제1조(목적)
이 규정은 「개인정보 보호법」 및 「동법 시행령」에 따라 우리 대학교에서 취급하는 개인정보를 안전하게 처리하기 위해 필요한 사항을 규정함을 목적으로 한다('13.4.2. 개정).
|
제1조(목적)
본 내부관리계획은 「개인정보 보호법」 제29조(안전조치의무)에 근거하여 제정된 것으로 개인정보를 안전하게 처리하고 보호하기 위해 단국대학교(이하 '우리 대학교')가 수행하여야 할 기본활동의 규정을 목적으로 한다.
|
제2조(적용범위)
이 규정은 우리 대학교에서 개인정보를 처리하는 자를 대상으로 한다('13.4.2. 개정).
|
제2조(적용범위)
본 내부관리계획은 전자적 처리 여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보를 취급하는 우리 대학교의 구성원에 대해 적용한다.
|
제3조(정의)
이 규정에서 사용하는 용어의 정의는 다음 각 호와 같다('13.4.2. 개정). 1. | "개인정보"라 함은 살아 있는 개인에 관한 정보로서 성명·주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. |
2. | "개인정보파일"이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다. |
3. | "처리"라 함은 개인정보의 수집·생성·기록·저장·보유·가공·편집·검색·출력·정정·복구·이용·제공·공개·파기 및 그 밖에 이와 유사한 행위를 말한다. |
4. | "개인정보 취급자"라 함은 우리 대학교에서 개인정보의 처리를 행하거나 행했던 자 또는 우리 대학교로부터 개인정보의 처리업무를 위탁받아 그 업무에 종사하거나 종사하였던 자를 말한다. |
5. | "정보주체"라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람를 말한다. |
6. | "영상정보처리기기"란 일정한 공간에 지속적으로 설치되는 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 폐쇄회로 텔레비전 또는 네트워크 카메라를 말한다. |
7. | "민감정보"라 함은 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저하게 침해할 우려가 있는 개인정보를 말한다. |
8. | "고유식별정보"라 함은 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 「주민등록법」 제7조제3항에 따른 주민등록번호, 「여권법」 제7조제1항제1호에 따른 여권번호, 「도로교통법」 제80조에 따른 운전면허의 면허번호, 「출입국관리법」 제31조제4항에 따른 외국인등록번호를 포함한다. |
|
제3조(용어정의)
본 내부관리계획에서 사용하는 용어의 정의는 다음의 각 호와 같다. 1. | "개인정보"라 함은 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. |
2. | "고유식별정보"라 함은 개인을 고유하게 구별하기 위하여 부여된 개인정보로서 「주민등록법」 제7조제3항에 따른 주민등록번호, 「여권법」 제7조제1항제1호에 따른 여권번호,「도로교통법」 제80조에 따른 운전면허의 면허번호,「출입국관리법」 제31조제4항에 따른 외국인등록번호를 포함한다. |
3. | "개인정보파일"이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. |
4. | "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다. |
5. | "정보주체"라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. |
6. | "처리"라 함은 개인정보의 수집·생성·기록·저장·보유·가공·편집·검색·출력·정정(訂正)·복구·이용·제공·공개·파기(破棄), 그 밖에 이와 유사한 행위를 말한다. |
7. | "제공"이라 함은 우리 대학교가 보유한 개인정보를 제3자에게 이전하거나 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 말한다. |
8. | "위탁"이라 함은 우리 대학교가 개인정보의 처리에 관한 업무를 수탁자에게 맡겨 처리하는 모든 행위를 말한다. |
|
제4조(개인정보 보호조직)
우리 대학교에서 취급하는 개인정보를 안전하게 처리하기 위하여 개인정보 보호책임자, 개인정보 분야별 책임자, 개인정보 취급자를 정한다('13.4.2. 개정, '13.4.2. '조' 변경).
|
제4조(내부관리계획 수립)
① | 개인정보 보호책임자는 우리 대학교가 「개인정보 보호법」 및 관련 법령을 준수하여 개인정보를 안전하게 처리하고 보호하도록 내부관리계획을 수립하여야 한다. |
② | 개인정보 보호담당자는 「개인정보 보호법」 및 관련 법령의 제·개정 등에 따라 내부관리계획의 개정이 필요한 경우 규정 개정 절차에 따른다. |
|
제5조(개인정보 보호원칙)
① | 개인정보 보호조직은 개인정보를 수집하는 경우 개인정보의 처리 목적을 명확히 하여야 하고, 그 목적에 반드시 필요한 최소한의 범위 안에서 적법하고 정당하게 수집하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다('13.4.2. 개정). |
② | 개인정보 보호조직은 개인정보의 정확성을 보장하고, 그 보호의 안전성을 확보하여야 한다('13.4.2. 개정). |
③ | 개인정보 보호조직은 개인정보의 처리에 관한 사항을 공개하여야 하며, 개인정보의 열람청구권 등 정보주체의 권리를 보장하여야 한다('13.4.2. 개정, '13.4.2. '조' 변경). |
|
제5조(내부관리계획 시행)
개인정보 보호책임자는 제4조 제2항에 따라 승인한 내부관리계획을 시행한다.
|
제6조(개인정보 보호책임자)
① | 개인정보 보호책임자(이하 "책임자"라 한다)는 우리 대학교에서 처리되는 개인정보에 대한 관리ㆍ감독 업무를 총괄한다('13.4.2. 개정). |
② | 총괄 책임자는 우리 대학교의 기획실장으로 한다('13.4.2. 개정). |
③ | 총괄 책임자는 다음 각 호의 업무를 수행한다('13.4.2. 개정). |
2. | 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 |
3. | 개인정보 처리와 관련한 불만의 처리 및 피해 구제 |
4. | 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축 |
5. | 개인정보 보호 교육 계획의 수립 및 시행 |
6. | 개인정보파일의 보호 및 관리·감독, 안정성 확보 |
7. | 개인정보 처리방침의 수립·변경·공개·시행 |
9. | 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 |
10. | 그 밖에 개인정보의 안전한 처리를 위해 필요로 하는 사항 |
|
제6조(개인정보 보호책임자)
① | 개인정보 보호책임자(이하 '책임자')는 우리 대학교에서 취급하는 개인정보의 처리에 관한 업무를 총괄하는 자로서 「개인정보 보호법 시행령」 제32조에 근거하여 기획실장으로 한다. |
1. | 「개인정보 보호법」 제31조제2항에 해당하는 업무 |
3. | 개인정보 위탁 처리에 따른 수탁자 교육 및 감독 |
5. | 「정보화위원회」에 개인정보보호 관련 안건 심의 요청 |
6. | 그 밖에 우리 대학교에서 취급하는 개인정보를 안전하게 처리하고 보호하기 위해 필요한 사항 |
③ | 책임자는 제2항의 업무를 효율적으로 수행하기 위해 우리 대학교의 직원 중 1인 이상을 개인정보 보호담당자(이하 '담당자')로 지정할 수 있으며, 담당자는 책임자를 보좌하여 실무를 처리한다. |
|
제7조(개인정보 취급 책임자)
① | 개인정보 취급 책임자(이하 "분야별 책임자"라 한다)는 책임자로부터 개인정보의 처리에 관한 업무를 위임받아 당해 부서 소관의 개인정보 처리를 책임진다('13.4.2. 개정, '13.4.2. '조' 명칭변경). |
② | 분야별 책임자는 각 부서의 팀장으로 한다('13.4.2. 개정). |
③ | 분야별 책임자는 다음 각 호의 업무를 수행한다('13.4.2. 개정). |
1. | 개인정보 취급자 지정 및 변경 즉시 총괄 책임자에게 통보 |
2. | 개인정보처리시스템에 대한 개인정보 취급자의 접근권한을 제한 |
3. | 개인정보 취급자의 개인정보 처리 업무를 지도·감독 |
4. | 개인정보 침해사고 발생 즉시 책임자에게 보고 |
5. | 보유하고 있는 개인정보파일에 대한 내용을 대장으로 관리·기록 |
6. | 개인정보파일의 신규등록·정정·파기 등 변경 사유 발생 즉시 책임자에게 통보 |
7. | 그 밖에 개인정보 보호를 위하여 책임자가 정한 사항을 이행 |
|
제7조(개인정보 취급책임자)
① 개인정보 취급책임자(이하 '분야별 책임자')는 소관 부서에서 취급하는 개인정보의 처리에 관한 업무를 관리·감독하는 자로서 해당 부서의 팀장으로 한다. ② | 분야별 책임자는 다음 각 호의 업무를 수행한다. |
2. | 개인정보처리시스템에 대한 개인정보 취급자의 접근권한 통제 |
3. | 그 밖에 우리 대학교의 개인정보보호를 위해 책임자가 정한 사항 |
③ | 총무(구매)팀장은 영상정보처리기기의 설치·운영에 관한 업무를 총괄하여 관리·감독한다. |
④ | 각 교학행정팀장은 소속 학부(과)·대학원 등에서 취급하는 개인정보의 처리를 총괄하여 관리·감독한다. |
|
제8조(개인정보 취급자)
① 개인정보 취급자(이하 "취급자"라 한다)는 분야별 책임자가 정한 개인정보의 처리 범위 안에서 개인정보를 처리하여야 한다('13.4.2. 개정). ② | 개인정보 취급자는 직무상 알게 된 개인정보를 누설하거나 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니 된다('13.4.2. 개정). |
|
제8조(개인정보 취급자)
① 개인정보 취급자(이하 '취급자')는 분야별 책임자의 관리·감독을 받아 개인정보를 처리하는 자로서 우리 대학교의 직원(정규직·계약직), 조교 등을 포함한다. 2. | 개인정보 목적 외 이용 및 제3자 제공 사실 기록 |
3. | 별표 제1호(개인정보 처리위탁 계약서)에 의한 개인정보 처리 업무 위탁 및 관련 사실 기록 |
5. | 개인정보 열람·정정·삭제·처리정지 등 요구에 대한 조치 및 결과 통지 |
7. | 그 밖에 우리 대학교의 개인정보보호를 위해 책임자가 정한 사항 |
|
제9조(위원회)
① | 우리 대학교의 개인정보보호 및 정보보안에 관한 안건을 심의하기 위하여 개인정보보호 및 정보보안 위원회(이하 "위원회"라 한다)를 두며, 위원회 운영에 관하여 필요한 사항은 별도로 정한다('13.4.2. 개정). |
② | 총괄 책임자는 우리 대학교의 개인정보 처리 및 보호와 관련한 사안에 대해 위원회에 심의를 요청할 수 있다('13.4.2. '항' 신설). |
|
제9조(사용자계정 관리)
책임자는 개인정보처리시스템에서 사용자를 식별하기 위해 계정을 관리하는 경우 다음 각 호의 사항을 포함하여 사용자에 대한 책임추적성을 확보하여야 한다.
|
제10조(개인정보의 수집ㆍ이용)
① | 분야별 책임자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다('13.4.2. 개정). |
2. | 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 |
3. | 우리 대학교가 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 |
4. | 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 |
5. | 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 |
6. | 우리 대학교의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 우리 대학교의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. |
② | 분야별 책임자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다('13.4.2. 개정). |
4. | 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 |
|
제10조(비밀번호 관리)
책임자는 개인정보처리시스템에서 사용자를 인증하기 위해 비밀번호를 관리하는 경우 사용자가 안전한 비밀번호를 사용하여 개인정보처리시스템에 접근할 수 있도록 다음 각 호의 어느 하나를 선택하여 개인정보처리시스템에 적용하여야 한다. 2. | 한국인터넷진흥원의 패스워드 안전성 검증 라이브러리 |
|
제11조(개인정보파일의 보유 범위)
분야별 책임자는 소관업무를 수행하기 위하여 필요한 최소한의 범위 내에서 개인정보파일을 보유할 수 있다('13.4.2. 개정).
|
제11조(접근권한 관리)
① | 책임자는 개인정보처리시스템에서 사용자를 인가하기 위해 접근권한을 관리하는 경우 사용자에 따라 필요한 최소한의 범위로 개인정보처리시스템에 대한 접근권한을 차등 부여하여야 한다. |
② | 책임자는 사용자가 보직변경·퇴직 등 인사발령이 있는 경우 지체 없이 개인정보처리시스템에 대한 해당 사용자의 접근권한을 부여·변경·말소하여야 한다. |
③ | 책임자는 개인정보처리시스템에 대한 사용자 접근권한의 부여·변경·말소 등 내역을 최소 3년간 기록·보관하여야 한다. |
|
제12조(개인정보파일의 보유·변경 시 사전협의)
① | 분야별 책임자가 개인정보파일을 신규등록ㆍ정정ㆍ파기 등 변경하고자 하는 경우에는 다음 각 호의 사항을 책임자와 협의하여야 한다('13.4.2. 개정). |
6. | 개인정보의 제3자 제공 및 위탁에 관한 사항 |
|
제12조(접근통제 및 유출방지)
① | 책임자는 정보통신망을 이용한 개인정보처리시스템에 대한 불법 접근 및 침해사고를 방지하기 위해 다음 각 호의 기능을 포함하는 접근통제시스템을 설치·운영하여야 한다. |
1. | 개인정보처리시스템에 대한 비인가 접근 차단 (접근 가능한 IP 주소 제한 등) |
2. | 개인정보처리시스템에 대한 불법적인 개인정보 유출 시도 등 사이버위협 탐지 및 방어 |
② | 책임자는 우리 대학교 외부에서의 개인정보처리시스템에 대한 관리 목적의 서비스 접근을 원천적으로 차단하여야 한다. 다만, 책임자가 필요하다고 인정하는 경우에는 가상사설망·전용선 등 안전한 통신수단을 이용하여 개인정보처리시스템에 대한 관리 목적의 서비스 접근을 허용할 수 있다. |
③ | 책임자는 개인정보가 비인가자에게 공개되거나 유출·노출되지 아니하도록 다음 각 호의 사항을 포함하는 보안대책을 강구하여야 한다. |
1. | P2P 등 인터넷을 이용한 파일공유 제한 |
3. | 홈페이지 게시판 등을 이용한 개인정보 유출 차단 |
4. | 인터넷 검색엔진에 의한 개인정보 노출 점검 및 삭제 요청 |
|
제13조(개인정보파일의 이용·제공 제한)
① | 분야별 책임자는 개인정보파일의 수집 목적 이 외의 용도로 제3자에게 개인정보를 제공하거나 이용하게 하여서는 아니 된다('13.4.2. 개정). |
② | 제1항의 규정에도 불구하고 분야별 책임자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 권리와 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 해당 개인정보파일의 수집 목적 이 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다('13.4.2. 개정). |
2. | 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 제공하는 경우 |
3. | 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 |
4. | 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 |
5. | 법원의 재판업무 수행을 위하여 필요한 경우 |
③ | 분야별 책임자는 제2항 제2호 내지 제5호의 규정에 의하여 개인정보를 정보주체 이 외의 제3자에게 제공하거나 이용하게 하는 때에는 개인정보를 제공 받은 자에 대하여 그 사용 목적 및 방법 등을 제한하거나 개인정보가 분실·도난·유출·변조·훼손되지 아니하도록 개인정보의 안전성 확보를 위해 필요한 조치를 강구하도록 요청하여야 한다('13.4.2. 개정). |
④ | 분야별 책임자로부터 개인정보를 제공받은 자는 분야별 책임자의 동의 없이 해당 개인정보를 제3자에게 제공하거나 이용하게 하여서는 아니 된다('13.4.2. 개정). |
⑤ | 분야별 책임자는 제2항 제2호 내지 제5호에 따라 수집 목적 이 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 근거·목적·범위 등을 정보주체가 쉽게 확인할 수 있도록 홈페이지를 통해 공개하여야 한다('13.4.2. 개정). |
|
제13조(개인정보 암호화)
책임자는 고유식별정보·비밀번호·바이오정보를 정보통신망을 통해 전송하거나 저장매체에 저장하는 경우 다음 각 호의 사항을 포함하여 암호화하여야 한다. 1. | 안전한 암호화 알고리즘을 사용하여 암호화 |
2. | 비밀번호는 복호화되지 아니하도록 일방향 암호화 |
3. | 고유식별정보 중 주민등록번호는 뒷자리 6개 이상 암호화 (단, 개인정보처리시스템에서 검색 키로 주민등록번호를 사용하는 경우에 한 함) |
|
제14조(개인정보파일의 파기)
분야별 책임자는 개인정보파일의 보유기간 경과 및 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다('13.4.2. 개정).
|
제14조(접속기록 보관 및 위조·변조 방지)
① 책임자는 사용자가 개인정보처리시스템에 접속하여 개인정보를 처리하는 경우 다음 각 호의 사항을 포함하는 접속기록을 최소 6개월 이상 기록·보관하여야 한다. 4. | 개인정보 처리 내역 (예시; 프로그램 ID 등록·수정·삭제·조회·출력·저장 등 #건) |
② | 책임자는 제1항의 접속기록이 위조·변조·도난·분실되지 아니하도록 접속기록을 정기적으로 백업하여 CD-ROM 등 덮어쓰기 방지가 가능한 별도의 저장매체에 안전하게 보관하여야 한다. |
|
제15조(민감정보 및 고유식별번호의 처리 제한)
분야별 책임자는 민감정보 및 고유식별정보를 수집하여서는 아니 된다. 다만, 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다('13.4.2. '조' 명칭변경, '13.4.2. 개정). 2. | 법령에서 민감정보 및 고유식별정보의 처리를 요구하거나 허용하는 경우 |
|
제15조(보안프로그램 설치·운영)
책임자는 우리 대학교의 모든 업무용 컴퓨터에 대해 다음 각 호의 기능을 포함한 보안프로그램을 설치·운영하여야 한다. 1. | 컴퓨터 바이러스 백신 프로그램의 자동 업데이트 및 실시간 검사 설정 |
2. | 운영체제 및 주요 응용프로그램의 보안패치 자동 업데이트 |
3. | 업무용 PC에 저장된 개인정보가 포함된 파일의 검출·암호화·완전삭제 |
|
제16조(개인정보의 안전성 확보 조치)
책임자는 개인정보가 분실·도난·누출·변조·훼손되지 아니하도록 안전성 확보에 필요한 조치를 강구하여야 한다('13.4.2. 개정).
|
제16조(물리적 접근제한)
① | 책임자는 개인정보가 포함된 서류·저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. |
② | 책임자는 개인정보를 보관하는 물리적인 장소를 보호구역으로 정하여야 한다. |
|
제17조(영상정보처리기기의 설치)
① | 총무인사처장은 범죄 예방 및 안전 확보 등을 위하여 내부 구성원의 의견을 수렴한 후 영상정보처리기기를 설치할 수 있다('13.4.2. 개정). |
② | 설치된 영상정보처리기기는 설치 목적의 범위를 넘어 카메라를 임의로 조작하거나 다른 곳을 비추어서는 아니 되며, 녹음기능은 사용할 수 없다. |
③ | 영상정보처리기기를 설치하는 경우 정보주체가 쉽게 알아볼 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하여야 한다. 다만, 건물 안에 여러개의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다. |
|
제17조(개인정보보호 교육 계획)
① 책임자는 개인정보가 안전하게 처리되고 적정하게 취급될 수 있도록 취급자를 교육하여야 한다. ② | 책임자는 제1항과 관련한 교육의 구체적인 내용·대상·시기·방법 등을 포함하는 연간 개인정보보호 교육 계획을 매년 3월말까지 수립한다. |
|
제18조(개인정보의 열람)
① | 정보주체는 개인정보파일에 기재된 범위 안에서 자신의 개인정보에 대한 열람을 해당 분야별 책임자에게 요구할 수 있다('13.4.2. 개정). |
② | 분야별 책임자는 제1항에 따른 열람을 요구받았을 때에는 열람 요구를 받은 날부터 10일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 10일 이내에 열람하게 할 수 없는 정당한 사유가 있는 때에는 정보주체에게 그 사유를 통지하고 열람을 연기할 수 있으며, 그 사유가 소멸한 때에는 지체 없이 열람하게 하여야 한다('13.4.2. 개정). |
③ | 분야별 책임자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다('13.4.2. 개정). |
1. | 법룰에 따라 열람이 금지되거나 제한되는 경우 |
2. | 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 |
3. | 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 |
가. | 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적의 평가 또는 입학자의 선발에 관한 업무 |
나. | 학력·기능 및 채용에 관한 시험, 자격의 심사에 관한 업무 |
다. | 보상금·급부금의 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무 |
라. | 다른 법률에 따라 감사 및 조사에 관한 업무 |
|
제18조(개인정보보호 교육 실시)
① | 책임자는 취급자를 대상으로 연1회 이상의 개인정보보호 교육을 실시하여야 한다. |
② | 책임자는 집체 교육 외에 온라인 교육 등 다양한 방법을 활용하거나 외부 전문기관에 의뢰하여 교육을 실시할 수 있다. |
|
제19조(개인정보의 정정 및 삭제)
① | 제18조에 따라 자신의 개인정보를 열람한 정보주체는 분야별 책임자에게 문서로 해당 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 해당 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다('13.4.2. 개정). |
② | 분야별 책임자는 제1항에 따른 요구를 받은 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정 또는 삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다('13.4.2. 개정). |
③ | 분야별 책임자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정 또는 삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다('13.4.2. 개정). |
|
제19조(개인정보파일 관리)
① 취급자는 다음 각 호의 어느 하나에 해당하는 개인정보파일을 운용하는 경우 책임자에게 그 개인정보파일의 등록을 신청하여야 한다. 등록된 사항을 변경하거나 폐기하는 경우에도 또한 같다. 1. | 「표준 개인정보 보호지침」 제58조에 따른 별표 제3호(개인정보파일 표준목록(대학))에 해당하는 개인정보파일 |
2. | 그 밖에 책임자가 등록이 필요하다고 인정하는 개인정보파일 |
② | 책임자는 제1항에 따른 개인정보파일의 등록·변경·폐기 신청을 검토하여 그 적정성을 판단한 후 교육부의 확인을 받아 행정차지부에 등록·공개하여야 한다. |
|
제20조(개인정보의 처리정지)
① | 정보주체는 분야별 책임자에게 자신의 개인정보 처리의 정지를 요구할 수 있다('13.4.2. 개정). |
② | 분야별 책임자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다('13.4.2. 개정). |
1. | 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 |
2. | 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 |
3. | 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 |
4. | 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 |
|
제20조(개인정보 목적 외 이용·제공)
취급자는 「개인정보 보호법」 제18조에 따라 개인정보를 수집 목적 이외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용·제공 사실을 기록·공개하여야 한다.
|
제21조(세부사항)
우리 대학교의 개인정보보호를 위해 필요한 사항은 별도로 정한다('13.4.2. 개정).
|
제21조(개인정보 처리업무 위탁)
① 취급자는 「개인정보 보호법」 제26조에 따라 개인정보의 처리에 관한 업무를 제3자에게 위탁하는 경우 별표 제1호(개인정보 처리위탁 계약서)의 문서에 의하여 위탁하여야 하며, 그 위탁 사실을 기록·공개하여야 한다. ② | 취급자는 수탁자가 제1항에 따른 위탁계약의 목적 및 범위를 초과하여 개인정보를 이용하거나 이를 제3자에게 재 제공한 사실을 인지한 경우 수탁자에게 개인정보의 제공을 즉시 중단하는 등 필요한 조치를 하거나 위탁계약의 위반에 따른 손해배상을 청구할 수 있다. |
③ | 책임자는 수탁자가 제1항에 따른 위탁계약을 성실히 이행하여 개인정보를 안전하게 처리하고 보호하도록 별표 제2호(개인정보 위탁처리 관리실태 점검)에 의하여 수탁자를 교육하고 감독한다. |
|
제22조(준용)
이 규정에 명시되지 아니한 사항은 「개인정보 보호법」 및 「개인정보 보호법 시행령」, 「개인정보 보호법 시행규칙」등을 준용한다.
|
제22조(개인정보 파기)
① 취급자는 「개인정보 보호법」 제21조에 따라 개인정보의 보유기간 경과, 처리목적 달성 등 개인정보가 불필요하게 된 경우 책임자에게 그 개인정보의 파기를 신청하여야 한다. ② | 책임자는 제1항에 따른 개인정보의 파기 신청에 대해 내부결재 문서에 의하여 승인하거나 반려할 수 있다. |
|
<신설>
|
제23조(개인정보 열람·정정·삭제·처리정지)
① 취급자는 「개인정보 보호법」 제35조 내지 제37조에 따라 정보주체가 본인의 개인정보에 대해 열람·정정·삭제·처리정지를 요구(이하'열람등요구')하는 경우 다음 각 호의 사항을 포함하는 절차 및 방법에 따라 처리하여야 한다. 1. | 열람등요구를 한 정보주체 또는 대리인에 대한 본인 확인 |
3. | 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의제기 안내 |
② | 제1항과 관련한 구체적인 사항은 별표 제4호(열람등요구 처리 절차 및 방법)에서 정한다. |
|
<신설>
|
제24조(개인정보 침해사고 대응)
① 책임자는 개인정보의 유출·분실·도난·변조·훼손 등 침해사고가 발생한 경우 그 피해를 최소화하기 위하여 다음 각 호의 사항을 포함하는 대책을 마련하여야 한다. 3. | 개인정보 침해사고 등급 분류 (위험도 및 영향도) |
② | 제1항과 관련한 구체적인 사항은 별표 제5호(개인정보 침해사고 대응지침)에서 정한다. |
|
<신설>
|
부칙(2015.6.25.)
이 규정은 2015. 6. 25.부터 시행한다.
|