[파이낸셜데일리 이정수] 정부가 2023년 전면 개정된 개인정보보호법을 기업·기관 등 개인정보처리자가 알기 쉽도록 사례 중심으로 설명한 '개인정보 처리 통합 안내서'를 공개했다. 시기별로 수차례 나눠 안내했던 개정사항과 판례·심결례 등을 정리한 것으로 이달 말 현장 설명회도 열 예정이다.

개인정보보호위원회는 14일 '개인정보 처리 통합 안내서'를 공개하고 오는 29일 서울 송파구 한국광고문화회관에서 개인정보 담당자 대상 현장 설명회를 연다고 밝혔다.

통합 안내서에는 ▲개인정보 처리 체계 개편사항 ▲필수동의 방식의 고지방식 전환 ▲자유로운 의사에 따른 동의 방법 ▲대규모 수탁자와 위탁자 간 관리·감독 방식 ▲영업양도에 따른 이전 제한 ▲개인정보를 제공받은 자의 의무 등을 담았다.

서비스 이용 계약을 체결하거나 이행하기 위해 필요한 개인정보는 정보 주체가 충분히 예측 가능한 범위 안에 있으므로 별도로 동의를 요구할 필요가 없다. 서비스 이용 계약 이행과 관계없는 개인정보 처리에 관한 사항을 종전처럼 필수동의에 포함해 계속 운영할 경우에는 동의를 강제하게 돼 법 위반이 될 수 있다.

이전 법에서는 코로나19와 같이 공중위생 등 공공 안전을 위해 긴급하게 필요한 경우 보호법 내 개인정보 처리 의무 규정을 적용 제외했다. 2023년 법 개정을 통해 별도 동의 없이도 개인정보 수집·이용과 제공이 가능하도록 하면서도 개인정보가 안전하게 관리되도록 안전조치와 파기 의무 등은 준수하도록 의무화했다.

2023년 시행령 개정으로 개인정보를 수집한 목적과 합리적으로 관련되는 범위 안에서 개인정보를 추가적으로 이용하거나 제공하려는 경우, 그 이용 또는 제공이 지속적인 경우에는 개인정보 처리방침에 판단기준을 미리 공개해야 한다. 하지만 일시적인 경우 별도 공개 없이 자체 판단기준에 따라 추가적 이용·제공이 가능하게 됐다.

최근 언론을 통해 보도되고 있는 판례 중 수능 감독관이 수험생 개인정보를 사적 목적으로 이용(연락)한 행위에 대한 대법원 무죄 판결 내용도 소개했다. 해당 판례는 이전 법에 따라 판결한 것이므로 2023년 법 개정을 통해 개인정보를 사적으로 이용하는 행위는 형벌 대상에 포함됐다는 점을 안내해 현장에서의 오해가 없도록 했다.

기업이 경영상 사유로 폐업, 파산 등의 상황에 처해 보유하고 있던 개인정보가 불필요하게 됐을 때는 지체 없이 해당 개인정보를 파기하도록 안내했다. 개인정보 처리의 기초적인 관계인 계약·서비스 등이 종료된 경우에는 개인정보 처리 목적이 달성된 것으로 볼 수 있으며 달성된 목적 범위에서 파기 의무가 발생한다.

클라우드, 웹 호스팅, 채용 등 다양한 분야에서 개인정보 처리 업무를 위탁받아 전문적으로 처리하는 수탁자가 증가하고 있는 점을 반영해 위탁자와 수탁자가 안전하게 개인정보를 협력해 처리할 수 있도록 이행 방법을 안내했다.
 

수탁자가 위탁받은 개인정보 처리 업무에 대해 전문적인 관리기관과 연계해 주기적으로 점검하면서 그 결과를 다수 위탁자에게 알리는 방식으로 관리·감독 등의 의무사항을 이행할 수 있다는 점을 명확히 했다.

이정렬 개인정보위 사무처장은 "개인정보 처리 통합 안내서는 현장 수요에 맞춰 실무에서 도움이 될 수 있도록 법 개정사항과 판례·심결례 등의 사례를 충실히 담았고 앞으로도 계속하여 보완해 나갈 것"이라고 밝혔다.

한편 29일 열릴 설명회에는 AI 시대 개인정보 규율체계 혁신, 지속가능한 신산업 혁신기반 마련 등 개인정보위 올해 주요 정책방향도 소개할 계획이다.