솔루션

중소기업 개인정보보호법 준수 체크리스트

이유지 기자
- 이니텍, 정보주체 대상 명확한 동의…주민번호 외 회원가입 방법 필요 강조

[디지털데일리 이유지기자] 9월 30일 개인정보보호법 시행으로 350만개 공공기관과 민간 사업자, 비영리단체는 개인정보를 제대로 관리하지 못할 경우 최소 1000만원 이하의 벌금, 최대 10년 이하의 징역의 처벌을 받을 수 있게 된다.

보안업체인 이니텍이 개인정보보호법 시행을 앞두고 소규모 사업장에서 꼭 알아야 하는 체크리스트를 정리해 30일 발표했다.  

우선 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기해야 한다. 개인정보파일을 많이 보유할수록 홍보나 마케팅에 활용하기 위해 쉽게 파기하지 못하고 갖고 있는 중소기업들이 많다. 이벤트 업체나 홍보·마케팅 업체의 경우, 한번 수집한 개인정보를 쉽게 파기하지 않는다.

하지만 개인정보보호법이 발효되면 정보주체의 동의를 받았더라도 이러한 개인정보 역시 보유·이용기간이 끝났거나 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 만약 컴퓨터에 저장된 문서로 갖고 있는 경우라면 로우 레벨 포맷이나 삭제 소프트웨어를 사용해 처리해야 한다.

또 개인정보파일은 DB보안 프로그램이나 안전한 방법을 사용해 보관해야 한다.

개인정보파일은 유출됐을 때 명의도용·불법마케팅·피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다. 안전하게 보관하기 위해서는 데이터베이스보안 프로그램을 사용해 암호화 보관하는 것이 가장 좋은 방법이다.

계약 철회서·청약철회서·분쟁처리문서처럼 꼭 보관해야 하는 경우에는 예외사항을 준수하는 것도 필요하다.

고객의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않으면 불이익을 당할 수도 있는 문서를 보관해야 하는 경우에는 법률에서 지정한 예외사항을 숙지하고 이를 준수하는 것이 좋다. 계약·청약철회 등에 관한 기록 5년, 대금 결제 및 재화 등의 공급 기록 5년, 소비자 불안·분쟁처리관등의 기록의 경우 3년을 보관할 수 있다.

개인정보보호에 관한 지침문서를 명확하게 구비해 놓는 것도 중요하다.

개인정보보호관련 문서를 명확하게 구비하지 않았다면 개인정보가 유출되는 만약의 사태에 막중한 손해배상책임을 질 수 있다. 때문에 기업에 개인정보 열람 청구서, 개인정보정정, 삭제 요구서를 비치하고 인터넷 웹사이트의 경우 회원정보 열람 정정메뉴, 회원탈퇴메뉴, 주문내역확인메뉴를 쉽게 찾을 수 있도록 하는 것이 좋다.

개인정보가 필요하지 않은 민간업체는 무분별한 개인정보 수집을 자제해야 한다.

예를 들어 인터넷쇼핑의 경우 물품을 구매하는데 있어 주민등록번호나 생년월일은 필요치 않다. 이러한 정보는 다른 정보와 결합됐을 때 개인을 알아볼 수 있는 정보에 해당하기 때문에 수집시 암호화가 필요하다. 암호화를 해야 할 경우 업체에서 비용 부담이나 서버에 부담이 많이 가기 때문에 꼭 필요치 않을 경우에는 주민등록번호 등의 개인정보를 수집하지 않도록 하는 것이 현명하다.

개인정보를 위탁할 때에는 반드시 고객의 동의를 구해야 하며, 유출 사고 시엔 배상 책임이 있다는 점을 명심해야 한다.

만약 쇼핑몰 측에서 택배회사에 고객의 개인정보를 위탁하고 배송을 의뢰한 경우라면 고객에게 택배회사로 개인정보가 위탁된다는 사실을 알리고 동의를 구해야 한다.

택배회사의 잘못으로 인해 고객의 개인정보가 유출되어 피해가 발생한 경우, 과거에는 택배회사의 잘못이었지만 개인정보보호법이 실행되면 개인정보를 맡긴 업체 즉 수탁자가 손해배상을 해야 하므로 더 각별한 주의가 필요하다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널