개인정보 목적외 이용⋅제3자 제공절차안내
목적
- 개인정보보호법 제18조(개인정보의 목적 외 이용․제공 제한)의 의무사항을 준수하고 적법한 처리절차를 마련하여 개인정보 유출 및 오남용을 방지하고자 함
관련근거
- 개인정보보호법 제18조(개인정보의 목적 외 이용⋅제공 제한)
- 개인정보보호법 시행령 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리)
- 표준 개인정보 보호지침 제9조(개인정보의 목적 외 이용 등)
- 개인정보보호에 관한 예규 제8조(개인정보의 제공), 제9조(개인정보의 목적 외 이용 등)
다른 지침 등과의 관계
- 외부기관 개인정보자료 제공 등에 관하여 다른 법령, 규정 또는 지침에서 특별히 정한 것을 제외하고는 이 지침에 의함
용어의 정의
- “제3자”라 함은 정보주체와 개인정보처리자(공사)를 제외한 모든 자를 의미함(수탁자는 제외)
- “제3자 제공”이란 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적인 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자간의 정보 공유 등 개인정보처리자가 아닌 제3자가 개인정보를 처리할 수 있도록 하는 모든 행위(타기관 제공)를 말함.
- “목적외 이용 및 제3자 제공”이란 개인정보처리자(공사)가 당초의 수집목적을 벗어나 다른 목적으로 개인정보를 이용하거나, 당초 수집목적을 벗어나 다른 목적으로 이용하기 위해 제3자에게 개인정보를 제공하는 것을 말함
판단기준
- 목적의 정당성 : 구체적으로 어떠한 목적을 위하여 당해 개인 정보가 필요한지?
- 수단의 적정성 : 당해 개인정보를 제공함으로써 당해 공익목적을 달성할 수 있는 것인지?
- 피해의 최소성 : 목적달성을 위해 필요한 최소한의 정보는 어디까지인지?
- 법익의 균형성 : 제공에 따른 이익과 정보주체가 받을 수 있는 예상피해를 비교하여 전자가 우월하다고 할 수 있는지 여부 판단
- 목적의 정당성, 수단의 적정성, 피해의 최소성, 법익의 균형성에 대하여 종합적으로 검토한 후 필요한 최소한의 범위내에서 제공
요청기관의 적격 여부 확인
- 요청기관의 개별법에 자료요청의 근거조항이 구체적으로 명시된 경우 제공 가능
- 요청기관의 개별법에 자료요청 근거법이 없는 경우 정보주체의 동의가 있었는지 여부 등 예외적 제공가능 사항에 해당되는지 확인한 후 제공여부 결정
제공항목 판단
- 공사가 수집한 정보여부 확인
- 공사가 직접 수집⋅생산한 정보가 아닌 경우 자료제공 불가
단, 정보주체의 동의가 있는 경우 제공 가능 - 요청 목적에 부합하는 최소항목만 제공(개인정보 최소제공 원칙)
- 공사가 직접 수집⋅생산한 정보가 아닌 경우 자료제공 불가
- ‘주민등록번호’는 법령(법률, 시행령, 시행규칙)에서 처리를 구체적으로 요구(허용)하도록 규정되어 있는 경우만 제공 가능
제공기준
- 수집목적 범위내에서 제공하는 경우(법 제17조) 1) 정보주체의 동의를 받은 경우
2) 법 제15조 제1항 제2호⋅제3호 및 제5호에 따라 개인정보를 수집한 목적 범위내에서 개인정보를 제공하는 경우
「개인정보보호법」 제15조(개인정보의 수집⋅이용) 제1항
2호. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 필요한 경우
3호. 공공기관리 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
5호. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 수집목적 외의 용도로 제공하는 경우(법 제18조)
- 기본원칙
- -「개인정보보호법」 제17조(개인정보의 제공) 제1항 및 제3항의 범위를 초과하여 제3자에게 제공하여서는 아니 되나, 「개인정보보호법」 제18조 제2항 각 호에 해당하는 다음의 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 예외적으로 제공 가능함
- -「개인정보보호법」 제17조(개인정보의 제공) 제1항 및 제3항의 범위를 초과하여 제3자에게 제공하여서는 아니 되나, 「개인정보보호법」 제18조 제2항 각 호에 해당하는 다음의 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 예외적으로 제공 가능함
[개인정보의 제공] 제17조
제1항 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한 다. 이하 같다)할 수 있다
제2항 개인정보처리자는 제1항 제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1호. 개인정보를 제공받는 자
2호. 개인정보를 제공받는 자의 개인정보 이용 목적
3호. 제공하는 개인정보의 항목
4호. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
5호. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
제3항 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.[예외사유] 제18조 제2항
1) 정보주체로부터 별도의 동의를 받는 경우
정보주체에게 법 제18조 제3항에 따라 개인정보를 제공받는 자 등을 알리고 동의를 받아야 함
2) 다른 법률에 특별한 규정이 있는 경우
법률에서 개인정보의 제공을 구체적으로 요구하거나 허용하고 있는 경우
3) 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익에 필요한 경우
4) 통계작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우
5) 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 보호위원회의 심의·의결을 거친 경우
6) 조약, 기타 국제협정 이행을 위해 외국정부 등에 제공하기 위해 필요한 경우
7) 범죄수사 및 공소제기·유지에 필요한 경우
8) 법원의 재판업무 수행에 필요한 경우
9) 형 및 감호, 보호처분 집행에 필요한 경우 - 기본원칙
업무의 일부 또는 전부를 위탁하는 경우(법 제26조)
- 개인정보 처리 업무를 위탁하는 경우 위탁업무의 목적 등이 포함된 문서에 의하여야 하며 위탁사항에 구체적으로 표기된 범위내에서 제공
- 위탁자(공사)의 이익을 위해 처리하는 경우 업무위탁에 해당되며 개인정보를 제공 받는 제3자의 이익을 위해 처리하는 경우에는 제3자 제공에 해당됨
업무처리 절차
구 분 | 내 용 | 대 상 |
---|---|---|
요 청 | 공공기관 등 개인정보 제공 요청
| 제3자 |
타 당 성 검 토 | 목적외 이용⋅제3자 제공이 가능한 경우에 해당되는 지 검토
| 개인정보보호책임자 개인정보보호담당자 개인정보취급자 |
개인정보 제 공 |
| 개인정보보호책임자 개인정보보호담당자 |
제공내역 기록⋅공개 |
| 개인정보보호담당자 부서별 개인정보취급자 |
자료 제공 및 이용 업무처리 기준
- 요청절차의 적정성 확인
- 문서 접수
- - 개인정보 제공 요청은 요청기관의 장으로부터 공문서로 접수
- - 문서는 전자문서 접수를 원칙
- ※ 우편 또는 팩스 등 오프라인으로 접수한 경우 원본서류를 스캔하여 전자결재를 득한 후 처리
- - 제공요청 문서 접수 시 필수 확인사항
1) 요청하는 법률 근거(정보주체의 동의를 받은 경우 동의여부 확인)
2) 요청 목적
3) 요청하는 개인정보 항목
4) 이용 기간 - 신청인 등 확인
- - 전자문서 : 신청인 확인절차 생략
- - 내 방 : 신분증 확인 및 요청기관 근무여부 확인
- - 팩스⋅우편 등 : 담당자 신분증 사본 접수 및 요청기관 근무여부 확인
- 문서 접수
- 자료제공 항목 판단
- 공사가 수집한 정보여부 확인
- - 공사가 직접 수집⋅생산한 정보에 한하여 제공
- - 공사가 다른 기관으로부터 입수⋅활용하는 정보는 제공불가
- 단, 정보주체로부터 별도의 동의를 받았거나 다른 법률에 특별한 규정이 있는 경우에는 제공 가능
- 요청목적에 부합하는 최소 항목만 제공(개인정보 최소 제공의 원칙)
- - 자료제공 요청항목이 요청목적과 부합하지 않거나 과도한 경우 해당 항목은 제외하고 필요한 최소 범위 내 제공
- - 제공항목을 나열하고 있는 경우 해당 항목에 한하여 제공
- 타 기관으로부터 위탁받은 업무의 경우 업무범위를 초과하여 자료제공 불가
- 공사가 수집한 정보여부 확인
- 제공받는자의 이용제공 제한(자료제공 여부 및 범위 판단)
- 정보주체의 동의를 받아 제공하는 경우(법 제18조 제2항 제1호)
- - 반드시 정보주체의 동의를 받아야 하므로 배우자 등 가족의 개인정보까지 요청하는 경우 가족 개개인의 동의 여부 확인
- - 제3자 제공에 대한 동의를 받아야 하는 시점에 특별한 제한은 없으나 최초 수집할 당시 제3자 제공에 대한 동의를 받는 경우에는 수집⋅이용에 대한 동의와 별도로 구분해서 동의를 받아야 함
- - 요청기관이 정보주체의 동의를 받은 경우 요청기관으로부터 동의서를 전수 제출받아 확인 후 제공
- · 동의서에 기재된 자료제공 항목 범위내에서 제공
- · 단, 공공기관 또는 국가기관에 한하여 요청대상자 모두로부터 동의를 받았다는 내용이 문서 본문에 기재된 경우 동의서 샘플 확인 후 제공
- ※ 1회 요청자료가 100건 미만 : 동의서 전수 제출받아 확인 후 제공
- ※ 1회 요청자료가 100건 이상 : 요청대상 건수의 20%이상의 동의서 샘플을 제출 받아 전체 동의여부 확인 가능
- - 정보주체의 동의를 받아 제공하는 경우 「개인정보보호법」 제18조 제3항에 따른 의무사항 반드시 준수
- · 공사에서 정보주체의 동의를 받아 제공하는 경우에는 정보주체에게 제공받는 자, 이용목적, 이용기간 등 법 제18조 제3항에 따른 필수 고지사항을 알려주어야 함
- · 요청기관에서 정보주체의 동의를 받아 제공하는 경우에는 동의서에 법 제18조 제3항에 따른 필수 고지사항 기재 여부 반드시 확인 후 제공
- · ‘주민등록번호’는「개인정보보호법」제24조의2에 의거 정보주체의 동의를 근거로 제공(법령의 근거로만 제공 가능)할 수 없음(시행일 2014.8.7.)
【법 제18조 제3항에 따른 필수 고지사항】
1) 개인정보를 제공받는 자
2) 개인정보를 제공받는 자의 개인정보 이용 목적
3) 제공하는 개인정보 항목
4) 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
- 다른 법률에 특별한 규정이 있는 경우(법 제18조 제2항 제2호)
- - 자료제공 관련법 유무 확인
- · 개별법에 이용기관, 이용목적, 이용하는 개인정보의 항목 등을 구체적으로 명시한 특별한 규정이 있는 경우
- · 자료제출 요구 등에 따라야 하는 법적 의무·강제 또는 불응 시 제재 규정이 있는 경우
【"다른 법률에 특별한 규정”으로 볼 수 없는 경우】
제19조(보고 또는 자료 등의 제출 요구) 처장은 필요하다고 인정하면 각 단체에 보고를 하게 하거나 서류 또는 그 밖의 자료의 제출을 요구할 수 있다.
【"다른 법률에 특별한 규정”으로 보는 경우】
제74조의 8(자료제출 요구권 등) ①보훈 심사위원회는 제74조의5
제1항 각 호의 사항에 대한 심의·의결과 관련하여 필요하다고 인정하면 다음 각호에 해당하는 자에게 관련자료의 제출을 요구하거나 이미 제출된 자료에 대하여 보완 또는 추가를 요구 할 수 있다.
이 경우 자료의 제출 등을 요구받은 자는 특별한 사유가 없으면 이에 응하여야 한다. - - 요청목적의 적정여부 확인
- · 개별법령에서 정한 이용목적 및 요청항목과 요청목적이 부합하지 않는 경우 제공 불가
- · 개별법령에 이용목적이 한정되어 있거나 제공항목을 열거하고 있는 경우에는 해당 목적 및 항목에 한해 제공
- - 자료제공 관련법 유무 확인
- 법 제18조 제2항 제3호부터 제6호까지의 경우에 대한 제3자 제공여부 판단
- - 개인정보의 제공목적, 내용, 형태, 관련 근거법 등을 고려하여 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는지 여부 등을 종합적으로 판단하여 제공
- 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(법 제18조 제2항 제7호)
- - ②번 항목의 “다른 법률에 특별한 규정이 있는 경우”의 자료 제공 기준에 준하여 판단
- - 수사 등의 목적으로 개인정보 제공을 요청받은 경우에도 무조건 제공해야 하는 것은 아니므로 영장, 사건번호, 접수번호 등을 확인 후 자료제공 여부를 판단
- ※ 범죄의 형태와 경중, 정보주체가 받을 불이익의 정도 등 제반사정을 종합적으로 고려하여 개인정보 이용이 없이는 수사목적을 달성 할 수 없는 경우에 한하여 제한적으로 제공 가능하나 요청기관과 협의하여 자료 제공범위 등 결정
- 불특정 다수의 개인정보를 제공할 경우 정보주체 또는 제3자의 권익 (인권)이 부당하게 침해될 소지가 있음
- 수사기관에서 영장을 제시하거나 법원에서 요청하는 경우에는 영장의 구속력에 따라 제공 가능하나 자료 요청자와 협의하여 최소한의 범위로 자료 제공
【수사, 공소제기 및 유지를 위한 경우의 예외 및 한계 필요성】
- 범죄수사, 공소제기⋅유지, 형 집행 등의 형사절차에 「개인정보보호법」을 그대로 적용할 경우, 수사기밀이 유출되거나 정보주체의 정보공개⋅정정요구 등으로 수사에 장애를 초래하여 범죄예방과 처단이 불가능해질 우려가 있음
- 수사가 종결되어 공소가 제기되면 정보주체는 법원에서 자유롭게 수사기록을 열람하여 자신의 정보를 확인하는 것이 가능하고, 불기소처분 된 경우는 정보공개청구를 통해 정보주체가 자신의 정보를 열람할 수 있으므로, 형사절차와 관련하여서는 「개인정보보호법」을 적용하지 아니하더라도 정보주체의 정보보호에 소홀한 점이 없음
- 다만, 범죄수사 등을 위한 경우라 하더라도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우에는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없음
- 법원의 재판업무 수행을 위하여 필요한 경우(법 제18조 제2항 제8호)
- - ②번 항목의 “다른 법률에 특별한 규정이 있는 경우”의 자료 제공기준에 준하여 판단
- - 법원의 문서제출명령서, 사실조회, 문서송부촉탁 등에 의해 정보주체의 동의 없이 목적 외로 제공 가능
- 형 및 감호, 보호처분의 집행을 위하여 필요한 경우(법 제18조 제2항 제9호)
- - ②번 항목의 “다른 법률에 특별한 규정이 있는 경우”의 자료 제공기준에 준하여 판단
- 정보주체의 동의를 받아 제공하는 경우(법 제18조 제2항 제1호)
자료 이용 및 제공 방법
- 업무처리 절차
- 문서 접수부서에서“II. 제공기준”에 의하여 자료제공 여부를 판단 후 부득이한 경우를 제외하고는 전자결재에 의한 문서회신을 원칙으로 함
- - 회신문서에는 다음 사항을 반드시 기재
- - 관련업무 처리 후 PC에 개인정보 자료가 저장된 경우 지체없이 (업무목적 달성 후 5일 이내) 삭제
【회신문서의 필수 기재사항】
- 이용목적, 이용방법, 이용기간, 이용형태의 제한사항
- 개인정보의 안전성 확보를 위해 필요한 구체적인 조치사항
※ 표준 회신문안- · 공사의 자료는 개인의 사생활과 밀접한 관련이 있는 개인정보이므로 「개인정보보호법」등에 맞게 이용 및 관리하시기 바랍니다.
· 요청 목적 외의 용도로 이용하거나, 정보주체의 동의 없이 다른 기관에 재제공하는 행위는 금지됩니다.
· 개인정보를 제공받은 목적이 달성된 후에는 반드시 ‘완전파기’하는 등 「개인정보보호법」에 따라 안전성 확보를 위한 조치를 해주시기 바랍니다.
- 문서 접수부서에서“II. 제공기준”에 의하여 자료제공 여부를 판단 후 부득이한 경우를 제외하고는 전자결재에 의한 문서회신을 원칙으로 함
- 자료제공 방법 【기본원칙】
- 전자결재 문서에 의해 제공함을 원칙으로 하되, 부득이한 경우 보조 기억매체(USB, CD, 디스켓 등) 및 모사전송, 우편, 이메일로 제공 가능- ※ 우편을 이용하는 경우 배달증명으로 발송
※ 이메일에 의한 자료 제공 시 업무용 PC에서 사용하는 문서작성 도구(한글, 엑셀 등)의 자체 암호화 기능 등을 통하여 개인정보파일을 암호화한 후 제공- 전자결재 문서에 의한 정보통신망을 이용하여 제공하는 경우
- - 개인정보를 엑셀 등 첨부파일 형태로 제공하되, 반드시 암호화 조치하여 송부하고 암호는 유선 등의 방법으로 별도 통보
- ※ 문서 본문에 개인정보 및 비밀번호를 표기하여 제공하는 것은 불가
- - 개인정보를 엑셀 등 첨부파일 형태로 제공하되, 반드시 암호화 조치하여 송부하고 암호는 유선 등의 방법으로 별도 통보
- 엑셀 등 문서 출력물에 의해 직접 전달하는 경우
- - 자료 제공 시 요청기관의 담당자 또는 직상급자에게 직접 전달
- ※ 수령자 인적사항 등을 반드시 확인하여 기록 관리
- - 자료 제공 시 요청기관의 담당자 또는 직상급자에게 직접 전달
- 보조기억매체(USB, CD, 디스켓 등)를 이용하여 제공하는 경우
- - 제공되는 개인정보 자료는 반드시 암호화 조치
- - 공사 직원이 직접 출장하여 제공하는 경우
- · 자료 제공 시 요청기관의 담당자 또는 직상급자에게 직접 전달
- · 자료 전달 완료 후 반출된 보조기억매체에 저장된 자료는 즉시 삭제
- - 요청기관 직원이 공사를 방문하여 제공하는 경우
- · 제공되는 개인정보 자료는 암호화 조치
- · 반출된 보조기억매체는 요청기관의 제공자료 확인 조치 후 즉시 회수하여 저장된 개인정보 삭제 처리
- 기타의 방법에 의해 자료제공이 필요한 경우는 안전성 조치 등에 대해 개인정보보호 담당자와 협의를 거쳐 제공
- 전자결재 문서에 의한 정보통신망을 이용하여 제공하는 경우
안전성 확보조치 방안
- 개인정보 자료 제공은 문서로 시행되어야 하며, 문서에 제공목적 이외의 이용금지, 사용목적 달성 후 폐기, 사후관리 실태확인 등의 안전성 확보 조치 문구를 표기하여 시행
- 제공받은 개인정보 자료는 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없음(개인정보보호법 제19조)
- 이 경우 요청을 받은 자(제3자)는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 함.
관리대장 기록·관리 방안 및 사실의 공개
- 목적외의 용도로 외부기관 등에 제공한 부서는 자료제공 내역을 ‘개인정보의 목적외 이용 및 제3자 제공 대장(붙임)’에 반드시 기록⋅관리
- 개인정보취급부서에서는 제공건수가 없는 경우라도‘목적외 이용 및 제3자 제공 대장’비치
- 또한 제공한 날로부터 30일 이내에 공사 개인정보담당자에게 통보하여 홈페이지 개인정보처리방침 제3조(개인정보의 제3자 제공)에 기재하여 공개할 수 있도록 조치
- 필수기재사항 : 파일명칭, 제공받는 자, 제공목적, 근거, 제공항목, 제공받는 자, 보유기간