2. 개인정보 처리원칙

개인정보보호법 제3조는 개인정보 보호 원칙을 규정하고 있다. 통상 원칙 규정이 다소 진부하고 뻔한, 그러나 실질적인 의미는 별로 없는 것처럼 보일 수 있으나, 그렇지 않다. 개인정보 보호 원칙에 비추어 구체적인 사안을 판단하면 문제점을 쉽게 인식할 수 있는 경우가 많다. 실제로 사업장에서 이 원칙을 벗어나 개인정보를 수집하는 경우가 많다.

제3조(개인정보 보호 원칙)

① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

예를 들어 모든 개인정보의 수집과 처리는 그 목적을 명확하게 할 필요가 있다(1항). 개인정보를 수집 목적 외로 활용하는 것은 제한되는데(3항), 목적이 명확하지 않으면 수집 목적 외의 활용인지 모호해지기 때문이다. 그런데 사업장 내에서 감시설비를 설치할 때, 그 설치 사실과 목적을 명확하게 고지하지 않는 경우가 많다. 만일 목적이 명확하다면, 예컨데 사업장에 설치된 CCTV가 시설 안전을 목적으로 한 것이라면, CCTV를 통해 수집된 정보를 징계 목적으로 활용하는 것은 목적 외 활용이 됨을 쉽게 알 수 있다. 또한 감시설비를 통해 어떠한 개인정보가 수집, 처리되는지 명확하게 고지하지 않는 것은 그 자체로 5항의 원칙을 위반한 것이다. 개인정보보호법은 이러한 원칙의 구현을 위한 구체적인 조항을 가지고 있으므로, 이처럼 원칙을 이해하고 있으면 사업장에서 위법한 개인정보 활용이나 감시설비 설치에 대해 문제점을 인식하기 용이할 것이다.

감시설비로 수집된 개인정보의 처리에 대한 인지 여부

2021년 실태조사에 따르면, 사업장 내에 설치된 감시설비의 설치 목적이 무엇인지, 이를 통해 어떠한 개인정보가 수집되는지, 수집된 개인정보가 회사 내에서 어떻게 활용되는지 근로자가 제대로 인지하지 못하는 경우가 30~40%에 달했다. 이는 감시설비 설치시 그 사실과 목적 등이 제대로 고지되지 않고 있기 때문이다. 이는 개인정보 처리원칙이 제대로 준수되고 있지 않음을 보여 준다.