보안 관리자로서 업무나

심사원으로서 평가하실 때

법을 정확히 이해하셔야 합니다.

선 무당이 사람 잡습니다.

기업에서 고객정보를  가지고 있는 경우는 다음과 같습니다.

1. 고객이 동의하거나 법규제 등에서 "보유"를 허용한 경우 또는

2. 법규제 등에서 "보존"을 의무한 경우

이때

1번은 비지니스 목적으로 보통 고객 동의 기간 이내에서 "보유" 및 이용이 가능하고

2번은 법규제 준수를 위해 의무적으로 "보존" 및 규제 목적에 따라 민원 대응 등을 위해서만 이용해야 합니다. (분리보관 등 접근 통제 강화)

이때 중요한 것은 기간입니다.

기간은 from , to 가 있는데

많은 분들이 착각하는 것이

기업 내 data 를 저장할 수 있는 전체 기간이 "항상" 1번 + 2번 이라는 겁니다.

사실은 1번, 2번의 기간은 각각 독립적일 수 있으며

경우에 따라 1번의 기간 from 과 2번의 기간 from이 중복되거나 부분적으로 겹칠 수도 있습니다.

예를 들어 1번과 2번의 from 이 같을 때, 1번의 기간이 길면, 2번은 기간은 그 속에 모두 포함되는 경우도 있습니다.

그러면 2번의 규제는 해당이 없느냐? 그건 아니죠.

이유는 1번의 기간 중에 고객이 동의를 취소하면, 이때부터 2번의 기간 내로 포함되니까요.

예를 들어 SKT 이동통신사는

가입자가 휴대폰을 개통 후 탈퇴하기 전까지 1번 사유로 고객 정보를 보유/이용할 수 있지만

탈퇴 후부터는 2번의 법적 보존 의무로만 저장해야 합니다.

즉 이때는 전체 고객정보 저장 기간은 1번+2번이 될 수 있습니다.

하지만, 처음 휴대폰 개통 시,

특별한 멤버쉽 제공 등의 사유로 1번의 보유/이용 기간 동의를 3년으로 받았는데

개통 후 1년만에  탈퇴했다면, 탈퇴 시점부터 시작해서

1번 사유로 추가 2년과

2번 사유로 법적 보존기간(ex: 전자상거래 소비자보호에 관한 법률 5년)이 모두 동시에 from 이 시작하는데

퇄퇴 후 2년간 일반 보유/이용 후 나머지 3년간만 분리보관 등의 보존을 하면 됩니다.

이때 처음 2년  기간 중에 고객이 동의 취소 및 개인정보 삭제를 요청하면,

그때부터는 즉시 2번 사유로 보존 (분리보관)을 해야 합니다.

파기는 1번/2번 기간이 "모두" 종료된 직후에 즉시 복구할 수 없는 방법으로 지워야 합니다.

이때 즉시는 5 "영업일" 입니다. (영업일의  통상 의미는 휴일을 제외합니다. 토/일, 추석 연휴 등은 제외라는)

혹시 저와 다른 의견이나 도움되는 정보가 있으시면

간단히 회원가입 후 댓글 부탁 드립니다.