IT/영어 공부노트

2023「개인정보 보호법」표준 해석례 본문

⚡ IT+Security 노트/개인정보

2023「개인정보 보호법」표준 해석례

소저어엉 2023. 11. 28. 17:09
반응형

본 문서는 개인정보 보호법 표준 해석례(2023.07.)를 읽고 개인적으로 정리한 글입니다. 

개인정보 보호법 표준해석례는 아래 링크인 개인정보 포털에서 원문을 확인하실 수 있습니다. 

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20569

1. 공동현관 출입번호가 개인정보인지?

(답변) 공동 현관의 출입번호는 개인정보로 보기 어려우나, 개인 세대별로 출입번호가 부여된 경우 개인정보로 볼 수 있다. 

  • 보호법 제2조 제1호에 "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민 등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 말한다고 규정함
  • 세대원이 특정되지 않은 공동현관의 출입번호는 개인정보로 보기 어려우나, 개인 세대별로 출입번호가 부여된 경우 개인을 식별할 수 있는 개인정보로 볼 수 있음 -> 개인정보 수집·이용에 대한 동의를 받아야 하고, 개인정보가 유출되지 않도록 안전조치가 필요함

2. 생산성 점수 프로그램으로 직원을 모니터링해도 되는가?

기업용 오피스 제품에서, 관리자는 생산성 점수라는 프로그램으로 직원이 처리하는 데이터를 수집하고 인터넷 사이트에 액세스 하는 건수, SNS 전송, 전자 메일 보내기 등을 모니터링 할 수 있다. 관리자가 생산성 점수로 직원의 작업을 모니터링 하고 평가하려면 동의를 받아야 하나?

 

(답변) OFFICE 프로그램으로 직원의 생산성 지수를 도출하여 직원을 모니터링 하고 평가하려면 직원의 동의를 받아야 한다. 

  • 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보인 대표자를 포함한 임원진과 업무 담당자의 이름·주민번호 ·자택주소 및 개인연락처, 사진 등 그 자체로 개인을 식별할 수 있는 정보는 개별 상황에 따라 법인 등의 정보에 그치지 않고 개인정보로 취급될 수 있음
  • 근로자 개인의 생산성 지수 및 이를 구성하는 건수를 법인 또는 단체의 정보로 볼 수 있으나, 프로그램을 통해 입력된 개인의 작업일시 및 소요시간, SNS, 메일 등의 문체 및 작성성향 등은 개인저보에 해당할 수 있음
  • -> 이를 생산성 지수화하여 직원을 모니터링하고 평가에 이용하려면 정보 주체인 직원의 동의를 받아야 함

3. 코인을 보관하는 가상자산 지갑주소가 개인정보인가?

(답변) 가상자산 지갑수고 자체만으로는 개인을 알아볼 수 없어도 거래계좌, 이름 등을 통해 특정 개인을 알아볼 수 있다면 개인정보에 해당함

  • 가상자산 지갑주소는 가장자산 거래자를 표시하는 수단으로, 그 주소를 사용하는 사람의 인적사항을 알 수 없고, 불가역적인 공개키 암호화 기술로 생성되고 관리되므로 그 자체만으로는 특정 개인을 식별하는 것이 불가능함
  • 허나 거래를 생성한 지갑주소와 IP주소를 연계할 수 있을 뿐더러, 가상자산과 교환되는 금전의 입출금거래는 '실명확인이 가능한 입출금 계정'을 통해서만 허용됨 
  • 따라서 당해 거래소가 이행한 실명확인 결과와 결합하거나 연계된 은행의 실명 확인 입출금 계정의 명의자 정보와 결합하여 그 지갑의 주인이 누구인지 알아볼 수 있으므로 '가상자산 지갑주소'는 다른 정보와 결합하여 개인을 알아볼 수 있는 개인정보에 해당함 

4. 차량사고 가해자의 CCTV 영상을 피해자에게 제공할 수 있는가?

(답변) 정보공개법에 따라 기관 스스로 제공 여부를 결정할 수 있으나, 보호법의 영상 열람 제한 취지를 고려할 필요가 있음

  • 보호법에 따라 정보주체가 CCTV 영상을 열람하려면 정보주체 자신의 영상만을 제공받을 수 있으므로(제35조) 영상에 제3자의 개인정보가 포함되어 있다면 개인정보처리자는 마스킹 등 비식별 조치를 해서 제공해야 하고,
    • 제3자의 개인정보가 포함된 영상을 제공받기 위해서는 다른 법률에 특별한 규정이 있거나 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우가 아니면 정보주체로부터 별도의 동의를 받아야 함(제18조 제2항)
  • 다만, 보호법 제6조에 개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우 우선 적용하도록 함에 따라 다른 법률에 개인정보에 관한 규정이 있는 경우 보호법보다 그 법률을 우선 적용하도록 함
    • 공공기관이 보유·관리하고 있는 개인정보의 공개에 관하여는 보호법보다 정보공개법이 우선 적용되므로 피해 민원인이 영상정보에 대한 정보공개청구를 한 경우 신청받은 공공기관은 정보공개법에 따라 제공 여부 및 제공 범위를 결정하되, 보호법의 취지를 고려할 필요가 있음

5. 개인정보 수집 ·이용 ·제공 체크박스를 전체동의 처리해도 되는지?

(답변) 수집 ·이용, 제공, 홍보 및 판매, 민감정보에 대한 동의내용이 체크 박스로 구분되는 경우 전체동의 처리 가능

  • 개인정보 수집 ·이용 동의를 받을 때, 개인정보처리자는 보호법 제15조제2항에 따라 1. 개인정보의 수집 ·이용 목적, 2. 수집하려는 개인정보의 항목, 3. 개인정보의 보유 및 이용 기간, 4.동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 정보주체에게 알려야 하며, 그 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
  • 동의를 받을 때, 개인정보 처리자는 제17조 제2항에 따라 1. 개인정보를 제공받는 자, 2.개인정보를 제공받는 자의 개인정보 이용 목적, 3.제공하는 개인정보의 항목, 4.개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, 5.동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 내용을 정보주체에게 알리고, 그 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
  • 이러한 개인정보 동의를 받을 때 개정 보호법 제22조 제1항 각 호의 개인정보 동의 사항을 구분하여, 즉 항을 달리하여 각각 체크박스를 두어 동의를 받아야 하며, 체크박스 별로 동의 내용이 구분되어 설명이 된 경우 정보주체가 쉽게 의사를 표현할 수 있도록 일괄하여 전체동의를 받을 수 있음 
  • 다만 동의를 받을 때 체크박스에 동의의 디폴트값을 부여하여 자동적으로 동의되도록 하여서는 아니됨 

6. 타 업체의 개인정보 수집 ·이용 ·제공 동의를 대신 받아도 되는지?

A시스템에 수집된 회원의 개인 정보를 거래 회사의 C시스템에 제출해야 한다. 그런데 A시스템은 C시스템과 연계되어 있지 않아 중간에 중개회사의 B시스템을 경유하여야 한다. 이 경우 A시스템의 회원들에게 B시스템에 대한 제3자 제공 동의를 받는다면, 데이터 전달이 가능할까?

 

(답변) 개인정보를 제3자 제공하려는 자가 정보주체로부터 제3자 및 제3자로부터 제공받는 자를 알리고 동의받아 처리할 수 있음

  • 보호법 제15조 제2항 및 제17조 제2항에 따라 개인정보처리자가 동의를 받을 때에는 동의에 필요한 사항을 정보주체에게 알려야 하며, 그 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
  • 제19조(개인정보를 제공받은 자의 이용 ·제공 제한)에 따라 개인정보처리자로부터 개인정보를 제공받은 자는 1. 정보주체로부터 별도의 동의를 받은 경우, 2. 다른 법률에 특별한 규정이 있는 경우의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 됨

7. 공동주택 입주민의 찬반투며 연명부에 성명을 기재해도 되는지?

(답변) 서명란 옆에 수집 ·이용 ·제공 동의란을 만들어 입주민이 성명 수집 등에 동의를 표시하면 보호법에 위반되지 않을 것으로 판단됨

  • 보호법 제15조 제1항 제1호 및 제17조 제1항 제1호에 따라 개인정보처리자는 정보주체의 동의를 받은 경우 개인정보를 수집 ·이용할 수 있고, 제3자에게 제공할 수 있음
  • 공동주택 입주민의 찬반투표 연명부를 제시하거나, 서명을 받는것은 의견에 대한 입주민의 개인정보를 수집 ·이용 ·제공하는 것이므로 이에 대한 개인정보 수집 ·이용 ·제공 동의란을 만들어 입주민이 동의를 표시하도록 해야함
  • 사생활 침해를 최소화하기 위해 연명부에 '기재된 개인정보를 권한없는 제3자에게 제공 시 보호법에 위반될 수 있음' 이라는 문구를 기재하고, 본인의 서명란만 보이도록 가림장치등을 통해 개인정보를 보호하는 것이 바람직함

8. 관리사무소 직원에 대한 입주민의 폭언을 녹음·촬영해도 되는지?

(답변) 폭언 ·폭행의 위협에 대한 자제 요청에도 이를 무시하고 계속한다면 사전고지 후 녹음 ·촬영을 할 수 있음

  • 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하고, 개인정보처리자의 정당한 이익과 상당한 관련이 있으며, 합리적인 범위를 초과하지 아니하는 경우 정보주체의 동의를 받지 않고 개인정보를 수집할 수 있음(보호법 제15조 제1항 제6호)
  • 개정 보호법 제25조의2(이동형 영상정보처리기기의 운영 제한)에 따르면 보호법 제15조 제1항에 따른 수집 및 정보주체가 촬영 동의를 구하는 데 대해 거부 의사를 밝히지 않는 경우 촬영 및 녹음기능을 사용할 수 있음
  • 본인이 아닌 제 3자가 공개되지 아니한 타인의 대화를 녹음하는 경우 「통신비밀보호법」 제3조에 위반할 수 있음
  • 공동주택 내 입주민 및 방문객의 폭언 ·폭행 등 발생 시, 먼저 자제 요청을 하였음에도 응하지 않을 경우 상황을 녹음하거나 촬용할 수 있도록 안내함

9. 입주민 주차 관련 설문조사를 통해 수집할 수 있는 개인정보 항목은?

(답변) 입주민 확인을 위한 동 호수, 등록할 차량의 차량번호, 주차관리에 필욯안 긴급연락처를 수집 ·이용할 수 있음

  • 관리주체인 아파트 관리사무소는 「공동주택관리법」 제64조 등 법령상 의무수행을 위해 필요한 경우 주차관리 또는 입주자 명부 작성을 위해 필요한 개인정보를 수집할 수 있음
  • 동 ·호수와 같이 입주민임을확인할 수 있는 정보, 차량번호, 긴급연락처 정도가 필요한 최소한의 범위 내의 적법한 개인정보 수집에 해당함

 10. 가게에서 남의 물건을 가져간 고객에게 연락해도 되는지

고객이 계산한 물건이 아닌 다른 고객의 물건을 가져간 경우, 가게 주인이 물건을 잘못 가져간 고객에게 연락해서 물건 반환을 요청하는 경우 보호법 위반에 해당하는가?

 

(답변) 가게주인은 고객에게 연락하여 물건의 반환을 요청할 수 있음

  • 보호법 제15조 제3항에 따라 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있음
  • 보호법 시행령 제14조의2 제1항에서는 개인정보처리자가 '당초 수집 목적과 관련성이 있는지 여부', '개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부', '정보주체의 이익을 부당하게 침해하는지 여부'등을 고려하여 정보주체의 동의 없이 개인정보를 추가적으로 이용할 수 있다고 규정하고 있음
  • 물건을 반환 요청 행위는 '당초 수집목적' 인 구매계약과 관련성이 있고, 구매 계약을 체결하지 않은 물건을 잘못 수령했을 때 고객에게 반환 의무가 있다는 점은 고객 관점에서 충분히 예측 가능하며, 해당 상품을 반환하더라도 고객의 이익을 부당하게 침해하지 않음
  • 따라서 구매계약 체결 및 이행을 목적으로 수집한 개인정보를 구매계약을 체결하지 않은 물건의 반환을 목적으로 이용할 수 있음 

11. 퇴사자의 개인정보를 경력증명 발급에 이용해도 되는지?

「표준 개인정보 보호지침」 제6조에 따라 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 규정된 일정한 사항을 위해 동의 없이 개인 정보를 수집 ·이용할 수 있다. 퇴사자의 경력증명서 발급을 위해 개인정보를 동의 없이 처리할 수 있는가?

 

(답변) 사용자는 퇴시자의 경력증명서 발급 정보를 동의 없이 처리할 수 있으나, 그 외의 개인정보는 동의 없이 처리할 수 없음

  • 보호법 제15조 제1항에 따라 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 개인정보처리자는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있음
  • 「표준 개인정보 보호지침」 제6조 제6항에 따라 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금 지급, 교육, 증명서 발급, 근로자 복지 제공을 위하여 근로자의 동의없이 개인정보를 수집·이용할 수  있음
  • 「근로기준법」 제39조 제1항에 사용자는 근로자가 퇴직한 후라도 사용 기간, 업무 종류, 지위와 임금, 그 밖에 증명서를 청구하면 사실대로 적은 증명서를 즉시 내주도록 규정하고 있음
  • 「근로기준법 시행령」 제19조에서 같은 법 제39조 제1항에 따라 사용증명서를 청구할 수 있는 자는 계속하여 30일 이상 근무한 근로자로 하되, 청구할 수 있는 기한은 3년 이내로 제한하고 있음
  • 사용자는 퇴사자의 경력증명서 발급을 위해 퇴사자의 개인정보를 처리 할 수 있으나, 퇴사자가 요구한 경력증명서 발급에 필요한 개인정보 이외의 개인 정보는 퇴사자의 동의 없이 처리할 수 없음

12. 판결문 원본을 공동주택 게시판에 게새해도 되는지?

(답변) 과태로 불처분 결정문의 성명은 개인정보로서 정보주체가 동의한 경우에 한하여 공개할 수 있음

  • 과태료 불처분 결정문에 포함된 입주자대표회의 회장, 관리주체 대표자, 판사 성명 등은 내부 업무처리 과정에서 법인 또는 단체에 관한 정보로 볼 수 있으나 홈페이지와 게시판에 공개하는 경우 개인정보로 취급될 수 있음으로 개인을 알아볼 수 없도록 조치하여야 함
  • 다만, 회장, 관리주체 대표자가 공개에 동의한 경우 실명을 공개할 수 있음

13. 보험회사가 자문받으려는 의료기관을 고객에게 알려야 하는지?

(답변) 원칙적으로 개인정보를 제공받는 제3자를 구체적으로 알려야 하지만 특별한 사정이 있는 경우에는 특별한 사정 및 제3자의 유형 등으로 알릴 수 있음

  • 보호법 제17조 제1항에 따라 개인정보처리자는 동항 제1호의 정보주체의 동의를 받은 경우 정보주체의 개인정보를 제3자에게 제공할 수 있으며, 동의를 받을 때 동조 제2항 제1호에 따라 ‘개인정보를 제공받는 자’를 정보주체에게 알려야 함
  • 개인정보처리자인 보험회사는 보험계약자의 동의를 받아 보험계약자의 개인정보를 제3자인 '의료기관'에 제공할 수 있으며, 이 경우 원칙적으로 해당 '의료기관'을 보험계약자가 알 수 있도록 알려야 함
  • 다만, 제3자의 특정이 어려운 특별한 사정이 있는 경우, 특별한 사정 및 제3자의 유형 등을 알리고 동의를 받을 수 있음

14. 조합에서 받은 조합원 명부를 다른 조합원과 공유해도 되는지?

(답변) 조합원이 조합으로 부터 받은 조합원 명부를 다른 조합원과 공유할 수 있으나, 조합원이 아닌 제3자와 공유하면 보호법에 위반함

  • 도시정비법 제124조에서 조합원에게 명부를 열람할 자격을 부여하였고, 제6항에 ‘제4항에 따라 열람·복사를 요청한 사람은 제공받은 서류와 자료를 사용목적 외의 용도로 이용·활용하여서는 아니 된다.’라고 규정하여 목적 내 용도로 이용·활용할 수 있도록 하였음
  • 따라서, 조합원 간 명부를 공유하는 것은 보호법상 목적 범위 내 제3자 제공에 해당하는 것으로 도시정비법에 위반되지 않음
  • 다만, 제3자에게 명부를 공유하는 내용이 규정되어 있지 않아 보호법 제19조가 적용되어 개인정보처리자로부터 개인정보를 제공받은 자는 1. 정보주체로부터 별도의 동의를 받은 경우, 2. 다른 법률에 특별한 규정이 있는 경우의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 됨

15. 강제탈퇴 조치한 회원의 개인정보는 즉시 파기해야 하는지?

1년간 미접속한 고개을 대상으로 개인정보 파기를 진행하고자 하는데 혹시 해당 미접속자가 이전에 앱 내에서 구매한 재화가 남아있다면 파기에 문제가 되는가?

 

(답변) 개인정보 보유기간이 경과했더라도 다른 법령의 규정이 있으면 파기하지 말고 보관하여야 하나, 다른 개인정보와 분리 보관하여야 함

  • 보호법 제21조 제1항에 따르면 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 함. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니함
  • 제3항에서는 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리 하여서 저장ㆍ관리하도록 함
  • 따라서, 고객이 앱 내에서 구매한 포인트 등 거래내역은 「전자상거래법」에 따라 5년간 파기하지 않고 분리 보관하여야 함

16. 스마트폰에서 인증한 지문정보는 민감정보에 해당하는지?

정보주체의 지문정보를 추출하여 이용하려면 민감정보 수집·이용에 대한 동의를 받아야 하는 것으로 알고 있다. 그런데 앱이 정보주체의 지문정보에 접근하거나 저장하지 않고 스마트폰에서 본인 여부에 대해 확인한 결과값만 제공받는 것도 민감정보 이용에 해당하는가?

 

(답변) 스마트폰에 내장된 지문으로 본인확인한 결과값은 민감정보에 해당하지 않으므로 결과값 이용은 일반 개인정보의 이용에 해당함

  • 보호법 시행령 제18조 제3호에 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보를 민감 정보로 규정함
  • 이에 따라 기술적으로 추출한 지문, 홍채, 정맥, 안면 정보는 민감정보에 해당함
  • 다만, 정보주체가 스마트폰에 지문정보를 등록하고 필요할 때 지문을 입력하여 본인이 맞는지에 대해 확인만 하고 스마트폰이 결과값으로 예, 아니오만 제공한다면 이는 민감정보에 해당하지 않으므로 앱이 이를 이용하는 경우 민감정보 이용에 대한 동의를 받지 않아도 됨

17. 회사에서 직원의 주민등록번호를 수집해도 되는지?

(답변) 회사가 단체보험 및 4대보험 가입, 급여에 대한 소득세 원청진수 등을 위해 주민등록번호를 수집할 수 있음

  • 회사가 단체보험 가입을 위하여 직원의 주민등록번호를 처리 (「보험업법 시행령」 제102조 제5항 제4호, 「상법」 제735조의3에 근거)하는 것은 가능하며, 4대 보험 가입, 급여에 대한 소득세 원천징수 등을 위해 관련 법령에서 정하는 바에 따라 기업이 해당 입사자의 주민등록번호를 수집하는 것은 가능함

18. 영상정보처리기기게 한시적으로 음석 녹음을 하여도 되는지?

민원일 응대직원의 신변 보호를 위해 민원실에 설치된 CCTV에 한시적으로 녹음 기능을 부여하는 것은 가능한가?

 

(답변) 공개된 장소에서 영상정보처리기기를 통하여 녹음하는 행위는 한시적이라도 보호법 제25조에 위반됨

  • 보호법 제25조 제5항에 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다고 규정하고 있음
  • 따라서, 한시적이라 하더라도 영상정보처리기기를 통해 음성을 녹음하면 보호법에 위반함
  • 다만, 공공기관의 경우 민원인의 폭언ㆍ폭행 등이 발생하였거나 발생하려는 때에 증거 수집 등을 위하여 불가피한 조치로서 휴대용 영상음성기록장비, 녹음전화 등을 운영할 수 있음(「민원 처리에 관한 법률 시행령」 제4조 제1항 제2호)

19. 개인영상정보 보관요청을 받으면 기간을 초과하여 보관해도 되는지?

CCTV 영상 보관기간이 30일로 정해져 있어 경찰에서 증거를 수집하기 전에 파기될 우려가 있다. 범죄 행위의 영상을 30일이 지나도 볼 수 있도록 따로 복사하여 보관하여도 괜찮은가?

 

(답변) 영상정보처리기기 운영·관리 방침에 보존요청에 관한 사항을 마련하여 별도 보존할 수 있음

  • 보호법 제25조 제7항에 영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 영상정보처리기기 운영·관리 방침을 마련하여야 한다고 규정하였으며 같은 법 시행령 제25조 제1항에는 영상정보의 보관기간을 포함하여 방침을 마련하도록 하고 있음
  • 최소한의 보관 기간, 추가 보관사유·보관기간 등을 CCTV 운영·관리 방침에 마련하여 공개한 경우 정보주체 또는 이해 관계자의 보관 요청이 있으면 개인정보 보호 책임자의 결재를 받아 해당 기간동안 별도 보관할 수 있음
  • 다만 다른 법령에 따라 파기하지 아니하고 보존해야 하는 영상정보는 다른 영상 정보와 분리하여 저장·관리하여야 함(법 제21조 제3항)

20. 직원의 연수비용을 회사에서 납부하면 개인정보 위탁인지?

연수 신청하면, 인사실 연수 담당자가 연수 신청내역 확인 후 연수비용 결제의 방법으로 연수를 실시하고 있다. 이 경우 개인정보 처리 위탁에 해당되는가?

 

(답변) 연수원이 회사의 이익을 위해 해당범위 내에서 개인정보를 처리하면 위·수탁으로 볼 수 있으나, 단순히 용역 구매로 볼 수도 있음

  • 회사가 직원들에게 연수원의 서비스를 이용하게 하고 회사가 직원을 대신하여 그 대가를 지급하는 경우 연수원은 회사의 이익을 위해 개인정보를 처리하는 것으로 볼 수 있음
  • 이 경우 회사가 직원의 명단을 사전에 연수원에 제공한다면 개인정보 처리 위·수탁의 관계로 볼 수 있음
  • 그러나 회사가 명단을 제공하지 않고 연수원의 청구에 따라 지급하거나, 직원이 납부한 금액을 개인별 정산하는 경우 단순히 연수원의 서비스 구매에 대해 회사에서 소요 비용을 지원해주는 관계로 볼 수 있음

21. 중소기업이 규모가 큰 수탁자를 감독할 수 있는지?

(답변) 수탁자 관리 방법에는 전문기관을 통한 대행, 원격 점검, 솔루션 배포 등 다양한 방법이 있음

  • 개인정보 처리업무 위·수탁 계약을 체결하려면 위탁자는 업무위탁으로 인하여 정보 주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 함(보호법 제26조 제4항)
  • 위탁자의 수탁자 관리 방법에는 전문기관(관련 협회, 컨설팅 기관 등)을 통한 대행, 원격점검, 솔루션 배포 등 다양한 방법이 있으므로 「개인정보 처리 위・수탁 안내서 (2020.12)」를 참고

22. 개인정보파일 보유기간을 책정하는데 기준 가이드가 있는지?

「표준 개인정보 보호지침」에는 공공기관에 대하여 개인정보파일 보유 기간 책정 기준을 제시하는 것은 확인할 수 있었으나, 그 외 일반 회사에 대한 기준을 찾기가 어렵다. 개인정보 보유기간을 정하는 데에 참고할 가이드가 있을까?

 

(답변) 민간 기업에 관하여는 개인정보파일의 보유기간 책정기준을 별도로 규정하고 있지는 않음

  • 「표준 개인정보 보호지침」 제4장에 공공기관의 개인정보 파일 등록・공개에 대하여 규정하였고 [별표 1호]에는 개인정보파일 보유기간 책정기준표가 규정되어 있음
  • 그러나 민간에 관한 개인정보파일의 보유기간 책정기준을 규정하고 있지 않아 다음 몇 가지 고려 사항을 안내함
  1. 홈페이지 회원 가입의 경우 해당 사업자/단체 회원 탈퇴 시까지
  2. 홈페이지 이용 과정에서 채권·채무관계가 발생한 경우 해당 채권·채무관계 정산 시까지
  3. 재화 또는 서비스 제공의 경우 재화 또는 서비스 공급완료 ·요금결제 ·정산 완료시까지
  4. 관계법령 위반에 따른 수사 ·조사 등이 진행 중인 경우 해당 건 종료시까지

 

23. 개인정보 국외이전 시 정보주체로부터 동의를 받아야 하는지?

(답변) 정보주체의 동의를 받아 개인정보를 국외이전해야 하나, 계약체결 및 이행을 위한 처리위탁 ·보관의 경우 공개 또는 알림으로

  • (개정) 보호법 제28조의8 제1항에 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 법률, 조약, 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 없는 한 제2항 각 호에 따른 사항을 정보주체에게 알리고 별도의 동의를 받아야 함
  • 다만, 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁․보관이 필요한 경우 제2항 각 호의 사항을 개인정보처리방침에 공개하거나 전자우편 등의 방법으로 알린 경우 정보주체의 동의를 받지 않고도 국외이전 할 수 있음
  • 제28조의8 제2항의 정보주체에게 알려야 할 사항은 다음과 같음
  • 1. 이전되는 개인정보 항목, 2. 개인정보가 이전되는 국가, 시기 및 방법, 3. 개인 정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처), 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간, 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

24. 아파트 우편함에 쓰레기를 넣어두는 경우 CCTV를 봐도 되는지?

(답변) CCTV는 정보주체 본인과 관련된 영상만 열람이 가능하며 제3자의 영상은 모자이크 등 보호조치하여야 함

  • 보호법 제35조 제1항에 따라 정보주체는 개인정보처리자가 처리하는 자신의 개인 정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있음
  • 다만, 입주민이 CCTV를 열람하려면 정보주체인 본인과 관련된 내용만을 열람 할 수 있으므로 제3자인 쓰레기 투기자의 CCTV를 열람하려면 모자이크 처리 등 제3자를 알아볼 수 없도록 조치 후 열람할 수 있음
  • CCTV 영상 등 타인의 개인정보를 수집하여 개인적으로 문제를 해결하려는 경우 보호법 위반으로 형사벌 대상이 될 수 있으므로 유의해야 함

25. 열람을 거쳐야 개인정보 정정·삭제를 요구할 수 있는지?

(답변) 개인정보의 정정 ·삭제를 요구하려면 반드시 열람을 거쳐야 하며, 처리 정지, 동의 철회는 열람을 거치지 않고 가능함

  • 보호법 제4조 제1호의 개인정보의 처리에 관한 정보를 제공받을 권리와 관련하여, 정보주체는 개인정보 수집, 이용, 제공 등의 처리 목적과 범위 등에 관한 정보를 개인정보처리자로부터 제공받을 권리가 있음
  • 보호법 제35조(개인정보의 열람) 제1항에 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다고 규정하고 있고, 제36조(개인정보의 정정ㆍ삭제) 제1항은 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시 되어 있는 경우에는 그 삭제를 요구할 수 없다고 규정함
  • 따라서, 정정·삭제 요구는 반드시 열람을 거쳐야 할 수 있으며, 제37조의 처리정지, 제39조의7의 동의의 철회는 열람을 거치지 않고 요구할 수 있음

26. 여러 건의 개인정보를 열람 요청 시, 위임장을 건별로 제출해야 하는지?

(답변) 한 장의 위임장으로 여러 건의 개인정보 열람을 요구할 수 있음

  • 보호법 제38조(권리행사의 방법 및 절차) 제1항에 따라 정보주체는 제35조에 따른 열람, 제36조에 따른 정정·삭제, 제37조에 따른 처리정지, 제39조의7에 따른 동의 철회 등의 요구(이하 ‘열람등요구’)를 문서 등 대통령령으로 정하는 방법· 절차에 따라 대리인에게 시킬 수 있음
  • 보호법 시행령 제45조 제2항에 대리인이 법 제38조에 의해 정보주체를 대리할 때에는 개인정보처리자에게 보호위원회가 정하여 고시하는 정보주체의 위임장을 제출하여야 하며, 위임장을 제출받은 개인정보처리자는 「표준 개인정보 보호지침」 제44조에 따라 주민등록증·운전면허증·여권 등의 신분증명서를 함께 제출받아 정당한 대리인인지를 확인하도록 함
  • 위임장을 작성한 경우 정보주체의 개인정보 열람 요구에 관한 권한을 대리인에게 위임한 것으로 볼 수 있으나, 하나의 대리행위에 관하여 반드시 한 장의 위임장을 제출하도록 법정하고 있지는 않음
  • 따라 개인정보 처리자에게 여러 건의 개인정보 열람 및 제공을 요청하는 경우 정보주체와 대리인의 권한을 정하였고 대리행위가 본인을 위한 것임을 충분히 표현한다면 한 장의 위임장으로 여러 건의 개인정보 열람을 요구하여 무방

27. 면접 불참자에게 불이익을 주기 위해 개인정보를 이용해도 되는지?

(답변) 구직자로부터 동의를 받지 않으면 해당 개인정보를 면접불참에 따른 불이익을 제공할 목적으로 이용·보관할 수 없음

  • 「채용절차의 공정화에 관한 법률」에 따르면 구직자의 채용서류는 180일까지만 보관할 수 있고 해당 기간이 도과하면 보호법 제21조 제1항에 따라 해당 서류를 파기해야 함
  • 사업자는 채용확정일로부터 180일이 지나면 해당 채용정보를 파기해야 하고, 180일이 지나지 않았다 하더라도 해당 채용절차가 아닌 향후 채용절차에서의 ‘면접 불참자에 대한 불이익’을 목적으로 해당 채용정보를 이용할 수 없음
  • 다만, 개인정보를 수집할 때 해당 개인정보가 향후 ‘면접 불참자에 대한 불이익’ 목적으로 활용될 수 있음을 정보주체에게 사전에 알리고 동의를 받으면 채용확정일로부터 180일의 범위 내에서 해당 개인정보를 ‘면접 불참자에 대한 불이익’ 목적으로 이용할 수 있음

28. 회사가 일방적으로 퇴직 예정자의 업무용 PC를 점검해도 되는지?

(답변) 퇴직 예정자의 동의 없이 PC를 점검할 수 없음

  • (PC 열람) 보호법 제15조 제1항에 따라 정보주체의 동의를 받는 등 일정한 경우에 해당하지 않으면 개인정보를 수집·이용할 수 없음
  • 구체적 범죄 혐의 등 사유가 분명하고, 업무 관련 결과물에 해당해야 하며, 회사가 긴급히 확인하고 대처할 필요가 있어 해당 퇴직 예정자의 동의를 받을 수 없는 등의 특별한 사정이 인정되지 않는 한 퇴직 예정자의 동의 없이 회사가 제공한 PC를 열람할 수 없음

29. 동창회 명부를 발간할 때 전화번호를 공개해도 되는지?

(답변) 동창회가 동창 명부를 발간하면서 동창들의 전화번호를 공개하기 위해서는 정보주체인 동창들의 동의가 필요함

  • 전화번호는 해당 정보만으로 개인을 특정할 수 있기에 보호법 제2조 제1호의 개인정보에 해당함
  • 보호법 제58조 제3항에 따라 개인정보처리자가 동창회, 동호회 등 친목 도 모를 위한 단체를 운영하기 위하여 개인정보를 수집・이용하는 경우에는 같은 법 제15조, 제30조, 제31조가 적용되지 않음
  • 따라서, 동창회 회원 간에는 전화번호를 공유할 수 있으나 동창회의 회원 명부에 전화번호를 공개하여 제3자에게 제공하는 행위는 제58조 제3항에 해당하지 않으므로 정보주체인 회원의 동의를 받아야 함

30. 친구에게 민원인의 개인정보를 전달한 공무원을 처벌할 수 있는지?

(답변) 민원인이 개인정보를 다른 사람에게 제공한 경우 업무상 알게 된 개인정보의 제공금지에 위반할 수 있음

  • 민원인의 개인정보는 관련 법령에 따라 보관되어야 함에도 이를 제3자에게 제공 하였다면, 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위에 해당하여, 보호법 제59조 제2호 위반으로 제71조 제5호의 벌칙 규정에 따라 처벌될 수 있음

 

반응형
'⚡ IT+Security 노트/개인정보' Related Articles more