[자료] 2025년 개인정보 분쟁조정 사례집
최근 개인정보분쟁조정위원회에서 '2025년 개인정보 분쟁조정 사례집'을 공개했다.
개인정보분쟁조정위원회
www.kopico.go.kr
페이지가 많기 때문에 AI에게 요약해 달라고 하고 넘어갈까 생각도 들었지만 매년 읽어봤던 자료라 올해도 참고할 만한 내용이 있을지 읽어보고 정리해 본다.
(30페이지) I-6 사례
회사에서 퇴사자의 계정을 삭제하지 않고 계정의 개인정보를 타인의 정보로 변경해 계속 사용해서 이슈가 된 사례
퇴사 시 회사 자산을 반납하지 않은 상황에서 회사가 퇴사자의 계정에 접근해 정보를 열람하지 아니할 경우 퇴사자가 재직 기간 중 수행한 업무의 누락 등으로 경영상 부담이 발생할 가능성이 있어, 회사의 행위가 정당한 권한 없이 또는 허용된 권한을 초과하여 퇴사자의 계정 및 개인정보를 이용했다고 보지 않음
> 퇴사자의 계정을 사용해야만 하는 상황이 올 경우 참고할 수 있는 사례이나 회사 자산을 반납하지 않은 정상적이지 않은 퇴사절차를 배경으로 판단한 내용이라 활용도는 낮음
(46페이지) I-10 사례
피신청인이 자신의 블로그에 분쟁조정 신청인이 작성한 게시글에 대한 답변글을 작성하면서, 이전에 신청인이 작성한 공개된 리뷰에 포함된 닉네임, 게시글 캡처본, 얼굴이 없는 사진 등을 포함해서 이슈가 된 사례
피신청인의 답변글이 신청인이 공개로 남긴 리뷰를 캡처한 것을 바탕으로 작성되었다고는 하나 신청인이 본인이 작성한 리뷰를 피신청인이 게시할 것이라고 예측할 수 없었다고 보이므로 동의 등 적법한 근거 없이 개인정보를 이용한 것으로 판단
> 공개된 정보라도 개인정보 이용에는 적법한 근거가 필요함을 설명해야 할 때 참고할 수 있는 사례
(69, 105페이지) II-4, II -15 사례
형법 제20조에 대한 언급과 관련 판례를 참고할 필요가 있다.
형법 제20조는 법령에 의한 행위 또는 업무로 인한 행위 기타 사회상규에 위배되지 아니하는 행위는 벌하지 아니한다고 규정하고 있다. ‘사회상규에 위배되지 아니하는 행위’라 함은, 법질서 전체의 정신이나 그 배후에 놓여 있는 사회윤리 내지 사회통념에 비추어 용인될 수 있는 행위를 말하며(대법원 2023. 6. 29. 선고 2018도1917 판결),
어떠한 행위가 정당행위로서 위법성이 조각되는 것인지는 구체적인 사정 아래서 합목적적, 합리적으로 고찰하여 개별적으로 판단되어야 한다(대법원 2021. 3. 11.선고 2020도16527 판결)
정당행위에 해당하는지 여부는 개인정보 제출자(처리자)가 개인정보를 수집·보유하고 제출하게 된 경위 및 목적, 개인정보를 제출한 상대방, 제출 행위의 목적 달성에 필요한 최소한의 정보 제출인지 여부, 비실명화 등 개인정보의 안전성 확보에 필요한 조치 가능성 및 조치 여부와 내용, 제출한 개인정보의 내용, 성질(민감정보 여부 등) 및 양, 침해되는 정보주체의 법익 내용, 성질 및 침해의 정도, 개인정보를 제출할 다른 수단이나 방식의 존재 여부, 다른 수단이나 방식을 취하지 않고 개인정보를 제출하게 된 불가피한 사정의 유무 등 개별적인 사안에서 나타난 여러 사정을 종합적으로 고려하여 객관적이고 합리적으로 판단하여야 한다.(대법원 2025. 7. 18. 선고 2023도17590 판결)
> 개인정보 보호법을 위반하였는지 여부를 판단할 때 그 행위가 사회상규에 위배되는 것인지를 봐야 한다는 내용이나 법리해석에 관한 영역이라 일반적인 상황에서는 고려해서는 안 될 것 같고 소송으로 법원까지 간 상황에서 판사님들의 판단이 필요할 것 같음
□ 형법
| 제20조(정당행위) 법령에 의한 행위 또는 업무로 인한 행위 기타 사회상규에 위배되지 아니하는 행위는 벌하지 아니한다. |
(132 페이지) IV-3 사례
국가법령정보센터 > 행정규칙에서 '기록관리기준표'로 검색을 하면 공공기관 별 공공기록물의 보존기간, 보존기간책정 사유 등을 확인할 수 있다.
□ 공공기록물법 시행령
| 제25조(기록관리기준표 등) ⑤공공기관은 매년 기록물 정리기간 종료 직후 전년도에 신규로 시행하였거나 보존기간이 변경된 단위과제명, 단위과제 업무설명 및 단위과제별 보존기간 등을 관보(지방자치단체의 경우에는 공보를 말한다) 또는 그 기관의 홈페이지 등 정보통신망에 고시하여야 한다. 다만, 국가정보원장은 중앙기록물관리기관의 장과 협의하여 국가정보원의 고시범위를 달리 정할 수 있다. |
(144페이지) V-4사례
회사의 매니저가 업무단체대화방을 통해 공지사항 전파, 직원 휴가 일정 등을 공유하고 있는 와중에 매니저가 업무단체대화방에 개인정보를 업로드해 유출사고가 발생한 건에서, 회사는 업무단체대화방이 각 부서장의 판단하에 자율적으로 개설/운영 되는 것이라 회사가 개인정보처리자가 아니라고 주장하였으나,
분쟁조정위원회는 여러 부서에서 업무단체대화방을 업무 소통 채널로 활용하고 있어 회사가 업무 단체 대화방의 존재와 해당 대화방이 업무의 원활한 수행을 위해 활용되고 있는 점을 용인하였다고 볼 여지가 있으며, 회사의 지시 없이 단체 대화방이 자율적으로 개설되었다고 하더라도 회사의 관리/감독 의무가 미치지 않는다고 볼 수 없다고 판단하였음
(202페이지) VII-1 사례
배달플랫폼에서 배달기사 배차가 불가능해 주문취소와 환불 처리를 진행했는데, 정보주체가 자동화된 결정을 거부할 수 있는 권리가 침해되었다고 분쟁조정을 신청한 사례에서, 분쟁조정위원회는 배달기사의 배차 확보가 되지 않으면 결제를 취소하도록 되어 있는 것은 주문 처리 과정의 일부에 불과한 기술적 처리 절차로서 내부 운영자의 검토와 개입이 있으며, 결제 취소는 개인정보를 대상으로 한 자동화된 결정이 아니라 단순한 주문/배달 관리상의 거래 불성립 통보에 불가하다고 판단하였음(AI나 알고리즘 등에 의한 자동화 결정이 인간의 판단 없이 개인에게 불리한 결과를 초래한 것이 아니라는 입장)
(213페이지) VII-4 사례
노인장기요양보험법 제33조의2(폐쇄회로 텔레비전의 설치등)을 근거로 폐쇄회로 텔레비전을 운영하는 장기요양기관은
특별법의 지위에 있는 노인장기요양보험법에 근거해 영상정보주체인 직원의 열람 요청에 응해서는 안된다.
> 정보주체의 열람요청을 거부할 수 있는 사유를 확인하려면 특별법을 꼼꼼히 챙겨야 함
□ 노인요양보험법
| 제33조의3(영상정보의 열람금지 등) ① 폐쇄회로 텔레비전을 설치ㆍ관리하는 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 제33조의2제3항의 영상정보를 열람하게 하여서는 아니 된다. 1. 수급자가 자신의 생명ㆍ신체ㆍ재산상의 이익을 위하여 본인과 관련된 사항을 확인할 목적으로 열람 시기ㆍ절차 및 방법 등 보건복지부령으로 정하는 바에 따라 요청하는 경우 2. 수급자의 보호자가 수급자의 안전을 확인할 목적으로 열람 시기ㆍ절차 및 방법 등 보건복지부령으로 정하는 바에 따라 요청하는 경우 3. 「개인정보 보호법」 제2조제6호가목에 따른 공공기관이 「노인복지법」 제39조의11 등 법령에서 정하는 노인의 안전업무 수행을 위하여 요청하는 경우 4. 범죄의 수사와 공소의 제기 및 유지, 법원의 재판업무 수행을 위하여 필요한 경우 5. 그 밖에 노인 관련 안전업무를 수행하는 기관으로서 보건복지부령으로 정하는 자가 업무의 수행을 위하여 열람시기ㆍ절차 및 방법 등 보건복지부령으로 정하는 바에 따라 요청하는 경우 |