Professional Documents
Culture Documents
24년 개인정보 처리방침 평가계획(공개)_수정본
24년 개인정보 처리방침 평가계획(공개)_수정본
1. 평가 목적 및 의의
보장 기여 정도 등을 평가하여 개인정보 보호 수준 개선 유도
2. 추진 근거
□
법 제30조의2(개인정보 처리방침의 평가 및 개선권고) ➀ 보호위원회는 개인정보 처리방침에
- 1 -
◈ 평가 방향 우수한 개인정보 처리방침을 발굴 및 확산하고 미흡한
( ) ,
○ 평가 분야 언론보도 또는 국회 지적 등을 통해 개인정보 처리
( )
○ 선정 기준 고시 제 조 제 항 각 호의 평가대상 선정 기준 중
( ) 4 1
1개 이상 요건에 해당하는 경우 선정
※ 다만, 고시 제4조 제1항 제3호 요건(처리방침에 동의·비동의 구분)은 개인정보 처리방침
작성지침이 ‘24.4월에 배포되었음을 고려, 올해 평가에서 적용 제외
○ 평가 대상 시점 년 월 일 평가 시작일 을 기준으로 공개
( ) ’24 7 1 ( )
분야 평가 대상
중고거래(1개) ㈜당근
주문·배달
㈜우아한형제들, ㈜위대한상상, 쿠팡이츠서비스 유한회사
(3개)
온라인
플랫폼 롯데관광개발(주), ㈜야놀자, ㈜여기어때컴퍼니, ㈜인터파크트리플,
(12개) 숙박·여행 ㈜하나투어, 스카이스캐너(Skyscanner Ltd), 아고다(Agoda
(9개) Company Pte. Ltd.), 에어비앤비(Airbnb Inc), 트립닷컴(Trip.com
Travel Singapore Pte. Ltd.)
삼성서울병원, 서울대학교병원, 서울아산병원, 연세대학교
병·의료원(5개)
의료원, (학)카톨릭대학교서울성모병원
온라인 동영상
넷플릭스서비시스코리아(유), 월트디즈니컴퍼니코리아(유),
서비스(OTT)
콘텐츠웨이브(주), 쿠팡(주), ㈜티빙
(5개)
- 3 -
4. ’24년 개인정보 처리방침 평가 기준 및 지표(안)
◈ 개인정보 보호법 제30조의2 제1항 각 호 기준에 따라 처리방침의 적정성, 가독성,
접근성 평가, 적정성은 3개 분야(적합성, 권리보장, 안전성)로 구분
◈ 각 평가항목별 지표는 법적 의무사항의 이행/미이행 여부를 평가하는 정량지표와
평가 대상의 추가적인 노력을 평가할 수 있는 정성지표(우수/보통/미흡)로 구성
◈ 법적 요구사항 외에 개인정보 처리방침 작성지침에서 권장하고 있는 사항까지 준수
하는 경우 우수한 평가를 받을 수 있도록 지표 설계
○ 평가 기준별 지표 구성 개 항목 개 지표 개 세부지표정량 개 정성 개
(26 , 42 , 63 ( 28 , 35 ))
평가 분야 평가 내용 및 지표(안)
‣ 필수ž권장 기재 사항 작성 여부, 기재 내용의 법령 부합성 및 개인
정보 처리의 법적근거 및 항목, 보유·이용기간 등의 구체성·적정성 평가
적합성
(8개
‣ 8개 항목*, 12개 지표, 23개 세부지표(정량 15개, 정성 8개)
항목) * ① 개인정보 처리 목적, ② 처리 항목(정보주체의 동의없이 처리하는 개인
정보 포함), ③ 처리 및 보유기간 ④ 파기 절차 및 방법, ⑤ 제3자 제공,
⑥ 추가적 이용ž제공, ⑦ 위탁, ⑧ 국외 수집 및 이전
‣ 정보주체의 권리 보장을 위해 처리방침에 작성하도록 한 사항*의
권리
기재 여부, 실제 작동 여부 등 평가
적정성 보장
‣ 5개 항목*, 9개 지표, 11개 세부지표(정량 4개, 정성 7개)
(19개 항목) (5개
항목) * ⑨ 14세 미만 아동의 개인정보 처리, ⑩ 정보주체와 법정대리인의 권리ž의무
및 행사방법, ⑪ CPO, ⑫ 국내대리인, ⑬ 권익침해 구제방법
‣ 개인정보를 안전하게 관리하도록 추가적인 의무를 부여한 항목에
대해 법령 부합성 및 구체성·적정성 평가
안전성 ‣ 6개 항목*, 10개 지표, 13개 세부지표(정량 5개, 정성 8개)
(6개
* ⑭ 안전성 확보 조치, ⑮ 민감정보의 공개 가능성 및 비공개 선택 방법, ⑯
항목) 가명정보, ⑰ 개인정보 자동수집장치의 설치ž운영 및 거부, ⑱ 개인정보 자동
수집장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 수집ž이용
및 거부, ⑲ 고정형ž이동형 영상정보 처리기기
‣ 처리방침의 구성 방법(줄 간격, 목차 등), 문장ž어휘의 적정성, 가독성 제고를
위해 사용하고 있는 방법 등 평가
가독성
(4개 항목) ‣ 4개 항목*, 7개 지표, 9개 세부지표(정량 1개, 정성 8개)
* ① 구성 및 디자인, ② 문장ž어휘의 적정성, ③ 도표, 그림 등 다양한 표시 방법 활용, ④
구체적 안내를 위한 노력
‣ 정보주체가 처리방침을 쉽게 확인 및 접근할 수 있는지 공개 방식의 적정성·
접근성 접근 용이성 평가(웹·앱 처리방침 모두 포함)
(3개 항목) ‣ 3개 항목*, 4개 지표, 7개 세부지표(정량 3개, 정성 4개)
* ① 개인정보 처리방침의 공개 방식, ② 처리방침 변경, ③ 통합 개인정보 처리방침
① 정보주체에게 불이익한 내용을 기재하고 있는 경우
기타 고려
② 개인정보 처리방침 상 법령 위반 사실이 확인되거나, 최신 법률 내용 등이
사항(감점)
미반영되는 등 개인정보 처리방침이 미흡한 경우
- 4 -
5. 개인정보 처리방침 평가 절차·방법 및 결과 환류
- 5 -
6. ’24년 개인정보 처리방침 평가 추진 일정(안)
* 세부적인 평가 추진 일정은 평가 진행 상황에 따라 변동될 수 있음
○ 평가 결과 통보 및 이의신청 월 (~10 )
○ 이의신청 검토 및 결과 통보 월 (~11 )
- 6 -
참고 개인정보 처리방침 평가 세부 지표(안)
➊ 적정성 개 항목 개 지표 개 세부지표 정량 개 정성 개
(19 , 31 , 47 ( 24 , 23 ))
1. 개인정보의 처리 목적
① 개인정보 처리 목적을 구체적이고 명확하게 기재하고 있는가?
①-1. 정보주체가 개인정보 처리 목적을 쉽게 인지할 수 있도록 모호한 표현 없이
정성
명확하게 기재하고 있는가?
①-2. 개인정보처리자가 제공하는 서비스에 대한 개인정보 처리 목적을 개인
정량
정보 수집‧이용 시 고지하는 내용과 일치하도록 누락없이 기재하고 있는가?
2. 처리하는 개인정보의 항목
① 개인정보 처리의 법적 근거와 처리하는 개인정보의 항목을 구체적이고 명확하게 기재하고 있는가?
①-1. 개인정보 처리의 법적근거와 항목을 모호한 표현 없이 명확하게 기재하고
정성
있는가?
①-2. 정보주체의 동의 없이 처리하는 개인정보의 항목과 법적 근거를 동의를
정량
받아 처리하는 개인정보의 항목과 구분하여 기재하고 있는가?
② 처리하는 개인정보의 항목을 적정하게 정하고 있는가?
②-1. 개인정보 항목은 개인정보 처리 목적에 비추어 필요 최소한으로 적정하게
정량
정하고 있는가?
②-2. 개인정보 수집·이용 시 고지하는 내용과 개인정보 처리방침에 기재된
정량
내용이 일치하도록 누락 없이 기재하고 있는가?
3. 개인정보의 처리 및 보유기간
① 개인정보의 처리 및 보유기간을 적정하게 정하여 구체적이고 명확하게 기재하고 있는가?
- 7 -
①-1. 제3자 제공 시 기재해야 하는 내용*을 누락없이 기재하고 있으며, 정보주체가
관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고 있는가?
* (동의 받는 경우) 개인정보를 제공받는 자, 제3자의 이용 목적, 제공하는 개인정보 항목, 보유·이용기간 정성
(동의 외의 경우) 제공의 법적 근거, 제공받는 자, 제3자의 이용 목적, 제공하는 개인정보 항목,
보유·이용기간(권장)
①-2. 제3자 제공 시 정보주체에게 동의 받는 내용과 일치하도록 개인정보 처리
정량
방침에 포함되어야 할 사항을 누락 없이 모두 기재하고 있는가?
② 제3자에게 제공되는 개인정보 항목과 보유·이용기간을 개인정보 처리의 법적 근거 및
목적에 비추어 적정하게 정하고 있는가?
②-1. 개인정보 제3자 제공의 법적 근거 및 제공 목적에 비추어 개인정보 제공
정량
항목을 필요 최소한으로 적정하게 정하고 있는가?
②-2. 개인정보 제3자 제공의 법적 근거 및 제공 목적에 비추어 개인정보 보유
정량
및 이용기간을 적정하게 안내하고 있는가?
6. 개인정보의 추가적 이용 또는 제공에 대한 판단기준 해당시
① 개인정보의 추가적 이용‧제공이 지속적으로 발생하는 경우 관련 내용을 구체적이고 명확
하게 기재하고 있는가?
①-1. 개인정보의 추가적 이용ž제공이 지속적으로 발생하는 경우 그 이용ž
제공에 관한 사항(제공받는 자, 항목, 이용ž제공목적, 보유 및 이용기간)을 정량
누락없이 기재하고 있는가?
①-2. 개인정보의 추가적 이용ž제공이 지속적으로 발생하는 경우 그 고려사항에
대한 판단기준을 법령에 있는 사항을 단순히 나열하지 않고 구체적으로 정성
기재하고 있는가?
7. 개인정보 처리 위탁에 관한 사항 해당시
① 개인정보 처리의 위탁에 관한 사항을 구체적이고 명확하게 기재하고 있는가?
①-1. 법령 등에 따라 처리방침에 기재되어야 할 사항을 누락없이 기재하고
정성
있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고 있는가?
② 개인정보 처리의 재위탁에 관한 사항을 구체적이고 명확하게 기재하고 있는가?
②-1. 재위탁이 발생하는 경우 수탁자가 재위탁한 업체명, 재위탁 업무 내용 등
재위탁에 관한 사항을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 정성
쉽게 인지할 수 있도록 명확하게 기재되어 있는가?
8. 국외 수집 및 이전 해당시
① 국외 수집 및 이전에 관한 사항을 적정하게 정하여 명확하게 기재하고 있는가?
- 8 -
받는 자의 성명(법인의 경우 명칭과 연락처), 이전받는 자의 이용 목적 및 보유·이용기간,
이전 거부 방법 및 절차와 거부의 효과
② 국외 이전되는 개인정보 항목 및 보유‧이용기간을 적정하게 정하고 있는가?
②-1. 국외 이전되는 개인정보 항목을 그 법적 근거와 이용 목적에 비추어
정량
보았을 때 필요 최소한으로 정하고 있는가?
②-2. 국외 이전 시 보유ž이용기간을 그 법적 근거와 이용 목적에 비추어 보았
정량
을 때 적정하게 정하고 있는가?
9. 14세 미만 아동의 개인정보 처리에 관한 사항 해당시
① 14세 미만 아동의 개인정보 처리에 관한 사항을 구체적이고 명확하게 기재하고 있는가?
①-1. 14세 미만 아동의 개인정보를 처리하는 경우 법정대리인의 동의를 얻어 개인
정보를 수집한다는 내용과 아동으로부터 수집하는 법정대리인의 개인정보 항목을 정량
명확하고 적정하게 기재하고 있는가?
② 14세 미만 아동의 개인정보 처리에 관해 법정대리인의 동의를 받는 방법을 명확하게 기재하고
있는가?
②-1. 법정대리인의 동의 확인 방법을 실제 처리하는 방법으로 명확히 기재하고 있는가? 정성
10. 정보주체의 권리‧의무 및 행사 방법
① 정보주체와 법정대리인의 권리ž의무 및 행사방법을 구체적이고 명확하게 기재하고
있으며, 정보주체가 권리 행사를 쉽게 할 수 있도록 안내되고 있는가?
①-1. 정보주체와 법정대리인이 개인정보 보호와 관련하여 지니는 권리ž의무를 구체적
정량
으로 기재하였는가?
①-2. 정보주체와 법정대리인의 권리 행사 방법 및 절차는 실제 현황을 반영
정성
하여 구체적이고 적정하게 기재하였는가?
② 개인정보의 열람등 청구를 접수ž처리하는 부서를 구체적이고 명확하게 기재하고 있는가?
②-1. 개인정보 열람등 청구를 접수ž처리하는 부서와 연락처를 명확하게 기재하고
정량
있는가?
②-2. 처리방침에 기재된 열람등 청구 접수ž처리 부서의 연락처는 실제로 작동하는가? 정성
- 9 -
①-1. 국내대리인을 지정하여야 하는 경우 처리방침에 기재하여야 하는 사항을
정량
누락없이 모두 기재하고 있는가?
② 처리방침에 기재된 국내대리인에 관한 사항은 은 정보주체의 고충 처리 등 권리 보장에
기여할 수 있도록 안내되고 있는가?
②-1. 처리방침에 기재된 국내대리인의 연락처(전화번호 및 전자우편 주소)는
정성
연결 가능하며, 실제 관련 업무를 담당하고 있는가?
13. 권익침해 구제기관에 관한 사항
① 정보주체의 권익 침해 시 구제 받을 수 있는 주요 기관에 관한 사항을 현행화하여
기재하였는가?
①-1. 처리방침 내 권익침해 시 주요 구제기관을 기재하였으며, 주요 구제
정성
기관의 연락처는 최신성을 유지하여 적정하게 안내하고 있는가?
14. 개인정보의 안전성 확보조치에 관한 사항
① 개인정보의 안전성 확보 조치에 관한 사항 및 자율적인 보호 노력을 구체적이고 명확
하게 기재하고 있는가?
①-1. 개인정보의 안전성 확보조치의 각 내용(관리적ž기술적ž물리적 조치) 및
정성
자율적인 보호 노력 등을 구체적으로 기재하고 있는가?
15. 민감정보의 공개 가능성 및 비공개 선택 방법 해당시
① 민감정보의 공개 가능성 및 비공개 선택 방법을 실제 현황을 반영하여 구체적이고 명확
하게 기재하고 있는가?
①-1. 재화 또는 서비스 제공 과정에서 민감정보가 공개될 수 있다는 사실 및
정량
공개될 수 있는 민감정보의 항목을 누락없이 기재하였는가?
①-2. 민감정보의 공개 가능성이 있는 경우 비공개를 선택하는 방법을 구체적으로
정성
기재하고 있는가?
- 10 -
기재해야하는 항목*을 누락 없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게
인지할 수 있도록 명확하게 기재하였는가?
* 행태정보(개인정보) 처리의 법적 근거, 수집하는 행태정보의 항목, 수집 방법, 수집 목적, 보유·
이용기간, 거부방법, 제3자 제공에 관한 사항(해당시)
③ 쿠키 등 자동수집 장치를 통해 정보주체를 식별하지 않고 행태정보를 처리하는 경우
그 해당 사실과 그 수집ž이용ž제공 및 거부에 관한 사항을 구체적이고 명확하게 기재
하고 있는가?
③-1. 정보주체를 식별하지 않고 행태정보를 처리하는 경우 기재해야 할
항목 *을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지
할 수 있도록 명확하게 기재하였는가? 정성
* 수집하는 행태정보 항목, 행태정보 수집 방법, 행태정보 수집 목적, 보유·이용기간, 거부방법,
제3자 제공에 관한 사항(해당시)
④ 제3자가 운영하는 웹·엡에서 개인정보 자동 수집 장치를 설치·운영하고, 그 결과 해당
자동수집장치에서 개인정보처리자가 행태정보를 수집하는 경우 해당 처리 사실을 기재하고
있는가?
④-1. 제3자가 운영하는 웹·앱에서 개인정보 자동 수집 장치를 설치·운영하고,
정량
해당 장치를 통해 행태정보를 수집한다는 사실을 기재하고 있는가?
18. 자동수집 장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 그 수집ž이용 및
거부에 관한 사항 해당시
① 제3자가 개인정보 자동수집 장치를 통해 행태정보를 수집하도록 허용하는 경우 수집
해가는 행태정보에 관한 사항을 구체적이고 명확하게 기재하고 있는가?
①-1. 제3자가 수집해가는 행태정보에 관한 사항*을 누락없이 기재하고 있으며,
정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고 있는가? 정성
* 수집도구 명칭, 수집해가는 사업자, 수집도구 종류, 수집해가는 행태정보 항목, 수집해가는 목적, 거부 방법
② 제3자가 개인정보 자동수집 장치를 통해 행태정보를 수집하도록 허용하는 경우 정보주체가
이에 관한 사항을 쉽게 확인할 수 있도록 효과적인 방법으로 공개하고 있는가?
②-1. 정보주체가 쉽게 확인할 수 있도록 별도의 창으로 관련 내용을 제공하는
정성
등의 방식으로 정보주체가 관련 사항을 쉽게 확인할 수 있도록 하고 있는가?
19. 고정형ž이동형 영상정보 처리기기의 운영ž관리에 관한 사항 해당시
① 고정형ž이동형 영상정보 처리기기를 설치ž운영하는 경우 법령 및 표준지침에 따라
처리방침에 기재하여야 할 사항을 구체적으로 기재하여 공개하고 있으며, 실제 처리
현황과 일치하는가?
①-1. 고정형ž이동형 영상정보 처리기기를 설치ž운영하는 경우 법령 및 표준
정량
지침에 따라 기재하여야 하는 사항을 누락하지 않고 모두 기재하고 있는가?
①-2. 처리방침에 기재된 관리책임자의 연락처는 연결 가능하며, 실제 해당 업무를
정성
담당하고 있는가?
- 11 -
➋ 가독성 개 항목 개 지표 개 세부지표 정량 개 정성 개
(4 , 7 , 9 ( 1 , 8 ))
20. 구성 및 디자인
① 목차, 하이퍼링크, 팝업 등을 적절하게 활용하여 정보주체가 쉽게 관련 내용을 확인할
수 있도록 처리방침을 구성하였는가?
①-1. 개인정보 처리방침 상단에 기재사항에 대한 목차를 제공하고 있는가? 정성
①-2. 처리방침 내 하이퍼링크, 팝업 등 기능을 적절히 활용하여 정보주체가
정성
원하는 내용을 쉽게 확인할 수 있게 구성하였는가?
② 기재 항목 간 구분, 문단 구분, 줄 간격 등을 적절하게 활용하여 정보주체가 처리방침을
읽기 쉽도록 구성하였는가?
②-1. 기재 항목의 제목 및 본문에 대한 글자 크기, 색상, 굵기 및 문단 간 구분 등을
정성
적절히 설정하여 각각의 기재 항목이 명확하게 구분될 수 있도록 하였는가?
21. 문장, 어휘의 적정성
① 처리방침에 기재된 문장 및 어휘가 정보주체 누구나 쉽게 이해할 수 있도록 쉽고
간결하게 구성되어 있는가?
①-1. 정보주체 누구나 처리방침을 쉽게 이해할 수 있도록 처리방침에 기재된
정성
문장이 쉽고 간결하게 구성되어 있는가?
①-2. 지나친 번역투의 표현이나 외국어를 사용하여 정보주체가 이해하기 어렵게
정성
기재되어 있지 않은가?
22. 도표, 그림 등 다양한 표시방법 활용
① 처리방침 내 도표, 그림, 라벨링, 인포그래픽 등 다양한 방법을 활용하여 정보주체가
개인정보 처리방침을 이해하기 쉽게 기재하였는가?
①-1. 개인정보 처리방침에 기재해야하는 항목 중 여러 가지 내용을 요구하는
항목(예; 개인정보 처리 목적·항목 및 보유기간, 제3자 제공, 국외 이전 등)에 대해 정성
도표 등을 활용하여 정보주체가 쉽게 확인할 수 있게 기재하였는가?
23. 구체적 안내를 위한 노력
① 개인정보 처리방침의 서문 등에 처리방침 공개주체를 명시적으로 선언하여 정보주체가
쉽게 알 수 있도록 하였는가?
①-1. 개인정보 처리방침 서문 등을 통해 처리방침을 수립, 공개하고자 하는
정량
공개주체를 정보주체가 명확히 알 수 있도록 기재하였는가?
② 처리방침에 기재된 내용을 정보주체가 쉽게 이해할 수 있도록 부연 설명이 제공되고
있는가?
②-1. 개인정보 처리방침 내 사용되는 법률 용어, 전문용어 등 이해하기 어려운
용어에 대해 정보주체가 쉽게 이해할 수 있도록 부연 설명 등이 제공되고 정성
있는가?
③ 정보 취약계층이 개인정보 처리방침을 쉽게 이해할 수 있도록 노력을 하였는가?
③-1. 동영상 등과 같이 다양한 매체를 활용하는 등의 방법으로 아동·장애인 등
정보 취약계층이 개인정보 처리방침을 쉽게 확인 및 이해할 수 있도록 정성
노력하였는가?
- 12 -
➌ 접근성 개 항목 개 지표 개 세부지표 정량 개 정성 개
(3 , 4 , 7 ( 3 , 4 ))
➍ 기타 고려사항
구분 세부 지표
① 개인정보 처리방침에 개인정보 유출 관련 책임회피 등 정보주체에게 불이익한
내용을 기재하고 있는 경우
감점
② 개인정보 처리방침 평가 중 법령 위반 사실이 확인되거나, 최신 법률 내용
등이 미반영되는 등 개인정보 처리방침이 미흡한 경우
- 13 -