개인정보처리는 ‘사업자나 단체가 개인정보를 다루는 모든 행위’다. 개인정보수집·생성·기록·저장·보유·가공·편집·검색·출력·정정·복구·이용·제공·공개·파기 외에 유사행위가 모두 해당한다.

데이터 경제 시대로 오면서 안전한 정보 보호와 활용이 중요해졌다. 개인정보보호위원회 ‘개인정보처리방침 작성지침’을 토대로 개인정보 처리방침을 작성할 때 지켜야할 사항들을 업종별로 정리해본다. 이번 편은 학원·교습소와 의료기관·약국이 알아둘 내용이다.

장기 미이용자 개인정보 보호조치 사항 기재

두 업종 모두 개인정보처리 목적을 반드시 기재하되 가능한 상세히, 정보주체가 알기 쉽게 표현해야한다.

학원이나 교습소는 아동 개인정보 처리가 많다. 아동 개인정보를 동의를 받아 처리하려고 할 땐 ‘법정 대리인 동의를 얻어 개인정보를 수집 한다’는 내용과 법정대리인 동의 확인방법 등을 구분해 기재하는 게 좋다.

개인정보를 제3자에게 제공할 때가 있다. 학원·교습소가 그룹사인 경우 자회사 통합회원 가입을 위해 수강생 개인정보를 제공하거나, 학습기기·교재를 판매하려고 타사 학생 정보를 제공하는 경우 등이다.

3자 제공사항은 반드시 기재해야 한다. 개인정보처리자는 정보주체 동의를 받거나 법에서 허용한 경우를 제외하곤 개인정보를 제3자에게 제공하지 않는다는 원칙도 기재해야한다.

개인정보 처리업무를 위탁할 때도 사항을 기재해야 한다. 위탁받은 자(수탁자)와 위탁업무 내용을 각각 기재한다. 위탁업무 내용이나 수탁자가 바뀌면 개인정보 처리방침에 지체 없이 변경 사항을 공개해야 한다. 처리 중인 개인정보가 불필요할 땐 지체 없이 파기한다는 내용도 담아야한다.

인터넷강의 등 정보통신망을 이용한 서비스를 제공하는 개인정보처리자는 1년 간 접속하지 않은 개인정보를 보호하기 위한 조치 사항을 처리방침에 기재해 정보주체가 명확히 알 수 있도록 해야한다. 학원·교습소 내 개인정보 보호책임자와 성명, 부서명, 연락처도 기재해야한다.

개인정보 보호책임자는 성격이나 규모를 고려해 복수로 지정할 수 있다. 대신 전체 개인정보보호를 총괄하는 최고 책임자 1인은 반드시 지정해야한다. 꼭 책임자 직통 번호를 적을 필요는 없다. 문의나 고충이 원활히 처리될 수 있는 책임자 소속 부서 연락처를 기재해도 된다.

의료기관·약국 폐업 시 의료기록 파기·이관법 기재

의료기관이나 약국에선 환자 건강상태·신체특징·병력 등 민감 정보는 물론 의료·약사법 등에 따른 주민등록번호 등 고유 식별정보 처리가 발생하고 있다. 의료기관과 약국이 특히 조심해야 할 점은 개인정보 파기절차와 방법이다. 처리중인 개인정보가 불필요할 땐 지체 없이 파기한다는 내용을 기재해야 한다.

다른 법령에 따라 개인정보를 파기하지 않고 보존할 경우엔 법령명과 조문, 보존하는 개인정보 항목을 상세히 적어야한다. 또 의료기관이나 약국을 폐업할 때 보관하고 있던 의료기록 파기 또는 이관방법도 기재해야 한다.

개인정보위 관계자는 “학원 교습소 편은 만 14세 미만 아동에 관한 개인정보 처리에 관한 내용을 조금 더 유념해서 담았다”며 “의료기관 약국 편은 관련 법령이 많아서 부록으로 따로 정리했고 개인정보 항목 자체가 진료예약이나 건강 정보가 많은 만큼 폐업이나 휴업신고할 때 조심해야 할 사항을 의무로 넣었다”고 설명했다. 

송금종 기자 song@kukinews.com