이제 ZUZU에 IR 자료 올리고 VC에게 먼저 미팅 제안받아 보세요!
개인정보 보호법이란?
2011년도부터 개인정보 보호와 관련된 법체계를 일원화하고 개인의 권익 보호를 강화하기 위해 개인정보 보호법이 제정되었어요. 개인정보 보호법은 업무를 목적으로 개인정보를 처리하는 모든 사업자, 단체, 공공기관에 적용되는데요. 컴퓨터로 처리되는 DB 형태의 개인정보뿐만 아니라 신청서 서식 등 종이 문서에 수기로 써진 개인정보도 보호 대상이에요.
개인정보
개인정보 보호법에서는 개인정보를 ‘살아 있는 개인에 관한 정보로서, 개인을 알아볼 수 있는 정보’라고 규정해요. 해당 데이터만으로는 특정인 식별이 어렵더라도 다른 정보와 쉽게 결합하여 특정인을 알아볼 수 있다면 개인정보 보호법상 개인정보에 해당해요.
개인정보의 예
- 일반정보: 성명, 주민등록번호, 주소, 연락처 등
- 경제정보: 소득, 재산 상황, 신용, 부채 등
- 사회정보: 학력, 성적, 병역, 직업, 자격 등
- 통신정보: 전자우편, 통화내용, 인터넷 접속 IP, 로그(log) 등
개인정보, 관리 안 한다면?
개인정보 보호법을 지켜야 하는 사업자, 단체, 공공기관에서 개인정보 관리를 소홀히 하거나 제대로 된 관리 체계를 갖추지 않는다면 개인정보 보호법 제59조를 위반하게 될 수도 있어요. 해당 조항을 위반할 경우 최대 5년 이하의 징역, 5천만 원 이하의 벌금형에 처할 수 있고요. 올해 9월부터는 개인정보 보호법 개정안이 시행되면서, 기업의 개인정보 관리 책임을 강화하기 위해 과징금이 매출액의 3%까지 상향될 예정이에요.
기업은 성장할수록 많은 개인정보를 다루게 되는데요. 튼튼한 보안 체계를 갖추지 않으면 개인정보 관리에 문제가 생길 확률이 높아요. 개인정보 관리 사고가 발생하면 처벌도 문제지만, 어렵게 얻은 고객의 신뢰도 무너지기 때문에 서비스 운영에 치명타가 될 수 있어요.
이런 상황을 피하려면 반드시 개인정보 보안 체계를 수립하고 대응 방안을 마련해 두어야 해요. 하지만 인력과 자원이 부족한 대다수의 스타트업은 어디서부터 시작해야 할지 막막할 수밖에 없어요.
스타트업 개인정보 관리, 이렇게 시작하세요
1. 개인정보보호 동의서를 만들어요
서비스 가입 등의 과정에서 기업은 고객으로부터 개인정보를 수집하게 되어요. 기업은 이때 개인정보처리자로서, 정보를 제공하는 개인(이하 정보 주체)의 동의를 받아야 개인정보를 수집할 수 있어요. 이러한 동의를 받기 위해 필요한 게 개인정보 수집 이용 동의서에요.
개인정보 수집 이용 동의서에는 아래 5가지 사항을 명시하셔야 해요.
- 수집 목적
- 수집 항목
- 보유·이용 기간
- 동의를 거부할 권리가 있다는 사실
- (있을 경우) 동의 거부에 따른 불이익
기업이 마련한 개인정보 수집 이용 동의서에 정보 주체가 기명날인을 하거나, 웹 사이트에 회원가입 시 개인정보 수집 이용 동의에 체크하는 등 명확한 승낙 의사가 있어야 적법한 개인정보 수집으로 보아요.
개인정보 보호법에 의하면, 정보 주체가 개인정보 제공에 동의하지 않는다 해도 서비스 제공을 거부해선 안 돼요. 따라서 꼭 받아야 할 정보가 있다면 해당 정보는 필수 입력사항으로 두고 부가적인 정보만 선택사항으로 분리한 뒤 개인정보 수집 이용 동의를 받는 게 좋아요.
2. 개인정보 처리방침을 게시해요
개인정보 보호법에 따라 개인정보처리자는 개인정보 처리방침을 작성해서 정보 주체에게 개인정보 처리에 관한 절차와 기준을 안내해야 해요. 개인정보 처리방침은 개인정보처리자의 웹 사이트에 계속 공개해야 하는데 웹 사이트가 없다면 개인정보 처리자의 사업장 등 오프라인 장소에 게시하시면 되어요. 그것도 어렵다면 연 2회 이상 정보 주체에게 발행하는 소식지, 청구서 등에 싣거나 계약서에 개인정보처리 방침을 별첨하는 등의 방법으로 꼭 개인정보처리 방침을 공개해야 해요.
개인정보처리 방침은 ‘개인정보 포털’의 개인정보 처리방침 만들기 페이지에서 간단하게 만드실 수 있어요.
3. 개인정보보호 책임자를 지정해요
개인정보처리자는 개인정보의 처리에 관한 업무를 총괄하고 책임질 개인정보보호 책임자를 지정해야 해요. 지정하지 않을 경우 1천만 원 이하의 과태료가 부과될 수 있어요.
개인정보보호 책임자는 개인정보 관련 처리 업무를 이해하고 의사 결정할 수 있는 자로 지정해야 하므로 사업주 또는 대표자, 임원의 지위에 있는 사람이 되어야 해요. 책임자를 지정할 때는 기업의 모든 구성원이 책임자가 지정됐는지 알 수 있도록 사내 게시판에 게시하거나, 전사 메일을 발송하는 등 사내 공식적인 절차를 거쳐야 하고요.
책임자를 지정한 뒤, 책임자 관련 사항에 변동이 생기면 고객들이 알 수 있도록 개인정보 처리방침에도 꼭 반영해야 해요!
4. 개인정보보호 배상책임 보험을 알아봐요
개인정보보호 배상책임 보험은 피보험자가 법률상 개인정보 관련한 배상책임을 부담할 경우 발생한 손해를 보상하는 보험이에요. 개인정보처리자가 아래 3가지 조건을 모두 충족한다면 개인정보보호 배상책임 보험에 반드시 가입해야 해요.
개인정보보호 배상책임 보험 대상자 조건
| 정보통신 서비스 제공자 | 작년 매출액 5천만 원 이상 | 일평균 이용자 수 1천 명 이상 |
|---|---|---|
|
|
|
만약 개인정보보호 배상책임 보험에 가입하지 않았을 경우, 주주총회 결의를 통해 임의준비금에 자체 준비금을 적립해야 하는데요. 개인정보보호 배상책임을 위해 최소 5천만 원의 임의준비금 적립이 필요해요.
개인정보보호 배상책임 보험에 가입하면 개인정보 관련 손해 부담을 줄이고 서비스에 대한 신뢰도도 높일 수 있지만 의무 가입이라는 사실을 모르는 기업들이 많아요.
개인정보 관리 책임은 기업 규모와 상관없이 중요해요. 개인정보보호 동의서 등 충실히 기본적인 관리 체계를 구축하고 만약의 경우를 대비해 개인정보보호 배상책임 보험까지 알아두셔서 고객의 소중한 정보를 잘 관리하시길 바라요.
김지원(코드박스 | ZUZU 성장지원매니저)
ZUZU에서 매력적인 콘텐츠를 통해 스타트업, 비상장주식의 세계를 알리고 있습니다. 세상의 모든 문제는 해결 가능하며, 스타트업이 그 열쇠라고 생각합니다.
에디터 글 더 보기