개정 개인정보 보호법이 2024년 3월 15일부터 시행되고, 이후 시행령과 고시 등 하위 법령도 정비됨에 따라 개인정보보호위원회는 기존의 가이드라인 및 안내서에 개정된 내용을 반영하여 수정하고 통합하는 작업을 진행하였습니다. 아래에서 그 주요 내용을 자세히 살펴보도록 하겠습니다.

1. 가이드라인 통합본(“분야별 개인정보 보호 안내서”) 발간

개인정보보호위원회는 관련 분야와 업무의 특성을 고려하여 개인정보 처리 시 유의할 사항을 담은 분야별 가이드라인 8종을 “분야별 개인정보 보호 안내서”로 통합해 발간하였습니다.

각 분야별로 일부 차이가 존재하기는 하지만 가이드라인 통합본은 안내서의 개요 및 개인정보 수집, 이용, 파기 등 각 처리단계 별로 각 분야마다 특별히 준수해야 할 사항과 처리기준/방법을 담고 있습니다.

가이드라인 통합본에 포함된 각 분야별 내용은 다음과 같습니다.

가이드라인 통합본은 기업 및 기관이 각 분야별로 작성된 안내서를 일일이 찾아보아야 하는 수고를 덜 수 있도록 필요한 정보와 절차를 하나의 문서로 통합하여 쉽게 확인할 수 있도록 하였다는 점에서 의의가 있습니다.

2. “개인정보 처리 통합 안내서(안)”공개

개인정보보호위원회는 2023년 개인정보 처리 체계가 전면 개편됨에 따라, 개편 내용을 현장에서 쉽게 이해할 수 있도록 사례 중심의 체계적인 안내를 제공하기 위해, 개인정보 처리 동의 안내서와 위·수탁 안내서 등을 통합한 “개인정보 처리 통합 안내서(안)”을 공개하였습니다. 공개한 안내서(안)에 대하여는 2025년 1월 31일까지 의견수렴을 거쳐 3월에 확정할 예정이라고 밝히고 있습니다.

개인정보 처리 통합 안내서(안)는 (i) 개인정보의 수집 및 이용, (ii) 개인정보 처리 위탁에 관한 개정 개인정보보호법의 내용 역시 반영하였는데 이에 대한 구체적인 내용은 다음과 같습니다.

(i) 개인정보의 수집 및 이용

개인정보 처리 체계가 기존의 ‘동의’ 중심 시스템에서 ‘적법 근거’ 중심의 체계로 개편되면서 적법 근거를 활용한 개인정보 처리 가능성이 보다 확대되었습니다.

이와 더불어 적법 근거를 검토할 때 고려해야 할 사항이 제시되었습니다. 개인정보를 수집하고 이용할 때 충족해야 하는 적법 근거를 선택하는 과정은 다음과 같이 이루어져야 합니다.

• 개인정보처리자는 정보주체가 자신의 개인정보를 처리하는 것에 대해 충분히 이해하고 명시적으로 그리고 자유로운 의사에 따라 동의하였는지를 확인하여야 합니다. 
• 계약을 기반으로 개인정보를 처리할 경우, 의사의 합치나 합의가 이루어져야 하며, 또한 정보주체가 자신의 개인정보가 어떻게 사용될 것인지에 대해 충분히 예측 가능하도록 하여야 합니다.
• 정당한 이익을 근거로 개인정보를 처리할 때는 목적이 정당한지를 판단하고, 그러한 처리가 필요한지, 그리고 정보주체의 권리보다 우선되어야 할 명백한 이유가 있는지를 고려해야 합니다.

(ii) 개인정보 처리 위탁

2023년 개정된 법령 내용을 반영하여, 2차 및 3차 수탁자도 수탁자에 포함되도록 수탁자의 범위가 확장되었습니다.

또한, 전문 수탁자와 같이 여러 위탁자로부터 개인정보 처리 업무를 위탁받은 경우, 특히 클라우드 서비스, 셀러툴, HR 분야 등에 대해서는 다음의 사항을 안내하고 있습니다.

• 위탁 계약서에 교육 및 관리ㆍ감독, 재위탁시 위탁자 동의 방법과 절차에 관한 사항을 명시하고 이행하는 방법
• 아울러, 위탁받은 개인정보 처리 업무에 대해 ISMS-P와 민관 협력 자율 규제를 통해 주기적으로 점검을 받고 있는 경우, 이를 관리 및 감독하는 방법

개인정보보호위원회는 통합 안내서(안)에 대한 의견을 올해 1월 31일까지 수렴하여 3월 중에 확정할 예정이며, 개인정보 처리와 관련된 위원회 심결례, 판례, 현장 사례 등의 내용을 포함시킬 계획입니다.

기존의 “개인정보 보호 법령 및 지침·고시 해설”은 개인정보 보호법의 조문 순서에 따라 편제되어 있고 통합 개인정보보호위원회가 출범한 이후의 다양한 심결례와 유권 해석 사례들을 포함하고 있지 않아 실무적으로 개인정보를 처리하는 과정에서 참고하는 데에는 다소 부족함 내지 아쉬움이 있었습니다. 추후 통합 안내서(안)가 최종적으로 발간되면, 실무 현장에서 전체적인 개인정보 처리 체계를 보다 쉽게 이해하고, 변경된 사항에 대해서도 편리하게 안내를 받을 수 있을 것으로 기대됩니다.

다만, 안전성 확보조치 기준, 고정형 영상정보처리기기 설치 및 운영, 가명정보 처리 등과 같은 전문 영역은 통합 안내서에 포함되지 않고 개별 안내서에서 별도로 설명하고 있으며, 이는 개인정보 포털 및 위원회 누리집에서 찾아볼 수 있습니다.

3. 개별 안내서의 개정 및 공개 

특정 분야나 상황을 전제로 하여 통합본에 포함되기 어려운 개별 안내서* 역시 관련 법령의 개정 사항을 반영해 수정, 공개되었습니다.

* 긴급상황 시 개인정보 처리 안내서, 인터넷 자기게시물 접근배제요청권 안내서, 아동ㆍ청소년 개인정보 보호 안내서, 소상공인을 위한 개인정보 보호 핸드북, 스마트도시 개인정보 안내서, 고정형 영상정보처리기기 설치ㆍ운영 안내서, 합성데이터 생성ㆍ활용 안내서

4. 개인정보 질의응답 모음집 발간

개인정보보호위원회는 기존 2024년 6월 발간된 ‘개인정보보호법 해석 사례집’에 25건의 사례를 추가하여 ‘개인정보 질의응답 모음집’이라는 제목의 안내서를 발간하였습니다.

이 모음집은 개인정보의 정의 규정(개인정보보호법 제2조 제1호)에 비추어 판단한 ID, 얼굴 사진 등의 개인정보의 해당 여부, 영상정보의 해석에 관한 사항, 가명정보 처리에 관한 유의사항, 실제 사업자들이 개인정보 처리를 하는 과정에서 참고할 수 있는 다양한 사례들을 담고 있습니다.

또한 추가된 25건의 사례는 다수(14건)가 민간사업자와 관련된 것으로 동의, 수탁, 보관 등에 관한 내용을 대폭 보강하고 있습니다.

개인정보보호위원회는 질의응답 모음집을 포함하여 모든 공개된 안내서는 3년의 ‘재검토기한’을 설정하여 3년마다 내용을 재검토하고 갱신할 예정이라고 밝혔습니다. 개인정보보호위원회가 공식적으로 발간하는 자료들이 이와 같이 주기적으로 업데이트된다면 실무에도 많은 도움이 될 것으로 기대됩니다.

About Shin & Kim’s ICT Group 개인정보데이터팀, AI센터

법무법인(유) 세종은 개인정보 분야의 독보적인 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보 보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 최근 발간된 개인정보보호위원회· KCPO의 CPO 핸드북의 감수 및 집필에 참여하는 등 조직 내 개인정보 거버넌스 구축에도 전문성을 보유하고 있습니다. 또한 개인정보 보호법 제2차 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.