개인정보 처리 단계별 가이드 : 수집부터 종료까지

개인정보보호법이 강화되면서 기업의 개인정보 처리 과정에 대한 관심이 높아지고 있습니다.

올해 들어 개인정보보호위원회의 감독이 더욱 엄격해지면서 체계적인 개인정보 관리의 중요성이 부각되고 있는데요.

개인정보 처리는 단순히 수집하고 이용하는 것이 아니라 명확한 단계를 거쳐 체계적으로 관리되어야 합니다.

 

개인정보 처리 과정은 크게 네 단계로 구분됩니다.

수집 준비 단계에서 처리 방침을 수립하고, 수집 결정 단계에서 법적 근거를 확보하며, 이용 유지 단계에서 목적에 맞게 활용하고, 마지막으로 종료 단계에서 안전하게 파기하는 과정을 거치게 됩니다.

각 단계마다 준수해야 할 법적 요건과 실무상 고려사항이 다르기 때문에 담당자들이 정확히 이해하고 있어야 합니다.

---

개인정보 수집 결정 단계의 핵심 요소

개인정보 수집을 결정하기 전에 가장 중요한 것은 법적 근거를 명확히 하는 것입니다.

개인정보보호법에 따르면 개인정보 처리를 위해서는 정당한 법적 근거가 반드시 필요합니다.

 

첫 번째로 법령상 의무준수를 위한 개인정보 수집이 있습니다.

근로기준법 등 관련 법령에서 의무적으로 수집하도록 규정한 경우 해당 법령 근거를 명시하고 개인정보를 수집할 수 있습니다.

예를 들어 임금대장에 가족수당 계산을 위해 필요한 가족관계 정보나 복리후생 제공을 위한 개인정보 등이 여기에 해당합니다.

 

가족관계나 연락처 정보를 수집할 때는 특히 주의가 필요합니다.

가족의 주민등록번호를 수집할 때에는 법령에서 구체적으로 요구하는 경우가 아니라면 최소한의 정보만 수집해야 합니다.

근로자의 주민등록번호 처리와 관련해서는 4대보험 등 관련 법령에 따라 주민등록번호 등 개인정보 수집이 이루어집니다.

 

두 번째는 근로계약 등 계약 이행에 필요한 개인정보 수집입니다.

인사발령, 교육훈련, 복리후생, 연봉계약, 근무성적평가 등 근로계약의 이행을 위해 필요최소한의 개인정보를 수집하는 경우입니다.

근로계약에서 고용노동부 홈페이지를 통해 정책자료실, 표준근로계약서 참고할 수 있습니다.

 

법령 준수 및 단체협약, 취업규칙, 근로계약 체결과 이행을 위해 필요한 최소한의 개인정보 외의 수집은 개인정보 최소수집 원칙에 위배되므로 소중히 다뤄야 합니다.

---

개인정보 이용 유지 단계의 관리 방안

개인정보를 적법하게 수집했다고 해서 무제한으로 이용할 수 있는 것은 아닙니다.

이용과 관련해서도 명확한 원칙과 제한사항이 있습니다.

 

인력관리 측면에서는 인력배치, 인사평가, 복리후생 등과 관련된 개인정보의 수집과 이용이 근로자의 동의 불필요합니다.

전보배치전적, 인사평가, 복리후생 제공 등 근로계약의 이행에 필요한 가족사전문문야경력성과 등 최소한의 개인정보 수집과 이용은 근로자의 동의 불필요합니다.

 

하지만 민간정보나 고유식별정보는 원칙적으로 수집이 금지되며 법령에 근거가 있거나 근로자로부터 별도의 동의를 받아 수집해야 합니다.

노조가입 여부 등은 민간정보에 해당하므로 법령에 근거가 있거나 근로자로부터 별도의 동의를 받는 경우에 한해 수집할 수 있습니다.

 

근로자의 출산계획은 건강, 성생활을 직접 유추할 수 있는 민감정보에 해당할 수 있습니다.

인사정보의 제3자 제공과 관련해서는 더욱 엄격한 기준이 적용됩니다. 다른 법률에서 고용보험, 산재보험 보험료 징수 등과 관련하여 금고 등의 근로자 개인정보를 관련 공공기관 등 제3자에게 제공하도록 하는 경우 해당 법률에 따라 처리됩니다.

 

전년도, 수집 사실 등 근로자의 개인정보를 외부에 공개하려는 경우 정보주체인 근로자의 동의 필요합니다.

정계, 해고 등의 내용은 원칙적으로 비공개하는 것이 바람직합니다. 공공기관의 경우 정보공개법 제9조 등에 따라 공무원의 성명, 직위 등 공개 가능하지만 상당히 업무 등 상황을 고려할 때 개인정보에 해당하므로 법률이나 대통령령 등에 구체적으로 근거가 있어야 합니다.

---

디지털 장치 도입 시 고려사항

올해 들어 디지털 전환이 가속화되면서 많은 기업에서 새로운 디지털 장치나 시스템을 도입하고 있습니다.

하지만 이 과정에서 개인정보 보호에 대한 고려가 부족한 경우가 많아 주의가 필요합니다.

 

협의 및 의견수렴 절차가 중요합니다.

근로자의 상시 근무공간에 디지털 장치를 도입하려는 경우 사전에 근로자 등 이해관계자로부터 의견을 청취해야 합니다.

외부인 출입 통제 공간에 근로자의 근무상황 및 근태 관리 등을 위해 출입통제 영상정보처리기기 차량 운전 근로자의 근무 위치 등 관리를 위해 위치정보 처리장치, 통제공간의 출입관리 등을 위해 지문, 홍채 정책 등 생체정보 처리장치를 설치하는 경우 등이 여기에 해당합니다.

 

근로자참여법에 따른 노사협의회가 설치된 사업장에서는 노사협의회에서 협의해야 합니다.

협의나 의견수렴 시에는 디지털 기기 설치 목적사업운영업위 및 처리되는 개인정보의 내용과 보유기간 등을 명확히 설명해야 합니다.

 

중분한 협의는 근로자 모호 측면에서 필요할 뿐만 아니라 디지털 장치 도입의 정당성을 뒷받침할 수 있는 근거가 될 수도 있습니다.

개인정보 수집과 이용 근거 확인도 필수입니다.

근로기준법 보무관리 등 법령상 의무준수 및 근로계약 이행 등에 필요한 최소한의 법위 내에서 개인정보를 수집과 이용 가능합니다.

 

시설안전, 영업비밀 보호 등 사용자의 정당한 이익 달성을 위해 필요한 경우로서 명백하게 정보주체인 근로자보다 우선할 때에는 개인정보를 수집과 이용할 수 있습니다.

 

정당한 이익과 상당한 관련성이 있고 합리적인 법위를 초과하지 아니하는 경우에 한하며 근로자의 이익 침해 최소화 방안을 시간에 충분히 검토할 필요가 있습니다.

---

개인정보 보호방안 강구 방법

개인정보 처리 내용과 보유기간 등을 필요한 최소한의 법위 내에서 정하고 개인정보를 수집하여야 합니다.

설치 목적에 맞도록 CCTV 촬영범위 등을 조정하여 개인정보 수집을 최소화하고 디지털 장치의 작동이 필요없는 경우에는 작동을 차단하는 등 근로자의 개인정보가 불필요하게 수집되지 않도록 유의해야 합니다.

 

근로자의 권익이 부당하게 침해되지 않도록 해야 하며 CCTV의 경우 목욕실, 화장실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소에 설치할 수 없고 녹음기능 사용 불가합니다.

 

통신비밀보호법 제3조는 누구든지 전기통신의 감청이나 타인간의 대화를 녹음 또는 청취하지 못하도록 정보통신망법 제49조는 누구든지 정보통신망에 의하여 처리, 보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해, 도용 또는 누설하지 못하도록 규정하고 있습니다.

 

적법한 사유없이 디지털 장치 도입, 설치 목적과 다르게 근대관리 또는 징계목적 등으로 운용해서는 아니 됩니다.

---

개인정보 처리 최소화 방안

개인정보 영향평가 등을 통해 개인정보 처리 최소화 방안 및 근로자 권익 침해 가능성 등 검토해야 합니다.

MDM이나 각종 업무용 소프트웨어, 앱 등을 도입하거나 재택근무 시 업무수행에 필요한 최소한의 개인정보 외에는 수집되지 않도록 하여야 합니다.

 

개인정보 처리 내용과 보유기간 등을 필요한 최소한의 법위 내에서 정하고 개인정보를 수집하여야 합니다.

설치 목적에 맞도록 CCTV 촬영법위 등을 조정하여 개인정보 수집을 최소화하고 디지털 장치의 작동이 필요없는 경우에는 작동을 차단하는 등 근로자의 개인정보가 불필요하게 수집되지 않도록 유의해야 합니다.

 

근로자의 권익이 부당하게 침해되지 않도록 해야 하며 CCTV의 경우 목욕실, 화장실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소에 설치할 수 없고 녹음기능 사용 불가합니다.

---

정보주체로서 근로자의 권익 보장 조치

근로자의 열람, 정정, 삭제 및 처리정지 요구권 등을 보장해야 합니다.

근로자가 평가정보에 대해 열람을 요구할 경우 객관적인 성과, 실적 등의 정보는 특별한 사유가 있는 한 공개해야 합니다.

 

다만 인사고과, 연봉 산출근거 등은 공개 시 기업의 질서 등에 영향을 미쳐 회사나 다른 근로자의 이익을 침해할 우려가 있으므로 열람의 제한, 거절 가능합니다.

 

CCTV에 촬영된 영상을 근로자 등 정보주체에게 열람을 허용하는 경우 타인의 영상이 같이 열람되지 않도록 모자이크 처리를 해야 합니다.

 

정보주체 이외로부터 수집한 개인정보의 출처 등 고지를 해야 합니다.

근로자 등 정보주체 이외로부터 수집한 개인정보를 처리하면서 정보주체의 요구가 있으면 개인정보의 수집 출처, 개인정보의 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 알려야 합니다.

 

불필요한 개인정보의 과기를 해야 합니다.

보유기간의 경과, 수집과 이용 목적 달성 등으로 불필요한 개인정보는 복구 또는 재생되지 아니하는 방법으로 지체없이 파기해야 합니다.

수집목적은 달성하였으나 다른 법령에 따라 보존해야 하는 경우에는 다른 개인정보와 분리하여 보관하여야 합니다.

 

사용자는 제작자의 건강진단결과표 등은 30년, 고용부장관이 정하는 유해물질 취급 근로자의 건강진단 결과 등은 30년간 보관해야 합니다.

연말정산 목적으로 수집한 자료는 해당 소득세 등의 법정 신고 기한이 지난 날부터 5년간 보존해야 합니다.

---

개인정보의 유출 통지 등 대응 방안

개인정보 보호업무와 관련 고충을 처리하는 부서 명칭과 연락처를 근로자가 쉽게 볼 수 있도록 개인정보 처리방침 등에 공개해야 합니다.

개인정보가 유출되었음을 알게 되었을 때에는 근로자 등 정보주체에게 유출 항목과 시점, 경위 등을 알려야 하며 특히 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 유출된 개인정보의 항목 등을 개인정보 보호위원회 또는 한국인터넷진흥원에 신고하여야 합니다.

---

피해 구제 방안

개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해 사실을 신고할 수 있으며 사용자의 부당 노동행위 등에 관하여는 지방고용노동청에 신고할 수 있습니다.

개인정보와 관련한 분쟁은 온라인이나 서면으로 개인정보 분쟁조정위원회에 조정을 신청할 수 있습니다.

 

온라인은 개인정보분쟁조정위원회 웹사이트를 통해 가능하며 우편의 경우 서울특별시 중구 세종대로 209 정부서울청사 12층 개인정보분쟁조정위원회로 신청할 수 있습니다.

전화는 1833-6972번으로 평일 09시부터 18시까지 가능합니다.

 

사업자가 보험법을 위반한 행위로 손해를 입은 경우 손해배상을 청구할 수 있습니다.

특히 고의 또는 중과실로 인한 피해 시 징벌적 손해배상보호법 제39조 제3항 손해액의 입증이 어려운 경우 법정손해배상을 통해 300만원 이내의 법위에서 법원의 판결로 손해배상 가능합니다.

 

개인정보 처리는 단순한 업무가 아니라 법적 책임이 수반되는 중요한 영역입니다.

각 단계별로 요구되는 법적 요건을 정확히 파악하고 체계적으로 관리해야만 개인정보보호법 위반으로 인한 리스크를 최소화할 수 있습니다.

특히 올해부터는 개인정보보호위원회의 감독이 더욱 강화되고 있어 사전 예방적 관리가 무엇보다 중요해지고 있습니다.