개인정보보호위원회(이하 “위원회”)는 2024. 12. 31. 개인정보 처리 단계 전반에 대한 안내 사항을 담은 「개인정보 처리 통합 안내서(안)」(이하 “통합 안내서”)(링크)을 공개하였습니다.
통합 안내서는 「개인정보 처리 동의 안내서」, 「위·수탁 안내서」 등 종전 안내서들을 통합하고 최근 개정된 규정·제도를 반영한 것으로, 위원회가 작년 9월에 밝힌 필수 동의 관행의 단계적 개선[1]을 포함하여, 적법 처리 근거, 파기, 업무 위탁에 따른 개인정보 처리 제한, 영업양도 등에 대하여 종합적으로 안내하고 있습니다. 그 주요 내용은 아래와 같습니다.
|
1. |
개인정보의 수집·이용(법 제15조) 관련 |
-
(제4호) 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
통합 안내서는 본 호의 요건 충족 여부 판단 시 △ 계약이 유효하게 성립되었는지, △ 개인정보의 수집·이용에 대해 정보주체의 예측 가능성이 있는지, △ 계약의 체결 또는 이행을 위해 합리적으로 개인정보가 필요한 범위 내에 있는지 등을 종합적으로 고려해야 한다고 설명하고 있습니다.
또한, 약관도 계약에 해당될 수 있으나, 실제 제공하지 않는 서비스를 약관에 포함하는 등 그 내용에 대해 정보주체의 합의가 있었다고 볼 수 없는 경우라면 계약에 해당되지 않고, 약관에 기재된 내용이더라도 정보주체가 예상할 수 있는 서비스의 범위를 벗어났다는 등의 사정이 있다면 ‘계약 이행’을 근거로 개인정보를 수집하여 이용할 수 없다고 언급하고 있습니다.
[”계약” 관련 적법 근거 판단 시 고려 사항]
|
구분 |
주요 고려사항 |
||
|
계약의 성립 |
|
||
|
정보주체의 예측가능성 |
|
||
|
개인정보의 필요성 |
|
-
(제6호) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
통합 안내서는 본 호에 따른 개인정보 적법 처리 요건으로서, 목적의 정당성(개인정보처리자의 정당한 이익), 처리의 필요성, 정보주체의 권리와 이익형량에 대해 설명하면서, 이익형량 시 고려 요소로 △ 처리되는 개인정보의 민감한 정도, △ 정보주체가 합리적으로 기대 및 예측할 수 있는 방식으로 개인정보를 처리하는지 여부, △ 정보주체의 권리(열람청구 등) 행사 보호를 위한 수단을 잘 이행하고 있는지 여부, △ 개인정보처리자가 정보주체에 대해 고용관계 등으로 우월적 지위를 갖는지 여부 등을 고려하도록 하고 있습니다.
-
(제1호) 정보주체의 동의를 받은 경우
통합안내서는 정보주체의 ‘동의’는 자신의 개인정보가 개인정보처리자에 의해 처리된다는 사실에 대하여 충분히 내용을 인지한 상태에서 자유로운 의사에 따라 개인정보의 처리 여부 및 동의의 범위 등을 결정할 수 있어야 유효하게 성립할 수 있다고 설명하면서, 다른 적법처리근거가 있는 경우라고 하더라도 정보주체의 자유로운 의사에 따라 명시적인 동의를 받는 것은 가능하다고 부연하고 있습니다.
|
2. |
개인정보의 수집 제한(법 제16조) 관련 |
|
3. |
동의를 받는 방법(법 제22조) 관련 |
|
4. |
민감정보의 처리 제한(법 제23조) 관련 |
|
5. |
업무위탁에 따른 개인정보의 처리 제한(법 제26조) 관련 |
|
6. |
영업양도 등에 따른 개인정보의 이전 제한(법 제27조) 관련 |
한편, 위원회는 통합 안내서 외에, 기존 가이드라인·안내서를 통합·개정한 「분야별 개인정보 보호 안내서」, 「아동∙청소년 개인정보 보호 안내서」, 「생체정보 보호 안내서」, 「고정형 영상정보처리기기 설치∙운영 안내서」 등 9종의 안내서(링크)도 공개하였습니다.
위와 같은 안내서들은 법적 구속력은 없으나, 이를 통하여 위원회의 법령 해석 및 판단 기준을 가늠해 볼 수 있으므로, 업무에 참고할 필요가 있을 것으로 생각됩니다. 아울러, 통합 안내서의 경우 의견 수렴 과정에서 변경될 여지가 있으므로, 추후 최종적으로 확정·공개되는 내용을 모니터링 할 필요가 있겠습니다.
[1] 이에 대해서는 작년 9. 13.자 "개인정보보호위원회, 동의 관련 원칙 및 계획 공개" 안내(링크)를 참고 부탁드립니다.
