개인정보 유효기간제

방송통신위원회에서 1월 14일 개인정보 유효기간제 위반사업자 과태료 처분에 관한 내용을 보도자료로 배포했습니다.

총 5개 업종 27개 사업자에 대해 15년 10월 26일부터 15년 12월 3일까지 기획조사를 한 결과 8개 사업자에 대해 과태료 처분 및 시정조치 명령이 부과되었다는 내용인데요

위반 내용은 다음과 같습니다.

①시행일인 ’15.8.18. 이후에도 개인정보 유효기간제를 시행하지 않은 경우 ②개인정보 유효기간제 시행주기*를 위반한 경우(분기·월별) ③개인정보 유효기간제를 일부 이용자에게만 적용한 경우 ④광고 이메일을 단순 클릭해도 이용으로 인정한 경우

그렇다면 우선 개인정보 유효기간제가 무엇인지 알아야겠죠

정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제29조(개인정보의 파기) 제2항에서

『정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다.』

라고 명시되어 있습니다.

쉽게 말해 1년동안 로그인하지 않은  사용자의 계정은 삭제하라는 말이죠.

이 때 정보통신망법 시행령 제16조(개인정보의 파기 등)에 따라 다른 법령에서 달리 기간을 정하거나 이용자의 요청이 있는 경우가 아니라면 파기 또는 분리 보관해야 하는데요

정보통신망법이 적용되는 대부분의 기업 정보보호 담당자분들께서는 개인정보 유효기간제에 대해 이미 알고 있을 것이라고 생각됩니다. 하지만 어떻게 위반 내용 중 두번째 항목인 개인정보유효기간제 시행주기에 대해 많은 고민을 하시지 않았을까 생각됩니다.

이번 보도자료에도 명시가 되어 있지만 개인정보 유효기간제 시행주기는 원칙적으로 매일입니다. 매일 오늘로부터 1년간 로그인을 하지 않았다면 파기하는 것이 원칙이죠. 하지만 업무 편의성을 고려해 시행주기를 영업일 기준 5일로 잡고 있습니다.

한마디로 일주일에 한번씩은 파기를 해야하며 파기일이 도래하기 30일 전에 해당자에게 고지를 해줘야 한다는 말이죠. 또한 이메일을 클릭해 해당자가 홈페이지에 접속을 했다고 하더라도 로그인을 하지 않았다면 그것은 사용으로 인정받을 수 없습니다.

방송통신위원회에서는 보도자료를 통해 개인정보 유효기간제가 철저히 준수되도록 지속적으로 점검해 나갈 계획이라고 밝힌 만큼 정보통신망법 적용 대상 기업의 정보보호담당자 여러분들께서는 철저히 준비하셔야 할 것 같습니다.

[개인정보유효기간제 위반사업자 과태료 처분 보도자료 바로가기]