본문으로 건너뛰기

개인정보취급(처리)방침은 어떻게 작성하고 공개하나요?

💡 요약 정리

  • 개인정보를 처리(수집·보관·이용·제공·파기 등)한다면, 방침을 작성해 이용자가 쉽게 찾을 수 있게 공개해야 합니다.
  • 미공개 시 2천만 원 이하 과태료가 부과됩니다.
  • 공개 필수 항목: 수집·이용 목적/항목/방법, 제3자 제공, 보유·파기, 위탁, 권리 행사, 자동수집(쿠키), 책임자 연락처.
  • 공개 방법: 홈페이지 첫 화면 등 명확한 위치 표시 또는 사업장 비치, 간행물 등 지속 게재.
  • 회원가입 동의 화면에는 목적·항목·기간·거부권 및 불이익을 반드시 분리 고지합니다. 방침 전문만으로 동의 받기 금지.

1. 개인정보취급(처리)방침이란?

  • 개인정보취급(처리)방침은 이용자의 개인정보를 취급(수집·보관·처리·이용·제공·관리·파기 등)하는 경우, 정보통신망 등 관련 규정에 따라 작성하여 이용자에게 공개하는 것을 의미합니다.
  • 이를 이용자가 언제든지 쉽게 확인할 수 있도록 공개하지 않을 경우 2천만 원 이하의 과태료가 부과됩니다.
  • 쇼핑몰 등 개인정보를 수집·이용하는 사이트를 운영하려면 정보통신망법 및 개인정보보호법에 따라 개인정보취급(처리)방침을 작성하여 이용자에게 공개해야 합니다. 아래 가이드를 참고하세요.

2. 개인정보취급(처리)방침의 공개

2.1 공개해야 할 항목(정보통신망법 제27조의2, 개인정보보호법 제30조)

  • A. 개인정보의 수집·이용 목적, 수집 항목 및 방법 공개
    • (1) 수집하는 개인정보는 필요한 최소한의 정보로 해야 합니다.
    • (2) 서비스 제공을 위하여 필요한 ‘필수항목’과 ‘선택항목’을 구분하여 동의받아야 합니다.
개인정보 수집·이용 필수/선택 항목 예시 이미지

  • 참고 이미지

  • (3) 개인정보 수집이 필요한 시점에 동의받아야 합니다.

  • B. 제3자 제공 시, 제공받는 자의 성명(법인 명칭), 이용 목적, 제공하는 개인정보 항목 공개

    • (1) 이용자의 편익이나 서비스 제공과 직접 관련이 없는 무분별한 제3자 제공은 금지합니다.
    • (2) 개인정보의 제3자 제공 시 파기 등 관리 의무를 계약서에 반영해야 합니다.

  • C. 개인정보의 보유 및 이용 기간, 파기 절차 및 방법

    • (1) 보유·이용 기간은 법령의 규정과 실제 사이트에 적용된 내용을 반영해야 합니다.
    • (2) 보유·이용 기간 경과 후 법령 등의 사유로 별도 DB에 보관하는 경우, 분리 보관에 관한 사항을 표기해야 합니다.
    • (3) 개인정보유효기간제(1년 간 서비스 이용이 없는 회원의 정보 처리) 관련 사항을 추가합니다.
개인정보 보유기간·파기 관련 표기 예시 이미지

  • 참고 이미지

  • D. 개인정보취급 위탁 시 위탁 업무의 내용 및 수탁자 공개

    • (1) PG사, 택배사, 본인인증기관, IT 개발 수탁자, 고객상담업무 수탁사 등의 경우가 해당됩니다.
개인정보 처리 위탁 항목 예시 이미지

  • 참고 이미지

    • (2) 개인정보취급 위탁 시 파기 등 관리 의무가 포함된 개인정보처리위탁계약 체결이 필요합니다.

  • E. 이용자 및 법정대리인의 권리와 그 행사 방법 공개

  • F. 인터넷 접속 정보 파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 공개

쿠키 등 자동 수집 장치 운영 및 거부 방법 예시 이미지

  • 참고 이미지

  • G. 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충 사항 처리 부서의 명칭, 그 전화번호 등 연락처 공개

개인정보 관리책임자 및 고충처리 부서 연락처 표시 예시 이미지
  • 참고 이미지

2.2 공개 방법(시행령 제14조)

  • 아래 중 하나 이상의 방법으로 공개해야 합니다.
    • A. 인터넷 홈페이지 첫 화면 등에 이용자가 쉽게 확인하도록 표시
    • B. 점포·사무소 안에 보기 쉬운 장소에 비치하여 열람
    • C. 간행물·소식지·홍보지·청구서 등에 지속적으로 게재

3. 기타 개인정보 수집 및 이용 시 주의사항

  • 회원가입 시 개인정보 수집 및 이용 동의를 받아 수집하는 경우, 아래 사항을 반드시 포함해야 하며, 개인정보취급(처리)방침 전문을 노출하여 동의 받을 수 없습니다.

      1. 개인정보의 수집·이용 목적
      1. 수집하는 개인정보의 항목
      1. 개인정보의 보유 및 이용 기간
      1. 동의를 거부할 권리가 있다는 사실과 거부 시 불이익이 있다면 그 내용
  • 주민등록번호는 법령에서 구체적으로 허용하는 경우가 아니면 수집·이용할 수 없습니다.
    • 주민등록번호를 수집하고 있다면, 아래 관련 법령을 참고하여 위반이 없도록 조치하세요.

4. 관련 법령

  • 정보통신망이용촉진 및 정보보호 등에 관한 법률

    • 제27조의2(개인정보 취급방침의 공개)
      • ① 정보통신서비스 제공자 등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
      • ② 제1항에 따른 개인정보 취급방침에는 다음 각 호의 사항이 모두 포함되어야 한다.
          1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집 방법
          1. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목
          1. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
          1. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 취급방침에 포함한다)
          1. 이용자 및 법정대리인의 권리와 그 행사방법
          1. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
          1. 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
      • ③ 정보통신서비스 제공자등은 제1항에 따른 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.

  • 개인정보보호법

    • 제15조(개인정보의 수집·이용)
      • ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
          1. 정보주체의 동의를 받은 경우
          1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
          1. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
          1. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
          1. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
          1. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
      • ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
          1. 개인정보의 수집·이용 목적
          1. 수집하려는 개인정보의 항목
          1. 개인정보의 보유 및 이용 기간
          1. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
    • 제30조(개인정보 처리방침의 수립 및 공개)
      • ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
          1. 개인정보의 처리 목적
          1. 개인정보의 처리 및 보유 기간
          1. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
          1. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
          1. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
          1. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
      • ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
      • ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
      • ④ 행정자치부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.

참고사항