- 버전
- 다운로드 19
- 파일 크기 4.06 MB
- 파일 수 1
- 생성 날짜 2023년 5월 3일
- 마지막 업데이트 2024년 2월 2일
개인정보 보호 가이드라인(온라인 경품행사편)(2023.5.제정)
개인정보 보호 가이드라인(온라인 경품 행사편) 입니다.
개인정보 보호 가이드라인(온라인 경품 행사편) 2023.5 입니다.
개인정보보호위원회가 발표한 개인정보 보호 가이드라인 입니다.
ㅇ 자료명 : 개인정보 보호 가이드라인(온라인 경품행사편)
ㅇ 발행일 : 2023년 5월
ㅇ 주관부처 : 개인정보보호위원회
ㅇ 주요 내용
- SNS 등 온라인 경품행사 시 개인정보 침해 예방을 위한 개인정보 보호 원칙
- 온라인 경품행사 기획·공지 단계부터 종료까지 단계별 개인정보 처리 원칙
[개요]
[필요성]
Social Network Service(이하 'SNS') 등 온라인 경품 행사 시 참여자 개인정보 침해 사례* 발생하고 있습니다.
- 대표적인 예로 행사 계정을 사칭하여 개인정보 수집 및 결제 유도, 미당첨자의 연락처·주소 등 불필요한 개인정보 수집, 당첨자 명단 발표 시 개인 식별 등이 있습니다.
참여자의 개인정보 보호 방안에 대한 안내가 필요합니다.
- 행사 운영 관련 개인정보 처리 시 준수해야 할 개인정보 보호법(이하 '보호법')상 원칙 및 법규 안내가 필요합니다. 구체적인 사례를 중심으로 안내하여 참여자의 개인정보를 적극 보호해야 할 필요성이 강조됩니다.
[적용 대상 및 범위]
- 적용대상 : SNS 등 온라인 경품행사 운영자* 및 참여자
- 경품행사 등 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 단체 및 개인 등 개인정보처리자(보호법 제2조제5호)
- 적용범위 : 행사 기획·공지 단계부터 종료 단계까지 과정
- 행사 기획·공지 단계 : 개인정보 침해 사례별 준수사항을 반영하여 기획, 처리되는 개인정보 내용을 구체적으로 공지
- 당첨자 추첨·발표 단계 : 당첨자에게 개별 안내, 당첨자 전체 명단 발표 시 본인만 알아볼 수 있도록 처리
- 경품 발송 단계 : 당첨자에 한하여 경품 발송에 필요한 최소한의 개인정보를 수집하고, 목적외 개인정보 이용 금지
- 행사 종료 단계 : 경품 발송 완료 등 행사가 종료되어 개인정보가 불필요하게 되었을 때 바로 파기
[경품행사 시 개인정보보호 원칙]
- 개인정보의 처리 목적을 명확히 하고, 필요한 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다(개인정보보호법 제3조제1항)
- 목적에 필요한 최소한의 개인정보만을 수집하고, '최소한'이라는 입증책임은 개인정보처리자가 부담함(개인정보보호법 제16조 제1항)
- 개인정보의 처리 목적에 필요한 범위에서 적합하게 처리해야 한다(보호법 제3조 제2항)
- 당초 수집한 목적만으로 이용해야 하며, 목적 외 이용 또는 제3자 제공을 하여서 아니된다. (보호법 제18조제1항)
- 처리 목적 달성 등으로 개인정보가 불필요하게 되었을 때 지체 없이 파기하여야 함(보호법 제21조제1항)
- 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리해야 한다(보호법 제3조제4항)
- 개인정보의 처리에 관한 사항을 공개하고, 정보주체의 권리를 보장해야 한다.(보호법 제3제5항)
- 개인정보 처리 위탁 시 위탁 업무 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 함(보호법 제26조제1항)
- 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 함(보호법 제3조제6항)
[경품행사 관련 개인정보 처리 시 준수사항]
1. 행사 기획·공지 단계
[주요 점검 사항]
- 행사 기획 : 개인정보 침해 사례별 준수사항을 반영하여 행사 기획
- 행사 공지 : 경품행사 시 처리되는 개인정보 내용을 구체적으로 공지
개인정보 침해 사례별 준수사항을 반영하여 행사 기획
- 행사 운영 계정을 사칭하여 당첨사실을 허위로 알리고 개인정보 수집 및 결제를 유도하는 사례
- 참여자의 ID 등이 일반에 공개되는 경품행사 유형*에서 발생 가능
- 행사를 운영하는 SNS 계정 팔로우, 퀴즈 정답·응원 문구 등을 댓글로 작성, 참여자의 SNS에 사진 등을 게시한 후 운영자가 제시한 해시태그 추가 등
- 참여자 모두를 대상으로 성명·연락처 등 경품 발송에 필요한 개인정보를 수집하는 사례
- 개별 메시지(Direct Message) 또는 별도 양식을 통해 참여 인증 자료 등을 제출하는 경품 유형에서 발생
- 참여자의 ID 등이 일반에 공개되는 경품행사 유형*에서 발생 가능
2. 당첨자 추첨·발표 단계
[주요 점검 사항]
- 당첨자 추첨 : 취급자 최소화, 미당첨자의 개인정보는 지체 없이 파기
- 당첨자 발표 : 개별 안내 원칙, 전체 명단 발표 시 본인만 알 수 있도록 처리
[당첨자 추첨]
- 추첨에 필요한 최소한의 인원만 관여할 수 있도록 취급자를 제한
- 더 이상 행사에 필요하지 않는 정보*는 지체 없이 파기
- 개별 메시지 또는 별도 양식을 통해 제출한 미당첨자의 참여 인증 자료, SNS ID 등을 추첨 완료 후 지체 없이 삭제
[당첨자 발표]
- 당첨자 전체 명단을 발표하지 않아도 행사 목적 달성에 지장이 없는 등 발표할 필요가 없을 시 개별적으로 안내하는 것이 바람직함
- 다만, 행사의 투명성 확보 등 전체 명단 발표가 불가피하면, 본인만 알아볼 수 있도록 처리*
- 처분사례
- 경품행사 당첨자를 공지하는 과정에서 담당자의 실수로 당첨자(102명)가 아닌 전체 참여자(2326명)의 개인정보 파일을 별다른 처리 없이 게시한 행위에 대하여 과태료(300만원) 부과
- 처분사례
3. 경품 발송 단계
[주요 점검 사항]
- 당첨자에 한하여 경품 발송에 필요한 최소한의 개인정보 수집
- 개인정보는 경품 발송 목적으로만 이용(수집 목적 외 이용 금지)
- (항목) 경품의 종류 및 금액에 따라 경품 발송에 필요한 최소한의 개인정보 수집(보호법 제16조)
- (종류) 모바일 쿠폰 : 연락처, 성명(발송에 필요한 경우에 한함)
- (종류) 실물 : 성명, 연락처, 주소
- (금액) 5만 원을 초과하여 제세공과금 납부가 필요한 경우 주민등록번호 수집
- 주민등록번호는 법률·대통령령에 근거가 있는 경우에만 수집. (보호법 제25조의2), 수집 시 법적근거* 명시
4. 행사 종료 단계
[주요 점검 사항]
- 경품 발송 완료 등 행사 종료 후 지체 없이 파기
- 발송을 제3자에게 위탁한 경우 수탁자의 파기 여부도 확인