사업자 개인정보 수집·관리 의무 완전 정리
📖 약 4분 읽기
개인정보 수집 동의 요건(목적·항목 고지), 최소 수집 원칙, 제3자 제공 동의, 개인정보 유출 시 72시간 내 신고 의무까지 정리했습니다.
1. 개인정보 수집 동의 요건
개인정보를 수집하려면 정보 주체(소비자)에게 수집 목적·항목·보유 기간을 고지하고 동의를 받아야 합니다. 동의 없이 개인정보를 수집하면 개인정보보호법 위반입니다.
| 동의 요건 | 내용 |
|---|---|
| 고지 사항 | 수집 목적, 수집 항목, 보유 기간, 동의 거부 시 불이익 |
| 명시적 동의 | 체크박스 체크 등 적극적 동의 의사 확인 (사전 체크 금지) |
| 최소 수집 | 서비스 제공에 필요한 최소한의 정보만 수집 |
| 민감 정보 | 건강·종교·정치 성향 등 민감 정보는 별도 동의 필수 |
💡 필수 vs 선택 항목 분리: 서비스 제공에 필수적인 항목과 선택적 항목을 분리해 동의를 받아야 합니다. 선택 항목에 동의하지 않아도 서비스를 이용할 수 있어야 합니다. 필수 항목을 과도하게 요구하면 개인정보보호법 위반이 됩니다.
2. 개인정보 유출 시 대응 의무
개인정보 유출 사고 발생 시 개인정보보호법 제34조에 따라 다음 의무가 있습니다.
- 피해자 통지: 유출 사실을 인지한 후 72시간 이내에 정보 주체에게 통지
- 개인정보보호위원회 신고: 1,000명 이상 유출 시 즉시 신고
- 조치 결과 공개: 홈페이지 게시 또는 이메일 통지
⚠️ 개인정보 유출 처벌: 개인정보를 분실·도난·유출·훼손한 경우 과징금(매출액의 3% 이하) 또는 과태료 처분을 받을 수 있습니다. 고의로 개인정보를 누설한 경우 5년 이하의 징역 또는 5,000만 원 이하의 벌금에 처해집니다.
소규모 온라인 쇼핑몰이라도 해킹·데이터 유출 사고는 발생할 수 있습니다. 주기적으로 비밀번호를 변경하고, 개인정보 데이터베이스에 접근할 수 있는 계정을 최소화하며, 불필요한 개인정보는 즉시 파기하는 습관을 가지세요.
개인정보 유출 시 72시간 이내 통지와 1,000명 이상 유출 시 신고가 의무입니다.
최소 수집 원칙을 지키고 불필요한 정보는 즉시 파기하세요.
다음 글에서는 해외 개인정보 이전 규정 – GDPR 기초를 다룹니다.
📚 함께 읽으면 좋은 글
※ 이 글의 내용은 작성 시점 기준이며, 관련 법령은 변경될 수 있습니다.
실제 계약·법률 문제 발생 시에는 변호사 또는 전문가와 상담하시기 바랍니다.