“고객정보가 담긴 이메일을 업무와 관계 없는 내부 직원에게 오발송, 개인정보보호법 위반일까?”
| 기업에서 자주 발생할 수 있는 개인정보 보호법 위반 사례 두 번째. |
Q. 개인정보가 포함된 이메일을 권한이 없는 다른 내부 직원에게 잘못 발송했습니다. 개인정보 유출에 해당하여 처벌받게 되나요?
A. 개인정보 보호위원회가 마련하여 준수하도록 권장하고 있는 ‘표준 개인정보 보호지침’이 있습니다. 이 지침 제25조는 ‘개인정보의 유출’을 정의하고 있는데요. 개인정보의 유출은 개인정보 처리자가 개인정보에 대하여 통제를 상실하거나, 권한이 없는 자의 접근을 허용한 것을 말합니다.
구체적으로는 네 가지 경우가 있습니다. 개인정보가 포함된 서면(종이 문서), USB 등의 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우도 있고, 개인정보가 저장된 데이터베이스에 권한이 없는 자가 접근한 경우도 이에 해당하며, 특히 개인정보 처리자의 고의이거나 과실로 인해 정보주체의 개인정보가 포함된 파일, 종이 문서, 기타 다양한 저장 매체가 권한이 없는 자에게 잘못 전달된 경우에도 개인정보의 유출에 해당한다고 규정하고 있습니다. 그 밖에 권한이 없는 자에게 개인정보가 전달된 경우도 개인정보의 유출에 해당합니다.
정리하면, 개인정보가 개인정보 처리자의 관리 통제권을 벗어나 외부에 공개되거나, 누출 내지 누설되거나, 제3자에게 제공된 모든 상태를 개인정보 유출로 볼 수 있습니다.
다만 개인정보가 포함된 이메일을 개인정보 처리 등에 대한 권한이 없는 다른 내부 직원에게 잘못 전달한 경우에는, 개인정보 처리자가 그 잘못 전달된 이메일을 삭제하거나 안전 조치 등을 지시하여 잘못 발송된 이메일을 회수하거나 삭제하는 등의 조치를 취할 수 있을 것입니다. 그렇다면 개인정보 처리자의 관리, 통제권 내에 있으므로 개인정보 유출이라고 보기는 어려울 것입니다.
물론 관리나 통제가 어려운 외부에 개인정보 이메일이 잘못 발송되었다면 개인정보 유출에 해당합니다. 특히 업무 중에 취득하게 된 고객의 개인정보를 업무와 무관한 제3자에게 제공하였다면 아주 명확하게, 개인정보 보호법 위반에 해당합니다. 실제로 업무용 단말기로 고객이나 임직원의 개인정보를 다운로드 받거나 복사하여 제3자에게 제공하는 방식으로 개인정보가 유출된 사례가 많습니다.
부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 사람은 개인정보 보호법 제70조 제2호에 의하여 10년 이하의 징역 또는 1억 원 이하의 벌금에 처해질 수 있습니다. 범인에게 이러한 행동을 시킨 사람(교사범)이나 알선한 사람도 마찬가지입니다. 이는 개인정보 보호법에서 정하는 가장 무거운 처벌입니다.
법률사무소 인평의 조윤상 대표 변호사는 개인정보보호 분야에 대한 전문성과 수 많은 자문, 송무 경험을 바탕으로 개인정보보호에 대한 대기업, 중견기업, 스타트업 및 공공기관에 법률자문 및 강의를 진행하고 있습니다.
개인정보보호 관련 법률 자문이 필요하신 분들은 아래의 링크를 통하여 법률사무소 인평에 바로 접수해주시기 바랍니다.
감사합니다.
법률사무소 인평 드림
[ 기업 법률 자문 문의 ]