개인정보처리방침
필수 항목 12가지
홈페이지·앱을 운영한다면 개인정보처리방침을 반드시 공개해야 합니다.
누락하면 과태료 최대 1천만 원이 부과될 수 있습니다. 아래 12개 항목을 하나씩 확인해 보세요.
12가지 체크리스트
개인정보보호법 제30조 제1항 및 관련 고시가 요구하는 항목입니다.
어떤 서비스를 제공하기 위해 개인정보를 수집·이용하는지 명시해야 합니다.
서비스 상담 신청, 회원가입·로그인, 구매·결제 처리 등 목적별로 구분하여 작성
포괄적인 '서비스 제공'만 기재하면 불충분 — 목적별로 분리 기재 필요
수집 시점부터 파기까지의 기간을 명시해야 합니다. 법령에 의한 보존 의무가 있으면 해당 법령과 기간을 함께 적습니다.
상담 완료 후 1년 / 전자상거래법에 의한 계약기록 5년 보관
'이용 목적 달성 시까지'만 기재하면 부족 — 구체적 기간 또는 법령 근거 필수
제3자에게 개인정보를 제공하는 경우 제공받는 자, 목적, 항목, 보유 기간을 모두 기재해야 합니다.
제3자 제공 없음 / 또는 결제 대행사·배송사 등 제공처·제공 목적·보유 기간 명시
제공 사실을 숨기거나 '동의 하에'라고만 쓰면 부족 — 제공처별 구체 항목 기재
외부 업체(결제사, 클라우드, 배송사 등)에 처리를 위탁하는 경우 수탁자와 위탁 업무를 공개해야 합니다.
AWS(서버 운영), 토스페이먼츠(결제 처리), Supabase(데이터베이스 관리) 등
위탁 업체가 실제로 있음에도 '해당 없음'으로 기재하는 사례 多 — 반드시 확인
이용자가 언제든지 열람·정정·삭제·처리정지를 요청할 수 있음을 알리고, 요청 방법(서면·전자우편·전화 등)을 명시해야 합니다.
[email protected]으로 이메일 요청 시 10일 이내 조치 / 개인정보보호법 시행령 §41조①
'문의하세요'만 기재하면 불충분 — 처리 기한·방법·법적 근거 함께 명시
수집하는 개인정보 항목을 필수·선택으로 구분하여 모두 열거해야 합니다. 자동으로 수집되는 IP·쿠키·접속 로그도 포함합니다.
필수: 성명, 이메일, 연락처 / 자동 수집: IP 주소, 쿠키, 방문 일시, 브라우저 정보
자동 수집 항목(접속 로그·IP·쿠키)을 빠뜨리는 사례 많음
보유 기간이 지나거나 처리 목적이 달성되면 지체 없이 파기해야 합니다. 파기 절차와 방법을 구체적으로 기재해야 합니다.
전자 파일: 복원 불가 기술적 방법으로 삭제 / 서면: 파쇄·소각 / 파기 책임자 지정
'파기합니다' 한 줄만 기재하면 불충분 — 절차·방법·담당자 체계 명시
관리적·기술적·물리적 안전조치 현황을 기재해야 합니다. 개인정보보호법 시행령 §30조의 기준을 충족해야 합니다.
접근 권한 관리, 접근 통제, 암호화, 보안 프로그램, 물리적 보관 구역 출입 통제 등
단순한 '보안 조치를 취합니다'는 불충분 — 실제 적용 중인 조치를 구체 기재
개인정보 처리에 관한 업무를 총괄하는 책임자의 성명·직책·연락처를 반드시 공개해야 합니다.
성명: 홍길동 / 직책: 대표 / 연락처: [email protected]
가장 많이 빠뜨리는 항목 중 하나 — 실명·연락처 공개 필수 (미공개 시 과태료 대상)
개인정보 침해로 피해를 입은 경우 개인정보분쟁조정위원회, 개인정보침해신고센터 등에 도움을 받을 수 있음을 안내해야 합니다.
개인정보침해신고센터 (privacy.kisa.or.kr, 국번없이 118) / 개인정보분쟁조정위원회 (www.kopico.go.kr)
이 항목을 아예 빠뜨리거나 연락처 없이 기관명만 기재하는 사례 多
개인정보를 국외로 이전(클라우드 서버가 해외에 위치한 경우 포함)하는 경우 이전받는 자·국가·목적·보유 기간·이전 거부 방법 등을 고지해야 합니다.
AWS us-east-1(미국)에서 서비스 운영 시 — 이전받는 자(AWS, Inc.), 이전 국가(미국), 이전 목적, 보유 기간 명시
AWS·Vercel·Supabase 등 해외 클라우드 사용 시 대부분 해당 — 많이 누락됨
처리방침을 변경할 경우 시행 7일 전부터 홈페이지에 공지해야 합니다. 시행일도 명시해야 합니다.
시행일: 2026년 O월 O일 / 변경 시 홈페이지 공지 후 7일 경과 후 시행
시행일 없이 '최신 버전'만 표기하는 경우 행정지도 대상이 될 수 있음
자주 빠뜨리는 케이스
AWS, Vercel, Supabase, Cloudflare 등 서버가 해외에 있는 서비스를 사용하면 국외 이전에 해당합니다. 2023년 9월 15일 개정 개인정보보호법(§28의8) 시행 이후 처리방침에 반드시 명시해야 합니다.
브라우저에서만 동작하고 서버로 데이터를 전송하지 않는 무저장 도구는, 해당 도구의 처리 항목을 '없음'으로 명시하면 됩니다. 단 사이트 전체에 걸쳐 접속 로그·회원 정보 등 다른 개인정보 처리가 있다면 처리방침 자체는 여전히 필요합니다.
Cloudflare를 통해 서비스를 제공하는 경우 IP 주소·접속 시각·User-Agent 등 기술적 접속 정보가 자동으로 수집될 수 있습니다. 회사가 직접 수집하지 않더라도 처리방침에 Cloudflare의 역할과 해당 사의 개인정보처리방침 링크를 별도 고지하는 것이 권장됩니다.
자주 묻는 질문
처리방침 작성·검토가 필요하신가요?
행정사가 직접 법령 기준에 맞게 작성하거나 기존 처리방침의 누락 항목을 검토합니다. 서비스 유형(쇼핑몰·SaaS·무저장 도구 등)에 맞춘 맞춤 작성이 가능합니다.
무료 서비스 보기