알림
뒤로

개인정보처리방침 권고안

작성

인권재단 사람

정보인권연구소

진보네트워크센터


작성일

2022. 10.

이 권고안은

  • 개인정보 보호에 대한 주요 개념과 원칙을 정리하였습니다.
  • 비영리단체가 개인정보처리자로서 투명성과 책임성을 갖추도록 하였습니다.
  • 정보주체의 권리와 이를 보호하는 방법을 소개하였습니다.
  • 개인정보보호법으로 정한 준수사항을 비영리단체에 맞춤하였습니다.
  • 비영리단체에서 개인정보 처리방침을 수립·이용하는 과정에서 참고할 내용은 FAQ로 정리하였습니다.

개인정보처리방침 권고안 다운로드

PDF

더 참고하려면

""

       * 주요 개인정보 처리를 이미지로 표시하는 라벨링 기호를 권장하고 있음

※ 별도의 언급이 없는 한, 아래 설명에서 ‘법’은 개인정보보호법을, ‘영’은 개인정보보호법 시행령을 의미합니다.

※ 아래 설명에서 인용한 법령은 2022년 6월 기준으로 작성되었습니다.

1. 제목

안내

  • 여러분 단체의 명칭을 포함하여 제목을 가장 상단에 적습니다.


원칙

  • 개인정보보호법은 단체 등이 개인정보 처리방침을 수립한 후 항상 공개하도록 의무화하고 있습니다(법제30조. 위반시 1천만원 이하 과태료). 이러한 의무는 자기 업무에서 개인정보파일을 처리하는 모든 단체와 개인에게 있습니다. 처리방침은 개인정보 수집대상이 되는 사람을 위한 것이므로 단체가 등록되어 있지 않더라도 공개하여야 합니다.
  • 인터넷 홈페이지가 있는 단체는 홈페이지에, 홈페이지가 없는 단체의 경우에는 회원가입서나 SNS 등 단체의 소통방식에 맞춰 처리방침을 공개하되, 정보주체가 쉽게 확인할 수 있는 곳에 지속성 있게 게시하여야 합니다(영제31조제3항). 
  • 홈페이지 등에 공개되는 개인정보 처리방침은 단체가 개인정보를 처음 수집할 때 당사자 정보주체에게 고지하는 사항과 일치하여야 합니다. 정보주체에게 개인정보 수집·이용에 대하여 동의를 받을 때는 필수정보에 대한 동의와 선택정보에 대한 동의를 구분하여 받아야 합니다(처리하는 개인정보 항목에 대한 4번 항목 참조).
  • 단체 내에서 여러 명의 활동가가 각각의 목적으로 개인정보를 이용하는 경우 처리방침을 함께 토론하고 함께 작성하는 것이 바람직합니다.
  • 개인정보 수집대상 별로 처리방침을 여러 개 두는 것도 가능하지만, 각각의 처리방침이 어떤 사람을 대상으로 하는지 제목에서 명확히 밝히는 것이 좋습니다. 예를 들어, 하나의 처리방침은 단체 회원이나 방문자, 참여자를 대상으로 하고(예: 기부자 개인정보 처리방침), 또다른 처리방침은 일하는 사람들(종사자)을 대상으로 마련하는 것이 가능합니다(예: 활동가 개인정보 처리방침).

우리단체 맞춤 수정

OOOOO(단체이름) 개인정보 처리방침

2. 서문

안내

  • 여러분 단체를 주어로 이 처리방침을 수립·공개하는 취지를 적습니다.


원칙

  • 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 투명하게 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 합니다(법제3조).
  • 여러분 단체는 개인정보 보호법의 준수와 정보주체를 보호해야 할 의무가 있는 ‘개인정보처리자’입니다.
  • 여러분이 처리하는 개인정보에 의해 알아볼 수 있는 사람은 ‘정보주체’로서, 자신에 관한 개인정보의 처리에 대하여 결정할 수 있는 권리를 가지고 있습니다.
  • 처리방침이 변경될 때에는 변경 및 시행의 시기, 변경된 내용을 지속적으로
    공개하여야 합니다.
  • 서문 이하의 항목들은 일련번호를 붙일 수도 있고(예:I. II. III.) 각 항목의 제목을 정보주체가 잘 알아볼 수 있게 표시(예: 진하게 표시)할 수도 있습니다.

우리단체 맞춤 수정

(단체이름)은 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.

3. 개인정보의 처리 목적

안내

  • 여러분 단체가 개인정보를 처리하기 위한 목적을 적습니다(법제30조).


원칙

  • 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고, 그 목적 외의 용도로 활용하여서는 안됩니다(법제3조). 
  • 개인정보 처리의 목적을 명시하는 것은 정보인권 측면에서 뿐 아니라 법적 책임에서 가장 중요한 부분입니다. 개인정보보호법은 개인정보처리자가 자신이 수집·이용하는 개인정보를 목적 외로 처리하는 경우 엄하게 처벌하고 있습니다.
  • 처리 목적은 목적별로 구분하여 가능한 한 구체적으로, 정보주체가 알기 쉽게 적습니다.
  • 특히 단체가 개인정보를 처리하는 목적이 관계 법령 준수에 있는 경우 해당 법령 명 및 조문번호, 법령에서 정한 개인정보 항목을 적습니다. 예를 들어, 단체가 법정 지정기부금단체로서 기부금을 관리하고 증빙하기 위해 개인정보를 처리하는 경우 해당하는 법적 근거를 밝힙니다.

    【법적 근거란(법제15조)】 개인정보를 수집·이용하려면 ①동의 ②법률에 특별한 규정 ③법령상 의무 ④계약의 체결 및 이행 ⑤정당한 이익 달성 중 하나에 해당해야 합법적입니다(법제15조). 따라서 개인정보처리자는 정보주체에게 이 처리방침 등을 제시하고 사전에 개인정보의 수집·이용에 대한 동의를 받거나 ②~⑤에 해당하는 근거를 가지고 있어야 합니다.
    ""【참고】 개인정보보호위원회 <인공지능(AI) 개인정보보호 자율점검표> 중

  • 토론회, 교육, 서명운동 등 일시적이고 특정한 행사/캠페인 목적으로 개인정보를 수집 또는 이용하는 경우에는 처리방침에서 일반적인 원칙을 밝히고, 해당 행사/캠페인을 할 때마다 각각의 참여자에게 목적을 알리고 동의를 받아야 합니다.
  • 단체 활동 홍보나 회원 가입 권유 목적으로 개인정보를 수집 또는 이용하는 경우 이를 다른 목적과 구분하여 적고 정보주체에게 동의를 받을 때도 선택할 수 있도록 하여야 합니다(법제22조). 
  • 상담 혹은 고충처리를 하면서 특별히 개인정보를 기록·관리하지 않는 경우에는 개인정보 수집·이용에 대한 동의를 받을 필요가 없습니다. 그러나 상담이나 고충 내용과 관련된 사람의 개인정보를 체계적으로 기록·관리하는 경우, 처리방침에서 일반적인 원칙을 밝히고 당사자에게 동의를 받아야 합니다. 특히 상담 과정에서 민감정보나 고유식별정보를 수집하는 경우, 일반 개인정보와 별도의 동의를 받아야 합니다. 동의의 방식은 구두부터 서면까지 다양할 수 있지만, 온라인 기록, 녹음, 서명 등 향후 증빙이 가능한 형태가 바람직합니다(정보주체가 언제 어떻게 동의했는지 향후 설명할 수 있어야 합니다).

우리단체 맞춤 수정

개인정보의 처리 목적


(단체이름)은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로 이용되지 않으며, 이용 목적이 변경되는  경우에는 「개인정보보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.


1. 회원/기부자 가입 및 관리  

회원/기부자 가입 의사 확인, 자격 관리, 법인의 회원명부 작성·비치 및 주무관청 감독, 서비스 부정이용 방지, 만 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의여부 확인, 각종 고지 통지 또는 탈퇴 처리


2. 기부금 관리 및 영수증 발급 

기부금/회비 납부 확인, 기부금영수증 발급 및 보관


3. 행사/캠페인

토론회, 교육, 서명운동 등 특정 행사/캠페인의 수행


4. 단체 홍보

단체 및 활동 홍보, 후원 권유 및 후원금 증액 권유


5. 상담 및 고충처리

전화, 이메일, 직접 방문 등을 통한 질의, 요청, 상담, 신고, 의견의 내용에 대하여 청취 및 응대

4. 처리하는 개인정보의 항목

안내

  • 여러분 단체가 처리하고 있는 개인정보 항목을 구체적으로 적습니다(영제31조).


원칙

  • 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 합니다(법제3조). 
  • 위 3번 항목에서 밝힌 각각의 처리 목적에 맞추어 개인정보 항목을 밝힐 것을 권장합니다. 이때 개인정보 항목은 정보주체가 이해할 수 있는 수준에서 유형별·분야별로 묶을 수 있습니다. 
  • 단체는 원칙적으로 수집목적에 필요한 최소한의 정보(필수항목)만을 수집하여야 합니다(법제16조). 목적에 필요한 이상의 정보를 수집·이용하는 경우 이를 필수항목과 구분하여 적어야 합니다(선택항목).
    【필수항목이란】 수집목적에 필요한 최소한의 정보이기 때문에 이를 제공하지 않는 정보주체에게 해당 서비스를 제공할 수 없습니다.
    【 선택항목이란】 수집목적에 필요한 이상의 정보이기 때문에 정보주체가 이를 제공하지 않더라도 동일한 서비스 제공 등을 보장하여야 합니다. 단체는 인터넷 입력양식이나 애플리케이션으로 개인정보를 수집할 때 정보주체가 선택항목의 제공을 선택하지 않거나 취소할 수 있는 기능을 보장하여야 합니다.
  • 사회적 차별을 야기하거나 현저히 인권을 침해할 우려가 있는 민감정보나 원래 공익목적으로 개인에게 부여된 고유식별정보는 정보주체가 별도로 동의를 하였거나 법령에서 구체적으로 그 정보의 처리를 요구하는 경우에만 처리할 수 있습니다.  
    【별도의 동의란】 정보주체의 신중한 판단이 가능하도록 일반적인 개인정보 항목에 대한 동의와 별도로 정보주체의 동의를 받도록 법률에서 정한 경우입니다. 아동의 개인정보 수집에 대한 법정대리인의 동의, 목적 외 이용·(재)제공에 대한 동의, 민감정보 처리에 대한 동의, 고유식별정보 처리에 대한 동의가 이에 해당합니다.
    【민감정보란(법제23조, 영제18조)】 ①사상·신념, ②노동조합·정당의 가입·탈퇴, ③정치적 견해, ④건강, ⑤성생활 등에 관한 정보, ⑥유전정보, ⑦범죄경력자료에 해당하는 정보, ⑧생체인식정보(지문, 홍채, 얼굴 등 자동으로 인식되는 정보), ⑨인종이나 민족에 관한 정보 등 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
    【고유식별정보란(법제24조, 영제19조)】 ①여권번호, ②운전면허번호, ③외국인등록번호 등
  • 특히 침해가 많았던 주민등록번호는 동의에 따른 처리가 허용되지 않고 법령상 근거가 있는 목적으로만 처리할 수 있습니다(법제24의2).
  • 만14세 미만 아동의 개인정보를 처리하기 위해서는 법정대리인의 동의를 받아야 합니다. 이때 법정대리인의 동의를 받기 위해 필요한 최소한의 정보(법정대리인의 이름이나 연락처)는 법정대리인 동의없이 아동으로부터 직접 수집할 수 있습니다.

우리단체 맞춤 수정

처리하는 개인정보 항목


(단체이름)은 다음의 개인정보 항목을 처리하고 있습니다.
선택항목의 경우 정보주체가 동의하지 않아도 단체 서비스의 이용에 아무런 지장을 받지 않습니다.

1. 회원 가입 및 관리  

– 필수항목 : 회원 기본정보(이름, 생년월일, 이메일), [14세미만아동인 경우]법정대리인 이름과 연락처, [등기임원의 경우] 주민등록번호와 주소

– 선택항목 : 휴대전화번호, 소속, 우편물 수신처, 가입경로


2. 기부금 관리 및 영수증 발급


2-1. 정기 자동이체(CMS) 

– 필수항목 : 금융기관명, 계좌번호, 예금주명, 예금주 생년월일(주민번호 앞자리, 외국인등록번호 앞자리, 사업자번호 등), 후원금액, 출금일자

2-2. 일시 후원(비회원)

– 필수항목 : 이름, 후원종류, 후원금액, 후원금 결제정보(실시간 계좌이체, 신용카드 등)

– 선택항목 : 연락처(이메일 또는 휴대전화번호)


2-3. 기부금영수증 발급 

– 필수항목 : 이름, 주민등록번호, 주소, 기부금액, 기부날짜, 기부금코드 


3. 행사/캠페인

– 필수항목 : 행사/캠페인 목적별로 요구하는 항목(이름, 생년월일, 주소 등), [인건비 지급의 경우] 이름, 주민등록번호, 주소, 소득액, 계좌정보, 지급일

– 선택항목 : 연락처(이메일 또는 휴대전화번호), 행사/캠페인에 대한 의견


4. 단체 홍보 

– 필수항목 : 이름, 이메일

– 선택항목 : 휴대전화번호, 소속, 우편물 수신처, 인지경로


5. 상담 및 고충처리

– 필수항목 : 상담 및 고충 사항과 관련된 기본정보(이름, 연락처 등), 사상·신념, 정치적견해, 건강, 성생활, 인종이나 민족에 관한 정보 등 상담에 필수적인 민감정보

5. 개인정보의 처리 및 보유기간

안내

  • ‘3. 개인정보의 처리 목적’에서 밝힌 각각의 업무에 따라 구체적인 처리·보유 기간을 적습니다.(법제30조)


원칙

  • 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 안 됩니다.(법제3조).
  • 위 3번과 4번 항목에서 밝힌 각각의 처리 목적 및 항목에 맞추어 해당 보유 기간을 밝힐 것을 권장합니다.
  • 보유 기간은 되도록 구체적으로 적습니다.(‘목적 달성시’와 같이 추상적으로 적지 않습니다.)
  • 관계 법령에 개인정보의 보유 근거가 있는 경우 해당 법령명 및 조문번호, 법령에서 정한 보유기간을 밝힙니다.
  • 통상의 보유 기간은 해당 목적에 개인정보처리가 필요 없게 된 날로부터 근무일 기준 5일 이내입니다.

【참고】

1. 원천징수 인건비 지급, 현금영수증 발급 등 거래에 대한 세무회계 장부 및 증명서류 (개인정보가 포함된 경우 이 지침의 대상임)

  • 모든 단체 : 「국세기본법」 제85조의3에 따라 모든 납세자는 장부ㆍ증명서류를 해당 세금의 신고기한으로부터 5년간 기록ㆍ비치
  • 고유번호증이 아닌 사업자등록증을 보유한 비영리법인 및 단체 (수익이 발생한 경우) : 「소득세법」제160조의2 및 「법인세법」 제112조 및 제116조에 따라 신고기한으로부터 5년간 보관 
  • 공익단체 및 공익법인 (법정 기부금영수증을 발행하는 경우) : 아래 2번과 3번 설명 참조

2. 법정 기부금영수증 발급명세 기록 및 보관 (이 지침의 대상임)

  • 공익법인의 경우 : 「법인세법」 제112조의2에 따라 기부금영수증 발급명세를 작성한 날로부터 5년간 보관, 단 전자기부금영수증을 발급한 경우 제외 
  • 공익단체의 경우 :  「소득세법」제160조의3에 따라 기부금영수증 발급명세를 작성한 날로부터 5년간 보관, 단 전자기부금영수증을 발급한 경우 제외
  • 법정 기부금영수증을 발행하지 않는 법인 및 단체 : 해당사항 없음

 

3. 출연재산 및 공익사업 운용 내용 관련 기록 (개인정보가 포함된 경우 이 지침의 대상임)

  • 공익법인, 공익단체의 경우 : 「상속세 및 증여세법」 제51조에 따라 출연재산 및 공익사업 운용 내용 관련 기록을 사업연도 종료일부터 10년간 보관 
  • 법정 기부금영수증을 발행하지 않는 법인 및 단체 : 해당사항 없음

4. 1회 이상 전자적으로 굿즈 등을 판매하는 단체 : 「전자상거래 등에서의 소비자보호에 관한 법률」 제6조에 따라 대금결제 기록을 5년간 보관


우리단체 맞춤 수정

개인정보의 처리 및 보유기간


(단체이름)은 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용기간 내에서 개인정보를 처리 보유합니다. 


② 각각의 개인정보 처리 및 보유기간은 다음과 같습니다.


  1. 회원/기부자 가입 및 관리 : 회원 탈퇴 시 근무일 기준 5일 이내
  2. 기부금 관리 및 영수증 발급 : 「소득세법」 제160조의3에 따라 기부자별 발급명세를 작성하여 발급한 날로부터 5년간 (단 전자기부금영수증을 발급하는 경우에는 해당하지 않음)
  3. 행사/캠페인 : 행사 기간 종료 시 근무일 기준 5일 이내. 외부기관 지원사업에 따른 행사인 경우 해당 기관의 보관 요구 기간에 따름
  4. 단체 홍보 : 거부 의견 시 근무일 기준 5일 이내
  5. 상담 및 고충처리 : 상담 및 고충 사항과 관련된 답변 완료 시 근무일 기준 5일 이내. 다만, 상담 내용은 가명처리 후 준영구 보관(가명정보의 처리에 관한 12번 항목 참조)

※ 개인정보의 처리 목적(3번 항목), 처리하는 개인정보 항목(4번 항목), 개인정보의 처리 및 보유 기간(5번 항목)을 하나의 표로 알기 쉽게 정리하는 것도 가능합니다.