개인정보처리는 ‘사업자나 단체가 개인정보를 다루는 모든 행위’다. 개인정보수집·생성·기록·저장·보유·가공·편집·검색·출력·정정·복구·이용·제공·공개·파기 외에 유사행위가 모두 해당한다.

데이터 경제 시대로 오면서 안전한 정보 보호와 활용이 중요해졌다. 개인정보보호위원회 ‘개인정보처리방침 작성지침’을 토대로 개인정보 처리방침을 작성할 때 지켜야할 사항들을 업종별로 정리해본다. 이번 편은 공공기관과 여행업이 알아둘 내용이다.

공공기관은 개인정보파일 운용 시 포털 등록 사항 전부 기재 

공공기관은 정보주체 권리 보호와 대민 신뢰도 향상 등을 위해 개인정보 처리방침에 반드시 기재해야 하는 사항 이외에도 △공공기관 개인정보 관리수준 진단 평가 결과 △개인정보 영향평가 수행 결과 △개인정보보호인증 취득현황 등을 공개하는 걸 권장하고 있다. 

공공기관 개인정보 처리방침 기재사항은 ‘개인정보보호법’을 근거로 한다. 또 대부분 ‘의무’다. 가령 공공기관이 개인정보 파일을 운용할 땐, 법에 따라 개인정보 파일 명칭과 처리목적, 항목 보유기간을 개재해야 한다. 개인정보보호 종합 포털에 등록된 사항을 전부 기재하는 게 원칙이다. 분량이 많아 기재가 어려우면 정보주체가 알기 쉽게 이해할 수 있는 수준에서 요약하고, 상세한 내용은 개인정보보호 종합 포털을 안내해도 된다.

‘개인정보 영향평가 수행 결과’ 안내는 권장 사항이다. 개인정보 영향평가란 공공기관이 개인정보 파일을 운용하면서 이용자 개인정보 피해가 우려될 때 그 위험요인을 분석하고 개선사항을 도출하기 위한 평가다. 평가 대상은 △구축·운용 또는 변경하려는 개인정보파일에 민감 정보나 고유 식별 정보가 5만명 이상 △구축·운용 또는 변경하려는 개인정보파일에 100만명 이상 개인정보가 포함된 경우 등이다.

공공기관은 개인정보파일이 포함된 개인정보처리시스템을 대상으로 평가를 수행한 경우 그 사실을 알 수 있도록 별도로 안내할 수 있다. 이밖에 공공기관을 대상으로 매년 실시하는 공공기관 개인정보 관리수준 진단 결과를 처리방침 안에 작성해서 정보주체에게 안내하도록 하고 있다.

개인정보 국외이전·고유식별정보 처리내용 상세히 담아

여행업종은 해외비자 발급이나 여행자 보험 가입 등을 위해 여권번호 등 고유 식별 정보를 처리하거나 국외 여행사, 숙박업체로 개인정보를 제공해야 하는 등 중요 개인정보를 처리하는 만큼 작성 시 법령에서 정한 기재사항을 포함해야 한다.

개인정보 제3자 제공에 관한 사항을 기재할 때 개인정보 처리자는 정보주체 동의를 받거나 법률 규정 등 개인정보보호법에서 허용된 경우 이외엔 개인정보를 제3자에게 제공하지 않는다는 원칙을 기재해야 한다.

여행상품 예약 시 결제 대행 등 개인정보 처리업무를 위탁할 때도 마찬가지로 그에 관한 사항을 기재해야한다. 위탁이 이뤄질 땐 위탁받는 자와 위탁 업무 내용을 각각 안내한다. ‘개인정보 국외이전’ 또한 제3자 제공, 위탁과 구분해 처리방침에 기재하는 걸 권장한다.

개인정보위 관계자는 “‘여행업 편’은 숙박이나 항공, 렌터카 등 여행업 종사자들이 참고하도록 작성됐다”며 “개인정보 국외이전이나 고유 식별 정보 처리를 꼼꼼히 확인하게끔 내용을 넣었다”고 설명했다.

송금종 기자 song@kukinews.com