어쩌면 개인정보보호법에서 가장 중요하다고 볼 수 있는 제3장 개인정보 처리 부분이다. 개인정보 일반적 처리라는 이름의 포스트로 개인정보의 일반적인 수집, 이용, 제공 등을 정리하겠다. 바뀐 부분도 생각보다 많기 때문에 이 부분도 따로 정리하겠다. 당연한 말이지만 진짜 중요하다.

개인정보의 수집 및 이용 - 제15조

개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

  1. 정보주체의 동의를 받은 경우
  2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
  5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
  7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

제4, 5항은 개정되었고, 제7항은 신설되었다.

정보주체의 동의

개인정보처리자는 위의 정보주체의 동의를 받은 경우에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

  1. 개인정보의 수집 및 이용 목적
  2. 수집하려는 개인정보의 항목
  3. 개인정보의 보유 및 이용 기간
  4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

개인정보의 추가적 이용

개인정보처리자는 당초 수집 목적합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

달라진 점

제15조에서 개인정보처리자가 개인정보를 수집할 수 있는 경우의 수가 좀 바뀌었다. 제4조와 제5조가 보다 합리적으로 개선되었으며, 공공의 안전과 안녕이 필요할 때를 위한 제7조가 신설되었다.

개인정보의 수집 제한 - 제16조

개인정보처리자는 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.

개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

개인정보의 제공 - 제17조

개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공할 수 있다.

  1. 정보주체의 동의를 받은 경우
  2. 제15조제1항제4호를 제외한 나머지

제외된 제4호 : 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

정보주체의 동의

개인정보처리자는 위의 정보주체의 동의를 받은 경우에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

  1. 개인정보를 제공받는 자
  2. 개인정보를 제공받는 자의 개인정보 이용 목적
  3. 제공하는 개인정보의 항목
  4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

쉽게 생각하면 제15조 정보주체의 동의에서 ‘개인정보를 제공받는 자’만 추가되었다.

개인정보의 추가적 제공

개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.

달라진 점

개인정보처리자와 정보통신서비스 제공자를 통합하는 과정에서 제3자에게 개인정보를 제공할 수 있는 경우의 수가 달라졌다. 기존에는 정보통신서비스 제공자의 경우를 생각해야 했기 때문에 제2항이 깔끔하지 못 했지만 지금은 깔끔하게 제15조에서 제4항만 빠진 형태로 바뀌었다.

더하여 국외의 제3자에게 제공에 관한 사항이 있었는데 이는 국외 이전에 관한 법령들이 몇 가지 새로 생기면서 제17조에서 빠진 것으로 사료된다.

개인정보를 제공받은 자의 이용 및 제공 제한 - 제19조

개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다.

  1. 정보주체로부터 별도의 동의를 받은 경우
  2. 다른 법률에 특별한 규정이 있는 경우

다음 포스트에서 다룰 목적 외 제공에 의해 제공받은 자도 똑같이 적용된다.

개인정보의 추가적인 이용 및 제공의 기준 등 - 시행령 제14조의2

개인정보 처리자는 개인정보의 추가적 이용 또는 개인정보의 추가적 제공에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공하려는 경우에는 다음 각 호의 사항을 고려해야 한다.

  1. 당초 수집 목적과 관련성이 있는지 여부
  2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
  3. 정보주체의 이익을 부당하게 침해하는지 여부
  4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

또한, 개인정보처리자는 위의 상황이 지속적으로 발생하는 경우에는 제1항 각 호의 고려사항에 대한 판단 기준을 개인정보 처리방침에 공개하고, 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.

짧게 달라진 점을 말하면 두번째 문단의 ‘위의 상황이 지속적으로 발생하는 경우에는’이란 문구가 추가되었다. 지속적인 추가적 이용이나 제공이 아니라면 굳이 할 필요 없는 것으로 생각된다.