내 개인정보, 어디까지 보호받을 수 있을까? 개인정보 처리 완벽 정리!

안녕하세요! 요즘 개인정보 유출 사고 뉴스를 심심찮게 접하게 되면서 내 정보는 안전할까 걱정되시죠? 오늘은 우리의 소중한 개인정보가 어떻게 처리되고, 어디까지 보호받을 수 있는지 자세히 알아보겠습니다.

1. 개인정보 처리란 무엇일까요?

'개인정보 처리'는 생각보다 넓은 범위를 포함합니다. 단순히 정보를 모으는 '수집'뿐 아니라, 새로운 정보를 만드는 '생성', 다른 정보와 연결하는 '연계·연동', 기록하고 저장하고 보관하는 행위, 그리고 가공, 편집, 검색, 출력, 수정, 복구, 이용, 제공, 공개, 파기 등 개인정보에 관련된 거의 모든 행위를 말합니다 (개인정보 보호법 제2조제2호).

2. 그렇다면 '개인정보'는 뭘까요?

개인정보는 살아있는 개인에 대한 정보로, 크게 세 가지로 나눌 수 있습니다 (개인정보 보호법 제2조제1호).

• 누가 봐도 나: 이름, 주민등록번호, 사진, 영상처럼 명확하게 누군지 알 수 있는 정보
• 다른 정보와 합치면 나: 혼자서는 특정 개인을 알아볼 수 없지만 다른 정보와 결합하면 누군지 알 수 있는 정보 (예: 전화번호, 주소, 차량번호 등). 이때 '쉽게 결합'할 수 있는지는 다른 정보를 얻는 데 드는 시간, 비용, 기술 등을 고려해야 합니다.
• 가명처리된 나: 추가 정보 없이는 누군지 알 수 없도록 처리된 정보. '가명처리'는 개인정보의 일부를 삭제하거나 대체하는 방식으로 이루어집니다 (개인정보 보호법 제2조제1호의2).

3. 내 개인정보, 언제 수집하고 이용할 수 있을까?

개인정보처리자는 아래와 같은 경우에만 개인정보를 수집하고, 그 목적 범위 안에서만 이용할 수 있습니다 (개인정보 보호법 제15조제1항). 불법적인 개인정보 수집은 전체 매출액의 3% 이하 과징금 부과 대상이 될 수 있다는 점 꼭 기억하세요! (개인정보 보호법 제64조의2제1항제1호)

• 내가 동의한 경우: 이때 개인정보처리자는 수집·이용 목적, 수집 항목, 보유·이용 기간, 동의 거부 권리 및 불이익 등을 알리고 동의를 받아야 합니다 (개인정보 보호법 제15조제2항). 처리자가 당초 목적과 관련된 범위 내에서 안전 조치를 제대로 했다면 내 동의 없이도 정보를 이용할 수 있습니다 (개인정보 보호법 제15조제3항).
• 법으로 정해진 경우: 법에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우
• 공공기관 업무 수행을 위해 불가피한 경우: 예를 들어 전염병 예방을 위한 역학조사 등
• 계약 이행 등을 위해 필요한 경우: 온라인 쇼핑몰에서 물건 구매 등
• 생명, 신체, 재산 보호를 위해 필요한 경우: 응급 환자 정보 제공 등
• 개인정보처리자의 정당한 이익을 위해 필요한 경우: 단, 내 권리보다 우선해야 하고, 합리적인 범위를 넘어서는 안 됩니다.
• 공공의 안전을 위해 긴급히 필요한 경우: 대형 재난 발생 시 등

4. 개인정보처리자는 누구일까요?

업무 목적으로 개인정보 파일을 운용하며, 직접 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등을 말합니다 (개인정보 보호법 제2조제5호). 즉, 우리 정보를 다루는 거의 모든 기관과 개인이 포함됩니다.

5. 내 개인정보 이용·제공 내역, 알 수 있을까?

5만 명 이상의 정보주체에 대한 민감정보·고유식별정보 처리자, 또는 100만 명 이상의 정보주체에 대한 개인정보 처리자는 수집한 개인정보 이용·제공 내역을 정보주체에게 알려야 합니다(개인정보 보호법 제20조의2제1항, 개인정보 보호법 시행령 제15조의3제1항). 단, 통지 거부 의사를 표시한 사람, 회사 내부 직원 정보 처리, 업무상 연락처 처리, 법령상 의무 준수를 위한 이용·제공, 공공기관 업무 수행 등의 경우는 제외됩니다 (개인정보 보호법 제20조의2제1항, 개인정보 보호법 시행령 제15조의3제2항).

통지는 수집 목적, 수집 항목, 제공받은 제3자와 제공 목적, 제공 항목 등을 포함하며(개인정보 보호법 제20조의2제1항, 개인정보 보호법 시행령 제15조의3제3항), 서면, 이메일, 전화, 문자 등 쉽게 확인할 수 있는 방법으로 연 1회 이상 이뤄져야 합니다 (개인정보 보호법 제20조의2제1항, 개인정보 보호법 시행령 제15조의3제4항).

6. 개인정보 수집, 최소한으로 해야 할까?

개인정보처리자는 목적에 필요한 최소한의 개인정보만 수집해야 하며, 이를 입증할 책임도 있습니다 (개인정보 보호법 제16조제1항). 최소한의 정보 외 추가 정보 수집에 동의하지 않더라도, 재화 또는 서비스 제공을 거부당해서는 안 됩니다 (개인정보 보호법 제16조제2항, 제16조제3항). 만약 거부당할 경우, 해당 업체는 3천만 원 이하의 과태료를 물게 됩니다 (개인정보 보호법 제75조제2항제2호).

7. 내 동의는 어떻게 받아야 할까?

개인정보 처리에 대한 동의를 받을 때는 각 동의 사항을 구분해서 명확하게 알리고 동의를 받아야 합니다. 만 14세 미만 아동의 경우 법정대리인의 동의가 필요하며, 동의 없이 처리 가능한 개인정보는 따로 구분해서 알려줘야 합니다 (개인정보 보호법 제22조제1항, 제22조의2제1항·제2항, 제22조제3항). 동의를 받는 방법은 서면, 전화, 이메일, 인터넷 등 다양한 방법이 있으며, 동의 여부를 선택할 수 있다는 사실을 명확히 알려야 합니다 (개인정보 보호법 제22조제7항, 시행령 제17조제2항, 제17조제4항). 만약 이를 어길 경우 1천만 원 이하의 과태료가 부과됩니다 (개인정보 보호법 제75조제4항제3호).

8. 다른 곳에서 내 정보를 가져왔다면?

정보주체 이외의 출처에서 개인정보를 수집한 경우, 정보주체의 요구가 있다면 수집 출처, 처리 목적, 처리 정지 요구 및 동의 철회 권리 등을 즉시 알려야 합니다 (개인정보 보호법 제20조제1항). 특정 규모 이상의 개인정보처리자는 정보 제공받은 날부터 3개월 이내에 위 사항들을 알려야 하며, 이를 어길 경우 3천만 원 이하의 과태료가 부과됩니다 (개인정보 보호법 제20조제2항, 시행령 제15조의2, 개인정보 보호법 제75조제2항제2호). 단, 국가 안보 등의 특수한 경우는 예외입니다 (개인정보 보호법 제20조제4항).

9. 수집 목적과 다르게 내 정보를 이용할 수 있을까?

원칙적으로는 안 됩니다 (개인정보 보호법 제18조제1항). 하지만 정보주체의 동의를 받거나 법에 규정된 특별한 경우, 생명·신체·재산 보호 등의 긴급한 경우에는 예외적으로 목적 외 이용이 가능합니다. 공공기관의 경우, 법령상 소관 업무 수행 등을 위해 불가피한 경우에도 개인정보 보호위원회의 심의·의결을 거쳐 예외적으로 이용이 가능합니다 (개인정보 보호법 제18조제2항). 이를 위반할 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있습니다 (개인정보 보호법 제71조제2호).

내 개인정보는 소중한 자산입니다. 법이 보장하는 권리를 제대로 알고, 안전하게 보호받으세요!