개인정보 이용내역 통지 제도

■ 근거

§개인정보보호법 제20조의2(개인정보 이용ㆍ제공 내역의 통지)

 ① 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용ㆍ제공 내역이나 이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다. 다만, 연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집ㆍ보유하지 아니한 경우에는 통지하지 아니할 수 있다.

② 제1항에 따른 통지의 대상이 되는 정보주체의 범위, 통지 대상 정보, 통지 주기 및 방법 등에 필요한 사항은 대통령령으로 정한다.

 

■ 제도 시행 대상

1. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자

2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

 

■ 통지 항목

- 개인정보의 수집, 이용 목적 및 수집한 개인정보의 항목

- 개인정보를 제3자에게 제공한 경우 개인정보를 제공받은 자와 제공 목적 및 제공한 개인정보의 항목

- 개인정보의 취급을 위탁한 경우 취급위탁을 받은 자와 취급 위탁 목적

※ 이 외 상세한 내용 확인이 가능한 개인정보처리방침 링크 첨부 가능

 

■ 통지대상에서 제외 가능한 이용자

1. 통지에 대한 거부의사를 표시한 정보주체

2. 개인정보처리자가 업무수행을 위해 그에 소속된 임직원의 개인정보를 처리한 경우 해당 정보주체

3. 개인정보처리자가 업무수행을 위해 다른 공공기관, 법인, 단체의 임직원 또는 개인의 연락처 등의 개인정보를 처리한 경우 해당 정보주체

4. 법률에 특별한 규정이 있거나 법령 상 의무를 준수하기 위하여 이용ㆍ제공한 개인정보의 정보주체

5. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 이용ㆍ제공한 개인정보의 정보주체

 

■ 통지 방법

- 서면, 전자우편, 전화, 문자 등 정보주체에게 통지 내용을 쉽게 확인할 수 있는 방법으로 자유롭게 통지 가능하며, PUSH 알림창과 같은 방법도 가능함. 해당 이용자에게 통지할 수 있는 방법이 전무한 경우 통지 대상에서 제외할 수 있음.

- 연 1회 이상 통지해야하며 '연 1회' 주기는 개인정보처리자의 자유로운 의사에 맡기며 충분히 인정가능한 기간으로 범위를 산정해야 함.(365일 정확히 따지는 정도까지는 아님. 매년 1월 / 매년 6월과 같이 일정하고 적정한 주기가 필요함)

 

■ 특이 사항

※ 관련 법령 개정 이후 개인정보 유효기간제 규정이 폐지되어 서비스의 장기 미이용자(1년 이상, 휴면회원)의 별도 관리 의무조항이 없음. 단, 기업이 자체적으로 장기 미이용자에 대한 별도 관리 정책을 운영할 수 있으며 해당 정책이 존재하는 경우 장기 미이용자(휴면회원)는 이용내역 통지 대상에서 제외 가능함.

 

별도 관리 정책이 없다면 이용내역 통지 대상으로 포함하는 것이 적절해보임.(일반 운영회원 DB테이블과 분리되지 않은 경우)