<4>나도 개인정보처리자일까[정세진 변호사의 알쓸데이터법]

파이낸셜뉴스 2023. 9. 9. 10:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

<4>나도 개인정보처리자일까[정세진 변호사의 알쓸데이

<4>나도 개인정보처리자일까[정세진 변호사의 알쓸데이

가끔은 "제 휴대폰에도 주변 사람들의 연락처가 많이 저장되어 있는데 저도 개인정보보호법을 지켜야 하나요?"라고 묻는 분들이 있다. "회사의 직원으로서 고객정보를 처리하고 있는데, 저랑 회사 중 누구한테 개인정보보호법이 적용되나요?"라는 질문도 종종 받는다. 어찌 보면 쉬운 질문 같은데, 현답(賢答)을 하기가 쉽지 않다.
법상 개인정보처리자는 누굴까

이러한 궁금증을 해결하기 위해서는, 개인정보보호법의 적용 대상인 '개인정보처리자'가 누구인지에 대해 정확히 알아야 한다. 개인정보처리자란 ①업무를 목적으로 ②개인정보파일을 운용하기 위하여 ③스스로 또는 다른 사람을 통하여 개인정보를 처리하는 법인, 개인 등을 의미한다. 따라서, ①~③ 모두에 해당하는 경우에만 개인정보처리자가 된다.

①업무를 목적으로 개인정보를 처리하여야 한다. 따라서, 사적인 친분관계를 위하여 휴대폰에 연락처, 이메일, 주소록 등을 저장하는 경우나 모임을 안내하거나 청첩장을 돌리기 위해 전화번호나 이메일주소를 수집·이용하는 경우는 개인정보처리자에 해당하지 않는다.

②개인정보파일을 운용하기 위하여 개인정보를 처리하는 자여야 한다. '개인정보파일'이라는 용어가 낯설게 느껴질 수 있는데, 전자적 형태로 구성되어 검색·활용이 가능한 경우라면 이에 해당한다. 휴대폰에 저장되어 있는 연락처도 검색·활용이 가능하므로 개인정보파일이고 블랙박스에 저장된 영상정보도 촬영일시에 따라 체계적으로 저장되므로 개인정보파일에 해당한다. 그러나 일회성으로 메모나 문서를 작성하는 정도에 불과하다면 이는 개인정보파일을 운용하는 것에 해당하지 않는다.

③스스로 또는 다른 사람을 통하여 개인정보를 처리하는 법인, 개인 등에 해당하여야 한다. 여기에서의 '개인'이란 ①과 연결해서 생각하면 '본인의 업무를 목적으로 개인정보를 처리하는 자'이어야 한다. 따라서, 회사의 직원으로서 고객정보를 처리하는 경우는 본인의 업무가 아닌 회사의 업무를 위한 것이므로 개인정보처리자에 해당하지 않는다.

그럼 다시 처음의 질문으로 돌아가 보자.

평소에, 사적인 친분관계를 위하여 휴대폰에 지인들의 연락처를 저장해 두는 것이나 이를 사적인 목적으로 이용하는 것은 업무 목적으로 개인정보를 처리하는 것이 아니므로 그 사람은 '개인정보처리자'에 해당하지 않는다. 따라서 평소에 친구, 가족, 지인들의 연락처를 저장하고 있다고 하여 개인정보보호법 관련 걱정은 하지 않아도 된다. 다만, 이는 지켜야 하는 법적 의무가 없다는 것이지 정보를 안전하게 보관해야 한다는 점은 너무나 당연한 얘기이다.

또한, 내가 회사의 직원으로서 고객의 개인정보를 처리하고 있다면 회사가 자신의 업무 목적으로 직원을 통하여 개인정보를 처리하는 것이므로 회사가 개인정보처리자가 된다. 개인정보보호법에서도 임직원과 같이 회사의 감독하에서 개인정보를 처리하는 자는 '개인정보취급자'라는 용어로 달리 정하고 있다.

법상 개인정보처리자 아니면 처벌 안 돼

실제로 직원은 개인정보처리자가 아니기에 처벌할 수 없다고 판결한 판례도 있다. 회사의 총무팀장으로 근무하던 직원이 타 직원의 근무태도가 불량하였음을 입증할 수 있는 영상자료를 제3의 기관에 제출한 행위에 대해, 동의 없이 개인정보를 제3자에게 제공하였다고 문제 삼은 사건이었는데, 법원은 총무팀장인 해당 직원은 개인정보처리자가 아닌 개인정보취급자에 불과하므로 관련 규정(개인정보보호법 제17조 제1항 및 제71조 제1호)을 적용하여 처벌할 수 없다고 판단하였다.

정리하면 직원이 고객정보를 처리하면서 개인정보보호법을 위반하는 행동을 한다면 회사가 개인정보처리자로서 처벌받게 될 것이다. 다만, 개인정보보호법은 '개인정보를 처리하거나 처리하였던 자'의 금지 행위를 별도로 정하고 있고 이를 위반하는 경우에 대한 벌칙 규정을 두고 있는데(개인정보보호법 제59조), 이 규정에는 '개인정보취급자'도 포함된다고 해석하고 있다. 따라서, 설사 내가 개인정보처리자에는 해당하지 않는다고 하더라도 '개인정보를 처리하거나 처리하였던 자'에는 해당될 수 있으므로 법에서 금지하는 행위를 할 경우 처벌받을 수 있다는 점은 주의하여야 한다.

[필자 소개]
정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다.

개발자 출신의 엔지니어이기도 했던 정 변호사는 개발자들 사이에서 '말이 잘 통하는 변호사'로 통한다. 전문분야인 디지털 금융의 기본 법률을 다룬 책 '디지털금융 기초 법률상식'을 지난해 10월 출간했다. 성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다.

정세진 법무법인 율촌 변호사

정세진 법무법인 율촌 변호사

Copyright © 파이낸셜뉴스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
파이낸셜뉴스에서 직접 확인하세요. 해당 언론사로 이동합니다.