(부제) 나는 CISO 이다/CSAP 인증심사
(CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리
노벰버맨
2021. 8. 24. 14:59
1. 개인정보 수집 관련 근거
가. 개인정보보호법 기준
- 개인정보보호법 제15조(개인정보의 수집, 이용) 제1항에 따라 정보주체의 동의를 받아 처리
- 제2항부터 제6항까지 예외 조항에 따라 동의 없이 추가 가능
- 특히 제4항 정보주체와의 계약 체결, 이행을 위해 불가피한 경우와 제6항 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 (정보주체의 권리보다 우선하는 경우)에 동의 없이 개인정보를 수집 가능
나. 관련 용어
- 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람
- 개인정보처리자 : 업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자
- 개인정보 수탁자 : 개인정보처리자를 대신하여 개인정보파일을 운영하는 자 (이 경우 개인정보처리자는 위탁자가 됨)
2. 클라우드 서비스 제공 과정에서의 역할 개념도 및 설명
가. 클라우드 서비스 제공 과정에서의 역할 개념도
나. 클라우드 서비스 제공 과정에서 역할
1단계) 서비스 이용 신청단계 (클라우드 컴퓨팅 서비스를 제공하기 위해 사전 계약 등 체결 단계)
| 주체 | 역할 |
| 이용기관 담당자 (계약담당/운영담당) | 정보주체 |
| 클라우드 서비스 제공자 | 개인정보처리자 |
- 클라우드 서비스 제공과 관련된 계약 체결 및 이행 등을 위한 목적으로 최소한의 수집
- 클라우드 서비스 제공자는 개인정보처리방침 및 개인정보 수집 이용 동의서 등에 관련 사항을 공개
2단계) 서비스 이용 단계 (계약 후 클라우드 컴퓨팅 서비스를 이용하는 단계)
| 주체 | 역할 |
| 민원인 이용기관 임직원 수탁사 임직원 |
정보주체 |
| 이용기관 | 개인정보처리자 |
| 클라우드 서비스 제공자 | 수탁사 (필요 시 개인정보 처리 등에 관한 업무 수탁) 이 경우 이용기관은 위탁사가 됨 |
- 클라우드 서비스를 이용하여 내부 업무 또는 대민 서비스 등을 제공하기 위한 목적으로 수집
- 이용기관은 개인정보처리방침 및 개인정보 수집 이용 동의서 등에 관련 사항을 공개
3. 각 단계별 공개되는 위치 및 정보
| 구분 | 서비스 이용 신청단계 | 서비스 이용 단계 |
| 위치 | 클라우드 서비스 제공자 홈페이지 | 이용기관 홈페이지 |
| 내용 | 이용기관 담당자의 개인정보 수집항목, 목적, 보유기간, 개인정보보호책임자 등 내용 고지 | 민원인 및 이용기관/수탁사 임직원의 개인정보 수집항목, 목적, 보유기간, 개인정보보호책임자 등 내용 고지 |