개인정보보호 관리규정 (내부관리계획)
제정 : 2012. 9. 7.
전문개정 : 2015. 6. 25.
개정 : 2024. 3. 27.
제1조(목적) |
|
본 내부관리계획은 「개인정보 보호법」 제29조(안전조치의무)에 근거하여 제정된 것으로 개인정보를 안전하게 처리하고 보호하기 위해 단국대학교(이하 '우리 대학교')가 수행하여야 할 기본활동의 규정을 목적으로 한다.
제2조(적용범위) |
|
본 내부관리계획은 전자적 처리 여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보를 취급하는 우리 대학교의 구성원에 대해 적용한다.
제3조(용어정의) |
|
본 내부관리계획에서 사용하는 용어의 정의는 다음의 각 호와 같다.
1. | "개인정보"라 함은 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. |
2. | "고유식별정보"라 함은 개인을 고유하게 구별하기 위하여 부여된 개인정보로서 「주민등록법」 제7조제3항에 따른 주민등록번호, 「여권법」 제7조제1항제1호에 따른 여권번호,「도로교통법」 제80조에 따른 운전면허의 면허번호,「출입국관리법」 제31조제4항에 따른 외국인등록번호를 포함한다. |
3. | "민감정보"라 함은 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 유전정보, 범죄경력에 해당하는 정보를 포함한다. <신설 2017.12.29.> |
4. | "개인정보파일"이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. <번호변경 2017.12.29.> |
5. | "개인정보처리시스템"이라 함은 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. <개정 2017.12.29.> |
6. | "정보주체"라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. <번호변경 2017.12.29.> |
7. | "처리"라 함은 개인정보의 수집·생성·기록·저장·보유·가공·편집·검색·출력·정정(訂正)·복구·이용·제공·공개·파기(破棄), 그 밖에 이와 유사한 행위를 말한다. <번호변경 2017.12.29.> |
8. | "제공"이라 함은 우리 대학교가 보유한 개인정보를 제3자에게 이전하거나 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 말한다. <번호변경 2017.12.29.> |
9. | "위탁"이라 함은 우리 대학교가 개인정보의 처리에 관한 업무를 수탁자에게 맡겨 처리하는 모든 행위를 말한다. <번호변경 2017.12.29.> |
10. | "가명정보"라 함은 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보로서 추가 정보 결합 시 개인 재식별이 가능한 정보를 말한다. <신설 2022.2.22.> |
제4조(내부관리계획 수립) |
|
① | 개인정보 보호책임자는 우리 대학교가 「개인정보 보호법」 및 관련 법령을 준수하여 개인정보를 안전하게 처리하고 보호하도록 내부관리계획을 수립하여야 한다. |
② | 내부관리계획의 제·개정은 우리 대학교의 「제규정 관리 규정」에서 정한 절차를 따른다. <개정 2017.12.29.> |
제5조(내부관리계획 시행) |
|
개인정보 보호책임자는 제4조에 따라 수립된 내부관리계획을 시행하고, 연 1회 이상 내부관리계획의 이행 실태를 점검 및 관리한다. <개정 2017.12.29.>
|
제6조(개인정보 보호조직의 구성 및 운영) |
|
① | 개인정보 보호책임자는 「개인정보 보호법」 제31조에 따라 디지털정보원장으로 한다. <개정 2019.12.2., 2024.3.27.> |
② | 개인정보 보호책임자는 제1항의 업무를 효율적으로 수행하기 위해 우리 대학교의 직원 중 1인 이상을 개인정보 보호담당자로 지정할 수 있으며, 개인정보 보호담당자는 개인정보 보호책임자의 지휘 및 감독 하에 개인정보 보호책임자의 업무를 지원한다. |
③ | 분야별 책임자는 개인정보를 취급하는 부서(팀)의 장으로 한다. <개정 2023. 12. 29.> |
④ | 분야별 책임자는 소속 부서(팀)의 직원 중 개인정보 취급자를 최소한으로 제한하여 지정하여야 한다. <개정 2023. 12. 29.> |
⑤ | 본교의 개인정보 처리방침에 공개 중인 개인정보파일을 운영하는 부서(팀)은 분야별 책임자 및 개인정보 취급자를 정해야 한다. <신설 2023. 12. 29.> |
[본조신설 2017.12.29.]
제7조(개인정보 보호책임자의 역할 및 책임) |
|
개인정보 보호책임자(이하 '책임자')는 우리 대학교에서 취급하는 개인정보의 처리에 관한 업무를 총괄하는 자로서 다음 각 호의 업무를 수행한다. <개정 2017.12.29.>
1. | 「개인정보 보호법」 제31조제2항에 해당하는 업무 |
2. | 「정보화위원회」에 개인정보보호 관련 안건 심의 요청 <번호개정 2017.12.29.> |
3. | 그 밖의 우리 대학교에서 취급하는 개인정보를 안전하게 처리하고 보호하기 위해 필요한 사항 <번호개정 2017.12.29.> |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제8조(분야별 책임자의 역할 및 책임) |
|
① | 분야별 책임자(이하 '분야별 책임자')는 소속 부서(팀)에서 취급하는 개인정보의 처리에 관한 업무를 관리 및 감독하는 자로서 다음 각 호의 업무를 수행한다. <개정 2017.12.29.> |
1. | 개인정보처리시스템에 대한 개인정보 취급자의 접근권한 통제 <번호개정 2017.12.29.> |
2. | 그 밖의 우리 대학교의 개인정보보호를 위해 책임자가 정한 사항 <번호개정 2017.12.29.> |
② | 총무(인사)팀장은 영상정보처리기기의 설치·운영에 관한 업무를 총괄하여 관리·감독한다. <번호개정 2017.12.29.> <개정 2017.12.29.> |
③ | 각 교학행정팀장은 소속 대학·대학원 등에서 취급하는 개인정보의 처리를 총괄하여 관리·감독한다. <번호개정 2017.12.29.> <개정 2017.12.29.> |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제9조(개인정보 취급자의 역할 및 책임) |
|
개인정보 취급자(이하 '취급자')는 분야별 책임자의 관리·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 다음 각 호의 업무를 수행한다. <개정 2017.12.29., 2019.12.2.>
1. | 개인정보파일 등록사항의 등록·변경·폐기 신청 <개정 2017.12.29.> |
2. | 개인정보 목적 외 이용 및 제3자 제공 사실 기록 |
3. | 별지 제1호 서식(개인정보 처리위탁 계약서)에 의한 개인정보 처리 업무 위탁 및 관련 사실 기록 <개정 2017.12.29.> |
5. | 제28조에 따른 정보주체의 개인정보 열람등요구에 대한 조치 <개정 2023. 12. 29.> |
7. | 그 밖의 우리 대학교의 개인정보보호를 위해 책임자가 정한 사항 |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제10조(개인정보 보호 교육 계획) |
|
① | 책임자는 개인정보가 안전하게 처리되고 적정하게 취급될 수 있도록 취급자를 교육하여야 한다. |
② | 책임자는 제1항과 관련한 교육의 구체적인 내용·대상·시기·방법 등을 포함하는 연간 개인정보보호 교육 계획을 매년 3월말까지 수립한다. |
[번호변경 2017.12.29.]
제11조(개인정보 보호 교육 실시) |
|
① | 책임자는 취급자를 대상으로 연 1회 이상의 개인정보보호 교육을 실시하여야 한다. |
② | 책임자는 집체 교육 외에 온라인 교육 등 다양한 방법을 활용하거나 외부 전문기관에 의뢰하여 교육을 실시할 수 있다. |
[번호변경 2017.12.29.]
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제12조(계정 관리) |
|
책임자는 개인정보처리시스템에 접속한 취급자를 식별하기 위해 계정을 관리하는 경우 다음 각 호의 사항을 포함하여 취급자에 대한 책임추적성을 확보하여야 한다. <개정 2017.12.29.>
1. | 취급자별로 한 개의 계정을 발급 <개정 2017.12.29.> |
2. | 다른 취급자와 계정 공유 불가 다만, 관리자 계정 등 계정 공유가 현실적으로 불가피한 경우 계정 공유의 정당한 사유 소명 필요 <개정 2017.12.29., 2023. 12. 29.> |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제13조(인증 관리) |
|
① | 책임자는 개인정보처리시스템에 접속하는 계정을 인증하기 위해 비밀번호를 관리하는 경우 안전한 비밀번호를 사용하여 개인정보처리시스템에 접근할 수 있도록 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 개인정보처리시스템에 적용하여야 한다. <개정 2017.12.29., 2023. 12. 29.> |
1. | 영문 대/소문자, 숫자, 특수문자를 이용 3가지 조합 8자리 이상 또는 2가지 조합 10자리 이상으로 설정 <개정 2017.12.29., 2019.12.2.> |
2. | 비밀번호에 하나 이상의 숫자를 반드시 포함 (단, 숫자만으로는 비밀번호 작성 불가) <개정 2017.12.29.> |
3. | 사용자계정, 이메일 ID, 연속된 영문자는 비밀번호에 포함 불가 <신설 2017.12.29.> |
[번호변경 2017.12.29.]
② | 책임자는 개인정보처리시스템에 접속하는 계정을 인증하기 위해 제1항의 비밀번호 외에도 다른 안전한 인증수단을 적용할 수 있다. <신설 2023. 12. 29.> |
③ | 책임자는 비인가자가 개인정보처리시스템에 접근할 수 없도록 5회 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하여야 한다. <신설 2023. 12. 29.> |
[제목개정 2023. 12. 29.]
제14조(접근권한 관리) |
|
① | 책임자는 개인정보처리시스템에 접속한 취급자를 인가하기 위해 접근권한을 관리하는 경우 취급자에 따라 필요한 최소한의 범위로 개인정보처리시스템에 대한 접근권한을 차등 부여하여야 한다. <개정 2017.12.29.> |
② | 책임자는 인사이동 또는 업무변경 등으로 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템에 대한 해당 취급자의 접근권한을 부여·변경·말소하여야 한다. <개정 2017.12.29., 2023. 12. 29.> |
③ | 책임자는 개인정보처리시스템에 대한 취급자 접근권한의 부여·변경·말소 등 내역을 전자적으로 기록하여 최소 3년간 보관하여야 한다. <개정 2017.12.29., 2023. 12. 29.> |
제15조(접근통제 및 유출방지) |
|
① | 책임자는 정보통신망을 이용한 개인정보처리시스템에 대한 불법 접근 및 침해사고를 방지하기 위해 다음 각 호의 기능을 포함하는 접근통제시스템을 설치·운영하여야 한다. |
1. | 개인정보처리시스템에 대한 비인가 접근 차단 (접근 가능한 IP 주소 제한 등) |
2. | 개인정보처리시스템에 대한 불법적인 개인정보 유출 시도 등 사이버위협 탐지 및 방어 |
② | 책임자는 취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 안전한 접속수단을 적용하거나 안전한 인증수단을 적용할 수 있다. <개정 2023. 12. 29.> |
1. | 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등 <신설 2023. 12. 29.> |
2. | 안전한 접속수단 : 가상사설망, 전용선, 보안서버(SSL 인증서) 등 <신설 2023. 12. 29.> |
③ | 책임자는 개인정보가 비인가자에게 공개되거나 유출·노출·변조·훼손되지 아니하도록 다음 각 호의 사항을 포함하는 보안대책을 강구하여야 한다. <개정 2017.12.29.> |
1. | P2P 등 파일공유 제한 <개정 2017.12.29.> |
2. | 홈페이지 취약점 점검 및 제거 (연 1회 이상) <개정 2017.12.29.> |
3. | 홈페이지 게시판 등을 이용한 개인정보 유출 차단 |
4. | 인터넷 검색엔진에 의한 개인정보 노출 점검 및 삭제 요청 |
④ | 책임자는 취급자가 개인정보처리시스템에 접속하여 1시간 이상 처리를 하지 않는 경우 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다. <신설 2017.12.29., 개정 2023. 12. 29.> |
[번호변경 2017.12.29.]
⑤ | 책임자는 전년도 말 기준 직전 3개월간 이용자 수가 일일평균 100만명 이상인 개인정보처리시스템에 접근하는 취급자의 컴퓨터 등에 대해 인터넷망(클라우드컴퓨팅서비스의 경우 해당 서비스에 대한 접속은 제외) 차단 조치를 하여야 한다. <신설 2023. 12. 29.> |
제16조(개인정보 암호화) |
|
① | 책임자는 암호화 대상 개인정보를 저장하는 경우 다음 각 호의 사항을 포함하여 암호화하여야 한다. <번호개정 2017.12.29., 2023. 12. 29.> |
1. | 안전한 암호화 알고리즘을 사용하여 암호화 |
2. | 비밀번호는 복호화되지 아니하도록 일방향 암호화 |
3. | 저장 위치와 관계없이 암호화 대상 개인정보를 암호화 <개정 2017.12.29., 2023. 12. 29.> |
4. | 암호화 대상 개인정보 : 고유식별정보, 신용카드번호, 계좌번호, 인증정보(생체인식정보, 비밀번호 등) <신설 2023. 12. 29.> |
② | 책임자는 제1항의 암호화 대상 개인정보를 포함한 모든 개인정보를 정보통신망을 통하여 송수신하는 경우에는 안전한 암호화 알고리즘을 사용하여 암호화하여야 한다. <신설 2023. 12. 29.> |
③ | 책임자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립하여 시행하여야 한다. <신설 2017.12.29.> <번호개정 2023. 12. 29.> |
[번호변경 2017.12.29.]
제17조(접속기록 보관 및 점검) |
|
① | 개인정보처리시스템에 접속한 기록을 다음 각 호의 사항을 포함하여 1년(5만명 이상의 정보주체에 관하여 개인정보를 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템은 2년) 이상 기록 및 보관하고 월 1회 이상 점검하여야 한다. <개정 2017.12.29., 2019.12.2. 2023. 12. 29.> |
1. | 식별정보 (계정 등) <개정 2017.12.29., 2023. 12. 29.> |
2. | 접속 일시 <개정 2017.12.29.> |
3. | 접속 IP 주소 <개정 2017.12.29.> |
4. | 수행업무 (예시 : 프로그램 ID 등록·수정·삭제·조회·출력·저장 등) <개정 2023. 12. 29.> |
5. | 접속대상정보 <신설 2019.12.2.> |
6. | 다운로드 사유 (개인정보의 다운로드가 확인된 경우) <신설 2019.12.2., 개정 2023. 12. 29.> |
② | 책임자는 제1항의 접속기록이 위조·변조·도난·분실되지 아니하도록 접속기록을 안전하게 보관하여야 한다. <개정 2023. 12. 29.> |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제18조(보안프로그램 설치·운영) |
|
책임자는 악성프로그램의 실행 등을 방지하기 위하여 우리 대학교의 모든 업무용 컴퓨터에 대해 다음 각 호의 기능을 포함하는 보안프로그램을 설치·운영하여야 한다. <개정 2017.12.29.>
1. | 백신 프로그램의 자동 업데이트, 실시간 검사 설정, 악성프로그램 치료 <개정 2017.12.29.> |
2. | 운영체제 및 주요 응용프로그램의 보안패치 자동 업데이트 |
3. | 업무용 PC에 저장된 개인정보가 포함된 파일의 검출·암호화·완전삭제 |
[번호변경 2017.12.29.]
제19조(개인정보 유출사고 대응) |
|
① | 책임자는 개인정보 유출사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위하여 다음 각 호의 사항을 포함하는 대책을 마련하여야 한다. <개정 2017.12.29.> |
1. | 개인정보 유출 정의 <개정 2017.12.29.> |
2. | 개인정보 유출사고 대응 조직 <개정 2017.12.29.> |
3. | 개인정보 유출사고 예방을 위한 안전조치 <개정 2017.12.29.> |
4. | 개인정보 유출사고 시 단계별 대응절차 <신설 2017.12.29.> |
② | 제1항과 관련한 구체적인 사항은 별도로 정한다. <개정 2017.12.29.> |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제20조(위험도 분석 및 대응) |
|
책임자는 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있도록 다음 각 호의 사항을 포함하는 방안을 마련하여야 한다.
1. | (자산식별) 개인정보, 개인정보처리시스템 등 보호대상을 명확하게 확인 |
2. | (위협확인) 자산에 손실 또는 해를 끼칠 수 있는 위협요소(취약점 등) 확인 |
3. | (위험확인) 위협으로 인하여 자산에 영향을 끼칠 수 있는 위험의 내용과 정도를 확인 |
4. | (대책마련) 위험에 대한 적절한 통제 방안 마련 |
5. | (사후관리) 위험대책을 적용하고 지속적으로 개선·관리를 위한 안전조치 사항 |
[본조신설 2017.12.29.]
제21조(보호구역 출입 통제) |
|
① | 책임자는 개인정보를 보관하는 물리적인 장소를 보호구역으로 지정하고 다음 각 호의 사항을 포함하는 출입통제 절차를 적용하여야 한다. <개정 2017.12.29.> |
1. | 보호구역 출입자 관리대장에 출입내역을 기록 및 보관 (출입자, 출입사유, 출입시각 등) <신설 2017.12.29.> |
2. | 상시 이용하는 출입문은 한 곳으로 정하고 이중 잠금장치 설치 <신설 2017.12.29.> |
3. | 출입자 식별을 위한 출입문 보안장치 설치 및 주야간 감시 <신설 2017.12.29.> |
② | 책임자는 개인정보가 포함된 서류·보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. <개정 2017.12.29.> |
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제22조(보조저장매체 반출·입 통제) |
|
책임자는 보조저장매체를 통해 개인정보가 유출되지 아니하도록 다음 각 호의 사항을 포함하여 보호구역에서 보조저장매체 반출·입을 통제하여야 한다. <개정 2023. 12. 29.>
1. | 관리용 단말기에서의 자료 전송 통제 <개정 2023. 12. 29.> |
2. | 보조저장매체에 암호화 대상 개인정보 저장 시 암호화하여 저장 <개정 2023. 12. 29.> |
3. | 보조저장매체를 PC에 연결하는 경우 악성코드 점검 및 자동실행 방지 <개정 2023. 12. 29.> |
[본조신설 2017.12.29.]
제23조(재해 및 재난 대비 안전조치) |
|
① | 책임자는 재해·재난 발생 시 개인정보처리시스템을 보호하기 위하여 다음 각 호의 사항을 포함하는 위기대응 절차를 마련하고 연 1회 이상 점검하여야 한다. |
1. | 재해·재난 정의 및 파급효과 (개인정보의 유출, 손실, 훼손 등) |
② | 제1항과 관련한 구체적인 사항은 별도로 정한다. |
[본조신설 2017.12.29.]
제8장 그 밖의 개인정보 보호를 위해 필요한 사항
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제24조(개인정보파일 관리) |
|
① | 취급자는 다음 각 호의 어느 하나에 해당하는 개인정보파일을 운용하는 경우 책임자에게 그 개인정보파일의 등록사항에 대한 등록을 신청하여야 한다. 개인정보파일의 등록사항을 변경하거나 폐기하는 경우에도 또한 같다. <개정 2017.12.29.> |
1. | 「표준 개인정보 보호지침」 제54조에 따른 개인정보파일 <개정 2023. 12. 29.> |
2. | 그 밖의 책임자가 등록이 필요하다고 인정하는 개인정보파일 |
② | 책임자는 제1항에 따른 개인정보파일의 등록사항에 대한 등록·변경·폐기 신청을 검토하여 그 적정성을 판단한 후 교육부의 확인을 받아 개인정보보호위원회에 등록·공개한다. <개정 2017.12.29., 2021.6.17.> |
[번호변경 2017.12.29.]
제25조(개인정보 수집·이용·제공·국외이전 등) |
|
① | 취급자는 「개인정보 보호법」 제15조 내지 제17조에 따라 개인정보를 수집, 이용, 제공할 수 있다. <개정 2023. 12. 29.> |
② | 취급자는 「개인정보 보호법」 제18조에 따라 제1항의 개인정보 수집, 이용, 제공 목적의 범위를 초과하여 개인정보를 이용하거나 제공할 수 있다. 이 경우에는 관련 사실을 기록 및 공개하여야 한다. <신설 2023. 12. 29.> |
③ | 취급자는 「개인정보 보호법」 제28조의8 ~ 제28조의11에 따라 개인정보를 국외에 이전할 수 있다. <신설 2023. 12. 29.> |
[제목개정 2023. 12. 29.]
제25조의2(개인정보 차리에 따른 통지) |
|
① | 책임자는 「개인정보 보호법」 제20조에 따라 정보주체 이외로부터 개인정보를 제공받아 처리하는 때에는 개인정보를 제공받은 날부터 3개월 이내에 수집출처 등을 정보주체에게 통지하고, 해당 개인정보를 파기하거나 처리정지할 때까지 통지내역을 기록 및 보관하여야 한다. |
② | 책임자는 「개인정보 보호법」 제20조의2에 따라 수집한 개인정보의 이용·제공 내역을 정보주체에게 연 1회 이상 통지하여야 한다. |
[본조신설 2023. 12. 29.]
제26조(개인정보 처리업무 위탁) |
|
① | 취급자는 「개인정보 보호법」 제26조에 따라 개인정보의 처리에 관한 업무를 제3자에게 위탁하는 경우 별지 제1호 서식(개인정보 처리위탁 계약서)의 문서에 의하여 위탁하여야 하며, 그 위탁 사실을 기록·공개하여야 한다. <개정 2017.12.29.> |
② | 취급자는 수탁자가 제1항에 따른 위탁 계약의 목적 및 범위를 초과하여 개인정보를 이용하거나 이를 제3자에게 재 제공한 사실을 인지한 경우 수탁자에게 개인정보의 제공을 즉시 중단하는 등 필요한 조치를 하거나 위탁 계약의 위반에 따른 손해배상을 청구할 수 있다. <개정 2017.12.29.> |
③ | 취급자는 업무 위탁으로 인하여 개인정보가 분실·도난·유출·변조·훼손되지 아니하도록 수탁자를 교육하여야 한다. <개정 2017.12.29.> |
④ | 취급자는 수탁자가 개인정보를 안전하게 처리하는지를 별지 제2호 서식(개인정보 처리위탁 점검표)에 따라 관리 및 감독하여야 한다. <신설 2017.12.29.> |
⑤ | 책임자는 제1항 내지 제4항에 따른 개인정보 처리위탁 관리 실태를 연 1회 이상 점검하고 위탁자(취급자) 또는 수탁자에게 시정을 요구할 수 있다. <신설 2017.12.29.> |
⑥ | 수탁자는 재수탁자를 포함하며, 수탁자가 위탁자로부터 위탁받은 개인정보의 처리 업무를 재수탁자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다. <신설 2023. 12. 29.> |
[번호변경 2017.12.29.]
제27조(개인정보 파기) |
|
① | 취급자는 「개인정보 보호법」 제21조에 따라 개인정보의 보유기간 경과, 처리목적 달성 등 개인정보가 불필요하게 된 경우 책임자에게 그 개인정보의 파기를 신청하여야 한다. |
② | 책임자는 제1항에 따른 개인정보의 파기 신청에 대해 내부결재 문서에 의하여 승인하거나 반려할 수 있다. |
③ | 개인정보를 파기하지 아니하고 다른 법령에 따라 보존하여야 하는 경우에는 다음 각 호의 사항을 따른다. <신설 2021.6.17.> |
1. | 보존할 개인정보를 다른 개인정보와 분리하여서 저장 및 관리 <신설 2021.6.17.> |
2. | 개인정보처리방침에 보존 대상 개인정보파일의 법령근거, 개인정보항목, 보존기간 등을 공개 <신설 2021.6.17.> |
④ | 개인정보를 파기하려는 경우에는 복구 또는 재생되지 않도록 안전하게 파기하거나 최소한 다른 정보를 사용하여도 더 이상 개인을 식별할 수 없는 정보로 처리한 후 복원이 불가능하도록 조치하여야 한다. <신설 2023. 12. 29.> |
⑤ | 개인정보의 보존기간 책정은 다음 각 호의 사항을 따른다. <신설 2021.6.17.> <번호개정 2023. 12. 29.> |
1. | 개인정보보호위원회 개인정보보호지침의 [별표-1] 개인정보파일 보유기간 책정 기준표에서 정한 보유기간을 상회할 수 없다. <신설 2021.6.17.> <번호개정 2023. 12. 29.> |
2. | 국가기록원의 '대학 기록물 보존기간 책정기준 가이드'또는 문서보관보존규정의 [별지 서식 2] 문서분류 및 보존년한을 참고하여 책정한다. <신설 2021.6.17.> <번호개정 2023. 12. 29.> |
[번호변경 2017.12.29.]
제28조(개인정보 열람등요구) |
|
① | 책임자는 정보주체의 권리 보장을 위해 다음 각 호의 정보주체의 요구에 대해 필요한 조치를 지원한다. <개정 2023. 12. 29.> |
1. | 「개인정보 보호법」 제35조에 따른 개인정보 열람(사본발급 포함) <개정 2023. 12. 29.> |
2. | 「개인정보 보호법」 제35조의2에 따른 개인정보 전송 <개정 2023. 12. 29.> |
3. | 「개인정보 보호법」 제36조에 따른 개인정보 정정 및 삭제 <개정 2023. 12. 29.> |
4. | 「개인정보 보호법」 제37조에 따른 개인정보 처리정지 및 동의 철회 <신설 2023. 12. 29.> |
5. | 「개인정보 보호법」 제37조의2에 따른 개인정보의 자동화된 결정의 거부 및 설명 <신설 2023. 12. 29.> |
6. | 「개인정보 보호법」 제20조에 따른 정보주체 이외로부터 수집한 개인정보의 수집 출처 통지 <신설 2023. 12. 29.> |
② | 제1항과 관련한 구체적인 사항은 별도로 정한다. <개정 2017.12.29.> |
[번호변경 2017.12.29.]
[제목개정 2023. 12. 29.]
제29조(개인정보 처리 동의) |
|
① | 취급자는 다음 각 호의 어느 하나에 해당하는 경우 정보주체로부터 각각 동의를 받아 개인정보를 처리할 수 있다. <개정 2023. 12. 29.> |
1. | 개인정보의 수집ㆍ이용 또는 제공 <개정 2023. 12. 29.> |
2. | 제1호의 목적 외의 용도로 이용 또는 제공 <개정 2023. 12. 29.> |
4. | 주민등록번호를 제외한 고유식별정보의 처리 |
5. | 재화나 서비스를 홍보하거나 판매를 권유 <신설 2023. 12. 29.> |
② | 취급자가 우리 대학교의 대다수 구성원(학생ㆍ교직원 등)으로부터 반복적 또는 통상적으로 개인정보의 처리에 대한 동의를 받아야 하는 경우 취급자는 책임자에게 이를 전자적으로 처리할 수 있도록 지원을 요청할 수 있다. |
③ | 취급자는 정보주체의 동의 없이 개인정보를 처리하려는 경우에는 다음 각 호의 사항을 모두 고려하여야 하며, 동의 없이 처리할 수 있는 개인정보의 항목과 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알려야 한다. 이 경우 취급자는 동의 없이 처리할 수 있는 개인정보라는 입증책임을 부담하여야 한다. <신설 2022.2.22., 개정 2023. 12. 29.> |
1. | 당초 수집 목적과 관련성이 있는지 여부 <신설 2022.2.22.> |
2. | 개인정보 수집 정황 또는 처리 관행 측면에서 추가적인 이용/제공에 대한 예측 가능성 여부 <신설 2022.2.22.> |
3. | 정보주체의 이익을 부당하게 침해하는지 여부 <신설 2022.2.22.> |
4. | 가명처리 또는 암호화 등 안전성 확보에 필요한 조치 여부 <신설 2022.2.22.> |
④ | 취급자는 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제1항제2호 및 제5호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수 없다. <신설 2023. 12. 29.> |
⑤ | 개인정보의 처리에 대한 동의와 관련한 구체적인 사항은 별도로 정한다. <번호개정 2022.2.22., 2023. 12. 29.> |
[본조신설 2017.12.29.]
제30조(개인정보처리시스템의 안정성 확보) |
|
① | dankook.ac.kr 도메인을 사용하는 개인정보처리시스템은 「개인정보의 안전성 확보조치 기준」을 충족하여야 한다. <개정 2023. 12. 29.> |
② | 「개인정보의 안전성 확보조치 기준」을 충족하지 아니하는 개인정보처리시스템은 대표 홈페이지(www.dankook.ac.kr)의 개인정보 처리방침을 공유할 수 없다. <개정 2023. 12. 29.> |
③ | 책임자는 「개인정보의 안전성 확보조치 기준」을 충족하지 아니하는 개인정보처리시스템에 대해 시정을 요구할 수 있으며 해당 개인정보처리시스템의 관리자는 이에 응하여야 한다. <개정 2023. 12. 29.> |
[본조신설 2017.12.29.]
[제목개정 2023. 12. 29.]
제31조(가명정보 처리) |
|
① | 취급자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. |
② | 취급자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다. |
③ | 취급자는 가명정보를 제3자에게 제공할 경우 특정 개인을 식별하기 위해 사용될 수 있는 추가정보를 제공할 수 없다. <신설 2022.2.22.> |
④ | 취급자는 가명정보 처리 시 특정 개인을 식별할 수 있는 정보가 생성된 경우 해당 정보의 처리를 중지하고 즉시 회수 또는 파기하여야 한다. <신설 2022.2.22.> |
⑤ | 취급자는 가명정보를 처리하는 경우 그 사실을 책임자에게 알려야 하며, 책임자는 가명정보 처리에 필요한 다음 각 호의 사항을 확인하여야 한다. <번호개정 2022.2.22.> |
1. | 서로 다른 개인정보처리자 간의 가명정보의 결합에 대한 제한 |
2. | 가명정보와 가명정보를 원래의 상태로 복원하기 위한 정보(이하 '추가정보')의 분리 보관 (추가정보가 불필요한 경우에는 추가정보 파기) <개정 2022.2.22.> |
3. | 가명정보와 추가정보에 대한 안전성 확보 조치 및 접근권한의 분리 <개정 2022.2.22.> |
⑥ | 가명정보 처리에 관한 세부 사항은 교육부의 '교육분야 가명정보 처리 가이드라인'을 따른다. <번호개정 2022.2.22.> |
[본조신설 2021.6.17.]
제32조(출력물 안전조치) |
|
개인정보처리시스템에서 개인정보를 출력(인쇄, 복사, 화면표시, 파일생성 등)하는 경우 용도를 특정하고 용도에 따라 다음 각 호와 같이 출력 항목을 최소화하고 안전조치를 마련하여야 한다.
3. | 민감정보 또는 고유식별정보가 포함된 개인정보를 불가피하게 인쇄하는 경우 워터마킹, QR코드, 인쇄기록 등 안전조치 |
[본조신설 2023. 12. 29.]
부칙(2015.6.25.)
이 규정은 2015. 6. 25.부터 시행한다.
부칙(2017.12.29.)
이 개정 규정은 2017. 12. 29.부터 시행한다.
부칙(2019.12.2.)
이 개정 규정은 2019.12.2.부터 시행한다.
부칙(2021.6.17.)
부칙(2022.2.22.)
부칙(2023.12.29.)
이 규정은 2023.12.29.부터 시행한다.
부칙(2024.3.27.)
제1조(시행일)
이 규정은 2024.3.27.부터 시행한다.
제2조(경과조치)
이 규정의 시행일 이전에 시행한 사항에 대하여는 해당 직제의 조정 승인일로부터 이 규정에 의하여 이루어진 것으로 본다.
개인정보 처리위탁 계약서
단국대학교(이하 "갑"이라 한다)와 __________(이하 "을"이라 한다)는 "갑"의 개인정보 처리업무를 "을"에게 위탁함에 있어 다음과 같은 내용으로 본 위탁 계약을 체결한다.
제1조 (목적)
이 계약은 "갑"이 개인정보 처리업무를 "을"에게 위탁하고, "을"은 이를 승낙하여 "을"의 책임 아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의)
본 계약에서 별도로 정의되지 아니한 용어는 「개인정보 보호법」, 「개인정보의 안전성 확보조치 기준」, 「표준 개인정보 보호지침」에서 정의된 바에 따른다.
제3조 (위탁업무의 목적, 범위, 기간)
"을"은 본 계약이 정하는 바에 따라 목적으로 년 월 일 부터 년 월 일 까지 다음과 같은 개인정보 처리 업무를 수행한다.1) 제4조 (재위탁 제한)
① | "을"은 "갑"의 사전 승낙을 얻은 경우를 제외하고 "갑"과의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다. |
② | "을"이 재위탁받은 수탁회사를 선임한 경우 "을"은 당해 재위탁 계약서와 함께 그 사실을 즉시 "갑"에 통보하여야 한다. |
제5조 (개인정보의 안전성 확보조치)
"을"은 「개인정보 보호법」제24조제3항 및 제29조, 동법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」에 따라 개인정보의 안전성 확보에 필요한 관리적ㆍ기술적ㆍ물리적 조치를 취하여야 한다.
제6조 (개인정보의 처리제한)
① | "을"은 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다. |
② | "을"은 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법 시행령」 제16조 및「개인정보의 안전성 확보조치 기준」에 따라 즉시 파기하거나 "갑"에게 반납하여야 한다. |
③ | 제2항에 따라 "을"이 개인정보를 파기한 경우 지체없이 "갑"에게 그 결과를 통보하여야 한다. |
제7조 (수탁자에 대한 관리·감독 등)
① | "갑"은 "을"에 대하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, "을"은 특별한 사유가 없는 한 이에 응하여야 한다. |
3. | 목적외 이용ㆍ제공 및 재위탁 금지 준수여부 |
5. | 그 밖에 개인정보의 보호를 위하여 필요한 사항 |
② | "갑"은 "을"에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, "을"은 특별한 사유가 없는 한 이행하여야 한다. |
③ | "갑"은 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 1회 "을"을 교육할 수 있으며, "을"은 이에 응하여야 한다.2) |
④ | 제1항에 따른 교육의 시기와 방법 등에 대해서는 "갑"은 "을"과 협의하여 시행한다. |
제8조 (손해배상)
① | "을" 또는 "을"의 임직원 기타 "을"의 수탁자가 이 계약에 의하여 위탁 또는 재위탁받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 "을" 또는 "을"의 임직원 기타 "을"의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 "갑" 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 "을"은 그 손해를 배상하여야 한다. |
② | 제1항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 "갑"이 전부 또는 일부를 배상한 때에는 "갑"은 "을"에게 구상할 수 있으며, "을"은 이에 응하여야 한다. |
제9조 (개인정보 유출사고 신고 의무)
위탁받아 처리 중인 개인정보가 유출된 경우, "을"은 개인정보 유출사고 인지 시점으로부터 3일 이내에 "갑"에게 그 사실을 신고하여야 한다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, "갑"과 "을"이 서명 또는 날인한 후 각 1부씩 보관한다.
년 월 일
|
갑 : 단국대학교 _____________ 주소 : 경기도 용인시 수지구 죽전로 152 성명 : (인)
| 을 : 주소 : 성명 : (인)
|
개인정보 처리위탁 점검표
위탁목적
|
| 위탁자
| 부 서
|
| 수탁자
| 업 체
|
|
위탁기간
| . . . ~ . . .
| 연락처
|
| 연락처
|
|
점검일자
| 년 월 일
| 담당자
| (서명)
| 담당자
| (서명)
|
번호
| 점검사항
| 점검결과
|
예
| 아니오
| 해당없음
|
1
| 개인정보 처리위탁 계약을 문서에 의하여 체결하였습니까? ☞ 개인정보 처리 업무를 위탁하는 경우에는 개인정보보호 관리규정 제1호 서식에 따라 위탁자와 수탁자 간 개인정보 처리위탁 계약을 체결하여야 합니다.
|
|
|
|
2
| 개인정보 처리위탁 계약에 따른 개인정보 처리 업무를 제3자에게 양도하거나 재위탁하였습니까? ☞ 수탁자는 위탁자로부터 사전 승인을 받은 후 위탁받은 업무를 제3자에게 양도하거나 재위탁할 수 있으며, 관련 사실을 포함하는 재위탁 계약서를 위탁자에게 통지하여야 합니다.
|
|
|
|
3
| 개인정보 처리위탁 목적의 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공한 사실이 있습니까? ☞ 수탁자는 개인정보 처리위탁 계약에 명시된 위탁업무의 목적, 범위, 기간을 초과하여 개인정보를 이용하거나 제3자에게 제공 또는 누설하여서는 아니 됩니다.
|
|
|
|
4
| 개인정보 보호 교육을 이수하였습니까? ☞ 개인정보보호 종합포털(www.privacy.go.kr)에서 제공하는 개인정보 보호 교육을 연 1회 이상 수강하십시오.
|
|
|
|
5
| 개인정보처리시스템에 대한 사용자 접근권한의 부여〮⦁변경⦁말소 내역을 전자적으로 기록하고 3년간 보관합니까? ☞ 교외에서 개인정보처리시스템에 접속하는 경우 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등 안전한 인증수단을 적용하십시오.
|
|
|
|
6
| 교외에서 개인정보처리시스템에 접속하는 경우 안전한 인증수단을 적용하였습니까? ☞ 교외에서 개인정보처리시스템에 접속하는 경우 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등 안전한 인증수단을 적용하십시오.
|
|
|
|
7
| 비밀번호 작성규칙을 수립하여 개인정보처리시스템에 적용하였습니까? ☞ 개인정보처리시스템에 접근하기 위한 비밀번호는 영문대/소문자⦁숫자⦁특수문자 3종 조합 8자리 또는 2종 조합 10자리 이상으로 설정하도록 개인정보처리시스템에 적용하십시오.
|
|
|
|
8
| 개인정보처리시스템에 대한 접속을 IP 주소, 포트 등으로 제한하여 비인가 접근을 차단합니까? ☞ 호스트 방화벽(예; Windows 방화벽, iptables 등)을 활용하여 네트워크 접근 정책을 적용하고 비인가 접근을 차단하십시오.
|
|
|
|
9
| 개인정보가 포함된 게시글(본문내용⦁첨부파일)을 공개용 게시판에 등록하는 경우 차단합니까? ☞ 공개용 게시판을 통한 개인정보 유출을 방지하기 위해 게시글(본문내용⦁첨부파일)에 대해 개인정보 필터링 기능을 적용하십시오. ※문의:디지털인프라1팀(031-8005-2324)
|
|
|
|
10
| 모든 개인정보를 암호화하여 송⦁수신합니까? ☞ 암호화 대상 개인정보를 포함한 모든 개인정보는 VPN, 보안서버(SSL인증서) 등을 활용하여 암호화하여 송⦁수신하십시오.
|
|
|
|
11
| 암호화 대상 개인정보를 암호화하여 저장합니까? ☞ 비밀번호는 일방향 암호화, 비밀번호를 제외한 나머지 암호화 대상 개인정보는 양방향 암호화하여 저장하십시오.
|
|
|
|
12
| 안전한 암호알고리즘으로 암호화합니까? ☞ 개인정보보호위원회의 개인정보의 암호화 조치 안내서에 따라 안전한 알고리즘을 이용하여 압호화하십시오.
|
|
|
|
13
| 개인정보처리시스템에 사용자가 접속한 기록을 1년(5만명 이상의 개인정보 또는 고유식별정보⦁민감정보 처리 시 2년) 이상 보관합니까? ☞ 개인정보처리시스템에 대한 사용자의 접속기록(계정⦁접속일시⦁IP주소⦁수행업무(등록/수정/삭제/조회/출력 등)⦁접속대상정보⦁다운로드 사유(해당하는 경우))을 보관하십시오.
|
|
|
|
14
| 개인정보처리시스템에 보안프로그램을 설치하고 자동 업데이트 설정하였습니까? ☞ Windows의 경우 Windows Defender⦁V3, Linux 계열의 경우 ClamAV 등 백신프로그램을 설치하십시오.
|
|
|
|
15
| 개인정보처리시스템의 운영체제를 보안 업데이트를 통해 지속적으로 관리하고 있습니까? ☞ 개인정보처리시스템의 운영체제는 정당한 사유가 없는 한 최신 업데이트를 유지하고 하고 보안 업데이트 공지 시 수시 업데이트하십시오.
|
|
|
|
16
| 개인정보처리시스템에 일정 횟수 이상 인증 실패 시 접근을 제한하고 있습니까? ☞ 개인정보시스템에 5회 이상 인증 실패 시 해당 계정을 잠그거나 추가적인 인증수단을 적용하십시오
|
|
|
|
17
| 인정보처리시스템에 접속하여 일정 시간 이상 처리를 하지 않는 경우 자동으로 접속을 차단하고 있습니까? ☞ 개인정보처리시스템에 접속하여 1시간 이상 처리를 하지 않는 경우 자동으로 접속을 차단하고 재 접속 시 동일한 인증수단으로 접속하도록 하십시오
|
|
|
|
18
| 개인정보를 출력(인쇄, 복사, 화면표시, 파일생성 등)하는 경우 출력 항목을 최소화하고 안전조치를 적용하였습니까? ☞ 개인정보 출력 시 출력 항목 최소화(개인정보 표시 제한, 개인정보 비식별 조치 등) 및 안쇄물 안전조치(워터마킹, QR코드, 출력기록 등)를 적용하십시오.
|
|
|
|
[주석]