회사 CCTV 설치, 직원 동의 필요할까… 고용부 '개인정보 가이드라인' 살펴보니

개인정보보호위원회와 고용노동부가 ‘개인정보보호 가이드라인(인사‧노무편)’ 개정판을 31일 발표했다. 이번 지침(가이드라인)은 디지털 장치를 이용한 근로자 개인정보 처리가 증가함에 따라 개인정보 보호 수준을 제고하기 위해 마련됐다는 설명이다. 인사‧노무 업무를 ①채용준비-②채용결정-③고용유지-④고용종료 4단계로 나눠 각 단계별 준수사항을 안내하고 있다.

채용 전형 단계에서는 입사지원자가 불필요한 개인정보를 제출하지 않도록 사전 안내해야 하며, 합격여부는 당사자에게 직접 통보해 불필요한 노출을 방지하되 웹사이트 등을 통한 통보는 비밀번호 등으로 본인 확인 절차를 설정해야 한다. 채용 여부 확정 후에는 채용서류를 반환하거나 반환이 어려운 경우 지체없이 파기해야 한다. 채용절차법에 따르면 구인자(회사)는 직무의 수행에 필요하지 않은 △구직자 본인의 용모·키·체중 등의 신체적 조건 △구직자 본인의 출신지역·혼인여부·재산 △구직자 본인의 직계 존비속 및 형제자매의 학력·직업·재산 등의 정보를 기초심사자료에 기재하도록 요구하거나 입증자료로 수집해선 안된다. 기초적인 내용이다.

만약 구직자가 채용시험 점수 열람을 요청한 경우엔 어떨까. 특별한 사정이 없는 한 열람을 허용해야 한다. 다만 면접 과정‧내용 등을 공개해 공정한 업무 수행이 현저히 곤란한 사항은 비공개 대상이 된다. 최근 유행하는 AI(인공지능) 등 자동화된 시스템으로 채용전형을 진행하는 경우에도, 정보주체(구직자)가 요구하는 경우 채용 담당자 등이 검토 결과에 대해 설명하는 게 좋다.

채용결정 단계에서는 근로자 명부, 임금대장 등 법령상 의무준수를 위해 필요한 경우에 한해, 해당 법령 등 '근거'를 안내하고 개인정보를 수집해야 한다. 인사발령·교육·복리후생·연봉계약·근무성적평가 등 근로계약 체결‧이행을 위해서는 필요한 최소한의 개인정보를 수집할 수 있지만, 법령준수 및 단체협약‧취업규칙‧근로계약 체결‧이행에 필요한 개인정보 이외의 수집은 개인정보 최소수집 원칙에 위배될 수 있으니 주의해야 한다. 고용유지 단계에서는 근로자의 개인정보를 공개하는 경우 원칙적으로 근로자 동의를 받아야 한다. 특히 징계‧해고 등의 내용은 원칙적으로 비공개가 바람직하다.

영업 양도‧합병 등으로 근로자 개인정보를 이전하는 경우엔 ①이전 사실 ②받는 자의 연락처 ③이전을 원하지 않는 경우 조치 방법 등을 알려야 한다.

고용종료 단계에서는 퇴직으로 인해 개인정보가 불필요하게 된 경우 원칙적으로 복구 또는 재생되지 않는 방법으로 지체없이 파기한다. 경력증명서 발급을 위한 개인정보는 보유기간을 공식적으로 정해 개인정보 처리 방침을 작성‧공개하며, 인사정책 수립목적으로 퇴직자 인사정보가 필요한 경우, 익명 또는 가명처리 후 통계 등의 형태로 이용할 수 있다.해당 가이드북은 고용노동부 홈페이지 등에서 다운로드가 가능하다.

이하는 Q&A.

채용 확정 후 종교, 범죄경력 정보 등을 수집하고 이용할 경우 근로자의 별도 동의를 받아야 하나.종교 등 민감정보 수집 시에는 법령에 근거가 없다면 별도의 동의를 받아야 한다. 참고로 형의 실효 등에 관한 법률 제6조에서는 범죄수사, 형 집행 등 목적이나 다른 법률에서 범죄경력조회 등을 하도록 규정된 경우 외에는 범죄경력자료 등을 취득해서는 안 된다고 규정하고 있다. 따라서 범죄경력조회 등을 하려는 경우 법률 근거를 확인해야 한다.

입사 지원자의 논문, 저서 등의 정보를 인터넷을 통해 수집하려고 하는데 동의가 필요할까.

불특정 다수가 열람할 수 있는 사이트 등에 공개된 개인정보의 수집·이용에 대해서는 동의를 받을 필요 없다.
언론, 온라인 도서관, 인물DB 등 정당한 절차에 따라 개인정보를 공개하는 웹사이트에서 개인정보를 수집·이용하는 것은 동의가 필요하지 않다.

거래처와 업무 수행을 위해 업무 담당자의 연락처 등 개인정보를 공유해도 근로자 동의를 받아야 하나.

근로자의 개인정보를 제3자에게 제공하려는 경우로서 법령에 근거가 없는 경우에는 원칙적으로 동의를 받아야 한다. 동의를 받는 경우, 포괄적 동의가 되지 않도록 제공받는 자, 제공하는 개인정보 항목, 제공 목적 등을 명확히 알리고 동의를 받아야 한다.

한편, 업무 담당자 연락처(사무실 전화, 회사 이메일 등)는 거래처 등과 공유될 수 있음을 근로자가 쉽게 예측할 수 있다. 따라서 정보주체에게 불이익이 발생할 가능성이 적은 점을 고려해 동의없이 제3자에게 제공할 수는 있다. 이 경우 사업주는 당초 수집 목적과의 관련성, 정보주체의 이익을 부당하게 침해할 가능성 등을 개인정보 처리방침에 작성해 미리 공개하고, 해당 처리 실태를 개인정보 보호책임자를 통해 점검해야 한다(보호법 시행령 제14조의2).
다만 회사의 대표 전화번호 등 해당 연락처를 통해 개인을 알아볼 수 없는 경우엔 해당 연락처는 개인정보에 해당하지 않는다.

사업장 내 CCTV 설치·운영을 하기 위해서 근로자의 동의를 받아야 하나.

설치장소, 설치 목적에 따라 달라질 수 있다. 고객 상담실이나 출입안내실 등 불특정 다수가 출입할 수 있는 공개된 장소에 CCTV를 설치‧운영하는 경우에는 보호법 제25조 및 제58조에 따라 시설안전 등 목적으로 동의없이 설치‧운영할 수 있다.

그 외의 경우에는 개인정보 보호법 제15조 제1항에 따라 정보주체의 동의를 받은 경우, 법령상 의무 준수를 위해 불가피한 경우, 정당한 이익을 위해 필요한 경우 등으로서 명백하게 정보주체의 권리보다 우선하는 경우 등에 설치할 수 있다.

다만, 이 경우에도 해당 목적 외로 촬영되지 않아야 하며, 근로자 감시 등 해당 목적 외로 촬영하거나 촬영한 영상을 해당 목적 외로 이용하는 경우에는 법 위반에 해당할 수 있다.

근로자가 업무망에 접속해 처리한 행위와 관련된 로그기록을 관리할 수 있나.

업무망을 운영하는 경우 권한없는 자의 접근이나 권한 밖의 업무를 하지 못하도록 관리할 책임과 권한이 있으므로, 이를 위해 꼭 필요한 로그기록 등의 관리는 할 수 있다. 아울러 해당 로그기록은 개인을 알아볼 수 있는 개인정보에도 해당하므로 근로자 감시 등 목적으로 이용해서는 안된다.

다만 권한 밖의 접근을 한 것으로 이해할 합리적 이유가 있는 경우 등에는 권한 밖 접근 여부를 확인하는데 필요한 최소한의 범위 내에서 로그기록 등을 분석할 수 있다. 이 경우에도 해당 개인정보에 접근할 수 있는 자를 필요한 최소한으로 제한해야 한다.

퇴직 근로자 및 그 가족의 복리후생 지원을 위해 퇴직 근로자 등의 개인정보를 이용하는 경우 정보주체로부터 동의를 받아야 하나.

정보주체로부터 추가로 동의를 받지 않고도 복리후생 지원을 중단하기 전까지 보유‧이용할 수 있다. 보호법 제21조는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체없이 파기하도록 하고 있다. 따라서 복리후생 목적으로 수집한 개인정보는 근로자가 퇴사하더라도 복리후생 지원을 계속하는 때까지는 보유할 수 있다. 이 경우 복리후생 지원 중단 등으로 해당 개인정보가 불필요하게 된 때에는 지체없이 파기햐야 한다.

퇴직 근로자의 경력 증명을 위해 근로자의 개인정보를 보유하는 경우에도 동의를 받아야 하나.경력증명서 발급 기간이 취업규칙 등에 명시돼 있는 경우, 해당 기간 동안 보유하는데 대해서는 동의를 받지 않아도 된다.

곽용희 기자/한경좋은일터연구소 연구위원 kyh@hankyung.com