[이코리아] 개인정보 보호의 중요성이 날로 커지고 있지만, 이를 간과해 처벌받는 사건이 잇따른다. 개인정보보호위원회가 출범한 2020년 8월 이후 제재 사례를 보면 특히 중소기업·소상공인들의 사례가 눈에 띈다.

◇개인정보법 21조(개인정보의 파기)

개인정보보호위원회에 따르면 단체용 웹·앱서비스 업체 A사는 개인정보보호법 2개 조항 위반으로 지난해 12월 시정조치 명령을 받았다. A사 위반 조항 중 하나인 21조 1항에는 ‘보유기간이 경과했거나 처리 목적 달성 등으로 개인정보가 불필요하게 됐을 때는 지체 없이 파기해야 한다’는 내용이 담겼다.

지난해 10월 B 병원, 4월에는 챗봇서비스 업체 C사도 해당 조항을 위반해 과태료 처분을 받았을 정도로 위반 사례가 많다. 개인정보 파기 의무가 있는지 모르는 경우가 대부분이지만, 기자는 취재 중 회원 DB를 제때 갱신하지 않아 누락한 중소기업 사례도 확인했다.

◇개인정보법 29조(안전조치의무)

개인정보법 29조도 중소기업·소상공인들이 흔히 위반하는 조항들 가운데 하나다. 개인정보처리자의 기술적·관리적 안전조치 의무를 명시한 조항이다.

지난해 개인정보법 29조를 위반한 업종은 출판사·학원·병원 등 다양했다. 또한 쿠팡, 11번가 등 대형 오픈마켓 7곳도 무더기로 처분받기도 했다.

개인정보위가 대형 오픈마켓들을 점검할 당시에는 계정을 도용한 사기 사건이 활개를 쳤다. 판매자용 시스템 접속 시 아이디·비밀번호 외에 휴대전화 인증·일회용 비밀번호 등 추가 인증수단을 적용하지 않았던 것이 취약점이었다.

◇개인정보법 34조(개인정보 유출 통지 등), 39조의 4(개인정보 유출 통지·신고 특례)

개인정보가 유출된 사실을 뒤늦게 통지하는 일도 위법이다. 해당 조항들은 유독 출판사·병원 등 중·소규모 업체에서 위반 사례가 잇따른다.

개인정보법 34조에 따르면 개인정보처리자는 유출 사건이 발생하면 유출된 항목과 시점, 대응 방안 등을 정보 주체에게 알려야 한다. 해당 법 39조의 4에서는 유출 사실을 확인한 때로부터 24시간 안에 통지하도록 규정하고 있다.

◇개인정보법 15조(개인정보의 수집·이용)

개인정보 수집 가능 범위를 벗어나거나, 명시한 사항 외의 목적으로 활용하는 것도 위법이다. 지난해에는 화장품업체·학원·자동차판매대리점 등이 제재를 받았다.

개인정보법 15조에 따르면 정보주체의 동의를 받지 않고 개인정보를 수집하는 행위는 금지된다. 동의를 받았더라도 목적 달성을 위해 필요 없는 개인정보를 수집하는 일도 제한된다.