개인정보보호 담당자가 알아야 할 23. 9. 15. 개인정보보호법 시행
2023. 9. 15. 전면 개정된 개인정보보호법이 시행됩니다. 각 회사의 개인정보보호 담당자는 개정된 개인정보보호법에 따라 개인정보처리방침, 개인정보 위수탁계약서, 내부통제 및 교육 등 실무와 관련된 사항들을 정비할 필요가 있습니다.
약 한달 뒤부터 시행될 개정 개인정보보호법의 주요 내용은 다음과 같습니다.
마이데이터(전송요구권)
- 마이데이터의 법적 근거가 마련됩니다.
마이데이터는 ‘개인정보의 주체는 나’라는 개념 아래 우리나라에 뒤늦게 도입된 제도로 자신의 개인정보를 가지고 있는 기관에 자신 또는 내가 지정하는 기관으로 개인정보를 전송할 수 있는 법률상의 권리가 부여됩니다.
- 금융정보에 제한적으로 가능했던 마이데이터 서비스가 행정, 세금, 의료, 유통 등 모든 영역으로 전면확대됩니다.
디지털 시대에 자신의 정보를 하나의 앱을 통합시킬 수 있는 발판이 생기는 것이므로 기존 정보관리기관이 독점하던 데이터 시장에 스타트업도 도전장을 내밀 수 있을 것입니다.
AI 기술을 활용한 개인정보처리(설명요구권 등)
- AI 개인정보 처리로 이루어지는 결정에 대한 설명요구권과 거부권이 신설됩니다.
- 개인의 건강, 금융, 관심사, 위치, 업무 등 여러 데이터를 기반으로 새롭게 만들어낸 분석과 예측과 같은 개인 프로파일링에 대한 규제입니다.
개인정보 국외이전
- 기존 개인정보 국외이전시 정보주체의 동의를 반드시 받아야 했으나 이제는 다양한 수단을 활용해 기존 고객의 개인정보를 국외로 제공, 처리위탁, 보관 등의 행위를 할 수 있습니다. 국내외 서비스와 법인을 운영하는 회사에 큰 도움이 될 것입니다.
이동형 CCTV
- 고정형 CCTV가 아닌 이동형 CCTV 설치와 촬영에 대한 법적 근거가 마련됩니다.
자율주행자동차, 드론, 배달 로봇에 부착되는 영상정보처리기기를 설치하고 촬영 사실을 명확하게 표시하도록 하는 운영 기준이 마련됩니다.
동일행위-동일규제(과징금 등 벌칙 일원화)
- 개인정보처리자(오프라인)와 정보통신서비스제공자(온라인)에 대하여 서로 다른 방식의 과태료와 과징금을 부과하던 규정을 일원화하여 오프라인과 온라인 개인정보처리자에 대한 벌칙이 일원화됩니다.
형벌규정 삭제(과징금 상향)
- 개인정보보호법 위반 시 과도한 징역형을 과징금으로 대체하되 이를 상향함으로써 실효성을 제고합니다.
다만, 과징금이 관련 매출액의 3%가 아닌 전체 매출액의 3%으로 변경되어 위반 시 경제적 부담이 커집니다.
개인정보 분쟁조정제도(조정 수락 간주)
- 개인정보 분쟁 시 조정위원회에 신청할 수 있고, 조정 통지를 받은 자는 반드시 조정에 응하여야 하고, 15일 이내에 수락 여부를 알리지 않으면 조정을 수락한 것으로 간주됩니다.
그 외에 개인정보보호 담당자가 알아야 할 내용
- 그 외에도 개인정보보호 담당자가 알아야 할 내용은 다음과 같습니다.
개인정보의 수집∙이용, 제공 및 위탁에 관한 사항을 위주로 정리하였습니다.
- 개인정보 보호법 제13조의2(개인정보 보호의 날)
개정법에 따라 매년 9월 30일이 개인정보 보호의 날로 지정됩니다.
국가와 지방자치단체는 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사를 실시할 것으로 보이는 만큼 개인정보 보호의 날을 맞이하여 개인정보 보호를 위한 사내 교육 또는 행사를 진행하는 것도 고려해 볼만할 것입니다.
- 개인정보 보호법 제15조(개인정보의 수집∙이용)
정보주체의 개인정보를 수집하고 이용할 때 매번 정보주체의 동의를 받기 어려운 경우가 있을 것입니다.
종전에는 개인정보처리자가 “정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우”에만 정보주체의 동의 없이 개인정보를 수집할 수 있었으나 앞으로는 “정보주체와 체결한 계약을 이행하거나 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우”, “명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우”, 그리고 “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우”에도 정보주체의 동의 없이 개인정보를 수집하고 이용할 수 있게 되었습니다.
- 개인정보 보호법 제17조(개인정보의 제공)
수집한 개인정보를 제3자에게 제공하는 경우에는 어떨까요?
“명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우”, 그리고 “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우”에는 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 있게 되었습니다. 다만, 이 경우 “정보주체와 체결한 계약을 이행하거나 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우”에 해당한다고 하여도 개인정보를 제3자에게 제공하기 위해서는 반드시 정보주체의 동의를 받아야 한다는 점을 유의할 필요가 있습니다.
- 개인정보 보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 기존과 같이 즉시 ① 개인정보의 수집 출처, ② 개인정보의 처리 목적에 더하여 ③ 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실을 추가로 알려 합니다.
- 개인정보 보호법 제20조의2(개인정보 이용∙제공 내역의 통지)
대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호법에 따라 수집한 개인정보의 이용∙제공 내역이나 이용∙제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 합니다. 통지의 대상이 되는 정보주체의 범위, 통지 대상 정보, 통지 주기 및 방법 등에 관한 사항은 추후 대통령령으로 정해질 예정입니다.
- 개인정보 보호법 제22조의2(아동의 개인정보 보호)
만 14세 미만의 이용자가 많아졌지만 실무적으로 만 14세 미만의 개인정보 처리에 관한 사항이 명확하지 않았습니다. 앞으로는 만 14세 미만의 경우에도 법정대리인의 동의를 받고 법정대리인이 동의하였는지를 확인한다면 만 14세 미만의 개인정보도 처리할 수 있게 되었습니다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보로서 대통령령으로 정하는 정보는 법정대리인의 동의 없이도 직접 수집할 수 있게 되었습니다. 특별한 사정이 없다면 여기에는 법정대리인의 이름과 전화번호가 포함될 것으로 보입니다.
- 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
B2B 서비스를 하는 개인정보보호 담당자가 가장 어려워하는 부분이 바로 개인정보 처리 위탁에 관한 부분입니다.
우선, 개인정보 처리 위탁자는 기존과 같이 위탁하는 업무의 내용과 수탁자에 더하여 재위탁하는 경우에도 그 재수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 개인정보처리방침에 공개하여야 합니다. 즉, 개인정보 처리 수탁자가 제3자에게 재위탁하려는 경우 위탁자인 원 개인정보처리자의 동의를 받아야 하고 해당 위탁자는 이를 개인정보처리방침에 기재하여야 합니다. 개인정보 수탁자가 개인정보의 재위탁을 하기 위하여 위탁자의 동의를 받을 때에는 별도의 동의서 형태로 받는 것이 안전할 것입니다.
법 시행 후 하위 법령을 통해 구체적인 절차와 가이드라인이 제공될 예정이므로 지속적인 모니터링이 필요할 것으로 보입니다.
개인정보보호 담당자는 23. 9. 15. 시행되는 개정 개인정보보호법에 따라 업무를 처리하고 사내 구성원들을 상대로 교육을 진행하면서 기존 개인정보처리방침, 개인정보 수집∙이용 동의, 제3자 제공 동의, 국외 이전, 위탁 및 재위탁 동의서 등에 대하여 전반적인 검토하여 개정된 법에 따라 반영할 필요가 있습니다.
이번 전면 개정안은 GDPR 규정을 반영하여 글로벌 스탠다드에 부합하고자 하는 시도로 보이는 바 기업의 개인정보보호 담당자는 이를 충분히 숙지하여 개인정보와 관련하여 예측하지 못한 리스크에 대비하시길 바랍니다.