개인정보 보호 교육

 개인정보보호법 제28조에 따르면 개인정보취급자에 대한 정기적인 교육을 실시해야 한다고 명시하고 있습니다. 이번에는 개인정보보호법이 어떻게 구성되어 있으며 실무적으로 개인정보보호법상 유념하여야 할 부분에 대해서 알아보도록 하겠습니다. 

 

1. 개인정보보호의 개요 및 개인정보의 수집

 개인정보보호법은 정보주체, 정보주체의 개인정보, 개인정보처리자로 규정하고 있습니다.

• 개인정보 : 성명, 주민등록번호 및 영상 등을 통하여 살아있는 개인을 식별할 수 있는 정보, 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 정보
• 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 자, 개인정보 자기 결정권을 가진 자
• 개인정보 자기결정권 : 자신에 관한 정보가 언제, 어떻게, 어느 범위까지 수집, 이용, 공개될 수 있는지 정보 주체가 스스로 통제, 결정할 수 있는 권리
• 개인정보처리자 : 업무를 목적으로 개인정보를 처리하는 공공기관, 법인, 단체, 개인

 개인정보보호원칙은 다음과 같습니다.

• 정보 처리 목적을 명확히 하고 목적 내에서만 정보를 최소한으로 수집할 의무
• 처리 목적 외로 개인정보를 활용하지 아니할 의무
• 처리 목적 내에서 개인정보의 정확성, 완전성, 최신성을 보장할 의무 
• 정보 주체의 권리침해 위험성 등을 고려하여 안전하게 정보를 관리할 의무
• 개인정보 처리사항을 공개하며, 열람청구권 등 정보주체의 권리를 보장할 의무
• 사생활 침해를 최소화하는 방법으로 정보를 처리할 의무
• 가명/익명 처리가 가능한 경우 가명/익명으로 처리할 의무
• 개인정보처리자의 법령 준수의무

 개인정보처리자가 정보주체로부터 개인정보 수집해야 할 때 어떻게 수집해야 하는지 알아보도록 하겠습니다.

 

 개인정보처리자는 별도의 법률에 예외규정이 없는 한 정보주체의 동의를 받아 개인정보를 수집해야 합니다. 정보수집 및 이용을 위한 동의를 얻을 경우 알려야 하는 내용은 다음과 같습니다.

• 개인정보의 수집, 이용 목적
• 수집하려는 개인정보의 목적
• 개인정보의 보유 및 이용 기간
• 동의를 거부할 권리 및 동의 거부에 따른 불이익

 개인정보처리자가 정보주체에게 동의를 받지 않은 경우 5천만 원 이하의 과태료가 부과될 수 있습니다. 

 

 개인 정보 동의를 받는 방법은 개인정보보호법 제22조에 규정되어 있습니다. 각각의 동의 사항을 구분하여 명확하게 정보주체가 인지할 수 있도록 알려야 하며 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분해야 합니다.  만 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의가 필요합니다. 개인정보보호 동의서에 명확히 기재해야 할 사항은 다음과 같습니다.

• 재화나 서비스의 홍보 및 판매 권유 등을 위해서 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
• 수집정보 중 민감정보, 여권번호, 운전면허번호, 외국인 등록 번호가 있는 경우 개인정보에 대한 동의 사항
• 개인정보의 보유 및 이용 기간
• 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

 개인정보표시 동의서 표시 방법은 글씨는 9포인트 이상의 크기로 하되 다른 내용을 20% 이상 크게 하고 다른 색의 글씨, 굵은 글씨 또는 밑줄 등을 사용하여 명확히 드러나게 하여야 하며 중요한 내용이 많은 경우에는 별도로 요약하여 제시하여야 합니다. 

2. 민감 정보, 고유식별정보, 주민등록번호 처리 제한

 채용 지원 단계에서는 정보 주체의 동의를 받았다고 하더라도 주민등록번호를 수집할 수 없습니다. 채용이 결정된 후 근로자 의무 보험 또는 국민연금 소득세, 원천징수 등의 사물을 처리하기 위해 관련법령에서 주민등록번호 처리를 요구하는 경우에는 수집 가능합니다. 특히 주민등록번호는 법률 및 대통령령 등에서 처리를 허용하지 않으면 원칙적으로 처리가 금지되어 있습니다. 민감 정보, 고유식별정보 정보주체의 별도 동의, 법령의 구체적인 처리 요구 및 허용 시 처리하도록 규정하도록 있습니다. 

• 민감정보 : 사상, 신념, 노동조합·정당 가입, 건강정보, 유전정보, 범죄경력 정보, 바이오식별정보, 인종 및 민족 정보
• 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

 특히 주민등록번호의 경우 별도의 처리제한 규정이 있습니다. 주민등록번호는 정보주체의 동의를 받아서 처리가 불가하고 법률 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우와 정보주체 또는 제삼자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에 한하여 처리가 가능합니다. 

 민감 정보, 고유식별정보 관련 법률 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금이 부과됩니다. 주민등록번호 관련 법률 위반 시 3천만 원 이하의 과태료가 부과됩니다.
 개인 정보는 다시 복원하거나 재생할 수 없는 형태로 완벽하게 파기해야 합니다. 종이 형태의 출력물은 물리적으로 분쇄 또는 소각하여 개인정보를 파기해야 합니다. 

 개인정보보호법은 안전조치의무를 규정하고 있습니다. 개인정보의 관리를 위한 사업장의 의무 사항은 크게 3가지입니다   첫 번째는 안전조치 의무 준수(개인정보보호법 제29조)로 안전조치의무는 개인정보가 분실, 도난, 유출, 위조, 변조 훼손되지 않도록 안정성 확보 조치를 하는 것을 말합니다. 내용은 아래와 같습니다.

• 개인정보의 안전한 처리를 위한 내부 관리 계획의 수립 · 시행
• 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
• 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용
• 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
• 개인정보에 대한 보안프로그램의 설치 및 갱신
• 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금 장치의 설치 등 물리적 조치

 두번째는 개인정보 처리 방침 수립 및 인터넷 홈페이지에 지속적인 게재입니다. 개인정보 처리 방침 주요 내용은 다음과 같습니다. 

• 개인정보의 처리 목적
• 개인정보의 처리 및 보유기간
• 개인정보의 제삼자 제공에 관한 사항
• 개인정보 처리의 위탁에 관한 사항
• 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
• 처리하는 개인정보의 항목
• 개인정보의 파기에 관한 사항
• 개인정보의 안전성 확보조치에 관한 사항
• 개인정보 자동 수집 장치의 설치 및 운영에 관한 사항
• 개인정보 보호책임자의 성명 또는 개인정보 보호업무 부서의 명칭과 전화번호
• 개인정보 처리방침 변경에 관한 사항

 세번째는 개인정보보호책임자의 지정입니다. 개인정보보호책임자는 다음과 같은 업무를 수행합니다.

• 개인정보 보호 계획의 수립 및 시행
• 개인정보 처리 실태 및 관행의 정기적인 조사
• 개인정보 처리와 관련한 불만의 처리
• 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
• 개인정보 보호 교육 계획의 수립 및 시행
• 개인정보 파일의 보호 및 관리
• 개인정보 처리방침의 수립· 변경 및 시행
• 개인정보 보호 관련 자료의 관리
• 보유기간이 지난 개인정보의 파기

 

3. 개인 정보의 안전한 관리 : 개인정보의 파기

 개인정보가 불필요하게 되었을 때는 지체 없이 5일 이내로 파기해야 합니다. 위반 시 3천만 원 이하 과태료가 부과됩니다. 기록매체형태는 파쇄 또는 소각의 방법으로 파기해야 합니다. 전자적 파일 형태는 복원이 불가능한 방법으로 영구 삭제해야 합니다. 개인정보 파기에 관련된 사항은 관리자는 기록해야 하고 파기를 확인해야 합니다.

4. 개인정보 유출 대응

 개인의 전자우편주소는 살아 있는 자연인을 식별할 수 있는 개인정보에 해당됩니다. 이 정보의 유출을 막기 위해서는 개별 발송기능을 활용합니다. 개인정보에 대한 안전한 관리를 하였음에도 개인정보가 유출된 경우에는 유출에 대한 대응 조치 및 정보주체에게 해당 사실을 개별 통지해야 합니다. 즉 개인 정보가 유출되었다면 지체 없이 정보주체에게 유출 통지를 해야 합니다. 통지 내용은 다음과 같습니다.

• 유출된 개인정보의 항목 및 경위
• 대응조치 및 피해구제 절차
• 담당부서 및 연락처

 1천명 이상일 경우 한국 인터넷 진흥원에 지체 없이 5일 이내로 유출 신고를 해야 합니다. 정보 유출에 대한 피해 구제 절차는 다음과 같습니다.

• 개인정보보호법 제62조에 따른 개인정보침해 신고상담
• 개인정보보호법 제43조에 따른 개인정보분쟁조정
• 동법 제39조에 따른 손해배상

 유출에 따른 손해배상제도는 아래의 두 가지가 있습니다.

징벌적 손해배상제도	법적 손해배상제도
ㆍ정보 유출로 정보자에게 손해가 발생한 경우 ㆍ중과실로 의한 사고	ㆍ정보 유출로 정보자에게 손해가 발생하지 않은 경우 ㆍ과실로 인한 사고

5. 정보주체의 권리 보장

 개인정보보호법은 정보주체에게 일정한 권리를 보장하고 있습니다. 

• 개인정보 열람 권리 : 정보 주체가 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 요구할 수 있는 권리
• 개인정보의 정정 및 삭제 권리 : 개인정보를 열람한 정보주체가 개인정보처리자에게 개인정보의 정정 및 삭제를 요구할 수 있는 권리
• 개인정보의 처리정지요구 권리

 

 열람 제한 및 거절 사유는 다음과 같습니다.

• 법률에 따라 열람이 금지되거나 제한되는 경우
• 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
• 공공기관이 법률에 명시된 업무를 수행함에 있어서 중대한 지장을 초래하는 경우