OECD 가이드라인의 8원칙(+ GDPR 주요원칙)

OECD 가이드라인의 8원칙

1. 수집제한의 원칙(Collection Limitation Principle) : 개인정보의 수집은 적법하고 정당한 절차에 의해 정보주체의 인지나 동의를 얻은 후 수집되어야 함

2. 정보(내용의) 정확성의 원칙(Data Quality Principle) : 개인정보는 그 이용 목적에 부합되는 것이여야 하며 이용목적에 필요한 범위 내에서 정확하고 완전하며 최신의 상태를 유지해야 한다.

3. 목적 명확화의 원칙(Purpose Specification Principle) : 개인정보의 수집목적은 수집 시에 특정되어 있어야 하며 그 후의 이용은 구체화된 목적달성 또는 수집목적과 부합되어야 한다.

4. 이용제한의 원칙(Use Limitation Principle) : 개인정보는 특정된 목적 이외의 다른 목적을 위하여 공개, 이용, 제공될 수 없다.

5. 안전성확보의 원칙(Security Safeguards Principle) : 개인정보는 분실 또는 불법적인 접근, 파괴, 사용, 위조·변조, 공개 위험에 대비하여 적절한 안전조치에 의하여 보호되어야 한다.

6. (처리방침) 공개의 원칙(Openness Principle) : 정보주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용(처리)되고 있으며 개인정보보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 하며, 정보주체가 자신의 정보에 대하여 쉽게 확인할 수 있어야 한다.

7. 정보주체 참여의 원칙(Individual Participation Principle) : 정보주체가 제공한 개인정보를 열람, 정정 및 삭제를 요구할 수 있는 절차를 마련하여야 한다.

8. 책임의 원칙(Accountability Principle) : 정보관리자(개인정보처리자)는 위의 제 원칙이 지켜지도록 필요한 제반 조치를 취하여야 할 책임이 있다.

[참고] 유럽 GDPR의 주요원칙

1. 적법성·공정성·투명성의 원칙(Lawfulness, fairness and transparency) : 정보주체의 개인정보는 적법하고 공정하며 투명한 방식으로 처리되어야 함

○ 투명성 : 개인정보를 처리하는 일련의 행위에서 정보주체에게 이해하기 용이하고, 접근하기 쉬운 공개된 방식으로 처리 행위를 입증하는 것

2. 목적 제한의 원칙(Purpose limitation) : 구체적·명시적이며 적법한 목적을 위하여 개인정보를 수집하여야 하며, 해당 목적과 부합하지 않는 방식의 추가 처리는 허용되지 않음

3. 개인정보 처리의 최소화 원칙(Data minimisation) : 개인정보의 처리는 적절하며 관련성이 있고, 그 처리 목적을 위해 필요한 범위로 한정되어야 함

4. 정확성의 원칙(Accuracy) : 개인정보의 처리는 정확하여야 하며, 필요 시 처리되는 정보는 최신으로 유지하여야 하며, 처리 목적에 비추어 부정확한 정보의 즉각적인 삭제 또는 정정을 보장하기 위한 모든 합리적 조치가 취해져야 함

5. 보유 기간 제한의 원칙(Storage limitation) : 개인정보는 처리 목적 상 필요한 경우에 한하여 정보주체를 식별할 수 있는 형태로 보유되어야 하며, 정보주체를 식별할 수 있는 개인정보는 처리 목적 상 필요한 경우에 한하여 보유되어야 함

6. 무결성과 기밀성의 원칙(Integrity and confidentiality) : 개인정보는 적절한 기술적·관리적 조치를 통하여 권한 없는 처리, 불법적 처리 및 우발적 손·망실, 파괴 또는 손상에 대비한 보호 등 적절한 보안을 보장하는 방식으로 처리되어야 함

7. 책임성의 원칙(Accountability) : 컨트롤러는 위의 원칙을 준수할 책임을 지며, 이를 입증할 수 있어야 함