2018년 7월 10일 화요일

개인정보보호 가이드라인 Q & A (인사 노무)

 뉴딜코리아 홈페이지 

개인정보보호 가이드라인 Q & A (인사 노무)


가. 채용 전 단계

Q1 : 신입사원 채용을 위해 입사지원서를 받으려고 합니다. 개인정보를 얻기 위해서 지원자의 동의를 받아야 하나요?

답변) 민감정보, 고유식별정보를 제외하고 채용을 위해 필요한 최소한의 개인정보에 관하여는 동의 없이 수집할 수 있습니다.


Q2 : 주민등록번호도 동의 없이 수집할 수 있나요?

답변) 주민등록번호의 수집은 법령에 근거가 있는 경우에만 수집할 수 있습니다.


Q3 : 종교, 병력, 범죄관련 정보 등을 수집해도 되나요?

답변) 민감정보는 수집하는 것이 원칙적으로 금지되어 있습니다.
반드시 필요하다면 지원자로부터 별도의 동의를 받으세요.


Q4 : 신원 조회를 위해 관련 기관에 입사지원자의 개인정보를 제공 하려고 하는데, 별도의 동의를 받아야 하나요?

답변) 입사지원자에게 별도의 동의를 받아야 합니다.


Q5 : 입사지원자의 학력과 자격 정보를 수집하려고 하는데 동의를 받아야 하나요?

답변) 채용 전형 실시를 위해 필수적인 정보가 아니라면 동의를 받아야 합니다.


Q6 : 입사지원자가 제출한 개인정보의 진위 확인이 필요합니다. 어떻게 하면 될까요?

답변) 정당한 기관에서 발급한 증명서를 제공받아서 확인하시면 됩니다.


Q7 : 입사지원자의 논문, 저서 등의 정보를 인터넷을 통해 수집하려고 하는데 동의가 필요한가요?

답변) 불특정 다수가 열람할 수 있는 사이트 등에 공개된 개인정보의 수집 ? 이용에 대해서는 동의를 받을 필요 없습니다.


Q8 : 상시채용시스템 운영을 위해 탈락자의 개인정보를 계속 보존해야 하는데 어떻게 해야 하나요?

답변) 입사지원서 접수 시 지원자에게 보존기간 및 목적을 알리고 별도의 동의를 받아야 합니다.


나. 근로계약 체결

Q9 : 인사, 급여 등을 위해 재직 중인 직원의 개인정보를 수집하고 이용하는 경우에도 동의를 받아야 하나요?

답변) 동의없이 수집· 이용할 수 있습니다. 그러나 범죄경력 등 민감정보를 수집하여 이용할 때에는 별도 동의를 받아야 합니다.


Q10 : 직원의 주민등록번호를 수집하고 이용할 경우, 별도의 동의를 받아야 되나요?

답변) 주민등록번호를 수집·이용하기 위해서는

① 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
③주민등록번호 처리가 불가피한 경우로서 행정자치부령으로 정하는 경우 가운데 어느 하나에 해당하여야 하며, 어느 하나에 해당하지 않는 경우에는 수집·이용 할 수 없습니다.

○ 사용자(개인정보처리자)는 법에 따라 산재보험, 건강보험, 고용보험, 국민연금을 처리해야 할 의무가 있고, 고용보험 및 산업재해보상보험의 보험료 징수 등에 관한 법률, 국민연금법, 건강보험법에 따라 직원의 이름, 주민등록번호, 급여내역 등을 근로복지공단, 국민연금공단, 국민건강보험공단 등에 제공해야 하며 이때 역시 직원의 동의는 필요하지 않습니다.

 ※ 관련법률 : 개인정보 보호법 제24조의2(주민등록번호의의 처리 제한) 제1항, 위반 시 3천만원 이하의 과태료


Q11 : 재직 중인 직원의 종교, 범죄관련 정보 등을 수집하고 이용할 경우, 별도 동의를 받아야 하나요?

답변) 재직 중인 직원으로부터 별도의 동의를 받아야 합니다.


Q12 : 근로자의 건강정보를 수집하고 이용할 경우, 별도 동의를 받아야 하나요?

답변) 산업안전보건법이나 진폐의 예방과 진폐근로자의 보호 등에 관한 법 등 관련법령에 따라 직원의 건강보호 유지목적으로 사용할 경우 별도의 동의가 필요 없습니다.
건강정보는 민감정보로서 그 처리를 허용 요건 가운데 어느 하나에 해당하는 경우에 한하여 수집· 이용할 수 있으므로, 해당 근로자의 별도 동의를 받아 건강정보를 수집 · 이용할 수 있습니다.

 ※ 관련법률 : 산업안전보건법 제43조(건강진단)
진폐의 예방과 진폐근로자의 보호 등에 관한 법률 제16조(건강진단 결과의 제출 등)
개인정보 보호법 제23조(민감정보의 처리 제한), 위반 시 5년 이하 징역 또는 5천만원 이하 벌금


Q13 : 근로자의 가족 개인정보를 확인하여 적절한 복지혜택을 제공하고자 합니다. 이 경우에는 근로자 가족의 동의를 받아야 하나요?

답변) 가족수당 제공, 자녀 학자금 지원 등을 통해 근로자에게 복리후생을 제공하는 것은 법령상 의무를 수행하기 위한 것으로 가족으로부터 개인정보 수집에 대한 동의를 받을 필요 없습니다.
이 경우 반드시 복지제공에 필요한 최소한의 정보만을 수집하여야 합니다.

○ 다만, 주민번호를 제외한 고유식별정보를 수집하게 되는 경우에는 가족으로부터 별도의 동의를 받아야 하며, 주민등록번호를 수집할 때에는 법령에 구체적으로 근거가 있어야 합니다.

※ 관련법률 : 개인정보 보호법 제15조(개인정보의 수집 ? 이용) 제1항 제4호
개인정보 보호법 제24조(고유식별정보의 처리 제한) 제1항, 위반 시 5년이하 징역 또는 5천만원 이하 벌금
개인정보 보호법 제24조의2(주민등록번호의의 처리 제한) 제1항, 위반 시 3천만원 이하의 과태료


다.  고용 유지 단계

Q14 : 인사관리시스템과 인사담당자의 PC를 안전하게 관리하기 위해 취해야 할 조치는 무엇인가요?

답변) 비밀번호 설정, 백신 소프트웨어 설치, 방화벽 가능, 암호화 기능 등을 적용해야 합니다.


Q15 : 위탁교육 등을 위해 외부 업체에 직원의 개인정보를 제공하려고 하는데, 어떻게 해야 하나요?

답변) 업무처리 의뢰(업무위탁)에 관한 사항은 문서(표준 개인정보 처리 업무 위탁계약서)로 작성하세요.
개인정보를 제공받은 수탁업체와 업무의 내용을 내부 게시판, 인터넷 홈페이지 내부망 등을 통해 직원들에게 공개하세요. 직원정보를 제공받은 수탁업체가 개인정보를 잘 관리할 수 있도록 감독하세요.


Q16 :  개인정보 업무처리를 외부 업체에 위탁했는데 그 업체의 과실로 손해가 발생한 경우 손해배상책임은 누구에게 있나요?

답변) 위탁자와 수탁자 모두에게 있습니다.


Q17 : 개인정보 처리 업무를 위탁할 때 사용하는 계약서가 따로 있나요?

답변) 형식은 정해져 있지 않지만 아래 사항이 계약서에 반드시 포함되어야 합니다.
가능한 표준 개인정보 처리위탁 계약서를 사용하시기 바랍니다.

① 위탁업무 수행 목적 외 개인정보의 처리금지에 관한 사항
② 개인정보의 기술적 ? 관리적 보호조치에 관한 사항
③ 위탁업무의 목적 및 범위
④ 재위탁 제한에 관한 사항
⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한사항
⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

※ 관련법률 : 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 제1항, 위반 시 1천만원 이하의 과태료


Q18 : 수기 형태의 인사기록은 어떻게 보관해야 하나요?

답변) 수기로 된 인사기록은 잠금장치가 마련된 별도의 안전한 장소에 보관하여야하고, 접근통제 등 안전성을 확보하는 조치를 하여야 합니다.


Q19 : 중소 영세 기업은 직원의 개인정보 보호를 위하여 어떠한 안전조치를 하여야 하나요?

답변) 수기로 주민등록번호가 포함된 직원 정보를 관리하는 경우 시건장치 및 접근제한 등을 통한 안전조치를 하시면 되고, 업무용 PC로 직원 정보를 관리하시는 경우 다음과 같은 안전조치를 하시면 됩니다.
상시근로자 수가 10명 이상인 사업자는 개인정보의 안전성 확보조치를 하여야 합니다.


라. 고용 종료 단계

Q20 :  퇴사한 직원의 개인정보는 언제 파기해야 하나요?

답변) 퇴사 후 3년이 지나고, 보유기간이 종료된 후 5일 이내에 파기하세요.

○ 근로기준법에서 퇴직근로자의 사용증명서 청구권 행사기간을 3년으로 하고 있습니다.
따라서 사용증명서 발급을 위한 퇴직근로자 개인정보 보존연한은 최소 3년입니다.

○ 단, 경력증명 등 퇴직근로자의 사용증명서 발급을 위해 3년 이상 보관할 필요가 있는 경우, 근로자에게 동의를 받아서 보관하면 됩니다.

※ 관련법률 : 개인정보 보호법 제21조(개인정보의 파기), 위반 시 3천만원 이하의 과태료
근로기준법 제39조(사용증명서), 근로기준법 시행령 제19조(사용증명서의 청구)


Q21 : 개인정보 파기는 어떻게 해야 하나요?

답변) 개인정보가 복구 또는 재생되지 않도록 해야 합니다.


Q22 : 이 법(개인정보보호법) 시행전부터 보관하고 있던 퇴직자의 개인정보에 대하여 보관에 관한 동의를 받거나 파기하여야 하나요?

답변) 그렇지 않습니다. 경력증명 등을 위한 목적으로 보관? 이용하고 있던 퇴직근로자의 개인정보는 해당 목적으로만 사용하는 경우에는 동의 없이 파기하지 않고 이용 하실 수 있습니다.
 다만, 개인정보 보호법 시행 이후에는 퇴직 근로자의 개인정보를 보관하기 위해서는 해당 퇴직 근로자의 동의를 받아야 합니다.


[참고자료]

개인정보보호 가이드라인 (인사 노무, 2015)

인사ㆍ노무분야 개인정보보호 FAQ (2013. 10.)

사업장 전자 감시로부터 근로자 개인정보 보호해야(국가인권위원회)




ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com )


댓글 없음:

댓글 쓰기