[인사-23017] 인사(HR) 관련 개인정보 처리와 방법

 

Ⅰ. 개인정보 정의와 보호 원칙

 1. 개인정보 정의

□ '개인정보'란 살아있는 개인에 관한 정보로서,
  ⓐ성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
  ⓑ다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
  ⓒ가명처리*한 정보

※ “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것

 

□ 개인정보에는 ⅰ) 고유식별정보와 ⅱ)민감정보가 있는데, 이 둘의 정보는 다른 정보와 달리 법률에서 특히 보호하고 있는 정보임.

※ 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

※ 민감정보 : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보

 

 2. 개인정보 보호 원칙

□ 개인정보의 처리 목적을 명확히 하고, 필요한 최소한의 개인정보만을 적법하고 정당하게 수집

  - 개인정보 처리에 관한 동의를 받을 시, 수집목적, 보유 및 이용기간 등을 알리고 동의를 받아야 함(보호법 제15조, 제17조, 제18조 등)

  - 필요한 최소한의 개인정보를 수집하여야 하고, 필요한 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담 (보호법 제16조)

 

□ 처리목적에 필요한 범위에서 적합하게 처리하고 안전하게 관리

 - 불필요하게 된 개인정보는 지체 없이 파기하여야 함(보호법 제21조)

 - 고유식별정보·민감정보는 법령 근거나 정보주체의 동의에 따라 처리(보호법 제23조, 제24조)

※ 주민등록번호는 법률·대통령령에 근거가 있는 경우 등에만 처리 가능(보호법 제24조의2)

 - 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 함 (보호법 제29조)

 

Ⅱ. 채용단계에서의 개인정보보호

 1. 수집 가능한 개인정보 범위

□ 고용 계약의 체결 과정인 채용 전형에 필요한 최소한의 개인정보 수집은 입사 지원자의 동의 불요

 

□ 민감정보·고유식별정보는 원칙적으로 수집 금지

 - 예외적으로 민감정보 등의 수집이 불가피하다고 입증할 수 있는 범위 내에서 입사 지원자로부터 별도의 동의를 받은 경우 수집 가능. 단, 주민등록번호는 법률·대통령령 등에 근거가 있는 경우에 한해 수집 가능

 - 청소년성보호법 등 법령에서 민감정보 등의 처리를 요구하는 경우 등에는 해당 법령을 따라야 함

[청소년성보호법 제56조(아동·청소년 관련기관등에의 취업제한 등)]

⑤ 아동·청소년 관련기관등*은 취업자등에 대하여 성범죄의 경력을 확인하여야 하며, 이 경우 본인의 동의를 받아 관계 기관의 장에게 성범죄의 경력 조회를 요청하여야 한다. 다만, 취업자등이 성범죄 경력 조회 회신서를 아동·청소년 관련기관등의 장에게 직접 제출한 경우에는 성범죄 경력 조회를 한 것으로 본다.

※ 어린이집, 유치원, 각급 학교, 학생상담지원시설 또는 위탁 교육시설, 학원·교습소, 청소년 지원센터, 아동· 청소년의 이용이 제한되지 아니하는 체육시설, 공동주택관리사무소 등(같은 조 제1항)

 

□ 채용 이후에 필요한 개인정보로서 직무의 수행에 필요하지 아니한 정보*를 입사지원 시에 수집하는 것은 최소수집 원칙에 위배 소지

※ 가족수당 지급에 필요한 가족관계 정보 등

[채용절차법 제4조의3(출신지역 등 개인정보 요구 금지)]

구인자는 구직자에 대하여 그 직무의 수행에 필요하지 아니한 다음 각 호의 정보를 기초심사자료에 기재하도록 요구하거나 입증자료로 수집하여서는 아니 된다.
 1. 구직자 본인의 용모·키·체중 등의 신체적 조건
 2. 구직자 본인의 출신지역·혼인여부·재산
 3. 구직자 본인의 직계 존비속 및 형제자매의 학력·직업·재산

 

 2. 개인정보 수집 및 처리 절차(방법)

□ 전형 과정에 필요한 최소한의 개인정보만 제출하도록 채용공고문 등을 통해 입사 지원자에게 안내

 - 입사 지원자가 제출한 각종 학력·성적 등 증명서의 진위 확인 필요 시, 개인정보 처리를 최소화하도록 해당 증명서 발급기관이 제공하는 진위확인 서비스 활용하되 입사 지원자에게 사전 안내 필요

 

□ 개인정보를 입사 지원자로부터 직접 수집하지 않은 경우, 해당 입사 지원자가 요구하면 수집출처·처리목적·처리정지 요구권이 있음을 고지해야 함

 

□ 채용대행사 등에게 입사 지원자의 개인정보 처리 업무를 위탁하는 경우 문서로 하고, 교육 및 관리·감독 철저

[개인정보 처리 위탁 시 준수사항(보호법 제26조 주요내용)]

① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.

⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.

 

□ 입사 지원자의 동의, 법률 근거 등 적법한 근거없이 입사 지원자의 개인정보를 제3자에게 제공하는 것은 금지됨

※ 대표적인 위반사례로 ①동일 그룹 내 계열사 간 정보 공유, ②채용담당자 실수로 지원자 개인정보를 공유하는 경우가 있음.

 

□ 합격여부는 당사자에게 직접 통보가 되도록 전화, 전자우편 등을 활용

 

 3. 개인정보 반환 및 파기

□ 채용 여부 확정 후, 불합격자의 요청이 있는 경우 본인확인을 거쳐 요청일로부터 14일 이내에 채용서류를 반환하여야 하며, 반환 요청이 없는 경우에는 반환 청구기간* 이후 파기해야 함

※ 채용 여부가 확정된 날로부터 14일 ~ 180일 사이에 구인자가 정한 기간

 

□ 홈페이지·전자우편으로 제출하여 반환이 어려운 서류 또는 구인자가 요구하지 않은 임의제출 서류는 반환 대상이 아니나, 채용하지 않기로 결정하는 등으로 불필요하게 된 때에는 지체 없이(통상 5일 이내) 파기

[개인정보 파기 관련 입법 정비 필요 조문]

1. 채용절차법 제11조(채용서류의 반환 등)
④ 구인자는 대통령령으로 정한 반환의 청구기간이 지난 경우 및 채용서류를 반환하지 아니한 경우에는 「개인정보 보호법」에 따라 채용서류를 파기하여야 한다.

2. 남녀고용평등법 제33조(관계 서류의 보존)
사업주는 이 법의 규정에 따른 사항에 관하여 대통령령으로 정하는 서류를 3년간 보존하여야 한다. 이 경우 대통령령으로 정하는 서류는 「전자문서 및 전자거래 기본법」 제2조 제1호에 따른 전자문서로 작성ㆍ보존할 수 있다.

3. 남녀고용평등법 시행령 제19조(보존서류의 종류)
법 제33조에서 “대통령령으로 정하는 서류”란 다음 각 호의 서류를 말한다. 
1. 법 제7조부터 제11조까지의 규정에 따른 모집과 채용, 임금, 임금 외의 금품 등, 교육ㆍ배치 및 승진, 정년ㆍ퇴직 및 해고에 관한 서류

개인정보보호법 및 채용절차법은 모집과 채용 시 수집한 정보가 불필요하다면 파기할 것을 규정하고 있으나, 남녀고평법은 모집과 채용 관련 서류를 3년 간 보존할 것을 규정하고 있어 실무상 혼란이 있음.

 

Ⅲ. 고용단계에서의 개인정보보호

 1. 수집 가능한 개인정보 범위

□ 근로조건별 복무관리 등 법령상 의무준수 및 근로계약 이행 등에 필요한 최소한의 범위 내에서 근로자 동의없이 개인정보 수집·이용 가능.

  - 다만 개인정보 중 고유식별정보 및 민감정보의 경우 관련 법에서 고유식별정보(주민등록번호 제외) 및 민감정보 처리를 허용하거나 요구하는 경우가 아니라면 근로자의 동의 필요(보호법 제23조·제24조)

[노동관계법상 수집가능한 개인정보 범위]

1. 근로기준법
① 제41조(근로자의 명부) : 성명, 성별, 생년월일, 주소, 이력, 종사업무, 고용 또는 갱신 연월일 등
② 제48조(임금대장 및 임금명세서) : 성명, 생년월일, 임금 및 수당의 계산 기초, 근로일수 등
③ 제66조(연소자 증명서) : 가족관계증명서, 친권자 또는 후견인 동의서 
④ 시행령 제43조(유·사산 휴가) : 의료기관의 진단서 등

2. 남녀고용평등법
① 시행령 제9조의2(난임치료휴가의 신청) : 난임치료휴가를 받은 사실을 증명할 수 있는 서류
② 시행령 제11조 내지 제16조의11(육아휴직~가족돌봄근로시간단축 등) : 관련 사실 증명하는 서류

3. 산업안전보건법
① 제132조 내지 제134조(건강검진 등) : 근로자 건강진단 결과

4. 근로복지기본법
① 제81조(선택적 복지제도 실시) : 복리후생 제도 적용 시 필요한 개인정보(부양가족 등)

 

□ 생체인식정보* 등 민감정보는 원칙적으로 수집이 금지되며, 예외적으로 필요한 경우 정보주체인 근로자로부터 별도의 동의를 받아 수집해야 함

※ 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보

 

□ 개인정보 수집·이용에 대해 근거가 명확하지 않은 경우*에는 개인정보의 수집·이용 목적, 수집 항목 등을 사전에 알리고 동의를 받아야 함

※ 특별한 사정없이 일반적 근무태도를 확인하려는 목적으로 위치정보 등 개인정보를 수집하거나 근로자의 SNS를 모니터링하는 경우 등

 

□ 그러나 시설안전·영업비밀 보호 등 사용자의 정당한 이익 달성을 위해 필요한 경우로서 명백하게 정보주체인 근로자의 권리보다 우선할 때에는 개인정보를 수집·이용할 수 있음

[근로자의 메신저·이메일 검색 등 수집 및 조사 사례 : 대법원 2009.12.24. 2007도6243]

회사의 이익을 빼돌린다는 소문에 대한 구체적이고 합리적인 의심이 있던 상황에서 이를 확인할 목적으로 해당 직원의 개인용 컴퓨터 하드디스크를 떼어낸 후, 특정 단어로 파일을 검색하여 메신저 대화 내용·이메일 등을 검색한 행위는 형법 제20조에 따른 정당행위로 인정

 

2. 개인정보 동의서 징구 방법 : 보호법 제22조 등

□ 개인정보 수집 및 이용에 관한 동의를 받을 경우 각각의 동의 사항을 구분하여 정보주체가 이를 명확히 인지할 수 있도록 알리고 각각 동의를 받아야 함

[법 조항별 구분 후 고지 및 동의 요청(23년 개인정보보호법 개정 내용)]

1. 보호법 제15조제1항제1호에 따라 동의를 받는 경우 : 정보주체의 개인정보 직접 수집 시
 - 고지항목 : ⓐ개인정보의 수집ㆍ이용 목적, ⓑ수집하려는 개인정보의 항목, ⓒ개인정보의 보유 및 이용 기간, ⓓ동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

2. 보호법 제17조제1항제1호에 따라 동의를 받는 경우 : 제3자에게 개인정보 제공 시
 - 고지항목 : ⓐ개인정보를 제공받는 자, ⓑ개인정보를 제공받는 자의 개인정보 이용 목적, ⓒ제공하는 개인정보의 항목, ⓓ개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⓔ동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

3. 보호법 제18조제2항제1호에 따라 동의를 받는 경우 : 개인정보 수집 및 이용 목적 범위 일탈 시
 - 고지항목 : ⓐ개인정보를 제공받는 자, ⓑ개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다), ⓒ이용 또는 제공하는 개인정보의 항목, ⓓ개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다), ⓔ동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

4. 보호법 제19조제1호에 따라 동의를 받는 경우 : 개인정보처리자로부터 개인정보 받은 자가 제3자에게 정보 공유 시
 - 고지항목 : 없음

5. 보호법 제23조제1항제1호에 따라 동의를 받는 경우 : 민감정보 수집·이용 시
 - 고지항목 : 보호법 제15조 및 제17조의 고지항목

6. 보호법 제24조제1항제1호에 따라 동의를 받는 경우 : 고유식별정보 수집·이용 시
 - 고지항목 : 보호법 제15조 및 제17조의 고지항목

7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우
8. 그 밖에 정보주체를 보호하기 위하여 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우

 

□ 서면으로 개인정보 동의서를 징구받는다면 아래 사항을 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게하여야 하고, 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시하여야 함.(개인정보 처리 방법에 관한 고시 제4조)

① 개인정보 수집이용 목적을 위하여 근로자에게 별도로 연락할 수 있다는 사실
② 처리하고자 하는 여권번호, 운전면허의 면허번호 및 외국인등록번호, 민감정보
③ 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
④ 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

 

3. 개인정보 제3자 제공

□ 다른 법률에서 고용보험·산재보험 보험료 징수 등과 관련하여, 급여 등의 근로자 개인정보를 관련 공공기관 등 제3자에게 제공하도록 하는 경우 해당 법률에 따라 처리

 

□ 이 외 전보·승진 사실 등 근로자의 개인정보를 외부에 공개하려는 경우 정보주체인 근로자의 동의 필요

 - 동의서 징구 시 ⓐ개인정보를 제공받는 자, ⓑ개인정보를 제공받는 자의 개인정보 이용 목적, ⓒ제공하는 개인정보의 항목, ⓓ개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⓔ동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 고지 필요

 

□ 복지·교육훈련 및 연말정산 등과 관련하여 근로자의 개인정보 처리 업무를 제3자에게 위탁하려는 경우, 관리·감독 및 교육 철저

 

4. CCTV  등 고정형 영상정보처리기기의 설치 및 운영

□ 누구든지 불특정 다수가 이용하는 공개된 장소에 고정형 영상정보처리기기 설치·운영 금지

 - 다만 시설관리권을 가진 회사는 시설안전 등의 목적 범위 내에서 근로자의 동의없이 CCTV 등 설치 가능

 

□ 그러나 근로자의 동의를 받았다고 하더라도 개인의 사생활을 현저히 침해할 우려가 있는 장소*의 내부를 볼 수 있도록 영상정보처리기기를 설치ㆍ운영 금지

※ 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등

 

□ 시설안전 등의 목적 혹은 근로자로부터 동의받은 목적 범위를 벗어난 CCTV 촬영은 개인정보보호법 위반

[개인정보보호위원회 결정 제2022-011-067호]

비공개 장소인 사무실에 CCTV를 설치·운영하면서 근무자들의 책상 및 컴퓨터 화면까지 찍히도록 한 행위는 사업자의 이익이 근로자의 이익보다 높지 않고, 근로자의 동의도 받지 않았으므로 보호법 제15조 제1항 위반에 해당됨

 

5. 근로자(정보주체)의 개인정보 보호조치 

(1) 개인정보 열람 청구 등

□ 회사는 근로자의 열람, 정정·삭제 및 처리정지 요구권 등을 보장해야 함

 - 다만, 인사고과·연봉 산출근거 등은 공개 시 기업의 질서 등에 영향을 미쳐 회사나 다른 근로자의 이익을 침해할 우려가 있으므로 열람의 제한·거절 가능

 

□ CCTV에 촬영된 영상을 근로자 등 정보주체에게 열람을 허용하는 경우 타인의 영상이 같이 열람되지 않도록 모자이크 처리 등을 해야 함

 

(2) 불필요한 개인정보 파기

□ 보유기간의 경과, 수집·이용 목적 달성 등으로 불필요하게 된 개인정보는 복구·재생되지 아니하는 방법으로 지체 없이 파기

 - 사용자는 재직자의 건강진단결과표 등은 3년, 고용부장관이 정하는 유해물질 취급 근로자의 건강검진 결과 등은 30년간 보관해야 함(산업안전보건법 제164조)

 

(3) 개인정보 유출 통지 등

□ 개인정보 보호업무와 관련 고충을 처리하는 부서 명칭과 연락처를 근로자가 쉽게 볼 수 있도록 개인정보 처리방침 등에 공개해야 함

 

□ 개인정보가 유출되었음을 알게 되었을 때에는 근로자 등 정보주체에게 유출 항목과 시점, 경위 등을 알려야 함

 

Ⅳ. 고용종료단계에서의 개인정보보호

 1. 관련 서류 파기와 보관

□ 원칙적으로 퇴직으로 인한 불필요한 개인정보 파기하여야 함

 - 다만, 근로기준법·퇴직급여법 등 다른 법령에서 퇴직 근로자의 개인정보 보관기간을 규정한 경우 해당 규정에 따라 보관

근로기준법 제42조(계약 서류의 보존)
사용자는 근로자 명부와 대통령령으로 정하는 근로계약에 관한 중요한 서류를 3년간 보존하여야 한다.

근로기준법 시행령 제22조(보존 대상 서류 등)
① 법 제42조에서 “대통령령으로 정하는 근로계약에 관한 중요한 서류”란 다음 각 호의 서류를 말한다.
1. 근로계약서
2. 임금대장
3. 임금의 결정·지급방법과 임금계산의 기초에 관한 서류
4. 고용·해고·퇴직에 관한 서류
5. 승급·감급에 관한 서류
6. 휴가에 관한 서류
7. 삭제 <2014. 12. 9.>
8. 법 제51조제2항, 제51조의2제1항, 같은 조 제2항 단서, 같은 조 제5항 단서, 제52조제1항, 같은 조 제2항제1호 단서, 제53조제3항, 제55조제2항 단서, 제57조, 제58조제2항·제3항, 제59조제1항 및 제62조에 따른 서면 합의 서류 9. 법 제66조에 따른 연소자의 증명에 관한 서류

② 법 제42조에 따른 근로계약에 관한 중요한 서류의 보존기간은 다음 각 호에 해당하는 날부터 기산한다.
1. 근로자 명부는 근로자가 해고되거나 퇴직 또는 사망한 날
2. 근로계약서는 근로관계가 끝난 날
3. 임금대장은 마지막으로 써 넣은 날
4. 고용, 해고 또는 퇴직에 관한 서류는 근로자가 해고되거나 퇴직한 날
5. 삭제 <2018. 6. 29.>
6. 제1항제8호의 서면 합의 서류는 서면 합의한 날
7. 연소자의 증명에 관한 서류는 18세가 되는 날(18세가 되기 전에 해고되거나 퇴직 또는 사망한 경우에는 그 해고되거나 퇴직 또는 사망한 날)
8. 그 밖의 서류는 완결한 날

 

 2. 경력증명서 발급

□ 경력증명서 발급을 위한 개인정보 보유기간은 공식적으로 정하여, 개인정보 처리방침에 작성·공개해야 함

 - 최소 3년은 경력증명서를 발급해주어야 함(근로기준법 제39조 및 동법 시행령 제19조)

 

 

[참고 문헌]

1. 고용노동부, 개인정보보호 가이드라인(인사노무편) 개정, 23. 1. 31.
2. 박정택, 입법 예고된 개인정보보호법 시행령 개정안 소개, 월간노동법률 23(7), 23. 7. 11.