블로그

모르면 놓칠 수 있는 기업의 개인정보보호법 위반 사례 3가지

모르면 놓칠 수 있는 기업의 개인정보보호법 위반 사례 3가지

작성일: 2025년 6월 24일
·
읽는데 걸리는 시간: 약 4분
프로필
법무법인 민후
legal
기업 성장에 힘이 될 콘텐츠를 빠르게 받아보세요!
#총보상 #투자유치 #주주총회 #법인운영
구독하기

최근 기업의 고객정보 유출 사건이나 AI 학습 데이터 활용 과정에서의 개인정보 침해 문제가 꾸준히 이슈가 되고 있습니다. 특히 개인정보보호법 위반 시 과징금이나 손해배상 책임, 심지어 형사처벌까지 이어질 수 있기 때문에 기업이라면 반드시 사전적으로 대비가 필요합니다.

오늘은 법무법인 민후가 직접 대응한 주요 사건들을 통해 기업이 주의해야 할 개인정보보호법 위반 사례 3가지를 소개하고, 기업 실무에서 점검해야 할 체크포인트까지 함께 정리해 보았습니다.

1. 개인정보처리방침만 고지하면 동의받은 걸로 충분하지 않나요?

충분하지 않습니다. ‘개인정보처리방침’ 고지만으로는 별도 동의가 필요한 항목까지 모두 포괄할 수 없습니다.

특히 이용자의 행태정보(타사 웹사이트 방문 기록 등)를 수집하거나 제3자 제공에 활용하는 경우 반드시 별도의 동의가 필요합니다. 또한, 동의를 거부한다고 해서 서비스 이용 자체를 제한하는 것도 위법으로 볼 소지가 큽니다.

아래에서 구체적인 예시를 살펴보겠습니다.

SNS 서비스를 운영하던 A사의 경우, 이용자 동의 없이 타사 웹사이트 이용 이력을 수집하여 자사 광고 노출에 활용했습니다. 가입 시 '개인정보처리방침'을 고지하긴 했지만, 행태정보 수집 동의는 명확히 받지 않은 상태였죠. 심지어 동의를 거부하는 이용자에게는 아예 회원가입 자체를 제한하기까지 했죠.

결국 개인정보보호위원회는 A사에 시정명령과 함께 67억 원의 과징금을 부과했습니다. A사는 이를 취소해달라고 소송까지 갔지만, 대법원에서도 행정처분은 적법하다는 판결로 사건이 종결되었습니다.

위 사례를 통해 알 수 있듯이 개인정보를 수집할 때는 수집 목적별로 구체적인 동의를 받아야 합니다. 또한 동의를 거부하는 이용자에게 불이익이 발생하는 경우에는 반드시 그 사실을 사전에 고지해야 합니다. ‘개인정보처리방침’ 고지로 모든 동의를 대신할 수 없다는 점을 기억해야 합니다.

2. 개발사도 개인정보 유출 사고에 책임져야 하나요?

상황에 따라 다릅니다. 개발사·위탁사 입장에서는 개인정보 처리 주체가 아닌 경우 책임을 지지 않는 경우도 있습니다. 하지만 이를 위해서는 계약서에서 업무 범위와 책임 한계를 명확히 규정해야 합니다. 실제로 업무 범위와 책임 한계를 명확히 규정한 덕분에 억대 배상 책임을 피한 사례도 있습니다.

소프트웨어를 납품한 B사는 아파트 관리 프로그램을 제공했는데, 입주민 개인정보가 유출되었다며 억 단위 손해배상 청구 소송을 받았습니다. 하지만 법무법인 민후는 다음과 같은 점을 입증했습니다.

  • 개인정보 유출 시점과 B사 서비스 제공 시점이 다르다.

  • B사는 개인정보를 단순 관리했을 뿐, 유출에 책임이 없다.

결국 1심부터 대법원까지 모두 승소했고, 억대 배상 책임을 피할 수 있었습니다.

이처럼 개발사나 수탁사가 개인정보를 처리하는 경우, 업무 범위와 책임 한계를 사전에 계약서에 명확히 규정해야 합니다. 그래야 개인정보 유출 사고가 발생했을 시, 관련 사실관계를 정확히 파악하고 대응해야 불필요한 책임을 지는 것을 막을 수 있습니다.

3. 내부 직원이 개인정보를 유출했을 때도 법적 처벌 가능한가요?

네, 가능합니다. 개인정보 유출 사건은 외부 해킹뿐 아니라 내부 직원의 고의·과실로도 발생할 수 있고, 심지어 퇴사자가 재직 중 취득한 개인정보를 무단 반출하는 사례도 빈번합니다. 모두 형사처벌 대상이 될 수 있습니다.

실제로 내부자에 의한 개인정보 유출로 형사 처벌까지 이어진 사례가 있습니다.

C사는 퇴사 직원이 고객정보가 포함된 자료를 외부로 유출한 사실을 확인하고 법무법인 민후를 통해 형사 고소를 진행했습니다. 결국 해당 직원은 개인정보보호법 위반으로 벌금형 처분을 받았습니다.

이처럼 퇴사자에 의한 개인정보 유출을 방지하려면 퇴사 전 보안 서약서 체결과 함께 접근 권한 제한 조치를 마련해야 합니다. 또한 개인정보 처리 업무를 담당하는 직원들에게는 개인정보 보호 교육을 주기적으로 실시하여 내부 통제력을 높이는 것이 중요합니다.

개인정보 관리 실무 체크리스트

기업이 개인정보보호법 위반을 예방하기 위해 반드시 점검해야 할 항목입니다.

개인정보 수집 시
  • 수집 목적이 명확한가? 과잉 수집하고 있지 않은가?
  • 민감정보 수집 시 추가 동의 받고 있는가?
이용 및 제공 시
  • 제3자 제공 시 별도 동의 받고 있는가?
  • 수집 목적 내에서만 이용하고 있는가?
보관 및 파기
  • 목적 달성 후 지체 없이 파기하고 있는가?
  • 관련 법령에 맞는 보관 기간을 설정했는가?
동의서 및 고지문
  • 이용자가 쉽게 이해할 수 있도록 작성했는가?
  • 동의 거부 시 불이익 여부를 고지했는가?
내부 지침
  • 개인정보처리방침이 최신 상태인가?
  • 내부직원 교육 및 위탁사 관리가 적절한가?
데이터 활용 및 계약 관계
  • 외부 데이터 제공 시 적법한 동의 확보 여부
  • 계약서에 개인정보 책임 분담, 손해배상 조항 포함 여부

우리 회사는 개인정보를 잘 관리하고 있나요?

막상 사고가 터지고 나면 생각보다 많은 허점이 발견됩니다. 법 위반 시 과징금부터 손해배상, 심지어 형사 처벌까지 이어질 수 있기 때문에, 평소에 우리 회사의 개인정보 보호 체계를 점검하고 대비하는 것이 필수입니다.

혹시 우리 회사도 개인정보 위험에 노출되어 있지 않은지 점검이 필요하시다면, ZUZU가 법무법인 민후와 함께 제공하는 ‘법률 자문 서비스’를 이용해보세요.

기업 성장에 힘이 될 콘텐츠를 매주 받아보세요!

구독하기
* 본 웹사이트는 코드박스를 소개하고 코드박스가 취급하는 서비스에 관한 일반적인 정보를 제공하기 위한 것일 뿐, 법률적 자문이나 해석을 위해 제공된 것이 아닙니다. 본 웹사이트에 게재된 내용과 관련하여 본 웹사이트의 접속자에게 발생할 수 있는 일체의 직ㆍ간접적 손해에 대하여 코드박스는 어떠한 법적 책임도 지지 아니하며, 본 웹사이트에 게재된 내용에만 기초하여 어떠한 행위를 하는 것은 법률적 위험을 수반할 수 있으므로, 본 웹사이트에 게재된 내용과 관련하여 어떠한 의문이 있을 경우에는 반드시 전문가에게 자문을 구하시기 바랍니다. 본 웹사이트에 게재된 내용들은 코드박스의 사전동의 없이 어떠한 형태로도 재생, 복사, 배포될 수 없음을 유의하시기 바랍니다.

회사 등록 후 최신 법인등기부등본 무료 발급

빠르고 정확하게 업무 부담을 줄여드릴게요!
기업 성장에 모든 시간을 쏟으세요

시작하기 서비스 소개서 다운로드
프로필

법무법인 민후(legal)

법무법인 민후는 2011년 설립 이후 공학 지식과 법률 지식을 모두 갖춘 김경환 대표변호사를 중심으로 각 분야 전문가가 모여 꾸준히 전문성을 축적해 온 ‘성과형’ 로펌입니다.

에디터 글 더 보기