1. 고객 동의 없이 개인정보가 포함된 영수증을 발급한 행위에 대한 손해 배상 등 요구
신청인은 피신청인 매장에서 판매상품을 진열대에서 집어 무인 계산대로 이동하였다. 이에 피신청인 보안요원이 신청인의 행위를 절취로 의심하고 신청인에게 구매 물품의 계산 여부 확인을 요청하자 신청인이 거부하였고, 이에 피신청인이 직접 무인계산대에서 직전 거래 영수증을 발급하여 구매 물품을 확인하였다. 신청인은 피신청인이 동의 없이 자신의 개인정보가 포함된 영수증을 발급한 것에 대하여 분쟁조정을 신청하였다.
- 「개인정보 보호법」 제15조 제1항 제4호는 개인정보처리자가 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 있고 그 수집 목적의 범위에서 이용할 수 있다고 규정
- 「개인정보 보호법」 제15조 제1항 제4호에 따라 신청인과의 물품 구매 계약 체결 및 이행을 위해 적법하게 수집한 것으로서, 피신청인은 그러한 수집 목적 범위 내에서는 신청인 동의 없이도 이 사건 개인정보를 이용할 수 있음
- 기각
2. 통신사가 전화 앱 서비스를 위해 동의 없이 개인정보를 수집, 이용한 행위에 대한 손해배상
피신청인은 광고, 스팸 등 원치 않는 전화로부터 수신자를 보호하기 위하여 발신자 전화번호 확인 및 평가 등 기능을 가진 전화 앱 서비스(이하 ‘전화 앱 서비스’라 한다)를 운영하면서, 특정 전화번호가 전화 앱 서비스 이용자들로부터 일정 횟수 이상의 부정적 평가를 받으면 그 시점부터 해당 전화번호의 부정적 평가를 해당 이동전화 이용자들이 볼 수 있도록 공유하였다
- 신청인의 전화번호는 그 자체만으로도 신청인 개인을 식별할 수 있는 정보이고 그에 대한 평가정보는 전화번호와 결합하여 쉽게 신청인을 식별할 수 있는 정보이므로 「개인정보 보호법」 제2조 제1호의 개인정보에 해당
- 피신청인은 전화 앱 서비스를 통하여 신청인을 포함한 타인의 전화번호와 그에 대한 평가정보를 수집 및 이용하고 있으므로 「개인정보 보호법」 제2조 제5호의 개인정보처리자에 해당
- ‘법령상 의무를 준수하기 위하여 불가피한 경우’에 대하여 개인정보보호위원회의 「표준 개인정보 보호지침」 제6조 제2항 제3호는 법령에서 개인정보처리자에게 구체적인 의무를 부과하고 있고, 개인정보처리자가 개인정보를 수집·이용하지 않고는 그 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우로 이를 구체화
- 피신청인은 「정보통신망법」 제50조의4 제4항의 의무를 준수하기 위한 범위 내에서만 개인정보를 수집·이용하고 있다고 봄이 상당함
- 기각
3. 업무 담당자가 아닌 제3자에게 개인정보를 제공한 행위에 대한 손해배상 및 재발방지 조치 요구
피신청인은 소상공인, 손실보상 민원 업무가 과다해짐에 따라 ‘손실보상 민원전담 TF’(이하, ‘손실보상 TF’라 한다)를 설립하여 직원 A, B를 포함한 5명을 TF 지원 근무자로 임명하였다. 신청인은 지역 가맹점들의 손실보상금 지급 여부와 시기 등에 대하여 피신청인의 고객센터에 문의하였고, 손실보상 담당자인 A가 신청인에게 연락하여 몇 차례 상담하였다 → 신청인은 피신청인의 홈페이지에 표시된 조직도에는 손실보상 업무 담당자는 A가 유일하고 B의 업무는 손실보상 업무가 아니므로 A가 B에게 신청인의 개인정보를 전달한 것은 제3자에 대한 제공으로서 위법하다며 개인정보 분쟁조정을 신청하였다
- 직업 및 휴대전화번호는 「개인정보 보호법」 제2조 제1호의 개인정보에 해당
- 개인정보보호법」 제18조 제1항에서 개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니된다라고 규정
- 담당자 B의 경우 A와 같이 손실보상 TF로 발령받아 손실보상 업무를 함께 수행한 것이 피신청인이 제출한 자료에서 확인되고, 피신청인은 A와 B 모두에 대한 지휘· 감독권과 함께 업무 관련 개인정보에 대한 처리 권한을 가지고 있으므로 B를 피신청 인과 별개의 독립한 제3자로 볼 수 없음
- 기각
4. 신청인의 개인정보가 포함된 이메일을 타인에게 오전송한 행위에 대한 손해 배상 등 요구
신청인은 주거복지를 신청하였고, 피신청인은 신청인에게 대상자격 소명을 요청하는 통보서를 이메일로 발송하였는데, 그 과정에서 소속 직원의 과실로 통보 이메일(이하 ‘이 사건 이메일’)을 제3자의 이메일 주소로 전송하였다. 이 사건 이메일에는 신청인 본인 및 신청인 부모의 각 성명, 주민등록번호, 연락처, 주소, 개인소득 자산내역 등이 기재되어 있다.
- 신청인 본인 및 부모의 각 성명, 주민등록번호, 연락처, 주소, 자산내역 등은 그 자체로 특정한 개인을 알아볼 수 있거나 다른 정보와 결합하여 특정한 개인을 알아볼 수 있는 정보로서 「개인정보 보호법」 제2조 제1호에 따른 신청인 본인 및 신청인 부모의 개인정보이며 주민등록번호는 고유식별정보에 해당
- 「개인정보의 안전성 확보조치 기준」 제7조 제1항은 개인정보처리자는 고유식별정보, 비밀번호 등을 정보통신망을 통하여 송신하는 경우 이를 암호화하여야 한다고 규정
- 개인정보 유출의 의미와 관련하여, 「표준 개인정보 보호지침」 제25조는 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 경우를 말한다고 규정
- 피신청인 소속 직원의 과실로 이 사건 이메일이 제3자에게 발송됨으로써 이메일에 포함된 개인정보가 권한 없는 제3자에게 전달되었으므로, 신청인 본인 및 부모의 개인정보가 유출되었다고 판단할 수 있음
5. 개인정보취급자의 불법행위로 인한 개인정보 유출에 대한 손해배상 등 요구
이 사건 공무원은 피신청인의 자치사무인 불법노점 단속과 건설 기계조종사면허 발급업무를 수행하던 자로, 해당업무를 수행하기 위해 자동차 관리정보시스템(이하 ‘자동차시스템’)과 건설기계 관리정보시스템(이하 ‘건설기계 시스템’)에 대한 접근 권한을 피신청인으로부터 부여받았다. →
공무원은 부여받은 접근권한으로 자동차시스템 및 건설기계시스템 해당 시스템에서 타인의 개인정보를 무단으로 조회하여 약 2년 동안 흥신소 업자에게 차량정보 등 개인정보(이하 ‘이 사건 개인정보’) 천 여건을 유출
- 개인정보의 목적 외 이용
- 피신청인이 자동차관리법령상 부여받은 자동차 관련 시스템의 접근 권한을 국토부장관의 승인을 받지 않고, 법에 규정된 업무 목적을 벗어나 불법노점단속 업무에 활용한 행위는 개인정보 보호법 제18조 제1항(목적 외 이용) 위반에 해당한다
- 안전조치 의무 위반
- 피신청인은 ‘건설기계조종사면허 발급’ 업무 처리를 위해 소속 공무원에게 건설기계 시스템의 사용권한을 부여할 때, 업무에 필요한 최소한의 범위를 벗어난 더 상위의 접근권한을 부여하였고, 최근 3년간 자동차시스템과 건설기계시스템을 사용하는 소속 사용자에 대한 접속기록을 점검하지 않은 것은 개인정보 보호법 제29조(안전 조치의무) 위반에 해당한다
- 개인정보 취급자에 대한 관리 감독 의무 위반
6. 키오스크 운용 과정에서의 개인정보 유출 등에 대한 손해배상 등 요구
이 사건 키오스크를 통한 개인정보 수집과 관련하여, 신청인은 이 사건 키오스크에 개인정보를 입력할 당시 입력정보가 화면에 크게 표시되어 뒤에 대기하던 타인이 동영상 촬영 등을 통해 신청인의 개인정보를 쉽게 습득할 수 있었으므로 개인정보가 유출되었다고 주장한다.
- 「개인정보 보호법」 제59조 제3호는 개인정보를 처리하거나 처리하였던 자는 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 유출하여서는 아니 된다고 규정
- 뒤에서 대기하던 타인이 동영상을 촬영할 가능성이 있다는 이유만으로 신청인의 개인정보가 타인에게 전달되었다고 인정하기는 어렵고, 달리 이를 인정할 만한 증거가 없으므로 신청인의 개인정보가 유출되었다고 보기는 어려움
- 기각
7. 개인정보 처리에 대한 동의 절차가 생략되었음에도 가입 절차가 완료된 것에 대한 손해배상 요구
계좌 개설 중 개인정보 동의 절차가 생략되었으나 개인정보가 완료된 것
- 피신청인은 신청인이 가입 과정에 본인 인증 절차를 거치고 개인정보를 직접 입력 하였다 하더라도「개인정보 보호법」 제15조의 개인정보 수집·이용 규정에 부합하지 않는다는 사실을 인정
