[프로젝트] 개인정보 처리방침은 어떻게 작성하죠?
서비스 개발의 가장 뒷부분 작업 중 하나는 우리 서비스에 맞는 '개인정보 처리방침'을 만드는 일이다. 대부분의 서비스가 개인정보를 다루고 있고 개인정보의 중요성이 점점 커지는 만큼 플랫폼에게 요구되는 개인정보 관리 역량이나 규제도 높아지고 있다.
현재 사이드 프로젝트를 계속 진행하면서 이제 개인정보 처리방침을 작성하는 단계까지 왔다. 역시나 처음해보는 일인 만큼 공부하면서 가이드를 남겨보려 한다.
개인정보 처리방침 꼭 만들어야 하나요?
개인정보보호법 제30조에 따라 모든 개인정보처리자에게는 개인정보 처리방침을 수립 및 공개할 의무가 있다. ‘개인정보처리자’란 개인정보보호법 제2조 제5호에 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.’라고 명시되어 있다.
따라서 고객 개인정보를 보유한 개인정보처리자뿐만 아니라, 고객 개인정보는 보유하고 있지 않으나 내부 임직원의 개인정보를 수집 및 이용하는 개인정보처리자의 경우에도 개인정보 처리방침을 수립해야 한다.
즉, 회원의 개인정보를 받아서 플랫폼을 만드는 경우에 개인정보 처리방침은 필수이다.
개인정보 처리방침은 어떻게 만드나요?
가장 좋은 방법은 법률 자문을 받는것이겠지만, 그럴 여력이 없는 경우에는 개인정보 포털에서 도움을 받을 수 있다. 아래 링크에서 누구나 자신의 사업 케이스에 맞게 선택하여 개인정보 처리방침을 작성할 수 있다. 이번 게시글에서는 플랫폼 사업자가 개인정보 처리방침을 작성하면서 각 항목을 어떻게 해석하고 체크해야 하는지 다루고자 한다.
1. 개인정보 포털
https://www.privacy.go.kr/front/per/inf/perInfStep02.do
2.개인정보 처리방침 기본작성 방법에 대한 설명 블로그
https://sorrow16.tistory.com/172
3. 개인정보 처리방침 작성 가이드 라인 다운로드
https://privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000841138&fileSn=2&nttId=11700
개인정보 처리방침을 만드는데 모르는 내용이 있어요.
위의 가이드를 따라 만들다보면 아래의 당황스러운 기재사항을 마주하게 된다. '필수기재' 라고 적힌 부분은 법적으로 정해진 항목이기 때문에 체크가 되어 있지만, 이외의 기재사항은 나의 사업 유형과 방향에 맞게 선택을 해야 한다. 이중에서 플랫폼 사업자가 일반적으로 선택할 만한 항목과 해설을 정리했다.
아래 3가지가 가장 작성하기에 긴가민가했고 이외에는 작성폼에서 요구하는대로 다 적으면 되기 때문에 문제없이 작성할 수 있다.
1. 개인정보 처리방침 기재사항
이 단계에서는 개인정보 처리방침에서 나의 서비스가 해당하는 처리방침 항목이 무엇인지 선택해야 한다.
- 각 항목별 해석과 필요 case
클라우드 서비스를 사용하지 않는 서비스는 거의 없기 때문에 개인정보 처리의 위탁에 관한 사항 그리고 국외 클라우드 서비스를 사용하는 경우 개인정보의 국외 이전에 관한 사항은 '기재'로 체크해야 한다.
이외의 항목도 필요 case에 해당한다면 빼먹지 않고 기재해야 한다.
2. 개인정보의 처리 목적 개인정보파일 현황 작성
전자상거래법이나 통신비밀보호법 등과 관련된 정보 다르지만, 회원정보는 회원의 동의를 받는 조건하에 보유기간을 회원 탈퇴시로 정할 수 있다.
(아래 개인정보 처리방침 작성지침의 예시를 함께 첨부)
개인정보 처리방침 작성지침3. 개인정보처리의 위탁에 관한 사항
개인정보를 위탁하는 서비스나 외부 협력사의 정보를 적어야 한다. 다양한 외부 서비스를 사용해서 플랫폼이 운영된느 만큼 중요한 항목이다.
아래 예시에 다양한 위탁사의 사례가 있기 때문에 참고하면 대부분의 위탁 업무 내용과 위탁 기간을 적을 수 있다.
(네이버의와 디스콰이엇의 위탁에 관한 설명을 예시로 첨부)
네이버 개인정보의 취급위탁
디스콰이엇 개인정보의 위탁출처
1. 개인정보 처리방침이란?
