사회복지시설 개인정보보호 가이드라인
글: 전주현
(경성대 컴공과 외래교수)
(ISMS/PIMS/PIPL 인증심사원)
개인정보보호법이 제정된지 3년이라는 시간이 지났다. 개인정보보호인식의 필요성은 어느정도 공감대를 형성한듯 하다. 그러나 아직도 현장에는 실무 적용에 있어 미흡한 부분이 있다. 여러기관을 다니면서 개인정보에 대한 교육도 하고 자문도 하다보니 다양한 분야에 개인정보보호를 연구하게 되었다. 그중에서도 저소득계층이나 사회복지를 위하여 애쓰시는 분들을 위하여 개인정보처리 취급자 입장에서 쉽게 가이드 해 보고자 한다. 아래 사항만 숙지해도 개인정보보호 최소한의 준수해야 할 업무는 이루어지리라 생각한다.
<source: http://bit.ly/1yFVBUJ >
1. 개인정보의 범위
개인정보라 함은 살아있는 개인에 관한 정보로 다른 정보와 결합하여 용이하게 누구인지를 식별할 수 있으면 개인정보라 보고 있다. 사망자에 대한 정보와 법인에 대한 정보는 개인정보가 아니다. 개인정보 취급자가 가장 궁금해 하는 것이 바로 ‘개인정보의 범위’ 이다. 어디까지 개인정보로 규정할 것인지를 잘 모르기 때문이다. 법 조문을 읽는다 해도 쉽게 이해가 되지 않기 때문이다.
이름과 이메일이 결합되면 현재 유권해석상 개인정보로 보지 않는다. 이유는 이메일만가지고 개인을 특정할 수 없고, 이름도 동명이인이 있을수 있기 때문이다. 두 개 결합한다고 해도 마찬가지이다.
2. 개인정보 동의시 필수 고지 사항
개인정보보호법 제15조 2항을 보면 다음과 같이 명시하고 있다. ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
※ 법 제15조 2항을 위반할 경우 5000만원 이하의 과태료를 부과한다. |
개인정보 수집의 첫단계이므로 ‘개인정보 활용동의서’를 받으면서 위 4가지 사항만 지키더라도 개인정보보호 의무준수사항에 절반은 지켰다고 본다. 업무에 적용시 꼭 기억하고 실천해야 한다. 현장을 둘러보면 위 4가지 사항은 지키지 않는 경우를 다수 보았다. 사회복지 시설을 이용하는 이용자들의 개인정보를 수집시 준수했는지를 다시한번 상기하면서 점검해 보자.
3. 개인정보 위탁과 3자 제공
개인정보 업무를 처리하다보면 이용측면에서 위탁과 3자제공을 하게 된다. 물론 개인정보 취급자가 업무에 개인정보를 활용하는 것은 기본 사항이다. 핵심은 위탁과 3자 제공시에 개인정보 유출 사고로 자주 발생한다는 것이다. 즉, 우리 사회복지시설에서는 법적 의무준수상을 잘 지켰지만 개인정보 파일이 다른 곳으로 이동되거나 다른 곳에서 조회,열람 하면서 유출 되었을때 누구 책임인지가 중요한 관건이 된다. 그럼 우선 위탁과 3자제공의 차이점부터 살펴보자.
※ 동의 없는 개인정보 3자제공시 5000만원 이하의 과태료를 부과한다. |
사회복지시설에서 위탁과 3자 제공시에 업무상 유의점은 다음과 같다.
① 3자 제공시에는 제공받는자, 이용목적, 이용항목,보유기간, 거부시 불이익을 고지한다.
② 표준 위탁계약서등을 이용하여 반드시 문서로 처리한다.(책임소재 결정 중요근거)
③ 개인정보 위탁,3자제공 업무시 공문 또는 증적자료를 남긴다.(구두상으로 처리금지)
④ 위탁과 3자제공시에는 반드시 개인정보처리방침에 공개를 해야 한다.
4. 개인정보파기
개인정보보호법에 개인정보 파기 시점은 목적달성시 즉시파기 한다고 명시하고 있다. 여기서 목적달성시는 법적 근거가 없는 경우, 개인정보 수집시 목적이 달성되었을때 즉시 파기하는 것을 의미한다. 법에 근거한 보관 기간이 있을 경우, 그 기간이 만료하였을때 즉시 파기해야 한다. 파기 할때에는 파기 관리대장에 기록하여 관리를 해야 한다.
5. 개인정보처리 방침
개인정보처리방침은 개인정보를 처리자 입장에서 어떻게 관리하고 있는가를 보여주는 얼굴이라고 보면 된다. 주로 개인정보처리자 홈페이지를 이용한다. 홈페이지 제일 하단에 보면 볼드체로 “개인정보처리방침” 혹은 “개인정보취급방침”이라고 명시하고 있다. 전자는 개인정보보호법상, 후자는 정보통신망법상 적용하는 용어지만 구분에 대한 큰 의미를 두지는 않는 편이다. 망법에서는 개인정보취급방침을 표시하게끔 명시는 하고 있다. 개인정보처리방침에 반드시 명시해야 할 조항은 다음과 같다.
★ 개인정보처리방침 필수사항 ★
① 개인정보의 처리 목적 ② 개인정보의 처리 및 보유 기간 ③ 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) ④ 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) ⑤ 정보주체의 권리·의무 및 그 행사방법에 관한 사항 ⑥ 처리하는 개인정보의 항목 ⑥ 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ⑦ 개인정보의 파기에 관한 사항 ⑧ 개인정보 보호책임자에 관한 사항 ⑨ 개인정보 처리방침의 변경에 관한 사항 ⑩ 개인정보의 안전성 확보조치에 관한 사항 |
⑥항에서 대통령령으로 정한 사항에는 영상정보처리기기(CCTV)등도 포함이 되어 있다. 개인정보처리방침에 주의사항은 위에 명시한 10가지를 반드시 수립하고 공개해야 한다. 또한 위탁과 3자제공이 있음에도 불구하고 현황을 몰라 개인정보처리방침에 반영하지 못하는 경우가 있다. 현행화 하는 것이 무엇보다 중요하다. 유출시에 현행화 되어 있지 않으면 모두 위반사항으로 보기 때문이다.
개인정보처리방침 수립시 인터넷에 있는 샘플을 찾아 처리자명만 수정하여 그대로 사용하는 경우가 다수인데 사회복지시설에 맞게 적용하여 수립하는 것이 바람직하다. 수립시 어려움이 있으면 공공기관의 경우 주요 광역도시나 정보통신망법 대상자의 경우 주요 포털등의 개인정보취급.처리방침을 참조하면 어느정도 도움이 된다.
6. 사회복지시설 개인정보 문서보관 체크리스트
개인정보보호법에 제정이 되면서 기존에 컴퓨터 파일로 처리되던 개인정보파일이 종이문서까지 확대 적용됨으로써 그 범위가 넓어졌다. 각종 신청서나 서식과 양식에 기록된 개인정보도 법에 적용을 받는다는 사실이다. 사회복지시설 개인정보 문서보관에서 체크해야 할 사항에 대하여 알아보도록 하자.
① 개인정보 문서가 분실․도난․유출․변조 또는 훼손되지 아니하도록 “내부 관리계획”을 수립하고, 안전성 확보에 필요한 기술적․물리적․관리적 보호조치를 하고 있는지 여부
② 개인정보가 포함된 종이문서를 잠금장치가 있는 안전한 장소에 보관하고 있는지 여부
③ 보유기간의 경과, 개인정보의 목적달성 등 개인정보가 불필요하게 되었을 때에 종이문서에 포함된 개인정보를 즉시 파기하고 있는지 여부
④ 개인정보(출력물 포함)는 물리적으로 파쇄하거나 소각하는 등의 방법으로 해당 개인정보를 완전히 파기하고 있는지 여부
⑤ 개인정보가 포함된 종이문서의 파기에 관한 사항을 기록․관리하고 있는지 여부
⑥ 개인정보가 포함된 종이문서의 파기를 개인정보 보호책임자의 책임하에 수행하고 있는지 여부
⑦ 개인정보 보호책임자가 개인정보가 포함된 종이문서의 파기 결과를 확인하고 있는지 여부
⑧ 개인정보가 포함된 종이문서의 파기를 외부업체에 위탁하여 처리하는 경우, 법적 필수기재사항이 포함된 문서에 의하고 있는지 여부
⑨ 파기 위탁시 위탁하는 업무의 내용 및 수탁자를 인터넷 홈페이지에 게재하는 등 공개하고 있는지 여부
⑩ 개인정보가 포함된 종이문서는 세단기등을 이용하여 잘 파기 하는지 여부
<참조: 금융감독원 개인정보보호TF,‘13. 8. 2.>
지금까지 사회복지시설에서 업무를 하면서 가장 기본적으로 알아야할 개인정보 업무처리에 대하여 간략하게나마 가이드형태로 알아 보았다. 이는 꼭 사회복지시설에만 해당되는 사항이라고 보지는 않는다. 일반적인 기업과 기관에서 모두 적용되는 사항이며 반드시 필수적으로 지켜야 하는 사항을 중점적으로 쉽게 적어 보았다.
사실, 한정된 지면에 개인정보보호에 대한 모든 것을 가이드하기에는 한계가 있다. 추가적인 내용이나 보충적인 내용은 안전행정부에서 ‘개인정보보호 전문강사단’ 운영하고 있다. 교육을 통하여 충분히 숙지하고 궁금한 점은 교육시 질의를 통하여 해소 하였으면 한다.
개인정보 유출이 반복적으로 일어남에 따라 각종 규제는 강화 될 것으로 생각되며, 이는 소극적인 대응방안에서 적극적인 대응으로 업무방식도 바뀌어야 한다. 개인정보 유출은 한번 일어나면 대량으로 유출된다. 이 상황에서 정보통신망법에서는 ‘14.11.29일 법정손해배상제도가 시행이 된다. 누구든지 개인정보유출로 인해 정신적 피해손해를 입었다고 생각하면 300만원 이하의 손해배상을 청구 할 수 있도록 하는 조항이다.
정부에서는 법정손해배상제도를 개인정보보호법까지 확대 시행한다는 것을 이미 발표하였다. 이제는 소극적인 대응으로 여러 가지 개인정보 분쟁에 휘말릴 경우 업무외적인 시간과 비용을 낭비하게 된다. 보다 철저히 준비하고 숙지하여 사회복지시설에서 제공하는 서비스의 신뢰도를 더욱 높일 수 있도록 해야 할 시점이다.
* 본 고는 사회복지협의회 잡지에 기고된 글임을 밝힙니다. 아주 쉽게 쓰려고 노력하였습니다. 또한 지면의 한계로 인하여 가장 기초적인 내용만 언급하였습니다. 자세한 내용들은 블로그내 검색이나 개인정보보호 길라잡이 (http://cafe.naver.com/privacyguide) 를 참고 하시면 더 많은 개인정보보호에 대한 정보를 접하실 수 있습니다. |
'Privacy Security' 카테고리의 다른 글
| 개인정보호법 개정이후 개인정보 의무교육인가? 아닌가? (0) | 2020.11.24 |
|---|---|
| 개인정보 암호화 대상 어떻게 준비해야 하나? (0) | 2014.12.08 |
| [기고] 제5회 "금융사기 피싱,파밍,스미싱" 당했을때 대응방법 (0) | 2014.10.23 |
| [기고] 제4회 개인정보 피해 발생시 구제절차는? (0) | 2014.10.02 |
| 안전행정부 개인정보 교육 관련 피해 주의보 (1) | 2014.09.22 |
