[CPPG] 개인정보보호위원회 카드뉴스로 알아보는 개인정보보법 준수여부 판단 사례

개인정보보호위원회에서는 개인정보 보호법 개정사항을 반영하고, 기존 법령 해석 사례집을 하나로 통합하여 정리한 ‘개인정보 보호법 해석 사례집‘을 발간하였습니다. 이와는 별도로 카드뉴스를 통해 알아보는 사례도 있습니다. 아래에 정리해 봤습니다.

네, 개인정보 처리(수집·이용, 제공 등)에 대한 동의를 받기 위해 ARS를 이용할 수 있습니다. 개인정보처리자가 정보주체의 개인정보 제공 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 하며, 이 경우 서면, 전화, 인터넷, 전자우편 등의 방법으로 개인정보 수집 동의를 받을 수 있습니다. 다만, 전화로 동의를 받는 경우 동의에 대한 입증책임은 개인정보처리자가 부담하고, 전화 통화에 응했다는 사실만으로는 동의의사가 있다고 볼 수 없으므로 정보주체의 음성을 녹음하는 등의 방법으로 동의의사를 확인받는 것이 필요합니다. 그리고 동의받은 내용은 해당 개인정보를 파기할 때까지 보관하여야 합니다.

감염병 확산으로 인해 '주의' 이상의 위기경보가 발령되면 ‘감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황, 감염병의 지역별·연령대별 발생 및 검사 현황’ 등 국민들이 감염병 예방을 위해 알아야 하는 정보를 신속히 공개해야 하지만 ‘성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등 감염병 예방과 관계없다고 판단되는 정보는 공개대상에서 제외됩니다.

네, 통장은 ‘주민등록법 시행령」에 따라 전입신고 내용이 사실인지 확인하기 위해 개인정보를 처리할 수 있습니다. 전입신고를 받은 시장·군수 또는 구청장은 신고된 내용이 포함된 사후확인용 자료를 전산으로 출력하여 신고일부터 15일 이내에 관할 통장에게 보내야 하고, 통장은 자료를 받은 날부터 15일 이내에 신고 내용이 사실인지를 확인한 후 그 결과를 해당 시장·군수 또는 구청장에게 알려야 합니다. 따라서 통장이 개인정보취급자로서 주소지 방문, 전화 등으로 전입을 확인하는 행위는 주민등록법령에서 규정한 사실조사 의무를 준수하기 위함이므로 개인정보를 수집·이용할 수 있습니다.

네, 원칙적으로 개인정보처리자는 열람을 요구받았을 때 10일 이내에 열람할 수 있도록 해야 합니다. 다만, 열람을 요구한 정보주체 이외의 자를 알아볼 수 있는 경우 등에는 보호조치를 취해야 하며, 법률에 따라 열람이 금지되거나 제한되는 경우, 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 등에는 열람을 제한하거나 거절할 수 있습니다.

자동차등록번호는 자동차관리법에 따라 자동차에 부여된 일련번호로 일반적으로는 개인정보가 아니지만, 예를 들어 이미 자동차등록번호가 포함된 개인정보 DB를 보유하고 있거나 다른 기관에서 자동차등록번호 조회를 통해 다른 개인정보를 제공받을 수 있는 등 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 특수한 상황에서는 개인정보에 해당할 수 있습니다.

네, 영상정보는 반드시 30일 이내로 보관해야 하는 것은 아니며, CCTV 설치 목적달성을 위해 필요한 최소한의 기간동안 보관할 수 있습니다. 따라서 CCTV 설치 목적 등 해당기관의 특성에 따라 보관 목적 달성을 위해 필요한 최소한의 보관기간을 「고정형 영상정보처리기기 운영·관리 방침」에 포함하여 공개하고 그 기간 동안 보관하면 되며, 최소한의 기간을 산정하기 곤란한 경우에는 보관기간을 30일 이내로 정하시면 됩니다.

가상자산 지갑주소는 가상자산 거래자를 표시하는 수단으로, 그 주소를 사용하는 사람의 인적사항을 알 수 없고, 불가역적인 공개키 암호화 기술로 생성되고 관리되므로 그 자체만으로는 특정 개인을 식별하는 것이 어려울 수 있습니다. 그러나 당해 거래소가 이행한 실명확인 결과와 결합하거나 연계된 은행의 실명확인 입출금 계정의 명의자 정보와 결합하여 그 지갑의 주인이 누구인지 알아볼 수 있다면 가상자산 지갑주소는 다른 정보와 결합하여 특정 개인을 알아볼 수 있는 개인정보에 해당할 수 있습니다.

네, 해당합니다. 엑셀, 한글 등 상용프로그램에서 제공하는 비밀번호 설정 기능을 사용하여 암호화를 적용하는 것도 보호법상 암호화 조치에 해당할 수 있습니다. 다만, 파일 암호화 후 해당 파일명에 비밀번호를 기재해둔 경우라면 이는 암호화에 해당하지 않습니다.

아니요, 졸업앨범에 교사의 사진을 넣으려면 해당 교사의 동의가 필요합니다. 개인정보처리자는 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있고 그 수집 목적의 범위에서 이용할 수 있습니다. 따라서, 졸업앨범을 제작할 때 앨범에 교사의 사진을 넣으려면 “개인정보 수집·이용 목적, 수집하려는 개인정보 항목” 등을 교사에게 알리고 동의받을 필요가 있습니다.

아니요, CCTV를 설치·운영하는 경우에는 녹화 여부와 관계없이 관리책임자를 지정해야 합니다. CCTV 등 고정형 영상정보처리기기운영자는 안내판 설치, 안전성 확보조치, 운영·관리 방침 마련, 관리책임자 지정, 목적 외 이용·제공, 파기, 정보주체의 요구에 대한 조치사항 기록·관리 등 의무를 준수하도록 규정하고 있으므로 녹화를 하고 있지 않더라도 CCTV를 설치·운영 중이라면 해당 고정형 영상정보처리기기운영자는 관리책임자를 지정해야 합니다.

네, 보호법이 적용됩니다. 보호법 제25조에 따른 고정형 영상정보처리기기의 설치·운영 제한 규정은 공개된 장소로 제한하여 규율하고 있으나 비공개된 장소에 설치된 고정형 영상정보처리기기라 하더라도 이를 통해 수집되는 영상정보는 개인정보에 해당하므로 보호법 제25조를 제외한 다른 규정이 적용됩니다. 따라서 비공개장소에 고정형 영상정보처리기기를 설치·운영하여 업무를 목적으로 개인영상정보 파일을 운용하는 자는 그 구성원이나 출입 이용이 허가된 사람들의 동의를 받거나 개인정보가 분실·도난 유출·위조·변조 또는 훼손되지 않도록 내부관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 합니다.

아니요, 개인이 특정되지 않은 통계자료는 원칙적으로 개인정보에 해당하지 않습니다. 특정 직급 전체 인원의 급여총액은 법인이나 단체에 관한 정보 내지는 개인이 특정되지 않은 통계 정보로서 개인정보에 해당하지 않습니다. 다만, 예외적으로 특정 직급의 전체 인원이 1명인 경우 등에는 특정 개인의 급여를 쉽게 알 수 있으므로 개인정보에 해당할 수 있습니다.

네, 경찰은 습득물 신고를 접수받을 때 습득자의 주민등록번호를 수집할 수 있습니다. 타인이 유실한 물건을 습득한 자는 이를 신속하게 유실자 또는 소유자, 그 밖에 물건회복의 청구권을 가진 자에게 반환하거나 경찰서에 제출해야 하며, 특히 경찰서에 습득물을 제출할 때에는 습득물 신고서를 작성한 후 이를 함께 제출해야 합니다. 유실물법 시행령에는 습득물 처리 업무 수행을 위해 주민등록번호를 처리할 수 있도록 명시하고 있습니다. 이는 보호법령에서 주민등록번호의 처리를 허용한 경우에 해당하므로 경찰은 유실물 습득자의 주민등록번호도 수집할 수 있습니다.

표준 개인정보 보호지침에서는 다른 법률에 보관기간을 명시하지 않은 경우 30일 이내로 보관하도록 안내하고 있습니다. ‘어린이집’의 경우 영유아보육법에 따라 CCTV에 기록된 영상정보를 60일 이상 보관하여야 하는데, ‘키즈카페’는 영유아보육법상 어린이집에 해당하지 않으므로 특별한 규정이 없는 다른 장소와 마찬가지로 영상 수집 후 30일 이내로 하여 보관하면 됩니다.

아니요, 지인이라고 하더라도 정보주체인 본인의 동의 없이는 개인정보를 수집·이용할 수 없습니다. 개인정보처리자는 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실과 함께 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보주체에게 알리고 동의를 받은 경우에만 개인정보를 수집·이용할 수 있습니다. 따라서 정보주체가 아닌 제3자의 동의를 받아 개인정보를 수집·이용 하는 행위는 정보주체의 동의 없이 수집하는 것으로 위법한 행위에 해당합니다.

아니요, 원칙적으로 사망자의 정보는 개인정보보호법상의 개인정보에 해당하지 않습니다. 보호법상 ‘개인정보’는 살아 있는 개인에 관한 정보로서 ‘개인을 알아볼 수 있는 정보’ 및 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’를 의미하므로 사망했거나 관계 법령에 따라 사망한 것으로 보는 자에 관한 정보는 원칙적으로 개인정보에 해당하지 않습니다. 다만, 사망자에 관한 정보라 하더라도 유족과의 관계를 알 수 있는 정보인 경우에는 살아있는 유족의 개인정보에 해당할 수 있습니다.

치아 엑스레이 사진만으로 누구의 사진인지 알아볼 수 없는 경우에는 개인정보로 보기 어려우나, 엑스레이 사진에 대한 설명 데이터가 있어 이를 쉽게 결합하여 개인을 알아볼 수 있는 경우 개인정보에 해당합니다.

네, 사고차량 차주가 보험사에 위임장을 제출하였다면 보험사가 차주를 대리하여 개인영상 정보 열람이 가능합니다. 정보주체는 자신의 개인정보에 대한 열람을 요구할 수 있고 관련 법이 정한 방법과 절차에 따르면 대리인을 통해서도 열람을 요구할 수 있습니다. 또한 열람을 요구받은 개인정보처리자는 10일 이내에 정보주체 또는 대리인이 해당 개인정보를 열람할 수 있도록 해야 합니다.

아니요, 공개된 장소에서 CCTV와 같은 고정형 영상정보처리기기를 통해 녹음하는 것은 금지됩니다. 고정형 영상정보처리기기운영자는 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비춰서는 안되며, 녹음기능은 사용할 수 없습니다. 따라서 CCTV를 통해 음성을 녹음하는 것은 보호법 위반에 해당합니다.

네, 회사를 상대로 개인정보 처리정지를 요구하여 단체 문자 메시지를 전송하지 않도록 할 수 있습니다. 요구를 받은 회사(개인정보처리자)는 지체 없이 개인정보 처리의 전부 또는 일부를 정지해야 하고, 처리가 정지된 개인정보를 파기해야 합니다. 개인정보처리자는 개인정보 처리정지 요구를 받은 날부터 10일 이내에 해당 개인정보의 처리정지 조치를 하였으면 그 조치를 한 사실을, 처리정지 요구에 따를 수 없다면 그 사실 및 이유와 이의제기 방법을 해당 요구자에게 알려줘야 합니다.

모두 같은 건물 내에서 설치·운영하는 경우라면 대표적인 안내판만 설치해도 됩니다. CCTV 등 고정형 영상정보처리기기운영자는 고정형 영상정보처리기기가 설치·운영되고 있음을 정보주체가 쉽게 알아볼 수 있도록 안내판을 설치하여야 합니다. 다만, 건물 안에 여러 대의 고정형 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 고정형 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있습니다.

개인정보처리자가 정보주체의 개인정보 제공 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 하며, 이 경우 서면, 전화, 인터넷, 전자우편 등의 방법으로 개인정보 수집 동의를 받을 수 있습니다. 다만, 전화로 동의를 받는 경우 동의에 대한 입증책임은 개인정보처리자가 부담하고, 전화 통화에 응했다는 사실만으로는 동의의사가 있다고 볼 수 없으므로 정보주체의 음성을 녹음하는 등의 방법으로 동의의사를 확인받는 것이 필요합니다. 그리고 동의 받은 내용은 해당 개인정보를 파기할 때까지 보관하여야 합니다.

네, 고객들에게 미리 알려야 합니다. 개인정보처리자는 영업 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우 정보 주체에게 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법을 이용하여 미리 개별적으로 알려야 하며, 위와 같은 방법으로 알릴 수 없는 경우 인터넷 홈페이지에 30일 이상 게재하여야 합니다.

네, 원칙적으로 개인정보처리자는 열람을 요구 받았을 때에는 10일 이내에 열람할 수 있도록 하여야 합니다. 다만, 열람을 요구한 정보주체 이외의 사람을 알아볼 수 있는 경우 등에는 보호조치를 취하여야 하며, 법률에 따라 열람이 금지되거나 제한되는 경우, 다른 사람의 생명·신체를 해할 우려가 있거나 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 등에는 열람을 제한하거나 거절할 수 있습니다.

온라인으로 물품이나 음식의 주문 계약을 체결하는 경우 「전자상거래법」에 따라 물품(음식)의 공급에 관한 기록을 5년 동안 보존할 수 있지만, 탈퇴 등의 경우에는 개인정보를 파기하거나 별도로 분리하여 저장·관리해야 합니다. 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 ‘개인정보가 불필요하게 되었을 때’에는 불필요하게 된 날부터 근무일 기준 5일 이내에 그 개인정보를 파기하여야 합니다. 파기 시점은 온라인을 통하여 물품이나 음식을 최종적으로 주문한 다음 날부터 기산합니다.

사업자가 이동형 영상정보처리기기를 이용하여 개인을 촬영하는 것은 얼굴, 행동 등 해당 개인을 식별할 수 있는 ‘개인영상정보’를 수집하는 것으로 이를 위해서는 보호법 제15조의 수집·이용 요건을 갖추어야 합니다.

개인정보 처리를 위한 동의를 받을 때에는 ‘동의를 받아야 하는 사항’과 ‘동의를 받지 않아도 되는 사항’을 구분하여야 합니다. 동의를 받을 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 하고, 동의를 받지 않아도 처리할 수 있는 개인정보를 처리하는 경우, 해당 처리와 관련된 개인정보 항목, 목적 및 처리 근거 등을 정보주체가 알 수 있도록 안내하여야 합니다.

블랙박스 촬영 영상을 마스킹 처리하였다고 하더라도 촬영 장소, 날짜 및 시간, 자동차 등록번호 등과 쉽게 결합하여 특정 개인을 알아볼 수 있으므로 해당 정보주체의 동의를 받은 경우에만 유튜브 등 온라인 플랫폼을 통하여 제공할 수 있습니다. 다만, 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보의 경우에는 정보주체의 동의를 받지 않고 제공할 수 있습니다.

아파트 관리사무소가 공동주택 관리를 위해 방문자에게 필요한 최소한의 범위에서 개인정보를 수집해 이용할 수 있습니다. 그러나 해당 정보를 방문차량에 부착하도록 하는 행위는 사생활을 지나치게 침해할 수 있으므로 경비실 내에 비치된 방명록 작성 등을 통해 처리하고 안전하게 관리해야 합니다.

온라인 화상회의 또는 수업 중 참석자의 얼굴, 음성, 발언 등 개인정보가 참석자 간에 서로 공유되는 것은 참석자 상호 간 자발적인 정보제공으로서 개인정보의 유출 또는 제3자 제공으로 볼 수 없습니다.

「개인정보 보호법」 제36조에 따르면 자신의 개인정보를 열람한 주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있습니다. 개인정보분쟁조정위원회는 공공기관이 접수한 상담내역은 「공공기록물 관리에 관한 법률」에서 말하는 기록물에 속하며, 공공기관은 법령에 따라 개인정보를 일정기간 동안 보유해야 하므로 신청인의 개인정보 삭제 요구를 거부한 공공기관의 행위는 위법하지 않다고 결정하였습니다.

관리주체인 아파트 관리사무소는 「공동주택관리법 제64조 등 법령상 의무수행을 위해 필요한 경우 주차관리 또는 입주자 명부 작성을 위해 필요한 개인정보를 수집할 수 있습니다. 이에 따라 입주민 확인을 위한 동·호수, 등록할 차량의 차량번호, 주차관리에 필요한 긴급연락처를 수집·이용할 수 있습니다.