당연히 개인정보 수집 및 이용에 대해서 말씀드렸으니, 개인정보 파기에 대해서 정리해보겠습니다.
2020/08/29 - [서비스 기획] - 개인정보 수집 및 이용
개인정보 수집 및 이용
저번에는 스마트폰 앱에서의 동의 및 탈퇴에 대해서 정리해봤습니다. 2020/08/28 - [서비스 기획] - 스마트폰 앱 동의 및 탈퇴 물론 오늘 작성한 개인정보 수집 및 이용이 저번과 비슷하다고 생각하�
reinvite.tistory.com
개인정보 파기는 백엔드에서 동작하는 것이라 이용자에게는 보이지 않습니다. 하지만 개인정보 파기에는 여러가지 법률 조치가 필요합니다.
개인정보 파기 기준
- 파기 사유 (목적 달성, 보유·이용 기간 종료, 사업 폐업 등) 발생 시에는 ‘지체 없이’, '복구·재생할 수 없는 방법'으로 파기함 (정보통신망법 제29조 제1항).
- 다만 다른 법률에 따라 개인정보를 보존하여야 하는 경우는 파기의 예외에 해당하며, 다른 법률에 따른 기간 동안 별도 분리 저장·관리 해야 함.
아래는 '온라인 개인정보 처리 가이드라인'에 작성된 법정 수집 수집 의무 항목 및 보존 기간 예시 중 일부 발췌했습니다.
- 이용자가 동의를 철회하는 경우 법정 의무 이행을 위해 수집된 정보가 아닌 한 ‘지체 없이’ 파기해야 함(정보통신망법 제30조제3항)
- 이용자가 미이용 기간을 미리 정한 경우, 해당 기간 경과 후 즉시 파기하거나 별도 분리 저장·관리해야 함
- 이용자가 미이용 기간을 미리 정하지 않은 경우, 서비스를 1년 동안 이용하지 않은 이용자의 개인정보는 1년 경과 후 즉시 파기하거나, 다른 이용자의 개인정보와 분리하여 별도로 저장·관리해야 함 (정보통신망법 제29조제2항)
우리카드의 경우에는 휴면(장기미접속) 회원에게 개인정보 파기 안내를, 인쿠르트는 휴면 전환 안내를 하고 있습니다. 둘다 정보통신망법에 따라 법률이 정하는대로 개인정보 처리를 한 사례입니다.
위에서 보신 사례처럼 보통은 1년이상 서비스를 이용하지 않는 이용자에게 1년이 되기 전 특정일(회사마다 다름, 저희 회사는 30일 전 고지)에 메일을 통해 개인정보 파기 또는 휴면 전환을 안내하도록 되어 있습니다.
이 부분에 대해서 백엔드 처리를 위해 기획을 해야 합니다. 1년 이상 접속하지 않는 장기 미접속자에 대한 별도 분리보관 또는 회원 정보 파기 등에 대한 서비스 플로우, 메일 UI 및 내용 등등 고민을 해야 하죠. 만약 해당 조치를 하지 않을 경우 과징금이 부과된다고 합니다.
별도 분리 저장·관리
- 대상 : 특정 개인이 식별가능한 개인정보가 포함되어 있는 DB상의 개인정보를 말함
- 방법 : DB를 분리하는 경우 물리적 분리를 하는 것이 바람직하나 논리적 분리(테이블 분리 등)도 가능함
- 보관기간 : 약관이나 개인정보 처리방침에 공개한 보유 기간이 경과하면 분리 보관된 개인정보는 파기해야 함
물론 저는 정보보호팀은 아니지만, 이렇게 자세하게 적어놓은 이유는 회원 탈퇴 및 휴면 유저 처리 등 백엔드를 기획할 필요한 부분입니다. 법률에 따라서 시스템을 구축하는 경우가 종종 있으니 놓치지 않고 있어야 법률 이슈를 막을 수 있습니다.
그럼 다음에 또 다른 걸로 정리해보겠습니다!
참고
'서비스 기획' 카테고리의 다른 글
| AAARR 정리 (0) | 2021.05.02 |
|---|---|
| 서비스 약관 종류 (제3자 제공 동의, 처리 위탁 동의, 광고성 수신 동의) (0) | 2020.09.02 |
| 개인정보 수집 및 이용 (0) | 2020.08.29 |
| SNS 로그인 (0) | 2020.08.29 |
| 스마트폰 앱 동의 및 탈퇴 (0) | 2020.08.28 |
