[자료] 개인정보 보호법 해석 사례집 1.0

개인정보보호위원회에서 개인정보 보호법 해석 사례집 1.0을 공개했다.

 

기존에 공개한 표준 해석례와 겹치는 내용도 있고, 지금은 공개되지 않지만 과거에 연도별로 공개했던 개인정보보호 상담 사례집과 유사한 느낌도 난다.

 

개인적으로 참고할 만한 내용을 정리해 보면 다음과 같다.

1. 경찰이 습득물 신고를 접수 받을 때 유실물법 시행령 제1조 제1항에 근거해 사용하는 양식인 습득물 신고서 양식에 주민등록 번호 작성란이 포함되어 있기 때문에, 경찰은 유실물 습득자의 주민등록번호를 수집할 수 있다고 한다.(37페이지)

 

2. 민간은 물건 판매 또는 서비스 제공 등 고객과 체결한 계약의 이행을 위해 필요한 경우 정보주체의 동의 없이 개인정보를 이용한 만족도 조사를 할 수 있으며, 공공기관은 공공기관의 운영에 관한 법률 제13조에 근거한 법령 등에서 정하는 소관 업무에 해당하므로 정보주체의 동의 없이 만족도 조사가 가능하다.(38페이지)

 

3. 개인정보의 항목이 구체적으로 열거되어 있지 않더라도 요청할 수 있는 자료에 개인정보가 포함될 수 있음이 합리적으로 예견된다면 개인정보보호법 제18조 제2항 제2호의 '다른 법률의 특별한 규정'에 해당한다.(40페이지)

 

4. 위탁자가 개인정보 보호법 제23조 제1항, 제24조 제1항, 제24조의2 제1항에 따라 민감정보·고유식별정보·주민등록번호를 처리할 수 있는 개인정보처리자라면, 제26조 제1항에 따라 위탁 계약을 체결하여 개인정보 처리 업무를 위탁받아
처리하는 수탁자 또한 위탁받은 범위 내에서 민감정보·고유식별정보·주민등록번호를 처리할 수 있다.(41페이지)

> 당연한 얘기지만 종종 물어보시는 분이 있고, 그때 근거로 보여드리기 좋겠단 생각이 든다.

 

5. 개인정보 처리를 위탁할 경우 위탁 업무와 수탁자를 인터넷 홈페이지에 지속적으로 게재할 의무가 있는데(개인정보 보호법 제26조 제2항, 동법 시행령 제28조 제2항), 게재하는 방법으로 개인정보처리방침을 통해 공개하는 방법을 선택해도 됨(44페이지)

> 개인정보 보호법 제26조 제2항과 제30조 제1항 제4호가 별도로 있어 개인정보처리방침이 아닌 별도 공개만(예: 공지사항을 통한 공개) 가능하다고 생각을 했던 적이 있었고 관련해서 국민신문고로 문의를 한적도 있었다. 당시 답변은 개인정보처리방침을 통해 공개해도 된다는 것이었고 이번 기회에 명시적으로 해석이 공개된 점이 예전의 나 같은 사람에게 도움을 줄거라 생각한다. 즉, 개인정보 보호법 제30조 제1항 제4호 준수를 위해 위탁업무와 수탁자를 개인정보처리방침에 포함하면 동법 제26조 제2항도 준수하는 것이다.

o 참고 : 개인정보보호법

제26조(업무위탁에 따른 개인정보의 처리 제한) ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 시행령 제28조(개인정보의 처리 업무 위탁 시 조치) ② 법 제26조제2항에서 “대통령령으로 정하는 방법”이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다. 제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20725