[보안] 개인정보 처리, 이용, 보관, 파기, 위탁 시 준수사항

 개인정보를 다룰 때에는 개인정보보호법을 준수해야 합니다. 개인정보 포털에서 제공하는 준수사항에 대하여 알아봅니다.

 

[ Contents ]

 

 

1. 개인정보 처리 시 준수사항

- 꼭 필요한 정보가 아닌 경우, 선택 정보로 분류하고 제공을 거부할 수 있도록 해야 함
  (선택정보제공 거부 시에도 재화 또는 서비스 제공을 거부해선 안됨)
- 목적에 필요한 최소한의 개인정보를 수집해야 하며, 입증 책임은 개인정보처리자에게 있음
- 법률 특별 규정, 법령상 의무 준수, 계약 체결 및 이행에 필요한 경우
   => 동의 없이 개인정보를 수집할 수 있음
- 만 14세 미만 아동의 개인정보를 처리하는 경우
   => 법정대리인의 동의 필요
- 정보의 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분해서 동의 받음
   => 동의 없이 처리할 수 있는 개인정보의 입증 책임은 개인정보처리자에게 있음

 예를 들어 개인정보 처리자가 회원가입 시 정보주체의 마케팅 수신 동의 항목을 필수 동의 항목으로 분류하고, 마케팅 수신에 동의하지 않을 경우 회원가입을 하지 못하도록 했으면 '위법'입니다.

 또한 수집출처, 처리목적, 처리정지 요구권 등은 정보주체의 요구가 있으면 즉시 고지해야 합니다. 개인정보 처리자가 5만 명 이상의 민감정보 또는 고유식별정보를 처리하거나, 100만 명 이상의 개인정보를 처리하는 요건에 해당한다면 별도의 요구가 없이도 정보주체에게 고지해야 합니다.

 요즘 개인정보처리 관련해서 이메일로 고지하는 경우가 해당 사항입니다.

 

 

 

2. 개인정보 이용 시 준수사항

- 가명정보는 정보주체의 동의 없이 통계작성, 과학적 연구, 공익적 기록보존 등 목적으로 이용 가능
  => 하지만, 서로 다른 개인정보처리자가 가명정보를 결합할 경우 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관을 통해 수행해야 함
- 개인정보에 정보를 추가하여 처리하거나 이용할 때에는 원래의 수집 목적과 관련된 범위 내에서는 정보주체의 동의 없이 개인정보 이용 가능
- 개인정보 제공 시에는 법률에 근거가 있거나 동의를 받은 경우를 제외하고 목적 외로 제공해서는 안 됨.

 이번 데이터 3법이 통과되면서 가명정보는 정보주체의 동의 없이도 통계, 연구 및 공익적 목적으로 사용할 수 있게 되었습니다. 사실상 AI나 빅데이터 분석을 위한 제재 완화로, 개인식별정보를 가명처리한 데이터는 AI 학습 데이터로 사용할 수 있습니다.

 또한, 원래의 수집 목적과 관련된 범위 내에서는 정보주체의 동의 없이 개인정보를 사용할 수 있습니다. 다만 문제가 생겼을 시, 그 관련성을 증빙하는 책임은 개인정보 처리자가 지게 됩니다.

 

 

 

3. 개인정보 보관 시 준수사항

- 개인정보처리자는 개인정보를 안전하게 처리하기 위해 마련한 정책, 지침, 표준 문서 등을 업데이트하고 공개
- 개인정보 유출 => 해당 정보주체에게 유출사실 등을 통지하고 통지 및 피해확산 조치 결과를 관련기관에 신고
- 정보주체가 열람요구권, 사본요구권, 정정.삭제요구권, 처리정지요구권, 동의철회권 등을 쉽게 행사할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개
- 정보주체의 열람 등 요구를 거절할 때에는 거절 사유를 밝히고 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내
- 개인정보 취급자에 대한 관리 감독 => 임직원, 파견근로자, 시간제근로자 등 “개인정보 취급자”에 대하여 적절한 관리ㆍ감독과 함께, 정기적으로 필요한 교육도 실시
- 정보통신 서비스 제공자 등은 개인정보의 이용 및 제공 내역을 주기적으로 정보주체에게 통지
 => 정보통신 서비스 제공자 등은 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 강구해야 하고, 만약 국내에 주소 또는 영업소가 없는 정보통신 서비스 제공자라면 국내대리인을 서면으로 지정해야 함

 별도로 공공기관에서는 개인정보 파일을 등록하고 공개해야하는 의무가 있습니다. 공공기관 장이 개인정보 파일의 명칭, 운영 근거 등을 개인정보보호위원회에 등록하고, 등록한 사항이 변경되는 경우에는 변경등록을 해야 합니다.

 

 

 

4. 개인정보 파기 시 준수사항

- 개인정보 파기는 보유기간이 경과되었거나, 개인정보의 처리 목적을 달성한 경우 지체 없이 이행
- 다른 법령에 따라 개인정보를 파기하지 않고 보존해야 하는 경우 => 다른 개인정보와 분리해서 저장하여 관리
- 정보통신 서비스 제공자 등은 서비스를 1년 이상 이용하지 않은 정보주체의 개인정보는 파기하거나 별도 보관

 1년 이상 로그인을 하지 않은 이용자는 '휴면 계정'으로 따로 분리하여 보관하도록 되어 있습니다. 그래서 간혹 본인인증을 통해 휴면 계정을 복구한 후, 사용하는 일이 생기죠.

 한편 교육기관 등에서는 졸업생의 개인정보를 따로 분리해서 보관합니다. 이를 학적 이관이라고 하는데, 보존해야하는 개인정보는 따로 저장하여 관리해야 합니다.

 

 

 

5. 개인정보 위탁 시 준수사항

- 위탁 업무의 목적, 범위 등이 포함된 문서로 위탁을 해야 하며, 위탁하는 업무의 내용과 수탁자의 이름을 정보주체가 언제든지 쉽게 확인할 수 있도록 개인정보 처리방침 상에 공개,
- 위탁자 관리감독 철저: 개인정보 수탁자가 관련법을 위반하여 발생한 손해배상책임에 대해서는 수탁자를 개인정보처리자의 소속 직원으로 간주

 회원 약관을 살펴보면, 개인정보 위탁사에 대한 정보가 자세히 나와있는 걸 볼 수 있습니다. 예전에는 그저 제 3자에게 개인정보가 위탁될 수 있다고만 명시했었죠.

 모든 업무를 본사에서 처리하진 않으니, 자회사 및 하청업체에 정보가 위탁되는 건 어쩔 수 없습니다. 하지만 그에 대한 관리책임은 본사에서 부담해야 합니다. 개인정보 수탁자는 개인정보 처리자의 소속 직원으로 간주되며, 그 책임을 피해갈 수 없습니다. (ex 하청 업체 관리감독을 좀 더 철저히 하겠다...)