이제 개인정보보호법 시행이 한달도 남지 않았다. 얼마전 행정안전부는 준용사업자들을 대상으로 개인정보보호법 설명회를 가지고 사업자들이 개인정보보호법 시행에 맞춰 필수적으로 조치해야 할 사항에 대해서 설명하는 시간을 가졌다.
 
이날 참석한 행정안전부 개인정보보호과 관계자는 사업자들이 필수적으로 조치해야 할 사항에 대해 이렇게 정리했다. 특히 주민번호 등 고유식별정보는 정보주체의 별도동의를 받아야 하기 때문에 법 시행전에 반드시 별도의 동의창을 만들어야 한다고 강조했다. 그렇지 않으면 무조건 단속에 걸릴 수 있다.
 
◇법6조 다른 법률과의 관계
개인정보보호법은 일반법이므로 정보통신망법, 신용정보법 등 다은 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법에 적용 받는다.
 
◇법15조, 16조 개인정보의 수집 및 수집제한
개인정보처리자는 수집목적의 범위내에서 최소한 수집하고 이용할 수 있다. 정보주체의 동의가 있거나 정보주체와 계약 체결 및 이행을 위해 불가피한 경우, 정보주체 또는 법정대리인이 의사표시할 수 없는 경우로서 주소불명 등 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익을 위한 경우, 개인정보처리자의 정당한 이익달성을 위해 명백하게 정보주체의 권리보다 우선하는 경우가 이에 해당한다.
 
또 수집, 이용시 동의사항으로는 수집이용, 목적, 수집항목, 보유 및 이용기간, 동의 거부권 및 동의거부시 불이익 내용 등이다.
 
◇법17조, 18조 개인정보의 제공 및 제한
개인정보처리자는 다음과 같은 경우 개인정보를 제3자에게 제공할 수 있다. 정보주체의 동의가 있거나 정보주체 또는 법정대리인이 의사 표시 할 수 없는 경우로서 주소불명 등 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익을 위한 경우다. 단 수집 이용시 비교해 정보주체와의 계약의 체결 및 이행을 위해 불가피한 경우, 개인정보처리자의 정당한 이익달성을 위해 명백하게 정보주체의 권리보다 우선하는 경우는 제외한다.
 
또 수집이용 요건과 제공요건을 초과해 목적외 이용제공을 금지한다.
 
◇법20조, 정보주체 이외로부터 수집한 개인정보의 출처고지
정보주체이외로부터 수집한 개인정보 처리시 정보주체의 요구가 있으면 수집출처, 처리목적, 개인정보 처리정지권의 내용을 즉시 고지해야 한다.
 
◇법21조 개인정보의 파기
개인정보처리자는 처리 목적달성, 보관기간 경과시 지체없이 개인정보를 복원이 불가능한 방법으로 파기해야 한다. 다만 법령에 보존기간이 특정되어 있는 경우는 예외가 인정되고 개인정보 일부파기의 경우, 다른 개인정보파일과 분리해서 저장해야 한다.
 
◇법22조 동의를 받는 방법
정보주체의 동의를 받을 시 정보주체와의 계약체결 드이 동의없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분해 동의를 받아야 한다. 필수정보와 선택정보의 처리 입증책임은 개인정보처리자가 부담한다.
재화 및 서비스 홍보나 판매권유를 위해 동의를 받을시에는 정보주체에게 고지하고 동의를 얻어야하고 개인정보처리자는 정보주체가 선택정보를 동의하지 않은 경우, 목적외 제공에 대한 정보주체의 별도동의를 얻지 않은 것을 이유로 재화와 서비스를 거부하면 안된다.
만14세 미만 아동의 개인정보 처리시 법정대리인의 동의를 얻어야 하고 아동으로부터 대리인정보 최소한 수집이 가능하다.
 
◇법23조 민감정보 처리제한
사상신념, 노동조합, 성생활, 건강정보 등 개인의 사생활을 현저하게 침해할 우려가 있는 민감정보는 정보주체의 별도동의가 있어야 하고 법령에서 처리를 요구하거나 허용하는 경우외에 처리를 금지한다.
 
◇법24조 고유식별정보 처리제한
주민번호, 여권번호, 운전면허번호, 외국인 등록번호와 같은 고유식별번호는 정보주체의 별도동의를 얻어야하고 법령에서 구체적으로 처리를 오구하거나 허용하는 경우외에 처리를 금지한다.
공공기관, 일일평균 1만명 이상 개인정보초리자는 웹사이트를 통해 회원가입시 주민번호외에 회원으로 가입하는 방법을 의무적으로 제공해야 한다. I-PIN, 전자서명, 공인인증서, OTP 등이 여기에 해당된다.
또 주민번호 등 고유식별정보의 도난, 훼손, 유출방지를 위해 암호화 등 안전성 확보조치를 의무화한다.
 
◇법25조 영상정보처리기기 설치 운영 제한
누구든지 공개된 장소에 범죄예방 및 수사, 시설안전 및 화재예방, 교통단속, 교통정보 수집 등 이유외에는 설치를 금지한다.
또 목욕실, 화장실, 발한실, 탈의실 등 내부를 볼 수 있는 곳에 영상정보처리기기를 설치하면 안된다.
 
◇법26조 업무위탁
제3자에게 업무위탁시 위탁내용을 문서화하고 수탁자 홈페이지 등에 공개해야 한다.
위탁업무 수행 목적외 개인정보 처리를 금지하고 기술적 관리적 보호조치를 해야한다. 또 위탁자가 재화, 서비스 홍보 혹은 판매권유시 위탁업무 내용과 수탁자를 정보주체에 고지해야 한다.
 
◇법27조 영업양도 개인정보 이전제한
영업의 전부 또는 일부 이전시 정보주체에게 고지해야 하고 양수자는 지체없이 정보주체에게 이전사실을 고지해야 한다. 양도자가 고지했을 경우는 제외한다.
 
◇법28조 개인정보취급자 감독
개인정보처리자는 임직원, 파견근로자, 시간제근로자 등에게 관리감독 및 정기적으로 필요한 교육을 실시해야 한다.
 
◇법29조 안전조치 의무
개인정보처리자는 개인정보의 안전한 관리를 위해 관리적, 기술적, 물리적 조치를 의무화해야 한다. 내부관리계획 수립, 접근권한의 제한관리, 저장 및 전송암호화, 침해발생시 접속기록의 보관, 백신 등 보안프로그램 설치, 전산실 잠금장치 등 물리적 보안장치를 구축해야 한다.
 
◇법30조 개인정보 처리방침 수립 및 공개
개인정보처리자는 개인정보처리방침을 수립해 홈페이지 등에 공개해야한다. 처리목적, 처리 및 보유기간, 제3자 제공사항, 위탁사항, 정보주체의 권리의무 및 행사방법 등을 공개해야 한다.
처리방법과 개인정보처리자와 정보주체와의 계약내용이 다른 경우 정보주체에게 유리한 것을 적용한다.
 
◇법31조 개인정보보호 책임자 지정
개인정보처리자는 책임자를 의무적으로 지정해야 한다. 보호책임자는 보호계획 수립, 처리실태 및 관행조사개선, 처리관련 불만의 처리 및 피해구제, 유출, 오남용 방지를 위한 내부통제시스템 구축, 교육계획 수립 시행, 개인정보 파일의 관리감독, 파기 관리감독 등을 수립해야 한다.
 
◇법34조 개인정보 유출통지
개인정보처리자는 유출사실을 인지시 지체없이 정보주체에게 해당사항을 고지해야 한다.
유출 개인정보 항목과 유출시점과 경위, 피해 최소화방법, 대응조치 및 피해구제 절차, 피해발생시 신고접수 담당자 및 연락처를 고지해야 한다.
또 1만명이상 개인정보가 유출된 개인정보처리자는 행안부 및 한국정보화진흥원 또는 한국인터넷진흥원에 신고해 기술지원 등 추가피해 방지를 해야 한다.
[데일리시큐=길민권 기자]