개인정보 취급방침



서울대학교 개인정보 처리 및 보호에 관한 규정
[시행 2013. 11. 13.] [서울대학교학교규정 제1929호, 2013. 11. 13., 제정.]

서울대학교

제1조(목적) 이 규정은 「개인정보 보호법」과 같은 법 시행령, 시행규칙에 따라 국립대학법인 서울대학교의 개인정보 처리 및 보호와 관련된 사항을 규정함을 목적으로 한다.

제2조(적용범위) 이 규정은 개인정보파일을 처리하는 서울대학교 모든 기관 및 구성원(용역업체 직원도 포함한다)에게 적용된다.

제3조(정의) 이 규정에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. "처리"란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 서울대학교 및 소속기관을 말한다.
5. "개인정보 보호 총괄책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 사람(이하 "총괄책임자"라 한다)을 말한다.
6. "개인정보 보호 분야별책임자"란 총괄책임자의 업무를 보좌하기 위해 업무 분야별로 지정한 사람을 말한다.
7. "개인정보 보호 분임책임자"란 총괄책임자 업무의 효율적 수행을 위해 지정한 사람으로 「서울대학교 보안업무 처리규정」 제2조(보안담당관의 지정 및 임무)에 따른 분임보안담당관을 말한다.
8. "개인정보취급자"란 제4호부터 제7호까지 해당하는 사람의 지휘·감독 또는 위탁을 받아 본교 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 직접 수행하는 사람을 말한다.
9. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
10. "개인정보처리시스템"이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템을 말한다.
11. "개인영상정보"란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.
12. "영상정보처리기기"란 일정한 공간에 설치하여 지속적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 「개인정보 보호법 시행령」제3조에 따른 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라를 말한다.

제4조(다른 법령과의 관계) 개인정보 보호에 관하여 상위 법령 등에서 특별한 규정이 있는 경우를 제외하고는 이 규정에서 정하는 바에 따른다.

제5조(개인정보 보호 총괄책임자의 지정 및 임무) ① 총장은 「개인정보 보호법 시행령」제32조제2항에 따라 사무국장을 총괄책임자로 정하여 개인정보 처리에 관한 업무를 총괄하여 책임지도록 한다.
② 총괄책임자는 본교의 개인정보 보호와 관련하여 다음 각 호의 업무를 수행한다.
1. 개인정보 보호를 위한 관리 및 감독
2. 개인정보 처리에 관한 불만의 처리 및 피해 구제
3. 그 밖에 개인정보 보호와 관련된 법령의 준수를 위해 필요한 사항
③ 총괄책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 총괄책임자는 개인정보 보호와 관련하여 법령 및 규정의 위반사실을 알게 된 경우에는 즉시 개선조치를 명해야 한다.

제6조(개인정보 보호 분야별 책임자의 지정 및 임무)
① 총괄책임자의 업무를 보좌하기 위해 다음 각 호와 같이 행정, 전산, 영상정보처리기기의 분야별 책임자를 둔다.
1. 행정 총괄은 총무과장으로 한다.
2. 전산 총괄은 정보화본부 정보보안팀장으로 한다.
3. 영상정보처리기기 총괄은 캠퍼스관리과장으로 한다.

② 행정 총괄자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호를 위한 관리적 보호 조치 총괄
2. 개인정보 보호를 위한 관련 규정 등 제·개정
3. 개인정보 보호를 위한 장·단기 계획의 수립 및 시행
4. 학내 개인정보 처리 실태 관리 및 감독
5. 개인정보 보호를 위한 관련 교육 계획의 수립 및 시행
6. 개인정보 처리방침의 수립·변경 및 시행
7. 개인정보 처리에 관한 불만의 처리 및 피해 구제
8. 그 밖에 개인정보 보호를 위해 필요한 관리적 조치 사항

③ 전산 총괄자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호를 위한 기술적 보호 조치 총괄
2. 「개인정보 보호법」제31조제2항 각 호에 따른 업무 시행·지원
3. 개인정보 보호를 위한 전산 교육 시행 및 감사 지원
4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템의 구축·운영
5. 학내 개인정보 영향평가 관련 사항 대응
6. 개인정보 유출 대응 지원
7. 개인정보처리시스템(홈페이지 등)의 실태 점검 및 감독
8. 그 밖에 개인정보 보호를 위해 필요한 기술적 조치 사항

④ 영상정보처리기기 총괄자는 다음 각 호의 업무를 수행한다.
1. 「개인정보 보호법」제25조에 따른 영상정보처리기기 관리 총괄
2. 영상정보처리기기 운영·관리 방침 수립 및 시행
3. 영상정보처리기기 관리 현황 점검
4. 그 밖에 영상정보처리기기 운영을 위해 필요한 조치 사항

제7조(개인정보 보호 분임책임자의 지정 및 임무)
① 총괄책임자의 업무의 효율적인 수행을 돕기 위하여 다음 각 호의 직위에 있는 사람을 개인정보 보호 분임책임자(이하 "분임책임자"라 한다)로 하되, 임용과 동시에 분임책임자가 된다.
1. 본부 각 과·팀장
2. 대학(원)의 행정실장
3. 부속시설의 행정실장
4. 행정실장이 없는 대학(원) 및 부속시설의 서무주무자
5. 부속시설 중 위 호의 분임책임자가 없는 기관은 해당 기관의 장

② 분임책임자는 다음 각 호의 업무를 수행한다.
1. 소속기관의 개인정보 보호 업무 총괄
2. 소속기관의 개인정보 자체 추진계획 및 처리방침 운영
3. 소속기관의 개인정보 취급자에 대한 지도·감독·교육
4. 소속기관의 개인정보 처리 실태 점검 및 감독
5. 소속기관의 개인정보 보호를 위해 필요한 관리적·기술적·물리적 보호조치
6. 소속기관의 개인정보 관련 개선 권고 및 시정 조치사항 이행
7. 소속기관의 개인정보 관련 민원 접수·처리
8. 소속기관의 영상처리장치 설치 및 운영에 관한 사항
9. 소속기관의 개인정보 보호를 위해 필요한 사항
10. 그 밖에 총괄책임자가 개인정보 보호를 위해 지시한 사항

③ 분임책임자는 기관 내 개인정보 보호 활동을 위해 개인정보 보호 실무책임자를 지정할 수 있으며, 특별한 사유가 없으면 해당 부서의 서무주무자가 된다.

제8조(개인정보취급자의 의무) 개인정보취급자는 제3조 제8호의 업무를 수행하는 사람으로서 다음 각 호의 사항을 준수하여야 한다.
1. 개인정보 보호 규정 준수 및 개인정보 보호 활동 참여
2. 개인정보의 관리적·기술적 보호조치 기준 이행
3. 직원 또는 제3자의 위법·부당한 개인정보 침해(유출) 행위 점검 등
4. 그 밖에 개인정보의 적정한 취급 등 개인정보 보호를 위해 필요한 사항 등

제9조(내부관리계획)
① 총괄책임자는 개인정보 보호와 정보주체의 권리보장을 위하여 매년 내부관리계획을 수립·시행하여야 한다.
② 내부관리계획에는 다음 각 호의 사항이 포함되어야 한다.
1. 개인정보 보호 책임자의 지정에 관한 사항
2. 개인정보 보호 책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항
4. 개인정보취급자에 대한 교육에 관한 사항
5. 그 밖에 개인정보 보호를 위하여 필요한 사항
③ 총괄책임자는 제2항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.

제10조(개인정보 보호 교육)
① 총괄책임자는 개인정보 관리와 개인정보 보호 업무의 향상을 위하여 전 직원에 대하여 연 1회 이상의 정기교육과 수시교육을 하여야 한다.
② 제1항에 따른 교육은 대학행정교육원 등에 위탁하여 실시할 수 있다.

제11조(개인정보 보호를 위한 보안감사) ① 총괄책임자는 학내 기관의 개인정보 보호 업무 전반에 관하여 보안 관리 상태와 적정 여부를 조사하기 위하여 다음 각 회의 사항에 대하여 보안감사를 할 수 있다.
1. 해당 개인정보처리자가 처리하는 개인정보 및 개인정보파일의 관리와 영상정보처리기기의 설치·운영에 관한 사항
2. 개인정보의 안전성 확보를 위한 기술적·관리적·물리적 조치에 관한 사항
3. 정보주체의 열람, 개인정보의 정정·삭제·처리정지의 요구 및 조치 현황에 관한 사항
4. 그 밖에 학내 개인정보의 처리 및 보호의 안정성 및 적정성 조사를 위하여 필요한 사항 등
② 개인정보 보호 분야별 책임자 및 개인정보 보호 분임책임자는 감사에 협조하여야 한다.

제12조(개인정보의 안전성 확보 조치) ① 총괄책임자는 「개인정보 보호법」 제3조의 보호 원칙을 바탕으로, 개인정보의 처리 목적을 명확하게 하여야 하고, 그 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하여야 하며, 사생활 침해를 최소화하는 방법으로 처리하여야 한다.
② 총괄책임자는 개인정보의 안정성을 확보하기 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인정보의 분실, 도난, 유출, 변조 또는 훼손을 방지하기 위한 저장 및 송수신 과정의 암호화 등 필요한 안전성 확보조치
2. 해킹 등에 의한 개인정보 유출 및 훼손을 막기 위한 보안프로그램의 설치 및 주기적 갱신·점검
3. 외부접근이 통제된 구역에의 시스템 설치 등 안전성 확보를 위해 필요한 물리적 감시 및 차단 조치
4. 개인정보처리시스템에 대한 접근권한 부여, 변경, 말소 등 개인정보에 대한 접근통제를 위하여 필요한 조치
5. 침입차단시스템을 이용한 외부로부터의 무단 접근 통제조치

제13조(영상정보처리기기 설치 및 운영) 본교 및 소속기관의 공개된 장소에 영상정보처리기기를 설치·운영하는 경우 「서울대학교 영상정보처리기기 표준 지침」 및 「공공기관 영상정보처리기기 가이드라인」에 따른다.

제14조(정보주체 권리 보장) 개인정보처리자는 정보주체(또는 대리인)가 해당 개인정보의 열람·정정·삭제·처리정지 등을 요구할 경우 「개인정보 보호법」 제5장, 같은 법 시행령 제6장 및 그에 따른 합리적인 내부절차에 따라 적절한 조치를 취한 후 그 이유 및 처리의 결과를 통지하여야 한다. 다만, 법령상 특별한 규정이 있는 경우에는 예외로 한다.

제15조(제재)
① 개인정보 보호와 관련하여 법령 등 위반으로 학교가 과태료 등 재산상 제재를 받은 경우, 그에 관하여 귀책사유가 있는 해당 부서 등이 이를 부담한다.
② 총괄책임자는 개인정보처리시스템의 개인정보 유·노출 시 필요한 경우에는 홈페이지 등 인터넷 서비스를 차단할 수 있다.

제16조(규정의 개정 등) 이 규정의 개정 또는 개인정보 보호와 관련하여 총괄책임자가 필요하다고 인정하는 사항은 「서울대학교 보안업무 처리 규정」제3조에 따른 보안심사위원회에 심의를 요청할 수 있다.

제17조(시행세칙) 이 규정의 시행을 위하여 필요한 세칙은 따로 정한다.

부칙 <제01929호, 2013. 11. 13.>
이 규정은 공포한 날부터 시행한다