개인정보 유출ㆍ침해 사고 대응
제1장 총칙
제1조 목적
(주)커피빈 코리아(이하 '회사')는 개인정보 유출ㆍ침해 사고 발생 시 신속하고 체계적인 대응 및 처리 방법을 정하고, 이를 위한 사전 준비 사항을 규정함을 목적으로 합니다.
제2조 적용범위
본 지침은 회사의 개인정보를 취급하는 회사 내부 임직원(계약직 등 비정규직 포함)을 대상으로 합니다.
제3조 용어정의
본 지침에서 사용하는 용어의 정의는 다음과 같습니다.
① “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말합니다.
② “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.
③ “개인정보보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말합니다.
④ “개인정보보호관리자”란 개인정보보호책임자를 보좌하여 개인정보보호 업무를 실질적으로 수행하고 개인정보 침해사고 대응팀을 운영하는 자를 말합니다.
⑤ “개인정보보호담당자”란 개인정보 처리 업무를 담당하는 자로, 개인정보 침해사고를 접수하고 초기 대응을 수행하는 자를 말합니다.
⑥ “개인정보취급자”란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자로서 직원, 파견근로자, 시간제근로자 등을 말합니다.
⑦ “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말합니다.
⑧ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다.
⑨ “개인정보의 유출”이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말합니다.
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖에 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 그 밖에 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
제2장 개인정보 침해사고 대응에 관한 역할
제4조 개인정보보호책임자
① 개인정보보호책임자는 개인정보 유출ㆍ침해 사고의 예방, 처리 및 재발 방지 전반을 총괄 관리합니다.
② 개인정보보호책임자는 개인정보 침해사고 발생 시 개인정보보호관리자에게 대응팀 소집을 지시하고, 사고 해결을 위한 최종 의사결정을 합니다.
제5조 개인정보보호관리자
① 개인정보보호관리자는 개인정보 침해사고 대응팀의 실무 운영을 담당합니다.
② 개인정보보호관리자는 사고 발생 시 개인정보보호담당자와 협력하여 사고를 분석하고 대응 및 복구 조치를 총괄합니다.
제6조 침해사고 처리책임자
해당 침해사고의 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보 침해사고 대응팀과 협력하여 사고를 해결합니다.
제7조 개인정보보호담당자
① 개인정보보호담당자는 개인정보 침해사고를 접수하고, 이 지침에 따라 사고 등급을 분류하여 초기 대응 절차를 개시합니다.
② 개인정보 침해 기록을 관리하고, 필요한 경우 관련자 및 기관에 보고합니다.
제8조 정보보안담당자
정보보안담당자는 개인정보 침해사고 발생 시 기술적인 분석과 보안 강화 방안을 제공합니다.
제9조 전 직원
회사 임직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해 사고가 발생한 것을 인지한 경우, 지체 없이 개인정보보호담당자에게 신고해야 합니다.
제3장 침해사고의 분류 및 대응 절차
제10조 개인정보 침해의 분류
개인정보 침해사고는 다음과 같이 3등급으로 분류합니다.
제11조 개인정보 침해 예방 및 탐지
① 개인정보보호담당자는 웹사이트를 통한 개인정보 유출을 예방하기 위해 개인정보 유출 차단 시스템을 운영ㆍ관리합니다.
② 게시판 등에 자료를 게재할 때 개인정보 유출에 대한 주의를 환기시키기 위한 경고를 제공해야 합니다.
③ 개인정보보호담당자는 연 1회 웹사이트의 개인정보 노출 취약점 점검을 시행하고 그 결과를 개인정보보호책임자에게 보고합니다.
제12조 개인정보 침해의 신고
① 회사 임직원(계약직 등 비정규직 포함)은 취급하는 개인정보에 대해 이 지침 제10조에서 정의한 침해가 발생한 것을 인지하거나 의심되는 경우, 지체 없이 개인정보보호담당자에게 신고해야 합니다.
② 개인정보 침해사고 발생 시 고의적으로 신고를 누락한 경우, 개인정보보호책임자는 관련자에 대한 처분(징계 등)을 요청할 수 있습니다.
제13조 개인정보 침해사고의 접수
① 개인정보보호담당자는 개인정보 침해사고를 접수한 경우 [붙임1] “개인정보 침해사고 관리대장”에 사고 접수를 기록합니다.
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고합니다.
③ 개인정보보호관리자는 개인정보보호책임자의 지시에 따라 해당 침해사고의 분석, 대응, 복구에 필요한 담당자를 지정하여 개인정보 침해사고 대응팀을 구성합니다. 필요시 업무담당자, 외부 전문가 등이 포함될 수 있습니다.
④ 2, 3등급 침해의 경우 개인정보보호책임자는 개인정보보호관리자와 협의하여 대응팀을 구성하지 않을 수 있습니다.
⑤ 개인정보보호책임자는 필요하다고 판단될 경우 외부 전문가에게 분석을 의뢰할 수 있습니다.
제14조 침해사고의 분석
① 개인정보보호관리자는 침해 사실 여부를 확인하고, 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사합니다.
② 개인정보보호관리자는 필요한 경우 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집합니다.
제15조 침해사고의 대응 및 복구
① 1등급의 경우, 개인정보보호관리자는 유출된 개인정보를 파기 또는 회수하기 위한 조치를 즉시 취합니다.
② 2등급의 경우, 개인정보보호관리자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나, 정보주체의 사후 동의를 받아 근거를 마련합니다.
③ 3등급의 경우, 개인정보보호관리자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취합니다.
④ 개인정보보호관리자는 즉각적인 조치가 가능한 경우 재발 방지 조치를 취합니다.
제16조 처리 결과 보고 및 사후 관리
① 개인정보보호관리자는 [붙임2] “개인정보 침해사고 처리보고서”를 작성하여 개인정보보호책임자에게 제출합니다.
② 개인정보보호책임자는 개인정보 침해사고 처리보고서를 검토하고 승인합니다.
제17조 침해사고 사후분석
① 개인정보보호관리자는 처리보고서 제출 후 30일 이내에 근본 원인 분석, 교훈 및 예방을 위한 개선 대책을 마련하여 개인정보보호책임자에게 제출합니다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정합니다.
③ 개인정보보호책임자는 필요하다고 판단될 경우 사고의 교훈을 전파하고 교육할 수 있습니다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토합니다.
제4장 개인정보침해사고의 관리
제18조 개인정보침해사고의 보고
개인정보보호책임자는 1등급 사고의 경우 발생 즉시 및 수시로 그 진행 현황을 대표자에게 보고합니다.
제19조 개인정보침해사고의 현황 관리
개인정보보호책임자는 개인정보침해사고 현황을 분석하여 추가적인 개선대책이 필요한 경우 개선 대책을 마련하여 시행한다. 개선 대책에는 교육자료 활용 등을 포함할 수 있다.
제5장 개인정보의 유출.침해시 처리방안
제20조 개인정보유출 통지시기 및 항목
① 개인정보보호담당자는 유출 사고가 실제로 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 합니다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응 조치 및 피해 구제 절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처
② 개인정보보호담당자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우 이에 대한 과실 유무를 입증해야 합니다.
③ 개인정보보호담당자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있습니다.
제21조 개인정보 유출 통지 방법
① 개인정보보호담당자는 정보주체에게 제20조 제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 5일 이내에 정보주체에게 알려야 합니다.
② 개인정보 보호담당자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제20조 제1항 각 호의 사항을 공개할 수 있습니다.
제22조 개인정보 유출 보고 절차
① 개인정보보호담당자는 정보주체에 관한 개인정보 유출 내용 및 조치 결과를 5일 이내에 개인정보보호위원회 또는 KISA에 보고하여야 합니다. 다만, 1만 명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 개인정보보호법 시행령 제39조 제2항 각 호의 전문기관 중 어느 하나에 신고해야 합니다.
② 제1항에 따른 신고는 [붙임4] “개인정보 유출신고서”를 작성하여 공문으로 신고해야 합니다.
③ 개인정보보호담당자는 전자우편, 모사전송 또는 인터넷 사이트를 통하여 유출 보고 또는 신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제20조 제1항 각 호의 사항을 신고한 후, [붙임4] “개인정보 유출신고서”를 제출할 수 있습니다. 대표전화 : (02)1577-4708
한국인터넷진흥원(privacy.kisa.or.kr) 전화 : 118(ARS 내선 2번) / Fax: 02-405-4789 / 메일: privacy@kisa.or.kr
④ 유출 통지는 서면, 전자우편, 팩스, 전화, 문자 전송 등의 방법으로 정보주체에게 개별 통지해야 하며, 1만 명 이상 개인정보 유출 시에는 개별 통지와 함께 홈페이지에 유출 통지 내용(5개 항목)을 7일 이상 게시해야 합니다.
제23조 개인정보 침해 신고자의 보호
① 개인정보 침해 신고자의 신분은 침해사고 대응에 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 됩니다.
② 개인정보 침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 합니다.
제24조 개인정보 침해 신고에 대한 대응
개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해 사실을 신고한 경우, 해당 기관이 사실의 조사ㆍ확인을 통해 필요한 조치를 취하므로 사실조사에 적극 협조해야 합니다.
제25조 개인정보 침해 구제 절차
개인정보 침해 구제 절차는 다음과 같습니다.
① 개인정보 침해에 대한 신고(☏118, privacy.kisa.or.kr)
② 개인정보침해신고센터의 사실조사(서면, 방문조사 등)
③ 사실조사 결과 통보 및 위법 사실 발견 시 조치(수사 의뢰, 과태료 등)
④ 손해배상, 침해 행위 중지, 재발 방지 등에 대한 분쟁 조정(☏118, privacy.kisa.or.kr)
-동일 피해를 입은 정보주체가 50명 이상인 경우 집단분쟁조정 신청 가능
⑤ 분쟁 조정위원회 자료 조사 및 조정안 작성
⑥ 조정안 제시(당사자들이 조정안 수용 시 재판상 화해의 효력을 갖음)
⑦ 분쟁 조정이 실패할 경우 민사소송 또는 단체 소송 제기 가능(관할 지방법원)
-단체소송은 권리침해행위의 금지·중지를 구하는 소송
제6장 회사의 연락처
회사의 상호 및 주소 등은 다음과 같습니다.
1. 상호: ㈜커피빈코리아
2. 대표자: 감종철
3. 주소: 서울특별시 강남구 봉은사로 99길 7
4. 대표전화: (02)1577-4708
개정 전 고지 의무
현 개인정보 유출ㆍ침해 사고 대응 법령, 정책 또는 보안 기술의 변경에 따라 내용 추가, 삭제 및 수정이 있을 시에는 개정 최소 7일 전부터 홈페이지의 '공지사항'을 통해 고지합니다. 다만, 이용자 권리의 중대한 변경을 개정하는 경우에는 적용일로부터 30일 전까지 홈페이지에 공시하고 회원이 입력한 가장 최근의 이메일로 전송하는 방법 등으로 회원에게 고지합니다. 변경된 방침은 고지한 적용일로부터 효력이 발생합니다.
부칙 시행일
이 지침은 2025년 8월 1일부터 시행합니다.
제1조 목적
(주)커피빈 코리아(이하 '회사')는 개인정보 유출ㆍ침해 사고 발생 시 신속하고 체계적인 대응 및 처리 방법을 정하고, 이를 위한 사전 준비 사항을 규정함을 목적으로 합니다.
제2조 적용범위
본 지침은 회사의 개인정보를 취급하는 회사 내부 임직원(계약직 등 비정규직 포함)을 대상으로 합니다.
제3조 용어정의
본 지침에서 사용하는 용어의 정의는 다음과 같습니다.
① “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말합니다.
② “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.
③ “개인정보보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말합니다.
④ “개인정보보호관리자”란 개인정보보호책임자를 보좌하여 개인정보보호 업무를 실질적으로 수행하고 개인정보 침해사고 대응팀을 운영하는 자를 말합니다.
⑤ “개인정보보호담당자”란 개인정보 처리 업무를 담당하는 자로, 개인정보 침해사고를 접수하고 초기 대응을 수행하는 자를 말합니다.
⑥ “개인정보취급자”란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자로서 직원, 파견근로자, 시간제근로자 등을 말합니다.
⑦ “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말합니다.
⑧ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다.
⑨ “개인정보의 유출”이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말합니다.
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖에 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 그 밖에 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
제2장 개인정보 침해사고 대응에 관한 역할
제4조 개인정보보호책임자
① 개인정보보호책임자는 개인정보 유출ㆍ침해 사고의 예방, 처리 및 재발 방지 전반을 총괄 관리합니다.
② 개인정보보호책임자는 개인정보 침해사고 발생 시 개인정보보호관리자에게 대응팀 소집을 지시하고, 사고 해결을 위한 최종 의사결정을 합니다.
제5조 개인정보보호관리자
① 개인정보보호관리자는 개인정보 침해사고 대응팀의 실무 운영을 담당합니다.
② 개인정보보호관리자는 사고 발생 시 개인정보보호담당자와 협력하여 사고를 분석하고 대응 및 복구 조치를 총괄합니다.
제6조 침해사고 처리책임자
해당 침해사고의 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보 침해사고 대응팀과 협력하여 사고를 해결합니다.
제7조 개인정보보호담당자
① 개인정보보호담당자는 개인정보 침해사고를 접수하고, 이 지침에 따라 사고 등급을 분류하여 초기 대응 절차를 개시합니다.
② 개인정보 침해 기록을 관리하고, 필요한 경우 관련자 및 기관에 보고합니다.
제8조 정보보안담당자
정보보안담당자는 개인정보 침해사고 발생 시 기술적인 분석과 보안 강화 방안을 제공합니다.
제9조 전 직원
회사 임직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해 사고가 발생한 것을 인지한 경우, 지체 없이 개인정보보호담당자에게 신고해야 합니다.
제3장 침해사고의 분류 및 대응 절차
제10조 개인정보 침해의 분류
개인정보 침해사고는 다음과 같이 3등급으로 분류합니다.
| 침해등급 | 예시 | 비고 |
| 1등급 | 해킹, DDOS, 내부자에 의한 개인정보 유출 등 | |
| 2등급 | 개인정보취급 권한이 없는 직원이 개인정보를 취급하는 경우, 개인정보 수집시 동의없이 개인정보를 수집/이용 하는 경우 등 | |
| 3등급 | 주요 개인정보(고유식별번호 등) 암호화 미실시, 개인정보 보유목적 달성 후 미파기 등 |
제11조 개인정보 침해 예방 및 탐지
① 개인정보보호담당자는 웹사이트를 통한 개인정보 유출을 예방하기 위해 개인정보 유출 차단 시스템을 운영ㆍ관리합니다.
② 게시판 등에 자료를 게재할 때 개인정보 유출에 대한 주의를 환기시키기 위한 경고를 제공해야 합니다.
③ 개인정보보호담당자는 연 1회 웹사이트의 개인정보 노출 취약점 점검을 시행하고 그 결과를 개인정보보호책임자에게 보고합니다.
제12조 개인정보 침해의 신고
① 회사 임직원(계약직 등 비정규직 포함)은 취급하는 개인정보에 대해 이 지침 제10조에서 정의한 침해가 발생한 것을 인지하거나 의심되는 경우, 지체 없이 개인정보보호담당자에게 신고해야 합니다.
② 개인정보 침해사고 발생 시 고의적으로 신고를 누락한 경우, 개인정보보호책임자는 관련자에 대한 처분(징계 등)을 요청할 수 있습니다.
제13조 개인정보 침해사고의 접수
① 개인정보보호담당자는 개인정보 침해사고를 접수한 경우 [붙임1] “개인정보 침해사고 관리대장”에 사고 접수를 기록합니다.
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고합니다.
③ 개인정보보호관리자는 개인정보보호책임자의 지시에 따라 해당 침해사고의 분석, 대응, 복구에 필요한 담당자를 지정하여 개인정보 침해사고 대응팀을 구성합니다. 필요시 업무담당자, 외부 전문가 등이 포함될 수 있습니다.
④ 2, 3등급 침해의 경우 개인정보보호책임자는 개인정보보호관리자와 협의하여 대응팀을 구성하지 않을 수 있습니다.
⑤ 개인정보보호책임자는 필요하다고 판단될 경우 외부 전문가에게 분석을 의뢰할 수 있습니다.
제14조 침해사고의 분석
① 개인정보보호관리자는 침해 사실 여부를 확인하고, 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사합니다.
② 개인정보보호관리자는 필요한 경우 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집합니다.
제15조 침해사고의 대응 및 복구
① 1등급의 경우, 개인정보보호관리자는 유출된 개인정보를 파기 또는 회수하기 위한 조치를 즉시 취합니다.
② 2등급의 경우, 개인정보보호관리자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나, 정보주체의 사후 동의를 받아 근거를 마련합니다.
③ 3등급의 경우, 개인정보보호관리자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취합니다.
④ 개인정보보호관리자는 즉각적인 조치가 가능한 경우 재발 방지 조치를 취합니다.
제16조 처리 결과 보고 및 사후 관리
① 개인정보보호관리자는 [붙임2] “개인정보 침해사고 처리보고서”를 작성하여 개인정보보호책임자에게 제출합니다.
② 개인정보보호책임자는 개인정보 침해사고 처리보고서를 검토하고 승인합니다.
제17조 침해사고 사후분석
① 개인정보보호관리자는 처리보고서 제출 후 30일 이내에 근본 원인 분석, 교훈 및 예방을 위한 개선 대책을 마련하여 개인정보보호책임자에게 제출합니다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정합니다.
③ 개인정보보호책임자는 필요하다고 판단될 경우 사고의 교훈을 전파하고 교육할 수 있습니다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토합니다.
제4장 개인정보침해사고의 관리
제18조 개인정보침해사고의 보고
개인정보보호책임자는 1등급 사고의 경우 발생 즉시 및 수시로 그 진행 현황을 대표자에게 보고합니다.
제19조 개인정보침해사고의 현황 관리
개인정보보호책임자는 개인정보침해사고 현황을 분석하여 추가적인 개선대책이 필요한 경우 개선 대책을 마련하여 시행한다. 개선 대책에는 교육자료 활용 등을 포함할 수 있다.
제5장 개인정보의 유출.침해시 처리방안
제20조 개인정보유출 통지시기 및 항목
① 개인정보보호담당자는 유출 사고가 실제로 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 합니다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응 조치 및 피해 구제 절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처
② 개인정보보호담당자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우 이에 대한 과실 유무를 입증해야 합니다.
③ 개인정보보호담당자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있습니다.
제21조 개인정보 유출 통지 방법
① 개인정보보호담당자는 정보주체에게 제20조 제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 5일 이내에 정보주체에게 알려야 합니다.
② 개인정보 보호담당자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제20조 제1항 각 호의 사항을 공개할 수 있습니다.
제22조 개인정보 유출 보고 절차
① 개인정보보호담당자는 정보주체에 관한 개인정보 유출 내용 및 조치 결과를 5일 이내에 개인정보보호위원회 또는 KISA에 보고하여야 합니다. 다만, 1만 명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 개인정보보호법 시행령 제39조 제2항 각 호의 전문기관 중 어느 하나에 신고해야 합니다.
② 제1항에 따른 신고는 [붙임4] “개인정보 유출신고서”를 작성하여 공문으로 신고해야 합니다.
③ 개인정보보호담당자는 전자우편, 모사전송 또는 인터넷 사이트를 통하여 유출 보고 또는 신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제20조 제1항 각 호의 사항을 신고한 후, [붙임4] “개인정보 유출신고서”를 제출할 수 있습니다. 대표전화 : (02)1577-4708
한국인터넷진흥원(privacy.kisa.or.kr) 전화 : 118(ARS 내선 2번) / Fax: 02-405-4789 / 메일: privacy@kisa.or.kr
④ 유출 통지는 서면, 전자우편, 팩스, 전화, 문자 전송 등의 방법으로 정보주체에게 개별 통지해야 하며, 1만 명 이상 개인정보 유출 시에는 개별 통지와 함께 홈페이지에 유출 통지 내용(5개 항목)을 7일 이상 게시해야 합니다.
제23조 개인정보 침해 신고자의 보호
① 개인정보 침해 신고자의 신분은 침해사고 대응에 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 됩니다.
② 개인정보 침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 합니다.
제24조 개인정보 침해 신고에 대한 대응
개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해 사실을 신고한 경우, 해당 기관이 사실의 조사ㆍ확인을 통해 필요한 조치를 취하므로 사실조사에 적극 협조해야 합니다.
제25조 개인정보 침해 구제 절차
개인정보 침해 구제 절차는 다음과 같습니다.
① 개인정보 침해에 대한 신고(☏118, privacy.kisa.or.kr)
② 개인정보침해신고센터의 사실조사(서면, 방문조사 등)
③ 사실조사 결과 통보 및 위법 사실 발견 시 조치(수사 의뢰, 과태료 등)
④ 손해배상, 침해 행위 중지, 재발 방지 등에 대한 분쟁 조정(☏118, privacy.kisa.or.kr)
-동일 피해를 입은 정보주체가 50명 이상인 경우 집단분쟁조정 신청 가능
⑤ 분쟁 조정위원회 자료 조사 및 조정안 작성
⑥ 조정안 제시(당사자들이 조정안 수용 시 재판상 화해의 효력을 갖음)
⑦ 분쟁 조정이 실패할 경우 민사소송 또는 단체 소송 제기 가능(관할 지방법원)
-단체소송은 권리침해행위의 금지·중지를 구하는 소송
제6장 회사의 연락처
회사의 상호 및 주소 등은 다음과 같습니다.
1. 상호: ㈜커피빈코리아
2. 대표자: 감종철
3. 주소: 서울특별시 강남구 봉은사로 99길 7
4. 대표전화: (02)1577-4708
개정 전 고지 의무
현 개인정보 유출ㆍ침해 사고 대응 법령, 정책 또는 보안 기술의 변경에 따라 내용 추가, 삭제 및 수정이 있을 시에는 개정 최소 7일 전부터 홈페이지의 '공지사항'을 통해 고지합니다. 다만, 이용자 권리의 중대한 변경을 개정하는 경우에는 적용일로부터 30일 전까지 홈페이지에 공시하고 회원이 입력한 가장 최근의 이메일로 전송하는 방법 등으로 회원에게 고지합니다. 변경된 방침은 고지한 적용일로부터 효력이 발생합니다.
부칙 시행일
이 지침은 2025년 8월 1일부터 시행합니다.
