안녕하세요,
본 기고글에서는 필자가 개인정보 처리방침을 작성한 경험을 공유 하고 싶습니다.
국내 중소회사 재직 당시, 내부 일정 상 급하게 개인정보 처리방침을 작성/게시해야 했습니다. 당시 개인정보보호 관련 업무를 처음 맡아 시행착오가 있었지만, ISMS-P 인증 기준 및 관련 가이드 등을 참고해 세부 추진 계획을 수립했었습니다. 크게 아래 4가지 포인트로 생각했습니다.
1.개인정보 관리체계 범위 설정/정의 (핵심 서비스, 조직(임직원), 시설, 위치 등)
2.개인정보 업무 현황 파악 (흐름표 위주)
3.개인정보처리방침 초안 마련
4.내부 보고/법무팀 협업 후 최종 게시
ISMS-P 인증 내 관련 기준 (3.5.1 개인정보처리방침 공개)은 다음과 같습니다. “개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.”
개인정보 처리방침 작성 업무를 하면서 어려웠던 점, 또는 중요하게 생각한 포인트 등을 위주로 정리 하겠습니다. ※ 회사 기밀 내용 등이 포함될 수 있으므로 세부적인 부분을 공유드리지 못하는 점은 미리 양해 부탁 드립니다.
1.개인정보 관리체계 범위 설정/정의 (핵심 서비스, 조직(임직원), 시설, 위치 등) 당시 회사 내 뚜렷한 개인정보 처리 흐름도 및 관련 업무에 대해 문서화가 되어 있지
않았었습니다. 또한 개인정보처리자 현황도 목록화되어 관리되고 있지 않았습니다. 따라서, 최대한 개인정보 처리방침 작성을 위한 범위를 구체화해야 했습니다. 재직 중인 보안 담당자 및 유관 부서 등을 통해 를 아래와 같은 정보를 수집 했습니다.
-오프라인 (수집 동의서)을 통해서만 개인정보 수집
-특정 마케팅, 세일즈 부서에서 고객 개인정보 처리
-제3자 제공 및 위탁은 없음
-서비스 특성 상 만 14세 미만 동의는 해당 되지 않음
2.개인정보 업무 현황 파악 (흐름표 위주)
업무상 제일 까다롭다고 생각하는 부분이 “업무 현황 파악”이라고 생각합니다. 정보보호 및 개인정보보호 관리체계가 갖추어져 있지 않은 환경에서 개인정보의 수집/이용/제공/파기 전 과정이 일목요연하게 문서화 되거나 또는 체계적으로 시스템화 되어 있지 않기 때문입니다. 보통 업무상 필요에 의해 사용하고 파편화되어 관리되기 때문입니다.
유관 부서에게 효율적인 업무 요청을 위해, 일차적으로 ISMS-P 인증 기준 가이드라인, 개인정보 영향평가 가이드라인 등을 참고해 마케팅, 세일즈 부서에 현황파악을 위한 ‘흐름표’를 아래와 같이 작성했습니다.
No. | 업무명 | 수집항목 | 수집경로 | 수집대상 | 수집주기 | 수집 담당자 | 수집 근거 |
예시 | 회원 가입 | 필수: 성명, 생년월일 | 홈페이지 | 이용자 | 수시 | 홈페이지 담당자 | 이용자 동의 |
|
| , 성별 선택: 이메일 |
|
|
|
|
|
1 |
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
Figure 1. 개인정보 수집 흐름표 (예시)
FM대로라면, 최종 개인정보 흐름도 작성 및 그에 따른 개인정보 Life-Cycle 기반의 관리를 위한 ‘개인정보 이용 흐름표’, ‘개인정보 파기 흐름표’ 등을 작성 후 유관 부서와 확인해야 했지만, 업무 순서 상 개인정보 처리방침 작성을 위해 추후 과업으로 미루어야 했습니다. 보완 사항으로 “개인정보 수집을 위한 이용자 동의서” 및 각 개인정보 수집 관련 업무에 따른 파기에 대한 이행 내역을 확인했습니다. 관련 부서 담당자와의 인터뷰 및 관련 증빙/이행 내역을 중점적으로 파악했으나, 파기의 경우, 증빙이 제대로 갖춰져 있지 않았습니다.
현업 부서와의 미팅 및 메일 커뮤니케이션 관련 고충도 있었습니다. 세일즈 부서의 경우, 개인정보 및 정보보호 업무를 보조적인 일로 치부했습니다. 업무 협조 메일에 대해 회신을 하지 않거나, 관련 미팅에 급작스럽게 참석하지 못하는 경우도 종종 있었습니다. 정보보호 및 개인정보보호 업무의 경우, 경영진의 의지 및 임직원의 적극적인 동참이 없이 업무 추진이 쉽지 않다고 생각합니다.
3.개인정보처리방침 초안 마련
현업 부서의 지원으로 현황파악이 어느정도 이루어진 후 개인정보 처리방침 초안을 작성했습니다. 오프라인 형태로 고객 정보를 수집했기 때문에 ‘정보통신서비스 제공자’ 수준의 추가 확인사항 (e.g. 자동수집장치)에 대한 부담은 덜 수 있었습니다.
아래와 같이 체크리스트를 만들고 회사가 의무적으로 기재해야 할 사항을 위주로 리스트 업 했습니다.
No. | 기재 사항 | 구분 |
1 | 제목 및 서문 | 의무 |
2 | 개인정보의 처리 목적 | |
3 | 개인정보의 처리 및 보유 기간 | |
4 | 처리하는 개인정보의 항목 |
5 | 개인정보의 파기절차 및 파기 방법 |
|
6 | 정보주체와 법정대리인의 권리/의무 및 그 행사방법에 관한 사항 | |
7 | 개인정보의 안전성 확보조치에 관한 사항 | |
8 | 개인정보 보호책임자에 관한 사항 | |
9 | 개인정보의 열람청구를 접수/처리하는 부서 | |
10 | 정보주체의 권익침해에 대한 구제방법 | |
11 | 개인정보 처리방침의 변경에 관한 사항 |
Figure 2. 개인정보 처리방침 목차 (예시)
개인정보 처리방침 작성 시, 안의 본문을 신규 작성하진 않았습니다. 동종 업계/타 회사의 개인정보 처리방침 및 한국인터넷진흥원(KISA) 에서 발간한 “개인정보 처리방침 작성지침” 가이드라인 내 예시를 참고해 작성했습니다.
4.내부 보고 및 법무팀 협업 후 최종 게시
내부 보고 및 법무팀 협업은 다른 업무에 비해 비교적 순조롭게 진행되었습니다.
다만, 내부 위험평가에 따라 추가 보완이 필요한 영역이 존재 했습니다. 바로 “파기” 영역 입니다.
개인정보 처리방침 초안을 작성 후 업무를 마무리해 가는 시점에, 회사 외부에 파기 되어야 할 이용자의 개인정보가 보관되어 있다는 사실을 알게 되었습니다.
법적 리스크가 존재하는 상황이라 “위험 수용”의 전략도 불가능한 상황이었습니다.
개인정보 최고책임자 및 경영진에게 보고 후 최대한 빠른 시일 내에 파기하는 것을 목표로 업무 일정을 수립했습니다.
추가 전략으로, 홈페이지 내 개인정보 처리방침 본문에 시행일/공고일을 다르게 두어, 일단 일정 상 공고는 하되, 개인정보 처리방침 시행일 도래하기 전 외부에 있는 개인정보가 파기될 수 있도록 진행했습니다.
1개의 댓글이 있습니다.
자료 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입