개인정보보호법 제15조(개인정보의 수집·이용) 4항에서 계약 체결 및 이행을 위해서는 개인정보를 동의 없이 수집해도 된다라고 규정하고 있다.
| [제15조 4항] 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 |
개인정보보호법 제21조 (동의를 받는 방법)에서 정보 주체로부터 개인정보처리와 관련한 동의를 받을 시,
동의를 받아야하는 항목과 계약 체결을 위해 동의를 받지 않아도 되는 개인정보 항목을 구분하여 고지하여 동의를 받도록 규정하고 있다.
|
[제21조 3항] 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. |
여기서 계속 언급되는 "정보주체와의 계약 체결과 이행"은 어느 정도의 범위까지 허용되는 것일까??
법령 및 표준지침 해설서에는 이러한 사례를 직접 언급하고 있으니 해당 범위 안에서 사내 서비스에 적용이 가능한지 확인해야 할 것이다.
| ⓐ 계약체결 사례 | 1) 보험회사가 계약체결을 위해 청약자의 자동차 사고이력, 다른 유사보험의 가입여부 등에 관한 정보를 수집하는 경우. |
| 2) 거래 체결전에 거래 상대방의 신용도 평가를 위해 정보를 수집·이용하는 경우. | |
| 3) 채용 및 근로계약 체결전 지원자의 이력서, 졸업증명서, 성적증명서 등 정보를 수집·이용하는 경우. |
| ⓑ 계약이행 사례 |
1) 홈쇼핑회사가 고객이 주문한 상품을 배송하기 위해 주소, 연락처 정보를 수집하는 경우. |
| 2) 경품행사 시 담청자에게 경품을 발송하기 위해 주소와 연락처 정보를 요구하는 경우. | |
| 3) 온라인 쇼핑몰이 주문 시 포인트를 지급하기로 약정하고 주문정보를 수집하는 경우. | |
|
4) 병원에서 치료를 위하여 본인이나 가족에게 가족력, 지병 등에 관한 정보를 수집하는 경우 |
============================================================================
※ 제15조 4항과 연계되어 규정된 규정 (참고)
개인정보 국외 이전 및 개인정보처리업무 위탁(제공 포함) 관련하여 기존의 개인정보 처리에 변경사항이 발생할 경우, 기본적으로는 별도의 정보주체의 동의를 받아야 한다(개보법과 정보통신망법 동일)
하지만,
정보통신망법에서는 "정보주체와 계약 이행 및 편의 증진을 위해서는 위 2가지 상황에서 정보주체에게 고지는 하되(개인정보 처리방침, 우편 등 대통령령으로 정한 방법) 별도의 동의를 받지 않아도 된다"라고 규정하고 있다.
참고자료 :
ㅇ 개인정보 보호법 해설서.pdf
ㅇ 제3장 개인정보의 처리.pdf
'ISMS 관련 법률 > 개인정보' 카테고리의 다른 글
| 개인정보 수집 이용 (0) | 2020.05.05 |
|---|---|
| 개인정보보호 8 원칙 (0) | 2020.04.20 |
| [개보법&정보통신망법] 개인정보 유출 시 통지 및 신고 (0) | 2020.04.18 |
| 개인정보의 정의 (0) | 2019.11.17 |
| 개인정보 영향평가 (0) | 2019.11.16 |
