개인정보보호위원회에서 공개한 개인정보 질의 응답 모음집이 개인정보 포탈에 업로드 되었다.
https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20778
개인정보 포털
개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.
www.privacy.go.kr
올해 6월에 공개한 '개인정보 보호법 해석 사례집 1.0'에 사례 25건을 추가한 후 '개인정보 질의 응답 모음집'으로 명칭을 수정해 공개한 버전이라, 기존 자료를 본 사람은 추가된 사례만 읽어봐도 무방하다.
- 추가 사례 25건의 질문번호 : Q 11-13, Q 26-27, Q 45-49, Q 59-72 Q 7
(개인적으로) 참고할 만한 내용을 정리해 보면 다음과 같다.
Q 12 외국인의 개인정보도 보호법에 따른 보호 대상에 포함되나요?
외국인의 국적이나 위치에 대한 언급 없이 개인정보보호법의 적용을 받는 개인정보처리자가 처리하는 외국인의 개인정보는 개인정보 보호법 상의 보호 대상에 포함된다고 봐야 함
> 개인정보 보호법 제2조 제3호의 정보주체 정의에 국적 등 제한요소가 언급되어 있지 않기 때문으로 판단 됨
Q 47 과태료 부과를 위해 개인정보가 필요한데, 다른 공공기관이 보유 중인 개인정보를 제공받을 수 있나요?
질서위반행위규제법 제23조는 요청할 수 있는 개인정보 항목을 구체적으로 열거하고 있지 않지만, 개인에 대한 과태료의 부과/징수를 위하여 요청하는 자료에는 개인정보가 포함될 수 있음이 합리적으로 예견되므로 개인정보보호봅 제18조제2항제2호의 '다른 법률의 특별한 규정'에 해당
> 오래전에는 개인정보 제공의 적법성을 판단할때 구체적인 조항이 있는지가 중요한 판단 근거가 되었으나 점점 완화되는 느낌이 든다.(합리적 예견까지 고려해야 하기 때문에 개인정보 보호 담당부서의 고민이 깊어질 수 밖에 없다.)
(Q 48도 같은 맥락의 해석)
Q 59 개인정보 수집 시 약관에 관한 동의만 받아도 되나요?
개인정보를 수집하는 경우 목적과 항목 등을 구체적으로 밝히고, 약관과는 별도로 설명하여 자발적인 의사에 따라 동의 여부를 결정하도록 해야 함
> 아직도 종종 질문을 받는 내용 중 하나라 근거로 인용하기에 적합
Q61 개인정보 처리방침에 대한 동의를 받는 방식으로 개인정보 수집・이용・제공 동의를 갈음할 수 있나요?
2010년대에 자주 받았던 질문 중 하나지만 최근에는 받아본 적이 없음. 다만, 개인정보 처리방침으로 동의를 받을 수 없는 이유들을 메모해 둘 필요가 있음
> 개인정보 처리방침은 개인정보처리자가 개인정보 처리에 관한 자신의 내부방침을 정하여 공개하는 자율규제 장치의 일종으로, 개인정보 처리방침은 ‘동의받는 사항’ 외에도 개인정보처리자의 ‘개인정보 처리현황’을 담고 있어, 정보주체가 동의 사항을 명확하게 알지 못한 상태에서 동의할 수 있고, 동의를 받을 때 알려야 하는 사항(보호법 제15조제2항, 제17조 제2항) 및 개인정보 처리방법 등이 구체적이고 명확하게 제시되어 있지 않아 정보주체가 민감정보, 고유식별정보의 처리, 중요 내용 등을 제대로 안내받지 못하게 될 수 있으므로, 개인정보 처리방침에 대한 동의를 받는 방식으로 개인정보의
수집·이용·제공 동의를 갈음할 수 있다고 보기는 어렵습니다.
Q 62 개인정보 처리 업무를 위탁받은 수탁자가 다른 사업자에게 재위탁하려면 어떤 절차를 거처야 하나요?
업무 특성상 재위탁 내용의 변경이 자주 발생하거나 사전 예측이 어려운 경우에는 계약서에 동의절차와 방법을 규정하고 이를 근거로 재위탁 하는 것도 가능
> 개인정보보호법 제26조 제6항 때문에 항상 위탁자의 사전 동의가 필요한 것으로 인지하고 있었으나, 업무 특성을 고려해 계약서에 관련 내용을 명시하고 간소화된 동의절차(사후 승인, 주기적 통지 등)를 운영할 수 있다고 함
Q 66 수탁자를 직접 교육할 수 없는 단기 1회성 위탁의 경우 수탁자를 어떻게 교육해야 하나요?
위탁 기간 내 수탁자 교육이 불가능한 경우에는 계약 체결 시 수탁자가 지켜야 할 사항을 계약서에 명확히 명시하고 수탁자가 관련 직원에게 전달하여 교육할 수 있도록 요청하는 방법을 활용 가능
> 단기 1회성 위탁의 경우 수탁자를 교육해야 할 의무가 없다고 접근하기 보단, 할 수 있는 범위 내에서 최선을 다하는 접근으로 Risk를 최소화하는게 중요함
'(개인)정보보호 동향' 카테고리의 다른 글
| 다이렉트 자동차보험 판매 12개 손해보험사 개인정보 보호법 위반으로 처분 (0) | 2024.12.19 |
|---|---|
| [자료] 자동화된 결정에 대한 정보주체의 권리 안내서 (3) | 2024.12.17 |
| [자료] 개인정보의 안전성 확보조치 기준 안내서(2024.10.) (12) | 2024.11.05 |
| [자료] 개인정보 보호법 해석 사례집 1.0 (0) | 2024.07.07 |
| [자료] 2023년 개인정보 분쟁조정 사례집 (0) | 2024.05.14 |