.gif)
개인정보 수집·이용 위반, 정보주체 동의 미획득과 필수 고지사항 누락 등 다수
[보안뉴스 김경애 기자] 유럽 개인정보보호법 GDPR 시행을 코앞에 두고 개인정보보호에 대한 중요성이 날로 커지고 있는 가운데 실제 기업에서 개인정보 수집·이용·관리 측면에 있어 주요 위반사례가 무엇인지 관심이 모아지고 있다.
▲개인정보 수집·처리에 대한 미동의 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]
행정안전부가 기업 및 기관의 개인정보보호 실태를 점검·조사해 발간한 ‘2013~2017 개인정보 실태 점검 및 행정 처분 사례집’에 따르면 주요 현장 점검 위반 사례는 △개인정보 수집 이용 △개인정보의 제3자 제공 △개인정보의 파기 △개인정보의 마케팅 활용 동의 △법정대리인의 동의 △고유식별정보의 처리 △개인정보처리 업무 위탁 △개인정보 양도 △인수에 따른 고지 △개인정보의 안전성 확보조치 △개인정보처리방침의 수립 및 공개 측면에서 다양하게 적발되고 있다.
이 가운데 개인정보 수집·이용 시 위반 사례는 주로 정보주체 동의 미획득과 개인정보 수집·이용 시 필수 고지사항 누락 등이 손꼽히고 있다. 이에 본지는 사례집 내용을 바탕으로 실제 위반사례를 소개하고자 한다.
1. 개인정보 수집·처리에 대한 미동의
경양식점 운영과 함께 외식 사업을 진행하는 프랜차이즈 A업체는 평소 나눔 활동에 관심이 많은 곳이다. 대표 홈페이지를 통해 재능 기부 명목으로 제빵사·바리스타 인재 양성 프로그램을 진행하기도 했다. 해당 업체는 지원자 모집을 위해 지원서 양식을 홈페이지를 통해 다운로드할 수 있도록 했고, 작성된 지원서는 해당 프로그램 담당자 업무용 이메일로 접수했다. 이 과정에서 A업체는 지원서 양식에 기재된 인재 양성프로그램 지원자들의 개인정보를 상당수 수집하면서 정작 지원자로부터 해당 개인정보 수집·처리 등에 대한 어떠한 동의도 받지 않았다.
이는 개인정보보호법 제15조 제1항 위반에 해당된다. 이에 따라 A기업은 지원서 수집 시 개인정보 수집 및 이용 동의서를 별도 양식으로 수령해야 한다는 시정조치와 함께 5천만 원 이하 과태료의 행정처분을 받았다.
오프라인, 홈페이지, 고객 상담 접수, 기탁금 접수 등의 경우에 개인정보를 수집한다면 ①정보주체의 동의를 받은 경우 ②법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ③공공기관이 법령 등에서 정하는 소관 업무를 수행하기 위하여 불가피한 경우 ④정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 ⑤정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태 또는 주소불명 등 사전 동의를 받을 수 없는 상태에 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요한 경우 ⑥개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우 정보주체의 권리보다 우선하는 경우를 제외하고는 개인정보를 수집하면 안 된다. 따라서 지원서 수집 시에는 개인정보 수집 및 이용 동의서를 별도 양식으로 수령해야 한다.
또한, 개인정보처리자는 정보주체로부터 개인정보를 수집하는 시점 이전에 정보주체가 ①수집 개인정보 항목 ②보유 이용 기간 ③보유 이용 목적 ④거부 시 불이익 사항이 있는 경우 그 내용을 명확히 인지하고 명시적으로 동의할 수 있는 절차를 마련해야 한다.
개인정보보호법 제15조(개인정보의 수집・이용)에 따르면 1. 온·오프라인 회원 가입 시 동의 여부 2. 각종 게시판 기타 개인정보 수집 시 동의 여부 3. 정보주체 동의 시 필수 고지 항목 고지 여부 4. 필수 고지 항목 내용의 적정 여부에 대해 확인해야 한다.
온라인 수집인 경우, 웹사이트 회원 가입 화면 등 개인정보 수집 페이지와 법령에 의거할 경우 개인정보처리방침에 고지되고 있는지 확인하고, 개인정보 수집 화면에 4가지 항목 모두 정보주체에게 고지돼야 한다. 그 다음 정보주체가 동의 체크하는 곳이 있는지 확인해야 한다.
오프라인 수집인 경우, 가입 신청서·계약서 등을 확인해 4가지 항목 모두 정보주체에게 고지돼야 하며, 정보주체가 동의에 대해 체크하는 곳이 있는지 확인해야 한다.
만약 정보주체의 동의 없이 개인정보를 수집했다면 동의 획득 예외 사항인 ①과금 정보, 통화 사실 기록(도수), 접속 로그(log), 결제 기록, 이용 정지 기록 등의 생성 정보와 같이 통상적으로 기술적·경제적으로 동의를 구하기 어려운 경우 ②서비스별 요금액, 납부 또는 미납 사실, 미납액 등 요금 정산에 필요한 경우 ③이 법 또는 다른 법률에 근거하는 경우(근거 법률을 확인하여야 한다.) ④법령상 의무를 준수하기 위해 불가피한 경우 ⑤공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 ⑥정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우
⑦정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로 명백하게 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우 ⑧개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다)가 해당하는지 확인해야 한다.
2. 개인정보 수집·이용 시 필수 고지사항 누락
자체 홈페이지를 운용하고 있는 C회사는 원활한 업무 처리와 서비스 대응을 위해 온라인으로 회원 관리를 하고 있다. 회원 가입의 번거로움을 줄이는 한편, 절차상의 개인정보보호 가이드라인을 어느 정도 지키기 위해 회원 가입을 진행할 때 다음과 같은 다소 간략한 형태로 개인정보 수집·이용 동의를 회원 가입자로부터 받고 있다.
▲개인정보 수집·이용 시 필수 고지 사항 누락 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]
구체적인 개인정보 수집 항목과 그에 따른 수집 목적, 보유기간의 고지 및 동의란 체크박스로 구성된 다음 내용은 얼핏 보면 개인정보보호법을 잘 준수하고 있는 것으로 보일 수 있다. 그러나 정보주체에게 개인정보 수집·이용과 관련한 필수 고지사항 4가지 중 ‘동의 거부 권리와 동의 거부에 따른 불이익’에 대해서는 전혀 고지하지 않았다. C회사는 정보통신서비스 제공자로서 정보통신망법 제22조의 적용을 받는 것이 원칙이지만 개인정보보호법 제15조가 보충 적용돼 동의 거부 권리와 동의 거부에 따른 불이익에 대하여 고지하지 않았으므로 개인정보보호법 제15조제2항 위반에 해당한다.
이에 따라 C사는 개인정보 수집·이용 시 필수 고지 내용 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.
개인정보보호법 제15조 제1항 제1호에 따른 동의를 받을 때에 개인정보 필수 고지 사항은 ① 개인정보 수집·이용 목적 ②수집하려는 개인정보의 항목 ③개인정보의 보유 및 이용 기간 ④동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 해당 불이익의 내용에 대해 고지해야 한다.
개인정보처리자는 정보주체로부터 개인정보를 수집하는 시점 이전에 정보주체가 ①수집 개인정보 항목 ②보유 및 이용 기간 ③보유 이용 목적 ④거부 시 불이익 사항이 있는 경우 그 내용을 명확히 인지하고 명시적으로 동의할 수 있는 절차를 마련해야 한다.
온라인 수집인 경우, 웹사이트 회원 가입 화면 등 개인정보 수집 페이지와 법령에 의거할 경우 개인정보처리방침에 고지되고 있는지 확인하고, 개인정보 수집 화면에 4가지 항목 모두 정보주체에게 고지되며, 이에 대한 정보주체가 동의 체크하는 곳이 있는지 확인해야 한다.
오프라인 수집인 경우, 가입 신청서·계약서 등을 확인해 4가지 항목 모두 정보주체에게 고지되며, 이에 대한 정보주체가 동의 체크하는 곳이 있는지 확인해야 한다.
정보주체의 동의 없이 개인정보를 수집했다면 동의 획득 예외 사항인 ①과금 정보, 통화 사실 기록(도수), 접속 로그(log), 결제 기록, 이용 정지 기록 등의 생성 정보와 같이 통상적으로 기술적·경제적으로 동의를 구하기 어려운 경우 ②서비스별 요금액, 납부 또는 미납 사실, 미납액 등 요금 정산에 필요한 경우 ③이 법 또는 다른 법률에 근거하는 경우(근거 법률을 확인하여야 한다) ④법령상 의무를 준수하기 위하여 불가피한 경우 ⑤공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 ⑥정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우
⑦정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로 명백하게 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우 ⑧개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로 정보주체의 권리보다 명백하게 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다)가 해당하는지 확인해야 한다.
한편, 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다. 이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다. PIS FAIR 2018은 홈페이지를 통해 사전등록하면 무료 참관이 가능하다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 유럽 개인정보보호법 GDPR 시행을 코앞에 두고 개인정보보호에 대한 중요성이 날로 커지고 있는 가운데 실제 기업에서 개인정보 수집·이용·관리 측면에 있어 주요 위반사례가 무엇인지 관심이 모아지고 있다.
▲개인정보 수집·처리에 대한 미동의 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]
행정안전부가 기업 및 기관의 개인정보보호 실태를 점검·조사해 발간한 ‘2013~2017 개인정보 실태 점검 및 행정 처분 사례집’에 따르면 주요 현장 점검 위반 사례는 △개인정보 수집 이용 △개인정보의 제3자 제공 △개인정보의 파기 △개인정보의 마케팅 활용 동의 △법정대리인의 동의 △고유식별정보의 처리 △개인정보처리 업무 위탁 △개인정보 양도 △인수에 따른 고지 △개인정보의 안전성 확보조치 △개인정보처리방침의 수립 및 공개 측면에서 다양하게 적발되고 있다.
이 가운데 개인정보 수집·이용 시 위반 사례는 주로 정보주체 동의 미획득과 개인정보 수집·이용 시 필수 고지사항 누락 등이 손꼽히고 있다. 이에 본지는 사례집 내용을 바탕으로 실제 위반사례를 소개하고자 한다.
1. 개인정보 수집·처리에 대한 미동의
경양식점 운영과 함께 외식 사업을 진행하는 프랜차이즈 A업체는 평소 나눔 활동에 관심이 많은 곳이다. 대표 홈페이지를 통해 재능 기부 명목으로 제빵사·바리스타 인재 양성 프로그램을 진행하기도 했다. 해당 업체는 지원자 모집을 위해 지원서 양식을 홈페이지를 통해 다운로드할 수 있도록 했고, 작성된 지원서는 해당 프로그램 담당자 업무용 이메일로 접수했다. 이 과정에서 A업체는 지원서 양식에 기재된 인재 양성프로그램 지원자들의 개인정보를 상당수 수집하면서 정작 지원자로부터 해당 개인정보 수집·처리 등에 대한 어떠한 동의도 받지 않았다.
이는 개인정보보호법 제15조 제1항 위반에 해당된다. 이에 따라 A기업은 지원서 수집 시 개인정보 수집 및 이용 동의서를 별도 양식으로 수령해야 한다는 시정조치와 함께 5천만 원 이하 과태료의 행정처분을 받았다.
오프라인, 홈페이지, 고객 상담 접수, 기탁금 접수 등의 경우에 개인정보를 수집한다면 ①정보주체의 동의를 받은 경우 ②법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ③공공기관이 법령 등에서 정하는 소관 업무를 수행하기 위하여 불가피한 경우 ④정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 ⑤정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태 또는 주소불명 등 사전 동의를 받을 수 없는 상태에 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요한 경우 ⑥개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우 정보주체의 권리보다 우선하는 경우를 제외하고는 개인정보를 수집하면 안 된다. 따라서 지원서 수집 시에는 개인정보 수집 및 이용 동의서를 별도 양식으로 수령해야 한다.
또한, 개인정보처리자는 정보주체로부터 개인정보를 수집하는 시점 이전에 정보주체가 ①수집 개인정보 항목 ②보유 이용 기간 ③보유 이용 목적 ④거부 시 불이익 사항이 있는 경우 그 내용을 명확히 인지하고 명시적으로 동의할 수 있는 절차를 마련해야 한다.
개인정보보호법 제15조(개인정보의 수집・이용)에 따르면 1. 온·오프라인 회원 가입 시 동의 여부 2. 각종 게시판 기타 개인정보 수집 시 동의 여부 3. 정보주체 동의 시 필수 고지 항목 고지 여부 4. 필수 고지 항목 내용의 적정 여부에 대해 확인해야 한다.
온라인 수집인 경우, 웹사이트 회원 가입 화면 등 개인정보 수집 페이지와 법령에 의거할 경우 개인정보처리방침에 고지되고 있는지 확인하고, 개인정보 수집 화면에 4가지 항목 모두 정보주체에게 고지돼야 한다. 그 다음 정보주체가 동의 체크하는 곳이 있는지 확인해야 한다.
오프라인 수집인 경우, 가입 신청서·계약서 등을 확인해 4가지 항목 모두 정보주체에게 고지돼야 하며, 정보주체가 동의에 대해 체크하는 곳이 있는지 확인해야 한다.
만약 정보주체의 동의 없이 개인정보를 수집했다면 동의 획득 예외 사항인 ①과금 정보, 통화 사실 기록(도수), 접속 로그(log), 결제 기록, 이용 정지 기록 등의 생성 정보와 같이 통상적으로 기술적·경제적으로 동의를 구하기 어려운 경우 ②서비스별 요금액, 납부 또는 미납 사실, 미납액 등 요금 정산에 필요한 경우 ③이 법 또는 다른 법률에 근거하는 경우(근거 법률을 확인하여야 한다.) ④법령상 의무를 준수하기 위해 불가피한 경우 ⑤공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 ⑥정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우
⑦정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로 명백하게 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우 ⑧개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다)가 해당하는지 확인해야 한다.
2. 개인정보 수집·이용 시 필수 고지사항 누락
자체 홈페이지를 운용하고 있는 C회사는 원활한 업무 처리와 서비스 대응을 위해 온라인으로 회원 관리를 하고 있다. 회원 가입의 번거로움을 줄이는 한편, 절차상의 개인정보보호 가이드라인을 어느 정도 지키기 위해 회원 가입을 진행할 때 다음과 같은 다소 간략한 형태로 개인정보 수집·이용 동의를 회원 가입자로부터 받고 있다.
▲개인정보 수집·이용 시 필수 고지 사항 누락 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]
구체적인 개인정보 수집 항목과 그에 따른 수집 목적, 보유기간의 고지 및 동의란 체크박스로 구성된 다음 내용은 얼핏 보면 개인정보보호법을 잘 준수하고 있는 것으로 보일 수 있다. 그러나 정보주체에게 개인정보 수집·이용과 관련한 필수 고지사항 4가지 중 ‘동의 거부 권리와 동의 거부에 따른 불이익’에 대해서는 전혀 고지하지 않았다. C회사는 정보통신서비스 제공자로서 정보통신망법 제22조의 적용을 받는 것이 원칙이지만 개인정보보호법 제15조가 보충 적용돼 동의 거부 권리와 동의 거부에 따른 불이익에 대하여 고지하지 않았으므로 개인정보보호법 제15조제2항 위반에 해당한다.
이에 따라 C사는 개인정보 수집·이용 시 필수 고지 내용 시정조치와 함께 3,000만 원 이하 과태료의 행정처분을 받았다.
개인정보보호법 제15조 제1항 제1호에 따른 동의를 받을 때에 개인정보 필수 고지 사항은 ① 개인정보 수집·이용 목적 ②수집하려는 개인정보의 항목 ③개인정보의 보유 및 이용 기간 ④동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 해당 불이익의 내용에 대해 고지해야 한다.
개인정보처리자는 정보주체로부터 개인정보를 수집하는 시점 이전에 정보주체가 ①수집 개인정보 항목 ②보유 및 이용 기간 ③보유 이용 목적 ④거부 시 불이익 사항이 있는 경우 그 내용을 명확히 인지하고 명시적으로 동의할 수 있는 절차를 마련해야 한다.
온라인 수집인 경우, 웹사이트 회원 가입 화면 등 개인정보 수집 페이지와 법령에 의거할 경우 개인정보처리방침에 고지되고 있는지 확인하고, 개인정보 수집 화면에 4가지 항목 모두 정보주체에게 고지되며, 이에 대한 정보주체가 동의 체크하는 곳이 있는지 확인해야 한다.
오프라인 수집인 경우, 가입 신청서·계약서 등을 확인해 4가지 항목 모두 정보주체에게 고지되며, 이에 대한 정보주체가 동의 체크하는 곳이 있는지 확인해야 한다.
정보주체의 동의 없이 개인정보를 수집했다면 동의 획득 예외 사항인 ①과금 정보, 통화 사실 기록(도수), 접속 로그(log), 결제 기록, 이용 정지 기록 등의 생성 정보와 같이 통상적으로 기술적·경제적으로 동의를 구하기 어려운 경우 ②서비스별 요금액, 납부 또는 미납 사실, 미납액 등 요금 정산에 필요한 경우 ③이 법 또는 다른 법률에 근거하는 경우(근거 법률을 확인하여야 한다) ④법령상 의무를 준수하기 위하여 불가피한 경우 ⑤공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 ⑥정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우
⑦정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로 명백하게 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우 ⑧개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로 정보주체의 권리보다 명백하게 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다)가 해당하는지 확인해야 한다.
한편, 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다. 이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다. PIS FAIR 2018은 홈페이지를 통해 사전등록하면 무료 참관이 가능하다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
