개정 개인정보 처리방침 작성 방법(1)

첫 상담 100% 지원!

개정 개인정보 처리방침 작성 방법(1)
법률가이드
IT/개인정보

개정 개인정보 처리방침 작성 방법(1) 

임주영 변호사

개정 개인정보 처리방침 작성 방법(1) 이미지 1


안녕하세요.

임주영 변호사 입니다.


2023. 9.부터 시행 중인 개정 개인정보 보호법은, 개인정보 처리방침을 개정하였습니다.

개정 법이 시행됨에 따라, 개인정보 처리자는 아래에서 설명해드리는 내용을 포함하여 개인정보 처리방침을 작성하여야 합니다.



[민감정보의 공개 가능성 및 비공개 선택 방법]


1. 서비스 이용 과정에서 공개되는 정보 중에 정보주체의 "민감정보"가 포함되어 있다면, 개인정보 처리자는 '민감정보가 공개될 수 있다는 사실'과 '비공개 선택 방법'을 개인정보 처리방침에 기재해야 합니다(개인정보 보호법 제30조 제1항 제3호의3, 제23조 제3항).

2. "민감정보"는 사회적 차별이나 인권 침해 우려가 있는 것으로서, 특별히 엄격히 보호될 필요가 있는 정보를 말합니다.


개인정보 보호법령에서 정의하는 민감정보 유형 (아래 열거된 유형이 아니면 민감정보 아님을 주의!)

  • 사상과 신념에 관한 정보 : 각종 이데올로기, 종교적 신념

  • 노동조합·정당의 가입·탈퇴에 관한 정보 : 가입·탈퇴에 관한 직접적인 정보 이외에 조합비, 정당 회비 납입내역 등도 포함

  • 정치적 견해에 관한 정보 : 정치적 사안에 대한 입장, 특정 정당의 지지 여부

  • 건강, 성생활 등에 관한 정보 : 과거 및 현재 병력, 장애 유무(장애등급 포함), 성적 취향 등

  • 유전정보 : 유전자 검사 결과로 얻은 정보

  • 범죄경력정보 : 벌금 이상의 형 선고 사실, 보호감호 등, 사회봉사명령, 수강명령 등

  • 개인의 신체적, 생리적, 행동적 특징 정보 : 특정 개인 식별 목적(본인 확인, 인증 등)으로 기술적 수단으로 생성된 얼굴, 지문, 홍채, 필적 등

  • 인종, 민족 정보


3. 정보주체가 서비스를 이용하면서 입력한 정보에 "민감정보"가 포함되어 있고, 서비스 이용 중 민감정보가 "공개될 가능성"이 있다면, 공개 될 수 있다는 사실을 개인정보 처리방침에 기재해야 합니다.

4. 또한 공개될 수 있는 민감정보의 항목, 비공개 여부를 선택할 수 있는 절차와 방법도 개인정보 처리방침에 기재해야 합니다.

5. 과거 사례 중 지도앱 서비스 이용자가 입력한 '정보'가 기본적으로 '공개'로 설정되어 있었고, 이러한 사실을 몰랐던 이용자가 성생활이나 건강 등 민감정보를 입력하여 인터넷에 공개된 사실이 있었습니다. 이런 사태를 방지하기 위하여 새로 도입되었습니다.

6. 다만 아래의 경우에는 개인정보 처리방침에 기재하지 않아도 됩니다.

▷ 서비스 자체가 공개가 기본인 경우(정보주체는 자신의 정보가 공개된다는 사실을 이미 알 수 있기 때문에)

▷ 개인정보 처리자가 민감정보 공개를 예측하기 어려운 경우



[가명정보의 처리에 관한 사항]


1. 가명정보는 개인정보의 일부 또는 전부를 삭제·비식별 처리하여 추가 정보 없이는 특정 개인을 알아볼 수 없는 정보를 말합니다(예> 홍길동→홍★○, 010-1234-4567→010-xxxx-xxxx).

2. 가명정보도 개인정보입니다(개인정보 보호법 제2조 제1호 다목).

3. 정보주체의 동의를 받아 개인정보를 수집하였다면, 수집할 때 고지했던 목적 범위 내에서만 이용해야 합니다. 그러나 통계 작성, 과학적 연구, 공익적 기록보존의 목적에 한하여 정보주체의 동의 없이도 가명정보를 처리할 수 있습니다(개인정보 보호법 제28조의 2).

4. "상업적" 목적의 통계 작성, "새로운 기술·제품을 개발"하기 위한 과학적 연구, "민간 연구소가 수행"하는 공익적 기록 보존을 위해서도 가명정보를 처리할 수 있습니다.

5. 건강보험심사평가원은 응급실 뺑뺑이를 방지하기 위하여 응급실에 내원할 소아 환자 예측 AI 모델을 개발하는 과정에서, 최근 2년 동안 6세 이하 환자의 응급실 방문 지료 및 상병정보 등을 가명처리하여 활용하였습니다. 이는 가명정보를 올바르고 효과적으로 이용한 사례라 할 수 있습니다.


6. 제3자가 같은 목적으로 활용한다면, 정보주체 동의 없이 가명정보를 제공할 수 있습니다.

7. 개인정보를 가명처리할 때에는 식별 위험성(데이터 자체 식별 가능성, 처리 환경에서 식별 가능성)을 고려하여 가명처리 방법 및 수준을 결정하여야 합니다.

8. 개인정보 처리자는 가명정보를 안전하게 관리해야 합니다. 가명처리 전 원본데이터 또는 가명정보를 원래 상태로 복원할 수 있는 정보*의 관리 계획을 수립·시행하여야 하고, 가명정보를 추가정보와 별도 분리하여 보관해야 하며, 외부 가명정보 처리 업체를 관리·감독해야 합니다.

*추가정보: 알고리즘, 매핑 테이블 정보 등

9. 개인정보처리자는 위와 같은 가명정보 처리에 관한 내용을 개인정보 처리방침에 공개해야 합니다(개인정보 보호법 제30조 제1항 제4호의2). 개인정보 처리방침에 공개해야 하는 항목은 아래와 같습니다.

  • ​가명정보 처리 목적
  • 가명정보 처리 기간
  • 가명정보 제3자 제공에 관한 사항
  • 가명처리하는 개인정보 항목
  • 가명정보 안전성 확보 조치



[정보주체의 동의 없이 처리할 수 있는 개인정보 항목, 처리 법적 근거]


1. 개인정보처리자는 정보주체와 체결한 계약을 이행하는 과정에 필요한 경우 등 특정한 상황에서는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있습니다(개인정보 보호법 제15조 제1항 제2호~제7호).

2. 개인정보처리자는 동의 없이 처리할 수 있는 개인정보 항목, 처리 법적 근거를 개인정보 처리방침에 공개해야 합니다(개인정보 보호법 제22조 제3항).



[개인정보의 추가적 이용/제공이 지속적으로 발생하는 경우, 그 판단 기준]


1. 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집·이용할 수 있고, 계약 이행 과정에서 필요하거나 법률에 정한 사유가 있을 때* 정보주체 동의 없이 개인정보를 수집·이용할 수 있습니다(개인정보 보호법 제15조 제1항 제1호, 제4호).

*개인정보 보호법 제15조 제1항 제2호~제7호의 사유

2. 개인정보 처리자는 동의를 받을 때, 1) 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있게 해야 하고, 2) 동의 받는 내용을 구체적이고 명확하게 표시해야 하며, 3) 내용을 쉽게 읽고 이해할 수 있는 문구를 사용해야 하고, 4) 동의 여부를 명확히 표시할 수 있는 방법을 제공해야 합니다(개인정보 보호법 시행령 제17조 제1항, 2024년 9월 15일부터 시행).

3. 개인정보처리자는 정보주체의 동의가 없거나 법률에서 정한 사유가 없더라도, 아래 4가지 요건을 고려하여 정보주체 동의 없이도 개인정보를 이용 또는 제공할 수 있습니다(개인정보 보호법 제15조 제3항, 제17조 제4항). 이를 "추가적 이용·제공"이라 합니다.


▷ 추가적 이용·제공 시 고려해야 할 요건

① 당초 수집 목적과 관련성

② 개인정보 수집 정황이나 처리 관행에 비추어 개인정보의 추가적 이용·제공 예측 가능성

④ 정보주체 이익 침해 여부

④ 가명처리 또는 암호화 등 안전 조치(예: 안심번호)

4. 이에 따라, 판매자(셀러)와 고객을 중개하는 서비스를 제공하는 온라인 오픈마켓 운영 사업자는, 제품 배송을 위하여 수집한 고객의 개인정보(배송 주소, 연락처 등)동의 없이 판매자에게 제공할 수 있게 됩니다.

5. 정보주체의 동의 없는 추가적 이용·제공이 "지속적"*으로 발생할 가능성이 있으면, 개인정보처리자는 그 판단 기준을 개인정보 처리방침에 공개해야 합니다(개인정보 보호법 시행령 제14조의2 제2항).

*일회성으로 끝난다면, 공개하지 않아도 됩니다.



[개인정보 국외 수집 및 이전에 관한 사항]


1. "국외 수집"은 국외에서 국내 정보주체의 개인정보를 직접 수집하는 것을 말하고, "국외 이전"은 정보주체의 개인정보가 국내와 개인정보 보호체계가 다른 나라로 옮겨지는 것(제공, 처리위탁, 보관, 조회)을 말합니다.


국외 수집 대표 사례 : 해외 인터넷쇼핑몰 사업자가 국내 소비자 개인정보를 해외 자사 시스템에서 직접 수집

국외 이전 대표 사례 : 해외에 서버가 있는 클라우드 서비스를 이용하여 고객의 개인정보를 처리(국외 보관)


2. 개인정보 보호법은 기본적으로 "국외 이전"을 금지하고 있습니다(개인정보 보호법 제28조의8 제1항 본문). 다만 일정한 요건을 충족하는 경우에 한하여 이를 허용하고 있습니다(위 법조문 제1항 단서).

3. 개인정보의 "국외 수집"이나 "국외 이전"이 발생한다면, 이를 개인정보 처리방침에 공개해야 합니다(개인정보 보호법 제30조 제1항 제8호, 개인정보 보호법 시행령 제31조 제1항 제2호, 제4호). 공개해야 하는 내용은 아래와 같습니다. 

  • 개인정보 ​국외 수집 : 해당 국가명

  • 개인정보 국외 이전 : 국외 이전 법적 근거, 이전 개인정보 항목, 이전되는 국가/시기/방법, 이전 받는 자의 성명명/연락처

  • 개인정보 이용 목적 및 보유/이용 기간

  • 이전 거부 방법 및 절차, 거부 시 효과



알려드리고 싶은 내용이 많은데, 글이 너무 길어지네요.

보시는 분들이 편히 읽으시도록 다음 내용은 새 글로 설명 드리겠습니다.


로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

임주영 변호사 작성한 다른 포스트
조회수 130
관련 사례를 확인해보세요

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.

공지사항

마이페이지

로톡상담

고객센터

회사소개
(주)로앤컴퍼니 사업자번호: 통신판매번호: 대표자명: 대표번호: 이메일:
로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(주)로앤컴퍼니 사업자번호: 통신판매번호: 대표자명: 대표번호: 이메일:
(주)로앤컴퍼니는 대한민국 법률시장의 정보비대칭과 불법 법조브로커를 해소하여 투명하고 공정한 법률시장을 만들기 위해 로톡(LawTalk) 서비스를 제공하고 있습니다. 로톡은 의뢰인회원의 법률상담 내용 및 상담 여부, 법률사건 내용 및 수임 여부, 변호사회원의 선택 등에 대해 일절 관여하지 않아 변호사법 및 기타 관련규정을 준수하고 있으며, 변호사회원이 의뢰인회원에게 제공하는 서비스의 내용과 질에 대해 어떠한 법적책임도 부담하지 않습니다. 또한 회원간의 예약 및 결제정보의 중개서비스 또는 통신판매중개 시스템을 제공할 뿐, 통신판매의 당사자가 아닙니다. 모든 법률상담은 각 변호사회원이 직접 수행하며, 모든 변호사회원은 각 소속 법률사무소, 로펌에서 독립적으로 법률업무를 수행합니다. 그리고 로톡에 가입한 변호사들 상호간에는 어떠한 조직적인 관계가 없음을 밝힙니다. 로톡에 표시된 변호사회원의 정보는 해당 변호사가 직접 제공한 것이며 무단으로 복제, 편집, 전시, 전송, 배포, 판매, 방송, 공연 등에 이용할 수 없습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.