① 개요
사업주는 사업장 내부의 개인정보취급자를 교육할 의무가 있고, 개인정보의 처리 업무를 외부 업체에 위탁하는 경우에는 사업장 외부의 개인정보 처리 업무 수탁자를 교육할 의무가 있다.
또한 개인정보취급자에 대한 교육에 관한 사항을 포함하는 내부 관리계획을 수립·시행할 의무가 있다.
② 개인정보의 예시
| < 개인정보의 예시 > (개인정보보호법 2조1호·1의2호 관련) |
|
| 유형 구분 | 개인정보 항목 |
| 일반정보 | 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 |
| 가족정보 | 가족구성원들의 이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 |
| 교육 및 훈련정보 | 학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 이수한 훈련 프로그램, 동아리활동, 상벌사항 |
| 병역정보 | 군번 및 계급, 제대유형, 주특기, 근무부대 |
| 부동산정보 | 소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등 |
| 소득정보 | 현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득 |
| 그 밖의 수익정보 | 보험(건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 |
| 신용정보 | 대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록 |
| 고용정보 | 현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격 테스트결과 직무태도, 취업일·퇴직일 등 근속기간, 휴가·휴직기록, 근무시간 기록 등 |
| 법적 정보 | 전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록 |
| 의료정보 | 가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보 |
| 조직정보 | 노조가입, 종교단체가입, 정당가입, 클럽회원 |
| 통신정보 | 전자우편(E-mail), 전화통화내용, 로그파일(Log file), 쿠키(Cookies) |
| 위치정보 | GPS나 휴대폰에 의한 개인의 위치정보 |
| 신체정보 | 지문, 홍채, DNA, 신장, 가슴둘레 등 |
| 습관 및 취미정보 | 흡연, 음주량, 선호하는 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향 |
| (자료: 행정자치부·고용노동부. 2015. 개인정보보호 가이드라인(인사노무편)) | |
③ 개인정보 보호 교육 관련 의무
1. 사업장 내부의 개인정보취급자를 교육할 의무
개인정보처리자(*사업주 등)는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자(*개인정보 처리 업무를 담당하는 임직원)에게 정기적으로 필요한 교육을 실시하여야 한다(개인정보보호법 28조2항. 벌칙 없음. 모든 사업).
즉, 사업주는 사업장 내부에서 개인정보 처리 업무를 담당하는 임직원들에게 정기적으로 개인정보 보호 교육을 하여야 한다.
이때 교육을 하지 않아도 그 때문에 과태료 등의 벌칙을 받지는 않는다(개인정보보호법 제10장 참조).
2. 사업장 외부의 개인정보 처리 업무 수탁자를 교육할 의무
가. 교육할 의무
위탁자(=개인정보의 처리 업무를 위탁하는 개인정보처리자. 즉, 위탁 사업주 등을 말한다)는 업무 위탁으로 인하여 정보주체(*임직원이나 고객 등을 말한다)의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 수탁자(=개인정보 처리 업무를 위탁받아 처리하는 자. 즉, 수탁 사업주 등을 말한다)를 교육하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다(개인정보보호법 26조4항. 벌칙 없음. 모든 사업).
즉, 개인정보의 처리 업무를 위탁하는 사업주는 사업장 외부의 수탁 사업주 등을 교육해야 한다.
이때 교육을 하지 않아도 그 때문에 과태료 등의 벌칙을 받지는 않는다(개인정보보호법 제10장 참조).
나. 일부 사업주에 대한 과징금 부과 가능성
개인정보보호위원회는 정보통신서비스 제공자등(*정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자를 말한다)이나 방송사업자등(*방송사업자등과 그로부터 시청자의 개인정보를 제공받은 자)에게 다음 행위(*수탁자에 대한 관리·감독 또는 교육을 소홀히 하여 수탁자가 개인정보보호법을 위반한 경우를 말한다)가 있는 경우에는 해당 정보통신서비스 제공자등(*정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자를 말한다)이나 방송사업자등(*방송사업자등과 그로부터 시청자의 개인정보를 제공받은 자를 말한다)에게 위반행위와 관련한 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있다(개인정보보호법 39조의15·1항4호·26조4항·39조의14. 과징금-위반행위와관련한매출액의3%. 모든 사업).
즉, 정보통신서비스 제공자등이나 방송사업자등이 위탁자로서 수탁자를 교육할 의무 등을 하지 않아 수탁자가 개인정보보호법을 위반하는 일이 발생하면 위탁자에게 과징금을 부과할 수 있다.
다시 말하면, 위탁 업체가 수탁 업체를 교육을 하지 않아도 그 때문에 과태료 등의 벌칙을 받지는 않지만, 그 결과 수탁 업체가 개인정보보호법을 위반하는 일이 발생하면 교육을 하지 않은 사실이 위탁 업체의 과징금 결정의 이유가 될 수 있다.
3. 개인정보취급자에 대한 교육 포함 내부 관리계획을 수립·시행할 의무
가. 의무
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 개인정보취급자에 대한 교육에 관한 사항 등을 포함하는 내부 관리계획을 수립·시행하는 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다(개인정보보호법 29조·개인정보보호법시행령 30조1항1호·개인정보의안전성확보조치기준 4조1항3호).
나. 적용 사업의 범위
1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인을 제외한 모든 공공기관, 법인, 단체, 개인 등에 적용된다(개인정보의안전성확보조치기준 별표·개인정보보호법 2조5호 참조).
다. 위반 시의 벌칙의 기준
1) 징역2년 벌금2000만원 이하
내부 관리계획을 수립·시행하지 않아 개인정보를 분실, 도난, 유출, 위조, 변조, 훼손당한 경우(개인정보보호법 73조1호)
2) 과태료 3000만원 이하
내부 관리계획을 수립·시행하지 않은 경우(개인정보보호법 75조2항6호)
④ 적용 대상 사업의 범위
1. 모든 사업
개인정보 보호 교육 관련 의무는 모든 사업에 적용된다.
규모에 관계없이 공공기관, 법인, 단체, 개인 등 모두에 적용된다(개인정보보호법 2조5호 참조).
2. 과징금 관련 사업의 범위
개인정보 보호 교육의 의무와 관련이 있는 과징금(개인정보보호법 39조의15·1항4호; 위 ③2.나. 참조)이 적용되는 사업은 정보통신서비스 제공자등과 방송사업자등으로 구분할 수 있다(개인정보보호법 39조의15·1항·39조의14 참조).
가. 정보통신서비스 제공자등의 범위
정보통신서비스 제공자등은 다시 정보통신서비스 제공자와 정보통신서비스 제공자로부터 개인정보를 제공받은 자로 구분할 수 있다(개인정보보호위원회해설서).
1) 정보통신서비스 제공자
정보통신서비스 제공자란 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다(정보통신망이용촉진및정보보호등에관한법률 2조1항3호 참조; 개인정보보호위원회해설서).
ⓐ 전기통신사업자
전기통신사업자란 등록 또는 신고(신고가 면제된 경우를 포함한다)를 하고 전기통신역무를 제공하는 자를 말한다(전기통신사업법 2조8호 참조; 개인정보보호위원회해설서).
a. 기간통신사업자
기간통신사업은 전기통신회선설비를 설치하거나 이용하여 기간통신역무를 제공하는 사업으로서(전기통신사업법 5조2항 참조; 개인정보보호위원회해설서), 과학기술정보통신부장관에게 등록 또는 신고한 자를 말한다(전기통신사업법 6조1항 참조; 개인정보보호위원회해설서).
예를 들어, 초고속인터넷·이동통신·알뜰폰(MVNO)·국제전화·인터넷전화 등 유무선 통신사업자, 가전·자동차 등 상품을 제공하면서 사물인터넷(IoT)과 같은 기간통신역무를 부수적으로 이용하고 그 요금을 청구하는 제조사 등이 이에 해당한다(개인정보보호위원회해설서).
b. 부가통신사업자
부가통신사업은 부가통신역무를 제공하는 사업으로서(전기통신사업법 5조3항 참조; 개인정보보호위원회해설서), 과학기술정보통신부장관에게 신고하거나, 등록하거나, 신고한 것으로 보는 자를 말한다(전기통신사업법 22조1항2항4항 참조; 개인정보보호위원회해설서).
예를 들어, 인터넷 포털, 온라인 쇼핑몰, 온라인 게임, SNS(Social Network Service) 등과 같이 인터넷·모바일 상에서 웹사이트·앱 등을 운영하는 사업자가 이에 해당한다(개인정보보호위원회해설서).
c. 특수한 유형의 부가통신사업자
특수한 유형의 부가통신사업자는 「저작권법」 제104조에 따른 특수한 유형의 온라인서비스제공자(다른 사람들 상호 간에 컴퓨터를 이용하여 저작물등을 전송하도록 하는 것을 주된 목적으로 하는 온라인서비스제공자)의 부가통신역무를 제공하는 사업자 또는 문자메시지 발송시스템을 전기통신사업자의 전기통신설비에 직접 또는 간접적으로 연결하여 문자메시지를 발송하는 부가통신역무를 제공하는 사업자를 의미한다.
예를 들어, 웹하드나 P2P 사이트 운영 사업자, 인터넷발송문자서비스 사업자 등이 이에 해당된다.(개인정보보호위원회해설서)
ⓑ 영리 목적으로 전기통신역무를 이용하는 정보 제공자 또는 제공 매개자
전기통신사업자가 아니더라도 ‘영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공 또는 정보의 제공을 매개하는 자’는 정보통신서비스 제공자에 해당한다(정보통신망이용촉진및정보보호등에관한법률 2조1항3호 참조; 개인정보보호위원회해설서).
사례별 정보통신서비스 제공자 해당 여부는 아래 표를 참조하면 된다.
a. 영리를 목적으로
‘영리를 목적으로’의 의미는 널리 경제적 이익을 취할 목적을 의미하며, 법인의 종류가 영리법인 또는 비영리법인인지 실제 수익이 발생했는지 여부와는 직접적인 관계가 없다.
예를 들어, 학술·종교·자선단체 등 비영리단체가 순수하게 해당 단체의 설립목적을 실현하기 위해 웹사이트를 개설하여 운영하는 경우에는 정보통신서비스 제공자에 해당하지 않으나, 이들 비영리단체가 전기통신역무를 이용하여 이용자와 정보통신서비스 이용관계를 맺고 있고 그 서비스가 영리를 목적으로 한다면 정보통신서비스 제공자에 해당할 수 있다.(개인정보보호위원회해설서)
b. 전기통신역무
‘전기통신역무’란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것을 말한다(「전기통신사업법」 제2조제6호).
정보통신서비스 제공자에 해당하려면 전기통신사업자의 전기통신역무를 이용하여야 하므로 법인 또는 개인이 자체적으로 전기통신설비를 갖추어 자신의 전기통신에 이용하는 경우는 제외된다.(개인정보보호위원회해설서)
c. 정보의 제공
‘정보의 제공’이란 각종 정보를 게시·전송·대여·공유하는 등 일련의 정보 제공 행위를 말하며, ‘정보의 제공을 매개’란 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 서비스 제공이 가능하도록 하는 것을 말한다.
이때의 정보 제공 또는 정보 제공의 매개는 전기통신사업자의 전기통신역무를 이용한 것이므로(이를 전기통신역무와 함께 정보통신서비스라 한다, 「정보통신망법」 제2조제1항제2호 참고), 오프라인으로만 서비스를 제공하는 자는 정보통신서비스 제공자에 해당하지 않는다.
한편, 오프라인으로 물품을 판매하고 유통하는 서비스를 제공함과 동시에 자사 웹사이트를 통해 서비스를 제공하는 과정에서 각종 정보를 게시·전송·공유하는 경우에는 정보통신망(온라인)을 통해 영리 목적으로 정보를 제공 또는 매개한다고 볼 수 있으므로 업종과 상관없이 정보통신서비스 제공자에 해당한다고 볼 수 있다.(개인정보보호위원회해설서)
| < 사례별 정보통신서비스 제공자 해당 여부 > (개인정보보호법령및지침고시해설서 참조) |
|
| 구분 | 정보통신서비스 제공자 해당 여부 |
| 상법상의 상인 및 회사 |
∙ 상법 상의 상인 및 회사는 영리를 목적으로 사업을 영위하므로 구체적인 영리행위가 없어도 기본적으로 정보통신서비스 제공자에 해당 |
| 비영리법인 | ∙ 학술·종교·자선·기예·사교 등 영리 아닌 사업을 목적으로 설립된 비영리법인이 순수하게 해당 법인의 설립 목적을 실현하기 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당하지 않음 ∙ 다만. 비영리법인이 수익사업을 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당 |
| 특수법인 | ∙ 특수법인이 법률 상 목적 중 비영리사업을 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당하지 않음 ∙ 다만. 특수법인이 목적사업으로 수행하는 영리사업을 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당 |
| 공기업 | ∙ 기본적으로 영리를 목적으로 사업을 영위하므로 해당 사업을 목적으로 서비스를 제공하는 경우 정보통신서비스 제공자에 해당 |
| 준정부기관 | ∙ 정부 업무의 수탁 수행 또는 기금관리 업무를 수행하는 점에서 기본적으로 정보통신서비스 제공자에 해당하지 않음 |
| 기타 공공기관 |
∙ 개별적으로 영리 목적의 정보통신서비스 제공 여부를 판단 ∙ 연구개발목적기관으로 분류된 경우 원칙적으로 정보통신서비스 제공자에 해당하지 않는 것으로 판단 |
| 의료기관 | ∙ 의료기관이 웹사이트 등 정보통신서비스를 제공하면서 경제적 이익을 취할 목적으로 영리행위를 하는 경우에는 정보통신서비스 제공자에 해당 ∙ 다만, 의료기관이 내원 환자를 대상으로 오프라인 진료만을 수행하는 경우(진료 사전예약을 위한 웹사이트, 전화예약서비스 등을 운영하는 경우 포함)에는 정보통신서비스 제공자에 해당하지 않음 |
| 학교 | ∙ 관련 법률에 따라 설립되어 교육을 수행하는 학교는 그 범위 안에서는 비영리 목적에 해당하므로 원칙적으로 정보통신서비스 제공자에 해당하지 않음 ∙ 다만, 사립학교 등이 상행위 등 영리 목적으로 정보통신서비스를 제공하는 경우에는 정보통신서비스 제공자에 해당 |
| 금융회사 | ∙ 금융회사는 영리를 목적으로 금융업을 영위하는 자이므로 기본적으로 정보통신서비스 제공자 해당 |
2) 정보통신서비스 제공자로부터 개인정보를 제공받은 자
정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 정보통신서비스 제공자의 관리를 받지 않고 자기 책임 하에 제공받은 목적 범위 내에서 개인정보를 이용하는 자이므로 정보통신서비스 제공자와 유사한 정도의 의무를 부담한다(개인정보보호법 39조의4·1항 참조·개인정보보호위원회해설서).
나. 방송사업자등의 범위
방송사업자등이 시청자의 개인정보를 처리하는 경우에는 정보통신서비스 제공자에게 적용되는 관련 규정을 모두 준용하도록 규정하고 있다.
이에 따라 준용되는 방송사업자등의 구체적인 범위는 지상파방송사업자, 종합유선방송사업자, 위성방송사업자, 방송채널사용사업자, 공동체라디오방송사업자, 중계유선방송사업자, 음악유선방송사업자, 전광판방송사업자, 전송망사업자가 해당된다.(개인정보보호법 39조의14 참조·개인정보보호위원회해설서)
⑤ 개인정보 보호 교육의 이행 방법
1. 교육의 대상자
교육의 대상자는 사업장 내부의 개인정보취급자와 사업장 외부의 개인정보 처리 업무 수탁자로 구분할 수 있다.
가. 사업장 내부의 개인정보취급자
1) 원칙
임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(=개인정보취급자)가 개인정보 보호 교육의 대상자다(개인정보보호법 28조2항·1항).
2) 개인정보를 처리하는 자의 의미
개인정보처리자(*사업주 등)의 지휘·감독을 받아 임직원이나 고객 등의 개인정보를 다루는 사람, 즉 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 하는 사람이면 모두 해당한다(개인정보보호법 28조2항·1항 참조).
아르바이트 등 임시직 직원도 업무상 필요에 의해 개인정보를 열람·처리하고 있다면 개인정보취급자에 해당한다(개인정보보호위원회해설서).
단순하게 말하면, 임직원이나 고객 등의 이름, 주민등록번호, 주소, 전화번호, 이메일 주소, 소유 차량 번호, 봉급액, 휴가 정보, 선호하는 스포츠, 노조 가입 여부, 의료기록 등 개인정보에 해당하는 데이터를 어떤 방식으로든 업무 과정에서 취급해야 하는 사람이면 누구나 개인정보를 처리하는 자에 해당한다고 볼 수 있다.
나. 사업장 외부의 개인정보 처리 업무 수탁자
1) 원칙
수탁자(=개인정보 처리 업무를 위탁받아 처리하는 자. 즉, 수탁 사업주 등을 말한다)가 개인정보 보호 교육의 대상자다(개인정보보호법 26조4항2항).
수탁자 구성원 중에서 구체적으로 누구를 위탁자가 교육해야 하는지에 대한 법규정이나 해석은 찾아보기 어렵다.
2) 개인정보 처리 업무 수탁자의 유형
업무위탁의 유형은 크게 개인정보의 수집·관리 업무 그 자체를 위탁하는 개인정보처리업무 위탁과 개인정보의 이용·제공이 수반되는 일반업무를 위탁하는 개인정보취급업무 위탁으로 구분될 수 있다.
또한 개인정보취급업무 위탁은 다시 홍보·판매권유 등 마케팅업무의 위탁과 상품배달·애프터서비스 등 계약이행업무의 위탁으로 구분할 수도 있다.(개인정보보호위원회해설서)
개인정보 처리 업무 수탁자의 유형도 이에 따라 구분해 볼 수 있을 것이다.
2. 교육 시간
관련 법규정이 없다.
3. 교육의 담당자(강사 등)
관련 법규정이 없다.
4. 교육의 내용
관련 법규정이 없다.
개인정보보호위원회는 개인정보보호 포털(privacy.go.kr)에 교육 자료를 공개, 제공하고 수료증도 발급한다.
5. 교육의 방법
관련 법규정이 없다.
*이 정보는 2023.3.29. 현재의 법률을 기준으로 작성하였습니다.
'12절 법정 의무교육' 카테고리의 다른 글
| 12-4-9 특수형태근로종사자 특별교육의 의무 (v.1.1) (0) | 2023.03.28 |
|---|---|
| 12-4-8 특수형태근로종사자 최초 노무제공 시 교육의 의무 (v.1.1) (0) | 2023.03.27 |
| 12-4-7 안전보건업무 담당자 직무교육의 의무 (v.1.1) (0) | 2023.03.25 |
| 12-4-6 건설 일용근로자 건설업 기초안전보건교육의 의무 (v.1.2) (0) | 2023.03.24 |
| 12-4-5 근로자 안전보건 특별교육의 의무 (v.1.4) (0) | 2023.03.23 |