이벤트 혹은 경품 응모를 위해 제공했었던 개인정보는 모두 파기되었을까요? 개인정보 처리자는 개인정보의 수집, 이용, 제공, 처리위탁, 파기까지 모든 과정에서 각 단계별로 법적 요구사항들을 준수해야 합니다. 모든 단계가 중요하지만, 수집된 개인정보의 이용 목적이 달성되고, 처리기간이 경과되었을 때 올바른 방법으로 파기하는 것은 어떤 단계보다도 중요합니다.

개인정보 파기 의무

개인정보보호법 제21조(개인정보의 파기)에 맞게 개인정보를 파기하지 않을 시 제75조에서는 3천만원 이하의 과태료를 명시하고 있습니다.

개인정보보호법 제21조(개인정보의 파기)

① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2023. 3. 14.>

② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.

개인정보보호법 제39조의6에서는 정보통신서비스 제공자에 대한 개인정보 파기에 대해 안내하고 있습니다. 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자는 1년의 기간 동안 정보통신서비스를 이용하지 않는 경우 이용자의 정보를 즉시 파기하거나 개인정보를 분리하여 별도로 저장ㆍ관리해야 합니다.

제39조의6(개인정보의 파기에 대한 특례)

① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

다만 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 합니다

개인정보 파기 사실의 고지

또한 개인정보 처리자는 개인정보 처리 기간 만료 30일 전까지 다음의 사실을 이용자에게 알려야 합니다.

개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목

다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목

위반 시 제재

개인정보의 파기 및 파기 사실 고지 의무를 위반하여 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다.

제75조(과태료)

② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.

4. 제21조제1항ㆍ제39조의6(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보의 파기 등 필요한 조치를 하지 아니한 자

올바른 파기 방법은?

개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다.

개인정보보호법 제16조 1항에서는 전자적 파일의 경우 영구삭제 영구삭제가 불가능한 경우에는 별도의 법령으로 규정하고 있습니다. 전자적 파일 이외의 기록물, 인쇄물 등은 파쇄 또는 소각하여야 합니다.

제16조(개인정보의 파기방법)

①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다.

1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.

2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각

② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다.

파기 위반사례

개인정보보호위원회에서는 개인정보를 알맞게 파기하지 않은 기업에 대해 과태료 부과 및 시정조치를 취하고 있습니다. 개인정보 파기를 위반하는 경우는 크게 다음 4가지로 나눌 수 있습니다.

01. 법적 보유기간이 지난 개인정보 파기 미이행

개인정보 처리자는 보유기간의 경과, 처리 목적 달성 등 해당 개인정보가 불필요하게 되었을때에는 지체없이 개인정보를 파기해야 합니다.

02. 탈퇴 회원 개인정보 파기 미이행

정보주체자의 자발적인 회원 탈퇴는 개인정보 수집·이용 및 보관 등에 대한 동의 소멸을 의미하므로 탈퇴처리와 함께 지체없이 파기해야 합니다.

03. 보유기간이 지난 개인정보 파기 미이행

정보주체의 명시적인 동의 없이 5년 이상 지난 개인정보는 파기해야 합니다.

04. 목적이 달성된 개인정보 파기 또는 분리 보관 미수행

목적이 달성된 개인정보는 파기해야 하고, 다른 법령에 의해 보존해야 하는 경우에는 다른 개인정보와 분리하여 저장ㆍ관리해야 합니다.

지금까지 개인정보 파기 관련 법령과 파기 방법 등에 대해 알아보았습니다. 개인정보를 안전하게 저장하고 이용하는 것도 중요하지만 알맞게 파기하는 것 또한 중요합니다. 개인정보 처리자는 개인정보보호법에 맞게 수집된 개인정보를 파기해야 하며, 개인정보 제공자 또한 소중한 내 개인정보 관리에 관심을 갖고 알아나가는 것이 중요하지 않을까요?

출처 및 참고자료

개인정보 실태 점검 및 행정 처분 사례집

찾기 쉬운 생활법령정보Q&A