1. 개인정보보호위원회 2024년도 개인정보 처리방침 평가 분야 및 평가 대상 선정

개인정보보호위원회(이하 ‘개인정보위’)는 2024년 6월 12일(수) 제10회 전체회의를 열고 2024년도 개인정보 처리방침 평가계획을 심의∙의결하였습니다. 2024년도 개인정보 처리방침 평가 분야는 ① 빅테크, ② 온라인 쇼핑, ③ 온라인 플랫폼(주문∙배달, 숙박∙여행), ④ 병∙의료원, ⑤ 온라인 동영상 서비스(OTT), ⑥ 엔터테인먼트(게임, 웹툰), ⑦ AI 채용 등 7분야입니다.

* 각 평가 분야 별 구체적인 평가 대상 기관에 대해서는 [여기]를 클릭하시기 바랍니다 .

2. 평가권한의 근거 및 평가 기준

개인정보위의 개인정보 처리방침 평가권한은 2023년 9월 15일부터 시행된 개정 개인정보 보호법 제30조의2에 근거한 것으로, 그 평가 기준은 다음과 같습니다.

→ 평가 기준 (개인정보 보호법 제30조의2 제1항 참조)

① (적정성) 개인정보 보호법상 법정 기재사항을 적정하게 정하고 있는지 여부
② (가독성) 알기 쉽게 작성하였는지 여부
③ (접근성) 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

3. 위반시 제재

개인정보위는 개인정보 처리방침 평가 결과 개선이 필요하다고 인정하는 경우 개인정보처리자에게 개인정보 보호법 제61조 제2항에 따라 개선을 권고할 수 있습니다(개인정보 보호법 제30조의2). 또한 개인정보위는 개인정보 보호법 제61조에 따른 개선권고의 내용 및 결과에 대하여 공표를 할 수 있습니다(개인정보 보호법 제66조).

4. 시사점

[Risk 상 – 평가 기준 ② 가독성]

보건∙의료 분야의 경우, 특히 (i) 주로 민감정보를 처리하고 있다는 점, (ii) 정보주체의 동의 외에도 의료법, 응급의료에 관한 법률과 같은 법률에 근거하여 개인정보를 처리하는 경우가 많은 점, (iii) 비정형데이터가 많다는 점 등의 특수성이 있습니다. 이에 위 2.에서 언급한 개인정보 보호법 제30조의2 제1항에 따른 평가 기준에서 주로 문제될 만한 사항은 ② 가독성 부분일 것으로 사료됩니다.

⇒ Solution: 개인정보위에서 2024년 4월 개인정보 처리방침 작성지침을 개정하였습니다. 해당 작성지침의 <작성 예시> 부분을 잘 참고하여 개인정보 처리방침 개정이 중요할 것으로 생각됩니다.

* 개인정보위의 2024년 4월 개인정보 처리방침 작성지침이 필요하신 경우 [여기]를 클릭하시기 바랍니다 .

[Risk 중 – 평가 기준 ① 적정성]

개인정보위는 보건∙의료 분야에서 총 5개 기관을 선정하였습니다. 그러나 평가 대상에 선정되지 않았더라도, 여전히 개인정보 보호법 제30조에 따라, 법정 기재사항을 포함한 개인정보 처리방침을 정하여 공개할 의무가 있습니다.

⇒ Solution: 개인정보 보호법 제30조에 따른 법정 기재사항이 개인정보 처리방침에 모두 반영되어 있는지, 그리고 현재 개인정보 처리사항에 맞게 기재되어 있는지 확인할 필요가 있습니다.

[Risk 중 – 평가 기준 ③ 접근성]

개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며 이 경우 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 합니다(개인정보보호위원회 개인정보보호지침 제28조 제1항). 실무상 외국계 회사인 경우 문제가 되는 경우가 많이 있는데, “개인정보 처리방침”이라는 제목을 사용하고 홈페이지 이용자가 이러한 링크를 클릭하여 개인정보 처리방침의 본문을 읽어볼 수 있도록 환경을 조성할 필요가 있습니다.

법무법인(유) 세종의 헬스케어팀은 보건복지부, 식약처, 심평원, 제약사 등 보건∙의료 산업 전반에걸친 다양한 경험을 가진 구성원들을 바탕으로 전문적인 자문을 제공하고 있습니다. 개인정보보호위원회의 2024년도 개인정보 처리방침 평가 분야 및 평가 대상 선정과 관련하여 보다 전문적인 내용이나 궁금하신 사항이 있으시면 언제든지 저희 세종에 연락주시기 바랍니다.