[에이앤랩‘s IP매뉴얼] 개인정보처리방침, 어떻게 작성할까

법무법인 에이앤랩 김동우 변호사

[법무법인 에이앤랩 김동우 변호사] 개인정보를 취급하는 기업은 개인정보보호법 제30조에 의거 개인정보처리방침을 수립하여 공개해야 한다. 개인정보처리방침은 기업이 처리하는 개인정보의 처리기준 및 보호조치 등을 이용자가 언제나 쉽게 확인할 수 있도록 공개한 문서를 의미한다.

과거에는 개인정보취급방침이라 규정되었으나, 2016년 법개정을 통해 개인정보처리방침으로 변경됐다. 따라서 개인정보취급방침, 프라이버시정책 등은 규정에 맞지 않는 단어이므로 개정법을 고려하여 이를 수정하여 사용하는 것이 바람직하다.

일부 소규모 기업들의 경우 개인정보처리방침을 직접 작성하지 않고 한국인터넷진흥원(KISA)이나 개인정보보호포털에 있는 샘플을 그대로 가져다 쓰는 경우가 있다. 하지만 자신이 영위하고 있는 비즈니스 및 개인정보처리 형태와 연관 없는 항목이 개인정보처리방침에 들어가 있을 경우 문제가 발생할 수 있으므로 아래의 내용을 참고해 작성하는 것이 좋겠다.

반드시 들어가야 할 항목

1) 수집하는 개인정보의 항목과 목적

어떠한 개인정보를 수집(처리)하는지, 이를 수집하는 목적이 무엇인지 구체적으로 기재돼야 한다. 만약 생년월일을 수집하는 경우라면, ‘생일시에 쿠폰 제공’등 과 같은 구체적인 목적을 적는 것이 좋다. 또한 서비스 이용에 필수적인 필수 수집항목과 개인정보주체가 정보 제공 여부를 선택할 수 있는 선택 수집항목을 분리하여 기재하여야 한다.

2) 개인정보의 처리 및 보유기간

수집한 개인정보를 언제까지 처리하고 보유할 것인지를 명시해야 한다. 보통은 탈퇴시까지 또는 개인정보처리목적 달성시까지 보유한다라고 기재하며, 관련법에 의거 탈퇴 후에도 보유해야 한다면 이에 대한 내용을 추가해두는 것이 필요하다.

3) 개인정보 3자 제공에 대한 내용

개인정보처리방침에서 매우 중요한 부분이다. 수집한 개인정보를 제3자에게 제공하는 경우, 제곧받는 업체명, 제공 목적, 제공하는 개인정보 항목을 명확히 기재해야 한다. 특히나 개인정보 제3자 제공에 대한 동의 임의로 개인정보를 제3자에게 넘겨주면 처벌의 대상이 된다.

4) 개인정보의 파기절차 및 파기방법

개인정보를 파기할 때 어떤 절차와 방법으로 진행하는지를 명시해야 한다. 이때 파기는 데이터의 삭제를 의미하는 것이 아닌 재생이 불가능한 방법으로 삭제하는 것을 의미하므로 방법에 대해 상세히 기재해야 한다.

우리나라에서 가장 큰 포털인 네이버의 경우 ‘전자적 파일 형태의 경우 복구 및 재생이 되지 않도록 기술적인 방법을 이용하여 안전하게 삭제하며, 출력물 등은 분쇄하거나 소각하는 방식 등으로 파기합니다’라고 명시하고 있다.

5) 개인정보처리 위탁에 관한 사항

개인정보처리 위탁은 제3자 제공과는 명백히 구분되는 사항으로, 개인정보 처리를 위탁하는 경우 그 사항을 별도로 적어 안내해야 한다. 위탁받는 업체, 위탁목적, 위탁하는 개인정보가 포함돼야 하며, 해당사항이 없다면 생략해도 된다.

6) 정보주체와 그 법정대리인의 권리, 의무와 그 행사방법에 관한 사항

정보주체의 권리를 기재해야 하는데, 이것은 개인정보보호법에 나온 열람권, 정정권, 삭제권 등을 의미한다. 법정대리인은 만 14세 미만의 이용자에게만 적용된다.

7) 개인정보보호책임자의 성명

개인정보보호책임자는 개인정보 처리에 관한 업무를 총괄해서 책임지는 사람을 의미하는데, 최고정보보호책임자(CISO)를 기재하는 것이 일반적이다. 만약 CISO와 같은 임원이 없다면 부서장, 파트장 등과 같은 책임자를 정하면 된다.

8) 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭 및 전화번호 등 연락처

개인정보 보호업무나 관련 고충사항을 처리하는 부서를 기재해야 하고, 연락처도 기재해야 한다.

9) 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치, 운영 및 그 거부에 관한 사항

인터넷 서비스를 제공하는 업체이고 쿠키 정보를 수집해 맞춤형 콘텐츠를 제공하는 등의 서비스를 운영한다면 이를 처리방침에 기재해야 한다. 만일 쿠키 정보 등을 수집하지 않은 경우에는 생략 가능하다.

10) 개인정보의 안전성 확보조치에 대한 사항

개인정보를 보호할 수 있는 인적, 물리적, 논리적 보호조치에 대해 기입하는 항목이다. 개인정보보호에 대한 관리계획 수립, 암호화 조치, 접근통제, 보안프로그램 등 솔루션에 대한 내용이 들어가면 된다.

위와 같이 작성한 개인정보처리방침은 이용자가 언제든지 쉽게 확인할 수 있도록 홈페이지, 이메일, 사무소 등에 공개해야 한다. 아울러 개인정보처리방침을 변경하는 경우 그 이유 및 변경내용을 사전에 공지해야 한다.

앞서 강조했다시피 개인정보처리방침 작성예시 및 샘플이 존재하나, 회사의 사업특성, 개인정보 처리현황이 샘플과는 동일할 수 없는바, 개인정보처리방침 작성 및 자문 노하우를 보유한 전문가의 도움을 받아 회사의 구체적인 상황을 반영하여 작성하는 방법 역시 고려될 수 있다.

*기고 내용은 이데일리 편집 방향과 다를 수 있습니다.