[일요서울] 사업장에서 소속 근로자의 개인정보를 가장 많이 취급하는 직원은 인사ㆍ노무 담당 부서의 담당자 또는 관리자일 것이다. 개인정보 보호법 시행 등으로 인해 인사ㆍ노무 담당 부서에서는 개인정보와 관련한 여러 가지 이슈를 직접 맞닥뜨리는 경우가 많은데, 이와 관련한 노동관계법령 및 개인정보 보호법 상 여러 가지 기준을 확인해야 할 필요성이 있다. 

이번 호에서는 2023년 1월, 개인정보위원회와 고용노동부에서 발간한 “개인정보 보호 가이드라인-인사ㆍ노무편”(이하 ‘가이드라인’이라 함)을 토대로 인사ㆍ노무 담당 부서에서의 개인정보 관리와 관련해 기본원칙과 함께, 채용 준비와 결정 단계, 고용유지 및 종료 단계 등 인사관리 주요 단계에서 개인정보 관리와 관련해 주의할 점에 대해 알아본다. 

- 생체인식정보 등 민감 정보는 수집 금지..필요 시 별도 동의 얻어야 

이번에 발표된 가이드라인은 사업장에서 인사ㆍ노무 단계별로 개인정보 보호법, 채용절차법, 근로기준법 등 개별 근로자의 개인정보 처리ㆍ보호에 관한 법령을 종합적으로 안내하고, 개인정보의 처리기준이나 유의사항 등을 체계적으로 정리해 근로자의 개인정보를 보호할 목적으로 발간됐다. 

특히, 최근 신기술(AI, 생체인식정보, 재택근무 등) 환경에 부합하는 개인정보 처리기준을 제시해 법의 실효성을 확보하고, 개인정보 침해사고의 예방과 정보 주체의 권리를 보장하기 위해서 고용노동부와 개인정보위원회가 협업해 마련한 자료이다. 

‘개인정보 보호 가이드라인’은 입사지원자 및 근로자, 그리고 근로자 등의 개인정보를 처리하는 사용자가 적용대상이 되고, 채용준비부터 고용이 종료되는 제반 인사ㆍ노무 업무의 과정이 적용범위에 해당된다.

특히, 이번에 발표된 가이드라인은 헌법상 개인정보 자기결정권에 대한 내용을 설명하고 있으며, 입사지원자의 권익보호, 디지털 장치 도입시 유의사항, 퇴직 근로자의 개인정보 파기 등 기존 가이드라인의 내용을 보완했다는 점도 중요하다. 

- 근로자 등 개인정보 처리 기본원칙 

헌법재판소(99헌마513, 2005.5.26.)는 “개인정보 자기결정권”은 헌법 제10조 및 제17조 등에 의해 도출되며, 개인정보 보호법에 의해 구체화된 권리로 “자신에 대한 정보가 언제, 누구에게, 어느 범위까지 알려지고 또, 이용되도록 할 것인지를 정보주체가 스스로 결정할 권리”를 말한다. 

개인정보와 관련한 기본원칙으로는 (1) 개인정보의 처리 목적을 명확히 하고, 필요한 최소한의 개인정보만을 적법하고 정당하게 수집할 것, (2) 처리 목적에 필요한 범위에서 적합하게 처리하고 안전하게 관리할 것, (3) 개인정보 처리에 관한 사항을 공개하고 열람청구권 등 정보주체의 권리를 보장할 것이 있고, 이러한 원칙을 사업장에서의 인사ㆍ노무관리 각 단계에서도 준수해야 한다. 

기업의 인사ㆍ노무 담당자 등은 채용준비 단계에서 먼저 적절한 인재 선발에 필요한 개인정보를 결정하고 이에 따른 정보보호 계획을 수립하고, 실제 입사지원서 접수 및 면접 등 채용전형 단계에서는 각 단계마다 개인정보의 안전한 수집, 이용 및 보호조치를 이행해야 하며, 이러한 채용준비 전 단계에서 입사지원자의 권익을 보호하기 위한 제반 의무를 이행해야 한다. 

구체적인 예시로, 회사가 신입사원 채용을 위한 입사지원서 접수시 지원자의 개인정보 수집ㆍ이용에 대해 별도로 동의를 얻어야 할까? 채용전형에 ‘필요한 최소한의 개인정보’는 동의 없이 수집도 가능하다. 그 이유는 정보주체가 제출한 이력서 등을 통해 지원자의 신원, 업무 수행능력 등을 확인하는 것은 근로계약 체결 전 반드시 필요한 절차이기 때문이다. 다만, 민감정보(사상, 신념, 노조ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강 등)나 고유식별정보(주민등록번호, 외국인등록번호 등)를 수집하려는 경우에는 지원자의 동의나 법령에 근거가 있어야 한다. 

입사 지원자의 논문이나 저서 등 정보를 인터넷을 통해 수집하는 경우에도 정보주체인 개인의 동의를 받아야 하는지와 관련해서, 가이드라인은 ‘불특정 다수가 열람할 수 있는 사이트 등에 공개된 개인정보(언론, 온라인 도서관, 인물 DB 등)의 수집이나 이용에 대해서는 별도로 동의가 필요하지 않다고 한다. 다만, 사회통념상 정보주체의 의사가 있었다고 인정되는 범위 외로 이용하려 하거나 해킹 등 부당한 방법으로 수집해 공개된 개인정보임이 명확한 경우는 제외된다. 

- 채용결정 단계에서의 개인정보 처리방법 

채용결정 단계에서는 근로기준법 등의 준수에 필요한 사항(근로자명부, 임금대장 등)을 위한 개인정보의 수집에 관한 사항과 함께, 근로계약의 체결ㆍ이행(예시 : 인력 배치, 복리후생 등)을 위해 필요한 개인정보의 수집과 관련한 개인정보 수집 방법에 대해 설명했다. 

구체적으로, 입사지원자에 대한 채용 확정 후, 종교나 범죄경력 정보 등을 수집하고 이용할 경우에는 “원칙적으로 별도 동의”를 받아야 한다. 종교나 범죄경력 정보는 개인정보 보호법 상 ‘민감정보’에 해당하므로 법령에 근거가 없다면 별도의 동의를 얻어야 한다. 

한편, 근로자의 가족 개인정보를 확인한 후 적절한 복지혜택을 제공할 경우, 근로자 본인 이외에 가족의 동의도 얻어야 할까? 가이드라인은 가족수당의 기초가 되거나 가족의 복지혜택 제공 등을 위해 필요한 개인정보의 수집은 근로자 또는 가족의 동의가 필요 없다고 한다. 다만, 주민등록번호 등 고유식별정보나 민감정보(종교, 건강 등)를 수집할 경우에는 가족의 동의도 필요하다. 

고용유지 단계에서는 인력관리(인력배치, 인사평가, 보수 및 복리후생, 교육 등)에 따른 개인정보 처리근거를 확인해야 하고, 디지털 장치의 도입 시 유의사항과 함께 고용유지 단계에서의 근로자 권익보장에 대해 구체적으로 설명하고 있다. 

사업장 내 CCTV 설치 등 디지털 장치의 도입과 관련해서는 많은 주의가 필요하다. 우선, 근로자의 상시 근무공간에 디지털 장치를 도입하는 경우에는 사전에 근로자 등 이해관계자로부터 의견을 청취하는 절차를 거쳐야 한다. 만약, 노사협의회 설치 대상 사업장(상시 30인 이상)인 경우에는 노사협의회의 협의사항으로 충분한 협의과정(설치목적, 운영범위, 보유기간 등)을 거쳐야 한다. 

디지털 장치 도입에 따른 개인정보의 수집이나 이용에 대한 근거가 명확하지 않은 경우, 개인정보의 수집ㆍ이용목적, 수집 항목 등을 사전에 알리고 동의를 받아야 하는데, 동의시 필요 최소한의 처리, 동의 내용의 명확한 고지, 능동적 의사표시, 선택권 보장에 각별히 주의해야 한다. 이외에 지문 등 생체인식정보 등 민감정보는 원칙적으로 수집이 금지되고, 필요한 경우 별도 동의를 얻어야 한다. 

- 고용종료 단계에서의 개인정보 처리방법 

마지막 단계인 고용종료 단계에서는 퇴직근로자의 개인정보 열람권 보장(경력증명서 발급 관련 : 3년간 보존 의무) 및 파기 등 개인정보와 관련한 이슈에 대해 안내하고 있다. 

퇴직근로자의 경력증명 등을 위해 근로자의 개인정보를 보호하는 경우에는 근로기준법 제39조 및 같은 법 시행령 제19조에 따라 최소 3년 동안 보유한 법적 의무가 있으므로 별도의 동의가 필요하지 않다. 물론, 3년 이상을 초과해 보관할 경우 개인의 동의가 필요할 것이다. 

이번에 발표된 개인정보 보호 가이드라인(2023.01.) 전체 내용은 고용노동부 홈페이지나 개인정보보호 포탈(www.privacy.go.kr)의 자료마당 중 지침자료에서 확인이 가능하다.