개인정보를 처리하려면 정보주체에게 동의를 받아야 하는 경우가 많다. 그 경우 어떻게 동의를 받아야 하는지 제22조 동의를 받는 방법에 명시되어 있고, 개인정보처리자는 이를 지켜야 한다. 개정된 부분도 많고 신설된 부분도 많으니 꼭 기억해두자.

제23조와 제24조를 먼저 포스트하고 이번 글을 쓰려다가 그냥 순서대로 하기로 했다.

두 달 동안 많은 일로 바빴다. 다시 써보도록 하겠다.

동의를 받는 방법 - 제22조

개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(법정대리인을 포함)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 이 경우 다음 각 호의 경우에는 동의 사항을 구분하여 각각 동의를 받아야 한다.

  1. 제15조제1항제1호에 따라 동의를 받는 경우 : 개인정보의 수집 및 이용
  2. 제17조제1항제1호에 따라 동의를 받는 경우 : 개인정보의 제공
  3. 제18조제2항제1호에 따라 동의를 받는 경우 : 개인정보의 목적 외 이용 및 제공
  4. 제19조제1호에 따라 동의를 받는 경우 : 개인정보를 제공받은 자의 이용 및 제공 제한
  5. 제23조제1항제1호에 따라 동의를 받는 경우 : 민감정보의 처리 제한
  6. 제24조제1항제1호에 따라 동의를 받는 경우 : 고유식별정보의 처리 제한
  7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우
  8. 그 밖에 정보주체를 보호하기 위하여 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우

개인정보처리자는 정보주체로부터 위 각 호에 따른 동의를 받으려는 때에는 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 표시해야 한다. - 시행령 제17조제4항

제23조와 제24조는 제22조의2 아동의 개인정보 보호 이후 포스트에서 다루도록 하겠다. 제8호는 현재 개인적으로 이해가 되지 않는 부분이 있어 민원을 제기한 상태이다. 시행령에서 관련된 사항을 찾을 수 없다. 답변을 받으면 수정하겠다. 답변을 받았다. 추후에 추가될 예정이라고 한다!

동의 받을 때의 조건 - 시행령 제17조제1항

개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 다음 각 호의 조건을 모두 충족해야 한다.

  1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
  2. 동의를 받으려는 내용이 구체적이고 명확할 것
  3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
  4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

새로 만들어진 조항이다.

동의를 받는 방법 - 시행령 제17조제2항

개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.

  1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
  2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
  3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷 주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
  4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
  5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
  6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

서면으로 받을 때 - 제22조제2항

개인정보처리자는 제1항의 동의를 서면(전자문서를 포함한다)으로 받을 때에는 개인정보의 수집, 이용 목적, 수집 및 이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.

대통령령으로 정하는 중요한 내용 - 시행령 제17조제3항

  1. 개인정보의 수집 및 이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이요하여 정보주체에게 연락할 수 있다는 사실
  2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항
    1. 민감정보
    2. 여권번호, 운전면허의 면허번호외국인 등록번호
  3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
  4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

서면 동의 시 중요한 내용의 표시 방법 - 개인정보 처리 방법에 관한 고시 제4조

  1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것
  2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
  3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

동의가 필요 없는 개인정보에 대한 통지 - 제22조제3항

개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 제30조제2항(개인정보 처리방침)에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.

대통령령으로 정하는 방법이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법을 말한다. - 시행령 제17조제5항

제공 거부의 불가 - 제22조제5항

개인정보처리자는 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제1항제3호 및 제7호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

정리하자면 “선택적으로 동의할 수 있는 사항“과 “개인정보의 목적 외 이용 및 제공”, “재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리”를 위한 동의를 받을 때의 경우다.

중앙행정기관의 장의 경우 - 시행령 제17조제6항

중앙행정기관의 장은 제2항에 따른 동의방법 중 소관 분야의 개인정보처리자별 업무, 업종의 특성 및 정보주체의 수 등을 고려하여 적절한 동의방법에 관한 기준을 법 제12조제2항에 따른 개인정보 보호지침(표준지침)으로 정하여 그 기준에 따라 동의를 받도록 개인정보처리자에게 권장할 수 있다.

달라진 점

동의를 받는 방법은 달라진 점이 생각보다 많다. 하나하나 알아가도록 하겠다.

먼저 제22조제1항부터 동의를 받아야 하는 사항을 구분하여 알기쉽도록 하였다. 또한 제8호를 임시적으로 추가하였고, 추가 내용을 나중에 시행령에 만든다고 답변 받았다.

더하여 제3항을 개정하여 동의가 필요없는 개인정보에 대하여 그 항목과 처리의 법적 근거를 개인정보 처리방침이나 서면등의 방법으로 정보주체에게 알려야 하는 의무가 생겼다. 그에 따라 시행령 제17조제5항도 개정되었다.

시행령 제17조제1항을 신설하여 동의를 받을 때의 조건을 만들어 정보주체를 보호한다. 마찬가지로 제4항에 의해 정보주체 보호를 위해 동의 여부를 선택할 수 있다는 사실을 명확하게 전해야 한다.