2023 개인정보보호법 표준 해석례(30선) 요약

2023년 개인정보보호법 표준 해석례이다.

개인정보포털에 들어가면 원본 다운로드 가능하다.

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20569

개인정보 포털

 

 

개인정보보호법 표준 해석례

 

1. 공동현관 출입번호가 개인정보인지?

(문의) 배송업체에서 물품을 배송시킬 때 배송 주소와 함께 공동현관 출입 번호를 수집하고 있습니다. 이 경우 개인정보로 봐야 하나요? 만일, 아파트 입주민 개별로 즉, 호수마다 다르게 공동현관 출입번호를 설정하는 경우에는 개인정보에 해당하는 것인지 문의드립니다.

 

답변 : 공동현관의 출입번호는 개인정보로 보기 어려우나, 개별 세대별로 출입번호가 부여된 경우 개인정보로 볼 수 있음

세대원이 특정되지 않은 공동현관의 출입번호는 개인정보로 보기 어려우나, 개별 세대별로 출입번호가 부여된 경우 개인을 식별할 수 있는 개인정보로 볼 수 있음. 따라서, 개인정보 수집·이용에 대한 동의를 받아야 하고, 개인정보가 유출되지 않도록 안전조치가 필요함.

 

 

2. 생산성 점수 프로그램으로 직원을 모니터링 해도 되는지?

(문의) 기업용 OFFICE 제품을 사용하고 있습니다. 해당 제품에서 관리자는 '생산성 점수' 프로그램으로 직원이 처리하는 데이터를 수집하고 인터넷 사이트에 액세스하는 건수, SNS 전송, 전자 메일 보내기 등을 모니터링 할 수 있습니다. 관리자가 생산성 점수로 직원의 작업을 모니터링하고 평가하려면 동의를 받아야 하는지요?

 

답변 : OFFICE 프로그램으로 직원의 생산성 지수를 도출하여 직원을 모니터링하고 평가하려면 직원의 동의를 받아야 함

근로자 개인의 생산성 지수 및 이를 구성하는 건수를 법인 또는 단체의 정보로 볼 수 있으나, OFFICE 프로그램을 통해 입력된 개인의 작업일시 및 소요시간, SNS, 메일등의 문체 및 작성성향 등은 개인정보에 해당할 수 있다. 따라서 직원을 모니터링하면 정보주체인 직원의 동의를 받아야 함.

 

 

3. 코인을 보관하는 가상자산 지갑주소가 개인정보인지?

(문의) 가상자산 사업자가 성명, 전자우편 등 개인을 특정할 수 있는 어떠한 정보도 가지지 않은 상태에서 오직 가상자산 지갑주소만을 처리하는 경우에도 가상자산 지갑주소가 개인정보에 해당하는지요?

 

답변 : 가상자산 지갑주소 자체만으로는 개인정보가 아니지만 거래계좌, 이름 등을 통해 특정 개인을 알아볼 수 있다면 개인정보에 해당함.

 

 

4.차량사고 가해자의 CCTV 영상을 피해자에게 제공할 수 있는지?

(문의) 민원인이 차량사고 관련 영상을 확보하기 위하여 공공기관에 범죄예방, 시설안전 등을 목적으로 설치한 CCTV 영상정보의 제공을 요청하였습니다. 공공기관은 민원인에게 CCTV 영상을 제공할 수 있는지요?

 

답변 : 정보공개법에 따라 기관 스스로 제공 여부를 결정할 수 있으나, 보호법의 영상 열람 제한 취지를 고려해야하고, 제3자의 개인정보가 포함된 경우, 비식별조치를 하거나 필요한 법적 요건을 충족한 경우에만 제공할 수 있다.

 

 

5. 개인정보 수집･이용･제공 체크박스를 전체동의 처리해도 되는지?

(문의) 저는 온라인쇼핑몰의 개인정보 보호 담당자로 근무하고 있습니다. 고객이 쇼핑몰에서 상품을 구매하는 경우 주문서 페이지에서 개인정보 수집 및 제3자 제공 등의 동의를 받고 있는데, 최근 타사 사례를 보면 전체동의 체크박스를 두던데 가능한지요?

 

답변 : 개인정보 수집·이용·제공 등 동의를 받을 때 항목별로 체크박스를 구분해 설명이 제공된다면 전체동의 체크박스를 둘 수 있다. 다만, 체크박스의 동의 상태를 자동으로 선택된 상태로 설정해서는 안된다.

 

 

6. 타 업체의 개인정보 수집･이용･제공 동의를 대신 받아도 되는지?

(문의) 온라인 플랫폼을 운영하는 회사의 A 시스템에 수집된 회원의 개인 정보를 거래 회사의 C 시스템에 제출해야 합니다. 그런데 A 시스템은 C 시스템과 연계되어 있지 않아 중간에 중개회사의 B 시스템을 경유하여야 합니다. 이 경우 A 시스템의 회원들에게 B 시스템에 대한 제3자 제공 동의를 받는다면, 데이터 전달이 가능할까요?

 

답변 : 개인정보를 제3자에게 제공하려면, A시스템 운영자는 회원에게 B시스템(중개회사)과 C시스템(거래회사)에 대한 제3자제공 동의를 받아야한다. 동의 시, 개인정보 제공받는 자와 이를 추가로 제공받는 자를 모두 명시해야 한다.

 

 

7. 공동주택 입주민의 찬반투표 연명부에 성명을 기재해도 되는지?

(문의) 아파트 관리사무소에서 입주민 대상으로 찬/반 투표를 할 경우 투표 양식에 동호수, 성명, 서명, 찬성, 반대란이 있습니다. 성명란에 성명을 기재 하는 것이 보호법 위반인가요?

 

답변 : 서명란 옆에 수집ㆍ이용ㆍ제공 동의란을 만들어 입주민이 성명 수집 등에 동의를 표시하면 보호법에 위반되지 않을 것으로 판단된다. 개인정보 보호를 위해 연명부에 권한 없는 제3자 제공 시 보호법 위반 가능성을 알리는 문구를 기재하고, 서명란에 가림장치를 사용하는것이 권장된다.

그림(1) 개인정보보호법 표준해석례

 

  

 

8.  관리사무소 직원에 대한 입주민의 폭언을 녹음ㆍ촬영해도 되는지?

(문의) 입주민이 공동주택 관리사무소의 직원에게 폭언하는 경우 녹음ㆍ촬영 하는 것이 보호법에 위반되나요?

 

답변 : 폭언ㆍ폭행의 위협에 대한 자제 요청에도 이를 무시하고 계속한다면 사전고지 후 녹음ㆍ촬영을 할 수 있

 

 

9. 입주민 주차 관련 설문조사를 통해 수집할 수 있는 개인정보 항목은?

(문의) 아파트 주차문제로 인해 주차위원회가 입주민을 상대로 설문조사를 하려고 합니다. 입주민을 상대로 수집할 수 있는 개인정보 항목이 어떻게 되나요?

 

답변 : 입주민 확인을 위한 동·호수, 등록할 차량의 차량번호, 주차관리에 필요한 긴급연락처를 수집·이용하며, 필요한 최소한의 정보만 수집한다.

 

 

10. 가게에서 남의 물건을 가져간 고객에게 연락해도 되는지?

(문의) 고객이 가게에서 계산한 물건을 가져가지 않고, 다른 고객이 실수로 그 물건을 가져갔습니다. 가게주인이 물건을 가져간 고객에게 연락해서 물건 반환을 요청하는 경우 보호법 위반에 해당하지 않나요?

 

답변 : 가게주인은 고객에게 연락하여 물건의 반환을 요청할 수 있다. 수집 목적(구매계약)과 관련된 이용으로 예측 가능하며, 고객의 이익을 부당하게 침해하지 않는다.

 

 

11. 퇴사자의 개인정보를 경력증명 발급에 이용해도 되는지?

(문의) 「표준 개인정보 보호지침」 제6조에 따라 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 규정된 일정한 사항을 위해 동의 없이 개인 정보를 수집·이용할 수 있습니다. 퇴사자의 경력증명서 발급을 위해 개인 정보를 동의 없이 처리할 수 있나요?

 

답변 : 사용자는 퇴사자가 요청한 경력증명서 발급을 위해 필요한 개인정보를 동의 없이 처리할 수 있지만, 그 외의 개인정보는 퇴사자의 동의 없이 처리할 수 없다.

 

 

12. 판결문 원본을 공동주택 게시판에 게시해도 되는지?

(문의) 법원에서 입주자대표회의와 관리주체에 통보한 과태료 불처분(기각) 결정문(판결문)에는 입대의 회장, 관리주체 대표자, 판사 성명이 기록되어 있습니다. 이와 같은 결정문을 아파트 홈페이지와 게시판에 그대로 게시할 경우 보호법에 위반되는지요?

 

답변 : 입주자대표회의 회장, 관리주체 대표자, 판사 성명 등은 개인정보로 취급되며, 정보주체의 동의가 필요하며, 동의 없이공개하려면 개인을 알아볼 수 없도록 비식별화해야한다. 다만, 입주자대표회의 회장, 관리주체 대표자가 공개에 동의한 경우 실명 공개할 수 있다.

 

 

13. 보험회사가 자문받으려는 의료기관을 고객에게 알려야 하는지?

(문의) 보험회사가 의료기관에 자문을 의뢰할 목적으로 개인정보 제3자 제공 동의를 받았으나 해당 동의를 받을 때 자문을 의뢰하는 의료기관의 명칭 또는 의사명에 대해서는 알려 주지 않았는데 법적으로 문제가 없는지요?

 

답변 : 원칙적으로는 개인정보를 제공받는 제3자를 구체적으로 알려야 하지만 특별한 사정이 있는 경우에는 특별한 사정 및 제3자의 유형등으로 알릴 수 있다.

 

 

14. 조합에서 받은 조합원 명부를 다른 조합원과 공유해도 되는지?

(문의) 저는 경기도에 위치한 재건축 조합의 조합원입니다. 도시정비법 제124조 제4항에 따라 조합에 정보공개청구를 하여 ‘조합원 명부’를 수령 하였습니다. 이를 다른 조합원에게 전달하여 함께 사용하려고 생각 중입니다. 혹시, 보호법에 위반되는 사항이 있는지?

 

답변 : 조합원이 받은 조합원 명부는 다른 조합원과 공유할 수 있지만, 조합원이 아닌 제3자와 공유하면 개인정보 보호법 위반에 해당한다. 조합원 간의 공유는 도시정비법에서 허용된 목적 내 용도로 간주된다.

 

○ 도시정비법 제124조에서 조합원에게 명부를 열람할 자격을 부여하였고, 제6항에 ‘제4항에 따라 열람·복사를 요청한 사람은 제공받은 서류와 자료를 사용목적 외의 용도로 이용·활용하여서는 아니 된다.’라고 규정하여 목적 내 용도로 이용·활용할 수 있도록 하였음

- 따라서, 조합원 간 명부를 공유하는 것은 보호법상 목적 범위 내 제3자 제공에 해당하는 것으로 도시정비법에 위반되지 않음

 

○ 다만, 도시정비법에는 조합원이 아닌 제3자에게 명부를 공유하는 내용이 규정되어 있지 않아 보호법 제19조(개인정보를 제공받은 자의 이용·제공 제한)가 적용되어 개인정보처리자로부터 개인정보를 제공받은 자는 1. 정보주체로부터 별도의 동의를 받은 경우,

2. 다른 법률에 특별한 규정이 있는 경우의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 됨

 

 

15. 강제탈퇴 조치한 회원의 개인정보는 즉시 파기해야 하는지?

(문의) 1년간 미접속한 고객을 대상으로 개인정보 파기를 진행하고자 하는데 혹시 해당 미접속자가 이전에 앱 내에서 구매한 재화(앱을 사용하기 위한 포인트)가 남아있다면 파기에 문제가 되는지요?

 

답변 : 개인정보 보유기간이 경과했더라도 다른 법령의 규정이 있으면 파기하지 말고 보관하여야 하나, 다른 개인정보와 분리 보관하여야 한다. 또, 앱에서 구매한 포인트 등의 거래내역은 '전자상거래법'에 따라 5년간 분리 보관해야한다.

 

 

16. 스마트폰에서 인증한 지문정보는 민감정보에 해당하는지?

(문의) 정보주체의 지문정보를 추출하여 이용하려면 민감정보 수집･이용에 대한 동의를 받아야 하는 것으로 알고 있습니다. 그런데 앱이 정보주체의 지문정보에 접근하거나 저장하지 않고 스마트폰에서 본인 여부에 대해 확인한 결과값만 제공받는 것도 민감정보 이용에 해당하나요?

 

답변 : 스마트폰에 내장된 지문으로 본인확인한 결과값(예,아니오)은 민감정보에 해당하지 않으므로 결과값 이용은 일반 개인정보 이용에 해당한다.

 

 

17. 회사에서 직원의 주민등록번호를 수집해도 되는지?

(문의) 회사로부터 주민등록번호 뒷자리까지 기재를 강요받았습니다. 퇴사 이후에 주민등록번호가 유출되어 개인 신상에 피해가 있을 것으로 예상됩니다. 생년월일 말고 주민등록번호 뒷자리까지 회사가 수집할 수 있나요? 보호법 위반 아닌가요?

 

답변 : 단체보험 및 4대 보험 가입, 소득세 원천징수 등 법령에 근거한 업무에 한해 직원의 주민등록번호를 수집할 수 있다. 단순한 근로기준법에 따른 근로자 명부에는 주민등록번호 수집이 포함되지 않는다.

 

 

18. 영상정보처리기기에 한시적으로 음성 녹음을 하여도 되는지?

(문의) 민원실 응대직원의 신변보호를 위해 개방된 민원실 내 폭언이나 욕설, 폭행 발생으로부터 대응하고자 합니다. 이와 같은 사고 발생 시 또는 우려 시 민원실에 설치된 CCTV에 한시적으로 녹음 기능을 부여하는 것은 가능한가요?

 

답변 : 공개된 장소에서 영상정보처리기기를 통하여 녹음 하는 행위는 한시적으로라도 개인정보 보호법 위반이다. 민원인의 폭언·폭행 발생 시 증거 수집을 위해 휴대용 녹음 장비나 녹음 전화 등을 사용할 수 있습니다.

 

 

19. 개인영상정보 보관요청을 받으면 기간을 초과하여 보관해도 되는지?

(문의) 범죄를 신고하기 위하여 CCTV 영상이 필요한데, 보관기간이 30일로 정해져 있어 경찰에서 증거를 수집하기 전에 파기될 우려가 있습니다. 범죄 행위의 영상을 30일이 지나도 볼 수 있도록 따로 복사하여 보관하여도 괜찮은가요?

 

답변 : 영상정보처리기기 운영·관리 방침에 보존요청과 추가 보관 기간을 명시하고 공개한다. 요청이 있는 경우 책임자의 승인 후 별도로 보관할 수 있으며, 법적 요구가 있는 경우에는 다른 영상과 분리해 저장한다.

 

 

20. 직원의 연수비용을 회사에서 납부하면 개인정보 위탁인지?

(문의) 당사는 직원이 직접 금융연수원(또는 직원이 원하는 연수과정을 제공 하는 업체)에 회원가입하여 듣고 싶은 과정 연수 신청하면, 인사실 연수 담당자가 연수 신청내역 확인 후 연수비용 결제의 방법으로 연수를 실시하고 있습니다. 이 경우 개인정보 처리 위탁에 해당되는지요?

 

답변 : 연수원이 회사의 이익을 위해 해당 범위 내애서 개인정보를 처리하면 위·수탁으로 볼 수도 있고, 단순히 용역 구매로 볼 수도 있다.

회사의 이익을 위한 개인정보 처리로서 위탁관계에 해당 한다면, 개인정보 처리 위탁에 대한 문서 작성이 필요하며, 회사가 직원의 개인정보 수집·이용에 동의를 받아야하고, 회사가 직원 명단을 제공하지 않고 단순 비용 지불 및 정산하는 경우 단순 용역구매로 볼 수 있다. 

 

 

21. 중소기업이 규모가 큰 수탁자를 감독할 수 있는지?

(문의) 중소업체로서 플랫폼 사업자와 개인정보 처리업무 위·수탁 계약을 체결하려 하는데, 위·수탁 계약서에 수탁사에 대한 감독에 관한 사항을 작성 하도록 되어 있습니다. 어떻게 감독 사항을 작성해야 할지 막막합니다.

 

답변 : 중소기업은 규모가 큰 수탁자를 감독할 때, 전문기관을 통한 대행, 원격 점검, 솔루션 배포 등 다양한 방법을 활용할수 있다. 위·수탁 계약 시 수탁자가 개인정보를 안전하게 처리하도록 교육과 점검을 포함한 감독 방안을 계약서에 명시 한다.

 

 

22. 개인정보파일 보유기간을 책정하는데 기준 가이드가 있는지?

(문의) 「표준 개인정보 보호지침」에는 공공기관에 대하여 개인정보파일 보유 기간 책정 기준을 제시하는 것은 확인할 수 있었으나, 그 외 일반 회사에 대한 기준을 찾기가 어렵습니다. 저희 회사는 새로 제공하는 서비스의 개인 정보처리방침을 작성하려고 하는데, 개인정보 보유기간을 정하는 데에 참고할 가이드가 있을까요?

 

답변 : 민간 기업에 대한 개인정보파일 보유기간 책정 기준은 별도로 규정되지 않는다. 보유기간 설정 시 회원 탈퇴, 채권·채무 정산, 서비스 제공 완료, 법적 조사 종료 등의 상황을 고려할 수 있으며, 관련 법령에 따라 표시·광고 기록은 6개월, 소비자 불만 기록은 3년, 계약 및 공급 기록은 5년간 보관이 요구 된다.

 

 

23. 개인정보 국외이전 시 정보주체로부터 동의를 받아야 하는지?

(문의) 안녕하세요. 저희 회사는 정보통신망을 통해 고객의 개인정보를 처리하고 있는 온라인쇼핑몰입니다. 고객과의 커뮤니티 및 교육 진행을 위한 목적으로 개인정보를 국외이전하는 부분을 신규로 추가할 예정입니다. 혹시 이런 경우 개인정보 처리방침에 고지할 경우 기존 및 신규 이용자들에게 별도 동의를 받지 않아도 괜찮을지 문의드립니다.

 

답변 : 개인정보를 국외로 이전하려면 정보주체의 동의를 받아야 한다. 계약 이행을 위한 처리위탁·보관의 경우에는 개인정보 처리방침에 공개하거나 전자우편 등으로 알림으로써 동의를 갈음할 수 있다.

알릴 내용에는 이전되는 개인정보 항목, 국가, 이전받는 자의 정보, 이용 목적, 보유 기간, 거부 방법 등이 포함되어야 한다.

 

 

24. 아파트 우편함에 쓰레기를 넣어두는 경우 CCTV를 봐도 되는지?

(문의) 누군가 저희집 우편함에 쓰레기를 반복적으로 투척하고 있어 범인을 찾고 싶습니다. 누구인지 알면 개인적으로 해결할 수 있을 텐데, 아파트 CCTV는 보호법 때문에 확인조차 할 수 없다고 하니 답답합니다. 경찰서에는 뚜렷한 범죄사실이 없어 수사할 수 없다고 하는데, 그러면 저희는 이렇게 계속 당하고 참아야만 하는 것입니까?

 

답변 : 아파트 CCTV 열람은 본인과 관련된 영상만 가능하며, 제3자인 쓰레기 투기자의 영상을 확인하려면 모자이크 처리 등으로 식별 불가하게 보호조치를 해야 한다. 개인적으로 CCTV 영상을 사용하여 문제를 해결하려는 것은 개인정보 보호법 위반으로 형사처벌 될 수 있다. 

 

 

25. 열람을 거쳐야 개인정보 정정･삭제를 요구할 수 있는지?

(문의) 저의 개인정보를 처리한 공공기관이나 민간회사와 같은 개인정보 처리자에게 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구하려면 반드시 열람을 거쳐야 하는지 궁금합니다.

 

답변 : 개인정보의 정정·삭제를 요구하려면 반드시 열람을 거쳐야 하며, 처리 정지, 동의 철회는 열람을 거치지 않고도 가능하다.

 

 

26. 여러 건의 개인정보 열람 요청 시, 위임장을 건별로 제출해야 하는지? 

(문의) 해당 아파트 관리사무소에 방문하여 관리비 납부내역 등을 열람, 복사 진행하기 위해 위임장을 제출하려 합니다. 당일 여러 건의 열람, 복사 신청을 할 경우 위임장도 건별로 제출하여야 하는지요? 아니면, 여러 건에 대해 한 장의 위임장으로도 처리 가능한지요?

 

답변 : 한 장의 위임장으로 여러 건의 개인정보 열람을 요구할 수 있다. 대리행위가 본인을 위한 것임이 명확이 표현된 경우, 개별건마다 위임장을 제출할 필요 없다.

 

 

27. 면접 불참자에게 불이익을 주기 위해 개인정보를 이용해도 되는지?

(문의) 면접대상자에게 면접 일정을 통보하고 채용심사를 진행하나 연락도 없이 참여하지 않는 대상자가 빈번히 발생하고 있습니다. 면접에 불참하는 구직자에게 향후 동일한 채용공고 시 서류심사 점수를 감점하기 위해 개인 정보를 이용하고 보관할 수 있을까요?

 

답변 : 구직자로부터 동의를 받지 않으면 해당개인정보를 면접 불참에 따른 불이익을 제공할 목적으로 이용·보관할 수 없다. 채용서류는 채용확정일로부터 180일 후 파기해야 한다.

 

 

28. 회사가 일방적으로 퇴직 예정자의 업무용 PC를 점검해도 되는지?

(문의) 퇴직 예정자의 개인정보가 들어있는 PC를 점검하고 문제가 있으면 퇴직 처리가 불가하도록 조치할 목적으로 회사가 PC를 동의 없이 점검할 수 있나요?

 

답변 : 회사는 퇴직 예정자의 동의 없이 해당 직원의 업무용 PC를 점검할 수 없다. 구체적인 범죄 혐의가 있고, 이를 긴급히 확인할 필요가 있으며 업무 관련 결과물에 한해 열람이 필요한 경우 등의 특별한 사정이 있을 때만 동의 없이 열람이 가능하다.

 

 

 29. 동창회 명부를 발간할 때 전화번호를 공개해도 되는지?

(문의) 동창들 간에 회원 명부를 공유할 목적으로 총동창회원 명부를 발간할 때 전화번호를 공개하는 것이 적법한가요?

 

답변 : 동창회가 동창 명부를 발간하면서 동창들의 전화번호를 공개하기 위해서는 정보주체인 동창들의 동의가 필요하다.

 

 

30. 친구에게 민원인의 개인정보를전달한 공무원을 처벌할 수 있는지?

(문의) 공무원이 민원 업무상 취득하게 된 민원인의 방문사실, 휴대전화 번호 등 개인정보를 친구에게 전달한 행위가 보호법 등의 위반에 해당하나요?

 

답변 : 민원인의 개인정보를 친구에게 제공한 것은 업무상 알게 된 개인정보의 누설에 해당하며, 개인정보 보호법 위반으로 처벌 가능하다.

 

 

 

 

30개밖에 안되서 실수로 다 적어버렸다....

cppg를 공부할 때 사례집을 많이 보는 게 좋다고 하여 읽으면서 적고 있는데.. 다음에는 조금만 적어야겠다. 너무 힘들다.