기존의 관행이 어떻게 바뀔지 예측하기 어려워 이에 대한 대비를 할 수가 없어서다. 이에 최근 열린 개인정보전문가협회에서 나온 질문을 중심으로 기업이 해석하기 쉽지 않은 개정안의 내용을 짚어봤다. 질문에 대한 답변은 개인정보위원회의 답변을 재구성했다.
Q. 동의 없이 개인정보 수집할 수 있는 요건 중 ‘불가피하게 필요한 경우’에서 ‘불가피하게’라는 단어가 삭제됐다. 우리 회사의 경우 근로계약을 이행할 때 직원들의 출입 기록이나 재택근무 시 업무 시스템 접속 기록 등을 동의 없이 수집하고 있는데, 개정안이 시행되면 이제 직접 동의를 받아야 하나.
A. 그렇지 않다. 오히려 회사 입장에서는 동의 없이 수집할 요건이 확대됐다고 보면 된다. 근로계약과 관련해 불가피하게, 라는 문구가 삭제되면서 근로자 지원 등을 위해 개인정보를 수집할 요건은 확대됐다. 다만, 이것이 꼭 필요한 사항인지 입증 책임은 사업주가 지게 되는 것이다.
Q. 필수동의를 삭제하고 맞춤형 광고 등은 나중에 추가 동의를 받는다고 하는데, 유럽에서 보면 맞춤형 광고에 대한 내용을 약관에 포함하고, 이를 계약에 따라 제공하는 서비스라고 주장하는 사례가 있었다. 개정안에서는 이를 약관을 계약에 의한 이행으로 볼지 자체적인 기준을 마련할지 궁금하다.
A.페스북의 운영사인 메타가 맞춤형 광고에 개인정보를 활용한 것에 제재를 가한 사례를 보면, 해당 사례가 개인정보처리 방침 규정에 맞지 않았기 때문이다. 앞으로도 약관에 포함된 사실보다는 개인정보 처리 방침에 따라 적절성을 평가하고 불합리하다고 판단하면 개선 등 조치를 내릴 계획이다.
Q. 동의 없이 처리할 수 있는 개인정보에 대해서는 처리방침을 공개하는 것이 의무인데, 어떤 내용을 담아야 하며 어떤 것들을 준비해야 하는가.
A. 동의 없이 처리할 수 있는 개인정보는 시행령에 평가 대상과 기준 등을 신설할 계획이다. 기호나 도표, 그래프 등을 활용해 정보 주체가 알기 쉽게 작성했는지 여부 등을 기준으로 정할 계획이고 세부적인 절차 등은 고시에 마련할 계획이다. 사업 유형별, 처리 지침별로 개인정보 처리방침을 만들 예정으로, 법이 시행되면 유형별 표준 규정 등을 공개하기 때문에 사업 특성에 따라 지침을 참고해 업데이트하면 된다.