2020. 7.  16.

충청남도공주교육지원청공주도서관

- 1 -

차   례

제1장 총칙

제1조(목적)                                                         1   

제2조(적용범위)                                                     1

제3조(용어 정의)                                                    1 

제2장 개인정보 보호조직에 관한 구성 및 운영

제4조(개인정보보호 조직 구성·운영)                                 3

제5조(개인정보보호 책임자, 분야별 보호책임 및 담당자의 지정)        3

제6조(개인정보보호 책임자의 역할과 책임)                            3 

제7조(개인정보 분야별 보호 책임자의 역할과 책임 )                   4

제8조(개인정보 취급자의 범위 및 역할과 책임)                        4

제3장 개인정보의 기술적·관리적·물리적 보호조치

제9조(접근 권한의 관리)                                             4

제10조(비밀번호)                                                    5

제11조(접근통제)                                                    5

제12조(개인정보의 암호화)                                           6

제13조(접속기록 보관 및 점검)                                       6

제14조(악성 프로그램 등 방지)                                       7 

제15조(관리용 단말기의 안전조치)                                    7

제16조(물리적 안전조치)                                             7

제4장 개인정보 보호 교육

제17조(개인정보보호 교육 계획의 수립)                               7

제18조(개인정보보호 교육의 실시)                                    8 

제5장 개인정보 파기 계획 및 절차

제19조(개인정보 파기)                                               8

- 2 -

제20조(파기절차)                                                    8

제21조(파기기한)                                                    8

제22조(파기방법)                                                    9

제6장 개인정보 유출사고 대응 계획 수립 및 시행

제23조(개인정보 유출 등의 신고체계)                                9

제7장 목적 외 이용 및 제3자 제공 처리절차

제24조(목적 외 이용 및 제3자 제공)                                 9 

제8장 수탁자 관리 및 감독

제25조(개인정보 처리업무 위탁관리)                                10

제9장 개인영상정보 운영 및 관리

제26조(설치목적)                                                  10 

제27조(개인 영상 정보보호 책임자 및 접근 권한자의 지정)           10 

제28조(개인 영상 정보의 운용관리)                                 10 

제10장 정보 주체의 권리 보장 처리 절차

제29조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)   11

제30조(개인정보 열람)                                             11 

제31조(개인정보 정정·삭제)                                       12 

제32조(개인정보 처리정지 등)                                      12 

제33조(권리행사의 방법 및 절차)                                   13 

[별첨 1] 개인정보 보호조직 구성                                     14

[별첨 2] 연간 개인정보보호 교육 계획                                14

[별첨 3] 개인정보 파기 절차                                         15

[별첨 4] 정보시스템 저장매체 및 자료별 파기 방법                    15

[별첨 5] 개인정보 침해사고 대응 매뉴얼                              16

[별첨 6] 목적 외 이용 및 제3자 제공 처리 절차                       29 

[별첨 7] 개인정보 수탁업체(수탁자) 관리 및 감독                     32

[별첨 8] 개인정보 처리단계별 준수사항 및 위반시 벌칙사항            33 

[별지 제1호 서식] 개인정보파일 파기 요청서                          34 

- 3 -

[별지 제2호 서식] 개인정보파일 파기 관리대장                        35 

[별지 제3호 서식] 개인정보의 목적 외 이용 및 제3자 제공 대장        36

[별지 제4호 서식] 개인정보 열람, 정정·삭제, 처리정지 요구서        37

[별지 제5호 서식] 개인정보 열람, 일부열람, 열람연기, 열람거절 통지서   38

[별지 제6호 서식] 개인정보 정정·삭제, 처리정지 요구에 대한 결과 통지서  39

[별지 제7호 서식] 위임장                                            40

[별지 제8호 서식] 개인정보 열람 등 요구 결정 이의신청서             41 

[별지 제9호 서식] 표준 개인정보처리위탁 계약서(안)                  42

[별지 제10호 서식] 개인정보 보호 서약서                            43

- 4 -

제1장 총칙

제1조(목적)

개인정보보호 내부 관리계획은 개인정보 보호법 제29조(안전조치의무) 및 같은 법 시행령 제30조(개인정보의 안전성 확보 조치)의 내부 관리계획 수립 및 시행 의무에 따라 제정된 것으로 충청남도공주교육지원청공주도서관(이하 공주도서관)이 취급하는 개인정보를 체계적으로 관리하여, 개인정보처리자가 개인정보를 처리함에 있어 분실, 도난, 유출, 변조, 훼손, 오‧남용 등이 되지 아니하도록 안전성을 확보하기 위한 최소한의 기술적·관리적·물리적 조치 계획을 수립하는 것을 목적으로 한다.

제2조(적용범위)

이 내부 관리계획은 정보통신망을 통하여 수집·이용·제공 또는 관리되는 개인정보 뿐만 아니라, 서면 등 정보통신망 이외의 수단을 통해서 수집·이용·제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 직원 및 외부업체 직원에 대해서도 적용한다.

제3조(용어 정의)

본 계획에서 사용하는 용어의 정의는 다음 각 호와 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 

4. “개인정보 파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “개인정보보호 책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조 제2항 및 교육부 개인정보보호 지침 제21조에 해당하는 자를 말한다.

7. “개인정보보호 담당자”란 개인정보보호 책임자가 위임한 업무와 기타 관련 업무를 수행하는 자를 말한다.

8. “분야별 책임자”란 개인정보를 취급하는 각 부서의 장 및 영상정보처리기기 설치·운영

- 1 -

을 담당하는 부서의 장을 말한다.

9. “개인정보 취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자(임시직, 파견근로자, 시간제 근로자 등 포함)를 말한다.

10. “수탁자”란 개인정보 처리업무를 수탁받아 처리하는 자를 말한다.

11. “개인정보 처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템으로 나이스, 에듀파인, 홈페이지, 전자우편 등을 말한다.

12. “고유 식별정보”란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다.

13. “민감정보”란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보와 유전자 검사 등의 결과로 얻어진 유전정보, 범죄경력자료 등에 관한 정보를 말한다.

14. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

15.  “정보통신망”이란 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.

16. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.

17. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용기기를 말한다.

18. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다. 

19. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.

20. “접속기록”이란 개인정보 취급자 등이 개인정보 처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보 처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.

21. “관리용 단말기”란 기관 내에 설치된 정보보호 시스템 및 영상정보처리기기의 관리, 운영, 유지보수 등의 목적을 위해 별도로 지정된 PC(단말기)를 말한다.

- 2 -

제2장 개인정보 보호조직에 관한 구성 및 운영

제4조(개인정보보호 조직 구성 운영)

① 개인정보처리자는 개인정보 보호를 위하여 조직을 구성 운영한다.

② 개인정보 보호조직 구성은 [별첨 1]과 같이 구성·운영 한다.

제5조(개인정보보호 책임자, 분야별 보호책임 및 담당자의 지정)

① 다음 각 호의 해당하는 지위에 있는 자를 개인정보보호 책임자로 당연직 임명한다.

가. 개인정보보호 책임자(총괄): 도서관장

나. 개인정보보호 분야별 책임 및 담당자: 당연직 

성  명	개인정보보호 책임 및 담당 분야	비  고
김 무 령	도서대출회원, 독서문화진흥행사 관련
김 완 규	직원, 계약직, 시간제 관리자, 외부용역업체 직원	CCTV, 지문인식 포함
김 소 정	홈페이지, 평생교육, 독서진흥 프로그램, 사회복무요원

제6조(개인정보 보호책임자의 역할과 책임)

① 개인정보보호 책임자는 보유한 개인정보보호를 위하여 다음 각 호의 임무를 수행한다.

1. 내부관리계획의 수립 및 시행

2. 개인정보 처리 실태의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용‧남용 방지를 위한 내부통제시스템의 구축

5. 개인정보보호 교육 계획의 수립 및 시행

6. 개인정보 파일의 보호 및 관리‧감독

7. 개인정보 처리방침의 수립‧변경 및 시행

8. 개인정보보호 관련 자료의 관리

9. 개인정보 파일의 보유 기간 산정

10. 처리 목적이 달성되거나 보유 기간이 지난 개인정보의 파기

11. 기타 개인정보보호에 필요한 사항

② 개인정보보호 책임자는 개인정보 취급자를 최소한으로 제한하여 지정하고 수시로 관리‧감독하여야 하며, 교직원에 대한 교육 및 보안 서약 등을 통해 개인정보 침해사고를 사전에 예방한다.

③ 개인정보보호 책임자는 개인정보 관련 업무의 효율적 운영을 위하여 교직원 중 1인 이상을 개인정보보호 담당자로 임명한다.

④ 개인정보보호 담당자는 개인정보보호 책임자를 보좌하여 실질적인 개인정보보호 업무를 담당한다. 

- 3 -

제7조(개인정보 분야별 보호 책임자의 역할과 책임)

분야별 보호책임자는 해당부서의 다음 각 호의 업무를 위임받아 수행할 수 있다. 

1. 개인정보 처리 실태의 정기적인 조사 및 개선

2. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

3. 개인정보 파일의 보호 및 관리·감독

4. 개인정보 처리방침의 수립·변경 및 시행

5. 개인정보보호 관련 자료의 관리

6. 처리 목적이 달성되거나 보유 기간이 지난 개인정보의 파기

7. 그 밖에 해당 부서의 개인정보보호를 위해 필요한 사항 등

제8조(개인정보 취급자의 범위 및 역할과 책임)

① 개인정보 취급자의 범위는 다음과 같다.

1. 정보 주체의 개인정보를 처리하는 업무를 수행하는 자를 말하며, 모든 교직원 및 계약직, 시간제 근로자 및 계약에 의한 외부용역업체 직원 등 모두를 포함한다.

② 개인정보 취급자는 개인정보보호와 관련하여 다음과 같은 역할 및 책임을 이행한다.

1. 개인정보보호 활동 참여

2. 내부 관리계획의 준수 및 이행

3. 개인정보의 기술적·관리적·물리적 안전조치 기준 이행

4. 개인정보 파일 대장 관리

5. 정보주체의 민원 신청접수 및 처리(열람, 정정·삭제)

6. 교직원 또는 제 3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검 등

7. 월 1회 사이버보안 진단의 날 PC 점검 및 고유 식별정보 정비 및 암호화 조치

8. 기타 개인정보보호를 위해 필요한 사항의 이행

제3장 개인정보의 기술적·관리적·물리적 보호조치

제9조(접근 권한의 관리)

① 개인정보처리자는 개인정보 처리시스템에 대한 접근 권한을 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여한다. 

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체없이 개인정보 처리시스템의 접근 권한을 변경 또는 말소한다.

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록 관리하고, 기록을 최소 3년간 보관한다.

④ 개인정보처리자는 개인정보 처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우 개인

- 4 -

정보 취급자별로 사용자 계정을 발급하여야 하며, 다른 개인정보 취급자와 공유되지 않도록 한다.

⑤ 개인정보처리자는 정당한 권한 보유자만 개인정보 처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 5회 이상 잘못 입력한 경우 개인정보 처리시스템에 대한 접근을 제한하는 등의 기술적 조치를 취한다.

제10조(비밀번호)

① 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 준수하여 적용한다.

② 비밀번호 작성규칙은 표와 같다.

③ 개인정보가 포함된 문서 등에는 파일별 비밀번호를 부여한다.

제11조(접근통제)

① 개인정보처리자는 개인정보 처리시스템을 운영할 경우 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 사항을 포함한 시스템을 설치·운영한다.

1. 개인정보 처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소로 제한하여 인가받은 자만 접근할 수 있도록 제한한다.

2. 개인정보 처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지하고 대응한다.

② 개인정보처리자는 개인정보 취급자가 정보통신망을 통해 외부에서 개인정보 처리시스템에 접속하려는 경우에는 가상사설망이나 전용선을 이용하여 접속할 수 있도록 한다.

③ 개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보 처리시스템, 업무용 컴퓨터, 모바일기기와 관리용 단말기 등에 접근통제 등에 관한 조치를 취한다.

④ 개인정보처리자는 고유 식별정보를 처리할 경우 인터넷 홈페이지를 통하여 고유 식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 취약점 발견 시 보완조치를 취

- 5 -

한다.

⑤ 개인정보처리자는 개인정보 취급자가 일정 시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 기술적 조치를 취한다.

⑥ 개인정보처리자가 업무용 컴퓨터를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS : Operating System)나 보안 프로그램 등에서 제공하는 접근통제 기능을 이용한다.

⑦ 개인정보처리자는 업무용 모바일 기기를 사용할 경우 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 취한다.

제12조(개인정보의 암호화)

① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체(USB, CD) 등을 통하여 전달할 경우 암호화하여 전달한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호는 복호화되지 않도록 일방향 암호화하여 저장한다.

③ 개인정보처리자는 고유 식별정보를 저장 할 경우 암호화하여야 한다. 특히, 업무용 컴퓨터(USB포함)에 고유 식별정보를 저장하여 관리하는 경우, 개인정보보호 프로그램(PC필터)으로 관리하고 암호화한다.

④ 개인정보를 암호화할 경우 안전한 암호 알고리즘으로 암호화하여 저장한다.

⑤ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립・시행하여야 하며 ｢개인정보의 암호화 조치 안내서, 한국인터넷진흥원｣를 준용하여 사용 할 수 있다.

제13조(접속기록 보관 및 점검)

① 개인정보처리자는 개인정보 처리시스템에 접속한 기록을 1년 이상 보관 및 관리한다. 다만, 5만명 이상의 정보 주체에 관하여 개인정보를 처리하거나, 고유 식별정보 또는 민감정보를 처리하는 개인 정보처리 시스템의 경우에는 2년 이상 보관·관리하여야 한다.

-  접속기록 보관내용: 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등

② 개인정보처리자는 개인정보의 오용·남용·분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인 정보처리 시스템의 접속기록 안전하게 보관하며, 월 1회 이상 점검하여야 한다. 특히 아래와 같이 비정상적으로 개인정보를 처리하거나 다운로드 한 것이 발견되었을 경우에는 그 사유를 확인하여야 한다.

1. 계정: 접근 권한이 부여되지 않은 계정으로 접속한 행위 등

2. 접속일시: 출·퇴근 시간 전후, 새벽 시간, 휴무일 등 업무시간 외에 접속한 행위 등

3. 접속지 정보: 인가되지 않은 단말기 또는 지역(IP)에서 접속한 행위 등 

4. 처리한 정보주체 정보: 특정 정보주체에 대하여 과도하게 조회, 다운로드 등의 행위 등

- 6 -

5. 수행업무: 대량의 개인정보에 대한 조회, 정정, 다운로드, 삭제 등의 행위 등

6. 그 밖에 짧은 시간에 하나의 계정으로 여러 지역(IP)에서 접속한 행위 등 

③ 개인정보처리자는 개인정보 취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관한다.

제14조(악성 프로그램 등 방지)

개인정보 취급자는 악성 프로그램으로부터 정보 주체의 개인정보가 손상‧유출이 되지 않도록 업무용 컴퓨터에 백신 소프트웨어 등의 보안 프로그램을 설치‧운영하여야 하며, 다음 사항을 준수한다.

1. 자동 업데이트 기능을 사용하여 일일 1회 이상 업데이트 실시로 최신의 상태 유지

2. 악성 프로그램 관련 경보 발령 시 또는 사용 중인 응용프로그램이나 운영체제에 대한 보안 업데이트 공지 시 즉시 이에 따른 업데이트 실시

3. 악성프로그램 발견 시 즉시 삭제 등 대응 조치 실시

제15조(관리용 단말기의 안전조치)

개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대하여 다음 사항에 대한 안전조치를 취한다.

1. 비인가의 관리용 단말기 접근 제한으로 임의 조작을 못하도록 조치

2. 목적 내에서만 사용될 수 있도록 접근제한 및 접근통제 조치

3. 관리용 단말기에 개인정보 저장금지 및 방치 금지

4. 백신프로그램 설치 및 주기적 업데이트로 악성프로그램 등 감염 방지 조치

제16조(물리적 안전조치)

① 개인정보처리자는 전산실, 평가실, 자료보관실 등 개인정보를 보관하는 장소를 별도로 두고 있는 경우에는 물리적 장소에 대한 출입통제 절차를 수립·운영 한다.

② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관한다.

③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련한다. 다만, 별도의 개인정보처리시스템을 운영하지 않고 업무용 컴퓨터를 이용하여 개인정보를 처리하는 경우에는 적용대상에서 제외한다.

제4장 개인정보 보호 교육

제17조(개인정보보호 교육 계획의 수립)

① 개인정보보호 책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육 계획을 

- 7 -

수립·운영한다.

1. 교육목적 및 대상

2. 교육내용

3. 교육 일정 및 방법

② 개인 정보보호 책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 다음해 교육 내용에 반영하여 수립한다. 

③ 연간 개인 정보보호 교육 계획은 [별첨 2]와 같이하고, 개별 교육을 실시할 경우 별도의 세부교육 계획을 수립하여 실시한다.

제18조(개인정보보호 교육의 실시)

① 개인정보보호 책임자는 개인정보보호에 대한 직원들의 인식 제고를 위해 노력해야 하며, 개인정보의 오‧남용 또는 유출 등을 적극 예방하기 위해 교직원을 대상으로 매년 정기적으로 연1회 이상 및 개인정보 보호법의 개정 시 개인정보보호 교육을 실시한다.

② 교육 방법은 집합 교육뿐만 아니라, 인터넷 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문 강사를 초빙하여 교육을 실시할 수 있다.

③ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보보호 책임자는 회의 등을 통해 수시 교육을 실시할 수 있다.

제5장 개인정보 파기 계획 및 절차

제19조(개인정보 파기)

개인정보처리자는 개인정보의 보유기간 경과, 처리목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기하여야한다. 다만, 다른 법률에 따라 보존하여야 하는 경우에는 관련법에 따라 처리한다.

제20조(파기절차) 

개인정보취급자는 보유기간 경과 및 처리목적을 달성한 개인정보파일은 [별지 제1호 서식]에 기재하여 개인정보 보호담당자 및 개인정보 보호책임자의 승인을 받아 개인정보를 파기하고, [별지 제2호 서식]에 기록 관리하여야 한다. 세부적인 파기 절차는 [별첨 3]에 의한다.

제21조(파기기한) 

개인정보는 개인정보의 보유기간이 경과된 경우 그리고 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 날로부터 지체없이(5일 이내)에 그 개인정보를 파기한다. 

- 8 -

제22조(파기방법) 

① 개인정보취급자는 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기하고 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 파기하여야 한다. 세부적인 파기 방법은 [별첨 4]에 따른다.

② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 취한다.

1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독

2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제

제6장 개인정보 유출사고 대응 계획 수립 및 시행

제23조(개인정보 유출 등의 신고체계)

① 개인정보 취급자는 1명이라도 정보주체에 관한 개인정보가 유출된 경우에는 즉시 개인정보보호 책임자에게 보고하고, 개인정보보호 책임자는 유출내용 및 조치 결과를 5일 이내에 충청남도교육청 개인정보보호 책임자에 신고한다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

② 개인정보보호 책임자는 1천 명 이상의 개인정보가 유출된 경우에는 법 제34조(개인정보 유출 통지 등)제3항에 따라 행정안전부장관 또는 시행령 제39조(개인정보 유출 신고의 범위 및 기관) 제2항에 따른 한국인터넷진흥원에 신고한다.

③ 그 외 개인정보 유출통지 방법과 신고 관련 세부적인 내용은 [별첨 5]에 따른다.

제7장 목적 외 이용 및 제3자 제공 처리절차

제24조(목적 외 이용 및 제3자 제공)

① 개인정보처리자는 개인정보의 목적 외 이용 및 제3자 제공 처리절차를 수립하여 시행한다.

② 개인정보의 목적 외 이용 및 제3자 제공은 적법한 절차와 규정을 준수하여 제공하고, 세부적인 사항은 [별첨 6]에 따른다.

제8장 수탁자 관리 및 감독

- 9 -

제25조(개인정보 처리업무 위탁관리)

① 개인정보처리자는 개인정보 처리 업무를 위탁할 경우 수탁자 관리·감독 방안을 수립하여 시행한다.

② 개인정보 처리 업무 위탁 시 위탁계약서를 작성하여야 하며, 수탁자 관리 및 감독에 대한 세부적인 사항은 [별첨 7]에 따른다.

제9장 개인영상정보 운영 및 관리

제26조(설치목적)

공주도서관은 개인정보보호법 제25조 제1항에 의해 각 호의 목적으로 CCTV를 설치‧운영한다.

1. 시설 안전 및 화재 예방

2. 범죄 및 사고 예방

3. 차량 파손 및 도난 예방

제27조(개인 영상 정보보호 책임자 및 접근 권한자의 지정)

공주도서관은 표준 개인정보보호 지침 제41조 제1항에 따라 개인영상정보보호 책임자와 접근 권한자로 지정한다.

구   분	지 정 자	비    고
관리책임자	도서관장
접근권한자 (정)	개인정보보호 및 정보보안 담당자
접근권한자 (부)	시설관리자

제28조(개인 영상 정보의 운용관리)

① 개인영상정보는 장비의 저장능력에 따라 1주일 이상 30일 이내 보관 후 자동 삭제한다.

② 개인영상정보는 각 호의 경우를 제외하고 이용 또는 제3자에게 제공하지 않는다.

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률로 특별히 규정되었을 경우

3. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태로 인정되거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로 명백하게 정보주체 또는 제3자의 생명, 신체, 재산보호를 위하여 긴급한 필요가 있다고 인정되는 경우공주도서관은 표준 개인정보보호 지침 제41조 제1항에 따라 개인영상정보보호 책임자와 

- 10 -

접근 권한자로 지정한다.

4. 통계작성 및 학술연구를 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 경우

5. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

6. 법원의 재판업무 수행을 위하여 필요한 경우

7. 형(形) 및 감호, 보호처분의 집행을 위하여 필요한 경우

③ 정보주체의 동의 또는 법령 등에 의하여 개인영상정보를 수집하여 목적 이외의 용도로 이용하거나 제3자에게 제공하는 경우에는 개인영상정보 관리대장에 기록하여 관리한다.

제10장 정보주체의 권리 보장 처리 절차

제29조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)

① 개인정보처리자가 정보 주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보

주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보 주체에게 알려야 한다.

1. 개인정보의 수집 출처

2. 개인정보의 처리 목적

3. 개인정보 처리의 정지를 요구할 권리가 있다는 사실

② 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 

1. 요구하는 개인정보가 개인정보 파일의 등록 및 공개에 해당하지 않는 개인정보

파일에 포함되어 있는 경우

2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

제30조(개인정보 열람)

① 정보 주체가 자신의 개인정보에 대한 열람을 충남교육청에 요구하고자 할 때에는 충남교육청에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. 

② 개인정보처리자는 제1항에 따른 열람을 요구받았을 때에는 10일 내에 정보 주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보 주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체없이 열람하게 하여야 한다.

③ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.

- 11 -

1. 법률에 따라 열람이 금지되거나 제한되는 경우

2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

가. 조세의 부과·징수 또는 환급에 관한 업무

나. 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무

다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무

라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

제31조(개인정보 정정⦁삭제)

① 자신의 개인정보를 열람한 정보 주체는 개인정보 처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

② 개인정보처리자는 제1항에 따른 정보 주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체없이 그 개인정보를 조사하여 정보 주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보 주체에게 알려야 한다.

③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

④ 개인정보처리자는 정보 주체의 요구가 제1항 단서에 해당될 때에는 지체없이 그 내용을 정보 주체에게 알려야 한다.

⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보 주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.

제32조(개인정보 처리정지 등)

① 정보 주체는 개인정보 처리자에게 자신의 개인정보 처리의 정지를 요구할 수 있다.

② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체없이 정보 주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보 주체의 처리정지 요구를 거절할 수 있다.

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이

- 12 -

익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

4. 개인정보를 처리하지 아니하면 정보 주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보 주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보 주체에게 지체없이 그 사유를 알려야 한다.

④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.

제33조(권리행사의 방법 및 절차)

① 정보주체는 제29조에 따른 열람, 제30조에 따른 정정·삭제, 제31조에 따른 처리정지 등의 요구(이하 "열람등요구"라 한다)를 [별지 제4호 서식]에 따라 충남교육청에게 제출하여야 한다. 

② 개인정보처리자는 열람 제한 사유가 있을 땐 [별지 제5호 서식]에 따라 정보 주체에게 그 사실을 알려야 한다. 

③ 개인정보처리자는 정정·삭제, 처리정지에 대한 통보를 [별지 제6호 서식]에 따라 정보 주체에게 알려야 한다. 

④ 만 14세 미만 아동의 법정대리인은 개인정보 처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.

⑤ 대리인이 정보 주체를 대리할 때에는 개인정보 처리자에게 [별지 제7호 서식] 위임장을 제출해야 한다. 

⑥ 개인정보처리자는 정보 주체가“열람등요구”를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다.

⑦ 개인정보처리자는 정보주체가 “열람등요구”에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다. 이때, [별지 제8호 서식]을 사용할 수 있다. 

- 13 -

[별첨 1] 개인정보보호 조직 구성

[별첨 2] 연간 개인정보 보호 교육 계획

일정 대상	교육 시기	교육방법	교육내용
개인정보 보호책임자	연 1회 이상	감독기관의 CPO교육 이수 또는 CPO 워크숍 참석	-  개인정보 보호 정책, 최신기술, CPO 역할과 책임 등
개인정보 보호담당자	연 1회 이상	감독기관의 교육 이수	-  개인정보 보호법 주요 내용, 개인정보 유·노출 사례 및 대응 방안 등
개인정보 취급자	상반기 하반기	자체 교육 (전 직원의 70%이상 참석)	-  개인정보보호 내부 관리계획 · 수집·이용 방법 · 목적 외 이용 및 제3자 제공 및 절차 · 개인정보 위탁, 수탁자 관리 방법 · 안전성 확보 조치 -  개인정보 침해사고 대응방법 및 절차  -  개인정보 위반 사례
전입자	전입 시	자체 교육
수탁자	연 1회 이상	수탁자 지도점검 시	-  개인정보 위탁에 따른 수탁자 책임과 의무 -  개인정보 처리방법 및 안전성 확보조치 -  위탁계약서 및 과태료 부과기준 등

- 14 -

[별첨 3] 개인정보 파기 절차 

[별첨 4] 정보시스템 저장매체 및 자료별 파기방법

㉮ 완전파괴(소각·파쇄·용해) 

㉯ 전용 소자(소자)장비 이용 저장자료 삭제

㉰ 완전포맷 3회 수행

㉱ 완전포맷 1회 수행

☞ 충청남도교육청 정보보안 기본지침(2019) [부록 2] 정보시스템 저장매체 불용처리 지침 참고

- 15 -

[별첨 5] 개인정보 침해사고 대응 매뉴얼

Ⅰ. 개요  목적 ❍ 개인정보에 대한 침해·유출 사고가 발생할 경우 체계적이고 신속한 대응을 통하여 피해를 최소화 하고자 함  적용범위 ❍ 충청남도교육청 및 각급기관(학교)에서 처리하는 개인정보(정보시스템, PC 파일, 종이, 개인정보영상처리기기 등) 침해·유출 사고에 한함. ❍ 개인정보 오·남용 등 내·외부 침해·유출 요인으로 인한 개인정보 침해·유출 사고가 발생할 경우 적용됨  관련법규 ❍ 개인정보 보호법 및 동법 시행령  ❍ 행안부 고시 표준 개인정보보호 지침 및 개인정보의 안전성 확보조치 기준 ❍ 교육부 개인정보보호 지침   개인정보 유출의 정의 ❍ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 ❍ 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 ❍ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우 ❍ 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우  개인정보 노출의 정의 ❍ 일반 인터넷 이용자가 해킹 등의 특별한 방법을 이용하지 않고, 정상적으로 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷 등에 개인정보가 방치되는 경우 Ⅱ. 침해사고 유형 및 등급  침해사고 유형 ❍ 정보주체의 동의 또는 법적 근거 없이 개인정보를 제3자에게 제공한 유형 ❍ 개인정보가 포함된 서면, 이동식 저장장치 등을 분실 또는 도난을 당한 유형 ❍ 개인정보를 사적 유용을 목적으로 유출(오·남용)한 유형 ❍ 해킹 등 외부 침투에 의해 유출된 유형 ❍ 개인정보처리시스템에 정상적인 권한이 없는 자가 접근하게 된 유형 ❍ 개인정보가 권한이 없는 자에게 잘못 전달되어 유출된 유형  침해사고 등급 ❍ 1등급 : 고유식별정보를 포함한 개인정보가 유출된 경우 ❍ 2등급 : 고유식별정보를 제외한 개인정보 1천 건 이상 유출된 경우 ❍ 3등급 : 고유식별정보를 제외한 개인정보 1천 건 미만 유출된 경우 ❍ 4등급 : 홈페이지 게시판 등 개인정보가 단순히 노출된 경우 ※ 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등급 영향도 1등급 개인을 식별할 수 있으며, 고유식별정보를 포함하여 악용할 경우 위험이 매우 큰 정보 2등급 개인을 식별할 수 있으며, 고유식별정보를 제외한 1천 건 이상의 다량의 개인정보 유출로 악용할 위험이 높은 정보 3등급 개인을 식별할 수 있으며, 고유식별정보를 제외한 1천 건 미만의 개인정보 유출로 악용할 위험이 낮은 정보 4등급 홈페이지 게시물에 단순 노출 등으로 악용할 위험이 매우 낮은 정보 Ⅲ. 침해사고 대응 및 조치  침해사고 대응 절차 ①침해사고 신고 ⇒ ②접수 및 확인 조사 ⇒ ③침해사고 대응팀 구성 ⇒ ④사고처리 ⇒ ⑤결과보고 및 개선 이행 침해‧유출 사고 인지 침해‧유출 사고 사실 확인 및 보고 침해사고  대응체계  구성 긴급조치 세부 조사 유출통지 보고서 작성보고 기술적.관리적 보완조치 󰊱 침해사고 신고 ① 공주도서관의 개인정보보호 책임자는 취급하는 개인정보에 대하여 침해가 발생한 것으로 인지한 경우 또는 민원인의 신고를 받은 경우 지체없이 지도·감독기관인 충청남도공주교육지원청 개인정보보호책임자에게 침해사고를 신고하고, ☞ 충청남도공주교육지원청은 접수된 내용을 즉시 본청에 보고할 것. ② 침해사고 신고 방법은 [붙임1] “개인정보 침해 사실 신고서”를 작성하여 지도·감독기관인 충청남도공주교육지원청에 보고한다. ③ 시간적 여유가 없거나 특별한 사정이 있는 경우, 전화로 사전 신고 후 “개인정보 침해 사실 신고서”를 제출함. 󰊲 신고 접수 ① 개인정보보호 담당자는 침해 사실 여부를 확인하고 사실로 확인될 경우 개인정보 보호 책임자에게 보고하고 ② 개인정보 침해사고를 접수한 경우 개인정보 보호책임자는 [붙임2] “개인정보 침해사고 관리대장”에 기록하여 사고를 접수한다. 󰊳 개인정보 침해 대응 체계 ① 개인정보보호 책임자는 침해사고의 유형, 등급을 파악한 후, 침해사고처리 책임자를 지정하고, 필요시 개인정보침해사고 대응팀 구성 지원하고 ② 개인정보 침해사고 대응팀은 침해사고분석, 대응 및 복구에 필요한 관련자를 지정하여 구성하며 필요시 외부 전문가의 지원을 받을 수 있다. ③ 3등급 또는 4등급 침해의 경우 개인정보보호 책임자는 침해사고처리 책임자와 협의하여 개인정보침해사고 대응팀을 구성하지 않을 수 있다. ④ 1명 이상의 정보 주체에 관한 개인정보 유출 된 경우, 유출내용 및 조치 결과를, 상급기관인 충청남도공주교육청과 충청남도교육청을 경유하여 5일 이내 교육부에 보고(단, 1천명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 한국인터넷진흥원에 신고하여야 한다.) 󰊴 침해사고의 대응 및 복구 ① 침해사고 처리책임자는 유출된 개인정보의 확산 및 추가 유출 방지를 위해 필요한 경우 긴급 조치를 취할 수 있다. -  추가유출 방지를 위한 접속경로 차단 및 취약점 점검·보완 -  유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 ② 침해사고 처리책임자는 지체없이 정보주체에게 개인정보 유출 관련 사실을 통지하고, ③ 침해사고의 규모, 경위, 방법, 원인 및 관련자를 1차 조사한 이후 ④ 필요한 경우 개인정보 침해사고 대응팀 또는 개인정보보호 책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집할 수 있다. 󰊵 결과 보고 ① 침해사고처리 책임자는 [붙임3] “개인정보 침해사고 처리보고서”를 작성하여 개인정보보호 책임자에게 보고하여야 한다. ② 개인정보보호 책임자는 “개인정보 침해사고 처리보고서”를 검토·승인하고 ③ 과실이 인정된 경우 침해사고 관련자에 대한 처분(징계 등)을 요구할 수 있다 ④  공주도서관 개인정보보호 책임자는 침해사고 조치 이후 [붙임3] “개인정보 침해사고 처리보고서” 사본과 [붙임4] “개인정보 유출 신고서”를 작성하여 충청남도공주교육지원청과 본청 개인정보보호 책임자에게 보고하여야 한다. 󰊶 개선 조치 및 사례 전파 ① 본청 개인정보보호 책임자는 개인정보 침해사고 현황을 분석하여, 개선 대책이 필요한 경우 공주도서관에 개선요구를 하고, 점검을 할 수 있다. ② 유사 사례가 발생하지 않도록 전 도서관에 사례를 전파하고, 재발방지 대책을 시행하여야 한다.  개인정보 침해사고 대응 조직  ❍ 공주도서관 개인정보 침해사고 대응 조직도 총괄 책임자 개인정보보호책임자 도서관장 … 침해사고 처리책임자 침해사고 처리지원 침해사고 처리 외부 지원 … 침해사고 발생담당자 개인정보업무담당 충청남도공주교육지원청 총무팀  (필요시 기술지원요청) ❍ 충청남도교육청 개인정보 침해사고 대응 체계도 총괄 책임자 교육부 정보보호팀 또는 본청 전산팀 개인정보 보호책임자 ・조치사항 지시 ・사고대응팀 구성 ↓↑ ・침해사고 보고 ・조치사항 보고 개인정보 침해사고 대응팀   ・사고처리 ↓↑ 행정안전부 또는 한국인터넷진흥원 사고접수  개인정보 총괄부서 ・사고처리 지원 ・개선사항 지시 ↓↑ ・침해사고 신고 사고 신고 각 부서    업무분장 및 연락체계 ❍ 본청(공주교육지원청) 개인정보보호 책임자 -  개인정보 침해사고 예방, 처리 및 재발방지 관리 -  개인정보 침해사고 발생 시, 침해사고 처리 책임자를 지정하고 개인정보 침해사고 대응팀을 구성 운영 -  침해사고 처리 책임자 기술 지원 및 자문역할 ❍ 공주도서관 개인정보보호 책임자, 분야별 개인정보보호 책임자 -  개인정보 침해사고 예방, 처리 및 재발방지 관리 -  개인정보 침해사고 발생 시, 침해사고처리 책임자 역할 수행 ❍ 개인정보 침해사고 대응팀 -  구성: 공주교육지원청의 개인정보보호 책임자가 사고분석, 대응 및 복구에 필요한 관련자를 지정하여 구성 ※ 필요시 사고 부서 업무담당자, 보안 업무담당자, 홍보 업무담당자, 외부 전문가 등 포함 가능 -  역할: 해당 침해사고 분석, 대응 및 복구에 대한 기술지원 수행. ❍ 침해사고 처리 책임자 -  침해사고 발생시 공주도서관의 개인정보보호 책임자 또는 분야별 개인정보 보호 책임자가 지정되며, 사고처리 및 재발 방지에 대한 책임을 지고 개인정보 침해사고 대응팀과 협력하여 사고처리 역할 수행 ❍ 개인정보보호 담당자 -  침해사고를 접수하고, 사고 등급을 분류하여 침해사고 대응 절차 개시 -  비상연락망을 관리하고 대응팀 연락 및 조정 담당. -  침해사고 기록을 관리하고, 개인정보보호 책임자인 관장에게 보고 ❍ 정보보안 담당자 -  침해사고가 정보보안 분야의 기술적인 분석을 요할 경우 이에 대한 기술지원 ❍ 전직원(개인정보 취급자) -  모든 직원은 개인정보에 대한 침해가 발생 한 것을 인지한 경우 개인정보 업무 분야별 책임자, 개인정보보호 책임자에게 신고  ❍ 연락체계(비상연락망 양식) 구분 소속 직위 성명 사무실 개인정보보호 책임자 공주도서관 관장 류미정 041- 855- 7120 개인정보보호 분야별책임 및 취급자 공주도서관 주무관 김무령 041- 855- 7121 주무관 이용주 041- 855- 7121 주무관 김소정 041- 855- 7121 개인정보보호 및 정보보안 담당자 공주도서관 주무관 김완규 041- 855- 7121  유출통지 방법 ❍ 개인정보 유출이 발생했을 경우 지체없이 정보주체에게 개인정보 유출 관련 사항을 통지한다. 통지방법 1. 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통해 5일 이내에 정보주체에게 고지 2. 1번의 통지방법과 동시에 홈페이지 등을 통하여도 공개할 수 있음. ※ 단, 통지 및 조치 후에도 1천명 이상의 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알기 쉽도록 7일 이상 통지내용을 게재해야 함.  통지내용 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처  통지시기 5일 이내(*유출사고 최초발생 시점과 확인된 시점 사이에 시간적 차이가 있는 경우 이에 대한 과실유무를 입증해야 함) 통지연기 1. 개인정보 유출 확산방지를 위해 필요한 경우 유출통지 연기 가능 가) 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의  접속권한 삭제·변경 또는 폐쇄 조치  나) 네트워크, 방화벽 등 대·내외 시스템 보안점검 및 취약점 보완 조치  다) 향후 수사에 필요한 외부의 접속기록 등 증거 보존 조치  라) 정보주체에게 유출 관련 사실을 통지하기 위한 유출확인 웹페이지 제작 등의 통지방법 마련 조치  마) 기타 개인정보의 유출확산 방지를 위해 필요한 기술적·관리적 조치  2. 개인정보처리자는 1번 각 항목의 조치를 취한 이후, 정보주체에게 다음 각 항목의 사실만 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있음  가) 정보주체에게 유출이 발생한 사실 나) 통지내용 중 확인된 사항  ❍ 유출통지 신고방법 신고 대상 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우  신고 시기 5일 이내(정보주체에 대한 통지 및 조치결과 신고) 신고 방법 1. 전자우편, 팩스, 인터넷 사이트를 통해 유출사고 신고 및 신고서 제출 2. 시간적 여유가 없거나 특별한 사정이 있는 경우  -  유선으로 신고 후, 유출신고서를 제출할 수 있음. 신고 내용 기관명, 통지여부, 유출된 개인정보 항목·규모, 유출 시점·경위, 유출피해 최소화 대책·조치 및 결과, 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차, 담당부서·담당자 연락처 등 신고 양식 [붙임 4] 개인정보 유출신고서 ※ 단, 1명이라도 개인정보 유출시, 조치결과를 5일 이내에 상급기관 경유하여 교육부에 보고 ❍ 유출통지 신고기관(외부) 구분 충청남도공주교육지원청 교육부 한국인터넷진흥원 전화번호 041- 850- 2335 044- 203- 6505 118(ARS 내선 1번) 팩스번호 041- 856- 6170 044- 203- 6185 061- 820- 2619 전자우편 kjk2005@cne.go.kr han4u@korea.kr privacyclean@kisa.or.kr 인터넷사이트 privacy.moe.go.kr privacy.kisa.or.kr www.privacy.go.kr  유출 통지문 예시 개인정보 유출에 대한 안내 및 사과의 말씀 개인정보 유출 사실을 통지해 드리며, 깊이 사과드립니다. 귀하의 소중한 개인정보를 안전하게 보호, 관리하고자 최선의 노력을 다해왔으나, 귀하의 개인정보가 OOOO년 O월 O일 유출되었음을 알려드리며, 진심으로 사과를 드립니다. 귀하의 개인정보는 홈페이지 서버에 저장되어 관리되어 왔으나 서버 변경 작업을 하다가 안전 조치를 다하지 못해 해킹에 의해 유출되었습니다. (유출경위 설명) 유출된 개인정보 항목은 OOO, OOOO, OOO, OOOOOO 등 총 O개입니다. (유출된 개인정보 항목) 추가적인 피래 방지를 위해 기존에 사용하시던 비밀번호를 새로운 비밀번호로 교체해주시기 당부 드립니다. 저희 기관에서는 유출 사실을 인지한 후 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 하였습니다. (개인정보처리자의 대응 조치) 피해가 발생하였거나 예상되는 경우에는 아래의 담당부서에 신고하시면 성실하게 안내와 상담을 해드리겠습니다. (피해 구제절차) 앞으로 개인정보 보호 강화를 위해 내부 관리 체계를 재검토하고 직원 교육을 강화하여, 향후 다시는 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠습니다. (개인정보처리자의 향후 대응 계획) - 피해 접수 담당 부서 : 충청남도공주교육지원청공주도서관 -  피해 접수 전화번호 : 041- 855- 7120  (피해 신고 접수 담당부서 및 연락처) 2020년 OO월 OO일 충청남도공주교육지원청공주도서관 직원 일동 Ⅳ. 피해구제  피해구제 안내 ❍ 정보주체에게 개인정보 침해‧유출 피해에 대한 피해구제, 상담 등을 문의할 수 있음을 안내 󰋼 개인정보침해신고센터 : 118번(한국인터넷진흥원) -  개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센 터 등으로 침해사실을 신고할 수 있음 -  privacy.kisa.or.kr 󰋼  개인정보분쟁조정위원회 : 1833- 6972 -  소관업무 : 개인정보 침해사실 신고, 상담 신청  -  www.kopico.go.kr  ❍ 분쟁조정 신청 안내 -  개인정보에 관한 분쟁이 발생하였을 때 소송제도의 대안으로서 제3자가 관여하거나 또는 관여 없이 당사자 쌍방의 자율적 의사 및 합의에 의하여 분쟁을 해결하는 방식  ❍ 분쟁조정 효력 -  개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우 개인정보 보호법 제47조 제5항의 규정에 따라 양 당사자 간에는 조정서와 동일한 내용의 합의(재판상의 화해)가 성립한 것으로 봅니다.  ❍ 개인정보 분쟁조정 절차 ① 신청사건의 접수 및 통보  ② 사실 확인 및 당사자 의견청취  ③ 조정 전 합의를 권고  ④ 위원회의 조정 절차 개시  ⑤ 조정의 성립  ⑥ 효력의 발생  개인정보 분쟁조정 절차   [붙임 1]     개인정보 침해 사실 신고서 담당자 관장 신고인 성명 전자우편 전화번호 (핸드폰) (선택기입) 접수 부서 부서명 성명 전화번호 신고 내용 -  수집하는 개인정보는 민원처리 목적으로만 사용되며, 관련 담당자를 제외하고는 함부로 열람할 수 없으며, 수집된 개인정보는 '민원사무처리에 관한 법률' 에 근거, 3년간 보유하고 즉시 파기합니다.  -  민원처리 시 신청인의 본인확인에 필요한 최소한의 정보는 피신청인에게 제공될 수 있습니다. -  사건처리를 위해서 필요할 경우 주민번호를 요청할 수도 있습니다. -  메일주소를 정확하게 기재하여 주시기 바랍니다. 답변은 메일을 통해 발송됩니다. 위와 같이 개인정보 침해 사실을 신고합니다. 첨부 : 년     월     일 신고인 :                  (서명 또는 인) [붙임 2]       개인정보 침해사고 관리대장 접 수 신고개요 등급 종결 일자 처리내용 비고 일시 신고자 유형 ※ 접수 일시는 신고 접수 일시를 기록 ※ 신고자 유형은 직원/민원인으로 구분 ※ 신고 개요는 신고 내용을 기록 ※ 등급은 1/2/3/4등급으로 구분 [붙임 3]      개인정보 침해사고 처리보고서 담당자 관장 보고일자 20   년   월   일 문 서 번 호 침해 신고/접수 정보 침해등급 □ 1등급  □ 2등급 □ 3등급  □ 4등급 침해대상 정보 □ 일반 개인정보 □ 주민번호 □ 계좌번호 접수일시 신고자 침해사고 처리책임자 신고자 연락처 신고내용 대응 과정 일시 대응 활동 침해 내용 확인된 침해 정보의 세부사항, 규모 및 침해 방법(노출, 외부자 제공, 수집, 접근, 분석, 이용, 내부자 제공, 불법 저장, 불안전한 저장, 파기 비파기 등 세부사항 침해 발생 경위 관련자 침해 발생 원인 증거자료 복구 및 재발 방지 조치 처분 [붙임 4]      개인정보 유출신고서 기관명 정보주체에의  통지 여부 유출된 개인정보의 항목 및 규모 유출된 시점과  그 경위 유출피해 최소화  대책ㆍ조치 및 결과 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차 담당부서 ‧ 담당자 및 연락처 성명 부서 직위 연락처 개인정보 보호책임자 개인정보 취급자 유출신고 (보고) 접수기관 기관명 담당자명 연락처

- 16 -

[별첨 6] 목적 외 이용 및 제3자 제공 처리절차

1. 기본원칙

가. 자료제공 판단 기준 

-  자료제공이 필요한 경우 목적의 정당성, 수단의 적정성, 피해의 최소성, 법익의 균형성에 대하여 종합적으로 검토한 후 필요한 최소한의 범위 내에서 제공하여야 한다.

나. 요청 기관의 적격 여부 확인

-  자료제공이 필요한 경우 제공가능 여부를 아래의 기준에 따라 확인하고 제공하여야 한다. 

다. 제공항목 판단

-  직접 수집한 정보 여부 확인하여야 한다.

· 학교에서 직접 수집·생산한 정보가 아닌 경우 자료제공 불가

※ 단, 정보주체의 별도 동의가 있는 경우 제공 가능

· 요청 목적에 부합하는 최소 항목만 제공(개인정보 최소 제공 원칙)

-  주민등록번호는 법령(법률, 대통령령, 국무총리령, 부령)에서 처리를 요구(허용)한 경우만 처리 할 수 있다.

2. 개인정보의 제공 기준

가. 수집목적 범위 내에서 제공하는 경우

-  정보주체의 동의를 받은 경우 가능

-  개인정보 보호법 제15조제1항 제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 제3자 제공이 가능하다.

나. 수집목적 외의 용도로 제공하는 경우

-  법 제18조 제2항에 해당하는 경우 예외적으로 제공 가능

- 17 -

-  다만, 정보주체 또는 제3자의 권익을 부당하게 침해할 우려가 있을 경우 제공이 불가

다. 업무의 일부 또는 전부를 위탁하는 경우

-  개인정보 처리 업무를 위탁 시, 위탁업무의 목적 등이 포함된 문서에 의하여야 하며 위탁사항에 구체적으로 표기된 범위 내에서 제공하여야 한다.

☞ 위탁자의 이익을 위해 처리하는 경우는 업무 위탁에 해당되며, 개인정보를 제공 받는 제3자의 이익을 위해 처리하는 경우에는 제3자 제공에 해당

3. 개인정보 목적 외 이용 및 제3자 제공 처리절차

가. 목적 외 이용·제3자 제공 시 절차

절 차	주요내용
1. 법적근거 검토	-  목적 외 이용·제3자 제공이 가능한 경우에 해당하는지 법적근거 검토
↓
2. 동의절차 이행	-  법적 근거가 없는 경우 정보주체로부터 별도의 동의를 받아야 함
↓
3. 제공 승인 획득	-  개인정보 보호책임자로부터 목적 외 이용·제공 승인 절차 진행
↓
4. 대장 기록·관리	-  ‘개인정보의 목적 외 이용 및 제3자 제공 대장’을 기록·관리하여야함 ※ [별지 제3호 서식] 개인정보의 목적 외 이용 및 제3자 제공 대장 활용
↓
5. 보호조치 요구	-  제3자 제공시에는 이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나 개인정보의 안전성 확보를 위하여 필요한 조치(“안전성 확보 조치” 참조)를 마련하도록 문서로 요청
↓
6. 조치결과 제출	-  안전성 확보조치 요청을 받은 자(제공받는 자)는 그에 따른 조치를 취한 후, 그 결과를 개인정보를 제공한 개인정보처리자에게 문서로 알려야 함
↓
7. 주요내용 공개	-  30일 이내에 관보 또는 인터넷 홈페이지에 10일 이상 계속 개재

나. 제공에 따른 기록 및 관리

-  분야별 개인정보 보호책임자는 개인정보를 목적 외의 용도로 이용하거나 제3

- 18 -

자에게 제공하는 경우에는 개인정보의 목적 외 이용 및 제3자 제공대장[별지 제3호 서식]에 기록·관리

다. 목적 외 이용·제3자 제공 시 주요내용 공개

-  법 제18조(개인정보의 목적 외 이용·제공 제한) 제2항 제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 30일 이내에 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관한 사항을 홈페이지 등에 10일 이상 게재하여야 한다.

4. 개인정보 목적 외 이용 및 제3자 제공 시 방법

가. 개인정보 자료 제공은 전자문서로 제공함을 원칙으로 하되, 부득이한 경우 보조기억매체 및 모사전송, 우편, E- mail 등으로 제공

-  우편을 이용한 경우 배달증명으로 발송한다.

-  E- mail 등에 의한 전자파일 제공 시 암호화를 하는 등의 조치를 취해야 한다.

5. 안전성 확보 조치

가. 제공자의 의무

-  개인정보 자료 제공은 문서로 시행되어야 하며, 문서에 제공 목적 이외의 이용금지, 사용 목적 달성 후 폐기, 사후관리 실태 확인 등의 안전성 확보 조치 문구를 표기하여 시행한다. 

-  제공받는 자에게 이용 목적·방법·기간·형태 등을 제한하거나 개인정보 안전성 확보를 위하여 구체적인 조치를 마련하도록 문서로 요청(전자문서 포함)하여야 한다.

-  제공받는 자가 요구하는 안전성 확보 조치를 하지 않거나 목적 외의 용도로 이용 또는 제3자에게 제공할 경우 자료제공을 중지하고 제공한 자료를 회수 또는 파기를 요구할 수 있다.

나. 제공받는 자의 의무

-  안전성 확보조치를 취하고 그 사실을 제공자에게 문서로 통지

-  정보주체의 별도 동의 또는 법률에 규정이 있는 경우를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공 금지

- 19 -

[별첨 7] 개인정보 수탁업체(수탁자) 관리 및 감독

1. 위탁사업 현황

가. 개인정보 처리업무를 위탁하는 개인정보 취급자는 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자의 정보를 지속적으로 게재하여야 한다.

나. 개인정보처리자는 개인정보의 처리 업무에 대하여 제3자에게 위탁계약을 체결하는 경우에 위탁업무 수행 목적 외 개인정보의 처리 금지와 기술적·관리적 보호 조치 또는 그 밖에 안전한 관리를 위하여 다음 사항 중 하나의 방법으로 문서화 하여야 한다.

-  [별지 제9호 서식]「표준 개인정보처리 위탁 계약서」를 활용하여 계약서 작성

-  개인정보 보호법 시행령 제18조의 필수 사항을 모두 포함한 계약서·협약서·특약서 등을 작성

2. 수탁자 교육 및 관리·감독 계획

가. 위탁자는 업무 위탁으로 인하여 정보 주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 수탁자를 교육하고, 처리현황을 점검 하는 등 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 한다.

나. 수탁자 개인정보 보호 교육

-  일정 : 수탁자 점검 시 교육 실시

-  내용

· 수탁자 책임과 의무사항 및 개인정보 처리 방법

· 안전성 확보를 위한 조치 방법 및 위탁계약서 내용 등

-  대상 : 수탁자 중 개인정보를 취급·관리하는 전 직원 대상

☞ 개인적인 사정으로 교육 불참의 경우, 수탁자 자체 교육 실시 건도 교육으로 인정

다. 수탁자 개인정보 처리 관리·감독

-  일정 : 연 1회 이상 관리·감독 실시

-  내용

· 위탁계약서 내용 준수 및 안전성 확보 준수 여부

· 개인정보 유·노출시 대응 절차 및 파기 이행 여부 등

3. 기타사항

가. 충청남도교육청에서 산하 전 기관(학교)의 개인정보처리시스템 용역업체에 대하여 합동점검을 실시하는 경우 이를 용역업체 점검 및 교육으로 대체할 수 있다.

나. 충청남도교육청의 합동점검 대상에서 제외된 수탁자는 기관(학교)별 자체점검을 실시하고 점검결과 및 교육결과를 작성하여 보관한다.

- 20 -

[별첨 8] 개인정보 처리단계별 준수사항 및 위반 시 벌칙사항

- 21 -

[별지 제1호 서식]

개인정보파일 파기 요청서

- 22 -

[별지 제2호 서식]

개인정보파일 파기 관리대장

[별지 제8호 서식]

개인정보 열람 등 요구 결정 이의신청서
이의 신청인	성명
	주소(소재지)		전화번호(모사전송번호)
			전자우편주소
열람 등 요구 내용
통지서 수령 유무	［ ］개인정보 열람 등 요구 결과통지서를     년    월    일에 받았음 ［ ］개인정보 열람 등 요구 결과통지서를 받지 못했음(「개인정보 보호법」 제35조제4항, 제36조제1항, 제37조제2항에 따라 거절의 결정이 있는 것으로 보는 날은 년    월    일임)
이의신청의 취지 및 이유
개인정보 열람 등 요구 결과에 위와 같이 이의 신청서를 제출합니다.
년     월     일
이의신청인		(서명 또는 인)
충청남도공주교육지원청공주도서관장  귀하

- 24 -

[별지 제9호 서식]

표준 개인정보처리 위탁 계약서(안)

공주도서관(이하 “위탁자”이라 한다)와 △△△(이하 “수탁자”이라 한다)는 “위탁자”의 개인정보 처리업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다. 

제1조 (목적) 이 계약은 “위탁자”가 개인정보처리업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다. 

제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는「개인정보 보호법」, 같은 법 시행령 및 시행규칙,「개인정보의 안전성 확보조치 기준」(행정안전부 고시 제2019- 47호) 및「표준 개인정보 보호지침」(행정안전부 고시 제2017- 1호)에서 정의된 바에 따른다. 

제3조 (위탁업무의 목적 및 범위) “수탁자”는 계약이 정하는 바에 따라 (○○사업) 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.

1. ○○○

2.

제4조 (위탁업무 기간) 이 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다.

계약 기간 : 20oo년 o월 o일 ~ 20oo년 o월 o일

제5조 (재위탁 제한) ① “수탁자”는 “위탁자”의 사전 승낙을 얻은 경우를 제외하고 “위탁자”의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재 위탁 할 수 없다. 

② “수탁자”가 다른 제3의 회사와 수탁계약을 할 경우에는 “수탁자”는 해당 사실을 계약 체결 7일 이전에  “위탁자”에게 통보하고 협의하여야 한다.

제6조 (개인정보의 안전성 확보조치) “수탁자”는 「개인정보 보호법」제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」(행정안전부 고시 제2019- 47호)에 따라 개인정보의 안전성 확보에 필요한 기술적‧관리적 조치를 취하여야 한다.

제7조 (개인정보의 처리제한) ① “수탁자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.

② “수탁자”는 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법 시행령」 제16조 및「개인정보의 안전성 확보조치 기준」(행정안전부 고시 제2019- 47호)에 따라 즉시 파기하거나 “위탁자”에게 반납하여야 한다. 

③ 제2항에 따라 “수탁자”가 개인정보를 파기한 경우 지체 없이 “위탁자”에게 그 결과를 통보하여야 한다.

제8조 (수탁자에 대한 관리·감독 등) ① “위탁자”은 “수탁자”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응하여야 한다.

- 25 -

1. 개인정보의 처리 현황

2. 개인정보의 접근 또는 접속기록

3. 개인정보 접근 또는 접속 대상자

4. 목적 외 이용‧제공 및 재 위탁 금지 준수여부
5. 암호화 등 안전성 확보조치 이행여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항 

② “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이행하여야 한다.

③ “위탁자”는 처리위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 (  )회 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다.

④ 제1항에 따른 교육의 시기와 방법 등에 대해서는 “위탁자”는 “수탁자”와 협의하여 시행한다.

제9조 (정보주체 권리보장) ① “수탁자”는 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.

제10조 (개인정보의 파기) ① “수탁자”는 제4항의 위탁업무기간이 종료되면 특별한 사유가 없는 한 지체 없이 개인정보를 파기하고 이를 “위탁자”에게 확인받아야 한다. 

제11조 (손해배상) ① “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자가 이 계약에 의하여 위탁 또는 재 위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 “수탁자” 또는 “수탁자”의 임직원 기타 “수탁자”의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 “위탁자” 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 “수탁자”는 그 손해를 배상하여야 한다.

② 제1항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 “위탁자”가 전부 또는 일부를 배상한 때에는 “위탁자”는 이를 “수탁자”에게 구상할 수 있다. 

본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “위탁자”와 “수탁자”가 서명 또는 날인한 후 각 1부씩 보관한다.

20  .  .  .

위탁자 충남 공주시 영명학당2길 24- 5 기관명 : 충청남도공주교육지원청공주도서관장 (직인)

수탁자 ○○시 ○○구 ○○동 ○○번지 업   체   명 :  대        표 :                   (인)

- 26 -

[별지 제10호 서식]

- 27 -