개인정보위, 아주대학교의료원 등 개인정보보호법 위반 4개 사업자 제재

개인정보 파기 의무 위반 등으로 과태료 1천600만원 부과

(지디넷코리아=황정빈 기자)개인정보보호위원회는 8일 제2회 전체회의에서 개인정보보호법을 위반한 4개 사업자에 총 1천600만원의 과태료 부과를 결정했다.

개인정보위는 유출·침해 신고, 경찰에서 이첩된 사건에 대해 조사한 결과 보유기간이 경과한 개인정보를 파기하지 않거나 취급 중인 개인정보에 대한 안전조치를 소홀히 하는 등의 보호법 위반 사실을 확인했다.

고학수 개인정보보호위원회 위원장이 2월 8일 오전 서울 종로구 정부서울청사에서 개최된 제2회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.

이번 처분대상 4개 사업자의 구체적인 위반 사례는 다음과 같다.

건대동문회관 예식부(KU컨벤션웨딩홀)는 법령에 따른 보유기간이 지나서도 일용직 근로자의 개인정보를 파기하지 않고 시스템에 보유했다. 

마루느루는 퇴직한 근로자의 개인정보를 법령에 따라 보존할 때 다른 개인정보와 분리해 저장하지 않아 퇴직자에게 업무 관련 문자를 발송한 사실이 확인됐다.

아주대학교의료원은 웹페이지를 통해 수집한 환자의 주민등록번호를 정보통신망을 통해 송신하면서 암호화 조치를 하지 않아 기술적 보호 조치를 미흡하게 한 것이 드러났다.

한국어린이안전재단은 홈페이지에 카시트 무상보급 사업 대상자를 공지하는 과정에서 신청자와 자녀의 개인정보(총 2천412명)를 가림 처리 없이 게시해 열람 권한이 없는 자에게 개인정보가 유출됐고, 개인정보 유출 사실을 안 때로부터 5일을 경과해 유출 통지·신고해 보호법 위반으로 판단했다.

이정은 개인정보위 조사1과장은 “사업자는 근로기준법이나 세법 등 법령에 따라 퇴직 근로자의 개인정보를 보존하는 경우에는 현직 근로자의 개인정보와 분리하여 보관해야 하고, 불필요한 개인정보는 지체없이 파기해야 한다”라고 강조했다.

특히 “인사·노무 담당자는 정기적으로 근로자의 개인정보 처리 현황을 점검할 필요가 있다”면서, 최근 개인정보위·고용노동부에서 인사·노무 업무 단계별 개인정보 보호 관련 원칙과 기준을 제시한 '개인정보 보호 가이드라인(인사·노무편)'을 참고할 것을 권고했다.

황정빈 기자(jungvinh@zdnet.co.kr)