개인정보호법 개정이후 개인정보 의무교육인가? 아닌가?

데이터 3법 개정이후에 관련 법령에 많은 변화가 생겼습니다. 법정의무 교육인 개인정보 교육이 어떻게 변화 됐는지 법적인 근거를 가지고 하나씩 살펴 보도록 하겠습니다.  법정 의무교육이다 보니 한꺼번에 의무교육을 묶어서 비 전문가에게 교육을 받는 경우가 비일비재 하고 다른 법정 교육보다 개인정보는 취급자가 업무처리를 위해 개인정보를 처리해야 하기 때문에 가장 중요한 사항입니다. 

또한, 최근엔 가명처리에 대한 이해도 요구되고 있어 개인정보 전문강사에게 관련 사항을 숙지 하는 것이 유리합니다.

지난번 개인정보 의무교육에 대해 몇번 포스팅 한 것이 있어 링크 걸어 봅니다. 우선 한번씩 읽어 보시기 바랍니다.관계부처에서 보도자료까지 낸 것 보면 얼마나 많은 사례가 있어 그럴까요? 주의 하셔야 겠습니다.

안전행정부 개인정보 교육 관련 피해 주의보

 

필자가 전문적인 시각으로 포스팅한 글입니다. 그냥 교육 받아라가 아니라 어떤 근거에 의해 받아야 하는지 아니면 어떻게 해야 하는지를 자세히 포스팅 한 글입니다. 시간이 걸리더라도 한번씩 읽어 보세요...

개인정보보호법 의무교육인가 아닌가?

그런데, 이번 데이터 3법 개정 이후에 많은 변화가 생겼습니다. 또 다른 필자의 글이지만 핵심적인 부분만 다시 언급해 설명 드려 보겠습니다.

최근 코로나 신규 확진자가 300명이 넘은 숫자가 1주일 연일 되고 있어 2단계 거리두기 조치를 취하고 있습니다. 확진자에 따른 문자는 수시로 받고 있어 이제는 무감각해 질 정도입니다. 대기업 등에서 확진 사례가 나오면 즉시 건물 폐쇄 조치를 취하여 적극 방역에 동참하고 있지만 확산세가 무섭습니다. 특히, 해외에서 미국이나 유럽등은 하루 신규 확진자가 수십만명에 달하고 있으니 일찍 종식되기는 어려운 듯 합니다.

코로나 때문에 고민한 법정의무교육 이젠 줌(Zoom)을 이용한 원격 개인정보 교육 받으세요.

 

개인정보 교육 미준수 시 과태료가 없다고 했지만 최근 법 개정으로 달라져

 

개인정보 보호법에 따르면 " 과징금 매출액의 3%"

 

개정된 개인정보 보호법에 따르면,

 

제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

법 28조에 취급자에게 정기적 교육을 하도록 법에 명시하고 있습니다. 조금 더 구체적인 내용을 찾아 보겠습니다.

 

 제39조의15(과징금의 부과 등에 대한 특례) 

 

보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.

1. 제17조제1항ㆍ제2항, 제18조제1항ㆍ제2항 및 제19조(제39조의14에 따라 준용되는 경우를 포함한다)를 위반하여 개인정보를 이용ㆍ제공한 경우

2. 제22조제6항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 경우

3. 제23조제1항제1호(제39조의14에 따라 준용되는 경우를 포함한다)를 위반하여 이용자의 동의를 받지 아니하고 민감정보를 수집한 경우

4. 제26조제4항(제39조의14에 따라 준용되는 경우를 포함한다)에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 특례 수탁자가 이 법의 규정을 위반한 경우

 

그럼 법 제26조를 찾아 보면

 

제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항

3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015.7.24>

특례수탁자라고 하는 것은 정보통신서비스제공자 등에 해당이 된다. 따라서, 이 조항은 개인정보 보호법의 원래 법률에 정보통신망법이 통합 개정 되면서 정보통신서비스 제공자 등이 수탁자가 될 때 취급자 관리 감독 혹은 교육에 소홀히 한다면 법리적 해석 만으로 봤을때 매출액 3%에도 해당 가능하다. 

기존의 개보법 28조에 의거 해 교육 미준수에 대한 과태료 부과 관련 규정은 명시적으로 있었던 것과는 조금 상반되게 강화 됐다고 보면 된다. 

 

정보통신서비스 제공자의 경우 개인정보 보호의 교육이 그만큼 강화 됐다고 법리적 해석이 가능하다.

 

 

또한, 이는 개인정보 보호법에 수범 범위에 포섭되는 해당 개인정보처리자의 경우엔 법 26조에서 수탁자는 위탁자의 소속 직원으로 본다는 규정에 의거 개인정보처리자의 개인정보 교육에 대한 법률적 지위도 한층 강화 됐다고 해석이 가능하다. 법이라서 약간 어려운 측면이 있는데 기회가 된다면 조금 더 쉽게 설명해 보려한다. 필자는 개보법만 10년 넘게 법리 해석하고 강의하고 실무를 접하고 있기 때문에 이렇게도 해석해 볼 수 있다는 것을 기록해 본다. 

법이라는 것은 

 

한 줄의 법률을 두고도 다르게 법리 해석이 가능하다. 물이 반이 남았다고 하는 해석과 물이 반이 사라졌다고 해석도 가능함을 보여 준다. 필자는 개인정보 교육을 위 법적 근거에 의해 해석해 보았다. 개인정보 유출로 인해 불리한 법적 송사에 휘말리지 않도록 각별히 개인정보보호부서 그리고 법무팀이 있는 곳은 신경 써야 할 대목이다. 

또 하나 더 찾아 보면 아래는 신설 됐습니다.

제39조의14(방송사업자등에 대한 특례) 「방송법」 제2조제3호가목부터 마목까지와 같은 조 제6호ㆍ제9호ㆍ제12호 및 제14호에 해당하는 자(이하 이 조에서 "방송사업자등"이라 한다)가 시청자의 개인정보를 처리하는 경우에는 정보통신서비스 제공자에게 적용되는 규정을 준용한다. 이 경우 "방송사업자등"은 "정보통신서비스 제공자" 또는 "정보통신서비스 제공자등"으로, "시청자"는 "이용자"로 본다. [본조신설 2020.2.4]