[이현섭의 스타트업 법률가이드] #96. 개인정보처리방침 작성 시 체크리스트
각종 서비스를 온라인으로 제공하고 있다면 대부분 이용자의 개인정보를 수집 및 처리한다고 볼 수 있습니다. 그렇기 때문에 이용자들이 사이트나 모바일 앱을 방문하여 서비스를 이용하고자 한다면 ‘개인정보처리방침’ 이라는 항목을 확인하고 동의하도록 안내하는 경우가 대다수입니다.
이번 글을 통해, 개인정보처리방침을 작성 및 게시함에 있어 사업자(기업)가 체크할 필요가 있는 사항들에 대해 설명하려고 합니다.
사업자(법인 또는 개인)가 ‘개인정보처리자’에 해당하는지
개인정보처리방침을 수립 및 공개할 법률상 의무를 부담하는 주체는 ‘개인정보처리자’입니다(개인정보 보호법 제30조 제1항). 즉, 개인정보처리자가 아니면 굳이 개인정보 처리방침을 만들 의무가 없습니다.
개인정보처리자는 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’으로 정의됩니다(개인정보 보호법 제2조 제5호).
이처럼, 법인이 아닌 개인사업자라도 자신의 영업과 관련하여 고객목록 등을 작성하여 타인의 개인정보를 관리하는 이상 개인정보처리자에 해당하여 개인정보 처리방침 작성 의무를 부담합니다. 한편, 당연한 이야기지만 일반 개인이 업무와 무관하게 지인들의 연락처를 휴대전화 또는 컴퓨터를 통해 보관, 관리하는 경우는 개인정보 처리방침 작성의무가 발생하지 않습니다.
온라인 서비스와 관련하여 이용자의 개인정보를 처리한다면, 이는 특별한 사정이 없는 이상 서비스 제공자(운영자)의 업무 목적이 있다고 볼 것입니다. 해당 서비스 제공자는 개인정보처리자에 해당하며, 개인정보 처리방침을 수립 및 공개할 의무를 부담한다고 보아야 할 것입니다.
법률상 필수적인 내용이 개인정보처리방침에 모두 포함되어 있는지
현행 개인정보 보호법(2023. 2. 15. 기준)에 의하면 개인정보처리방침에는 이하의 각 내용이 포함되어 있어야 합니다(개인정보 보호법 제30조 제1항, 동법 시행령 제31조 제1항)
1) 개인정보의 처리 목적
2) 개인정보의 처리 및 보유 기간
3) 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함)
4) 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
5) 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
6) 처리하는 개인정보의 항목
7) 개인정보의 안전성 확보 조치에 관한 사항
8) 개인정보의 제3자 제공에 관한 사항(해당사항이 있는 경우)
9) 개인정보처리의 위탁에 관한 사항(해당사항이 있는 경우)
10) 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당사항이 있는 경우)
개인정보처리방침을 인터넷 홈페이지에 적법한 방식으로 게시하였는지
개인정보처리방침은 정보주체(통상 이용자)가 쉽게 확인할 수 있도록 개인정보처리자의 홈페이지에 지속적으로 게재하여야 합니다(개인정보 보호법 제30조 제2항, 동법 시행령 제31조 제2항).
만약 사업자가 오프라인으로만 영업을 하여 홈페이지 혹은 모바일 앱을 별도로 운영하지 않는 경우에도 개인정보처리방침을 사업장등의 보기 좋은 장소에 게시하거나 계약서 등에 포함시켜 정보주체에게 전달하는 등 다른 방식으로 개인정보 처리방침을 전달할 의무가 존재합니다(개인정보 보호법 제30조 제2항, 동법 시행령 제31조 제3항).
개인정보처리방침의 구체적인 내용이 적법하게 작성되었는지
개인정보처리방침은 사업자가 제공하는 서비스의 내용 및 그에 따라 처리되는 개인정보의 활용 범위와 절차가 달리 규정되어야 합니다.
예를 들면, 1) 개인정보의 전부 또는 일부를 외주업체에 위탁하여 CS 또는 배송 등 업무를 처리하는지, 2) 개인정보 처리에 있어 해외 클라우드 서비스를 이용하는지, 3) 수집한 개인정보를 서비스 제공 목적 이외에 마케팅 또는 관계회사 사업 등 다른 목적에 사용하고자 하는지, 4) 주민등록번호, 건강정보 등 민감정보를 처리하여야 하는지 등 구체적인 사안에 따라 개별적으로 고려하여야 할 요소들이 다수 존재합니다.
이와 관련하여, 새로이 개인정보 처리방침을 작성하고자 하는 사업자로서는 동종 유사 사업을 영위하는 기존 업체의 개인정보 처리방침의 기재 내용을 1차적으로 참고할 수 있을 것입니다.
하지만 동종 영업이라고 할지라도 서비스 자체가 완전히 동일할 수 없는 점에서 잘못된 내용이 포함되는 문제 발생을 막기 위해 개인정보처리방침 내용에 대한 세부적인 검토가 필요하며, 그에 대하여는 법률전문가의 자문을 받으시는 것을 권고 드립니다.
-원문: [스타트업 법률가이드] #96. 개인정보처리방침 작성 시 체크리스트
-글: 이현섭 변호사 (법무법인 세움 파트너 변호사)