개인정보를 처리하는 기업이 반드시 작성해야 하는 최소한의 서류를 열거하면 아래와 같다.

1) 개인정보처리방침

2) 내부관리계획

3) 개인정보동의서

그 밖에 필요한 서류가 더 많기는 하나, 이 정도면 단속 등에서 큰 문제는 없을 것으로 보인다.

오늘은 필수 서류 중 개인정보처리방침과 내부관리계획의 차이점에 대하여 하나하나 구체적으로 다루어보기로 한다.

{참고로 개인정보취급방침이라고도 사용하기도 했으나 지금은 개인정보처리방침으로 통일되었으므로 개인정보취급방침은 엄밀히 말하면 잘못된 표현임}

첫째, 개인정보처리방침은 회사가 개인정보를 어떻게 처리하는지에 대한 내용을 담은 문서이다. 반면 내부관리계획은 회사가 개인정보 조직을 어떻게 갖추었는지, 내부적으로 개인정보를 어떻게 관리할 것인지, 개인정보취급자를 어떻게 교육을 할 것인지 등 회사가 내부적으로 어떻게 관리할 것인지에 대한 내용을 담은 문서이다.

둘째, 개인정보처리방침은 작성을 해서 웹페이지 등에 공개를 해야 하는 서류인 반면, 내부관리계획은 작성을 해서 회사 CEO의 확인 등의 내부의사 결정을 거치되 웹페이지 등에 공개를 할 필요는 없고 회사 내부적으로 잘 보관하면 되는 서류이다.

셋째, 두 서류의 목적이 다르므로 두 서류에 포함되는 내용 역시 상이하다.

개인정보처리방침에는 아래와 같은 내용이 포함되어야 한다. (개인정보보호법 기준)

1) 개인정보의 처리 목적 및 처리하는 개인정보의 항목

2) 개인정보의 처리 및 보유 기간

3) 개인정보의 제3자 제공에 관한 사항

4) 개인정보처리의 위탁에 관한 사항

5) 정보주체와 법정대리인의 권리의무 및 그 행사방법에 관한 사항

6) 개인정보보호책임자의 성명 또는 개인정보보호 부서의 명칭 등

7) 인터넷 접속정보파일 등 개인정보 자동수집 장치의 운영에 관한 사항

8) 개인정보의 파기에 관한 사항

9) 개인정보의 안전성 확보조치에 관한 사항

반면 내부관리계획에는 아래와 같은 내용이 포함되어야 한다. (개인정보보호법 기준)

1) 개인정보보호책임자의 지정에 관한 사항

2) 개인정보보호책임자 및 개인정보취급자의 역할, 책임에 관한 사항

3) 개인정보취급자 교육에 관한 사항

4) 접근권한의 관리에 관한 사항

5) 접근 통제에 관한 사항

6) 개인정보의 암호화 조치에 관한 사항

7) 접속기록 보관 및 점검에 관한 사항

8) 악성프로그램 등 방지에 관한 사항

9) 물리적 안전조치에 관한 사항

10) 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11) 개인정보 유출사고 대응 계획 수립 및 시행에 관한 사항

12) 위험도 분석 및 대응방안 마련에 관한 사항 (대기업만 해당)

13) 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 (대기업만 해당)

14) 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 (대기업만 해당)

15) 그 밖에 개인정보 보호를 위하여 필요한 사항

넷째, 개인정보처리방침을 갖추지 않거나 또는 공개하지 않은 자에 대하여는 1천만원 이하의 과태료가 부과된다.

반면 내부관리계획을 갖추지 않은 자에 대하여는 3천만 이하의 과태료가 부과된다.

다섯째, 개인정보처리방침에 대하여는 수정이력을 보관할 법적 의무는 없지만, 그렇다고 하더라도 수정이력 보관은 권장되고 있다.

반면 내부관리계획에 대하여는 그 수정이력의 보관이 의무 사항이다. 더불어 개인정보보호책임자는 연 1회 이상으로 내부관리계획의 이행 실태를 점검 및 관리해야 하는 것 역시 의무사항이다.

지금가지 두 서류의 차이점을 살펴보았다. 그 차이점에도 불구하고 어쨌든 두 서류는 개인정보처리자 입장에서는 반드시 필요한 서류이다. 다만 그 안에 포함되는 내용은 사뭇 다루다. 그 차이가 명확하게 나올 수 있도록 준비하는 것이 필요하다고 본다.

* 법무법인 민후 김경환 변호사 작성, 블로그(2018. 8. 19.) 기고.