자기정보 결정권에 대한 관심 및 개인정보 침해에 따른 손해배상 증가로 개인정보 보호에 대한 사회적 요구가 거세지자 정부는 2011년 3월 개인정보보호에 관한 일반법인 ‘개인정보 보호법’을 제정하여 같은 해 9월 30일부터 시행 중이다.
이에 따른 후속작업으로 정부는 개인정보 보호 기반조성 및 개인정보 보호법의 안정적 정착을 위해 분야별 특성을 고려한 업무처리 기준을 마련해 왔는데, 최근 개인정보보호 가이드라인 ‘인사·노무 편’을 발표 하였다. 본지에서는 이중 인사쟁이와 아웃소서가 알아야 할 주요내용을 FAQ 형태로 정리해 보았다.(자세한 내용은 본지의 홈페이지 자료실 참조)
단계별 개인정보 처리요령
1. 채용 전 단계
Q1: 신입사원 채용을 위해 입사지원서를 받으려고 합니다. 개인정보를 얻기 위해서 지원자의 동의를 받아야 하나요?
답변) 민감정보, 고유식별정보를 제외하고 채용을 위해 필요한 최소한의 개인정보에 관하여는 동의 없이 수집할 수 있습니다.
○ ‘계약의 체결’에는 계약 체결을 위한 준비단계도 포함됩니다. 가령, 회사가 근로계약 체결 전에 지원자의 이력서 등을 수집·이용하는 경우가 이에 해당됩니다.
○ 최소한의 개인정보 예시:지원자를 확인하는데 필요한 이름, 생년월일, 연락처, 주소, 학력, 성적, 자격사항 등 (채용예정 직위의 직무수행을 위해 관련 학력, 경력이 요구되는 경우)
○ 참고로 온라인 채용사이트 운영자 및 채용대행사 등은 구직자에게 개인정보처리에 대해 구체적으로 안내하고 동의를 받은 후 동의 받은 범위에서만 관련 정보를 활용·제공하여야 합니다.
※ 수집시 별도 동의가 필요한 개인정보
▶고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
▶민감정보 : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등
Q2: 주민등록번호도 동의 없이 수집할 수 있나요?
답변) 주민등록번호의 수집은 원칙적으로 금지됩니다.
○ 반드시 필요한 경우가 아니면 주민등록번호 등 고유식별정보는 수집하지 마세요. 다만, 입사지원자의 주민등록번호를 반드시 사용해야 한다면 지원자로부터 별도의 동의를 받아 수집할 수 있습니다. 또한, 수집한 주민등록번호는 암호화해서 보관해야 합니다.
Q3: 신원 조회를 위해 관련 기관에 입사지원자의 개인정보를 제공하려고 하는데, 별도의 동의를 받아야 하나요?
답변) 입사지원자에게 별도의 추가적인 동의를 받아야 합니다.
Q4:입사지원자의 학력과 자격 정보를 수집하려고 하는데 동의를 받아야 하나요?
답변) 채용계약 체결을 위해 필수적인 정보가 아니라면 동의를 받아야 합니다.
○ 채용예정 업무의 특성상 학력과 자격이 반드시 요구되는 경우라면 입사지원자의 동의 없이 수집할 수 있습니다.
○ 그러나 단순노무직과 같이 학력이나 자격증이 요구되지 않는 직무라면 관련 개인정보는 채용계약 체결을 위한 필수적 정보라고 할 수 없습니다.
Q5: 입사지원자가 제출한 개인정보의 진위 확인이 필요합니다. 어떻게 하면 될까요?
답변) 정당한 기관에서 발급한 증명서를 제공받아서 확인하시면 됩니다.
Q6: 상시채용시스템 운영을 위해 탈락자의 개인정보를 계속 보존해야 하는데 어떻게 해야 하나요?
답변) 입사지원서 접수 시 지원자에게 보존기간 및 목적을 알리고 동의를 받아야 합니다.
○ 사용자는 채용과정이 종료되면 탈락자의 개인정보를 지체 없이(5일 이내) 삭제해야 하는 것이 원칙입니다. 다만, 인재 DB 등을 구축하여 상시채용을 하는 경우, 필요한 기간을 명시하고 정보주체의 동의를 받아 보관할 수 있습니다.
○ 이 경우에도, 정보주체가 삭제를 요구하는 경우에는 지체 없이 삭제하여야 합니다.
2. 채용 결정 단계(근로계약 체결)
Q1: 인사, 급여 등을 위해 재직 중인 직원의 개인정보를 수집하고 이용하는 경우에도 동의를 받아야 하나요?
답변) 동의 없이 수집하고 이용할 수 있습니다. 그러나 건강, 범죄경력 등 민감정보를 수집하여 이용할 때에는 별도 동의를 받아야 합니다.
Q2: 직원의 주민등록번호를 수집하고 이용할 경우, 별도의 동의를 받아야 되나요?
답변) 임금지급 업무와 같이 관련 법령에 근거 규정이 있는 경우, 별도 동의 없이 수집하고 이용할 수 있습니다. 법적 근거가 없는 경우에는 별도의 동의를 받아야 합니다.
Q3: 재직 중인 직원의 종교, 범죄관련 정보 등을 수집하고 이용할 경우, 별도 동의를 받아야 하나요?
답변) 별도의 동의를 받아야 합니다.
Q4: 근로자의 건강정보를 수집하고 이용할 경우, 별도 동의를 받아야 하나요?
답변) 산업안전보건법 및 진폐의 예방과 진폐근로자의 보호 등에 관한 법 등 관련 법령에 따라 직원의 건강보호 유지목적으로 사용할 경우 별도의 동의가 필요 없습니다.
Q5: 근로자의 가족 개인정보를 확인하여 적절한 복지혜택을 제공하고자 합니다. 이 경우에는 근로자 가족의 동의를 받아야 하나요?
답변) 가족수당 제공, 자녀 학자금 지원 등을 통해 근로자에게 복리후생을 제공하는 경우에는 가족으로부터 개인정보 수집에 대한 동의를 받을 필요 없습니다. 이 경우 반드시 복지제공에 필요한 최소한의 정보만을 수집하여야 합니다.
○ 다만, 고유식별정보를 수집하게 되는 경우에는 가족으로부터 별도의 동의를 받아야합니다. 그러나 가족관계증명서 및 주민등록등본 등을 발급받을 때 주민번호 뒤 7자리가 보이지 않도록 처리하여 제출 받는 경우에는 별도의 동의는 필요 없습니다.
3. 고용 유지 단계
Q1: 인사관리시스템과 인사담당자의 PC를 안전하게 관리하기 위해 취해야할 조치는 무엇인가요?
답변) 비밀번호 설정, 백신 소프트웨어 설치, 방화벽 가능, 암호화 기능 등을 적용해야 합니다.
Q2: 위탁교육 등을 위해 외부 업체에 직원의 개인정보를 제공하려고 하는데, 어떻게 해야 하나요?
답변) 업무처리 의뢰(업무위탁)에 관한 사항은 문서로 작성하세요. 개인정보를 제공받은 업체와 업무의 내용을 내부 게시판 등을 통해 직원들에게 공개하세요. 직원정보를 제공받은 업체가 이를 잘 관리할 수 있도록 감독하세요.
Q3: 개인정보 업무처리를 외부 업체에 위탁했는데 그 업체의 과실로 손해가 발생한 경우 손해배상책임은 누구에게 있나요?
답변) 위탁자와 수탁자 모두에게 있습니다.
○ 개인정보 보호법 제26조 제6항은 손해배상책임에 대해서 수탁자를 위탁자의 소속직원으로 본다고 규정하여 위탁자에게도 사용자로서 관리책임을 부과하고 있습니다. 업무를 위탁한 사업자는 위탁받은 사업자가 개인정보보호 규정을 준수하도록 관리하고 감독할 의무가 있습니다.
○ 손해를 입은 정보주체(근로자 등)는 위탁자나 수탁자 중 어느 한 쪽에 손해배상을 청구할 수 있고, 위탁자는 수탁자에게 구상권을 행사할 수 있습니다.
Q4: 업무처리를 위탁할 때 사용하는 계약서가 따로 있나요?
답변) 형식은 정해져 있지 않지만 아래 사항이 계약서에 반드시 포함되어야 합니다.
① 업무위탁 목적 이외의 다른 목적으로 개인정보를 이용할 수 없다는 것
② 개인정보를 안전하게 관리하기 위해 취해야할 조치
③ 위탁업무의 목적
④ 재위탁 제한에 관한 사항
⑤ 위탁업무와 관련하여 개인정보의 관리현황을 점검하고 감독할 수 있다는 것
⑥ 손해배상 등에 관한 사항 등
4. 고용 종료 단계
Q1: 퇴사한 직원의 개인정보는 언제 파기해야 하나요?
답변) 퇴사 후 3년이 지나고, 보유기간이 종료된 후 5일 이내에 파기하세요.
○ 근로기준법에서 퇴직근로자의 사용증명서 청구권 행사기간을 3년으로 하고 있습니다. 따라서 사용증명서 발급을 위한 퇴직근로자 개인정보 보존연한은 최소 3년입니다.
○ 단, 경력증명 등 퇴직근로자의 사용증명서 발급을 위해 3년 이상 보관할 필요가 있는 경우, 근로자에게 동의를 받아서 보관하면 됩니다.
Q2: 개인정보 파기는 어떻게 해야 하나요?
답변) 개인정보가 복구 또는 재생되지 않도록 해야 합니다.
○ 컴퓨터에 저장된 파일 형태일 경우 복원이 불가능한 상태로 영구 삭제하시고, 기록물, 인쇄물, 서면 등의 형태일 경우 파쇄 또는 소각해야 합니다.
Q3: 이 법 시행전부터 보관하고 있던 퇴직자의 개인정보에 대하여 보관에 관한 동의를 받거나 파기하여야 하나요?
답변) 그렇지 않습니다. 경력증명 등을 위한 목적으로 보관?이용하고 있던 퇴직근로자의 개인정보는 해당 목적으로만 사용하는 경우에는 추가적인 동의 없이 파기하지 않고 이용하실 수 있습니다.
○ 다만 주민등록번호 등 고유식별정보에 관하여는 개인정보보호법 제29조에 따라 안전조치를 해야 할 의무가 있습니다. 퇴직근로자의 개인정보를 이용하여 마케팅을 하는 등 원래의 보유목적과 다른 용도로 이용하시고자 하는 경우에는 동의를 받으셔야 합니다.
저작권자 © 아웃소싱타임스 무단전재 및 재배포 금지
