자격 심사에 관한 업무

○ 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 등 

나. 열람 연기

○ 열람 요구서를 받은 날부터 10일 이내에 열람할 수 없는 사유를 정보주체에게 알리고 연기 가능, 사유가 소멸한 날로부터 10일 이내에 열람 이행 

- 18 -

다. 제3자 제공현황에 대한 열람청구를 받은 경우

○ 당해 열람청구가 국가안보의 중요한 사안으로 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무를 수행하는 데 중대한 지장을 초래하는 경우에는 제3자에게 열람청구에 관련한 의견을 조회하여 결정 가능 

4. 개인정보 정정‧삭제 (법 제36조) 

○ 자신의 개인정보를 열람한 정보주체는 그 개인정보의 정정 또는 삭제를 요구 할 수 있음

-  단, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없음

5. 개인정보 처리정지 (법 제37조) 

○ 공개된 개인정보파일 중 자신의 개인정보에 대한 처리정지 요구 가능

○ 처리정지 요구를 거절할 수 있는 경우

-  법률에 특별한 규정이 있거나 법령 의무준수를 위하여 불가피한 경우

-  다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

-  개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

-  개인정보를 처리하지 않고는 정보주체와 계약 이행이 곤란한 경우로 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우

6. 손해 배상 청구 (법 제39조) 

○ 정보주체는 개인정보 보호법 위반행위로 인한 손해배상 청구 가능

○ 개인정보보호 분야별 책임관은 고의‧또는 과실이 없음을 입증 책임

-  법 의무사항 준수 등 개인정보 보호를 성실히 수행한 경우 감경 가능

7. 침해 사실 신고 (법 제62조, 영 제59조) 

○ 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터(한국인터넷진흥원, 국번없이 118)로 신고 가능

○ 침해사고 발생시 (집단)분쟁조정 및 단체소송 가능

- 19 -

1. 법 시행(’11. 9. 30) 전에 처리 중인 개인정보에 관한 경과 조치

가. 법 시행 전에 다른 법령에 따라 적법하게 처리된 개인정보

○ 개인정보보호법에 따라 처리된 것으로 봄

-  단, 법 시행 이후 기존의 수집 목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 이 지침에 따라야 함

나. 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 제공받아 목적 외의 용도로 이용하고 있는 경우

○ 정보주체의 동의를 받아야 함

다. 기 수집한 개인정보의 법 준수를 위하여 새롭게 정보주체의 동의를 받아야 하는 경우

○ 기 수집한 개인정보 활용 가능

라. 개인정보 영향평가 대상 규모의 개인정보파일을 운용하고 있는 경우

○ 법 시행일로부터 5년 이내에 영향평가 실시

2. 주민등록번호 처리 제한에 관한 경과조치

○ 법 시행 당시(’14.8.6) 처리하고 있는 주민등록번호는 법 시행 2년 이내에 파기

-  단, 법 제24조의 2 제1항 각호의 규정에 해당하는 경우 제외

-  법 시행 2년 이내에 파기하지 않는 경우 법 제24조의 2 제1항 규정을 위반한 것으로 봄

- 20 -

[별표]

개인정보파일 보유기간 책정 기준표

- 21 -

[별지 2호]

개인정보처리방침 (예시)

는 개인정보보호법 등 관련법령상의 개인정보보호 규정을 준수하며, 개인정보처리방침은 아래와 같습니다.

이 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지할 것입니다.

1조. 개인정보의 처리 목적

개인정보를 다음의 목적을 위해 처리합니다. 처리한 개인정보는 다음의 목적이외의 용도로는 사용되지 않으며 이용 목적이 변경될 시에는 사전 동의를 구할 예정입니다.

2조. 개인정보 처리 및 보유기간

3조. 개인정보 제3자 제공에 관한 사항(해당하는 경우만 작성)

다음과 같은 기관 및 자에게 개인정보를 제공하고 있으며 제공 목적 및 범위는 다음과 같습니다.

4조. 개인정보처리 위탁에 관한 사항(해당하는 경우에만 작성)

개인정보 처리를 위탁하는 사항은 다음과 같습니다.

위탁계약 시 개인정보보호 관련 법규의 준수, 개인정보에 관한 제3자 제공 금지 및 책임부담 등을 명확히

규정하고, 당해 계약내용을 서면 및 전자 보관하고 있습니다. 업체 변경시 공지사항 및 개인정보처리방침을 통해 고지하겠습니다

5조. 정보주체 권리‧의무 및 그 행사방법에 관한 사항

- 22 -

6조. 처리하는 개인정보 항목

7조. 개인정보 파기 절차 및 방법

8조. 개인정보 안전성 확보 조치

9조. 권익침해 구제방법 

10조. 개인정보보호 (분야별)책임관 및 담당자 연락처

11조. 개인정보처리방침 변경

- 23 -

- 24 -

[별지 4호]

개인정보파일 파기 요청서

- 25 -

[별지 5호]

개인정보파일 파기 관리대장

- 26 -

[별지 6호]

개인영상정보 관리대장

- 27 -

[별지 7호]

영상정보처리기기 운영 ‧ 관리 방침(예시)

는 영상정보처리기기 운영 ‧ 관리 방침을 통해 당 기관에서 처리하는 영상정보가 어떠한 용도와 방식으로 이용 ‧ 관리되고 있는지 알려드립니다.

1. 영상정보처리기기 설치 근거 및 설치 목적

당 기관은 개인정보보호법 제25조 제1항에 따라 다음과 같은 목적으로 영상정보처리기기를 설치 ‧ 운영합니다.

-  시설안전 및 화재 예방, 고객의 안전을 위한 범죄 예방, 차량도난 및 파손방지(주차장에 설치하는 경우)

※ 주차대수 30대를 초과하는 규모의 경우 「주차장법 시행규칙」제6조제1항을 근거로 설치‧운영 가능

2. 설치 대수, 설치 위치 및 촬영범위

3. 관리책임자 및 접근권한자

귀하의 영상정보를 보호하고 개인영상정보와 관련한 불만을 처리하기 위하여 아래와 같이 개인영상정보 보호책임자를 두고 있습니다. (접근권한자는 모두 기술)

4. 영상정보 촬영시간, 보관기간, 보관장소 및 처리방법

-  처리방법 : 개인영상정보의 목적외 이용, 제3자 제공, 파기, 열람 등 요구에 관한 사항을 기록‧관리하고, 보관기간 만료시 복원이 불가능한 방법으로 영구 삭제(출력물의 경우 파쇄 또는 소각)합니다.

5. 영상정보처리기기 설치 및 관리 등의 위탁에 관한 사항 (해당하는 경우만)

당 기관은 아래와 같이 영상정보처리기기 설치 및 관리 등을 위탁하고 있으며, 관계 법령에 따라 위탁계약 시 개인정보가 안전하게 관리될 수 있도록 필요한 사항을 규정하고 있습니다.

- 28 -

6. 개인영상정보 확인 방법 및 장소에 관한 사항

-  확인 방법 : 영상정보 관리책임자에게 미리 연락하고 본사를 방문하시면 확인 가능합니다.

-  확인 장소 : OO부서 OO팀

7. 정보주체의 영상정보 열람 등 요구에 대한 조치

귀하는 개인영상정보에 관하여 열람 또는 존재확인 ‧ 삭제를 원하는 경우 언제든지 영상정보처리기기 운영자에게 요구하실 수 있습니다. 단, 귀하가 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한정됩니다.

당 기관은 개인영상정보에 관하여 열람 또는 존재확인 ‧  삭제를 요구한 경우 지체없이 필요한 조치를 하겠습니다.

8. 영상정보의 안전성 확보조치

당 기관에서 처리하는 영상정보는 암호화 조치 등을 통하여 안전하게 관리되고 있습니다. 또한 당 기관은 개인영상정보보호를 위한 관리적 대책으로서 개인정보에 대한 접근 권한을 차등부여하고 있고, 개인영상정보의 위 ‧ 변조 방지를 위하여 개인영상정보의 생성 일시, 열람시 열람 목적 ‧ 열람자 ‧ 열람 일시 등을 기록하여 관리하고 있습니다. 이 외에도 개인영상정보의 안전한 물리적 보관을 위하여 잠금장치를 설치하고 있습니다.

9. 개인정보 처리방침 변경에 관한 사항

이 영상정보처리기기 운영‧관리방침은 2012년 O월 OO일에 제정되었으며 법령ㆍ정책 또는 보안기술의 변경에 따라 내용의 추가ㆍ삭제 및 수정이 있을 시에는 시행하기 최소 7일전에 당 기관 홈페이지를 통해 변경사유 및 내용 등을 공지하도록 하겠습니다.

-  공고일자 : 2012년 O월 OO일 / 시행일자 : 2012년 O월 OO일

- 29 -

- 30 -