개정 개인정보보호법 현장 안착을 위한 종합 설명회 참석

12/11(월) 엘타워 그레이스홀에서 열린 개정 개인정보보호법 현장 안착을 위한 종합 설명회에 참석하고 왔다.

 

1차 설명회 때 좌석 대비 많은 인원이 참석해 이번에는 훨씬 더 큰 곳에서 설명회를 진행했음에도 불구하고 빈자리는 찾아보기 어려웠고, 부서별 사무관 님들의 전문성 느껴지는 발표와 성의있는 질의응답으로 지루함을 느낄 수 없었던 시간이었다.

 

주요 내용을 정리해보면,

1) 개인정보 이용ㆍ제공 내역 통지 예외 조건인 '업무수행을 위해 그에 소속된 임직원의 개인정보를 처리한 경우 해당 정보주체'에 경력증명 발급을 위해 보관 중인 퇴사자도 포함해 통지 대상에서 제외 가능함

 

2) 재수탁사를 개인정보처리방침에 포함할 때 수탁자의 개인정보처리방침 링크를 추가해 알리는 방식을 사용 가능함(안내서 초안에도 포함된 내용)
> 수탁자의 개인정보처리방침 내의 모든 수탁자가 우리의 수탁자가 아니고 수탁자 개인정보처리방침 링크 URL 변경 여부 트래킹 등 부가적인 작업이 필요해 개인정보처리방침에 재수탁자를 직접 명시하는 방식을 유지하는게 낫다는 생각임

3) 개인정보 유효기간제 폐지로 휴면 회원을 일반 회원으로 전환할 경우 휴면 전환 전의 개인정보 동의 내용과 현재 동의 내용에 변경이 있었다면 재동의 절차를 거쳐야 함

 

4) 2024년 개인정보 처리방침 평가 대상을 약 50개로 계획하고 있음

 

5) 수탁자 관리ㆍ감독 범위에 재수탁자까지 포함해야 함을 언급

 

6) 쇼핑몰에서 '계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우'를 판단하는 가장 중요한 근거는 이용약관에서 규정하고 있는 서비스(계약) 범위임

 

7) '계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우'에 대한 판단 기준은 내년 6월까지 구체적으로 다시 안내할 예정

 

8) 개인정보 국외이전 유형이 제3자 제공인 경우 국외이전 가능 요건을 충족하더라도 개인정보보호법 제17조(개인정보의 제공)에 근거한 제3자 제공 동의는 받아야 함(국외이전 동의와 제3자 제공 동의는 별개임을 언급)

 

9) 개인정보 유출 시 통지 및 신고 기한인 72시간은 유출을 알게 된 시점부터  주말, 공휴일을 고려하지 않고 계산해야 함

 

10) 회원 수가 많아 72시간 내에 개인정보 유출 통지를 완료하지 못할 경우 법 위반인지 여부는 회원 수, 사회 통념 등 여러 요건을 고려해서 판단할 예정

 

11) 입법 예고 중인 개인정보보호법 시행령(안)의 개인정보보호책임자의 자격 요건이 강화되어 금년 매출이 1,500억 이상인 경우 개인정보보호 경력을 3년이상 보유한 임원을 개인정보 보호책임자로 임명해야 하는 이슈가 있음(현재 각계 의견 수렴 중)