이벤트 종료 후 당첨자 안내 과정에서 담당 직원 실수로 함께 노출시켜
6월 17일 알림 종료 후 2개월 이상 지난 8월 23일 인지 및 3일 후 사과문 게재
원인: ‘한국남부발전 유튜브 채널-유튜브 구독 좋아요 이벤트’
유출정보: 이벤트 당첨자 이름, 연락처, 이메일 그대로 노출
피해자: 2,000여 고객
특이사항 : 사고발생 2개월 이후 인지 + 3일 후 사과문 게재
이와 같은 참여자의 개인정보와 관련된 이벤트에는
꼭 개인정보담당자가 함께 해야한다.
개인정보담당자는 모든 개인정보의 유출 가능성을 파악하고 분석해야한다. (개인정보영향평가)
개인정보 보호법 시행령에 따르면
제39조와 40조에 따라,
* 개인정보 유출된 사실을 알고 긴급한 조치를 하고 kisa에 사고 신고
* 정확한 유출 내용을 모르더라도 1) 유출된 사실 2) 유출이 확인된사항을 서면으로 신고 + 이후 정보 추가
* 1천명 이상의 정보주체 개인정보 유출 시, 홈페이지에 7일간 게시하여 주체에게 알림 (법 제34조 제1항)
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있다. 다만, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015. 7. 24.>
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015. 7. 24.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
제39조의2(법정손해배상의 청구) ① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
[참고]
https://www.boannews.com/media/view.asp?idx=109413
한국남부발전, 2,000여 고객 ‘이름, 연락처, 이메일 등’ 개인정보 유출
한국남부발전은 지난 5월 24일~6월 7일 2주간 진행한 ‘한국남부발전 유튜브 채널-유튜브 구독 좋아요 이벤트’ 행사를 진행한 이후 당첨자 안내에서 고객 개인정보가 유출돼 개인정보 유출에 대
www.boannews.com