개인정보 보유 기간은 언제까지일까? (feat. 개인정보 침해 사례)

과태료와 안녕하기

개인정보에도 보유기간이 정해져 있다고?

설문, 이벤트, 사전등록 등 여러 곳에서 개인정보 수집하고 계시죠? 동의받고 수집한 개인정보도 보유 기간을 정해야 합니다. 이용 목적이 달성되면 개인정보를 즉시 지워야 하는데요. 보관하는 목적에 정당한 근거가 없거나, 기간이 지났는데도 개인정보를 삭제하지 않다가는 과태료를 받게 됩니다. 헷갈리는 개인정보 보유 기간 기준에 대해 살펴보고, 개인정보를 침해하지 않고도 더 연장해서 보유할 수 있는지 알려 드릴게요.

 

개인정보 보유 기간 이해하기

 

개인정보 보유기간 필요 사례

개인정보를 수집하기 위해서는 동의받는 절차를 거쳐야 합니다. 이때 “개인정보 수집·이용 동의서” 안에 개인정보를 얼마나 보관할지 명시해야 해요. 이 내용에 동의한다는 체크를 하면 그 사람의 개인정보는 해당 기간 보관할 수 있습니다.

개인정보수집이용동의서예시※ 개인정보 수집·이용 동의서가 궁금하다면?(클릭)

 

개인정보 보유 기간은 언제까지로 해야 할까?

 

보유 기간을 결정하는 기준은 ‘처리 목적을 위해 정말로 그 정보가 필요한지’입니다. 개인정보를 보관하려면 보관해야 하는 이유가 있어야 해요. 아무 근거가 없는데 터무니없이 긴 기간으로 동의받으면 안 되겠죠. 구체적인 기간 없이 계속 보관하는 건 법적으로 불가능합니다.

개인정보보호법 일부 발췌

<개인정보 보호법 일부 발췌>

 

주의할 점은 개인정보 보호법 말고도 다른 법에서 특정 기간 보유하도록 정해진 기록들이 있다는 사실이에요. 예를 들어 결제와 관련된 기록은 5년 동안, 소비자 불만 또는 분쟁 처리와 관련된 기록은 3년 동안 보관해야 합니다. 이런 예외 사항에 대해 산업별로 다 알기 어렵기 때문에 전문가의 도움 없이 개인정보를 정확히 보호하기 쉽지 않아요.

 

그래도 일반적으로 수집하는 개인정보들의 보유 기간을 어떻게 설정할지 기준이 필요하다면, 아래의 세 가지를 기억하시면 됩니다.

개인정보 보유기간 설정 가이드

 

보유 기간이 다 되면 개인정보는 파기!

 

동의받을 때 약속한 보유 기간이 다 되었다면 개인정보를 바로 파기해야 합니다. 예를 들어, 위에서 보여드린 동의서를 사용하여 수집한 개인정보는 보유·이용 기간이 6개월이므로, 수집한 날로부터 6개월이 지나면 수집한 이름과 이메일을 삭제해야 합니다. 여기서 말하는 삭제란, 복원이 불가능하도록 영구히 삭제해야 한다는 의미입니다.

참고로, 보유 기간이 되기 전에 고객이 동의를 철회하겠다는 의사를 표시할 때도 즉시 정보를 파기해야 합니다. 동의를 철회한 후에 파기가 제대로 되지 않아서 다시 그 사람에게 메시지가 가면 안 되겠죠. 고객에게 좋은 인상을 남기고 제품·서비스를 홍보하고 싶어 보내는 메시지가 불편한 스팸으로 변하는 사례가 많으니 주의가 필요합니다.

 

보유 기간이 지나도 파기하지 않으면?

 

보유 기간이 지나도 개인정보를 삭제하지 않으면 3천만 원 이하의 과태료가 부과됩니다. 더 문제가 되는 것은 그 이후입니다.

고객 정보를 계속 가지고 있으면 여러 가지로 활용할 수 있을 것 같지만, 그렇게 했을 때 고객이 느끼는 불쾌감이 매우 큽니다. 개인이 규제 기관으로 직접 신고가 가능하고, 실제로 신고하는 사람이 매년 증가하고 있어요.

고객 중 1명이라도 문제를 제기하면 감독 기관의 사실 확인 과정에서 더 많은 위반 사항이 드러납니다. 여러 위반 사항들이 더해지면 과징금·과태료 액수는 더욱 커지겠죠.

 

개인정보 파기 의무 위반 사례

 

당연한 말이지만, 내부적으로 정확한 보유 기간을 정해두지 않고 “목적 달성 시”라고 하고 있다면 파기가 정상적으로 이루어지지 않습니다. 또한 엑셀, 스프레드시트 등의 여러 문서로 만들어 사용하다 보면, 보유 기간이 지난 개인정보를 파기하려고 해도 파기 대상을 식별하기 어려워서 삭제가 어렵습니다. 누군가의 파일 안에 여전히 개인정보가 남아 있을 가능성이 크기 때문입니다.

 

많은 분이 보유 기간에 맞춰 개인정보를 관리하기 가장 어려워하는 이유는 사람마다 동의한 시점이 제각기 다르다는 점 때문일 거예요. 인력과 시간, 비용을 쏟아도 자동화된 시스템 없이 수동으로 많은 정보를 관리하는 것은 현실적으로 불가능합니다.

 

캐치시큐 동의철회 이력 관리 화면<캐치시큐 동의/철회 이력 관리 화면>

:star2: 고객 별로 동의한 일자와 동의/철회 여부를 한 화면에서 관리하고 파기할 수 있는 캐치시큐를 활용 하세요.

 

개인정보 보유 기간을 연장할 수 있을까?

 

: “회원 가입할 때 개인정보 보유 기간을 ‘회원 탈퇴 시 즉시 삭제’로 고지하고 있어요. 그런데 쿠폰이나 포인트를 부정 사용하는 회원들이 있어서 일부 개인정보는 탈퇴 후에도 3개월 동안 가지고 있고 싶습니다. 어떻게 해야 할까요?”

 

탈퇴하기 전에 부정 이용 방지를 위해 연장 보관하겠다는 내용에 대해 동의를 받는다면 가능해요. 이미 탈퇴했다면 고지했던 대로 해당 정보를 즉시 파기해야 합니다. 새로 가입하는 회원에게는 변경된 내용으로 고지하고 동의받아야겠죠.

다른 사례로 광고 메시지를 고객에게 계속 보내고 싶은 경우가 있는데요, 광고 동의를 받을 때 보유 기간을 2년으로 했다면 동의를 받은 날로부터 2년이 되기 전에 다시 동의받으면 됩니다.

 

마무리하기

 

😕 : “개인정보 잘 모르겠는데, 대충 관리해도 안 걸리면 되지 않을까요?”

 

요즘은 개인정보 보호에 대해 중요하게 생각하는 사람들이 정말 많아졌습니다. 스타트업은 관련 문제가 생겼을 때 특히 치명적일 수 있어요. 이슈 하나가 터지면서 허술했던 관리 방식이 줄줄이 수면 위로 드러나 소비자 반발, 브랜드 이미지 하락, 투자 유치 영향 등 여러 악재로 이어지기 때문입니다. 최근에도 여러 기업이 연이어 고객 개인정보 유출 사고로 큰 위기에 직면했다는 뉴스가 매일 같이 들리고 있어요. 개인정보보호 놓치지 말고 리스크 관리하세요! 😉

 

세 줄 요약

  1. 개인정보를 수집할 때는 보유 기간을 정해야 해요.
  2. 이용 목적이 달성되거나 보유 기간이 끝나면 바로 삭제해요.
  3. 보유 기간이 지나도 개인정보가 필요하다면 보유 기간이 끝나기 전에 다시 동의받아요.

 

 

Tags: 과태료와 안녕하기
개인정보 제대로 관리 안 한다고 정말로 벌금이 나올까? – 개인정보 보호조치 가이드
공모전 모집 중이라면 주목! 잘 만든 개인정보 동의서 하나로 더 많은 참가자를 부르는 방법

개인정보관리,캐치시큐에서모두가능합니다

지금 바로 시작하세요!

개인정보보호 및 솔루션에 대해 궁금하신가요?
언제든지 문의하기를 통해 연락주세요

메뉴
error: 컨덴츠는 보호됩니다.