http://cafe.naver.com/rapid7/2688
개인정보의
유효기간제 FAQ
Q1 - 개인정보 보관 단계에서 이용자가 일정기간 서비스를 이용하지 않는
경우에는 파기 또는 별도 DB에 분리하여 저장하도록 안내하고 있는데, 여기서 별도 분리 보관에는 물리적인 분리 외에 논리적인 분리도 포함되는지
궁금합니다.
유효기간제의 취지는 장기간 이용하지
않는 이용자의 개인정보를 파기 또는 별도 분리 보관하여 불필요한 개인정보 보관을 최소화하고 유출 위험을 줄이자는 것입니다.
따라서, 엄격한 접근통제 조치 등을
취하고 논리적으로 별도 분리 보관한다면 유효기간제의 취지에 부합한다고 볼 수 있습니다.
Q2 - 개인정보의 유효기간제에 따라 1년동안 이용하지 않는 이용자의 개인정보는 별도로 분리 보관하여야 합니다. 분리 보관의 대상에 이용자가 공개를 목적으로 작성한 게시글, 댓글 등의 콘텐츠 정보와 작성자 정보(아이디, 별명 등)도 포함되나요?
유효기간제의 취지는 1년동안 서비스를
이용하지 않는 이용자의 개인정보를 파기하거나 안전하게 별도 분리 보관하도록 하여 유출 위험 등으로부터 개인정보를 안전하게 보호하기
위함입니다.
따라서, 이용자가 공개를 목적으로
인터넷 상에 게시한 콘텐츠까지 포함하지는 않습니다. 또한 콘텐츠 작성자 표시 정보와 함께 서비스에 이용 중인 DB에 보관하여 게시글 등이 최초
이용자가 의도한 대로 표시되도록 운영할 수 있습니다.
게시글 등 이용자가 공개를 목적으로
작성한 콘텐츠와 관련한 사항은 서비스 이용약관 등에 명시하여 관련 절차에 따라 삭제 등의 절차를 운영하는 것이 바람직합니다.
Q3 - 1년 동안 서비스 이용기록이 없는 회원의 개인정보는 반드시 파기해야만 하나요?
파기할지 여부는 사업자의 환경을
고려하여 판단할 수 있습니다. 1년 동안 서비스 이용기록이 없고 향후에도 이용 가능성이 없다고 판단되는 경우에는 파기하여야
합니다.
다만, 잔여 마일리지, 포인트 등이
남아 있어 이용자의 권리를 보호할 필요가 있고, 향후 이용 가능성이 있다고 판단되는 경우에는 별도 분리 보관하였다가 추후에 이용자의 요청이 있는
경우 서비스에 다시 이용할 수 있습니다.
또한, 이용자의 요청에 따라 별도의
기간을 정한 경우에는 별도 분리 보관 없이 그 기간 동안 서비스에 이용이 가능합니다.
Q4 - 개인정보 유효기간 관련 ‘이용’의 의미는 로그인 기록을 말하는 것인지, 미 이용 기간 1년의 기산일은 언제를 말하는 것인지요?
이용은 로그인 기록 등으로 단순하게
판단할 수는 없으며, 전화상담 또는 고객센터 문의 등 오프라인 이용도 이용에 해당할 수 있습니다. 또한, 레터링 서비스와 같이 어떤 정보를
주기적으로 발송하는 것을 서비스 계약의 주요내용으로 하는 경우에는 해당 레터를 이용자가 계속 수신하고 있다면 이용을 하는 것으로 볼 수
있습니다.
그러나, 사업자가 마케팅 동의를 받아
이용자에게 광고성 메일이나 안내 메일을 발송하고 이용자가 이를 수신하였다 하더라도 이는 이용으로 볼 수 없습니다.
미이용 기간의 기산일은 이용자의 최종
이용일입니다.
Q5 - 형사소송법, 통신비밀보호법 등에 따른 압수수색 등 개인정보 제공 요청이 있는 경우 유효기간제에 따라 별도 분리 보관된 회원에 대한 정보 제공이 가능한지요?
유효기간이 경과하여 별도 분리 보관한
이용자의 개인정보는 이용하거나 제3자에게 제공할 수 없는 것이 원칙이지만, 형사소송법, 통신비밀보호법 등 법령에 근거하여 수사기관이 제공을
요청한 경우에는 제공할 수 있습니다.
Q6 - 유효기간이 경과한 이용자의 정보는 파기하거나 DB를 별도 분리보관 해야 한다고 하는데 분리보관을 하게 되면 계속 보유가 가능한가요?
별도 분리보관을 하게 되더라도
개인정보 수집·이용시 명시한 보유기간이 종료되거나 이용자의 동의철회, 회원탈퇴 등 파기사유가 발생하면 지체 없이 파기해야
합니다.
Q7 - 이용자가 유효기간 경과 후 서비스의 재이용을 원할 경우를 대비하여 유효기간 경과에 따라 이용자의 개인정보를 별도 DB에 보관 하더라도 이용자의 재이용 편의성 제공을 위해 최소한의 정보를 서비스 DB에 보유하여도 되나요?
이용자가 1년 동안 서비스를 이용하지
않은 경우에는 이용자의 모든 개인정보를 파기하는 것이 원칙입니다. 다만, 이용자의잔여 마일리지, 적립 포인트 등이 남아 있어 이용자의
권리를 보호할 필요가 있고, 향후 재이용 가능성이 높다고 판단되는 경우에는 별도 분리 보관할 수 있습니다.
또한, 추후에 이용자의 재이용 요청이
있는 경우를 대비, 온라인 이용자의 편의성을 높이기 위하여 아이디 등 최소한의 연결값을 서비스 중인 DB에 남겨두는 것은 가능하다고
판단됩니다.
Q8 - 개인정보 유효기간 관련 규정은 시행일이 2014.11.29.이 아니라 2015.8.18.로 되어 있는데, 그 이유는 무엇이며, 실제로 이용자의 개인정보를 파기 등의 조치를 취해야 하는 시점이 언제인가요?
기존 3년 유효기간제에 따라 파기 등
필요한 조치를 취해야 하는 시점이 2015년 8월 18일이었기 때문에, 사업자의 혼란을 최소화 하기 위해 시행일을 별도 조정한
것입니다.
2015년 8월 18일이 시행일이므로
역산하여 1년이 되는 2014년 8월 18일을 기산점으로 2015년 8월 17일 까지 서비스를 이용하지 않는 이용자의 개인정보에 대해 2015년
8월 18일에 파기 등 필요한 조치를 취하면 됩니다.
Q9 - 개인정보 유효기간제 준수를 위해 사업자는 매일 유효기간이 경과한 이용자의 개인정보를 파기해야 하는지, 아니면 주기적으로 해도 되는지요?
이용자별로 유효기간 경과시점이 다를
것이므로 매일 확인하여 파기 등 필요한 조치를 하는 것이 원칙입니다. 다만, 현실적으로 매일 확인하여 조치를 취하는 것이 어려울 수 있으므로
유효기간이 도래한 시점부터 영업일 기준 5일 이내에 파기 등 필요한 조치를 취한다면 적법한 것으로 판단할 수 있을 것입니다.
Q10 - 개인정보 수집시 이메일, 연락처 등을 수집하지 않아 이용자에게 통지할 수단이 없을 경우 어떻게 해야 하나요?
이용자에게 개별 통지는 불가능하므로
서비스 미이용 기간 만료 후 개인정보가 파기 등의 조치가 취해질 수 있다는 사실을 서비스 이용약관 및 개인정보 취급방침 등을 통해 이용자에게
알리면 될 것으로 판단됩니다.
Q11 - 법에서는
유효기간이 1년으로 되어 있지만, 이용자가 유효기간을 별도로 정할 수도 있는데, 그렇다면 사업자는 이용자에게 유효기간을 선택 할 수 있는 기능을
의무적으로 제공해야 하나요?
시행령에서 이용자의 요청에 따라
기간을 달리 정한 경우 유효기간을 달리할 수 있도록 되어 있으므로 사업자가 이용자에게 선택권을 부여하고 이용자 스스로 유효기간을 선택할 수
있도록 하는 것이 바람직하나 의무사항은 아닙니다.
Q12 - 이용자와의 별도 계약(약관 포함)으로 유효기간을 설정하는 것이 정보통신망법 시행령 제16조제1항제2호의 "이용자의 요청에 따라 기간을 달리 정한 경우"에 해당하나요?
약관으로 사업자가 개인정보 유효기간을
정하여 이용자의 동의를 받은 경우는 정보통신망법 시행령 제16조제1항제2호의‘이용자의 요청에 따라 기간을 달리 정한 경우’에 해당하지 않습니다.
‘이용자의 요청에 따라 기간을 달리 정한 경우’에 해당하려면 이용자가 직접 기간을 요청하거나 선택할 수 있어야 합니다.
Q13 -
2015.8.18이후 개인정보 보관 유효기간 단축 관련하여 1년간 서비스 미 이용시 아래 법률에 해당 되는 개인 정보들은 어떻게 해야
하나요?
☞ 상업장부와 고객정보를 포함한 영업에 관한 중요서류: 10년 (상법 제33조)
☞ 고객정보를 포함한 전표 또는 이와 유사한 서류: 5년 (상법 제33조)
☞ 계약 또는 청약철회 등에 관한 기록: 5년 (전자상거래법 제6조제3항 및 동법 시행령 제6조제1항)
☞ 대금결제 및 재화 등의 공급에 관한 기록: 5년 (전자상거래법 제6조제3항 및 동법 시행령 제6조제1항)
☞ 소비자의 불만 또는 분쟁처리에 관한 기록: 3년 (전자상거래법 제6조제3항 및 동법 시행령 제6조제1항)
정보통신망법 시행령
제16조제1항 각 호에서는 유효기간 1년에 대한 예외를 규정하고 있습니다.1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한
기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간
따라서, 위와 같이 개별 법령에서
개인정보 보존기간을 정하고 있는 경우에는 해당 법령에서 정한 기간 동안 보관이가능합니다. 다만, 해당 법령에 따라 일정기간 보관이 가능한 것일 뿐
사업자가 그 기간 동안 이용해도 된다는 의미가 아니므로 별도 보관해야 합니다.
Q14 - 이용자로부터
영리목적의 광고성 정보 전송에 대한 수신동의를 받았는데, 유효기간이 경과하여 이용자의 개인정보를 별도 분리·저장한 경우 정보통신망법 제50조에
따른 영리목적의 광고성 정보 전송에 대한 2년 주기의 수신동의 여부를 확인해야 하나요?
유효기간이 경과한 이용자의 개인정보를
별도 분리·저장한 경우 해당 이용자의 개인정보는 이용자의 요청이 없는 한 이용할 수 없으므로, 영리목적의 광고성 정보를 전송해서는
안됩니다.
영리목적의 광고성 정보 전송에 대한
수신동의 여부를 2년마다 확인하도록 하는 취지는 최초에 수신동의를 했다 하더라도 앞으로도 계속해서 수신할 것인지 선택권을 주고자
함입니다.
따라서, 영리목적의 광고성 정보를
전송해서는 안되는 이용자에게 수신동의 여부를 확인할 필요는 없을 것으로 판단됩니다.
Q15 - 1년 동안 이용내역이 없는 이용자의 정보는 별도 보관 등의 조치를 취해야 하는데 별도 보관한 이용자를 대상으로도 정보통신망법 제30조의2에 따른 이용내역을 통지해야 하나요?
이용내역 통지제는 이용자의 개인정보를
이용한 내역을 이용자에게 알려주기 위한 제도인데, 1년 동안 서비스를 이용하지 않은 이용자에게 이용내역 통지는 필요하지 않을 것으로
판단됩니다.
※ 이 정보는 참고
목적으로만 제공됩니다
개인정보보호법
등 관련 법령의 정확성, 최신성을 주기적으로 확인바랍니다