최근 CPPG라는 개인정보 관리사 자격증을 준비하고 있다.
대부분 새로운 웹 페이지를 방문하거나 회원가입할 때, ‘개인정보 수집 동의’라는 문구를 한번쯤을 보았을 것이다. 회사에서 관련 업무를 하면서 기존에는 클릭 몇번으로 넘어갔던 것을 요즘 주의깊게 들여다보기 시작했다. 또 moum이 출시되면 개인정보 처리방침 작성이 필요할텐데 이번 기회에 공부해보면 좋을 것 같아 글을 시작한다.
(사실 이미 잘 작성된 글(https://brunch.co.kr/@sungsiri/34)이 있긴하지만, 공부할겸 작성해본다. )
[프로젝트] 개인정보 처리방침은 어떻게 작성하죠?
서비스 개발의 가장 뒷부분 작업 중 하나는 우리 서비스에 맞는 '개인정보 처리방침'을 만드는 일이다. 대부분의 서비스가 개인정보를 다루고 있고 개인정보의 중요성이 점점 커지는 만큼 플랫
brunch.co.kr
개인정보 처리방침 꼭 작성해야할까?
Yes!!!
개인정보 처리방침은 서비스 이용자의 개인정보가 안전하게 보호되고 서비스를 이용할 수 있도록 서비스 제공자가 준수해야 하는 지침을 말한다. 기업에서는 고객의 개인정보 뿐만 아니라 내부 임직원의 정보를 보유하고 있는 경우에도 개인정보처리방침 작성은 필수이다.
만약 서비스의 사용자의 개인정보가 수집되는 경우라면, 개인정보 처리방침은 필수이다.
개인정보는 살아있는 개인에 관한 정보로 1) 개인을 알아볼 수 있는 정보나 2) 나와있는 정보만으로 특정 개인을 알아볼 수 없지만 다른 정보와 결합하여 알아볼 수 있는 정보를 말한다. 상세 내용은 개인정보 포털을 참고하기 바란다.
개인정보 포털
개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.
www.privacy.go.kr
올바른 개인정보 처리방침 작성하기
일반 기업에서는 관련부서나 담당자가 작성하겠지만, 그렇지 않은 경우 개인정보 포털을 참고하면 된다(면 너무 좋겠지만 현재 서비스가 중단되었다. 2024.10.27 기준)
개인정보 처리방침은 가장 최신의 작성 지침을 참고하여 작성해야 한다.
개인정보 포털
개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.
www.privacy.go.kr
개인정보 처리방침에는 서비스에서 다루는 데이터 항목 뿐만 아니라 사용자가 자신의 개인정보에 대해 어떤 통제를 할 수 있는지 제공해야 한다. 두 항목의 대략적인 내용들은 다음과 같다.
개인정보 기재사항은 서비스 비즈니스와 운영 성격에 따라 달라질 수 있다. 다음은 대표적인 필수 항목들이다. 해당 제목만 기재할 것이 아니라 간단한 설명이 함께 작성되어야 한다.
- 개인정보의 처리 목적
- 처리하는 개인정보의 항목
- 개인정보의 처리 및 보유 기간
- 개인정보 처리방침의 변경 사항
개인정보 처리방침 제공하기
그럼 작성된 개인정보 처리방침은 어떻게 제공해야할까?
웹 서비스
웹 서비스의 경우, 홈페이지에서 개인정보 처리방침을 공개한다. 보통 사이트하단에 위치하며, 클릭 시에 상세 페이지로 넘어가는 경우가 많다.
앱 서비스
앱 서비스의 경우에 어떻게 개인정보 처리방침을 배치하고 있을까? 앱 서비스 또한 개인정보를 수집하기 때문에 개인정보 처리방침을 제공해야 한다.
보통 ‘설정’이나 ‘마이페이지’탭에서 개인정보처리방침 메뉴를 볼 수 있으며, 클릭하면 상세 페이지로 이동한다. 혹은 별도의 노션 페이지나 블로그 등을 링크하여 앱 밖으로 이동하는 경우도 있다.
클라우드 서버를 이용한다면?
아마 대부분의 사이드 프로젝트는 AWS와 같은 클라우드 서버를 사용할 것이다.
여기서 중점으로 고려되는 부분은 크게 두가지이다. 1) 개인정보 처리시스템에 대한 접근 통제, 2) 데이터의 해외 이전에 관한 부분이다.
1) 개인정보 처리시스템에 대한 접근 통제
개인정보를 관리하고 있는 DB 시스템에 대한 접근 관리가 필요하다. 개인정보 처리방침에 따르면 이용자의 정보를 해당 업무를 하는 사람으로 제한되도록 관리되어야 한다. 또한 IP 주소를 기준으로 접속 권한을 제한하여, 안전한 인증을 통해 작업을 할 수 있도록 제공하는 것이 필요하다.
2) 데이터의 해외 이전
클라우드 서비스의 실제 물리 서버는 해외에 위치하는 경우가 대부분이다. 원칙적으로 해외로 개인정보가 제공되는 경우, 정보제공자의 동의를 받는 것이 필요하지만 법령에서는 홈페이지에 국외 개인정보 위탁에 대한 명시를 할 경우 동의를 거치지 않아도 된다는 예외 규정이 마련되어 있다.
마무리
정보 주체에 대한 권리가 높아지면서, 개인정보에 대한 규제는 점점 강화되고 있다. 또한 매번 법이 개정되면서 꾸준한 업데이트가 필요하다.
개인정보에 대한 부분이 많이 번거롭고 낯설게 느껴질 수 있지만 가이드라인과 예시 문서를 참고한다면 충분히 완성도 높은 방침을 작성할 수 있을 것이라 기대한다.
