패션 브랜드 D사 개인정보 처리방침 평가

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)

처리하는 개인정보의 항목, 개인정보의 처리 및 보유 기간, 16세 미만 아동의 개인저옵 처리에 관한 사항 등에 대해 알리고 있음. 그러나 개인정보 처리방침 변경에 관한 사항, 안전성 확보 조치에 관한 사항, 개인정보 파기 절차 및 방법에 관한 사항, 정보주체의 권리·의무 행사 방법에 관한 사항이 명시되어 있지 않음.

 

결과: 0점

 

1-2. 개인정보 처리방침 상 기재된 내용이 실제 서비스 이용 시 고지된 개인정보 처리 사항과 동일한가? (총 10점)

[실제 수집 화면]

(필수): 이메일, 비밀번호, 경칭(성별), 이름, 성, 전화번호, 

(선택): 생년월일

* 아동의 개인정보보호에 대해 기준을 14세 미만으로 하고 있음

 

[이용약관]

취급하는 개인정보: 사용자 ID, 비밀번호, 성, 이름, 생년월일, 이메일 주소 및 우편주소 등

* 아동의 개인정보보호 미기재

 

[개인정보 처리방침]'필수', '선택'의 구분 없이, 연락처, 신원 정보, 선호 사항, 거래 관련 정보 등 수집* 아동의 개인정보보호에 대해 기준을 16세 이하로 하고 있음

 

용어의 통일이 이뤄지지 않아 정보주체 입장에서 명확히 수집 항목을 파악하기 어려우며, 필수 항목과 선택 항목에 대해 확실한 기재가 필요함. 또한, 그밖에 일치않는 사항이 발견됨.

 

결과: 0점

 

1-3. 개인정보 처리방침에 개인정보의 필수 및 선택 수집 항목에 대한 수집 사유를 밝히고 있는가? (총 5점)

필수, 선택 구분을 하고 있지는 않으나, 고객정보 처리 각 20건에 대하여 수집 목적을 명시하고 있음

 

결과: 5점

 

1-4. 정보주체의 권리보장의 내용을 충실하게 알리고 있는가? (총 5점)

열람, 정정, 삭제, 처리정지 요구 등 정보주체의 권리 보장 절차에 대해 개념적으로만 기술하고 있으며, 이를 통해 정보주체가 권리를 행사하기 위한 정보를 얻을 수 없음.

 

결과: 0점

 

1-5. 개인정보의 보유·이용 기간을 명확하게 알리고 있는가? (총 7점)

처리방침 내 '개인정보 보존 기간'이라는 항목이 존재하나, 기준과 예시를 들어서 설명하고 있음. 기준은 아래와 같음.

 

당사와 고객 간의 관계 및 당사가 고객에게 제공하는 제품과 서비스
개인정보 또는 당사 제품이나 서비스에 관한 고객의 요청 사항
개인정보를 보존할 법적 의무 또는 당사 고유의 법적 목적(예: 당사의 계약 이행 또는 소송)
해당 국제, 국가, 연방, 주 법령을 포함한 법적 의무 및 권장 사항
기술적 고려 사항과 실행 가능성 및 개인정보를 위해 마련된 보호 조치의 수준

 

예시와 더불어 기준만으로는 정보주체가 각 개인정보의 보유·이용 기간에 대해 명확히 알 수가 없음. 적어도 각 기준 별로 근거에 의한 기간을 명시하였으면 정보주체 입장에서 더욱 정보를 얻기 수월했을 것임.

 

결과: 3점

 

1-6. 개인정보의 파기 내용과 그 기준의 구체성에 대해 명확하게 알리고 있는가? (총 7점)

파기 내용과 그 기준의 구체성에 대해 '개인정보는 수집된 목적상 필요한 기간에 한하여 보관되며, 어떠한 경우에도 해당 기간의 종료 시점에 파기됩니다.' 라고만 명시되어 있으며, 1-5와 연계하여 정보주체는 각 개인정보의 보존 기간에 대해 명확히 알 수가 없으므로, 파기에 대해서도 구체적으로 알 수가 없고 예측 또한 매우 어려움.

 

결과: 2점

 

1-7. 개인정보 위탁·제3자 제공의 대상, 항목, 목적, 보유기간 등을 구체적으로 알리고 있는가? (총 6점)

위탁 자체는 존재한다고 밝혀져 있으나, 대상, 항목, 목적, 보유기간 등이 전혀 멍시되어 있지 않음. 실제로 위탁과 관련하여 써있는 문구 중 일부는 아래와 같음. 

 

당사는 제품 배송 업체, 결제 서비스 제공 업체, 불법 행위 방지를 위한 거래 보안 제공 업체, 이벤트 지원 업체, IT 서비스 제공 업체, 디지털 커뮤니케이션 및 홍보 에이전시, 고객 서비스 지원 업체, 당사 제품/프로그램/서비스에 관한 정성적 설문조사 지원 업체 등의 제3자 업체에 특정 서비스를 위탁하고 있습니다.

 

결과: 0점

 

2-1. 이전 개인정보 처리방침과 현행 개인정보 처리방침을 비교·대조하기 쉽게 알리고 있는가? (총 7점)

이전 개인정보 처리방침을 현행 개인정보 처리방침 내에서 찾을 수가 없으며, 단지 현재 개인정보 처리방침이 언제부터 시행되었는지에 대해서만 알 수 있음.

 

결과: 0점

 

2-2. 정보주체 입장에서 어렵거나 혼동하기 쉬운 법적 용어에 대한 설명이 있는가? (총 7점)

정보주체의 입장에서 쉽게 읽을 수 있도록 도움을 주는 노력은 찾을 수 없으며, '개인 정보'가 무엇을 의미하는지 단순한 나열만 존재하고 있음.

 

결과: 0점

 

2-3. 이용자가 전체 방침을 읽지 않더라도 핵심 내용을 이해할 수 있도록 라벨링, 인포그래픽, 요약표 등을 제공하는가? (총 7점) 

라벨링, 인포그래픽, 요약표 등을 전혀 제공하고 있지 않음.

 

결과: 0점

 

2-4. 개인정보 처리방침 내 어절의 잘림이 일어나지 않도록 하고 있는가? (총 7점)

어절의 잘림을 최소화하려는 노력의 흔적이 보이지 않으며, 정보주체 입장에서 가독성이 매우 제한됨.

 

결과: 0점

 

2-5. 일반적인 처리방침을 받아들이는 것에 어려움이 있는 사람을 위해 대체 가독 수단을 제공하고 있는가? (총 7점)

개인정보 처리방침 내 영어로 작성된 항목이 존재하나, 이는 오히려 혼동을 줄 수 있음. 영문판, 한국어판으로 나눠서 작성해야 하며, 오히려 한국판 개인정보 처리방침에 영어를 섞는 것은 정보주체의 가독성을 제한하는 것임.

 

결과: 0점

 

3-1. 개인정보 처리방침에 접근하기 위한 정보주체의 노력을 최소화하고 있는가? (총 7점)

PC 환경의 첫 홈페이지 화면에서 개인정보 처리방침에 접근하기 위해 스크롤을 7번 내려야 하며, 다른 메뉴와 명백히 구분되지 않음.

 

결과: 0점

 

3-2. 표준화된 URL이 존재하여 외부에서 접근 및 공유가 용이한가? (총 5점)

표준화된 URL이 존재하여, 외부에 공유하여 접근할 수 있음.

 

결과: 5점

 

3-3. '개인정보 처리방침'이라는 명확한 용어를 사용하고 있는가? (총 3점)

개인정보 처리방침이라는 명확한 용어를 일관성있게 사용하고 있음.

 

결과: 3점

 

 

총점: 18점/100점

 

최근 대상 기업의 보안 관련된 이슈가 있었어서 1회차로 뽑게 되었다. 우수 사례를 뽑고 싶은 마음은 굴뚝같았으나, 솔직히 너무 지적할 사항만 가득했다. 비록 SK T가 문제는 다소 있었으나, 이전에 봤을 때 처리방침은 괜찮았던 차라 조금 더 국내 위주의 간판있는 곳을 상대해야 하는 마음이 든다.