1. 기초 사실 관계
사업주 입장에서는 직원이 언제 출근하는지, 출장을 갔다가 다시 들어오는 시간은 언제인지 등의 직원 활동 정보에 대하여 근태관리 목적으로 정보를 수집할 필요가 있습니다.
이 때 사업주가 직원 근태관리 목적으로 직원의 사원증 데이터(사번, 성명, 부서, 직군, 보직 포함) 및 손가락 지문 생체정보를 수집·이용할 수 있을까요?
2. 개인정보 보호법 검토
개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됩니다(「개인정보 보호법」제2조 제1호, 이하 ‘법’이라고 합니다).
“개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보”는 법상 “민감정보”에 해당하고(법 제23조 제1항 및 시행령 제18조 제3호), 개인정보처리자는 원칙적으로 민감정보를 처리해서는 안되나 민감정보 수집·이용의 경우 정보주체에게 법 제15조 제2항에 따른 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 얻은 경우에는 민감정보를 수집·이용할 수 있습니다(법 제23조 제1항 제1호).
개인정보 보호법
제15조(개인정보의 수집ㆍ이용)
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
제23조(민감정보의 처리 제한)
① 개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
개인정보 보호법 시행령
제18조(민감정보의 범위) 법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.
1. 유전자검사 등의 결과로 얻어진 유전정보
2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보
개인정보보호위원회는 “생체정보”란 “지문, 얼굴, 홍채, 정맥, 음성, 필적 등 ① 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 ② 특정 개인을 인증·식별하거나 ③ 개인에 관한 특징(연령·성별·감정 등)을 알아보기 위해 ④ 일정한 기술적 수단을 통해 처리되는 정보”로 정의하면서 생체정보 중 특정 개인을 인증·식별하기 위한 목적으로 처리되는 정보는 “생체인식정보”로서 「개인정보 보호법」상 “민감정보”에 해당한다고 규정하고 있고, “지문을 입력하면 본인 여부를 확인한 후 출입을 허용하는 출입통제 시스템”을 특정 개인을 인증·식별하기 위한 대표적인 예시로 들고 있습니다(개인정보보호위원회, 「생체정보 보호 가이드라인」3-4면).
한편, 경기도 인권센터는 최근 동의절차·대체수단없이 지문인식 방법으로만 근태관리를 한다면 개인정보 자기결정권을 침해하는 것이라는 판단을 내린 바 있습니다(출처 : 경기신문 2022. 2. 15.자 기사).
이러한 점을 고려하면 근태관리 목적으로 지문생체정보를 수집할 경우 법 제15조 제2항에 따른 사항을 명시하여 직원으로부터 입사 때 체크하는 개인정보 수집·이용·제공 동의서와는 다르게 관련 항목이 담겨 있는 별도의 동의서를 통해 동의를 받아야 적법하고, 인권위의 권고에 따라 지문생체정보 외 대체수단을 제공한다면 더욱 개인정보보호에 부합한다는 평가를 받을 수 있을 것으로 보입니다.
3. 결어
회사에서 갑작스럽게 근태관리 등 다양한 목적으로 직원들의 개인정보를 수집·이용하겠다고 할 수 있습니다. 이 때 사업주는 그러한 개인정보 수집·이용이 정보주체인 직원들의 프라이버시를 침해하는 것은 아닌지, 그리고 개인정보 보호법에 위배되는 것은 아닌지에 대한 점검이 반드시 필요합니다.
만약 사업주가 개인정보 보호법에 부합하지 않는 방식으로 개인정보를 수집·이용·제공하게 되면 개인정보 보호법 위반으로 징역 또는 벌금형 등 무거운 처벌을 받게 될 수 있고, 직원들로서도 적절하지 못한 방법으로 원치 않게 개인정보 제공을 강요받게 되는 셈이기 때문입니다.
저는 다양한 기관에 대한 자문을 제공하면서 개인정보 보호법을 다수 검토한 경험을 보유하고 있습니다.
직원에 대한 개인정보 수집·이용·제공이 개인정보 보호법상 적법하게 이루어지고 있는 것인지, 특정 장소에 CCTV를 설치해도 적법한 것인지 등 개인정보 보호 사안에 대하여 법률적인 자문을 받을 필요가 있으시다면 언제든지 연락주시기 바랍니다. 성실하게 응대하겠습니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.