1. 제정사유
본교 내에서 이루어지는 모든 개인정보의 처리와 관리에 관한 사항을 정함으로써 업무 처리의 명확한 원칙을 제시함과 더불어 교내 구성원의 권리와 이익을 보호하기 위하여 교육과학기술부 관계법령 “공공기관의 개인정보보호에 관한 법률”에 의거하여 "서강대학교 개인정보관리 규정"을 제정함
2. 서강대학교 개인정보보호 관리규정 제정 전문
제정 2010. 1. 12.
제1장 총칙
제1조 (목적)
이 규정은 서강대학교(이하, 본교) 내에서 이루어지는 모든 개인정보의 처리와 관리에 관한 사항을 정함으로써 업무 처리의 명확한 원칙을 제시함과 더불어 교내 구성원의 권리와 이익을 보호함을 그 목적으로 한다.
제2조 (용어정의)
이 규정에서 사용하는 용어의 정의는 다음과 같다.
- "개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명·주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별 할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다.
- "처리"라 함은 개인정보의 수집, 생성, 보유, 저장, 편집, 검색·삭제, 출력, 이용, 제공, 공개, 파기 및 기타 이와 유사한 일체의 행위를 하는 것을 말한다.
- "개인정보화일"이라 함은 특정개인의 신분을 식별할 수 있는 사항에 의하여 당해 개인정보를 검색 할 수 있도록 구성된 개인정보의 집합물을 말한다.
- "처리정보"라 함은 개인정보화일에 기록되어 있는 개인정보를 말한다.
- "보유"라 함은 개인정보화일을 작성 또는 취득하거나 유지·관리하는 것(개인정보의 처리를 다른 기관· 단체 등에 위탁하는 경우를 포함하되, 다른 기관·단체 등으로 부터 위탁받은 경우를 제외 한다)을 말한다.
- "보유부서"라 함은 개인정보화일을 보유하는 행정부서, 연구소 및 이에 준하는 부서를 말한다.
- "정보주체"라 함은 처리정보에 의하여 식별되는 자로서 당해 정보의 주체가 되는 자를 말한다.
제3조
(다른 규정과의 관계)본교의 컴퓨터 및 기타 매체에 의하여 처리되는 개인정보의 보호에 관하여는 다른 규정이나 내규에 특별한 규정이 있는 경우를 제외하고는 이 규정이 정하는 바에 의한다.
제4조 (개인정보보호의 원칙)
- 보유부서 및 보유 기관(이하, 보유부서)의 장은 개인정보를 수집하는 경우 그 목적을 명확히 하여야 하고, 목적에 필요한 최소한의 범위 안에서 적법하고 정당하게 수집하여야 하며, 목적 외의 용도로 활용하여서는 아니 된다
- 보유부서의 장은 처리정보의 정확성을 보장하고, 그 보호의 안전성을 확보하여야 한다
- 보유부서의 장은 개인정보관리의 책임관계를 명확히 하여야 한다.
- 보유부서의 장은 개인정보의 수집·활용 등 개인정보의 취급에 관한 사항을 공개하여야 하며, 개인 정보처리에 있어서 처리정보의 열람청구권 등 정보주체의 권리를 보장하여야 한다.
제2장 개인정보의 수집 및 처리
제5조(개인정보의 수집)
- 보유부서의 장은 사상·신조 등 개인의 기본적 인권을 현저하게 침해할 우려가 있는 개인 정보를 수집 하여서는 아니된다. 다만, 정보주체의 동의가 있거나 다른 법률 또는 본교의 규정에 수집대상 개인 정보가 명시되어 있는 경우에는 예외사항으로 한다.
- 보유부서의 장은 개인정보를 수집하는 경우 개인정보 수집의 법적 근거, 목적 및 이용범위, 정보주체 의 권리 등에 관하여 문서 또는 인터넷 홈페이지 등을 통하여 정보 주체가 그 내용을 쉽게 확인할 수 있도록 안내하여야 한다.
제6조 (CCTV의 설치 등)
- 보유부서의 장은 범죄예방, 안전 확보를 위하여 필요한 경우에 관련 규정에 따라 전문가 및 내부 구성원의 의견을 수렴한 후 CCTV를 설치할 수 있다.
- 설치된 CCTV는 설치목적 범위를 넘어 카메라를 임의로 조작하거나 다른 곳을 비추어서는 아니 되며, 녹음기능은 사용할 수 없다.
-
보유부서의 장은 CCTV를 설치하는 경우 정보주체가 이를 쉽게 인식할 수 있도록 다음 각 호의 사항 을 기재한 안내판을 설치하는 등 필요한 조치를 취하여야 한다.
- 설치목적 및 장소
- 촬영범위 및 시간
- 관리책임자 및 연락처
- CCTV의 설치, 안내판 설치 등에 관한 세부 사항은 CCTV 관리 규정에 의한다
제7조(개인정보화일의 보유범위)
보유부서의 장은 소관업무를 수행하기 위하여 필요한 범위 안에서 개인정보파일을 보유할 수 있다
제8조(개인정보파일의 보유·변경 시 사전협의)
-
보유부서의 장이 개인정보파일을 보유하고자 하는 경우에는 다음 각 호의 사항을 개인정보관리책임관 과 협의하여야 한다.
- 개인정보파일의 명칭
- 개인정보파일의 보유목적
- 보유기관의 명칭
- 개인정보파일에 기록되는 개인 및 항목의 범위
- 개인정보의 수집방법과 처리정보를 통상적으로 제공하는 기관이 있는 경우에는 그 기관의 명칭
- 개인정보파일의 열람예정시기
- 열람이 제한되는 처리정보의 범위 및 그 사유
- 제1항의 규정은 보유부서의 내부적 업무처리를 위하여 사용되는 개인정보파일에 대하여는 적용하지 않는다.
- 개인정보관리책임관은 개인정보의 보호를 위하여 필요하다고 인정할 때에는 제5장제21조제2항에 따라 협의사항에 관하여 심의를 요청할 수 있다.
제9조(개인정보의 안전성 확보 등)
- 보유부서의 장은 개인정보 또는 개인정보파일을 처리함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하도록 노력하여야 한다.
- 보유부서의 장은 처리정보의 정확성을 확보하도록 노력하여야 한다.
- 보유부서로부터 개인정보의 처리를 위탁받은 자에 대하여도 제1항의 규정을 준용한다.
- 보유부서의 장은 제3항에 따라 개인정보의 처리에 관한 사무를 위탁하고자 하는 경우에는 인터넷 홈페이지 등을 통하여 미리 그 사실을 공개하여야 한다.
제10조(인터넷상의 본인확인)
- 보유부서의 장은 인터넷상의 본인확인 과정에서 주민등록번호, 성명 등의 개인정보가 변조·유출 또는 도용되지 아니하도록 안전성 확보에 필요한 조치를 강구하여야 한다.
- 개인정보관리책임관은 제1항에 따른 안전성 확보에 필요한 조치를 지원하기 위하여 관련 규정, 내규 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련할 수 있다.
- 개인정보관리책임관은 제2항에 따른 제반 조치를 추진함에 있어서 관련 부서의 장에게 협조를 요청을 할 수 있고, 그 요청을 받은 부서의 장은 특별한 사유가 없는 한 이에 응하여야 한다.
제11조(처리정보의 이용 및 제공의 제한)
- 보유부서의 장은 본교 규정이나 다른 법률에 의하여 보유부서의 내부에서 이용하거나 보유부서외의 자에게 이용, 제공하는 경우를 제외하고는 당해 개인정보파일의 보유목적외의 목적으로 처리정보를 이용하거나 다른 기관에 제공하여서는 아니 된다.
- 보유부서의 장은 보유목적에 따라 처리정보를 이용하게 하거나 제공하는 경우에도 업무 수행에 필요한 최소한의 범위에서 그 이용 또는 제공을 제한하여야 한다.
-
보유부서의 장은 제1항의 규정에 불구하고 다음 각 호의 어느 하나에 해당하는 경우에는 당해 개인 정보화일의 보유목적외의 목적으로 처리정보를 이용하거나 다른 기관에 제공할 수 있다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에도 정보주체 또는 제3자의 권리와 이익을 부당하게 침해할 우려가 있다고 인정되는 때에는 그러하지 아니한다.
- 정보주체의 동의가 있거나 정보주체에게 제공하는 경우
- 다른 법률에서 정하는 소관업무를 수행을 위하여 당해 처리정보를 이용할 상당한 이유가 있는 경우
- 통계작성 및 학술연구 등의 목적을 위한 경우로서 특정개인을 식별할 수 없는 형태로 제공하는 경우
- 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 동의를 할 수 없는 경우로서 정보주체외의 자에게 제공하는 것이 명백히 정보주체에게 이익이 된다고 인정되는 경우
- 범죄의 수사와 공소의 제기 및 유지에 필요한 경우
- 법원의 재판업무수행을 위하여 필요한 경우
- 보유부서의 제3항제2호 내지 제6호의 규정에 의하여 처리정보를 정보주체외의 자에게 제공하는 때에는 처리정보를 수령한 자에 대하여 사용목적·사용방법 기타 필요한 사항에 대하여 제한을 하거나 처리 정보의 안전성 확보를 위하여 필요한 조치를 강구하도록 요청하여야 한다.
- 보유부서의 장은 정보주체의 권리와 이익을 보호하기 위하여 필요하다고 인정하는 때에는 처리정보의 이용을 당해 본교 내의 특정부서로 제한할 수 있다.
- 보유부서로부터 제공받은 처리정보를 이용하는 부서는 제공부서의 동의 없이 당해 처리 정보를 다른 부서에 제공하여서는 아니 된다.
- 보유부서의 장은 제3항제2호 내지 제4호 및 제5호에 따라 보유목적 외의 목적으로 이용하게 하거나 제공하는 경우에는 그 이용 또는 제공의 법적 근거·목적 및 범위 등에 관하여 필요한 사항을 정보 주체가 쉽게 확인할 수 있도록 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.
제12조(개인정보파일의 파기)
- 보유부서의 장은 개인정보파일의 보유목적 달성 등 당해 개인정보파일의 보유가 불필요하게 된 경우 에는 당해 개인정보파일을 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 보존하여야 하는 경우 에는 그러하지 아니하다.
- 제1항에 따라 개인정보파일을 파기한 경우 보유부서의 장은 개인정보파일을 파기한 사실을 관보 또는 인터넷 홈페이지 등에 공고하여야 한다. 다만, 파기한 개인정보파일이 제6조제3항 각 호의 어느 하나 에 해당하는 경우에는 그러하지 아니하다.
제13조(개인정보취급자의 의무)
개인정보의 처리를 행하는 본교의 교직원이나 교직원이었던 자 또는 본교로부터 개인정보의 처리업무를 위탁받아 그 업무에 종사하거나 종사하였던 자는 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니 된다.
제3장 처리정보의 열람·정정 등
제14조 (처리정보의 열람)
- 정보주체는 개인정보파일대장에 기재된 범위 안에서 서면으로 본인에 관한 처리정보의 열람(문서에 의한 사본의 수령을 포함한다. 이하 같다)을 보유부서의 장에게 청구할 수 있다.
- 보유부서의 장은 제1항의 규정에 의한 열람청구를 받은 때에는 제15조 각호의 어느 하나에 해당하는 경우를 제외하고는 청구서를 받은 날부터 2주(14일) 이내에 청구인으로 하여금 당해 처리정보를 열람 할 수 있도록 하여야 한다. 이 경우 2주 이내에 열람하게 할 수 없는 정당한 사유가 있는 때에는 청구 인에게 그 사유를 통지하고 열람을 연기할 수 있으며, 그 사유가 소멸한 때에는 지체 없이 열람하게 하여야 한다.
제15조 (처리정보의 열람제한)
보유부서의 장은 제14조의 규정에 의하여 열람을 청구한 청구인으로 하여금 당해 처리정보를 열람하도록 하는 것이 다음 각 호의 어느 하나에 해당하는 경우에는 그 사유를 통지하고 당해 처리정보의 열람을 제한할 수 있다.
- 다음 각목의 어느 하나에 해당하는 업무로서 당해 업무의 수행에 중대한 지장을 초래하는 경우
-
개인의 생명·신체를 해할 우려가 있거나 개인의 재산과 기타의 이익을 부당하게 침해할 우려가 있는 경우
- 교육법 및 평생교육법에 의한 각종 학교에서의 성적의 평가 또는 입학자의 선발에 관한 업무
- 학력·기능 및 채용에 관한 시험, 자격의 심사, 보상금·급부금의 산정 등 평가 또는 판단에 관한 업무
- 다른 법률이나 본교 규정에 의한 감사 및 조사에 관한 업무
제16조 (처리정보의 정정 및 삭제 등)
- 제14조에 따라 본인의 처리정보를 열람한 정보주체는 보유부서의 장에게 문서로 당해 처리정보의 정정 또는 삭제를 청구할 수 있다. 다만, 본교규정이나 다른 법률에 당해 처리정보가 수집대상으로 명시되어 있는 경우에는 그 삭제를 청구할 수 없다.
- 보유부서의 장은 제1항의 규정에 의한 정정 또는 삭제청구를 받은 때에는 처리정보의 내용의 정정 또는 삭제에 관하여 본교 규정이나 다른 법률에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 이를 조사하여 필요한 조치를 한 후 그 결과를 당해 청구인에게 통지하여야 한다.
- 보유부서의 장은 제2항의 규정에 의한 조사를 함에 있어 필요한 때에는 당해 청구인으로 하여금 정정 또는 삭제청구사항의 확인에 필요한 증빙자료를 제출하게 할 수 있다.
제4장 개인정보 관리조직
제17조 (개인정보 관리조직)
개인정보 처리의 안정성 확보와 효율적인 관리를 위하여 다음과 같이 개인정보 관리책임관 및 관리 조직을 구성하여 운영한다
- 개인정보 전체 관리부서는 정보통신원 산하에 둔다
- 본교의 개인정보 관리를 위하여 개인정보관리책임관, 개인정보관리담당자, 개인정보 분야별책임관을 별도로 지정한다
제18조 (개인정보관리책임관)
- 개인정보관리책임관은 본교 개인정보관리 조직을 관리·운영하며, 개인정보의 관리·감독 업무를 총괄한다.
- 개인정보관리책임관은 정보통신원장이 당연직으로 한다
제19조 (개인정보관리담당자)
- 개인정보관리담당자는 개인정보관리책임관을 보좌하여 개인정보관리조직을 운영하는 업무를 행한다
- 개인정보관리담당자는 개인정보관리책임관의 제청에 의해서 총장이 임면한다.
-
개인정보관리담당자는 다음 각 호의 업무를 수행한다.
- 개인정보의 계획 수립 및 운영
- 개인정보 관리 실태 점검
- 개인정보 교육 계획 및 실시
- 개인정보 보호의 날 지정 및 운영
- 개인정보 파일 대장 유지 및 관리
- 개인정보 파일 열람 창구 및 개인정보침해신고센터 운영, 관리
- 개인정보보호 방침 수립 및 유지 관리
- 홈페이지상 개인정보 노출 현황 점검 및 공지
제20조 (개인정보 분야별 책임관)
- 개인정보 분야별 책임관(이하, 분야별 책임관)은 개인정보관리책임관으로부터 권한을 위임받아 각 행정부서와 연구소 또는 학부, 학과에서 개인정보파일 관리를 담당한다.
- 분야별 책임관은 해당 부서장이 겸직한다. 단, 부서장의 장기 출장이나 부서장이 없는 경우, 소속 기관의 선임자가 책임관 업무를 행한다.
-
분야별 책임관은 자신의 관리 하에 있는 해당 분야에 대하여 다음 각 호의 업무를 행한다.
- 개인정보파일에 대한 안정성을 확보한다.
- 개인정보 처리시스템의 사용자 권한 설정 등 제반 보호 장치에 관한 사항의 확인, 감독을 한다
- 개인정보취급자의 개인정보 보호업무의 지도, 감독을 한다
- 개인정보보호 업무 관련 사항이 발생하면 즉시 개인정보관리담당자에게 보고한다
- 보유하고 있는 개인정보파일에 대한 내용을 대장으로 관리한다.
- 개인정보 입출력 사항에 대해 “입출력자료관리대장”에 기록, 관리한다.
- 보유하고 있는 모든 웹페이지 초기화면에 개인정보보호방침을 게재한다.
- 개인정보파일의 보유기간 산정 및 운영을 한다.
- 개인정보파일을 파기한 경우 그 사실을 즉시 개인정보관리담당자에게 통보한다.
- 기타 개인정보보호를 위하여 개인정보관리책임관이 정한 사항
제5장 개인정보관리위원회
제21조 (개인정보관리위원회)
- 본교의 개인정보 보호에 관한 사항을 심의하기 위하여 개인정보관리위원회(이하, 위원회)를 둔다
-
위원회는 다음 각 호의 사항을 심의한다.
- 개인정보보호에 관한 정책 및 제도 개선에 관한 사항
- 처리정보의 이용 및 제공에 대한 부서 간의 의견조정에 관한 사항
- 제8조제5항에 따라 심의요청을 받은 사항
- 그 밖에 개인정보의 보호를 필요로 하는 사항
- 위원회는 위원장 1인을 포함한 10인 이내의 위원으로 구성한다.
- 위원장은 개인정보관리책임관이 되고 위원은 위원장의 제청으로 총장이 임명한다.
- 그 밖에 위원장이 부의하는 사항
제22조 (위원장 등의 직무)
- 위원장은 위원회를 대표하며 위원회의 회의를 총괄하고, 실무 간사는 위원장의 업무를 보좌한다.
- 위원장은 필요한 경우 관련 부서에 대해 자료의 제출 및 설명, 보고 등 위원회의 업무에 협력할 것을 요구 할 수 있다.
- 위원장은 개인정보관리규정에 위배되는 사항이 발생 시 또는 긴급을 필요로 하는 사안이 발생할 경우 개인 정보 관리 실태조사를 할 수 있다.
제6장 벌칙
제23조 (벌칙)
- 본교의 개인정보처리업무를 방해할 목적으로 본교에서 처리하고 있는 개인정보를 변경 또는 말소한 자는 본교 규정에 의하여 관련 부처에 징계를 요청할 수 있다.
- 제13조의 규정을 위반하여 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적으로 사용한 자는 본교 규정에 의하여 관련 부처에 징계를 요청할 수 있다.
- 개인정보의 관리 소홀로 인한 정보 유출 사고가 발생하여 본교의 명예를 실추시키는 사안이 발생하는 경우, 본교 규정에 의하여 관련 부처에 징계를 요청할 수 있다.
- 부정한 목적으로 CCTV의 설치목적 범위를 넘어 카메라를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자와 거짓 그 밖의 부정한 방법으로 처리정보를 열람 또는 제공받은 자는 CCTV 관리 규정에 의하여 제재를 요청할 수 있다
부 칙
- 제1조 (시행일)이 규정은 2010년 1월 13일부터 시행한다
- 제2조 (적용범위)이 규정은 본교에서 개인정보의 열람, 관리, 처리 및 이용하는 자를 대상으로 한다.
- 제3조 (CCTV 설치에 관한 경과조치)이 규정 시행 전에 본교에 설치한 CCTV는 이 규정에 따라 적법하게 설치된 것으로 본다. 이 경우 CCTV를 설치·운영 및 관리하는 부서의 장은 안내판을 이 규정 시행일부터 3개월 이내에 설치하여야 한다.