본문 바로가기
올키즈 자료실/비영리공익단체 NGO

<비영리운영노트4> 개인정보보호

by 함께걷는아이들 2019. 9. 30.

<비영리운영노트시리즈는 공익네트워크 [우리는]이라는 중소규모의 비영리단체들의 자발적인 모임에서 논의되는 내용에 대해 [함께걷는아이들]의 사례에 비춘 고민과 생각들을 정리한 내용입니다.

비영리를 둘러싼 규제와 법령들이 다양하고 복잡하여 이에 대해 인지하지 못한 채 운영되고 있는 NPO들이 많고체계적인 정보와 안내가 부족한 현실입니다대규모 단체의 경우 각 파트마다 담당자가 따로 있어 상대적으로 체계적 운영 여건이 가능합니다. 하지만 중소규모의 NPO들은 사업과 운영회계 업무를 겸임하거나 한명이 다양한 업무를 모두 맡고 있어 놓치거나 모르고 있는 사안들이 발생하기 쉬운것이 현실입니다.

공익네트워크 [우리는](이후 우리는)은 NPO가 스스로 자가점검해야할 내용들을 정리하여 어떤 부분을 보완해야 하는지 체크할 수 있는 지표를 개발하고 있습니다작년에 개발한 초안을 바탕으로 올해는 카테고리(지배구조/재정투명성/조직구성원/정보공개및보완) 하나씩 짚어가고 있으며, 수정 중인 지표를 소개하고 [함께걷는아이들사례에 맞춘 고민들을 함께 나누고자 합니다. 

 


오늘은 비영리운영노트의 네 번째 주제인 [개인정보보호]에 대해 다루어보려고 한다.

'개인정보보호'는 대상에 따라 크게 4개 파트(기부자, 내부구성원, 수혜자, 기타 참여자의 개인정보보호)로 구분하였고, 초상권에 대한 부분을 별도로 다루었다. 최근이슈가 되고 있는 '저작권'부분도 같이 논의되었는데, 자작권은 그 성격이 달라서 별도의 카테고리로 구분하였고, 다음 시간에 다루려고 한다.

'개인정보보호와 저작권' 이 분야들 또한 전문적 지식과 정확한 사실 확인이 필요하여 박지환 변호사님(법률사무소 혜윰)을 모시고 진행하였다.

 

 

            구분

 

내용

정책 수립

및 실행

필수

개인정보처리방침을 수립하고 이를 공개하는가

필수

내부관리계획을 수립하고 이를 준수하는가

필수

개인정보 교육 연 1회 이상 정기적으로 진행하고 있는가

기부자의

개인정보보호

필수

기부금영수증 요청자에게만 주민등록번호를 수집, 이용하고 있는가

필수

위탁처리기관을 정기적, 체계적으로 관리하고 있는가

내부구성원의

개인정보보호

필수

채용과정에서 수집한 개인정보에 대해 미채용시 즉시 파기하고 있는가

필수

채용 시 직무수행에 필요하지 않은 개인정보를 요구하지 않으며 수집하지 않고 있는가

- 신체적 조건, 출신지역, 혼인여부, 재산

- 직계 존비속 및 형제자매의 학력, 직업, 재산

- 사상과 신념, 정치적 견해, 건강, 성생활 등과 같은 민감정보

필수

근로자 개인정보를 제3자에게 제공 시 별도 동의 또는 법령상 의무준수를 위한 경우로 한정하고 있는가

필수

퇴직자의 개인정보는 경력 증명 및 근로계약에 관한 정보를 제외하고 지체없이 삭제하는가

필수

퇴직자의 경력 증명에 관한 정보는 3년간 별도 보관하며 3년 이상 보관시 사전에 동의를 얻어 보관하는가

수혜자의

개인정보보호

필수

별도의 동의, 법령의 구체적인 근거에 따라 수집한 수혜자의 민감정보에 대해 접근 통제가 제대로 이루어지고 있는가

필수

미성년자의 개인정보보호 및 접근통제를 엄격히 실행하고 있는가

기타참여자의

개인정보보호

필수

프로그램 목적에 맞게 개인정보를 수집 및 이용하고 있는가. 이에 따라 동의 절차를 수행하고 있는가

필수

이용 동의를 받은 데로 관리하고 있는가

초상권

필수

사진 및 영상 촬영 시 사전 동의 및 고지하고 있는가

필수

초상권에 대한 내부 지침를 수립하고 이를 준수하는가

 

첫 번째는, 다른 카테고리와 마찬가지로 관련된 전반적인 [정책을 수립하고 실행] 하고 있는지에 대한 기본적인 지표부터 시작된다. 개인정보처리방침을 수립하고 공개하고 있는지, 내부관리계획을 통해 실제적으로 적용하고 있는지, 개인정보 보호 교육을 정기적으로 진행하고 있는지를 묻는다.

 

함께걷는아이들은 홈페이지에 [개인정보처리방침]을 공개하고 있다. [☞바로가기]

홈페이지 개설 당시에 개인정보처리방침이 공개되었지만 그 존재에 대해 크게 관심을 두고 있지 않다가 2017년에 재단 내부의 각종 규정들을 정비하면서 본 방침의 존재를 다시 한번 인식하였고, 재단 상황에 맞게 수정하여 공개하였다.

그럼에도 위의 내용은 홈페이지를 이용하는 회원, 후원자 등을 주로 대상으로 한 내용이어서 그 외 사업을 진행하면서 발생되는 세부적인 내부관리계획은 부족한 편이었는데, 올해 3월 개인정보보호교육을 들은 후 [함께걷는아이들 개인정보처리방안]을 마련하였다. 여기에는 사업/ 회계/ 인사총무/ 홍보모금 업무 진행시에 수집&이용&제공에 대한 내용, 보관 및 파기 기간 등에 대한 지침이 담겨있다.

 

개인정보를 처리·취급하는 기관은 개인정보를 취급하는 이들을 대상으로 의무적으로 교육을 진행해야 한다. (대부분의 비영리단체가 그러하듯) 함께걷는아이들의 경우 사업을 담당하는 사람, 모금, 회계담당자 등 업무에 따라 각 담당자가 개인정보를 수집하고 이용하기 때문에 전체 직원을 대상으로 교육을 진행하고 있다.

 

두 번째는, 정보보호의 대상에 따라 크게 4개 파트(기부자, 내부구성원, 수혜자, 기타참여자)로 분류하여 살펴보았다.

 

#. 기부자

먼저, 기부금영수증 발행에 필요한 주민등록번호 수집·이용을 요청자에 한해 진행하고 있는지 묻는다.

주민등록번호는 법적 근거가 있을시에만 수집이 가능하다. 대표적인 것이 기부금영수증 발행, 소득 신고, 보험가입(4대보험, 여행자보험 등)의 경우이다. 이런 경우를 포함하여 법적근거 없이 주민등록번호를 수집할 수 없게 되어 있다.

이에 함께걷는아이들 후원신청서에도 생년월일만 기입하고, 추후에 기부금영수증발행을 희망하는 분에 한해서 별도의 동의절차에 따라 주민등록번호를 수집하고 있다.

 

그리고, 개인정보가 있는 문서, 특히 주민등록번호가 담긴 문서는 반드시 암호화 하여 관리하고 수집 및 이용목적이 다하였을때는 즉각적으로 폐기하는 것으로 하고 있다. (tip! 암호화가 적용된 문서를 메일로 전달 할때에는 보완을 위해 파일과 비밀번호를 같은 메일에 표기하지 않도록 한다.)

 

#. 내부구성원

내부구성원의 개인정보의 경우, 채용과정-채용시-퇴직시로 구분된다.

옛날 이력서 양식의 경우 종교, 형제관계, 심지어 주민등록번호까지 기재하게 되어 있는 양식들이 있다. 함께걷는아이들은 자체 제작한 '입사지원서' 양식을 사용하고 있는데, 우리가 원하는 정보를 얻는데 용이하기도 하지만 불필요한 정보가 담기지 않도록 예방하는데 도움이 된다. 올해부터는 개인정보 수집 및 이용에 대한 동의란을 추가하여 받고 있다. 채용과정이 종료되고 미채용된 이력서의 경우 1개월 이내에 모두 폐기하고 있다.

 

채용 이후에는 주민등록번호를 포함하여 근로자의 연락처, 주소 등 다양한 정보를 수집·이용하게 되는데 이전에는 구두로 설명하고 정보를 받았다면, 지금은 어떤 목적으로 정보를 수집하고 이용하는지에 대한 설명이 담긴 문서로 정보를 받고 활용하고 있다.

 

제일 애매한 부분이 퇴직자의 정보관리이다. 경력증명서의 발급 등을 위해 기본 정보를 계속적으로 보유해도 된다고 생각했는데, '우리는'을 통해 별도의 추가 동의가 없을 때 퇴직자의 정보보관 기간이 3년 이라는 것을 새롭게 알게되었다. 퇴직자 정보관리에 대한 내부기준을 마련해야 할 것 같다.

 

#. 수혜자 및 기타참여자

함께걷는아이들은 아동청소년의 건강한 성장을 지원하는 다양한 사업들을 진행하고 있기에 참여아동의 신청서를 받는 경우들이 있다. 이때, 14세 미만의 아동인 경우 보호자 동의서를 함께 받고 있고, 신청 자격 확인을 위해 받는 건강보험납입증명서 같은 정보들은 더 신중히 다루고, 심사 후 절차에 따라 관리폐기하고 있다.

 

세 번째로는, “초상권에 대한 부분을 다룬다.

SNS를 통한 홍보가 활발해지면서 초상권에 대한 부분이 더 민감해 지는 것 같다.

함께걷는아이들의 경우 프로그램 참여 아동청소년의 사진을 활용할때에는 사전 동의절차를 갖고 있었지만, 교사나 실무자들의 사진을 활용하는 부분에 있어서는 구두동의로 대체하거나 처음에 일괄적으로 동의를 받으면 나머지는 생략하는 경우가 많았다. 원칙적으로 동의서에 행사 내용 및 수집.이용 목적을 구체적으로 명시해야 하기에 행사별 개별동의를 받는게 좋다고 한다. 앞으로는 행사 참여 신청 또는 접수를 받을 때 사진 및 영상촬영에 대한 고지를 하고, 동의 싸인을 받는 형태로 진행하기로 하였다. (현실적으로 동의자와 비동의자가 섞여 있는 행사에서 촬영한 사진을 어떻게 활용할 수 있는지는 고민되는 부분이다.)

 

마지막부분에는 개인정보보호와 관련하여 지켜야하는 사항을 세부지침으로 안내하였다.

       구분 

 

내용

세부지침

필수

개인정보는 필수정보와 선택정보를 나누어 목적에 맞게 최소한으로 수집하고 4대 고지 사항을 반드시 알리고 있는가

수집이용목적수집하려는개인정보의항목개인정보의보유및이용기간동의거부권있음및동의거부에따른불이익의내용

필수

여권번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 별도의 동의를 받거나 관련 법령에서 명시, 허용하는 경우에 한해 수집하고 이 때 다른 개인정보와 구분하여 별도의 동의를 받고 있는가

필수

고유식별정보 중 주민등록번호는 관련 법령의 근거에 따라서만 수집, 처리하고 있는가

필수

개인정보를 수집한 목적에 따라서만 이용하고 제3자 제공 시 사전동의를 받고 있는가

필수

개인정보 처리위탁 시 문서에 의해서만 처리하고 개인정보처리방침에 이를 공개하고 있는가

필수

개인정보는 수집한 목적이 달성된 후에는 즉시 파기하고 있는가

필수

보관이 필요한 증빙서류는 법령에서 정한 보유기간을 숙지하고 이를 준수하고 있는가

필수

개인정보 내부관리계획을 수립, 시행하고 방화벽·백신·접근통제 등 개인정보가 유출되지 않도록 보호조치를 철저히 이행하고 있는가

필수

회원관리 프로그램 ID는 공유하지 않고, 업무상 불필요한 직원은 해당 프로그램에 접속하지 못하도록 관리하고 있는가

필수

비밀번호, 주민등록번호가 암호화되어 전송 및 저장되는지 프로그램 제공업체에 확인하고 있는가


목적에 맞는 수입.이용보다 가장 어려운건 시기에 맞춰 파기하는 것이 아닐까 싶다.

내년이면 재단설립 10주년을 맞이하는 함께걷는아이들에도 묵은 서류들이 쌓여가고 있었다. 개인정보보호법이 엄격하게 적용되기 이전에 수집했던 자료들도 섞여있던 터라 지난 7월 과감히 정든 서류들과 단호하게 이별하는 시간을 가졌다.

보존기간이 남은 5년 미만의 사업관련서류들과, 10년 미만의 회계관련서류들을 남겨두고 이용기간이 끝난 서류들을 떠나보냈다. (시원 섭섭한 마음)

 

[문서 파쇄 과정]

 

 

개인정보 보호라는 것이 아직은 까다롭게만 느껴지고, 이렇게까지하면서 어떻게 사업을 진행할 수 있을까 싶을때도 종종 있지만, 함께걷는아이들을 신뢰해주시는 기부자, 참여자, 직원들의 마음을 생각하며 그들의 개인정보 보호를 위해 더 섬세하게 내부 기준들을 마련해나가려고 한다. (나의 정보도 어디선가 이렇게 관리되기를 바라면서~^^ )


 

 

댓글