2024.05.19 (일)
[CIOCISO매거진 김진석 기자] 개인정보보호위원회(위원장 고학수)는 8일에 진행된 제2회 전체회의에서 개인정보보호법을 위반한 4개 사업자들에게 총 1,600만 원의 과태료 부과를 결정했다.
이번 처분대상은 △건대동문회관 예식부 △마루느루 △아주대학교의료원 △한국어린이안전재단 등 4개 사업자이다. 위 사업자들은 보유기간이 경과한 개인정보를 파기하지 않고 정보관리에 대한 안전조치를 소홀히 하는 등의 보호법을 위반한 사실이 드러나 각 위반 조항에 따른 과태료를 부과했다.
‘건대동문회관 예식부(KU컨벤션웨딩홀)’는 일용직 근로자의 개인정보에 대한 보유기간이 경과했음에도 파기하지 않고 보유하고 있었으며, 도매업체 마루느루는 퇴직한 근로자의 개인정보를 다른 개인정보와 분리·관리하지 않아 퇴직자에게 업무 관련 문자가 발송된 사실이 확인됐다. 또, 아주대의료원은 웹페이지에 등록된 환자의 주민등록번호를 정보통신망으로 송신하면서 암호화하지 않는 등 기술적 보호 조치가 미흡했다. 한국어린이안전재단은 누리집(홈페이지)에 카시트 무상보급 사업 대상자 공지 과정에서 신청자와 자녀의 개인정보(총 2,412명)를 별도의 가림 처리(마스킹) 없이 게시해 열람 권한이 없는 대상까지 볼 수 있을 정도로 개인정보가 유출됐고, 해당 사실을 5일이 지나고 나서야 통지·신고해 보호법 위반으로 판단했다.
이에 개인정보위는 건대동문회관 예식부와 아주대학교의료원은 각각 과태료 300만원, 마루느루는 과태료 100만원, 한국어린이안전재단은 과태료 900만원을 각각 부과했다.
이정은 개인정보위 조사1과장은 “사업자는 근로기준법이나 세법 등 법령에 따라 퇴직 근로자의 개인정보를 보존하는 경우 현직 근로자의 개인정보와 분리해 보관해야 하고, 불필요한 개인정보는 지체 없이 파기해야 한다”고 강조했다. 특히 “인사·노무 담당자는 정기적으로 근로자의 개인정보 처리 현황을 점검할 필요가 있다”면서, 개인정보위·고용노동부에서 지난 1월 말에 발표한 인사·노무 업무 단계별 개인정보 보호 관련 원칙과 기준을 제시한 ‘개인정보 보호 가이드라인(인사·노무편)’을 참고할 것을 권고했다. 해당 가이드라인은 개인정보위 누리집 홈페이지를 통해 열람하거나 내려 받을 수 있다.