#개인정보를 대하는 3가지 원칙 #입사지원자 #필수교육
2023.08.11. 🔒 안전한 개인정보 보호, HR이 챙겨야 할 것은?
안녕하세요? IMHR입니다.
늘은 개인정보 보호에 있어 HR이 알아야 하고, 챙겨야 할 것들에 대해 다루고자 합니다. 점점 개인정보에 대한 의식이 높아지고, 정보 보호에 대한 사회적 요구가 이어짐에 따라 개인정보 보호법도 다방면으로 강화*되고 있는데요.

이러한 흐름에 맞춰, HR에서 유의해야 할 개인정보는 어떤 것들이 있는지 살펴보는 것이 필요한 때입니다. 평소에 익히 알고 있는 내용이더라도, 중요한 건 아무리 강조해도 지나치지 않는 법이죠?🙆‍♀️

특히 채용을 담당하고 있거나, 고객 및 개인 정보를 많이 다루는 업무를 하고 있다면 안전한 보호 조치를 잘 하고 있는지 점검하는 것이 중요합니다. 최근에는 개인정보 관리 솔루션 서비스도 늘어나고 있으니, 동향을 파악해보시는 것도 좋겠습니다.

시작하기 전, 개인정보에 대한 정의와 의미를 짚어보면요.
  • 개인 정보란 ‘살아 있는 사람에 대한 정보’로서 이름, 주민등록번호, 영상 등 개인식별정보뿐만 아니라 가명 정보, 결합 정보를 포함하는 개념이에요.
  • 개인 정보 수집∙이용이란 이러한 개인정보를 정보주체나 제3자로부터 정보주체에 관한 개인정보를 취득하거나 목적 범위 내에서 이용하는 것을 말합니다.

그럼 안전한 개인정보 보호와 관리를 위한 HR 실무 포인트! 알아볼까요?

💡 오늘의 뉴스레터 : 안전한 개인정보 보호를 위해 HR이 챙겨야 할 것은?
  • 개인정보를 대하는 3가지 원칙
  • 입사지원자의 개인정보 다루는 법
  • 개인정보 보호 교육 운영하기
개인정보 보호를 위한 첫걸음으로, 개인정보를 대하는 기본 원칙에 대해 이해해봅시다. HRer라면 [개인정보 보호 가이드라인]을 한번은 보셨을 텐데요. 이 중에서 개인정보 보호의 안전한 길잡이가 되어 줄 3가지 원칙, 이것만은 꼭 기억해주세요!
    1. 개인정보 최소 수집의 원칙

    👉 [판단하기] 업무에 꼭 필요한 개인정보인가요? 
    • 개인정보 수집의 기본 원칙은 업무단계별로 꼭 필요한 개인정보인지 판단하는 것입니다. 개인정보 수집에 동의받는다고 하더라도, 회사가 먼저 올바르게 판단하고 수집 목적에 필요한 최소한의 정보만을 근로자에게 요구해야 합니다. 이 질문을 통해 과도한 정보 수집을 차단할 수 있고, 근로자에게도 좋은 인상을 줄 수 있을거에요.

    👉 [실무는 이렇게] 꼭 필요한 정보만 수집하여 적법하게 처리하기
    • 고유식별정보ㆍ민감정보는 법령 근거 또는 별도 동의가 있는 경우에만 수집할 수 있습니다. 단, 주민등록번호는 법률ㆍ대통령령에 근거가 있는 경우에만(예. 4대보험 가입 등) 가능하고, 정보주체 또는 제3자의 급박한 생명, 신체, 재산을 위해 필요한 경우 외에는 동의만으로 수집할 수 없습니다.
    • 단체협약ㆍ근로계약 체결ㆍ이행, 법령준수를 위한 개인정보 처리는 동의를 받지 않아도 됩니다. (예. ①임금대장에 가족수당 계산의 기초사항 작성 ②근로복지기본법에 따른 복지혜택 제공을 위한 수집과 수집 목적 내 제3자 제공 등)


    2. 안전한 개인정보 처리의 원칙

    👉 [판단하기] 동의를 받아야만 쓸 수 있는 개인정보인가요?
    • 개인정보를 수집하고자 한다면, 이를 처리하는 근거를 확실히 확인해야 합니다. 정보 주체와 수집 목적에 따라 동의서, 개인정보 처리방침, 이용약관 등이 있는데, HR에서 챙겨야 할 것은 대부분 동의서에 대한 것이죠.

      동의서란, 수집 및 이용하려는 개인정보의 항목, 목적, 보유 기간 등을 이용자에게 안내하고 동의를 수집하기 위한 문서입니다. 동의서를 작성할 때 유의할 것은 수집 목적과 내용을 명확히 할 것, 그리고 동의 거부 권리 및 동의 거부 시 불이익 내용에 대해 고지해야 한다는 것입니다.

    👉 [실무는 이렇게] 수집한 개인정보를 안전하게 관리하기
    • 채용 전형 단계별로 개인정보 취급자를 최소한으로 지정하는 것이 좋습니다. 조직이 접근할 수 있는 공유문서나 드라이브는 지양해야 하며, 채용대행사 등에 위탁하는 경우 교육 및 관리에 철저해야 해요.
    • 개인정보 유출 방지를 위해 관리적ㆍ기술적ㆍ물리적인 보호 조치를 점검하고 관리해야 합니다. 예를 들어 채용 전형의 결과는 지원자 개인에게 직접 전달해야 하며, 개인정보가 담긴 게시물에 대해서는 비밀번호로 열 수 있게 하거나, 백신 프로그램 및 방화벽 기능 등 보안을 철저히 해야 합니다.
    • 인사, 급여지급 등을 위한 처리 위탁은 개인정보 처리 위탁 방법에 따라 실시하면 됩니다.


    3. 개인정보 최소 기간 보유의 원칙

    👉 [판단하기] 회사에서 개인정보를 보유하는 기간을 알고 있나요?
    • 개인정보 수집 및 이용 동의서에는 개인정보의 보유 및 이용 기간이 명시되어 있어야 합니다. 채용, 근태관리, 증명발급 등 업무 목적별로 최소한의 보유기간이 있고, 담당 실무자는 각 보유기간을 수시로 체크하는 것이 바람직합니다. 

    👉 [실무는 이렇게] 보유 목적이 사라진 개인정보는 원칙적으로 파기하기
    • 명시된 보유기간이 지나면 개인정보는 즉시 파기하는 것이 원칙입니다. 특히 입사지원자의 제출 서류는 채용여부 확정 통보일로부터 14일까지 보관하여야 하고, 반환 청구기간이 지난 후에는 지체없이 파기해야 합니다. *채용절차법은 상시 근로자 30인 이상인 기업부터 적용됩니다.
    • 퇴직 등으로 인해 불필요하게 된 개인정보는 복구ㆍ재생되지 않는 방법으로 파기해야 합니다. 이때 다른 법령에서 보관기간을 별도 규정한 경우에는 해당 규정에 따라 보관하면 됩니다.
    • 경력증명을 위해 필요한 개인정보는 보유기간 등을 개인정보 처리방침에 공개하는 것이 바람직하고, 인사정책 수립 등 목적으로 필요 시 익명 또는 가명 처리 후 이용해야 합니다.


    위 3가지 원칙에서 다룬 입사지원자의 개인정보에 대해 더 자세히 알아보겠습니다. 수시 채용이 많아진 요즘, 빈번하게 다루는 개인정보이니만큼 각별하게 관리해야겠습니다.
      1. 채용 단계별로 필요한 최소한의 정보란?

      채용 계획을 수립할 때, 개인정보 보호 원칙에 근거하여 정하는 것이 바람직합니다. 서류 접수, 필기시험, 면접 등 채용 전형 단계별로 필요한 최소한의 개인정보를 결정하고, 이때 "필요한 최소한"이라는 입증책임은 회사에게 있습니다.
      또 다른 이유로는 입사지원자가 해당 전형에 필요한 자료를 더욱 충실하게 작성할 가능성을 높여줍니다. 각 단계별 예시를 참고하시되, 회사의 인재상이나 직무에 따라 달리 정하면 됩니다.

      [예시] 
      • 전단계 공통 : 이름, 전화번호, 주소 등
      • 서류전형 : 학점, 외국어 성적, 자격증 보유여부, 연구실적, 경력 등
      • 필기시험 : 필기시험 과목별 성적 등
      • 면접 : 인성, 기타 경험, 경력 및 학업내용, 포부 등
      • 신체검사 : 직무 수행가능여부 판단에 필요한 최소한의 건강정보 등

      또한 채용 전형에 참여하는 실무자나 면접관 등에게 필요한 최소한의 개인정보만 수집하도록 사전에 교육하는 것도 매우 중요하답니다.💪


      2. 수집하지 않아야 할 개인정보는?

      상시근로자 30인 이상 사업장부터는 채용절차의 공정화에 관한 법률(채용절차법)이 적용됩니다. 동법 제4조의3에 따르면 직무수행에 필요하지 않은 개인정보는 절대적으로 요구가 금지되는데요. 특히 면접 전형에서 간과하기 쉬운 개인정보들이니, 신경써야 할 부분입니다.

      • 구직자 본인의 용모, 키, 체중 등의 신체적 조건
      • 구직자 본인의 출신지역, 혼인여부, 재산
      • 구직자 본인의 직계 존비속 및 형제자매의 학력, 직업, 재산

      또한 입사지원자의 동의, 법률 근거 등 적법한 근거없이 입사지원자의 개인정보를 제3자에게 제공하는 것 역시 금지입니다!


      3. 입사 지원시 제출하는 서류에 대한 기준이 있나요?

      입사에 필요한 제출 서류 목록에 관해서는 법으로 정하는 바가 없습니다. 따라서 최소 수집의 원칙에 근거하여 이력서, 자기소개서, 학위증명서, 경력증명서, 자격증명서 등 직원의 채용 과정에서 필요하다고 판단되는 서류를 요청할 수 있습니다.

      이때 해당 서류 목록이 입사지원자에 따라 수정, 추가 및 삭제되는 것은 바람직하지 않습니다. 실무적으로는 취업규칙 등에 규정해두는 것이 바람직하고, 채용 공고에도 제출 서류 목록을 명시하는 것이 채용의 공정성을 확보하는 방법이랍니다.

      또한 입사지원자가 제출 서류 반환을 요구할 때는, 본인임을 확인한 후 반환해주어야 합니다. 입사지원자는 채용절차법 시행령 서식인 [채용서류 반환청구서]를 활용해 회사로 요청하면 되고, 회사는 14일 이내에 채용서류에 기재된 주소지로 반환하면 되는 것이죠. (당사자간 합의하는 방법도 가능합니다.) 이때 반환비용은 회사가 부담한다는 것, 잊지마세요!


      + IMHR 콘텐츠 멤버십 회원은 더 자세한 내용을 확인해보세요.
      [참고] 입사지원에 필요한 제출 서류는 회사가 임의적으로 정해도 되나요? - IMHR for me
      개인정보 보호 교육은 개인정보 보호법 제28조에 근거하여, 개인정보의 적정한 취급을 보장하기 위하여 "개인정보취급자"에게 정기적으로 실시하도록 사업주에게 의무화된 교육인데요. 필수교육이지만, 전체 직원에게 실시해야 하는 것은 아니랍니다.😂
          1. 개인정보취급자는 누구일까요? 그 교육 대상은?

          "개인정보취급자"란, 개인정보처리자의 지휘∙감독을 받아 개인정보를 처리하는 임직원을 의미하는데, 직접적으로 개인정보에 관한 업무를 담당하는 자뿐만 아니라 그 밖에 업무상 필요에 의하여 개인정보에 접근하여 처리하는 모든 자를 말합니다.

          개인정보처리자? 개인정보취급자? 개인정보 보호책임자? 다 쓰이고 있는 용어들인데요. 이번 기회에 정리해볼게요.

          • 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 자(공공기관, 법인, 단체 및 개인)
          • 개인정보취급자 : 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자
          • 개인정보 보호책임자 : 이용자의 개인정보 보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원

          통상적으로 기업에서는 임직원 및 협력업체, 고객 등의 개인정보를 취급하는 부서인 인사, 총무, 재무회계, 보안, 전산, 고객담당부서 등에서 근무하는 직원들이 개인정보보호 교육 대상이 됩니다.


          2. 개인정보 보호 교육은 어떻게 실시하나요?

          교육 횟수, 시간 등은 법에서 정해진 사항이 없으나 연 1~2회 정도를 권장하고 있습니다. 이때 교육은 반드시 외부 강사를 통해 실시할 필요가 없으므로 회사의 개인정보 관련 책임자가 직접 교육을 실시해도 좋습니다.
          또한 정부에서 운영하는 개인정보보호 포털(www.privacy.go.kr)을 통해 온라인 교육도 가능하니, 적극 고려해보시길 추천합니다! 요즘처럼 개인정보 보호 이슈에 민감한 때이거나, 필요하다고 판단되는 시점에 하는 것이 효과적이겠죠?


          3. 교육을 하지 않으면 불이익이 있나요?

          개인정보 보호법에서는 교육 미실시에 따른 과태료나 벌칙 규정은 없습니다만, 개인정보유출 등 관련 사고가 발생했을 때에는 사업주 책임, 손해배상 등의 이슈로 교육 실시 여부를 확인할 수 있습니다. 따라서 미리 정기적인 교육 실시 및 운영 방침을 세우는 것이 좋습니다.


          + IMHR 콘텐츠 멤버십 회원은 더 자세한 내용을 확인해보세요.
          [참고] 개인정보보호교육은 전 직원이 받아야 하나요? - IMHR for me
          잘 수습하는 것도 중요하지만, 좋은 HR이란 적극적 예방에 있지 않을까요?
          이슈는 최소화하고 사고는 예방하는 것, 지금 우리에게 필요한 자세가 아닐까 싶습니다.

          오늘도 IMHR과 함께해 주셔서 감사합니다.
           HR은 IMHR에서   IMHR 드림
          새 구독자님, 반갑습니다🤗
          지난 뉴스레터도 함께 봐요

          뉴스레터가 마음에 드셨다면,
          친구, 동료와 함께 나눠보세요!
          경기 성남시 분당구 황새울로200번길 36, 618호
          willdo@imhr.work  |  02-2038-4002

          IMHR에 이메일 주소를 제공하신 분들께 발송되는 메일입니다.
          더 이상 수신을 원치 않으시면, 구독을 취소하십시오.