개인정보보호위원회(이하 개인정보위)가 2월 8일 제2회 전체회의에서 개인정보 보호법(이하 보호법)을 위반한 4개 사업자에 총 1600만 원의 과태료를 결정했다.
개인정보위는 유출·침해 신고, 경찰에서 이첩된 사건에 대해 조사한 결과 보유 기간이 경과한 개인정보를 파기하지 않거나 취급 중인 개인정보에 대한 안전 조치를 소홀히 하는 등의 보호법 위반 사실을 확인했다. 이번 처분 대상 4개 사업자의 구체적인 위반 사례는 다음과 같다.
건대동문회관 예식부(KU컨벤션웨딩홀)는 법령에 따른 보유 기간이 지나서도 일용직 근로자의 개인정보를 파기하지 않고 시스템에 보유했으며, 마루느루는 퇴직한 근로자의 개인정보를 법령에 따라 보존할 때 다른 개인정보와 분리해 저장하지 않아 퇴직자에게 업무 관련 문자를 발송한 사실이 확인됐다.
아주대학교의료원은 웹페이지를 통해 수집한 환자의 주민등록번호를 정보통신망을 통해 송신하면서 암호화 조치를 하지 않아 기술적 보호 조치를 미흡하게 한 것이 드러났다.
한국어린이안전재단은 홈페이지에 카시트 무상 보급 사업 대상자를 공지하는 과정에서 신청자와 자녀의 개인정보(총 2412명)를 가림 처리(마스킹) 없이 게시해 열람 권한이 없는 자에게 개인정보가 유출됐고, 개인정보 유출 사실을 안 때로부터 5일을 경과해 유출 통지·신고해 보호법 위반으로 판단했다.
이정은 개인정보위 조사1과장은 “사업자는 근로기준법이나 세법 등 법령에 따라 퇴직 근로자의 개인정보를 보존하는 경우에는 현직 근로자의 개인정보와 분리해 보관해야 하고, 불필요한 개인정보는 지체 없이 파기해야 한다”라고 강조했다.
특히 “인사·노무 담당자는 정기적으로 근로자의 개인정보 처리 현황을 점검할 필요가 있다”면서, 최근 개인정보위·고용노동부에서 인사·노무 업무 단계별 개인정보 보호 관련 원칙과 기준을 제시한 '개인정보 보호 가이드라인(인사·노무편)'을 참고 할 것을 권고했다.
