개인정보 처리 통합 안내서 질의 응답 모음(2025-07-14 기준)

개인정보 처리 통합 안내서 질의 응답 모음(2025-07-14 기준)

■ 법 제15조(개인정보의 수집ㆍ이용) 제1항 제4호 “정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우”에서의 ‘계약’은 반드시 서면의 방법에 따라야 하는지?

➡ 계약서 형식의 서면이 아니더라도 일상적으로 이루어지는 구두계약 등도 상호 의사표시의 합치(합의)가 있었다는 사실이 명확하다면 계약의 범위에 포함될 수 있음

■ 법 제15조 제1항 제4호에서 ‘정보주체의 요청에 따른 조치’는 계약 이행과 계약 체결 과정 모두에 요구되는 것인지?

➡ 해당 규정은 ①‘정보주체와 체결한 계약을 이행’하는 경우와 ②‘계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행’하기 위하여 필요한 경우를 구분하여 규정하고 있으므로 정보주체의 요청에 따른 조치는 계약 체결 과정에서 요구되는 사항임

■ 개인정보처리자가 온라인으로 제공하는 서비스의 안전성 확보를 위해 서비스에 접속하는 이용자의 접속기록 등의 정보를 부정접속 방지를 목적으로 수집하여 이용하는 것이 가능한지?

➡ 개인정보처리자에게는 자신이 운영하는 온라인 서비스에 대한 안전조치를 통해 정상적인 이용자 보호 및 시스템의 안정적 운영을 위한 정당한 이익이 존재하고, 이는 부정 접속하는 이용자의 권리에 비해 명백하게 우선한다고 볼 수 있으므로 법 제15조 제1항 제6호 “개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.”에 따라 접속기록 등의 정보를 부정접속방지를 목적으로 수집하여 이용할 수 있음

■ 긴급하게 인명 구조가 필요한 상황에서 가족 등 보호자의 개인정보를 동의 없이 수집하여 이용할 수 있는지?

➡ 법 제15조 제1항 제5호에서는 ‘명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우’에는 개인정보를 수집하여 이용할 수 있도록 규정하고 있으므로, 긴급하게 인명 구조가 필요한 상황에서는 골든타임 내 구조를 위해 우선 조치할 수 있음.

➡ 2023년 법 개정으로 개인정보 수집ㆍ이용(법 제15조 제1항 제5호) 뿐만 아니라 목적 내 제공(법 제17조 제1항 제2호), 목적 외 이용ㆍ제공(법 제18조 제2항 제3호)에도 동일하게 개정하였음. 따라서, 생명ㆍ신체 등을 구조해야 하는 급박한 상황에서는 개인정보 보호법을 이유로 골든타임을 놓치는 사례가 발생하지 않도록 유의해야 함

■ 법 제16조(개인정보의 수집 제한) 제1항 수집목적에 필요한 최소한의 개인정보의 범위란?

➡ 개인정보처리자가 수집하는 “필요한 최소한의 개인정보”는 서비스의 특성 등을 고려하여 서비스 제공을 위해 반드시 필요한 정보를 의미하며, 계약서, 약관 등에 기재된 내용과 동의서, 개인정보 처리방침, 해당 서비스의 기능 및 내용, 거래 구조 및 거래 환경, 시장 환경, 기술 발전 상황 등을 종합적으로 고려하여 판단하여야 함

➡ 예컨대, 인터넷 쇼핑몰의 경우 계약의 성립과 상품 배송 및 대금 결제를 위하여 필요한 성명, 전화번호, 주소 및 통장 계좌번호 또는 신용카드번호 등이 이에 해당할 수 있음. 필요한 최소한의 개인정보수집이라는 입증책임은 개인정보처리자가 부담함

■ 정보주체의 동의를 받는 경우에는 목적에 필요한 최소한의 범위를 벗어난 개인정보 수집이 허용될 수 있는지?

➡ 목적에 필요한 최소한의 범위를 벗어난 개인정보는 정보주체가 동의를 하는 경우에는 수집이 가능. 다만, 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하는 경우에는 법 위반에 해당할 수 있음

■ 같은 그룹 내 호텔, 여행, 쇼핑몰 사이트 등의 회원정보 DB를 통합하고 1개의 ID로 로그인이 가능하게 하는 이른바 ‘패밀리 사이트’ 제도를 도입하려 한다. 같은 그룹 내부의 계열사이기 때문에 고객들의 별도 동의는 필요 없는지?

➡ 제3자는 고객으로부터 개인정보를 수집한 해당 사업자를 제외한 모든 법인, 단체 등을 의미하므로, 같은 그룹 내부의 계열사라 하더라도 개인정보의 수집ㆍ이용목적이 다른 별도의 법인에 해당한다면 제3자에 해당함

➡ 따라서 그룹 계열사 간이라도 패밀리 사이트라는 명목으로 개인정보를 제공ㆍ공유하기 위해서는 별도의 다른 적법처리근거가 없는 한 제3자 제공에 따른 사항을 알리고 정보주체의 동의를 얻어야 함

■ 인터넷 쇼핑몰을 운영하고 있는데 회원을 대상으로 A/S 상담을 위해 인공지능 챗봇 상담기능 개선을 목적으로 당초 수집한 개인정보를 추가적으로 이용할 수 있는지?

➡ 인터넷 쇼핑몰에 가입한 회원을 대상으로 당초 수집 목적인 쇼핑몰 이용과 관련하여 고객 A/S를 효율적으로 제공하기 위해 회원이 예측 가능한 범위 내에서 상담서비스를 제공하는 경우에는 법 제15조 제3항 “개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.”의 요건을 충족한 후 당초 수집한 개인정보를 추가적으로 AI 챗봇 기능 개선 및 상담을 위해 이용할 수 있음

➡ 추가적인 이용이 지속적으로 발생하는 경우, 시행령 제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) 제1항 각 호의 고려사항에 대한 판단기준을 개인정보 처리방침에 미리 공개해야 하고, 개인정보 보호책임자는 해당 기준에 따라 개인정보의 추가적인 이용을 하고 있는지 여부를 점검해야 함

  1. 당초 수집 목적과 관련성이 있는지 여부
  2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
  3. 정보주체의 이익을 부당하게 침해하는지 여부
  4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
■ 성형외과에서 성형 환자들의 성형 결과를 사진으로 촬영해 병원 홈페이지의 ‘성형 성공 사례’에 게시하는 경우에 문제가 없는지?

➡ 병원에서 환자의 성형수술결과 사진을 홍보 목적으로 활용하기 위해서는 ‘촬영한 사진을 병원의 홍보 목적’으로 게재한다는 사실을 정보주체(환자)에게 명확히 알리고 동의를 얻어야 함. 만일 수집한 개인정보를 별도의 고지ㆍ동의 절차 없이 홍보 목적으로 임의로 사용한다면 이는 ‘개인정보의 목적 외 이용 행위’에 해당될 수 있음

■ 학교 졸업앨범, 동창회 명부 등 공개 정보를 이용한 마케팅은 문제가 없는지?

➡ 이른바 ‘공개된 개인정보’는 당초 공개된 목적 내에서만 이용할 수 있음. 예컨대 동창회 명부라면 원칙적으로 해당 회원들의 상호 연락 및 친목 도모 등을 위해 이용될 수 있지만, 회원의 동의를 얻지 않은 마케팅 행위 등에는 이용할 수 없음

■ 경찰서로부터 수사를 위하여 회원의 개인정보를 제출하여 달라는 요청을 받았다. 본인의 동의없이 회원정보를 수사기관에 제공하여도 되는지?

➡ 사업자가 고객의 개인정보를 제3자에게 제공하기 위해서는 원칙적으로 고객의 동의를 얻어야 하나, 법률에 특별한 규정이 있는 경우에는 동의 없이 개인정보를 제공할 수 있음

➡「형사소송법」,「통신비밀보호법」,「전기통신사업법」등은 검찰ㆍ경찰 등 수사기관에서 수사목적을 위해 해당 법률이 정한 절차를 거쳐 요구하는 경우 관련 자료를 제출할 수 있도록 규정하고 있으므로, 고객 본인의 동의 없이 개인정보 제공이 허용됨(예:「형사소송법」 제215조(압수, 수색, 검증)에 따른 절차)

➡ 그러나 범죄수사를 위해 관련 법률에 따라 개인정보를 제공하는 경우에도 수사에 필요한 최소한의 범위의 개인정보를 제공해야 함.
※ 다만, 경찰관직무집행법은 개인정보보호법 제18조 제2항 제2호의 ‘다른 법률의 특별한 규정’에 해당하지 않음 (개인정보호보위원회 2021.11.10. 자 제2021-122-043호 심의ㆍ의결)

■ 병원 안내데스크에서 내원자를 대상으로 공개된 연명부에 개인정보를 기재토록 하는 것이 목적 외 제공에 해당하는지?

➡ 병원이 환자관리를 위해 연명부에 내원자의 성명과 생년월일을 기재토록 하는 행위는 목적 외 제공에 해당하지 않음

➡ 다만, 병원이 안내데스크에 연명부를 펼쳐놓고, 아무런 안전조치 없이 정보주체에게 성명과 생년월일 등을 기재토록 하는 행위는 정보주체인 본인 외에 다른 내원자 등 제3자에게 개인정보가 공개될 수 있으니, 환자의 사생활 침해를 최소화하는 방법으로 개인정보를 적법하게 처리하고 안전하게 관리하여야 함

■ 법 제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한)의 ‘개인정보처리자로부터 개인정보를 제공받은 자’의 범위에 포함되지 않는 구체적인 경우는?

➡ 법 제19조는 “개인정보처리자로부터 개인정보를 제공받은 자”를 대상으로 규율하고 있으므로 ①‘개인정보처리자가 아닌 자’로부터 개인정보를 제공받은 경우, ②개인정보처리자로부터 개인정보의 지배ㆍ관리권을 이전받은 제3자가 아니라 단순히 개인정보 처리 업무를 위탁받은 수탁자인 경우, ③개인정보 처리에 관한 독자적 이익을 위하여 개인정보를 처리할 수 있는 지위에 있지 않은 개인정보취급자 등은 적용대상에 포함되지 않음

■ 개인정보처리자가 일정한 서비스를 중지하는 경우에도 개인정보 파기의무가 발생하는 것인지?

➡ 서비스의 중지의 경우에는 개인정보의 처리 목적이 달성되었다고 보기는 어려운 측면이 존재하므로 즉각적으로 파기의무가 발생한다고 보기는 어려움.
다만, 서비스의 중지 수준이 아니라, 사회통념상 향후 서비스가 재개될 가능성이 없어 서비스 종료에 해당하는 것으로 인정되는 경우에는 목적 달성에 이른 수준이라고 볼 수 있으므로 파기의무가 발생하는 것으로 볼 수 있음

■ 고객이 TV홈쇼핑, 온라인 쇼핑몰을 통해 여행 상품에 대해 상담하였으나 실제로 계약이 체결되지 않은 경우 또는 고객이 예약 후 취소한 경우 개인정보의 파기는 어떻게 해야 하는가?

➡ TV홈쇼핑, 온라인 쇼핑몰로부터 제공받은 고객정보를 바탕으로 여행 상담 이후 계약 체결이 되지 않고 상담으로만 끝나는 경우라면 제공받은 고객정보는 지체 없이(5일 이내) 파기해야 함.
다만, 고객이 예약 후 취소한 경우, 고객이 여행상품에 대한 비용결제는 하지 않았다면 목적이 달성되었으므로 지체 없이 파기하는 것이 바람직하고, 고객이 여행상품에 대한 비용결제를 완료하였다면 환불 등 과정을 거쳐야 하므로 관련 법적근거에 따라 그 기간 동안 보유해야 함

■ 쇼핑몰에서 탈퇴한 회원들의 개인정보를 파기하려고 하는데, 일부 회원들은 할부 요금이 아직 미납되었거나 제품 A/S 기간이 남아있다. 이러한 경우에는 어떻게 해야 하는가?

➡ 사업자는 개인정보의 수집ㆍ이용 목적이 달성된 경우 등에는 5일 이내에 개인정보를 파기하여야 하나, 예외적으로 “다른 법률에 따라 개인정보를 보존하여야 하는 경우”에는 개인정보를 파기하지 않고 보존할 수 있음.
예를 들어, 전자상거래 등에서의 소비자 보호에 관한 법률 및 시행령에서는 대금결제 및 재화 공급에 관한 기록을 5년간 보관하도록 하고 있으므로, 질의와 같이 요금 미납, A/S 등에 해당하는 경우에는 동법에 의거 5년간 개인정보 보관이 가능함

■ 할인마트의 고객들을 대상으로 경품추첨 이벤트를 실시하였는데, 이벤트 종료 후 이벤트 응모신청서는 어떻게 처리하면 되는가?

➡ 경품추첨 이벤트가 종료되고 당첨자발표 및 경품배송까지 모두 종료되었다면, 그 이후에는 개인정보의 보유ㆍ이용기간에 대해 별도의 동의를 얻지 않은 한 5일 이내에 개인정보가 기재된 응모신청서를 파기해야 함

■ 학원에서 학생들의 개인정보 수집 동의서 징구 시, 개인정보 보유기간을 ‘학원을 폐쇄할 때까지’라고 정해도 되는지?

➡ 학원은 원칙적으로 학습자가 퇴원 후, 수강목적을 달성했으므로 지체 없이 해당 학습자의 개인정보를 모두 파기해야 함.
다만, 학원법에 따른 비치서류의 보관기간 준수와, 법인세 등의 증빙을 위하여 필요한 자료(전표,영수증)는 별도로 분리하여 해당 법령에서 보관하도록 한 기간 동안(국세기본법 5년) 정보주체의 동의없이 보관할 수 있음(교습비등 영수증 원부: 5년, 수강생 대장: 3년)

■ 동의를 받을 때에는 정보주체의 자유로운 의사에 따르도록 하였는데, 앞으로는 개인정보를 수집하는 과정에서 필수적으로 동의를 요구하면 안 되는지?

➡ 동의를 받을 때에는 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 해야 함. 따라서, 정보주체에게 동의를 요청하는 과정에서 동의를 거부할 경우 서비스 계약체결 자체를 거부하는 등의 방법으로 동의를 강제한다면 자유로운 의사에 따른 동의 원칙에 반할 수 있다는 점을 유의해야 하며, 정보주체의 자유로운 의사가 반영되도록 동의 절차를 개편하는 준비를 진행하는 것이 바람직함

➡ 동의를 받지 않아도 되는 개인정보라는 입증책임은 개인정보처리자에게 있으므로 계약이행을 위해 필요한 개인정보인지, 개인정보의 추가적 이용ㆍ제공에 해당하여 동의가 필요 없는지 등을 확인하여 이에 해당하는 경우 불필요하게 동의를 요구하지 않아야 함

■ 현재 정보주체가 동의 여부를 선택할 수 있도록 동의 절차를 운영 중인데, 종전의 선택동의는 현재처럼 계속 유지해도 되는지?

➡ 종전의 선택동의는 계약 이행 등을 위해 필요하지 않은 정보에 대하여 개인정보처리자의 필요에 의해 수집ㆍ이용 동의를 요구하는 것이므로, 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 하는 등의 조치를 한 경우라면 종전의 선택동의를 유지할 수 있음.
다만, 선택적으로 동의할 수 있는 사항에 대한 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 확인할 수 있도록 다른 사항과 구분하여 표시하여야 함

■ 현재 개인정보 수집ㆍ이용 동의를 받는 내용에 서비스 이용계약 이행 등에 필요한 것인지에 대한 분석 없이 필수동의를 받고 있는데, 향후에도 계속 유지해도 되는지?

➡ 서비스 이용계약을 이행하기 위해 필요한 개인정보는 정보주체와의 신뢰에 기반하여 동의 없이 수집하여 이용할 수 있으나, 계약 이행 등과 관련 없는 개인정보를 수집ㆍ이용하려는 경우에는 정보주체가 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 조치할 필요가 있음

➡ 서비스 제공 과정에서 정보주체의 자유로운 의사를 제약하는 경우 개별 상황에 따라서는 법 제22조(동의를 받는 방법) 또는 제15조(개인정보의 수집ㆍ이용) 위반이 될 수 있다는 점에 유의해야 함

■ 그 동안 서비스 이용계약 이행 등에 필요한 개인정보에 해당함에도 필수적으로 동의를 받아 온 경우 어떻게 개선하면 되는지?

➡ 기존에 받아오던 필수동의 내용에 계약 이행 등을 위해 필요한 개인정보가 포함된 경우, 해당 내용은 동의를 받을 필요가 없으므로 동의 내용에서 제외한 후, 정보주체가 해당 내용을 쉽게 알 수 있도록 개인정보 처리방침에 동의를 받아 수집하는 개인정보항목과 구분하여 공개하는 조치가 필요함

➡ 다만, 현장에서 계약 이행 등에 필요한 개인정보에 대한 필수 동의가 오랫동안 유지되어 왔고, 정보주체도 이러한 관행에 익숙한 점을 고려하여, 계약 이행 등을 위해 필요한 개인정보에 대하여 정보주체에게 고지 및 안내하는 방안도 고려될 수 있음
※ 계약 이행 등에 필요한 개인정보 : 종전 필수동의 관행 → 정보주체에게 ‘고지(안내)’ 가능

■ 이용자의 개인정보나 관심사 등을 분석하여 서비스 내에서 맞춤형 콘텐츠를 추천하는 것도 재화ㆍ서비스 홍보나 판매 권유로 보아 별도 동의를 받아야 하는지?

➡ 맞춤형 콘텐츠 추천이 계약의 본질적인 내용이며 해당 내용을 이용계약ㆍ약관 등에 명확히 규정하고 있고 정보주체가 충분히 알 수 있도록 조치하였다면, 계약 이행을 위해 별도의 동의 없이도 수집ㆍ이용할 수 있음

■ 법 제22조(동의를 받는 방법)에서는 개인정보 수집ㆍ이용 외에 “제3자 제공”할 때에도 구분하여 각각 동의(별도 동의)를 받도록 규정하고 있는데, 이 경우에도 자유로운 의사에 따른 명시적 동의 원칙을 준수해야 하는지?

➡ 법 제18조(개인정보의 목적 외 이용ㆍ제공 제한)에 따라 목적 외로 개인정보를 이용ㆍ제공하려는 때에는 동의사항을 구분하여 각각 동의(별도 동의)를 받아야 하고, 이 경우 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 선택권을 부여해야 함

➡ 법 제17조(개인정보의 제공)에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제3자에게 제공하려는 때에는, 개인정보를 제공하지 않으면 정보주체와의 계약 이행이 곤란한 경우에는 관련 사실을 알리고 필수동의를 요구할 수 있음.
※ 다만, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 예측가능성 등을 고려하여 개인정보를 추가적으로 제공할 수 있는 경우에는 동의 없이 제공 가능(영 제14조의2)

■「개인정보 처리 방법에 관한 고시」제4조(서면 동의 시 중요한 내용의 표시 방법) 제1호 규정이 변경되었는데, 이제는 서면 동의 시 글씨 크기가 9포인트보다 작아도 되는지?

➡ 해당 규정은 서면(전자문서 포함) 동의 시 중요한 내용의 표시 방법을 디지털 환경에 맞게 정비한 것으로, ‘9포인트 이상’, ‘다른 내용보다 20퍼센트 이상 크게’ 규정은 삭제되었으나 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용을 명확히 표시하도록 하고 있음

➡ 따라서, 해당 규정이 변경되었다 하더라도 글씨 크기를 의도적으로 작게 하는 등 정보주체를 기만하거나 알아보기 어려운 형태로 동의를 받아서는 안 됨

■ 민감정보 또는 고유식별정보의 경우 정보주체의 필수동의를 받아도 되는지?

➡ 계약 이행이나 서비스 제공 특성 상 민감정보 또는 고유식별정보(주민등록번호 제외)의 처리가 필요한 경우, 정보주체에게 동의 내용을 충분히 설명한 후에 별도로 필수 동의를 받아 해당 정보를 처리할 수 있음(법 제23조 및 제24조)

➡ 다만, 계약 이행이나 서비스 제공에 해당 정보가 반드시 필요하지 않은 경우에는 정보주체로부터 자유로운 의사에 따른 명시적인 동의를 별도로 받아 해당 정보를 처리할 수 있음

■ 헬스장에서 출입 솔루션으로 얼굴인식 시스템을 도입하여 헬스장 이용자의 얼굴정보를 활용하려고 하는데 어떤 적법처리근거를 갖추어야 하는지?

➡ 개인정보보호법 시행령 제18조(민감정보의 범위) 제3호에서는 ‘개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보’를 민감정보로 규정하고 있음. 민감정보를 처리하기 위해서는 이용자인 정보주체로부터 다른 개인정보 처리에 대한 동의와는 별도로 동의를 받아야 함 (법 제23조 제1항 제1호)

➡ 서비스의 특성상 민감정보의 처리가 불가피게 연계된 경우에는 그러한 사정을 명확히 알리고 별도로 필수동의를 받아 처리할 수 있음

➡ 다만, 해당 민감정보 없이도 서비스 제공이 가능한 경우라면 이용자인 정보주체의 자유로운 의사에 따른 동의 원칙을 준수해야 하고, 이 경우 민감정보 처리에 동의하지 않은 이용자에 대해 출입카드, 비밀번호, 대면확인을 통한 수기명부 작성 등의 대체수단을 마련하고 출입관리시스템을 도입할 필요가 있음

■ 회원 중에는 성인뿐만 아니라 아동도 포함되어 있는 서비스를 제공 중인데 서비스 홍보를 위한 메일을 전체 회원에게 발송하려는 경우 어떤 조치를 해야 하는지?

➡ 법 제22조(동의를 받는 방법) 제1항 제7호에서는 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보를 처리하려는 경우에는 구분하여 각각(별도) 동의를 받도록 규정하고 있고, 법 제22조의2(아동의 개인정보 보호) 제1항에서는 만 14세 미만 아동의 개인정보를 처리하려면 그 법정대리인의 동의를 받도록 규정하고 있음

➡ 따라서, 회원 중 만 14세 미만 아동에게도 서비스 홍보 메일을 발송해야 하는 상황이라면 그 법정대리인의 동의를 받아야 하며, 시행령 제17조의2(아동의 개인정보 보호) 제1항 각 호의 방법에 따라 법정대리인이 동의했는지를 확인해야 함

■ 법과 시행령에서 정하고 있는 민감정보 이외에 개인에게 민감한 정보도 민감정보에 해당하는지?

➡ 법과 시행령은 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력, 인종ㆍ민족정보, 생체인식정보에 관한 정보로 한정하고 있으며, 그 이외의 정보는 민감정보에 해당하지 않음

■ 법 제23조(민감정보의 처리 제한)와 개인정보 처리 관련 규정(법 제15조, 제17조, 제18조 등)의 관계는?

➡ 법 제23조는 민감정보 처리에 관한 특별한 규정으로 법 제15조, 제17조, 제18조 등 일반 개인정보 처리에 관한 규정에 우선하여 적용됨

➡ 민감정보는 원칙적으로 처리가 금지되나, 법 제23조 제1항에서 정하고 있는 예외 사유에 해당하는 경우에 한하여 처리될 수 있으며, 이에 해당하지 않으면 법 제15조, 제17조, 제18조 등 일반 개인정보의 처리 규정에 따른 적법처리요건을 갖추었다고 하여 처리가 가능하다고 볼 수 없음

■ 장애인에 대한 요금감면 혜택을 제공하기 위해서는 상세한 장애등급 정보가 필요한데, 수집할 수 있는지?

➡「전기통신사업법」 제4조는 전기통신사업자에게 ‘보편적 역무’ 제공을 의무화 하고 있으며, 대통령령에서는 ‘보편적 역무’ 중의 하나로 ‘장애인ㆍ저소득층 등에 대한 요금감면 서비스’를 규정하고 있음. 따라서 이 경우는 법 제23조제1항제2호의 법령에서 민감정보의 처리를 요구하거나 허용하는 경우로서, 장애인 요금감면 혜택을 위한 장애등급 정보 수집이 가능함

■ 기관 등의 출입게이트에서 얼굴인식 출입통제 시스템을 운영하면서 사전 등록된 사람의 출입을 허용하고 등록되지 않은 사람의 출입을 통제하는 경우, 출입하고자 하는 사람의 얼굴정보를 민감정보로 보아야 하는지?

➡ 민감정보의 처리에 해당하는지 여부는 특정인을 알아볼 목적을 가지는지 여부*가 판단의 기준이 되므로, 사전 허가된 사람(A)과 동일한 사람인지를 알아보기 위해 사전에 기술적 수단을 통해 생성한 얼굴인식 정보를 등록하고 출입 과정에서 얼굴인식정보를 수집하여 일치하는 경우 출입을 허용하는 것은 민감정보의 처리에 해당함
* 영 제18조 제3호 : 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보

➡ 다만, 특정 개인을 알아볼 목적이 아니라 사전 허가되지 않은 사람(B)이 무단으로 출입하는 것을 통제하기 위하여 사전 허가를 받은 사람의 범위에 있는지 여부만을 확인하고 B의 얼굴인식정보를 바로 삭제하는 경우에는 특정 개인을 알아볼 목적으로 운용된다고 보기 어려우므로 민감정보를 처리하는 것은 아님
※ 이 경우에도 개인을 알아볼 수 있다면 해당 정보는 개인정보에 해당할 수 있으며, 법 제15조 제1항 제6호의 개인정보처리자의 정당한 이익에 근거하여 처리하는 것을 고려할 수 있음

■ 사진 인화 서비스를 제공하기 위하여 개인별로 사진을 저장하고 일정 기간 보관하는 경우, 개인을 알아볼 수 있는 사진에 대하여 민감정보 처리에 관한 별도의 동의가 필요한지?

➡ 해당 사진을 이용하여 특정 개인을 알아볼 수 있도록 기술적 수단을 통해 특징정보를 생성하는 것이 아니라 사진 자체를 수집, 저장, 출력하는 등의 처리를 하는 것은 민감정보의 처리에 해당하지 않음

■ 1만명 이상의 고유식별정보를 처리하는 공공기관만 정기조사의 대상인지?

➡ 공공기관의 경우에는 1만명 미만의 정보주체에 관하여 고유식별정보를 처리하는 경우라고 하더라도, 보호위원회가 법 위반 이력 및 내용ㆍ정도, 고유식별정보 처리의 위험성 등을 고려해 법 제24조(고유식별정보의 처리 제한) 제4항에 따른 조사가 필요하다고 인정하는 경우에는 정기조사의 대상이 될 수 있음

➡ 공공기관 외의 자라도 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 개인정보처리자의 경우에는 시행령 개정 전과 동일하게 정기조사의 대상임

시행령 제21조(고유식별정보의 안전성 확보 조치) 제4항제3호에서 의미하는 다른 법률에 따라 정기적인 점검이 이루어지는 경우에는 어떤 것들이 있는지?

➡ 다른 법률에 따라 고유식별정보의 안전성 확보 조치 이행 여부에 대한 정기적인 점검이 이루어지는 경우라 하더라도, 관계 중앙행정기관의 장이 「개인정보 보호법」 상의 고유식별정보 관리실태 정기조사에 준하는 것으로 인정해 줄 것을 요청하고, 이에 따라 보호위원회가 인정하는 경우에만 해당함

■ 내부망에 저장하는 주민등록번호는 영향평가나 위험도 분석을 통해 암호화하지 않고 보유할 수 있는지?

➡ 주민등록번호는 법 제24조의2(주민등록번호 처리의 제한), 동법 시행령 제21조의2(주민등록번호 암호화 적용 대상 등)에 따라 “개인정보 영향평가”나 “암호화 미적용시 위험도 분석”의 결과에 관계없이 암호화하여야 함

■ 정보주체의 동의를 받아 주민등록번호를 처리할 수 있는지?

➡ 법 제24조의2 제1항 각 호에서 정하는 예외사유에 해당하지 않는 한 정보주체의 동의 여부와 상관 없이 주민등록번호를 처리하는 것은 금지됨

➡ 주민등록번호 처리 적법 요건으로 동의는 요구되지 않으므로 예외사유에 해당하여 주민등록번호를 처리할 때에 정보주체로부터 별도의 동의를 받을 필요는 없음

■ 직원의 주민등록번호를 단체보험 가입 목적으로 처리하는 것이 가능한지?

➡「보험업법 시행령」 제102조 제5항 제4호는 보험회사가 「상법」 제735조의3(단체 보험)에 따른 단체보험계약의 체결 등의 사무를 수행하기 위하여 필요한 범위에서 피보험자의 주민등록번호를 처리할 수 있도록 규정하고 있음.

➡ 단체보험은 구성원으로부터 서면 동의를 받지 아니하고 단체가 보험계약자로서 피보험자인 구성원을 위하여 보험회사와 일괄 계약하는 보험으로서, 회사는 단체보험 가입 목적으로 직원의 주민등록번호를 보험회사에 제공할 수 있음

■ 주민등록번호가 기재된 신분증을 단순히 육안으로 확인한 후 돌려주는 행위도 주민등록번호 처리금지 원칙에 위배되는지?

➡ 신분 확인 목적으로 주민등록번호가 기재된 신분증을 육안으로 확인하고 돌려주는 행위는 주민등록번호를 수집하는 행위가 아니므로 주민등록번호 처리금지 원칙에 위배되지 않음

■ 기업이 직원 채용 시 이력서・지원서 등에 주민등록번호를 기재하도록 하여도 되는지?

➡ 입사 지원자가 최종 합격하여 직원이 되기 전까지는 법률이나 대통령령에서 기업이 해당 지원자의 주민등록번호를 처리하도록 하는 규정이 없으므로 이력서ㆍ지원서 등에 주민등록번호를 기재하도록 하여 처리할 수 없음
대신 입사지원 단계에서는 주민등록번호 대신 생년월일이나 휴대전화번호 등을 수집하는 것으로 대체하고, 최종 합격한 후에는 고용보험 등 4대 보험 가입, 급여 원천 징수 등을 위해 관련 법령에서 정하는 바에 따라 기업이 해당 지원자의 주민등록번호를 수집하는 것은 가능함

■ 수탁업체의 개인정보 보유 기간도 공개해야 하는 것인지?

➡ 수탁자의 개인정보 보유 기간을 공개할 의무는 없으나, 이를 위ㆍ수탁 문서에 적절히 반영하는 것이 필요함. 수탁자의 개인정보 처리기간은 위탁자가 정한 기간을 초과할 수 없고, 위탁자가 개인정보를 처리할 수 있는 보유 및 이용기간 또한 초과할 수 없는 것이 원칙임

■ 개인정보 처리 위ㆍ수탁 시 정보주체의 동의를 받아야 하나요?

➡ 개인정보 처리 위ㆍ수탁 시 위탁 업무의 내용과 수탁자를 공개해야 하나, 정보주체의 동의는 요구되지 않음

■ 법령에 근거가 있어 동의 없이 수집ㆍ이용한 개인정보의 처리를 위탁할 경우에도 위ㆍ수탁 문서에 의하여야 하나요?

➡ 법 제15조의 적용이 제26조(업무위탁에 따른 개인정보의 처리 제한)의 적용을 배제하는 것은 아니므로 제15조에 따른 개인정보 수집ㆍ이용과 관계 없이 개인정보 처리를 위ㆍ수탁하는 경우에는 위ㆍ수탁 문서를 작성해야 함

■ 수탁자가 다수 있는 경우 감독을 어떻게 해야 하나요?

➡ 수탁자에 대한 감독이 반드시 수탁자의 개인정보 처리 현장에 대한 위탁자의 직접 방문을 의미하는 것은 아님. 감독의 방법 및 범위가 법의 취지에 부합하는 경우에는 현장 점검을 비롯하여 비대면 점검 등 감독의 방법은 자율적으로 선택할 수 있음

■ 수탁자의 경우에도 법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)에 따른 수집 출처 통지 의무를 이행해야 하나요?

➡ 2023년 법 개정으로 법 제20조의 수집 출처 통지 의무에 대하여는 수탁자에게 준용되지 않도록 하였음. 수집 출처 통지는 위탁자인 개인정보처리자의 의무사항이므로 개인정보 처리 업무를 위탁받은 수탁자는 해당 업무에 대한 수집 출처 통지 의무를 부담하지 않도록 개정되었음

■ 시스템에 대한 단순 유지 보수를 위탁하는 경우에도 개인정보 처리 위ㆍ수탁인지요?

➡ 개인정보 처리 시스템의 유지 보수를 외부에 위탁한 경우 개인정보 처리 위ㆍ수탁으로 볼 수 있음.「개인정보 보호법」 제2조 제2호에 의하면 ‘처리란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 유사한 행위’로 규정하고 있음. 유지보수는 저장 또는 보유 업무의 일부를 구성하고, 또한 그와 유사한 행위에 해당하는 것으로 볼 수 있음.
다만, 시스템의 부품만 교체하는 등 개인정보에 접근하지 아니하는 경우라면 개인정보 처리 위ㆍ수탁이 아님

■ 플랫폼을 이용하여 개인정보를 처리하는 경우 플랫폼 제공 사업자를 수탁자로 볼 수 있는지?

➡ 플랫폼 제공 사업자가 개인정보 처리에 관여하지 않고, 개인정보 보호 의무가 모두 플랫폼을 이용하는 자에게 있다면 플랫폼 제공 사업자를 수탁자로 보기 어려움(예 : 행사 안내를 위해서 포털사이트에서 제공하는 초대장 발송 서비스를 이용하는 경우 등)
다만, 위ㆍ수탁 여부를 판단할 때 개인정보의 처리 목적, 방법 등을 종합적으로 고려하여 만약 플랫폼 제공 사업자에 의해 개인정보 분석 등의 처리가 일어나며 이러한 처리가 플랫폼을 이용하는 자의 지시ㆍ감독에 의한 경우에는 개인정보 처리 위ㆍ수탁으로 볼 수 있음

■ 민감정보, 고유식별정보, 주민등록번호의 처리 업무를 위탁할 수 있나요?

➡ 법 제23조, 제24조, 제24조의2에 따라 민감정보, 고유식별정보, 주민등록번호를 적법하게 처리할 수 있는 개인정보처리자는 제26조에 따라 개인정보 처리 위탁 계약을 체결하여 해당 정보 처리를 위탁할 수 있음

■ 여행사를 운영하면서 예약확인 및 고객 상담업무를 전문 콜센터에서 처리하고 있는데, 고객 대상 이벤트와 여행상품 홍보 업무도 해당 콜센터에서 모두 진행하려고 한다. 법률상 문제가 없는지?

➡ 본래의 서비스 이행을 위한 처리위탁 업무가 아닌 별도의 이벤트, 홍보 등의 업무를 위탁하기 위해서는 그 위탁하는 업무의 내용과 수탁자를 정보주체에게 통지해야 함

■ 여행사를 운영하면서 예약확인 및 고객 상담업무를 전문 콜센터에서 처리하고 있는데, 고객 대상 이벤트와 여행상품 홍보 업무도 해당 콜센터에서 모두 진행하려고 한다. 법률상 문제가 없는지?

➡ 본래의 서비스 이행을 위한 처리위탁 업무가 아닌 별도의 이벤트, 홍보 등의 업무를 위탁하기 위해서는 그 위탁하는 업무의 내용과 수탁자를 정보주체에게 통지해야 함(법 제26조제3항)

■ 병원과 의료정보 전달시스템 관리업체 간에 환자의 정보를 공유하는 것도 처리위탁에 따른 동의를 받아야 하는지?

➡「의료법」등에 따른 전자처방전, 전자의무기록 등 개인정보의 처리를 의료정보 전달시스템 관리업체에 위탁하는 경우에는 법 제26조의 규정에 따라 정보주체의 동의를 받을 필요는 없으나, 위탁자인 병원은 정보주체가 해당 사항을 알 수 있도록 위탁 업무의 내용과 수탁자를 인터넷 홈페이지 등에 공개해야 함

■ 대리점 직원(수탁자)이 고객의 개인정보를 부정 이용해 고객에게 피해를 입혔다면, 대리점 직원의 행위에 대해 본사(위탁자)도 책임이 있는지?

➡ 위탁자(본사)는 수탁자(대리점)에 대해 법률의 개인정보보호 규정을 준수하도록 관리ㆍ감독할 의무가 있으며, 수탁자가 법령을 위반해 정보주체에게 손해를 발생시킨 경우에는 위탁자가 이에 대한 책임을 지도록 하고 있음(법 제26조제7항). 따라서 대리점 직원의 행위에 대해서는 본사가 손해배상 책임을 부담함

■ 분리 보관하던 기존 휴면회원의 개인정보를 파기하거나 복원하려는 경우에 정보주체에게 통지해야 하는지?

➡ 삭제되는 제39조의6의 파기 특례는 정보주체의 의사에 따른 분리보관이 아닌 ‘장기 미이용’이라는 법적 요건에 따라 분리보관 되었던 것이므로, 기존에 분리 보관하던 개인정보를 파기하거나 복원하려는 경우에는 최소한 정보주체에게 바뀐 정책에 대해 알려주고 파기 또는 복원을 진행하는 것이 바람직함
다만, 안내 시 광고성 정보가 포함되지 않도록 유의해야 함(영리 목적의 광고성 정보를 전송하려고 할 때는「정보통신망법」의 적용을 받으므로 해당 법 제50조(영리목적의 광고성 정보 전송 제한)에 따른 광고성 정보 수신 동의 등 의무를 준수해야 함)

■ 휴면정책 변경에 대해 정보주체에게 사전에 안내하였으나, 정보주체가 일정 기간 동안 이에 대해 동의 의사를 밝히지 않은 경우에는 변경된 정책을 적용해도 되는지?

➡ 사전에 안내하도록 한 것은 정보주체에게 충분한 정보를 제공하도록 한 취지로, 동의 의사를 확인하도록 의무화한 것은 아님

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다