개인정보 처리 기준 및 운영 중인 보호조치 등 개인정보 처리 현황 전반을 정보주체가 언제든지 확인할 수 있도록 공개한 문서인 개인정보처리방침을 평가하는 제도인 개인정보 처리방침 평가제에 대해 정리해본다.
1. 개인정보 처리방침 평가제란?
개인정보 처리방침이 법적 기준에 부합하고 구체적인지(적정성), 읽기 쉬운지(가독성), 쉽게 접근할 수 있는지(접근성) 등을 평가함으로써 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위해 2024년부터 시행된 제도다. 평가 대상은 개인정보처리자의 유형 및 매출액, 개인정보 유형, 개인정보 처리 근거 및 방식, 법 위반 이력 , 정보주체 특성 등을 종합 고려해 선정하고 평가 결과가 미흡한 개인정보처리자에게 개선 권고, 우수한 개인정보처리자는 우수 사례로 공개, 개인정보 보호법 위반에 따른 처분(과태료, 과징금 경감) 등의 혜택을 부여한다.
o 2024년 평가 대상
| 분야 | 평가 대상 |
| 빅테크 (4개) | 네이버(주), ㈜카카오, 구글(Google LLC), 메타(Meta Platforms, Inc.) |
| 온라인 종합 쇼핑몰(7개) | 롯데쇼핑(주)e커머스사업부, 십일번가(주), ㈜지마켓, ㈜컬리, 쿠팡(주), 알리익스프레스(Alibaba.com Singapore E-commerce Private Limited), 테무(Whaleco Technology Limited) |
| 온·오프라인 병행 쇼핑몰(4개) | ㈜에스에스지닷컴, ㈜지에스리테일, 씨제이올리브영(주), 홈플러스(주) |
| 온·오프라인 병행 쇼핑몰(4개) | ㈜우리홈쇼핑(롯데홈쇼핑), ㈜현대홈쇼핑, ㈜홈앤쇼핑 |
| 중고거래(1개) | ㈜당근 |
| 주문·배달 플랫폼 | ㈜우아한형제들, ㈜위대한상상, 쿠팡이츠서비스 유한회사 |
| 숙박·여행 플랫폼 | 롯데관광개발(주), ㈜야놀자, ㈜여기어때컴퍼니, ㈜인터파크트리플, ㈜하나투어, 스카이스캐너(Skyscanner Ltd), 아고다(Agoda Company Pte. Ltd.), 에어비앤비(Airbnb Inc), 트립닷컴(Trip.com Travel Singapore Pte. Ltd.) |
| 병·의료원(5개) | 삼성서울병원, 서울대학교병원, 서울아산병원, 연세대학교의료원, (학)카톨릭대학교서울성모병원 |
| 온라인 동영상 서비스(OTT) (5개) | 넷플릭스서비시스코리아(유), 월트디즈니컴퍼니코리아(유), 콘텐츠웨이브(주), 쿠팡(주), ㈜티빙 |
| 게임(5개) | ㈜넥슨코리아, 넷마블(주), ㈜엔씨소프트, 슈퍼셀(Supercell Oy), 로블록스 코퍼레이션(Roblox Corporation) |
| 웹툰(2개) | 네이버웹툰(유), ㈜카카오엔터테인먼트 |
| AI 채용(2개) | ㈜마이다스인, ㈜자인원 |
※ 데이터 출처 : 개인정보보호위원회 보도자료(개인정보위, 2024년도 개인정보 처리방침 평가계획 확정)
2. 개인정보 처리방침 평가절차
평가절차는 외부 전문가 관점에서의 평가와 서비스 실제 이용자 관점에서의 평가로 구분할 수 있다. 외부 전문가로 구성한 평가위원회는 공개된 자료를 기반으로 기초평가, 평가 대상기관이 제출한 소명자료를 기반으로 심층 평가를 진행하며, 서비스 이용자 등 일반인으로 구성된 이용자 평가단은 가독성, 접근성을 평가한다.
평가위원회는 개인정보보호위원회에서 임의로 위촉 하는 반면에 이용자 평가단의 경우 1년을 임기로 모집 하고 있으니 관심있으신 분들은 신청이 필요하다.(참고 : 작년 모집 안내문)
※ 이미지 출처 : 개인정보보호위원회 보도자료(개인정보위, 2024년도 개인정보 처리방침 평가계획 확정)
3. 개인정보 처리방침 평가제 사전 준비의 필요성
2024년을 기준으로 보면 평가 대상임을 평가 시작 약 30일 전에 안내하기 때문에 평가 대상임을 인지한 후 개인정보처리방침을 개선하기엔 시간적 어려움이 있다. 또한 평가 결과가 우수할 경우 최대 400만원의 과태료, 최대 14.58% 과징금 감경 혜택이 있기 때문에 높은 평가 결과를 받을 필요성이 있어, 평가 대상에 선정될 가능성이 높은 개인정보처리자라면 미리 준비를 해두는게 바람직하다.
o 혜택 근거
| 개인정보 보호법 위반에 대한 과태료 부과기준(2023.9.15. 시행) 별표 2 과태료의 감경기준 (1) 개인정보 보호를 위한 노력 정도 1. 개인정보 처리방침의 평가의 결과가 상위 등급인 경우 : 기준금액의 10% 이내 기준금액은 최대 4,000만원 개인정보 보호법 위반에 대한 과징금 부과기준(2023.9.15. 시행) 제10조(2차 조정) ② 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 1차 조정을 거친 금액에 다음 각 호와 같이 추가적으로 과징금을 감경할 수 있다. 3. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 경우로서 다음 각 목의 어느 하나에 해당하는 경우 다. 개인정보 처리방침의 평가 또는 개인정보 보호수준 평가의 결과가 상위 등급인 경우, 개인정보 영향평가(다만, 법 제33조제1항에 따라 개인정보 영향평가를 해야 하는 경우는 제외한다)를 하는 등 개인정보 보호 활동을 성실히 수행한 것으로 확인된 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경 최대 기준 금액 = 관련매출 * 0.27(매우 중대한 위반행위) 최대 1차조정 금액= 기준금액의 최대 80% 가산 최대 감경 금액 = 1차조정 금액의 최대 30% 감경 |
4. 2024년 개인정보 처리방침 평가 결과
아쉽게도 평가 대상별 점수나 상세결과를 공개하진 않았다. 공개한 자료를 요약해보면,
- 평가 대상 기업의 평균점수는 가독성 69.1점, 접근성 60.8점, 적정성 53.4점
- 해외 사업자가 국내 사업자 대비 낮은 평가점수를 받음
- 2025년은 인공지능(AI), 스마트홈 등 국민 생활에 밀접한 분야를 중심으로 평가할 예정
- 평가 대상 중 72%가 실제 개인정보 처리 현황과 개인정보 처리방침이 안맞는 부분이 있었음
- 평가 대상 중 50% 이상이 개인정보 보유‧이용기간을 '필요한 기간' 처럼 모호하게 작성하고 법령에 근거해 보존하는 정보 항목을 구체적으로 기재하지 않았음
- 국내대리인 지정 의무 대상 중 절반이 실제 개인정보 관련 민원‧열람 서비스를 제공하고 있지 않았음
5. 2024년 개인정보 처리방침 평가 기준 및 지표
| 번호 | 분야 | 항목 | 지표 | 세부지표 |
| 1 | 적정성 | 1. 개인정보의처리 목적 | 개인정보 처리 목적을 구체적이고 명확하게 기재하고 있는가? | 정보주체가 개인정보 처리 목적을쉽게 인지할 수 있도록 모호한 표현없이 명확하게 기재하고 있는가?(정성평가) |
| 2 | 개인정보처리자가 제공하는 서비스에 대한 개인정보 처리 목적을 개인정보 수집‧이용 시 고지하는 내용과일치하도록 누락없이 기재하고 있는가?(정량평가) | |||
| 3 | 2. 처리하는 개인정보의 항목 | 개인정보 처리의 법적 근거와처리하는 개인정보의 항목을구체적이고 명확하게 기재하고 있는가? | 개인정보 처리의 법적근거와 항목을모호한 표현 없이 명확하게 기재하고 있는가?(정성평가) | |
| 4 | 정보주체의 동의 없이 처리하는 개인정보의 항목과 법적 근거를 동의를 받아 처리하는 개인정보의 항목과 구분하여 기재하고 있는가?(정량평가) | |||
| 5 | 처리하는 개인정보의 항목을적정하게 정하고 있는가? | 개인정보 항목은 개인정보 처리 목적에 비추어 필요 최소한으로 적정하게 정하고 있는가?(정량평가) | ||
| 6 | 개인정보 수집·이용 시 고지하는 내용과 개인정보 처리방침에 기재된내용이 일치하도록 누락 없이 기재하고 있는가?(정량평가) | |||
| 7 | 3. 개인정보의처리 및 보유기간 | 개인정보의 처리 및 보유기간을 적정하게 정하여 구체적이고 명확하게 기재하고 있는가? | 개인정보 처리 및 보유기간을 처리목적에 비추어 적정하게 정하고 있는가?(정량평가) | |
| 8 | 개인정보 처리 및 보유기간을 개인정보 수집‧이용 시 고지하는 내용과일치하도록 누락없이 기재하고 있는가?(정량평가) | |||
| 9 | 법령에 따라 개인정보를 파기하지않고 보관하는 경우 보존 근거와 보존하는 항목, 보유기간을 모호한 표현 없이 명확하게 기재하고 있는가?(정성평가) | |||
| 10 | 4. 파기절차 및 방법 | 개인정보 파기 절차 및 방법을 적정하게 정하여 그 내용을 구체적이고 명확하게 기재하고 있는가? | 개인정보 파기에 관한 사항을 누락없이 명확하게 기재하고 있는가?(정량평가) | |
| 11 | 개인정보 파기 절차 및 방법에 관한세부적인 내용을 개인정보 보호법을준수하여 기재하고 있는가?(정량평가) | |||
| 12 | 5. 제3자 제공에 관한 사항(해당시) | 개인정보 제3자 제공에 관한사항을 구체적이고 명확하게기재하고 있는가? | 제3자 제공 시 기재해야 하는 내용*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수있도록 명확하게 기재하고 있는가?(정성평가) * (동의 받는 경우) 개인정보를 제공받는 자, 제3자의 이용 목적, 제공하는 개인정보 항목, 보유·이용기간 (동의 외의 경우) 제공의 법적 근거,제공받는 자, 제3자의 이용 목적, 제공하는 개인정보 항목, 보유·이용기간(권장) | |
| 13 | 제3자 제공 시 정보주체에게 동의 받는 내용과 일치하도록 개인정보 처리방침에 포함되어야 할 사항을 누락 없이 모두 기재하고 있는가?(정량평가) | |||
| 14 | 제3자에게 제공되는 개인정보 항목과 보유·이용기간을개인정보 처리의 법적 근거및 목적에 비추어 적정하게정하고 있는가? | 개인정보 제3자 제공의 법적 근거 및제공 목적에 비추어 개인정보 제공항목을 필요 최소한으로 적정하게정하고 있는가?(정량평가) | ||
| 15 | 개인정보 제3자 제공의 법적 근거 및제공 목적에 비추어 개인정보 보유및 이용기간을 적정하게 안내하고있는가?(정량평가) | |||
| 16 | 6. 개인정보의추가적 이용또는 제공에대한 판단기준(해당시) | 개인정보의 추가적 이용‧제공이 지속적으로 발생하는 경우관련 내용을 구체적이고 명확하게 기재하고 있는가? | 개인정보의 추가적 이용·제공이 지속적으로 발생하는 경우 그 이용·제공에 관한 사항(제공받는 자, 항목,이용·제공목적, 보유 및 이용기간)을누락없이 기재하고 있는가?(정량평가) | |
| 17 | 개인정보의 추가적 이용·제공이 지속적으로 발생하는 경우 그 고려사항에 대한 판단기준을 법령에 있는사항을 단순히 나열하지 않고 구체적으로 기재하고 있는가?(정성평가) | |||
| 18 | 7. 개인정보 처리 위탁에 관한 사항(해당시) | 개인정보 처리의 위탁에 관한사항을 구체적이고 명확하게기재하고 있는가? | 법령 등에 따라 처리방침에 기재되어야 할 사항을 누락없이 기재하고있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고 있는가?(정성평가) | |
| 19 | 개인정보 처리의 재위탁에 관한 사항을 구체적이고 명확하게 기재하고 있는가? | 재위탁이 발생하는 경우 수탁자가재위탁한 업체명, 재위탁 업무 내용등 재위탁에 관한 사항을 누락없이기재하고 있으며, 정보주체가 관련내용을 쉽게 인지할 수 있도록 명확하게 기재되어 있는가?(정성평가) | ||
| 20 | 8. 국외 수집및 이전(해당시) | 국외 수집 및 이전에 관한 사항을 적정하게 정하여 명확하게 기재하고 있는가? | 개인정보를 국외에서 직접 수집하여처리하는 경우 그 처리된다는 사실과 이전되는 국가명을 모두 처리방침에 명시하고 있는가?(정량평가) | |
| 21 | 국외 이전 시 처리방침에 포함하여야 할 사항*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게인지할 수 있도록 명확하게 기재하고 있는가?(정성평가) * 국외이전의 법적 근거, 이전되는개인정보 항목, 개인정보가 이전되는 국가, 시기 및 방법, 이전받는 자의 성명(법인의 경우 명칭과 연락처), 이전받는 자의 이용 목적 및 보유·이용기간, 이전 거부 방법 및 절차와 거부의 효과 | |||
| 22 | 국외 이전되는 개인정보 항목및 보유‧이용기간을 적정하게정하고 있는가? | 국외 이전되는 개인정보 항목을 그법적 근거와 이용 목적에 비추어보았을 때 필요 최소한으로 정하고 있는가?(정량평가) | ||
| 23 | 국외 이전 시 보유·이용기간을 그 법적 근거와 이용 목적에 비추어 보았을 때 적정하게 정하고 있는가?(정량평가) | |||
| 24 | 9. 14세 미만아동의 개인정보 처리에 관한 사항(해당시) | 14세 미만 아동의 개인정보처리에 관한 사항을 구체적이고 명확하게 기재하고 있는가? | 14세 미만 아동의 개인정보를 처리하는 경우 법정대리인의 동의를 얻어 개인정보를 수집한다는 내용과아동으로부터 수집하는 법정대리인의 개인정보 항목을 명확하고 적정하게 기재하고 있는가?(정량평가) | |
| 25 | 14세 미만 아동의 개인정보처리에 관해 법정대리인의 동의를 받는 방법을 명확하게기재하고 있는가? | 법정대리인의 동의 확인 방법을 실제 처리하는 방법으로 명확히 기재하고 있는가?(정성평가) | ||
| 26 | 10. 정보주체의 권리‧의무및 행사 방법 | 정보주체와 법정대리인의 권리·의무 및 행사방법을 구체적이고 명확하게 기재하고 있으며, 정보주체가 권리 행사를 쉽게 할 수 있도록 안내되고 있는가? | 정보주체와 법정대리인이 개인정보보호와 관련하여 지니는 권리·의무를 구체적으로 기재하였는가?(정량평가) | |
| 27 | 정보주체와 법정대리인의 권리 행사방법 및 절차는 실제 현황을 반영하여 구체적이고 적정하게 기재하였는가?(정성평가) | |||
| 28 | 개인정보의 열람등 청구를 접수·처리하는 부서를 구체적이고 명확하게 기재하고 있는가? | 개인정보 열람등 청구를 접수·처리하는 부서와 연락처를 명확하게 기재하고 있는가?(정량평가) | ||
| 29 | 처리방침에 기재된 열람등 청구 접수·처리 부서의 연락처는 실제로 작동하는가?(정성평가) | |||
| 30 | 11. 개인정보보호책임자 또는 관련 부서에 관한 사항 | 개인정보 보호책임자 또는 관련 부서에 관한 사항을 구체적이고 명확하게 기재하고 있는가? | 개인정보 보호책임자 또는 관련 부서에 관한 사항을 적정하게 기재하고 있는가?(정성평가) | |
| 31 | 처리방침에 기재된 개인정보보호책임자 또는 관련 부서에관한 사항은 정보주체의 고충처리 등 권리 보장에 기여할수 있도록 안내되고 있는가? | 개인정보 처리방침에 기재된 보호책임자 또는 관련 부서의 연락처는 연결 가능하며, 실제 관련 업무를 담당하고 있는가?(정성평가) | ||
| 32 | 12. 국내대리인 지정에 관한 사항(해당시) | 국내대리인 지정에 관한 사항을 구체적이고 명확하게 기재하고 있는가? | 국내대리인을 지정하여야 하는 경우처리방침에 기재하여야 하는 사항을누락없이 모두 기재하고 있는가?(정량평가) | |
| 33 | 처리방침에 기재된 국내대리인에 관한 사항은 은 정보주체의 고충 처리 등 권리 보장에 기여할 수 있도록 안내되고있는가? | 처리방침에 기재된 국내대리인의 연락처(전화번호 및 전자우편 주소)는연결 가능하며, 실제 관련 업무를 담당하고 있는가?(정성평가) | ||
| 34 | 13. 권익침해구제기관에 관한 사항 | 정보주체의 권익 침해 시 구제 받을 수 있는 주요 기관에관한 사항을 현행화하여 기재하였는가? | 처리방침 내 권익침해 시 주요 구제기관을 기재하였으며, 주요 구제기관의 연락처는 최신성을 유지하여적정하게 안내하고 있는가?(정성평가) | |
| 35 | 14. 개인정보의 안전성 확보조치에 관한사항 | 개인정보의 안전성 확보 조치에 관한 사항 및 자율적인 보호 노력을 구체적이고 명확하게 기재하고 있는가? | 개인정보의 안전성 확보조치의 각내용(관리적·기술적·물리적 조치) 및자율적인 보호 노력 등을 구체적으로 기재하고 있는가?(정성평가) | |
| 36 | 15. 민감정보의 공개 가능성 및 비공개선택 방법(해당시) | 민감정보의 공개 가능성 및비공개 선택 방법을 실제 현황을 반영하여 구체적이고 명확하게 기재하고 있는가? | 재화 또는 서비스 제공 과정에서 민감정보가 공개될 수 있다는 사실 및공개될 수 있는 민감정보의 항목을누락없이 기재하였는가?(정량평가) | |
| 37 | 민감정보의 공개 가능성이 있는 경우 비공개를 선택하는 방법을 구체적으로 기재하고 있는가?(정성평가) | |||
| 38 | 처리방침에 기재된 ‘민감정보의 비공개 선택 방법’은 실제 작동하는가?(정량평가) | |||
| 39 | 16. 가명정보처리에 관한사항(해당시) | 가명정보 처리에 관한 사항을누락없이 구체적이고 명확하게 기재하고 있는가? | 가명정보 처리 시 처리방침에 기재하여야 할 사항*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을쉽게 인지할 수 있도록 명확하게 기재하고 있는가?(정성평가) * 가명정보의 처리 목적, 가명정보처리 기간, 가명처리하는 개인정보의 항목, 가명정보의 안전성 확보조치에 관한 사항, 가명정보의 제3자제공에 관한 사항(해당시), 가명정보처리 위탁에 관한 사항(해당시) | |
| 40 | 17. 개인정보자동수집 장치의 설치‧운영및 거부에 관한 사항(해당시) | 쿠키 등 자동수집 장치를 설치‧운영하는 경우, 그에 관한설명 및 거부에 관한 사항을 구체적이고 명확하게 기재하고 있는가? | 쿠키 등 자동수집 장치의 정보에 대한 기본적 설명 및 거부 방법에 대해구체적으로 기재하였는가?(정량평가) | |
| 41 | 쿠키 등 자동수집 장치를 통해 정보주체를 식별하여 행태정보를 처리하는 경우 그 수집·이용·제공 및 거부에 관한사항을 누락없이 구체적이고명확하게 기재하고 있는가? | 자동수집 장치를 통해 정보주체를식별하여 행태정보를 처리하는 경우기재해야하는 항목*을 누락 없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하였는가?(정성평가) * 행태정보(개인정보) 처리의 법적근거, 수집하는 행태정보의 항목, 수집 방법, 수집 목적, 보유·이용기간,거부방법, 제3자 제공에 관한 사항(해당시) | ||
| 42 | 쿠키 등 자동수집 장치를 통해 정보주체를 식별하지 않고행태정보를 처리하는 경우 그해당 사실과 그 수집·이용·제공 및 거부에 관한 사항을 구체적이고 명확하게 기재하고있는가? | 정보주체를 식별하지 않고 행태정보를 처리하는 경우 기재해야 할 항목*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수있도록 명확하게 기재하였는가?(정성평가) * 수집하는 행태정보 항목, 행태정보수집 방법, 행태정보 수집 목적, 보유·이용기간, 거부방법, 제3자 제공에관한 사항(해당시) | ||
| 43 | 제3자가 운영하는 웹·엡에서개인정보 자동 수집 장치를설치·운영하고, 그 결과 해당 자동수집장치에서 개인정보처리자가 행태정보를 수집하는 경우 해당 처리 사실을기재하고있는가? | 제3자가 운영하는 웹·앱에서 개인정보 자동 수집 장치를 설치·운영하고,해당 장치를 통해 행태정보를 수집한다는 사실을 기재하고 있는가?(정량평가) | ||
| 44 | 18. 자동수집장치를 통해제3자가 행태정보를 수집하도록 허용하는경우 그 수집·이용 및 거부에 관한사항(해당시) | 제3자가 개인정보 자동수집장치를 통해 행태정보를 수집하도록 허용하는 경우 수집해가는 행태정보에 관한 사항을구체적이고 명확하게 기재하고 있는가? | 제3자가 수집해가는 행태정보에 관한 사항*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고있는가?(정성평가) * 수집도구 명칭, 수집해가는 사업자, 수집도구 종류, 수집해가는 행태정보 항목, 수집해가는 목적, 거부 방법 | |
| 45 | 제3자가 개인정보 자동수집장치를 통해 행태정보를 수집하도록 허용하는 경우 정보주체가 이에 관한 사항을 쉽게확인할 수 있도록 효과적인방법으로 공개하고 있는가? | 정보주체가 쉽게 확인할 수 있도록별도의 창으로 관련 내용을 제공하는 등의 방식으로 정보주체가 관련사항을 쉽게 확인할 수 있도록 하고있는가?(정성평가) | ||
| 46 | 19. 고정형·이동형 영상정보처리기기의 운영·관리에 관한 사항 | 고정형·이동형 영상정보 처리기기를 설치·운영하는 경우법령 및 표준지침에 따라 처리방침에 기재하여야 할 사항을 구체적으로 기재하여 공개하고 있으며, 실제 처리 현황과 일치하는가? | 고정형·이동형 영상정보 처리기기를설치·운영하는 경우 법령 및 표준지침에 따라 기재하여야 하는 사항을누락하지 않고 모두 기재하고 있는가?(정량평가) | |
| 47 | 처리방침에 기재된 관리책임자의 연락처는 연결 가능하며, 실제 해당 업무를 담당하고 있는가?(정성평가) | |||
| 48 | 가독성 | 20. 구성 및 디자인 | 목차, 하이퍼링크, 팝업 등을적절하게 활용하여 정보주체가 쉽게 관련 내용을 확인할 수 있도록 처리방침을 구성하였는가? | 개인정보 처리방침 상단에 기재사항에 대한 목차를 제공하고 있는가?(정성평가) |
| 49 | 처리방침 내 하이퍼링크, 팝업 등 기능을 적절히 활용하여 정보주체가원하는 내용을 쉽게 확인할 수 있게구성하였는가?(정성평가) | |||
| 50 | 기재 항목 간 구분, 문단 구분,줄 간격 등을 적절하게 활용하여 정보주체가 처리방침을 읽기 쉽도록 구성하였는가? | 기재 항목의 제목 및 본문에 대한 글자 크기, 색상, 굵기 및 문단 간 구분등을 적절히 설정하여 각각의 기재항목이 명확하게 구분될 수 있도록하였는가?(정성평가) | ||
| 51 | 21. 문장, 어휘의 적정성 | 처리방침에 기재된 문장 및어휘가 정보주체 누구나 쉽게이해할 수 있도록 쉽고 간결하게 구성되어 있는가? | 정보주체 누구나 처리방침을 쉽게이해할 수 있도록 처리방침에 기재된 문장이 쉽고 간결하게 구성되어있는가?(정성평가) | |
| 52 | 지나친 번역투의 표현이나 외국어를사용하여 정보주체가 이해하기 어렵게 기재되어 있지 않은가?(정성평가) | |||
| 53 | 22. 도표, 그림등 다양한 표시방법 활용 | 처리방침 내 도표, 그림, 라벨링, 인포그래픽 등 다양한 방법을 활용하여 정보주체가 개인정보 처리방침을 이해하기쉽게 기재하였는가? | 개인정보 처리방침에 기재해야하는항목 중 여러 가지 내용을 요구하는항목(예; 개인정보 처리 목적·항목및 보유기간, 제3자 제공, 국외 이전등)에 대해 도표 등을 활용하여 정보주체가 쉽게 확인할 수 있게 기재하였는가?(정성평가) | |
| 54 | 23. 구체적 안내를 위한 노력 | 개인정보 처리방침의 서문 등에 처리방침 공개주체를 명시적으로 선언하여 정보주체가 쉽게 알 수 있도록 하였는가? | 개인정보 처리방침 서문 등을 통해처리방침을 수립, 공개하고자 하는공개주체를 정보주체가 명확히 알수 있도록 기재하였는가?(정량평가) | |
| 55 | 처리방침에 기재된 내용을 정보주체가 쉽게 이해할 수 있도록 부연 설명이 제공되고 있는가? | 개인정보 처리방침 내 사용되는 법률 용어, 전문용어 등 이해하기 어려운 용어에 대해 정보주체가 쉽게 이해할 수 있도록 부연 설명 등이 제공되고 있는가?(정성평가) | ||
| 56 | 정보 취약계층이 개인정보 처리방침을 쉽게 이해할 수 있도록 노력을 하였는가? | 동영상 등과 같이 다양한 매체를 활용하는 등의 방법으로 아동·장애인등 정보 취약계층이 개인정보 처리방침을 쉽게 확인 및 이해할 수 있도록 노력하였는가?(정성평가) | ||
| 57 | 접근성 | 24. 개인정보처리방침의 공개 방식 | 정보주체가 개인정보 처리방침임을 명확히 확인할 수 있도록 공개하고 있는가? | ‘개인정보 처리방침’ 제목을 사용하고 있는가?(정량평가) |
| 58 | ‘개인정보 처리방침’이 이용약관 및기타 정책 등과 명확히 구분되도록글씨 크기, 색상, 굵기 등을 활용하여정보주체가 쉽게 알아볼 수 있도록공개하고 있는가?(정량평가) | |||
| 59 | 웹, 앱 등 서비스 환경을 고려하여 정보주체가 쉽게 확인할수 있는 위치에 개인정보 처리방침을 공개하고 있는가? | 개인정보처리자의 누리집(홈페이지) 첫 화면에 노출하는 등 정보주체가 쉽게 확인할 수 있는 영역에 공개하고 있는가?(정성평가) | ||
| 60 | 모바일 앱을 통해 서비스를 제공하는 경우, 서비스의 환경을 고려하여정보주체가 쉽게 확인할 수 있도록각각 개인정보 처리방침을 공개하고있는가?(정성평가) | |||
| 61 | 25. 개인정보처리방침의 변경 | 개인정보 처리방침 변경 시 정보주체가 변경 내용을 쉽게 확인할 수 있도록 공개하고 있는가? | 개인정보 처리방침 내 ‘이전 개인정보 처리방침’ 변경이력을 확인할 수있도록 공개하고 있는가?(정량평가) | |
| 62 | 개인정보 처리방침 변경 시 공지사항, 이메일 등을 통해 변경 전·후의내용을 비교하는 등 주요 변경 사항을 확인할 수 있도록 공개하고 있는가?(정성평가) | |||
| 63 | 26. 복수의 서비스 제공시개인정보 처리방침 공개 방법(해당시) | 각각의 서비스에 대한 개인정보 처리방침을 정보주체가 쉽게 알아보고 이해할 수 있도록 공개하였는가? | 개인정보처리자가 여러개의 서비스를 제공하고 있는 경우 정보주체가쉽게 알아보고 이해할 수 있는 방향으로 개인정보 처리방침을 공개하고있는가?(정성평가) | |
| 64 | 기타 | 27. 감점 요인 | 개인정보 처리방침에 개인정보 유출 관련 책임회피 등 정보주체에게 불이익한 내용을기재하고 있는 경우 | |
| 65 | 개인정보 처리방침 평가 중법령 위반 사실이 확인되거나, 최신 법률 내용 등이 미반영되는 등 개인정보 처리방침이 미흡한 경우 |
※ 데이터 출처 : 개인정보보호위원회 공지사항('24년 개인정보 처리방침 평가계획)
참고 문서 링크
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11066
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10244#LINK
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11066#LINK
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=10251#LINK
'(개인)정보보호 지식' 카테고리의 다른 글
| [지식] Meta 데이터 엑세스 갱신 (0) | 2025.03.23 |
|---|---|
| [지식] 고객센터와 계약 체결 전 보안 고려사항 (2) | 2025.02.20 |
| [지식] 휴면정책 폐지시 고려사항 (0) | 2024.05.28 |
| [지식] 정보활용 동의등급제 (0) | 2023.04.22 |
