2018년 제1차 개인정보보호 정책 세미나 참석 보고서 작성

이전 글에서 제1차 개인정보보호 정책 세미나에 참석했던 후기를 적었다.

2018/09/20 - [마케터가 되어간다] - 2018년 제1차 개인정보보호 정책 세미나 참석 후기

이 글에서는 세미나 참석 후 회사에 제출한 보고서 안에 어떤 내용을 포함했는지를 적어보려 한다.

참고로 나는 CPO나 개인정보관리사 자격증을 보유하고 있지 않기 때문에 글이 아주 전문적이지는 못할 것이고 적은 내용에 오류도 있을 수 있음을 감안하고 읽어주시라.

1장. 개인정보 개념 설명

알고 계시면 다행인데 혹시 몰라 개인정보의 개념에 대해 적었다.

그리고 이번 세미나에서 휴대전화번호 뒤 네자리도 개인정보로 볼 수 있다는 판례가 있었다 해서 이 부분도 추가했다.

2장. 사내 개인정보보호교육 진행 필요

홈페이지를 운영하며 그 쪽으로도 회원 가입을 받고 있고, 오프라인 행사 시에도 서면으로 회원 가입을 받고 있는데 개인정보보호교육은 단 한 번도 진행되지 않았었다고 한다.

3장. 개인정보 보호를 위한 관리적, 기술적, 물리적 보호조치 이행여부

개인정보가 있는 서버와 그렇지 않은 서버 망 분리 안되어있는 듯 하다.

왜냐면 내가 지금 사용중인 PC에서도 고객 정보 조회 화면에 접근이 가능하기 때문에...

마스킹 처리 되지 않은 고객 정보를 열람하려면 승인 절차를 통해 권한을 얻어야만 가능하긴 하지만, 권한을 받은 ID는 회사 네트웍만 사용하면 누구나 접속이 가능하고 심지어 암호가 걸리지 않은 고객 데이터 전부를 엑셀로 내려받을 수도 있다.

내려받은 고객 정보 파일은 인쇄도 가능한데, 인쇄된 종이에 워터마크조차 없다.

4장. 회원가입 시 필수/선택 항목 동의 재정립

물품 배송을 다른 회사에 위탁하고 있는데, 개인정보 제3자 제공 동의를 회원 정보 수집과 동시에 동의를 받고있다.

원칙적으로는 제3자 제공을 하지 않아야 하지만 불가피하다면 별도로 분리하여 동의를 받도록 되어있다.

이런 식으로 말이다. 제공받는 회사 이름을 적어야 할 것 같은데 회사 이름도 안적고 있다. 그냥 대행업체 뭐 이런 식으로만 적혀있다.

5장. 개인정보 취급방침 문서 수정 필요

현재 개인정보 보호 책임자는 퇴사하신 이사님 이름으로 되어있다. (!!)

그리고 개인정보 보호 책임자는 인사결정권자의 결재가 있는 사내 문서가 남아있어야 한다는데, 글쎄..? 아마도 없지 싶은데.

그리고 정말 헉 스러운건 마케팅 목적의 제3자 제공동의가 필수항목에 들어있다는 것이다.

6장. GDPR 적용범위 해당여부 확인

영문으로 된 홈페이지를 운영중이고, 독어, 영어, 불어가 제공되는 외부 업체에 회사 정보 일부가 공유되고 있다.

GDPR에 해당할지 여부 체크가 필요하다고 생각되어 넣었다.