개인정보처리시스템 운영 시 고객통지 절차

안녕하세요. 오늘은 개인정보와 관련한 게시물로 찾아왔습니다.

 

 

연말이 다가오니 이와같이 메일로 개인정보 이용내역에 대한 통지가 잦아지고 있는 것을 확인할 수 있습니다..

대부분의 사람들은 대수롭지 않게 여기고 무시하곤 하겠지만, 여러분은 개인정보보호와 관련한 글을 찾아보시는 분들이시니 관심이 있으실거라고 생각합니다 :)

 

이와같은 개인정보 이용내역은 왜 통지를 해야하는 걸까요 ?

 

개인정보처리시스템을 운영하는 자는 시스템을 이용하는 이용자에게 매년 또는 2년단위로 이용자의 개인정보를 수집하고 있다는 사실과 목적, 항목에 대한 내용을 통지하여야 합니다.

제39조의6(개인정보의 파기에 대한 특례) ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

[본조신설 2020. 2. 4.]

제39조의8(개인정보 이용내역의 통지) ① 정보통신서비스 제공자 등으로서 대통령령으로 정하는 기준에 해당하는 자는 제23조, 제39조의3에 따라 수집한 이용자의 개인정보의 이용내역(제17조에 따른 제공을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니한다.

② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.

[본조신설 2020. 2. 4.]

[개인정보보호법]

제50조(영리목적의 광고성 정보 전송 제한) ① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다.  <개정 2016. 3. 22., 2020. 6. 9.>

1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과 같은 종류의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우

2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우

② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다.

③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. 다만, 대통령령으로 정하는 매체의 경우에는 그러하지 아니하다.

④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다.

1. 전송자의 명칭 및 연락처

2. 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항

⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니 된다.

1. 광고성 정보 수신자의 수신거부 또는 수신동의의 철회를 회피ㆍ방해하는 조치

2. 숫자ㆍ부호 또는 문자를 조합하여 전화번호ㆍ전자우편주소 등 수신자의 연락처를 자동으로 만들어 내는 조치

3. 영리목적의 광고성 정보를 전송할 목적으로 전화번호 또는 전자우편주소를 자동으로 등록하는 조치

4. 광고성 정보 전송자의 신원이나 광고 전송 출처를 감추기 위한 각종 조치

5. 영리목적의 광고성 정보를 전송할 목적으로 수신자를 기망하여 회신을 유도하는 각종 조치

⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.

⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.

⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.

[정보통신망 이용촉진 및 정보보호 등에 관한 법률]

 

저도 개인정보처리시스템을 운영하는 사람 중 하나로 "고객에게 통지해야하는 정보는 어떤것들이 있을까"라는 고민을 하다 다음과 같은 표를 작성해보았습니다. 

 

구분	대상	항목	주기
이용내역 통지	정보통신사업자 중 전년도 매출액 100억원 이상 또는 전년도 말 기준 저장·관리되는 이용자 수가 100만명 이상인 경우(개인정보보호법 시행령)	수집·이용 목적, 수집한 개인정보의 항목,  개인정보를 제공받은 자와 그 제공목적 및 제공한 개인정보의 항목	각 고객 대상 연 1회 이상
휴면계정 안내	정보통신서비스 제공자(정보통신서비스를 1년간 이용하지 않은 이용자만을 대상으로 함)	개인정보가 파기(분리)되는 사실, 기간만료일 및 파기(분리)되는 개인정보의 항목	1년(각 고객이 서비스를 이용했던 마지막 시점을 기준으로 1년이 도래하기 30일 전에 통보)
광고성 정보전송 수신동의	광고성 정보 및 마케팅 정보를 송신하는 정보통신서비스 제공자(정보수신에 동의한 이용자에 한함)	전송자의 명칭, 수신자의 수신동의 사실 및 수신에 동의한 날짜, 수신동의에 대한 유지 및 철회의 방법	2년(각 이용자가 수신동의를 한 시점을 기준)

 

고객에게 통지해야하는 내용은 크게 세가지 입니다.

첫번째, 이용내역 통지. 

이용내역 통지의 경우, 개인정보보호법에서는 정보통신서비스 제공자 등에 해당하는 사업자 중 전년 말 기준 매출액 100억원 이상 또는 이용자 수 100만명 이상을 대상으로 서비스하는 시스템으로 제한을 두고 있습니다. 정보통신망법에서 개인정보와 관련한 내용이 개인정보보호법으로 이관되면서 이러한 제약이 생겼는데 내년 예고법안을 참고해보니 이러한 제약 없이 모든 정보통신서비스 제공자가 이를 수행해야할 것으로 보입니다.(21.12.16일 기준 아직은 아닙니다..)

이용내역 통지에서 고객에게 통보해야하는 내용은 위와 같고, 전 고객을 대상으로 매년 1회씩 통지절차를 수행하면 될 것으로 보입니다.(보통은 연말에 몰아서 하는 경향이 있는 것으로 보입니다.)

 

두번째, 휴면계정 안내

개인정보처리시스템을 운영하는 자는 일정 기간동안 접속했던 기록이 없는 사용자에 대하여 해당 계정을 휴면계정으로 DB를 분리하여 보관하여야 합니다. 이때 대상자의 계정이 휴면계정으로 분류되어 일부 서비스를 이용할 수 없게 된다는 사실을 고객에게 통지하여야 합니다.

이 내용은 사실 개인정보의 파기와 관련한 내용으로 보통 정보서비스의 경우 개인정보를 보유하는 기간이 명확하지 않기 때문에(고객이 회원탈퇴를 하지 않는 이상 서비스 제공자는 개인정보를 보유할 수 밖에 없는 현실) 개인정보보호법에서 관련한 조항을 마련한 것으로 보입니다. 이 내용에 따르면 서비스를 이용하지 않은지 1년이 경과된 이용자는 개인정보 파기처리 또는 다른 회원과 별도로 분리된 DB에서 관리되어야 한다고 명시되어 있습니다. 이를 통해 잠자고 있던 저의 다양한 계정(개인정보)들이 많이 사라졌으면 좋겠네요.(서비스 운영자 관점에서는 기능개발 등 아주 일거리가 많아는 계지가...)

 

 

마지막으로 마케팅 정보 수신동의에 대한 통보입니다.

이는 회원가입 또는 가입이후 마케팅정보 수신에 대한 동의를 거친 사용자에 한합니다. 해당고객은 계속해서 마케팅 안내를 수신하며 정보시스템 사업자의 마케팅에 이득을 불러다 줄 수 있는 잠재고객이라고 할 수 있습니다. 보통은 수집당시 선택조항으로 분류하여 개인정보 수집동의를 생략하는 경우도 많지만, 최근에는 다양한 혜택을 제공하면서 해당 동의를 유도하고 있기도 하지요.

이 경우 마케팅 정보 수신을 허용하고 있다는 사실과 해당정보를 수신하지 않도록 조치하는 방법에 대한 안내가 필요합니다.

 

이상으로 개인정보처리시스템을 운영하면서 우리가 고려해야할 세가지 통보절차에 대해 알아보았습니다.

다음번에는 더 유익한 정보로 찾아뵙겠습니다.

 

감사합니다~~!!!!