개인정보보호법이 30일부터 본격 시행되지만 사업자 입장에서는 도대체 어떻게 준비해야할지 막막하기만 하다.
복잡한 법 조항들을 꼼꼼이 읽어보고 하나하나 체크하기도 어렵고, 무작정 개인정보를 취급하지 않을 수도 없다. 까딱 잘못하다가는 범법자로 고소당하는 것은 아닐지, 근심 가득한 경영자들의 가슴을 진정시켜줄 쉽게 풀어보는 개인정보보호법 체크리스트. 이것만 명심하면 개인정보보호법을 제대로 지킬 수 있다.
먼저 무분별한 개인정보 수집을 자제하고 서비스 제공에 꼭 필요한 필수정보를 선택적으로 구분한다. 인터넷쇼핑몰 등 대부분 물품을 구매하는데 있어 주민등록번호나 생년월일 따위는 필요없다. 불필요하게 수집된 개인정보가 자칫 해킹 등으로 유출됐을 경우 법적 책임이 크게 증가하기 때문에 서비스 제공에 필요한 최소한의 정보만을 수집하는 것이 현명하다.
또한 서비스 제공과 관련 없는 개인정보(선택정보)를 고객이 입력하지 않는다고 해서 서비스를 거부하는 것은 과태료 3000만원 부과사항이다. 때문에 꼭 필요한 정보만을 수집해야한다.
주민번호 등 고유식별번호와 종교, 건강정보 등 민감정보는 원칙적으로 처리가 금지되기 때문에 수집 시 법령에 근거가 있는지, 홈페이지 또는 서식에 사용자로부터 별도의 동의를 받는 서식이 있는지 반드시 확인해야한다.
홍보, 판매목적으로 개인정보 처리 업무를 위탁할 때 위탁사실을 고객들에게 반드시 고지해야한다. 예를 들어 택배회사의 잘못으로 개인정보가 유출될 경우 개인정보를 위탁한 업체가 손해배상을 해야 하기 때문이다.
개인정보파일은 DB보안 프로그램, 암호화 소프트웨어 등 안전한 방법을 사용해 보관해야한다. DB에 접근제한, 백신 프로그램 설치, 방화벽 등 침입차단 시스템을 설치하고 필요한 보호조치를 취해야한다. 고객 개인정보가 담긴 계약서나 청약철회서처럼 보관해야 불이익을 당하지 않을 문서를 보관할 경우에는 계약청약철회 기록 보존 5년, 소비자 분쟁처리기록 3년 등 법률에서 지정한 기한을 숙지하고 이를 준수하는 것이 좋다. 이미 수집된 개인정보파일은 이용한 후 전자문서, 일반문서 모두 반드시 알아볼 수 없도록 파기해야한다.
기존에는 현재 민간에 설치된 280만대의 CCTV를 관리감독 할 근거법이 없었지만 개인정보보호법 시행으로 CCTV의 설치·운영이 제한된다. CCTV 안내판이 설치되어있지 않은 경우가 대다수기 때문에 법 시행 시 안내판 설치, 접근권한 제한 등 안전성 조치를 취해야한다.
개인정보보호에 관한 지침과 문서를 명확히 구비하고 사용자의 열람청구에 대비해야한다.
또 개인정보 유출 사고 발생 시 즉각 통지해야한다. 유출 대응을 지연할 경우 과태료가 부과되고 유출이 확인된 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 이에 철저히 대비해야한다.
장윤정기자 linda@etnews.com