개인정보보호세칙

제정 2008. 12. 1

제 1 조(목적) 이 세칙은 포항공과대학교(이하 ‘대학’이라 한다)의 정보보호규정과 관련법령에 의거하여 개인정보 보호활동 및 이행에 필요한 사항을 규정함을 목적으로 한다.

제 2 조(적용범위 및 대상) 이 세칙은 대학의 전산망 또는 전산망 이외의 수단을 통하여 수집, 저장, 사용, 전송 및 폐기되는 개인정보와 개인정보 취급과 관련된 자로 한다.

제 3 조(용어의 정의) 이 세칙에서 사용하는 용어의 정의는 다음 각호와 같다.

1. “개인정보”라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보이며 당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 개인을 식별할 수 있는 것을 포함한다.
2. “개인정보취급방침” 이라 함은 공공기관의 개인정보보호에 관한 법률에 의거하여 대학이 보유한 이용자의 개인정보를 보호할 목적으로 자체적으로 수립한 기본지침 및 계획을 의미한다.

제 4 조(역할과 책임) ① 개인정보총괄책임자(CPO, Chief Privacy Officer)는 정보보호전담부서장으로 하며 대학의 개인정보 보호에 대한 총괄책임자로서 다음 각호와 같은 역할을 수행한다.

1. 개인정보보호 계획 및 방침의 수립ㆍ시행
2. 개인정보침해사고 관련 처리
3. 개인정보처리실태의 점검 및 감독
4. 개인정보보호 관련 통계 및 자료의 취합
5. 개인정보보호 교육
6. 기타 개인정보보호를 위하여 필요한 업무

② 개인정보관리책임자는 개인정보 보유 부서의 장으로 하며 개인정보취급자에 대한 개인정보 보호업무의 지도 및 감독, 개인정보처리시스템의 접속기록 분석 및 오남용 사고 예방 등의 역할을 수행한다.
③ 개인정보취급자는 대학이 보유하고 있는 개인정보의 수집, 처리, 가공, 이용 등과 관련된 업무를 수행하거나 업무상 개인정보를 다루고 있는 자이며 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 안전성확보에 필요한 조치를 강구하여야 한다.

제 5 조(개인정보의 수집 및 보유 제한) ① 개인정보를 수집하는 경우 관련 법규에 근거하거나 정보주체의 동의에 의하여 수집하여야 하며, 수집 목적 달성에 필요한 최소한의 범위 내에서 수집한다.
② 개인정보를 수집할 경우 수집목적, 보유기간, 이용범위, 목적달성 후 처리방법 및 이의제기 절차 등에 대하여 유선, 서면 또는 전자우편(홈페이지) 등의 방법을 통하여 사전에 고지하여야 한다.
③ 수집한 개인정보는 수집목적을 달성한 즉시 폐기하여야 하며 수록된 데이터를 식별할 수 없도록 삭제, 파쇄기, 문서 소각, 소자 처리, 물리적 파손 등의 방법을 통해 폐기한다. 단, 법령에 보유기간 등이 명시되어 있는 경우는 예외로 한다.

제 6 조(개인정보의 이용 및 제공 시 준수사항) ① 대학이 보유한 개인정보 이용 또는 조회는 소관업무를 수행하기 위해 필요한 최소한의 범위로 제한한다.
② 정보주체의 동의 없이 개인정보를 수집하거나 보유목적 외로 이용 또는 조회할 수 없다.
③ 개인정보 제공 시 사전에 다음 각호의 사항을 확인하여 제공의 적절성을 판단해야 하며 제공 시 개인정보제공명세서(별지 제1호 서식)를 작성 해야 한다.

1. 요청의 법령상 근거 또는 이용목적
2. 요청목적에 따른 제공 항목의 적정성
3. 요청기관의 적절한 보안대책 수립 여부 등

제 7 조(개인정보가 기록된 출력물의 처리) ① 개인정보가 기록된 출력물은 이면지 등으로 재사용되지 않도록 즉시 파쇄, 소각 등의 방법을 통해 복구가 불가능하도록 파기한다.
② 개인정보가 기록된 출력물의 소각 시 소각 장소에 참여하거나 소각 업체와의 계약 등을 통하여 완전 소각 상태를 확인한다.
③ 개인정보가 기록된 출력물의 매각 시 문서의 완전 폐기 상태를 확인하여 문서에 쓰여진 정보를 육안으로 읽을 수 없음을 확인한다.

제 8 조(위탁기관의 개인정보 취급) ① 대학이 외부 기관에 위탁한 업무 중 개인정보가 취급되는 경우 개인정보 당사자에게 유선, 서면 또는 전자우편(홈페이지) 등의 방법을 통하여 사전 고지한다.
② 대학이 보유한 개인정보의 수집, 이용 및 제공을 외부에 위탁하는 경우 개인정보에 관한 비밀유지, 제3자 제공금지, 사고 시 손해배상 등을 위탁계약서 상에 명확히 규정한다.
③ 위탁업체와 계약업무를 담당하는 부서는 개인정보보호에 관한 법적 의무와 책임을 위탁업체에 공지하고 규정의 이행여부를 관리∙감독한다.

제 9 조(개인정보침해사실의 신고) ① 대학이 보유하고 있는 개인정보에 대하여 개인정보에 관한 권리 또는 이익의 침해를 받은 자는 개인정보 총괄책임자에게 그 침해사실을 신고한다.
② 개인정보 총괄책임자는 신고된 침해사실을 확인하고 그 처리결과를 신고인에게 통지하여야 한다.

제 10 조(개인정보 취급자 등의 교육) 대학이 보유하고 있는 개인정보 보호를 위하여 개인정보 총괄책임자는 개인정보취급자를 대상으로 정기적으로 교육을 실시하여야 한다.

부 칙

1. 이 세칙은 2008년 12월 1일부터 제정, 시행한다.
2. 이 세칙 시행 이전에 처리된 업무는 이 세칙에 의하여 처리된 것으로 본다.