개인정보보호위원회(이하 “위원회”)는 지난 2024. 12. 31. 개인정보 처리 시 준수 사항을 안내하기 위하여 ‘개인정보 처리 통합 안내서’ 초안[1]을 마련하고 의견 수렴 등 절차를 진행해왔는데, 2025. 7. 14. 그 내용이 확정된 ‘개인정보 처리 통합 안내서’(이하 “본 안내서”)가 공개되었습니다.(링크)
본 안내서는 ‘개인정보 보호법’ 제1조, 제3조, 제6조, 제15조 내지 제19조, 제21조 내지 제24조의2, 제26조, 제27조에 관한 위원회의 해석 기준 및 심의·의결례, 관련 판례 등을 다루고 있으며, 이에 따라 종전의 ① ‘알기 쉬운 개인정보 처리 동의 안내서’, ② ‘개인정보 처리 위·수탁 안내서’, ③ ‘개인정보 보호조치 안내서’, ④ ‘자동처리되는 개인정보 보호 가이드라인’은 폐지되었습니다. 본 안내서의 주요 내용은 아래와 같습니다.
|
1.
|
개인정보 수집·이용 시의 적법 근거 (제15조)
본 안내서는 실무상 활용도가 높은 ‘정보주체의 동의’, ‘계약 체결 및 이행’, ‘정당한 이익’ 등 개인정보 수집·이용의 적법 근거에 대해 구체적인 설명을 제시하고 있습니다.
(제1호) 정보주체의 동의를 받은 경우
본 안내서에서는 ‘동의와 다른 적법 처리 근거의 관계’에 관하여 다음과 같이 설명하고 있습니다.
-
다른 적법 처리 근거가 있는 경우라 하더라도 정보주체의 자유로운 의사에 따라 명시적인 동의를 받는 것은 가능하나, 정보주체가 자유로운 환경에서 동의 여부를 결정할 수 없는(정보주체의 선택권을 보장할 수 없는) 상황이라면 동의보다는 다른 적법 처리 근거를 채택해야 함
-
다른 적법 처리 근거에 따라 개인정보를 처리할 수 있음에도 정보주체에게 동의를 받으려는 경우에는, 동의하지 않더라도 다른 적법 처리 근거에 따라 개인정보의 처리가 가능하다는 점을 고려하여 해당 적법 처리 근거, 개인정보 수집·이용 목적, 수집·이용 항목 등을 정보주체에게 알림으로써 예측 가능성을 높이고 적법성을 더 강화하는 것이 바람직함
(제4호) 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
서비스 이용 계약을 체결하거나 이행하기 위해 필요한 개인정보는 정보주체가 충분히 예측 가능한 범위 안에 있으므로 별도로 동의를 요구하지 않고 수집·이용할 수 있는데, 이와 관련하여 본 안내서는 개인정보의 수집·이용에 관한 사항을 이용약관 등에 포함하였더라도 그 수집·이용의 목적이 서비스와 무관하다면 ‘계약 이행을 위해 필요한 경우’로 보기 어려우므로 별도로 정보주체의 동의를 받아야 한다고 안내하고 있습니다.
또한, 본 안내서는 ‘정보주체와 체결한 계약을 이행하기 위해 필요한 경우’에 관한 사례를 안내하고 있으며, 초안에는 포함되어 있지 않았던 아래 사례들이 추가되었습니다.
- 서비스 이용자로부터 민원이 제기되어 이를 접수하여 처리하기 위한 목적으로 정보주체의 이름, 연락처 등 정보를 수집하여 이용하는 경우
- 정보주체의 출입 의사와 시설 관리자의 출입 및 이용을 허용하는 의사가 합치되는 상황에서, 건물이나 시설의 출입 또는 시설 이용 및 대관을 위해 정보주체의 이름, 연락처 등 정보를 이용하는 경우
- 뉴스레터 구독 신청에 따라 체결된 계약 이행을 위해 뉴스레터 발송에 필요한 이메일 주소를 이용하는 경우
- 교육서비스 이용계약에 따라 교육의 수강 및 이력관리를 위해 수강생의 이름, 연락처, 수강내역 등 정보를 수집하여 이용하는 경우
|
(제6호) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
본 안내서는 개인정보자기결정권과 개인정보처리자의 정당한 이익을 함께 고려하여 개인정보를 처리할 수 있도록, 아래와 같은 법률 요건 및 고려 사항을 안내하고 있습니다.
| 법률 요건 |
주요 고려사항 |
| 목적의 정당성 |
- 목적(개인정보처리자의 정당한 이익)의 범위, 구체성 및 명확성
|
| 개인정보 처리의 필요성 |
- 개인정보처리자의 이익 달성을 위한 합리적인/덜 침해적인 다른 수단의 존재 여부
- 필요 최소한의 개인정보 수집에 해당하는지 여부
|
| 정보주체 권리와의 이익형량 |
- 처리되는 개인정보의 민감한 정도
- 정보주체의 합리적인 기대 및 예측 가능성
- 개인정보 처리 방식
- 정보주체의 권리 행사 보호를 위한 다른 수단의 이행 여부
- 개인정보처리자가 정보주체에 대해 우월적 지위를 갖는지 여부
|
또한 본 안내서는, 계약이 종료된 경우에는 더 이상 제4호를 근거로 삼을 수 없고, 개인정보를 계속해서 수집·이용할 정당한 이익이 있는지, 이를 위해 개인정보가 필요한지, 정보주체의 권리보다 명백하게 우선하는지 등에 따라 제6호의 적용을 고려해야 한다고 설명하고 있습니다.
아울러, 본 안내서는 ‘개인정보처리자의 정당한 이익을 근거로 수집·이용 가능한 경우’ 에 관한 사례를 안내하고 있는데, 초안에는 포함되어 있지 않았던 아래 사례들이 추가되었습니다.
- 개인정보처리자가 제공하는 서비스의 안전한 제공을 위해 서비스에 접속하는 이용자의 접속기록 등의 정보를 부정 이용 등을 방지하기 위한 부정행위탐지시스템(FDS) 운영을 위해 수집하여 이용하는 경우
- 병원 응급실 등에서 폭행·난동 발생 시 병원 관계자가 업무목적으로 현장영상을 스마트폰으로 촬영(폭행·난동의 주체가 정보주체)하여 개인정보를 수집하여 증거자료로서 이용하는 경우
- 공공주택 관리사무소의 자제 요청에도 불구하고 입주민의 폭언·폭행 위협이 지속되어 사전고지 후 녹음·촬영하는 경우
|
|
|
2.
|
개인정보의 추가적 이용 및 제공 (제15조 제3항 및 제17조 제4항)
본 안내서는 2023년 개정된 ‘개인정보 보호법 시행령’을 반영하여, 당초 개인정보를 수집한 목적과 합리적으로 관련되는 범위 안에서 개인정보를 추가적으로 이용하거나 제공하려는 경우 그 이용 또는 제공이 지속적으로 이루어진다면 개인정보 처리방침에 판단기준을 미리 공개해야 하지만, 일시적이라면 별도의 공개 없이 자체 판단기준에 따라 추가적 이용 및 제공이 가능하게 되었다는 점을 안내하고 있으며, 이와 관련하여 “인터넷 쇼핑몰 운영 사업자가 회원에게 A/S를 효율적으로 제공하기 위해 예측 가능한 범위 내에서 상담서비스를 제공하는 경우에는 당초 수집한 개인정보를 인공지능 챗봇 상담기능 개선을 목적으로 이용할 수 있다”는 설명을 추가하였습니다.
|
|
3.
|
전문 수탁자에 대한 위탁자의 의무 이행 방식 (제26조)
본 안내서는, 다수의 위탁자로부터 개인정보 처리 업무를 위탁받아 전문적으로 처리하는 수탁자(전문 수탁자)의 경우, 수탁자가 위탁 받은 개인정보 처리 업무에 대해 전문적인 관리기관(예: 개인정보 보호 인증(ISMS-P), 클라우드서비스 보안인증(CSAP), 개인정보보호책임자 협의회)과 연계하여 주기적으로 점검하고 그 결과를 다수의 위탁자에게 알리는 방식으로 관리·감독 등의 의무사항을 이행할 수 있다고 안내하고 있습니다.
다만, 이를 위해 전문 수탁자는 관리 점검 체계 등에 대해 사전에 위탁 문서에 기재하고 다수의 위탁자와 감독 관계를 명시하여야 합니다. 예를 들어, 클라우드 사업자는 “표준 개인정보 위·수탁 계약서”를 마련하여 다수의 위탁자와 문서로 위·수탁 계약을 체결하면서 해당 계약서에 ‘교육’, ‘관리·감독’에 관한 사항을 구체화하고 이를 시행한 후 다수의 위탁자에게 그 결과를 알리는 방식으로 의무사항을 이행할 수 있습니다.
|
본 안내서는 법·제도에 대한 위원회의 해석·판단 기준을 종합적으로 파악할 수 있는 자료입니다. 따라서 개인정보의 적법 처리 근거, 전문 수탁자에 대한 위탁자의 관리·감독 의무 이행 방식 등 본 안내서를 통해 제공된 설명들을 유의하시고 업무에 참고하실 필요가 있습니다.
[1] 안내서 초안에 대해서는 지난 2025. 1. 22.자 뉴스레터(링크)를 통하여 안내해드린 바 있습니다.
[영문] Personal Information Protection Commission Announces Final Consolidated Guidelines on Personal Information Processing
