보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[大퇴사 시대의 개인정보보호-2] 고용유지단계, 근로자의 개인정보 어떻게 보호하나

입력 : 2023-06-06 23:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한 특정인을 알아볼 수 있는 모든 정보는 ‘개인정보’... 공유 및 유출 주의
직장 내 CCTV 설치, 시설 안전관리 목적 외 개개인 동의 받아야
회사 업무망 근로자 로그기록 권한 내 활용만 가능, 근로자 감시 목적 접근 불가
6월 8~9일 개최되는 PIS FAIR 2023, 직원들의 개인정보보호 조치사항 공유 기회 마련


[보안뉴스 이소미 기자] 직장 생활 속 개인정보보호, 이제 개인의 문제가 아닌 기업도 함께 고민해야 할 중요한 사안이 됐다. 개인정보 특성상 무심코 한 행위가 유출로 이어져 피해를 보게 되는 경우, 해당 기업은 과태료 처분을 받게 된다. 이처럼 근로자의 개인정보보호와 사내 정보유출 방지를 통한 기업 운영의 효율성 증대를 위해 개인정보보호위원회(이하 개인정보위)는 개정된 ‘개인정보보호 가이드라인’을 발표한 바 있다.

[이미지=개인정보보호위원회]


코로나19 사태 이후 재택근무 및 비대면 업무 활성화로 업무 보안 환경에도 많은 변화가 찾아왔다. 이에 따라 올해부터 ‘신기술 환경 발달’에 따른 △디지털 장치 △CCTV △영상 △생체인식 정보 등 개인정보 처리와 보호 방법, 절차 등이 새롭게 제시됐다. 곳곳에서 ‘신기술 발달’에 따른 부작용이 나타나기 시작했기 때문이다.

예를 들면, 직장 내 CCTV 설치로 인한 근로자 사생활 침해 및 근태 감시 등이 문제가 되고, 개인의 동의 없이 수집되는 개인정보와 무분별한 제3자 공유 등이 수면 위로 떠올랐다. 이에 <보안뉴스>는 개인정보위의 ‘인사·노무편 가이드라인’을 중심으로 기업의 고용유지 단계에서 지켜야할 개인정보보호 조치 등에 대해 알아봤다.

‘개인정보’의 기준, ‘한 특정인’을 알아볼 수 있는 모든 정보는 철저한 관리 및 공유 금지
개인정보의 기준은 살아 있는 개인에 관한 정보로 이름, 주민등록번호, 영상 등을 통해 한 개인을 알아볼 수 있는 정보를 포함한다. 만약 하나의 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보를 결합해 알아볼 수 있다면 그 정보까지 개인정보로 취급된다. 개인정보는 수집 경로에 따라 △종이 문서 △우편 △이메일 △전자 문서 △사진 △영상·음성 파일 등 다양한 형태로 존재한다.

따라서 기업은 ‘개인정보 보관·처리’에 있어 개인정보를 관리하는 담당자와 개인정보보호책임자를 통해 특별히 책임지고 관리할 수 있도록 해야 한다. 특히, 근로자의 복지·교육훈련·연말정산 등과 관련된 업무를 제3자가 위탁받아 처리하는 경우, 이에 대한 관리·감독·교육을 철저히 이행해야 한다. 또한, 개인정보 무단 유출 방지를 위해 인사관리 시스템과 인사담당자는 △담당 직원만 이용할 수 있는 비밀번호 설정 △최신 백신 소프트웨어 설치 및 업데이트 △운영체제 지원 방화벽 기능 적용 △개인정보 파일 암호화 등의 안전한 PC관리·유지가 필요하다.

고용 단계에서 당사자 동의 없이도 수집 가능한 개인정보는 근로계약 조건 및 이행에 필요한 거주지·전문분야·경력·성과 등이다. 해당 항목은 근로자의 전보·파견·휴직, 인사평가, 복리후생 제공 등에 필요한 정보이기 때문에 수집·활용이 가능하다. 또한, 근로자의 경력증명이나 인사정책 수립 등의 목적이 있는 경우 개인정보 보유가 가능하며, 필요 시 익명 또는 가명처리 후 이용할 수 있다.

반면, 사전에 당사자의 동의가 반드시 필요한 경우는 출산 계획, 노조 가입 여부 등의 민감 정보에 해당하는 경우다. 또한, 기업 사정에 따라 영업 이전이나 업무상 근로자 연락처 등의 정보가 공유·이전되어야 하는 경우도 마찬가지다. 만약 근로자가 개인정보 이전·공유를 원치 않는다면, 서면·전자우편·팩스·전화·문자전송 등의 다른 제공 방법을 안내해야 한다.

직장 내 CCTV 설치, 개인별 개인정보 동의와 안내판은 필수!
CCTV와 같은 디지털 장치 도입·변경·추가 시에는 해당되는 근로자 및 노사협의회(근로자 30인 이상 의무 설치)와 같은 이해관계자에게 설치 이전에 디지털 장치 도입 목적과 개인정보 처리내용 등을 설명한 후 이에 따른 의견을 들어야 한다. 특히, 생체인식 정보는 민감정보에 해당되므로 원칙적으로 수집이 금지되지만, 예외적으로 필요한 경우에만 수집·활용 가능하다.

직장 내 CCTV와 같은 디지털 장치 설치 시 보통의 개인정보와 동일하게 법령상 의무준수 또는 근로계약 이행 등에 필요한 최소한의 범위 내에서만 수집·이용이 가능하다. 기본적으로 CCTV 설치는 비공개된 장소는 설치가 가능하나 공개된 장소는 예외 조항 외에는 설치를 하면 안 된다. 출입 가능한 특정인이 정해져 있는 일반 ‘사무실’의 경우도 비공개 장소에 포함된다. 하지만 CCTV 설치 이유가 불명확한 경우 근로자 개개인의 동의를 반드시 받아야 한다. 이를 위해 CCTV 촬영 범위를 조정해 수집 범위를 최소화하거나 대체할 수 있는 지문인식 기기·출입증 등의 출입통제 수단을 마련할 수 있다. 또한, 개인정보처리방침에 따라 개인정보 처리내용을 근로자에게 공개해야 한다. △설치 목적 △촬영 시간 △범위 등의 항목이 그것이다. 이처럼 업무상 안전성 확보 등에 필요한 조치임을 사전에 안내해야 한다.

단, 사업장 내 시설 안전관리, 화재예방, 영업비밀 보호 등이 목적인 경우에는 개인 동의 없이도 CCTV 설치·운영이 가능하다. 예를 들어, 시설안전과 사고원인 규명 등을 위해 차량 운전실에 근로자의 얼굴이 노출되지 않는 선에서 CCTV를 설치하고 최장 7일간 열람·이용기간을 둔 데 대해 근로자의 권리보다 우선시 된다고 인정 받은 사례가 있다. 반면, 시설안전·범죄예방이 목적이라는 이유로 경비실 근로자의 취침 등 휴식공간까지 모두 촬영하는 것은 근로자의 권리 침해로 본 판례가 있다.

이처럼 근로자 감시, 근태관리 등 해당 목적 외로 이용하려는 경우 ‘개인정보보호법 위반’에 해당할 수 있다. 또한, 근로자 자신의 모습이 촬영된 자료에 대한 열람·정정·삭제 및 처리정지 요구권 등을 보장받게 된다. 다만, CCTV 촬영 영상을 근로 당사자가 열람할 경우, 타인 영상은 모자이크 처리해 제3자 유출을 예방해야 한다.

업무 시 근로자 개인 업무 데이터 관리·접근도 불법? 권한 내에서만 활용해야 한다
회사에서 근로자는 업무를 볼 때 주로 회사 업무망에 접속해 처리하게 된다. 이에 따라 근로자의 업무 데이터 및 로그 기록 등은 그대로 회사 업무망에 남게 된다. 하지만 이 또한 당사자와 사전 협의 없이 접근하거나 근로자 감시 등의 목적으로 권한을 행사하면 안 된다. 근로자의 업무 로그 기록 역시 개인정보에 해당되기 때문이다.

다만, 회사의 이익을 빼돌리는 정황이 감지된 직원에 대해 업무망 내에 있는 하드디스크·메신저·이메일 등 특정 단어를 검색해 확인한 행위는 정당행위로 인정받은 사례가 있다. 영업비밀 보호는 근로자의 권리보다 우선시 되는 경우가 있기 때문이다.

그 외 개인정보를 수집 목적 외로 이용해서도 안 된다. 모든 정보는 필요 사항에 맞게 수집·활용하게 되어 있다. 한 예로, 실제 인사시스템 상 개인정보를 취득해 자신의 소송을 제기하는 데 사용한 경우, 업무상 알게 된 상대방의 연락처로 동의 없이 사적인 목적으로 연락하거나, 무단으로 주소 취득 후 자택을 방문하는 등의 부정 이용 사례가 있었다.

개인정보는 수집 단계부터 파기, 유출 대응 단계까지 모두 책임져야
개인정보는 수집 경로에 따라 종이문서, 우편, 이메일, 전자문서, 사진, 영상파일 등 다양한 형태로 존재한다. 그렇기 때문에 보유기간이 경과되거나 수집·이용 목적이 달성된 개인정보의 경우 보관 형태에 따라 각각 복구·재생되지 않는 방법으로 지체 없이 파기해야 한다. 생체정보, CCTV 등 영상정보의 경우 원본 데이터 삭제 등 각 종류에 맞는 파기 방법을 준수해야 한다.

개인정보 보유기간은 법령에 따라 정해진 경우 해당 기간 만큼만 보유가 가능하다. 근로자의 건강진단결과표의 경우 3년, 특정 화학물질과 같은 유해물질을 취급하는 근로자의 건강검진결과는 30년 동안 보관 가능하다.

개인정보는 필요 목적에 따른 수집부터 종료 후 파기, 그리고 행여 개인정보 유출사고 등이 발생하는 경우 대응 단계까지 전 과정을 완수해야만 ‘개인정보보호’가 이루어졌다고 볼 수 있다. 만약 개인정보 유출사고가 발생했다면 즉시 개인정보보호 업무 및 고충처리 담당부서와 연락처를 공개하고 유출 사실에 대해 당사자에게 유출 항목과 시점, 경위 등을 알려야 한다. 또한, 유출 대상자가 1천 명 이상인 경우 유출 사실에 대해 개인정보보호위원회 및 한국인터넷진흥원(KISA)에 신고해야 한다. 이와 함께 근로자 개인정보 침해 및 분쟁 발생 시 개인정보침해신고센터, 개인정보분쟁조정위원회를 통해 도움받을 수 있다.

한편, 6월 8~9일 서울 삼성동 코엑스 그랜드볼룸에서는 공공기관 및 기업의 개인정보보호 담당자 및 책임자들이 새롭게 개정되는 개인정보보호법에 대해 살펴보고, 다양한 개인정보 관련 사례 등을 공유하는 소중한 기회가 마련된다. ‘PIS ; Trust, 개인정보 신뢰사회’를 주제로 열리는 국내 최대 규모의 개인정보보호 콘퍼런스 ‘제12회 개인정보보호 페어 & CPO워크숍(PIS FAIR 2023)’이 바로 그것이다.

이번 행사는 개인정보보호 분야 유관기관 30여곳과 관련 업체가 함께 하는 행사로, 매년 4,500여명이 참가하는 국내 최대 규모의 개인정보보호 축제라고 할 수 있다. 공공기관 및 기업의 개인정보보호최고책임자(CPO)를 비롯해 개인정보보호 담당자, 개인정보 처리자는 PIS FAIR 2023 홈페이지를 사전등록할 경우 무료 참관이 가능하다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)