본문 바로가기

교육 및 세미나 참석

개인정보 처리 통합 안내서 설명회 참석 후기

2025년 7월 29일 한국광고문화회관에서 개최된 개인정보보호위원회의 '개인정보 처리 통합 안내서'(이하 안내서로 지칭) 설명회에 다녀왔다.

 
회사 위치와 잠실 간의 거리가 멀뿐 아니라 한국광고문화회관에서 제공하는 의자가 불편한 걸 알고 있기 때문에 참석을 망설였으나 업무 관련자로서 가장 중요한 정책 시행 문서인 안내서 설명회를 참석하지 않는 건 너무 성의가 없는 게 아닌가란 생각이 들어 다녀오게 되었다. 
 
2023년 9월 15일에 개최된 개인정보 보호법 개정 설명회처럼 주최 측에서 예상한 인원수를 훨씬 뛰어넘는 분들이 방문해 주셔서 시작 30분 전쯤에 이미 빈 좌석을 찾을 수가 없었고 뒤에 서서 들으시는 분, 바닥에 앉아서 들으시는 분들도 많았다. 서계셨던 분들께는 죄송하지만, 불편한 플라스틱 의자 때문에 앉아있던 4시간 내내 허리가 너무 아팠고 한국광고문화회관에서 열리는 교육이나 세미나는 앞으로 참석하지 않을 예정이다.
 
설명회는 2025년 개인정보 정책 방향, 안내서 설명, 개인정보 처리방침 작성지침 개정사항, 질의 응답 순으로 진행이 되었고 설명회 발표 자료는 개인정보보호위원회 홈페이지의 공지사항에 올라가 있다. 사정이 있어 참석하지 못한 분들을 위해 안내서 설명에 한해 발표 영상이 유투브에 올라와 있으니 필요한 분들은 영상을 참고하시면 된다.
 
발표 자료와 안내서가 이미 공개된 상태였음에도 참석을 한건 현장에서만 들을 수 있는 개정 배경, 동향, 팁 등을 얻기 위해서였고 안내서 설명을 해주신 임*철 서기관님의 발표는 너무 매끄럽게 진행되었고 참석자들을 배려해 주는 발표라는 생각이 들었다.
 
기억에 남는 내용을 요약해보면 다음과 같다.
1) 안내서에 개인정보가 포함되어 있는 DB자체를 개인정보라고 정의한 건 개인정보를 포함한 DB를 운영하고 있지만 특정 정보만 찝어서 이게 개인정보인지를 물어보는 경우가 많았기 때문임
 > 특정 정보에 한해 판단하려 하지말고 DB자체(전체)를 개인정보로 관리해야 함
 
2) 계약 이행이 개인정보 제3자 제공(법 제17조)의 적법한 근거에 빠져있는 게 적정한지에 대해서는 고민 중에 있음
 > 언젠가는 포함이 필요할거라는 뉘앙스 였음
 
3) 법률에서 개인정보를 요구할 수 있는 규정만 있고 요구를 받은 곳에서 개인정보를 제공해야 한다는 규정이 없는 경우 제출 요구를 받은 상대방은 개인정보의 목적외 제공 가능 여부(법 제18조 제2항)을 별도로 검토해야 함
- 상대방이 자료 요구에 따라야 한다, 따를 수 있다 등 제공 근거 규정이 있는 경우
- 자료 제출 거부 시 과태료 등 제재를 규정하고 있는 경우
- 규정 취지상 요청받은 기관을 특정할 수 있고 제공할 수 있는 취지로 명확히 해석이 가능한 경우
- 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우
 
4) ' 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우'를 해석할 때는 잘 끊어서 해석을 해야 함(정보주체의 요청에 따른 조치 이행은 계약 체결 과정에 한함)
- 맞는 해석 : ①정보주체와 체결한 계약을 이행하거나 ②계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

- 틀린 해석 : ①정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
 
5) 정보주체의 요청은 매번 건별로 요청을 해야하는 걸 의미하는 건 아니고 계약을 체결한다면 계약 체결 요청을 정보주체의 요청으로 봐야한다.
 
6) 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체의 동의 없이 개인정보를 추가 이용할 수 있는 경우와 관련해 '퇴직한지 3년이 경과되었으나 다른 법령에 근거해 보존하고 있는 개인정보가 있다면 그 개인정보를 이용해 경력증명서를 발급할 수 있다고 언급'
 > 다른 법령에 근거해 보존하고 있는 개인정보일지라도 수집 목적과 관련성 등을 고려했을 때 적정하다면, 해당 법령에서 보존을 규정한 목적외로 이용할 수 있다는 의미. 실무적으로 한 번쯤은 써먹을 사례가 있을 것 같다.
 
7) 개인정보 처리업무 재위탁도 위탁자와의 계약서에 관련 절차를 담고 매번 위탁자의 동의를 받기 어렵다면 정기적으로 보고를 하게 하는 방법도 가능