개인정보처리자는 정보주체에게 통지할 것이 많다. 하나하나 알아보자. 새로 만들어진 조항(개인정보의 이용 및 제공의 통지 - 제20조의2)도 있으니 반드시 알아두도록 하자.

정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지 - 제20조

개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.

  1. 개인정보의 수집 출처
  2. 개인정보의 처리 목적
  3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

제37조는 개인정보의 처리정지에 관한 법률이며, 추후에 다루도록 하겠다.

제공의 의한 개인정보의 통지

제1항에도 불구하고 처리하는 개인정보의 종류, 규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.

정보주체의 동의에 의해 개인정보를 제공받고 일정 조건을 만족한 개인정보처리자는 제1항을 따라야한다. 다만, 제공받은 개인정보에 연락처가 없다면 상관없다.

위의 법항에 따라 알리는 경우 정보주체에게 알리는 시기, 방법 및 절차 등 필요한 사항은 대통령령으로 정한다.

적용 제외

제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.

  1. 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
  2. 통지로 인하여 다른 사람의 생명 및 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

제32조제2항 보호위원회에 등록이 적용되지 않는 개인정보파일이다. 한마디로 비밀이 보장되는 개인정보파일들이다. 추후에 다루도록 하겠다.

달라진 점

기존 조항의 이름은 ‘고지’를 사용하였는데, 이것이 ‘통지’로 바뀐 부분을 제외하면 크게 바뀐 부분이 없다.

개인정보의 이용 및 제공의 통지 - 제20조의2

대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용 및 제공 내역이나 이용 및 제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다. 다만, 연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집 및 보유하지 아니한 경우에는 통지하지 아니할 수 있다.

통지의 대상이 되는 정보주체의 범위, 통지 대상 정보, 통지 주기 및 방법 등에 필요한 사항은 대통령령으로 정한다.

달라진 점

신설된 조항으로서 정보통신서비스 제공자 등의 개인정보 처리에 관하여 특례 규정이 존재했는데 삭제되면서 이를 대체하기 위해 만들어진 조항으로 추측된다. 기존의 제39조의8을 대체하고 있는 것으로 생각된다.

개인정보 수집 출처 등 통지 대상, 방법, 절차 - 시행령 제15조의2

제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. 이 경우 다음 각 호에 규정된 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균 기준으로 산정한다.

  1. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
  2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

민감정보와 고유식별정보는 각각 제23조, 제24조와 관련 시행령에 정의되어있다. 추후에 다루도록 하겠다.

통지의 시기, 방법 및 절차

위의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 다음 각 호의 어느 하나에 해당하는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다.

  1. 서면, 전자우편, 전화, 문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
  2. 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법

다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.

개인적으로 이해하기 어렵게 적혀있는데, 조금 정리하자면 다음과 같다. 정보주체의 동의에 의해 개인정보 제공을 연 2회 이상 주기적으로 받는다면 마친가지로 제17조제2항제1호부터 제4호까지의 사항을 제공받은 날부터 3개월 이내 또는 동의를 받은 날부터 기산하여 연 1회 이상 다시 알려야 한다는 말이다. 더 쉽게 말하면 연 2회 이상 개인정보를 제공 받으면 제1호부터 제4호까지 주기적으로 알리라는 뜻이다. 실제 조문을 보면 뜬금없이 박혀 있어서 개인적으로 이해하기 쉽게 정리해봤다.

또한, 개인정보처리자는 법 제20조제2항에 따라 개인정보의 수집 출처 등에 관한 사항을 알리는 것과 법 제20조의2제1항에 따른 이용 및 제공 내역의 통지를 함께할 수 있다.

통지의 보관 및 관리

제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제5항에 따라 해당 개인정보를 파기할 때까지 보관 및 관리하여야 한다.

  1. 정보주체에게 알린 사실
  2. 알린 시기
  3. 알린 방법

제21조는 개인정보의 파기에 관한 조항으로 다음 포스트에서 다루겠다. 제37조제5항은 개인정보 정지 시 파기에 관한 조항으로 추후에 다루겠다.

달라진 점

달라진 점을 소개하기에 앞서서 시행령 제15조의2, 즉 지금 읽고있는 이 조항은 제공받은 개인정보의 경우에만 동작하는 법률이다. 꼭 기억하자.

먼저 통지 방식이 하나 더 만들어졌다. 기존에는 “서면·전자우편·전화·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법”만 존재했는데 “재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법“란 방법이 좀 더 구체화되어 추가되었다.

또한, 개인정보의 수집 출처 등에 관한 사항이용 및 제공 내역의 통지를 함께할 수 있게 되어 좀 더 편해졌다.

이 시행령 제15조의2의 개정은 좀 더 개인정보처리자 입장에서 편하고 합리적으로 처리할 수 있게 바뀐 느낌이다.

개인정보의 이용 및 제공 내역의 통지 - 시행령 제15조의3

제20조의2제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. 이 경우 다음 각 호에 규정된 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균을 기준으로 산정한다.

  1. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
  2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

개인정보의 수집 출처 등에 관한 사항에 정의된 개인정보처리자와 조건이 똑같다.

통지의 범위, 정보, 주기, 방법

통지의 대상이 되는 정보주체는 다음 각 호의 정보주체를 제외한 정보주체로 한다.

  1. 통지에 대한 거부의사를 표시한 정보주체
  2. 개인정보처리자가 업무수행을 위해 그에 소속된 임직원의 개인정보를 처리한 경우 해당 정보주체
  3. 개인정보처리자가 업무수행을 위해 다른 공공기관, 법인, 단체의 임직원 또는 개인의 연락처 등의 개인정보를 처리한 경우 해당 정보주체
  4. 법률에 특별한 규정이 있거나 법령 상 의무를 준수하기 위하여 이용 및 제공한 개인정보의 정보주체
  5. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 이용 및 제공한 개인정보의 정보주체

정보주체에게 통지해야 하는 정보는 다음 각 호와 같다.

  1. 개인정보의 수집, 이용 목적 및 수집한 개인정보의 항목
  2. 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 통신비밀보호법 제13조, 제13조의2, 제13조의4 및 전기통신사업법 제83조제3항에 따라 제공한 정보는 제외한다.

통신비밀보호법 제13조, 제13조의2, 제13조의4 전부 통신사실 확인자료의 제공에 대한 법률이며, 각각 범죄수사, 법원, 국가안보에 근거한 제공이다. 제83조제3항은 국가안전보장을 위한 통신자료제공에 관한 법률이다.

통지는 다음 각 호의 어느 하나에 해당하는 방법으로 연 1회 이상 해야 한다.

  1. 서면, 전자우편, 전화, 문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
  2. 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법(법 제20조의2제1항에 따른 개인정보의 이용 및 제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 통지하는 경우로 한정한다)

한마디로 알림창으로 정보시스템 접속하는 방법을 통지하란 말

달라진 점

애초에 새로생긴 법률로 달라진 점이 없다. 위의 달라진 점을 참고하자.