본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

개인정보 처리방침 작성, 어렵지 않아요!

2023.12.13

인터넷을 이용하다 보면 사이트 하단이나 게시판에 게시된 개인정보 처리방침을 쉽게 접할 수 있습니다. 개인정보 처리방침은 이용자가 안심하고 서비스를 이용할 수 있도록 기업/사업자가 준수해야 할 지침을 의미하며, 개인정보보호법 제30조에 따라 모든 개인정보처리자는 개인정보 처리방침을 수립 및 공개할 의무가 있습니다. 개인정보 보호법에서는 개인정보 처리방침에 반드시 포함해야 할 내용을 [그림 1]과 같이 규정하고 있습니다. 이번 글에서는 개인정보 처리방침 작성 시 놓치기 쉬운 부분들을 짚어보고, 올바른 작성 가이드를 소개해 드리겠습니다.

[그림 1] 개인정보 처리방침 기재사항_개인정보 처리방침 작성 지침 (일반)

개인정보 처리방법 작성 시, 놓치기 쉬운 3가지

1. 개인정보 수집 동의와 개인정보 처리방침 내용은 일치시킬 것!

개인정보처리자는 정보주체의 동의를 받은 경우에만 개인정보를 수집할 수 있습니다. 수집 동의 문구에는 수집 목적, 항목, 보유 및 이용 기간, 동의 거부 관련 내용이 포함돼야 합니다. 개인정보 처리방침 또한 이와 유사한 목적, 항목, 처리 및 보유 기간 등이 명시돼야 합니다. 즉, 개인정보 처리방침은 개인정보 수집 동의와 문구의 내용이 일치하도록 작성해야 합니다.

예시로 A사의 예약 시스템 사례를 살펴보겠습니다. 해당 시스템은 사용자가 홈페이지를 통해 회원가입을 신청하면, 운영담당자가 전화로 본인확인을 거쳐 최종 승인하는 절차로 개인정보를 수집하고 있었습니다. 하지만 홈페이지에 게시된 개인정보 처리방침에는 온라인 회원가입 관련 정보만 명시돼 있을 뿐, 오프라인 개인정보 수집에 관한 내용은 대부분 누락돼 있었습니다. 이와 같이 다수의 수집 경로가 존재할 경우에는 경로별 내용이 빠짐없이 기재되었는지, 개인정보 수집 동의 문구와 다르게 기재된 내용이 없는지 확인해야 합니다.

2. 클라우드 환경 내 해외 리전(Region, AWS 서비스가 제공되는 서버의 물리적인 국가/도시 단위의 위치) 사용 시 국외 이전을 고지할 것!

시스템 구축 환경이 On-Premise(소프트웨어를 서버에 직접 설치해 쓰는 방식) 방식에서 클라우드로 전환되며 기존 데이터 센터에 저장되던 개인정보가 클라우드로 이동되었습니다. 클라우드에서 시스템을 구축하는 경우, 서비스 특성에 맞는 리전을 선택하게 됩니다.

중요도가 높은 시스템의 경우, 재해ᆞ재난 대비를 위해 리전에 DR(Disaster Recovery, 지진, 화재, 테러 등의 재해 속에서도 서비스가 유지되도록 도와주는 시스템)을 구축하며, 이를 통해 서비스의 가용성을 보장합니다. 이 경우 해외 리전을 사용하게 되며, 이는 국외 이전에 해당됩니다. 개인정보 보호법 28조의 8에 따르면 개인정보를 국외 이전하는 경우 정보 주체의 동의를 받아야 하지만, 예외적으로 동의를 받지 않아도 되는 상황을 명시하고 있습니다.

[그림 2] 개인정보 보호법 제28조의 8

클라우드 환경에서 해외 리전을 사용하는 경우[그림 2]의 내용에 해당됩니다. 따라서 별도 동의를 받지 않더라도 개인정보 처리방침 내 고지로 대체할 수 있습니다. 고지에는 개인정보보호법 개정안에 따라 ‘개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과’에 관한 내용이 포함돼야 합니다.

3. 개인정보 보호 책임자 및 권익 침해 구제 기관을 기재할 것!

개인정보 보호 책임자는 개인정보처리자의 전체 개인정보보호를 총괄하는 책임자로, 개인정보 처리방침에는 개인정보 보호 책임자의 성명, 부서명, 연락처(전화번호, 이메일, FAX)를 기재해야 합니다. 반드시 개인 연락처를 기재할 필요는 없으며, 개인정보 보호 책임자의 소속 부서 연락처를 기재해도 무방합니다.

마지막으로 정보주체의 권익 침해 시 구제방법 안내를 위해 전문기관, 수사기관 정보를 아래와 같이 기재해야 하며, 최신 정보가 기재됐는지 확인해야 합니다.

[그림 3] 권익침해 구제방법 작성 예시_개인정보 처리방침 작성지침(일반)

개인정보 처리방침 이제 올바르게 작성하세요!

지금까지 개인정보 처리방침 작성 시 주의해야 할 사항에 대해 알아보았습니다. 개인정보 처리방침 작성이 어려운 개인정보처리자들을 위해 개인정보 포털에서는 ‘개인정보 처리방침 만들기’ 서비스를 제공하고 있습니다. 해당 서비스를 이용한다면 사업 목적과 범위에 맞는 개인정보 처리방침을 보다 쉽게 작성할 수 있습니다. 올바른 개인정보 처리방침 작성으로 정보 주체의 개인정보가 어떻게 처리되는지 투명하게 공개하고, 개인정보 원칙을 준수하시기 바랍니다.

글 ㅣ LG CNS 보안/솔루션 사업부 통합보안센터 RED팀 원예종

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

목록

관련 아티클

챗봇과 대화를 할 수 있어요