개인정보 처리방침 문의 결과

1. 개요

- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"

> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음

> 이전 개인정보 처리방침 변경 내용 확인 불가

> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음

> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용

> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음

- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인

> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토

 

2. 주요내용

- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인

- 국민신문고를 통해 개인정보보호위원회에 문의 진행

2.1 가시성 문제

- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐

 

[사진 1] 글씨 크기 차이 문제점

 

- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과

> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공

「개인정보 보호법」 제30조(개인정보 처리방침의 수립 및 공개)

① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

 

개인정보 처리방침 작성지침

개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하여 작성해야 하며, 개인정보 처리 현황을 투명하고 구체적으로 수립 및 공개하여야 함 개인정보 처리방침은 누구나 이해하기 쉬운 명확하고 평이한 언어로 안내하여야 하며, 특히 해외사업자의 경우 국내이용자가 이해할 수 있는 쉽고 명확한 한글로 정보를 제공하여야 함

 

- 이에 따른 답변은 다음과 같음

① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음

② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음

③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함

 

- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함

> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화

> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함

 

- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음

> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문

 

2.2 열람요구서, 위임장 등 다운로드 기능 부재

- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적

> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내

 

- 공제조합 또한 별지 서식이용을 안내하고 있음

> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행

 

- 이에 따른 답변은 다음과 같음

> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음

> 개인정보 처리자의 자율에 맡겨진 사항

 

- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음

> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음

 

2.3 개인정보보호법 시행규칙 단어 사용

- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨

> 따라서, "개인정보보호법 시행규칙"  단어를 삭제하거나 다른 단어로 정정되어야 할 것임

 

- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인

[사진 2] 개인정보보호법 시행규칙 사용

 

- 이에 따른 답변은 다음과 같음

> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경

> 용어의 변경이 필요함

 

- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨

제30조의2(개인정보 처리방침의 평가 및 개선권고)

① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 ② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.] [시행일: 2023. 9. 15.] 제30조의2

 

2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집

- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정

> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내

* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨

 

- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단

 

- 이에 따른 답변은 다음과 같음

> 구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움

 

2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항

- 「개인정보 보호법」 제30조 제1항 제7호에서 개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정

> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함

 

[사진 3] 작성지침에 따른 작성 예시

 

- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내

 

- 이에 따른 답변은 다음과 같음

> 구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움

[사진 4] 공제조합의 안내

3. 문의 및 답변 전문

문의

답변

안녕하세요. 데일리시큐를통해 국내 입법부 대표 정당의 개인정보 처리방침 관련 문제점을 확인하였습니다. 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인하여 기사에서 언급한 문제점과 기타 문제점이 있는지 찾아보았습니다. 모공제조합 개인정보 처리방침을 보던 중 궁금한 사항이 있어 문의 드립니다. ① 가시성 문제 개인정보 처리방침 작성 가이드라인에 따르면 정보주체가 쉽게 확인할 수 있도록 작성해야 하는 것으로 확인됩니다. 하지만, 조합의 개인정보 처리방침을 확인해보니 각 조항의 글씨 크기 및 글씨체가 큰 차이를 보이고 있어 가시성이 확보되지 않는 것으로 판단되어 문의 드립니다. ② 열람요구서, 위임장 등 다운로드 기능 부재 데일리시큐에서 확인한 기사에 따르면 열람요구서와 위임장 등을 다운로드 할 수 있는 기능이 없는 점을 문제점으로 꼽았습니다. 하지만, 일부 사이트의 경우 다운로드가 아닌 해당 파일이 위치한 경로나 개인정보보호법 시행령의 별지 서식을 사용하는 것을 안내하고 있었습니다.  조합의 경우에도 시행령 별지 서식 이용을 안내하고 있습니다. 그렇다면, 기사에서 언급한 다운로드 기능 부재의 경우는 문제점으로 선정할 수 없을것이라고 생각되어 문의 드립니다. ③ 개인정보보호법 시행규칙 단어 사용 개인정보보호법에서 행안부령으로 정하던 사항을 개인정보보호위원회가 정하여 고시하도록 변경됨에 따라 20.08.05부터 개인정보보호법 시행규칙이 전부 폐지된 것으로 알고있습니다. 조합의 경우 "개인정보 보호법 시행규칙" 또는 "개인정보보호법시행규칙" 단어를 사용하고 있는 것으로 확인되어 문의 드립니다. ④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집 개인정보 처리방침 작성 가이드라인에서는 필요한 최소한의 항목(필수항목)과 그 외 정보(선택항목)을 구분하여 기재하며, 필수항목만을 수집하는 경우에는 구분하지 않아도 된다고 안내하고 있습니다. 조합의 경우 필수 및 선택 구분을 두지않고 있으며, 수집하는 개인정보 또한 원적, 본적, 해외여행, 종교 등 불필요한 정보를 수집하고 있는것으로 판단되어 문의 드립니다. ⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항 개인정보 처리방침 작성 가이드라인에서는 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우 설치ㆍ운영 및 거부에 관한 사항을 공개하도록 되어있습니다. 조합의 경우 수집방법의 하나로 생성정보 수집 툴을 통한 수집으로만 안내를 하고있어 관련 정보가 부족하다고 판단되어 문의 드립니다.

1. 안녕하십니까? 귀하께서 국민신문고를 통해 신청하신 민원(신청번호 -)에 대한 검토 결과를 다음과 같이 알려드립니다. 2. 귀하께서는 개인정보 처리방침과 관련한 것으로 이해됩니다. 3. 귀하의 질의사항에 대해 검토한 의견은 다음과 같습니다. 가. 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과하고 있으며, 보호위원회는 개인정보의 처리방침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있습니다. 이에 「개인정보 처리방침 작성지침」은 권장 사항이며 법에서 정하고 있는 개인정보 처리방침 필수 작성항목을 법령에 따라 적정하게 작성하고 있다면 처리방침 작성지침에서 권장하는 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않습니다. 나. 개인정보 처리방침의 가시성과 관련해서 표준지침에 따르면 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하도록 하고 있습니다. 다. 열람요구서 및 위임장 다운로드 기능과 관련해서 개인정보 처리방침 작성지침이나 표준지침에서는 이 같은 기능을 추가할 것을 의무화하고 있지 않으며 개인정보처리자의 자율에 맡겨진 사항임을 알려드립니다. 라. 개인정보 보호법 시행규칙 단어 사용과 관련해서, 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경되었으므로 용어의 변경이 필요함을 안내드립니다. 마. 개인정보 수집 관련 필수, 선택항목 구분, 불필요한 정보인지 여부 및 개인정보 자동수집장치와 관련된 방식의 적합성 여부 등과 관련해서는 구체적 사실확인이 필요한 사안으로 일률적으로 답변드리기 어려운 점 양해 바랍니다. 4. 귀하의 질문에 만족스러운 답변이 되었기를 바라며, 답변 내용에 대한 추가 설명이 필요한 경우 -에게 연락주시면 친절히 안내해 드리도록 하겠습니다. 감사합니다. 끝.

 

4. 참고

[1] https://www.dailysecu.com/news/articleView.html?idxno=148012
[2] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7034
[3] https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049
[4] https://www.moleg.go.kr/lawinfo/makingInfo.mo?mid=a10104010000&lawSeq=59913&lawCd=0&lawType=TYPE5&currentPage=1&keyField=&keyWord=&stYdFmt=&edYdFmt=&lsClsCd=&cptOfiOrgCd=
[5] https://ggonmerr.tistory.com/327