기업의 고객정보 제3자 제공

질문

며칠 전 보험홍보 전화를 받았습니다. A회사로부터 제 정보를 받았다고 합니다. 그런데 저는 A회사에 제 개인정보를 제공한 적이 있는지 잘 모르겠고, 설마 제가 개인정보를 줬다고 하더라도 A회사에서 보험회사에 제 개인정보를 줘도 되는 것인지 모르겠습니다. 제가 언제 A회사에 개인정보를 제공했는지를 알려면 어떻게 해야 할까요? 그리고 A회사가 보험회사에 제 개인정보를 넘겨도 괜찮은 것인가요?

답변

A회사가 어떤 경로를 통해서 개인정보를 제공 받았는지, 보험회사로 개인정보를 넘겼는지, 설명을 요구할 수 있습니다. 같은 요구를 보험회사에도 할 수 있습니다. 각 업체 홈페이지의 첫 페이지에 있는 개인정보취급방침에 개인정보 담당자 연락처가 있습니다. 전화로 확인해보시면 됩니다. 개인정보를 처리하는 과정에서 동의 절차를 제대로 거치지 않았다면 책임을 물을 수도 있습니다.

상세설명

20_문정보주체가 자신의 개인정보와 관련하여 어떠한 권리를 갖는지는 개인정보보호법 제4조에 규정되어 있습니다. 이와 함께 개인정보보호법 제3조에 규정된 개인정보처리자가 따라야 하는 개인정보보호원칙을 살피면 정보주체의 권리에 대해서 좀 더 선명하게 알 수 있습니다.

 

 

개인정보보호법 제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.

  1. 개인정보의 처리에 관한 정보를 제공받을 권리
  2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
  3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
  4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
  5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

개인정보보호법 제3조(개인정보 보호 원칙)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

위 법 제4조에 나오는 ‘처리’의 의미는 개인정보의 ‘수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위’를 말합니다. 개인정보에 대한 모든 행위를 뜻한다고 보시면 됩니다.

정보주체는 개인정보처리자(위 사건의 경우 A회사)에게 자신의 개인정보 처리와 관련한 모든 정보를 제공해달라고 요구할 수 있습니다. 내가 A기업에 언제, 어떤 상황에서 개인정보를 제공했는지, A회사는 언제, 어떤 이유 때문에 보험회사한테 내 개인정보를 넘겼는지 등을 모두 확인할 수 있습니다.

개인정보를 처리하기 위해서는 원칙적으로 정보주체의 동의가 있어야 합니다. 수집한 개인정보를 제3자에게 제공하기 위해서도 정보주체의 동의를 받아야 합니다. 개인정보보호법 제17조는 개인정보를 제3자에게 제공하는 경우를 규정하고 있습니다. 정보주체의 동의를 받아서 개인정보를 제3자에게 제공하기 위해서는,

개인정보보호법 제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

아래 밑줄 친 다섯 개 사항을 사전에 알려야 합니다.

개인정보보호법 제17조(개인정보의 제공)
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

  1. 개인정보를 제공받는 자
  2. 개인정보를 제공받는 자의 개인정보 이용 목적
  3. 제공하는 개인정보의 항목
  4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

수집한 개인정보를 제3자에게까지 제공하기 위해서는 위와 같은 통지 절차를 거쳐야 합니다. 이러한 절차를 거치지 않았다면 위법합니다. 그리고 정보주체가 원할 경우 어떠한 경로로 정보를 수집하였는지도 알려줘야 합니다. 또한 정보주체는 A회사나 보험회사가 보유하고 있는 자신의 개인정보에 대한 열람을 요구할 수 있습니다.

개인정보보호법 제35조(개인정보의 열람)
정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정자치부장관을 통하여 열람을 요구할 수 있다. <개정 2013.3.23., 2014.11.19.>
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.