9월이 다가오면서 우리는 개인정보보호에 대한 새로운 변화를 마주하게 됩니다. 개인정보 유출 사고가 증가하면서, 이러한 상황을 예방하기 위해 우리의 개인정보를 보호하는 법률이 강화되는 것이죠. 그 중에서도 가장 크게 변화하는 것은 법적 처벌 수위입니다. 이제는 기업이 개인정보보호법을 어길 경우, 그 회사의 전체 매출 중 최대 3%까지 과징금을 지불해야 합니다. 이는 예전과 비교해 상당한 변화로, 이전에는 위반한 서비스의 매출만 과징금 대상으로 삼았었죠.
하지만 과징금만 높아지는 것은 아닙니다. 실제로 규제도 더욱 강화되어 가고 있습니다. 대다수의 국내 기업들은 정보보안 전문가를 보유하지 않는데, 이들은 주로 마케터나 기획자와 같은 직무에서 고객의 개인정보를 다루고 있습니다. 이벤트나 설문 조사를 위해 개인정보 수집동의서를 작성하고 배포하는 일이 대표적이죠. 이들은 종종 과거에 사용한 양식을 간단히 수정하거나 인터넷 검색을 통해 찾은 양식을 사용하기도 하는데, 이러한 양식들이 실제로 적법한지 여부를 판단하지 못하는 경우가 많습니다.
사실, 우리가 현재 사용 중인 고객의 개인정보는 부적절한 방식으로 수집된 경우일 가능성이 매우 높습니다. 개인정보 수집 과정이 잘못되면, 그 이후의 저장, 열람, 활용 단계 또한 불법이 됩니다. 이에 따른 과징금은 그저 경고만으로 끝나지 않을 수 있습니다.
개인정보의 주체는 개인입니다. 기업은 잠시 그 정보를 빌려다 쓰는 것에 불과합니다. 그러나 많은 기업들이 아직까지도 이를 철저히 관리하지 못하고 있습니다. 인식과 정보, 그리고 시스템의 부족으로 인해 개인정보 보호가 우리 모두에게 당연한 가치로 자리 잡지 못하고 있는 상황입니다.
오내피플 조아영 대표의 말처럼, 특히 스타트업이나 마케팅 대행사는 개인정보 유출 사고에 취약한 상황에 처해 있습니다. 고객 정보 수집은 빈번하지만, 전문적인 역량을 가진 인력이 부족한 경우가 많아서입니다. 이에 따라 개인정보 업무를 병행하는 마케터들에게 주의가 필요한 시점입니다.
국내 기업의 고객 정보 관리 상황을 살펴보면, 유출 사고에 무척 취약한 것이 사실입니다. 전문적인 부서를 두고 있는 기업을 제외하면, 대부분의 경우 마케터나 기획자 등 비전문가가 개인정보 수집동의서를 작성하고 있습니다. 보통 업무로 간주되어 전문가의 검토를 받지 않는 경우가 많기 때문이죠.
그게 왜 문제가 될까요?
보통은 예전에 사용한 개인정보 수집동의서를 그대로 복사하거나, 온라인에 유출된 양식을 참고하여 사용하는 경우가 많습니다. 그렇지만 이런 접근 방식은 실제로 큰 문제를 야기할 수 있습니다. 개인정보 수집동의서에 담기는 세부 내용은 수집하는 정보의 목적에 따라 다양해야 하며, 최신 규제 및 법령을 준수해야 합니다. 이를 전문적으로 이해하고 관리하지 않는 상황에서는 오류가 발생할 수 있습니다.
전문적인 지식 없이 양식을 복사하거나 인터넷에서 양식을 찾아 사용하면 어떤 문제가 발생할까요? 이에 대한 취약점 몇 가지를 살펴보겠습니다.
- 규제 준수의 부재: 개인정보 수집과 활용에는 규제와 법령이 관련됩니다. 각각의 수집 목적과 방식에 맞게 규정을 준수하지 않으면 법적 문제가 발생할 수 있습니다. 전문가가 아닌 사람이 만든 양식은 이러한 규제 준수를 반영하지 못하고 있을 가능성이 큽니다.
- 개인정보 노출 위험: 잘못된 개인정보 수집동의서는 개인정보의 노출 위험을 증가시킵니다. 양식에 불필요한 개인정보를 포함하거나, 개인정보를 제대로 보호하지 않는 경우, 이는 악용될 가능성을 높입니다.
- 신뢰성 하락: 양식이 부적절하게 작성된다면 고객들은 기업의 신뢰성에 대해 의심을 품을 수 있습니다. 개인정보를 제대로 관리하지 않는 기업은 고객들에게 부정적인 이미지를 전달하게 될 수 있습니다.
- 법적 제재: 개인정보보호에 관한 법령을 어기게 되면 법적인 제재를 받을 수 있습니다. 매출의 일정 비율을 과징금으로 지불하는 것뿐만 아니라 기업의 이미지와 신뢰도를 훼손시키는 결과를 초래할 수 있습니다.
- 고객 혼란: 잘못된 개인정보 수집동의서는 고객들이 어떤 정보를 어떤 목적으로 제공하는지 혼란스럽게 할 수 있습니다. 이로 인해 고객들은 기업과의 관계를 끊거나 혹은 더 나쁜 상황에서는 법적 조치를 취할 수도 있습니다.
전문가가 아닌 사람이 만든 개인정보 수집동의서는 규제 준수, 개인정보 보호, 기업 신뢰성 등 다양한 측면에서 문제를 야기할 수 있습니다. 개인정보보호법의 강화로 인해 이러한 문제에 대한 경각심을 갖고, 전문적인 조언을 구하는 것이 중요합니다.
법을 위반하고 있다구요?
앞에서 설명한 것과 같이 전문적인 지식 없이 잘못 작성된 개인정보 수집동의서를 사용하고 있다면, 이는 개인정보보호법과 관련된 문제로 법을 위반하고 있음을 의미합니다.
하지만 많은 회사가 동의서를 제대로 작성하지 않거나, 적법한 절차 없이 고객의 개인정보를 수집하고 있는 것으로 보입니다. 이런 상황은 큰 문제이죠. 왜냐하면 개인정보보호법은 개인정보를 수집하고 처리하는 과정에서 고객의 권리와 개인정보를 보호하기 위한 규제를 포함하고 있기 때문입니다.
고객들은 회사로부터 개인정보 수집에 대한 목적, 수집되는 정보의 종류, 활용 방식 등에 대한 명확하고 정확한 정보를 제공받아야 하며, 고객은 이러한 정보를 바탕으로 동의 여부를 결정할 수 있어야 합니다. 그러나 앞에서 언급한 것처럼 많은 회사들은 제대로 된 정보 제공 없이 동의서를 작성하고, 고객은 그저 동의 버튼을 누르는 경우가 발생할 수 있는 것이죠.
이러한 상황이 제대로 지켜지지 않는다면 그 자체로 법적인 문제가 될 수 있습니다. 개인정보보호법은 개인정보 수집과 처리에 대한 명확한 규칙을 정하고 있으며, 이를 따르지 않는다면 법적인 제재를 받을 수 있습니다. 만약 신고나 조사 등으로 이러한 불법적인 활동이 드러난다면, 회사는 법적 처벌을 받을 수밖에 없을 것입니다.
즉, 회사가 제대로 된 절차와 규정을 따르지 않고 개인정보를 수집하거나 처리하는 것은 법을 위반하는 것이며, 이는 신고 등을 통해 드러날 경우 처벌을 피할 수 없는 상황입니다. 이러한 문제를 해결하기 위해서는 법률 및 규제 준수를 지키며 개인정보를 처리하는 방법을 회사 내에서 심각하게 고민하고 개선해야 할 필요가 있습니다.
현장에서 대표적으로 저지르는 실수들
개인정보 수집 목적은 크게 두 가지로 나뉩니다
첫 째는 이벤트 및 광고 목적입니다. 각 목적에 따라 고객으로부터 동의를 받아야 하지만, 대다수의 회사들은 한 가지 목적에 대한 동의만을 받는 경우가 많습니다. 이는 이벤트에 참여한 고객에게 광고까지 보내는 상황을 초래할 수 있습니다. 만약 고객이 왜 광고를 받는지 물어본다면, 기업은 이에 대해 설명하기 어려울 수 있습니다.
또한 관리적인 측면에서도 여러 문제가 발생할 수 있습니다. 대부분의 기업은 구글폼이나 네이버폼과 같은 동의서 양식을 사용하여 고객정보를 수집하고, 이를 스프레드시트에 저장한 뒤 필요할 때 엑셀 파일로 내려받아 공유 폴더에 보관합니다. 그러나 이러한 접근 방식은 다음과 같이 여러 측면에서 문제가 될 수 있습니다.
- 정보 활용 불일치: 이벤트 동의만 받았음에도 불구하고 광고를 보내는 것은 고객들에게 혼란을 줄 수 있습니다. 이는 고객들이 회사의 신뢰를 잃을 원인이 될 수 있습니다.
- 규제 준수 어려움: 구글폼이나 네이버폼은 접속 기록이 남지 않아 규제 준수를 위한 점검이 어려울 수 있습니다. 개인정보보호법과 같은 규정을 따르기 위해서는 실제로 어떤 정보를 어떤 목적으로 수집했는지 추적할 수 있어야 합니다.
- 보안 취약성: 엑셀 파일이나 공유 폴더에 저장되는 고객정보는 보안 위험에 노출될 수 있습니다. 이는 개인정보 유출 사고를 초래할 수 있으며, 이에 따른 법적 문제와 이미지 피해를 야기할 수 있습니다.
현장에서 대표적으로 저지르는 실수 중 하나는 이벤트와 광고 목적에 따른 동의를 분리하지 않고 한 가지 동의만 받는 것입니다. 또한 구글폼이나 네이버폼과 같은 도구를 사용하면 규제 준수와 정보 보안 측면에서 문제가 발생할 수 있습니다.
이러한 실수를 방지하고 법적 문제를 피하기 위해서는 개인정보보호법을 준수하는 방법과 정보 처리 및 보관을 안전하게 관리하는 방법을 고민하고 적용해야 합니다.
회사의 입장
회사는 개인정보를 적절하게 관리하고 보호하기 위해 적극적으로 조치를 취해야 합니다. 그러나 일반적인 스타트업이나 중소기업의 상황을 보면, 회사가 개인정보 관리를 제대로 컨트롤하지 못하고 있는 모습이 나타납니다. 즉, 다양한 이유로 인해 회사 내에서 개인정보보호에 대한 적절한 시스템과 전문가의 부재로 인해 여러 문제가 발생하고 있는 것이죠.
- 전문가 부재: 회사 내에서 개인정보에 대한 전문 지식을 가진 전문가가 없다면, 올바른 개인정보 수집, 저장, 처리 및 보호를 위한 방법을 확립하기가 어려울 수 있습니다. 이는 법적인 문제와 이미지 피해를 야기할 수 있습니다.
- 정보 유출 위험: 참고 내용에서 언급한 대로 이직자가 자신이 했던 모든 프로젝트 정보를 가지고 퇴사한다면, 고객 정보까지 노출될 가능성이 있습니다. 이는 엄연한 개인정보 유출 사고입니다.
- 관리의 어려움: 회사가 사용하는 동의서 양식이 적법한지 아닌지, 개인정보를 어떻게 관리해야 하는지 등에 대한 정확한 지침이 없다면, 개인정보 방치의 악순환에 빠질 수 있습니다.
- 민원 대처의 어려움: 고객 민원이 발생했을 때, 회사가 적절하게 대처하기 어려울 수 있습니다. 정보가 흩어져 있거나 삭제된 경우, 적법한 동의서를 제시하는 것도 어려울 수 있습니다.
따라서 회사는 개인정보보호에 대한 중요성을 인식하고, 전문가의 도움을 받거나 외부의 컨설팅을 통해 개인정보 관리 시스템을 강화하고, 법적 규정과 최신 규제를 준수하며 고객 정보를 적절하게 관리해야 합니다. 이렇게 함으로써 회사는 법적인 문제를 피하고, 고객들의 신뢰를 유지하며, 업무의 효율성을 높일 수 있습니다.
실무자 입장에서 특히 주의해야 할 부분
9월부터 개인정보보호법이 강화됨으로 인해 실무자들은 다음과 같이 몇 가지 주요한 부분에 특히 주의해야 합니다.
- 개인정보처리방침 평가제 도입: 개인정보처리방침 평가제가 도입되어 웹사이트나 기업 내에서 고객 정보를 활용하는 모든 곳에 개인정보처리방침을 의무적으로 명시해야 합니다. 이 처리방침은 정부에 의해 평가되며, 최신 정보로 유지되고 쉽게 접근 가능한 위치에 게재되어야 합니다.
- 개인정보처리방침의 업데이트와 관리: 개인정보처리방침은 정기적으로 업데이트되어야 하며, 비전문가들이 규제에 맞춰 업데이트하고 관리하기 어려울 수 있습니다. 실무자들은 개인정보처리방침을 최신 상태로 유지하고 웹사이트 등에 쉽게 접근 가능한 위치에 게재하여야 합니다.
- 보안 담당자의 필요성: 작은 회사나 중소기업은 개인정보보호 규제를 준수하기 위해 보안 담당자의 필요성이 높아집니다. 규제 준수를 위해 컨설팅을 받거나 보안 전문가의 도움을 받는 것이 중요합니다. 이를 통해 규정 준수와 정보 보호를 보장할 수 있습니다.
- 시스템 구축의 복잡성과 비용: 개인정보보호 강화로 인해 시스템 구축이 필요한 경우, 비용과 시간이 소요될 수 있습니다. 작은 회사에서는 비용 부담이 크기 때문에 예산 계획과 비용 효율성을 고려하여 시스템을 구축해야 합니다.
- 벌칙과 과징금: 개인정보보호법 강화로 인해 더 엄격한 벌칙과 과징금이 부과될 수 있습니다. 실무자들은 개인정보를 적절하게 처리하고 보호함으로써 법적 문제와 과징금을 피하는 노력이 필요합니다.
개인정보보호법의 강화로 인해 실무자들은 개인정보처리방침 평가제, 개인정보처리방침의 업데이트와 관리, 보안 담당자의 필요성, 시스템 구축의 복잡성과 비용, 그리고 벌칙과 과징금 등에 주의해야 합니다. 개인정보보호를 위한 적절한 대응과 규제 준수는 기업의 신뢰도를 높이고 법적 문제를 피하는 데 도움이 됩니다.
마치며: 개인정보 업무를 담당 중인 실무자들에게
개인정보 업무는 중요하고 복잡한 과제입니다. 실무자들은 다양한 측면에서 개인정보보호에 주의를 기울여야 합니다. 아래 내용을 참고하시기 바랍니다.
- 전문 지식의 필요성: 개인정보 관련 법률과 규정을 공부하고 이해하는 것은 중요합니다. 올바른 정보를 얻기 위해 전문 분야가 아니더라도 기본적인 개념과 원칙을 이해하는 것이 필요합니다.
- 복잡한 업무의 위탁: 개인정보 업무는 복잡하고 법규 준수를 필요로 합니다. 이러한 업무를 효과적으로 처리하기 위해 플랫폼과 서비스를 활용할 수 있는지 고려해보는 것이 좋습니다. 이렇게 하면 원래 업무에 더 집중할 수 있을 것입니다.
- 정보 주체의 역할 이해: 개인정보보호는 모든 사람의 권리입니다. 실무자들도 기업의 근로자일 뿐만 아니라, 정보 주체로서 개인정보를 보호받을 권리가 있는 고객임을 명심해야 합니다.
- 규정 준수와 법적 책임: 개인정보보호법과 규정을 준수하는 것은 필수입니다. 개인정보 업무를 담당하고 있는 실무자들은 법적 책임을 이해하고 법규 준수를 통해 법적 문제를 피하는 노력이 필요합니다.
- 업데이트와 교육: 개인정보보호법과 관련된 변화나 업데이트 사항을 지속적으로 주시하고, 필요한 경우 교육을 통해 지식을 업데이트하는 것이 중요합니다.
개인정보 업무를 담당하는 실무자들은 개인정보보호에 대한 전문 지식과 법규 준수의 중요성을 이해해야 합니다. 복잡한 업무를 위탁하는 등 효율적인 방법을 고려하며, 정보 주체의 권리와 법적 책임을 염두에 두어야 합니다. 이를 통해 개인정보 보호를 강화하고 기업의 신뢰를 유지할 수 있을 것입니다.