반응형

[기획의도] 


이용자의 권리나 정보주체로서의 권리 강화에 일환으로 시작이 되었으며, 개인정보취급자나 처리자 입장에서 움직임은 결국 이용자나 정보주체가 권리를 주장함으로 인하여 개인정보침해가 일어 났음을 증명할때 움직이지 않을까 하는 생각을 합니다. 따라서, 필자는 그동안 수 많은 (공공기관 약 165개기관) 처리자와 취급자에게 교육을 통하여 전달 하였지만 부족한 것은 바로 담당자의 실천과 실행이었습니다. 


조금 더 나은 인식제고를 위하여 우리 주변에서 일어나고 있는 개인정보보호의 실태를 이용자 관점, 정보주체의 관점에서 조명해 보고자 합니다. 이에 관련 기관에서는 현행법상 시행되고 있는 '정보통신망 이용촉진및 정보보호등에 관한 법률(이하 망법)'이나 '개인정보보호법(이하 개보법)'에 대한 법 준수를 가질 수 있도록 유도 함이 목적이기도 합니다. -주인백



1. 부산 B 전시 컨벤션센터


사람들이 가장 많이 몰리는 곳중에 하나가 바로 '전시컨벤션 센터' 입니다. 유명한 행사나 컨퍼런스와 또한 매주마다 혹은 평일에 수 많은 행사가 펼쳐지고 있기 때문이기도 하지요. 그러나 이러한 행사에는 많은 사람의 개인정보를 파악하는 일이 같이 수반이 됩니다. 왜냐하면 행사에 입장객이 얼마이고, 어떤 사람이 다녀갔는지를 파악해야 하기 때문이죠. 행사관계자는 그 많은 사람들이 다녀간 규모에 따라 행사자체의 성공유무를 판가름 할 수 있기 떄문입니다.



2. 무료 관람이나 대형 행사시 참관객 등록 


이렇다 보니 늘 대형 행사장에 들어가기 전에 참관객 등록 절차를 밟아야 합니다. 최근에도 여러 행사가 이루어지고 있었는데요..어제 근처에 행사에 참여 하기 위하여 방문하다보니 과거에도 그랬지만 지금도 여전히 행사시에 개인정보보호법에 나타난 법 준수 사항을 지키지 않는 것을 보면서 무엇이 문제인지를 한번 생각해 보기로 하였습니다.




[그림-1] 행사 참가를 위한 무료 참관객 등록 신청서


위 그림을 보면 참관객 정보를 적는란이 있습니다. 


개인정보 수집항목은  성명, 소속, 부서, 휴대전화, 이메일 입니다..개인정보 수집하는 것이 맞겠죠?


개인정보는 망법과 개보법에 따라 다르긴 하지만 법 적용 대상으로 개보법으로 본다면 '살아있는 개인에 관한 정보' 그리고 '다른 정보와 용이하게 결합하여 개인을 알아 볼 수 있는 정보' 결국 위에 참관객 정보는 개인정보가 맞습니다. 누구인지 알 수 있으니까요..


물론 사진 중간에 보면 수신동의 여부를 정말 가냘프게 한번 물어보긴 하지만 이는 법준수 항목과는 거리가 멀기만 합니다. 단지, 정말 형식적으로 한번 물어 봤다고 생각이 듭니다..



2.1 누가 수집하는 정보일까? 개인정보 처리자가 과연 누구일까?


여기서 관건은 바로 개인정보처리자가 누구인지를 봐야 합니다. 보통 행사를 하게 되면 행사기관에서 개인정보를 수집 하고 있지 센터에서는 직접적인 개인정보를 수집하지는 않습니다. 그랬을때 주관, 주최가 불명확한 경우가 많습니다. 위 그림에서도 내 정보를 수집은 하지만 어느곳에서 수집하는지는 알 수 없습니다. 벡스코에서 수집 할 수도 혹은 주최측에서 혹은 주관하는 쪽에서 수집 할 수도 있는데 정보주체인 자신은 내 정보가 어디로 흘러 가는지를 알수 없습니다.


안내 부스에 있는 여러명에게 질문을 해도 모른다고 합니다. 참 안타까운 현실입니다. 수많은 심지어 수십만명까지 정보 수집에만 열을 올리지 이 개인에 대한 정보가 어디에 축적이 되는지, 수집한 신청서는 어떻게 흘러가서 폐기가 되는지 , 제대로 보관은 되는지에 대한 것은 아무도 알 수 없습니다.


<벡스코 개인정보보호 취급방침> 센터의  개인정보 취급방침입니다.  과연 전시컨벤션션터가 정보통신망법을 준수하는지에도 의문이 듭니다., 개인적인 판단에서는 개인정보보호법 대상이라고 판단이 됩니다만. 어쨌든 개인정보보호법 제30조에 따르면 다음과 같이 되어 있습니다.


 ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항

6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 안전행정부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.  <개정 2013.3.23>


여기에서 과연 행사 한번 할때마다 누가 개인정보를 처리하는가가 관건일 것입니다. 위 그림에서처럼 하면 센터측인가 아니면 개인정보 행사를 담당하고 있는 주관이나 주최측이 되는가 입니다. 아마도 각 행사할때마다 진행하는 행사 주관이나 주최측이 아닐까 생각이 들고 대략적으로 센터측에서 예상 인원을 파악하게 될 것입니다. 그래야 한해동안 센터를 이용한 이용객들의 통계가 나올 수 있으니까요?


3. 그럼 수집한 내 정보는 어떻게 되나? 유출 된다면 누가 책임을 지나? 


가장 민감한 부분일것입니다. 현행법(개인정보보호법)상  법제 26조 , 영 제28조에 따르면 개인정보 위탁시에는 문서로 해야 하며 이에 따른 위탁사는 수탁사를 관리 감독을 하게 끔 되어 있습니다. 그럼 센터는 행사장을 잠시 대여해 주고 그 비용을 받는 위탁일 가능성이 많습니다. 행사장에 대한 부대시설이나 안전등 문제가 생겼을때에는 행사주체자보다는 센터에서 책임을 지는 것이 맞기 때문입니다. 보통 이럴경우에는 개인정보영향평가에서 사용하는 개인정보 업무 흐름표를 작성해 보면 됩니다. 


센터에서의 장소 임대후 수익사업은 센터의 가장 큰 핵심 수입사업이자 메인 사업입니다. 그것이 주된 업무이기도 합니다. 개인정보 업무흐름표상에서 장소를 임대하면서 임대하시는 행사측에 대한 관리 감독이 이루어져야 합니다. 그럼 그 수많은 행사에서 어떻게 일일이 관리하는가? 신경 쓰는가에 대한 반문이 있을 수 있습니다. 보통 교육을 하거나 여러 자문을 할때 이러한 질문을 많이 접하게 되는데요..개인정보보호에 대하여 판단시에는 우선 제일먼저 법에 근거한 해석으로 판단을 하게 됩니다. 즉, 다시 말하면 기존 관행이나 업무부담, 비용등에 대한 것은 논외로 하고 우선 법적으로 판단하기 때문입니다.



3.1 그럼 어떻게 해야 하나?


행사에 따른 장소 및 이용에 대한 계약서 작성시에 위탁사는 수탁사에 대한 관리 감독을 하여야 하고 이에 따른 개인정보를 수집하게 되면 개인정보 수집에 대한 유출시 책임에 대한 사항을 위탁 계약서에 포함을 해야 할 것입니다. 이는 위탁사의 관리 감독에 따른 사항으로 철저히 지켜질 필요가 있습니다. 혹자는 장소만 대여하는데 무슨 관계가 있는가라고 반문 할지 모르겠으나 그 장소 대여에 따른 비용 수익이 발생하기 때문입니다. 이에는 시설안전과 기타 사항이 모두 포함되는 비용이라 생각이 됩니다. 그 속에 개인정보도 포함된다고 필자는 판단하기 때문입니다..관리감독을 철저히 해야 합니다.  만약 지켜지지 않았을시에는 3천만원이하의 과태료가 부과 됩니다.



이와 유사한 케이스가 많이 있을텐데 개인정보보호 담당자는 장소 대여하고 비용청구 및 정산시에 계약서 작성을 할때 그 계약서 안에 개인정보 수집에 대한 사항을 포함하여 행사 주최나 주관사로 하여금 개인정보보호법을 준수하도록 하여야 합니다. 그리고 그에 따른 개인정보 위반이나 유출시에 책임을 묻겠다는 조항도 포함이 되어야 할 것입니다. 단지 장소만 빌려주니까 당신들이 알아서 하라는식으로 하는 것은 장소 대여하는 비용 수익 발생과 아무런 연관이 없어야 할 것입니다. 그래서 개인정보가 상당히 어렵습니다..공부를 많이 해야 하는 부분중에 하나이기도 합니다.



4. 마무리 


우리가 어떠한 판단이나 결정을 할때는 반드시 기준이 필요합니다. 그러나 그 기준을 가지고 보는 사람마다 견해차이를 둘 수 있습니다. 특히 법 같은 경우에는 유권해석에 따라 다르게 판단하는 경우가 있으며, 그 상황상황 마다 다르게 결정될 수 있습니다. 그래서 판례도 많이 생겨 날텐데요...필자의 판단과 다르게 해석할 수도 있습니다. 하지만 개인정보보호법, 혹은 망법의 개인정보보호에 대한 취지를 생각해 볼 필요가 있습니다. 


법에 취지는 이용자 혹은 정보주체의 개인정보 자기결정권과 권리를 주장할 필요가 있고, 과다한 개인정보 수집을 하지 않는 것이 법의 취지입니다. 행사 진행으로 인하여 기존관행이 그대로 된다면 현행법상 많이 힘들어 지게 됩니다. 

간단한 연령, 성별, 이름 정도만 수집하여도 행사 참여자는 얼마든지 인원 파악은 가능합니다. 굳이 이메일과 휴대폰번호까지 수집해야 할 이유가 없습니다. 필요하다면 그 필요한 상황에서 수집하면 되지, 무료 참관 할때 과도한 수집은 기존관행에서 벗어나지 못하고 있다는 것입니다. 그것이 법의 취지이기도 합니다. 


앞으로 필자는 개인정보보호 인식제고 차원에서 사회 곳곳에 우리 생활에서 접할 수 있는 개인정보침해 현장을 살펴보고 개선해 나갈 수 있도록 제 블로그를 방문하시는 분들과 함께 의논해 나가면서 건전한 토론문화를 정착해 나갈 수 있도록 생각하고 있습니다...건전한 피드백은 언제든지 환영합니다. 이제 소중한 개인의 정보는 자신이 지켜야 합니다.  @엔시스.






,