개인정보 침해 상담 Q&A(KISA, 2017.1.)

「개인정보 보호법」제2조(정의)

Q1. 

기업정보를 수집하여 활용하는 것도 「개인정보 보호법」상 동의를 받아야 하나요?

A 법인이나 단체에 관한 정보는 해당되지 않습니다. 따라서 기업정보 즉, 업체명, 설립연도, 사업장주소, 주요 생산품, 대표이사 또는 대표자의 성명 등은 개인정보로 볼 수 없으므로 별도의 동의는 필요하지 않습니다.

단, 담당자 성명, 업무상(회사) 전화가 아닌 휴대전화 번호, 회사 이메일이 아닌 개인 이메일은 개인정보에 해당하므로 동의가 필요합니다.

참고

법률상의 개인정보는 자연인(自然人)에 관한 정보만 해당됩니다. 법인(法人)이나 단체의 정보는 법률에 따라 보호되는 개인정보의 범위에는 해당되지 않음. 또한, 이미 사망하였거나 민법에 의한 실종선고 등 관계 법령에 의해 사망한 것으로 간주되는 자에 관한 정보는 법률상의 개인정보로 볼 수 없음.

법률상의 개인정보에 해당되기 위해서는 그 정보로 특정 개인을 알아볼 수 있어야 하며, 해당 정보만으로는 특정 개인을 식별할 수 없다 하더라도 다른 정보와 쉽게 결합하여 식별 가능하다면, 개인정보에 해당됨. 

Q2. 

차량번호 하나만으로는 개인정보라고 볼 수 없나요?

A 구체적으로 해당 차량번호가 수집 및 이용되는 상황에 따라 판단이 달라질 수 있지만 차량 번호 하나만으로는 개인을 식별할 여지가 없더라도 자동차등록원부 등과 쉽게 결합하여 등록자 개인을 식별할 수 있으므로 개인정보로 볼 수 있습니다.

참고

주요 개념 정의

- 개인정보파일: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)

- 개인정보 처리: 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위

- 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람

- 개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등

Q3.

스마트폰에 저장된 전화번호 단독으로도 개인정보로 볼 수 있나요?

A 전화번호는 단독으로도 개인정보가 될 수 있습니다. 단, 「개인정보 보호법」상 의무를 부담하는 대상(개인정보처리자)은 업무를 목적으로 개인정보를 처리하는 경우에 한정됩니다.

사적인 친분관계를 위하여 스마트폰에 전화번호, 이메일 등을 저장하는 경우는 개인정보처리자에 해당하지 않습니다.

참고

생존하는 특정 개인을 알아볼 수 있는 정보

- 특정 개인을 알아볼(식별할) 수 있는 정보로, 해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 쉽게 결합하여 식별 가능하다면 개인정보에 해당됨

- 가령, 성명 정보만 있다면 특정 개인을 식별하는 것이 쉽지 않으나(동명이인 등), 주소, 연락처 등과 결합되어 특정한 개인을 식별할 수 있다면 개인정보로 볼 수 있음

Q4.

포털사이트의 주소록에 개인이 지인의 정보를 업로드하는 것이 법에 저촉되는 행위인가요?

A ‘개인정보처리자’라 함은 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.

개인이 사적인 친분관계에 있는 지인의 정보를 포털사이트 주소록에 저장하는 것은 개인적인 활동으로서 ‘업무’라고 보기 어려우므로 「개인정보 보호법」이 적용되지 않습니다.

참고

판례상 업무의 개념(1)

업무방해죄에 있어서의 업무란 직업 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사무나 사업의 일체를 의미하고, 그 업무가 주된 것이든 부수적인 것이든 가리지 아니하며, 일회적인 사무라 하더라도 그 자체가 어느 정도 계속하여 행해지는 것이거나 혹은 그것이 직업 또는 사회생활상의 지위에서 계속적으로 행하여 온 본래의 업무수행과 밀접불가분의 관계에서 이루어진 경우에도 이에 해당함(대법원 2005. 4. 15. 선고 2004도8701 판결 등 참조)

Q5.

영리법인이 아닌, 후원·기부재단의 경우에도 『개인정보 보호법」 적용 대상인가요?

A 비영리법인인 기부재단에도 「개인정보 보호법」이 적용됩니다. 「개인정보 보호법」은 개인정보 보호에 관한 일반법이므로, 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인에게 모두 적용됩니다.

참고

판례상 업무의 개념(2)

업무상과실치사상죄에 있어서의 업무란 사람의 사회생활면에 있어서의 하나의 지위로서 계속적으로 종사하는 사무를 말하고, 여기에는 수행하는 직무 자체가 위험성을 갖기 때문에 안전배려를 의무의 내용으로 하는 경우는 물론 사람의 생명·신체의 위험을 방지하는 것을 의무내용으로 하는 업무도 포함된다 할 것임(대법원 1988. 10. 11. 선고 88도1273 판결, 2002. 5. 31. 선고2002도1342 판결 등 참조).

「개인정보 보호법」제6조(다른 법률과의 관계)

Q1.

「개인정보 보호법」, 「정보통신망법」, 「신용정보의 이용 및 보호에 관한 법률」 중에 어느 법이 더 우선 적용되나요?

A 「개인정보 보호법」 제6조에 따라 개인정보보호에 관해서는 다른 법률에 특별한 규정이 있는 경우에는 다른 법률을 우선 적용하고, 다른 법률에 특별한 규정이 없는 경우에만 이 법을 적용하도록 하고 있습니다.

즉, 다른 법률에서 특별히 「개인정보 보호법」의 기준보다 강화하거나 완화하는 내용의 조문이 있는 경우에만, 해당 조문별로 「개인정보 보호법」의 적용을 배제합니다. 「정보통신망법」 및 「신용정보의 이용 및 보호에 관한 법률」 등이 적용된다고 하여, 해당 법률의 적용을 받는 자에 대하여 「개인정보 보호법」 전체의 적용을 전면적으로 배제하는 것은 아닙니다.

가령, 「정보통신망법」 등에 규정되어 있지 않은 영상정보처리기기 설치운영 제한, 집단분쟁 조정, 권리침해 중지 단체소송 등은 「정보통신망법」 상의 정보통신서비스 제공자에게도 모두 적용됩니다.

「개인정보 보호법」제15조(개인정보의 수집·이용)

Q1

학원에서 강의 등록을 위해 수강생의 이름, 성별, 생년월일, 지역, 출신학교, 휴대전화 번호 등을 적으라고 하는데, 과도한 수집이 아닌가요?

A 「개인정보 보호법」에 따르면 ‘법령상의 의무’를 준수하기 위하여 불가피한 경우에는 정보주체의 동의없이도 정보를 수집·이용할 수 있습니다. 이때 개인정보처리자는 그 목적에 필요한 최소한의 개인정보를 수집하여야 합니다.

학원은 「학원의 설립·운영 및 과외교습에 관한 법률 시행규칙」 제16조에 따라 수강생 대장을 기록·유지하여야 합니다. 수강생 대장에는 등록번호, 성명, 생년월일, 주소, 전화번호, 입원년월일, 퇴원년월일 등을 기재하도록 하고 있으므로 학원 강의를 위해 수집할 수 있는 최소한의 개인정보는 성명, 생년월일, 주소, 전화번호 등이 될 수 있습니다.

지역, 출신학교 등을 수집하는 것은 과도한 수집이 될 수 있으므로, 선택적 정보의 수집에 대해서는 동의를 구하여야 하며, 선택적 정보의 제공에 대한 동의거부에 따른 학원 등록 등 당해 서비스 제공을 거부하여서는 안 됩니다.

Q2.

벌과금 등 관련한 공시송달 공고를 검찰청 홈페이지 “고시/공고”란에 ‘성명, 징제번호, 등기번호, 수령여부’의 사항을 포함하여 게시할 경우, 「개인정보 보호법」에 저촉되나요?

A 「개인정보 보호법」 제15조 제2호에서는 “법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우”에는 개인정보를 수집하고, 그 수집 목적의 범위에서 이용할수 있도록 규정하고 있습니다.

공시송달 공고는 「형사소송법」 제477조, 「국세기본법」 제11조 등에 근거를 두고 있습니다. “공시송달 공고”를 게시하는 경우 해당 법령에 규정되어 공개하도록 한 항목은 공개 가능하나 공개범위가 정해져 있지 않는 경우에는 최소한의 범위에서만 공개해야 합니다.

참고

법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우) 법률에서 개인정보의 수집·이용을 구체적으로 요구하거나 허용하고 있거나 명시적으로 규정한 조항이 없더라도 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가능하거나, 다른 방법을 사용하여 이행하기 현저히 곤란한 경우를 의미함

Q3.

병원에 내원한 환자들에 대해서도 개인정보 수집 동의서를 받아야 하나요?

A 「개인정보 보호법」 제15조에 따르면, 개인정보처리자는 법률에 특별한 규정이 있거나 법령상 의무준수를 위하여 불가피한 경우에 동의없이 개인정보를 수집·이용할 수 있습니다.

병원의 경우에는 「의료법」 제22조 및 동법 시행규칙 제14조에 따라, 진료기록부에 기재할사항으로 “진료를 받은 자의 주소, 성명, 주민등록번호, 병력 및 가족력, 주된 증상, 진단결과, 진료경과 및 예견, 치료내용, 진료일시분” 등의 정보를 수집할 수 있습니다.

단, 연락처는 진료기록부에 기재할 사항으로 명시되어 있지 않으나 진료예약, 진단 결과의 통보 등 진료목적 범위 내에서 사용할 필요가 있을 경우에는 환자의 동의없이 수집 가능하다고 판단됩니다.

Q4.

졸업앨범에 있는 개인정보를 수집하여 TM(텔레마케팅) 등에 활용해도 되나요?

A 공개되어 있는 개인정보라 하더라도 당초 공개된 목적 내에서만 이용하는 것이 원칙입니다. 졸업앨범에 개인 연락처가 공개되어 있다면 동문간의 연락 등 졸업앨범 본래의 목적만을 위해 이용할 수 있으며, 회원의 동의를 얻지 않고 마케팅 행위 등에 이용하는 것은 공개된 목적 범위를 벗어나는 이용이 됩니다.

참고

「표준 개인정보 보호지침」제6조(개인정보의 수집) 제4항

개인정보처리자가 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 “인터넷 홈페이지등”이라함)에서 개인정보를 수집하는 경우, 해당 개인정보는 본인의 개인정보를 인터넷 홈페이지등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할수 있다.

Q5.

채용을 위해서 개인정보를 수집하고 퇴직하고 나서 개인정보를 20년 동안 보유한다는 것에 동의를 받으면 문제가 없나요?

A 「표준 개인정보보호지침」 제6조에 따르면 근로계약을 체결하는 경우 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의없이 개인정보를 수집·이용할 수 있습니다.

개인정보의 보유기간에 대해서는 법령에서 별다른 규정은 없습니다. 따라서 합리적인 범위 내에서 보유기간을 산정하고 이를 고지 후 동의를 받는다면 법 위반은 아니라고 판단됩니다.

단, 개인정보 보유기간에 대한 입증책임, 즉 보유해야 하는 필수기간에 대한 입증책임은 사업자에게 있습니다.

「개인정보 보호법」제17조(개인정보의 제공)

Q1.

공공기관인데 감사부서나 상급기관에서 감사 목적으로 개인정보의 제공을 요청하는데 동의없이 제공할 수 있나요?

A 「공공감사에 관한 법률」 제20조에 따르면, 감사기구의 장은 자체감사를 위하여 필요할 때에는 다음의 조치를 취할 수 있으며, 조치를 요구받은 자체감사 대상기관 및 그 소속 공무원이나 직원은 정당한 사유가 없으면 그 요구에 따라야 합니다.

또한, 「개인정보 보호법」 제15조, 제17조 및 제18조에 따라 이와 같이 법률에 특별한 규정이 있는 경우 개인정보를 수집·이용할 수 있으며 제3자에게 제공이 가능합니다.

참고

「공공감사에 관한 법률」제20조(자료 제출 요구) 제1항

감사기구의 장은 자체감사를 위하여 필요할 때에는 자체감사 대상기관 또는 그 소속 공무원이나 직원에 대하여 다음 각 호의 조치를 할 수 있다.

- 출석·답변의 요구(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신망을 이용한 요구를 포함한다)

- 관계 서류·장부 및 물품 등의 제출 요구

- 전산정보시스템에 입력된 자료의 조사

- 금고·창고·장부 및 물품 등의 봉인 요구

「개인정보 보호법」제21조(개인정보의 파기)

Q1.

마음에 드는 여행상품이 있어 전화로 상담을 하였는데 가입신청을 하지는 않았습니다. 이후에도 여행사에서 계속 전화와 문자가 오는데 「개인정보 보호법」 위반이 아닌가요?

A 만약 고객이 상품 구매나 서비스 가입의 의사가 정해지지 않은 상태에서 단순히 가입조건등을 확인하는 상담만 하였을 뿐이고 이후 상품 구매나 서비스 가입을 하지 않았다면 이는 상담이라는 최초의 개인정보 수집·이용목적이 달성된 것으로 보아야 합니다. 따라서 해당 기업은 상담 종료 후, 비구매자의 개인정보를 지체 없이 파기해야 합니다.

단, 고객의 개인정보를 이용하여 향후 상품계약 가능성이 있는 고객에 대한 지속적인 관리 및 마케팅 활동을 하기 위해서는 최초 개인정보 수집 시에 개인정보 수집·이용 목적 및 보유·이용 기간 등에 대해 명확히 알리고 동의를 받아야 합니다.

Q2.

병원 진료 기록을 삭제하고 싶은데, 병원 측에서는 불가능하다고 합니다. 제 개인정보를 삭제할 수 있는 방법이 없나요?

A 다른 법령에서 그 개인정보가 수집대상으로 명시되고 있고, 일정기간 보존하도록 규정하고 있는 경우, 개인정보처리자는 정보주체의 삭제요청이 있더라도 법에서 정한 보유기간 동안 개인정보를 파기하지 않고 보존하여야 합니다.

병원은 환자의 성명, 주소, 주민등록번호 등이 기재된 진료기록부를 작성해야 하고, 작성된 진료기록부를 최소한 10년간 보존해야 하므로 삭제가 불가능할 것으로 보입니다.

「개인정보 보호법」제22조(동의를 받는 방법)

Q1.

학교에서 행사에 참여하는 학생의 사진, 학교명과 이름을 팜플렛에 넣거나 학교 홈페이지에 학생들의 생활 사진이나 행사와 관련된 사진 등을 게시하게 되는데, 개별적으로 학생들의 동의를 받아야 하나요?

A 학교는 공공기관으로 개인정보의 수집·이용시 「개인정보 보호법」 제15조제3호에 따라 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체의 동의없이 개인정보 수집·이용이 가능합니다.

즉, 학생들의 정보가 학사행정에 불가피한 정보라고 한다면, 정보주체인 학생이나 또는 법정대리인의 동의(학생이 만14세 미만일 경우) 없이 수집·이용이 가능합니다.

단, 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우가 아니라면 사전 동의가 필요하므로, 가급적 입학 시에 학생들이나 법정대리인의 동의(학생이 만14세 미만일 경우)를 받는 것이 바람직합니다.

참고

법정대리인이란 본인의 의사에 의하지 않고 법률의 규정에 의하여 대리인이 된 자로 미성년자의 친권자(「민법」 제909조, 제911조, 제916조, 제920조), 후견인 (「민법」 제931조~제936조), 법원이 선임한 부재자의 재산관리인(「민법」 제22조, 제23조), 상속재산관리인(「민법」 제1023조제2항, 제1053조), 유언집행자(「민법」 제1096조) 등이 이에 해당한다.

Q2.

병원에 방문한 만14세 미만 아동에게도 법정대리인의 동의를 받아야 하나요?

A 「개인정보 보호법」 제15조에 따르면, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우에는 동의없이 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다고 규정하고 있습니다.

「의료법」 제22조에서는 의료인은 진료기록부를 작성해야 한다고 규정하고 있으며, 동법 시행규칙 제14조에서는 진료기록부에 기재할 사항으로 “진료를 받은 자의 주소, 성명, 주민등록번호, 병력 및 가족력, 주된 증상, 진단 결과, 진료경과 및 예견, 치료내용, 진료일시분”을 명시하고 있습니다.

따라서 성인이나 만14세 미만 아동 모두 「의료법」에서 규정하는 개인정보는 정보주체 또는 법정대리인의 동의없이 수집·이용이 가능합니다.

「개인정보 보호법」제23조(민감정보의 처리 제한)

Q1.

「개인정보 보호법」 제23조에서 건강, 성생활을 민감정보로 정의하고 처리하지 말 것을 규정하고 있는데, 병원에서 건강정보를 수집할 수 있나요?

A 의료기관에서 「의료법」에 근거하여 수집하는 민감정보는 「개인정보 보호법」 제23조제2호 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에 해당하므로 별도의 동의없이 처리할 수 있습니다.

단, 법에서 요구하는 이외의 사항을 수집하는 경우에는 정보주체의 별도 동의가 필요합니다.

참고

민감정보의 범위

- 개인의 가치관을 기초로 하여 형성된 사유체계, 개인이 굳게 믿고 지키고자하는 믿음·생각 등으로 각종 이데올로기 또는 사상적 경향, 종교적 신념 등

- 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보

- 노동조합 또는 정당에의 가입·탈퇴에 관한 정보

- 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애, 성적 취향 등의 정보

Q2.

협회 임원 선거에 출마한 입후보자의 징계사실을 동의없이 공표하는 것이 가능하나요?

A 「개인정보 보호법」 제23조제1항 및 동법 시행령 제18조에 규정된 민감정보는 ‘사상·신념,노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 유전자검사 등의 결과로 얻어진 유전정보, 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보’입니다.

이러한 민감정보는 정보주체에게 별도로 동의를 받은 경우, 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 처리할 수 있습니다.

따라서 입후보자의 징계사실이 위의 「형의 실효 등에 관한 법률」 제2조 제5호에 따른 범죄 경력자료에 해당하는 정보’라면, 그 자료를 공개하도록 요구하거나 허용하는 법령 근거가 있는지 우선 확인하셔야 하며, 법령 근거가 없다면 정보주체로부터 별도 동의를 받아야 공개할 수 있습니다.

「개인정보 보호법」제25조(영상정보처리기기의 설치·운영 제한)

Q1.

영상정보처리기기(CCTV)를 설치하려고 합니다. 사무실은 공개된 장소인가요? 출입이 통제되는 사무실에 CCTV를 설치하는 경우는 어떻게 되나요?

A 출입이 통제되어 해당 사무실에 직원 등 특정한 사람만 들어갈 수 있다면 공개된 장소로 볼수 없습니다. 사무실이라고 하더라도 출입이 통제되지 않아 민원인이나 불특정 다수인이 아무런 제약 없이 출입이 가능하다면 공개된 장소에 해당합니다.

비공개된 장소에 설치된 영상정보처리기기는 『개인정보 보호법』 제25조가 적용되지 않으나 이를 통해 수집되는 영상정보는 개인정보에 해당하므로 법 제15조가 적용됩니다.

특정인에 한하여 출입할 수 있는 사무실 등 비공개된 장소에 영상정보처리기기를 설치하고자 하는 경우에는 촬영 범위에 포함된 모든 정보주체의 동의를 받는 것이 바람직하며, 안내판 설치나 보호조치 등은 공개된 장소에 설치된 영상정보처리기기 규정을 준용하는 것을 권장합니다.

참고

영상정보처리기기란?

- 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로써 시행령 제3조에 따른 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라

Q2.

공동주택의 공용부분인 세대현관 앞은 ‘공개된 장소’에 해당하나요? 그렇다면 범죄의 예방 및 수사를 목적으로 설치 가능한가요?

A 누구나 드나들 수 있도록 개방된 장소는 공개된 장소에 해당합니다. 세대 현관 앞이 별도의 제재 없이 누구나 드나들 수 있다면 공개된 장소로 볼 수 있으며, 이에 해당할 경우 범죄예방 및 수사를 목적으로 설치하실 수 있습니다.

참고

순수한 사적 장소에 영상정보처리기기를 설치·운영하는 경우

- 영상정보처리기기가 개인의 주택 내부, 개인소유의 차량 등 순수한 사적 공간에 설치되어 있는 경우에는 이 법 적용이 배제됨

- 예를 들어 단독주택·연립주택 등의 대문, 현관 등에 범죄예방(방범) 목적으로 감시용 CCTV를 설치하는 경우, 그 영상정보처리기기가 설치된 장소는 공개된 장소가 아니며, 그 영상정보처리기기를 설치·운영하는 개인 등도 개인정보처리자에 해당한다고 보기 어려워 이 법이 적용되지 않음

- 단, 이러한 경우에도 CCTV 각도를 최대한 주택 내부로 하는 등의 조치를 취하여 다른 사람들의 사생활 침해가 발생하지 않도록 하여야 함

Q3.

영상정보처리기기 설치 및 운영안내에 대한 안내판 설치를 어디에 해야 하는지 궁금합니다. 

각 건물 출입구에만 설치하면 되나요? 아니면 CCTV 설치 장소에 전부 부착 해야 하나요?

A 「표준 개인정보 보호지침」제43조 제2항에서는 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독될 수 있게 설치되어야 하며, 이 범위 내에서 영상정보처리기기 운영자가 안내판의 크기나 설치 위치는 자율적으로 정할 수 있도록 하고 있습니다.

영상정보처리기기 운영자는 법 제25조 제4항 및 동법 시행령 제25조 제1항에 따른 사항을 기재하여 정보주체가 영상정보처리기기가 설치·운영되고 있음을 쉽게 알아볼 수 있도록 적절한 장소에 안내판을 설치하여야 합니다.

참고

「영상정보처리기기 안내판 예시

CCTV 설치 안내

•설치목적: 범죄 예방 및 시설안전

•설치장소: 출입구의 벽면/천장, 엘리베이터/ 각층의 천장

•촬영범위: 출입구, 엘리베이터 및 각층 복도(360°회전)

•촬영시간: 24시간 연속 촬영

•관리책임자: 00OO과 홍길동(02-OOO-OOOO)

(설치·운영을 위탁한 경우)

•수탁관리자: 0000업체 박길동(02-OOO-OOOO) 

Q4.

음식점을 운영하고 있습니다. 방범 목적으로 가게 입구에 CCTV를 설치했는데, 촬영되는 영상을 홍보 목적으로 사용해도 될까요?

A 관련 규정과 입법취지를 고려했을 때, CCTV를 방범목적으로 적법하게 설치한다 해도, 이를 홍보 목적으로 실시간 방송하는 등 다른 목적으로 활용하는 것은 바람직하지 않습니다.

뿐만 아니라, 개인의 옷차림만으로도 특정인이 식별될 수 있기 때문에 손님을 촬영한 영상공개로 인해 타인의 사생활을 침해할 소지도 있습니다. 만약 해당 영상을 실시간으로 불특정 다수에게 보여주려면 영상에서 특정 개인을 알아볼 수 없는 형태로 개인 식별성을 완전히 제거하여야 합니다.

「개인정보 보호법」제26조(업무위탁에 따른 개인정보의 처리 제한)

Q1.

내부 직원에 대한 교육을 외부 업체에 위탁할 때 위탁에 대한 동의를 받아야 하나요?

A 「표준 개인정보보호 지침」에서는 근로자와 사용자가 근로계약을 체결하는 경우, 임금지급, 교육, 증명서 발급, 근로자 복지 등을 위하여 근로자 동의 없이 개인정보를 수집·이용할수 있도록 규정하고 있습니다. 따라서 내부 직원에 대한 교육위탁은 별도 동의는 필요하지 않지만, 위탁내용과 수탁자는 고지해야 합니다.

참고

위탁 업무 등의 공개 방법

- 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법

- 관보(위탁자가 공공기관인 경우로 한정한다)나 위탁자의 사업장등이 소재하는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호ㆍ제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법

- 동일한 제호로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지ㆍ청구서 등에 지속적으로 싣는 방법

- 재화 또는 용역을 제공하기 위한 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에 게 발급하는 방법

Q2.

위탁하는 업무가 1회성인 경우에도 수탁자에 대한 관리감독을 이행해야 하나요?

A 단발성일지라도 개인정보 처리 업무위탁이 이루어진다면 관련 규정을 준수하여 관리 감독을 이행해야 합니다.

또한, 개인정보와 관련한 문제가 발생할 경우 그 최종책임은 위탁자에게 있으므로 수탁자가 개인정보를 안전하게 처리하도록 관리·감독하는 것이 바람직합니다.

「개인정보 보호법」제29조(안전조치의무)

Q1.

비밀번호는 반드시 8자리 이상으로 설정해야 하나요?

A 「개인정보의 안전성 확보조치 기준」 제5조에 따르면, 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하도록 하고 있습니다.

즉, 안전하지 못한 비밀번호를 사용할 경우 정보가 노출될 위험성이 있으므로, 생일, 전화번호 등 추측하기 쉬운 숫자나 문자 등을 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 개인정보처리시스템에 적용하여야 합니다.

이 때 비밀번호의 최소 길이는 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 합니다. 참고로 비밀번호 작성규칙은 아래와 같습니다.

참고

비밀번호 작성규칙

- 최소 10자리 이상: 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 2종류 이상으로 구성

- 최소 8자리 이상: 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9개, 10개) 및 특수문자(32개) 중 3종류 이상으로 구성

「개인정보 보호법」제34조(개인정보 유출 통지 등)

Q1.

개인정보가 유출이 되었는데 어떻게 해야 하나요?

A 개인정보 유출사실을 발견한 때로부터 5일 이내 해당 정보주체에게 서면, 이메일, 팩스, 전화, SMS 등의 수단을 이용하여 유출사실을 통지를 하여야 하며, 정보주체에게 통지해야할 사항은 유출된 개인정보의 항목, 유출된 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응조치 및 피해 구제절차, 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처입니다.

단, 1만명 이상 고객의 개인정보가 유출이 된 경우에는 행정자치부, 한국인터넷진흥원에 ‘개인정보 유출신고서’에 따라 유출사실 신고를 하고, 인터넷 홈페이지 또는 사업장에 유출사항을 7일 이상 게재해야 합니다.

참고

개인정보 유출이란?

- 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것(「표준 개인정보 보호지침」 제26조, 개인정보의 유출)

「개인정보 보호법」 제36조(개인정보의 정정·삭제)

Q1.

자동차 보험계약 만료 후, 다른 보험회사로 자동차 보험계약을 갱신하여 이전 보험회사에 개인정보 삭제를 요청하였더니 불가하다고 합니다. 개인정보처리자가 정보주체의 개인정보 삭제요청을 거부할 수 있나요?

A 개인정보처리자는 정보주체로부터 삭제요구를 받으면, 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 해당 개인정보의 삭제 등 필요한 조치를 한 후 그 결과를 ‘개인정보 정정·삭제 결과통지서’(『개인정보 보호법』 시행규칙 별지 제9호 서식)로 해당 정보주체에게 알려야 합니다. 단, 다른 법령에 따라 보존하여야 하는 경우에는 가능합니다.

정보주체의 정정·삭제 요구에 따라 필요한 조치를 취하지 않은 개인정보처리자에 대해서는 「개인정보 보호법」 제75조제2항제11호에 의거, 3천만원 이하의 과태료가 부과될 수 있습니다.

「개인정보 보호법」제58조(적용의 일부 제외)

Q1.

종교단체가 선교목적으로 개인정보를 동의 없이 수집할 수 있나요?

A 「개인정보 보호법」 제58조에 따라 종교단체가 선교를 위하여 수집·이용하는 개인정보에대해서는 「개인정보 보호법」 제3장부터 제7장까지(제3장 개인정보의 처리, 제4장 개인정보의 안전한 관리, 제5장 정보주체의 권리 보장, 제6장 개인정보 분쟁조정위원회, 제7장 개인정보 단체소송)의 규정을 적용하지 않습니다.

그러나, 이 외의 다른 규정은 준수해야 합니다. 따라서 최소한의 정보만을 정당하게 수집하여야 하고(제3조), 부정한 방법으로 개인정보를 수집하거나 허용된 권한을 초과해 다른 사람의 개인정보를 유출하는 등의 행위는 할 수 없습니다.

참고

종교단체에는 개신교, 대종교, 불교, 원불교, 유교, 이슬람교, 천도교, 천주교 등 종교의 보급 기타 교화를 목적으로 설립된 종단·교단·유지재단 또는 이와 유사한 연합종교단체, 종교단체에 소속된 법인 또는 단체로서 종교의 보급 기타 교화를 목적으로 설립된 개별단체로서 민법 제32조에 근거하여 문화관광부에 등록을 한 법인인 단체 또는 관할 시·군·구청에 종교단체로 등록하여 고유번호를 부여받고 관할세무서에 사업자 등록을 한 단체 등이 해당될 수 있음

출처 : KISA

※ 위 내용은 한국인터넷진흥원에서 2017년 1월 발간한 개인정보 보호 상담사례집의 내용을 원문 수정 없이 그대로 가져온 것입니다. 문제가 된다면 방명록에 글 남겨 주시면 조치 하겠습니다.