[개인정보보호 체크리스트]

1. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기

개인정보파일의 경우 많이 보유하고 있으면 있을수록 홍보나 마케팅에 활용할 수 있는 활용도가 높아 쉽게 파기하지 못하고 가지고 있는 중소기업들이 많다. 특히 이벤트 업체나 홍보·마케팅 업체의 경우 한번 수집한 개인정보를 쉽게 파기하지 않는다. 하지만 정보주체의 동의를 받았다고 하더라도 개인정보보호법이 발효되면 이러한 개인정보 역시 보유·이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 만약 컴퓨터에 저장된 문서로 가지고 있는 경우라면 로우 레벨 포맷이나 삭제 소프트웨어를 사용해 처리해야 한다.

2. 개인정보파일은 DB보안 프로그램이나 안전한 방법을 사용하여 보관

개인정보파일은 유출되었을 때 명의도용·불법마케팅·피싱 등에 악용될 수 있으므로 안전한 방법으로 보관하여야 한다. 안전하게 보관하기 위해서는 데이터베이스보안 프로그램을 사용해 암호화하여 보관하는 것이 가장 좋은 방법이다.

3. 계약철회서·청약철회서·분쟁처리문서처럼 꼭 보관해야 하는 경우에는 예외사항 준수

기업이 고객의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않다면 불이익을 당할 수도 있는 문서를 보관해야 하는 경우에는 법률에서 지정한 예외사항을 숙지하고 이를 준수하는 것이 좋다. 계약·청약철회 등에 관한 기록은 5년, 대금 결제 및 재화 등의 공급 기록은 5년, 소비자 불안·분쟁처리관등의 기록의 경우에는 3년을 보관할 수 있다.

4. 개인정보보호에 관한 지침문서를 명확하게 구비

개인정보보호관련 문서를 명확하게 구비 하지 않았다면 개인정보가 유출되는 만약의 사태에 막중한 손해배상책임을 질 수 있다. 그렇기 때문에 기업에 개인정보 열람 청구서, 개인정보정정, 삭제 요구서를 비치하고 인터넷 웹사이트의 경우 회원정보 열람 정정메뉴, 회원탈퇴메뉴, 주문내역확인메뉴를 쉽게 찾을 수 있도록 하는 것이 좋다.

5. 개인정보가 필요하지 않은 민간업체의 경우 무분별한 개인정보 수집 자제

예를 들어 인터넷쇼핑의 경우 물품을 구매하는데 있어 주민등록번호나 생년월일은 필요치 않다. 이러한 정보는 다른 정보와 결합되었을 때 개인을 알아 볼 수 있는 정보에 해당하기 때문에 수집 시 암호화가 필요하다. 암호화를 해야 할 경우 업체에서 비용 부담이나 서버에 부담이 많이 가기 때문에 꼭 필요치 않을 경우에는 주민등록번호 등의 개인정보를 수집하지 않도록 하는 것이 현명하다.

6. 개인정보의 위탁 시 고객에게 동의를 구해야 하며 유출 사고 시 책임 배상

개인정보보호법이 시행되면 개인정보를 위탁할 때 고객들에게 동의를 구해야 한다. 예를 들어 만약쇼핑몰 측에서 택배회사에 고객의 개인정보를 위탁하고 배송을 의뢰한 경우라면 고객에게 택배회사로 개인정보가 위탁된다는 사실을 알리고 동의를 구해야 한다. 또한 택배회사의 잘못으로 인해 고객의 개인정보가 유출되어 피해가 발생한 경우, 과거에는 택배회사의 잘못이었지만 개인정보보호법이 실행되면 개인정보를 맡긴 업체 즉 수탁자가 손해배상을 해야 하므로 더 각별한 주의가 필요하다.

[개인정보보호 이해를 돕기 위한 Q&A]

Q. 소규모의 홍보대행사의 경우, 자신의 회사가 보유하고 있는 기자리스트를 어떻게 처리해야 법에 저촉되지 않고 합법적으로 사용할 수 있나요?

A. 보유하고 있는 기자리스트의 경우 기자의 동의 하에 수집된 개인정보라면 큰 문제는 없다. 그러나 기자의 동의 없이 무단으로 수집·이용되었다면 문제의 원인이 될 수 있다. 또한 기자의 동의 하에 수집된 개인정보라 하더라도 본래의 목적에 맞지 않는 사용은 금해야 하며 개인정보가 포함되어 있다면 암호화하여 보관해야 한다. 물론 이는 일반 기업의 고객리스트 역시 마찬가지다.

Q. 설문조사를 대행해주는 회사의 경우, 그 동안 서면으로 진행한 설문조사의 문서자료를 어떻게 처리해야 하나요?

A. 설문조사의 경우 정보주체에게 개인정보 활용에 대한 명확한 동의를 받았다면 큰 문제가 생기지 않는다. 하지만 동의를 받은 개인정보의 수집 이용목적을 달성하였을 경우나 동의를 받은 개인정보의 보유 이용기간이 끝난 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 만약 컴퓨터에 저장된 문서로 가지고 있는 경우라면 로우 레벨 포맷이나 삭제 소프트웨어를 사용해 처리해야 한다.

Q. 보험회사 근무자는 지금까지의 보험계약철회서를 파기해야 하나요?

A. 계약·청약 철회서의 경우 개인정보보호법에서 정하고 있는 파기원칙에서 예외가 될 수 있다. 바로 전자상거래 등에서의 소비자 보호에 관한 법률이 적용되기 때문인데 이럴 경우에는 기록을 5년간 보관할 수 있도록 법에서 정하고 있다.

Q. 택배회사에 위탁해 제품을 배송하는 인터넷 쇼핑몰의 경우에는 운송사고 등의 발생 시 책임이 없나요?

A. 택배회사의 경우 택배를 의뢰하는 회사로부터 고객의 개인정보파일을 넘겨받아 배송업무를 처리하게 된다. 예전에는 배송업무를 처리하는 과정에서 발생하는 개인정보유출관련 사고는 택배회사나 택배기사의 잘못으로 마무리 되는 경우가 많았다. 하지만 개인정보보호법이 시행되면 고객의 개인정보파일을 택배회사에 위탁할 때 고객의 동의를 구해야 함은 물론 배송과정에서 발생하는 개인정보유출사고에 관한 고객의 손해배상까지 책임을 질 수 있기 때문에 꼼꼼한 관리가 필요하다.

Q. 개인정보보호 책임자를 지정해야 한다고 하는데 모든 기업에 적용이 되는 건가요?

A. 모든 기업에 적용되는 부분은 아니다. 공공기관 및 상주하는 종업원 수가 50명 이상이며 개인의 정보를 처리하는 경우에 한해 개인정보보호책임자를 지정하면 된다. 하지만 전문적인 지식과 기술을 가지고 있지 않은 책임자를 지정할 경우 오히려 개인정보보호에 대한 문제가 생길 수 있어 정말 실효성이 있을지는 의문이다.