개인정보 수집/제공 동의 철회 시 개인정보도 파기해야할까?

개인정보보호 업무를 하면서 정보주체의 권리보장, 특히 '동의를 철회할 권리'에 대해 혼동되는 부분이 있었습니다.

 

한 번 '동의'했던 것을 번복하는 것도 정보주체의 권리라는 의미인데요. 

사업자들은 동의 이력을 보유하고 있는 DB에서 '동의함'을 '동의하지 않음'으로 변경처리해야할 것 입니다.

 

개인정보처리자는 정보주체의 개인정보를 수집하거나, 개인정보 제3자에게 제공할 때 사전동의를 획득합니다.

동의를 철회하면 개인정보 처리와 제공을 중단해야하는데, 어디까지 파기해야하는 것일까요?

 

 

---

동의 유형을 나누어서 정리해보았습니다.

 

1. 개인정보 처리 및 이용에 대한 수집 동의(개인정보보호법 제15조 2항)

 - 개인정보를 처리 및 이용하겠다는 목적으로 수집에 동의를 획득한 케이스

 - 동의를 철회했을 때, 개인정보 처리 및 이용을 더 이상 수행해서는 안됩니다.

 - 동의 철회시점 이후부터 개인정보 처리 및 이용을 제한하고,

 - 동의 철회 이전에 수집했던 개인정보를 처리 및 이용하는 것도 제한해야할 것입니다.

 

Q1) 동의 철회 이전에 수집했던 개인정보를 파기까지 해야할까요?

 

 

 

2. 개인정보 제3자 제공에 대한 동의(개인정보보호법 제17조 2항)

 - 개인정보를 제3자에게 제공하겠다는 목적으로 동의를 획득한 케이스

 - 동의를 철회했을 때, 개인정보 제공을 더 이상 수행해서는 안됩니다.

 - 동의 철회시점 이후부터 개인정보 제공을 제한해야 할 것입니다.

 

Q2) 동의 철회시점 이전에 제공된 개인정보까지 제3자에게 파기 요청해야할까요?

 

---

개인정보보호 법령 및 지침·고시 해설에 따르면,

개인정보보호법 제21조(개인정보의 파기) 1항에서 "개인정보가 불필요하게 되었을 때"는

"동의철회에 따른 개인정보처리 법적 근거가 소멸되었을 때"를 포함하고 있습니다.

개인정보보호 법령 및 지침 고시 해설(2020.12_개인정보보호위원회) p138

 

그렇다면 동의를 철회했다는 것은 개인정보를 파기해야 한다는 의미가 됩니다.

앞서, 동의철회일 이후  "개인정보 처리와 이용"을 더 이상 하지 않고, "제3자에게 제공"하는 행위도 중단되는 것과 더불어 "파기"도 해야한다는 뜻입니다.

 

그러면 다시 원점으로 돌아와 

Q1) 동의 철회 이전에 수집했던 개인정보를 파기까지 해야할까요?

Q2) 동의 철회 이전에 제공된 개인정보까지 제3자에게 파기 요청해야할까요?

 

---

 

먼저 "철회"의 의미를 정확히 확인해봤습니다.

'아직 발생하지 않은 효력의 발생 가능성을 소멸시키는 행위'라고 정의하고 있습니다.

• 아직 발생하지 않은(현재 이후)
• 효력(개인정보 수집 또는 제공)의 발생 가능성
• 소멸시키는 행위

'철회 시점 이후에 개인정보 수집 목적(처리와 이용) 또는 제공을 하지 않게 한다'는 의미로 변환해볼 수 있겠습니다.

 

NAVER 지식백과 - 두산백과 '철회'

철회시점 이전에 개인정보 수집 목적(처리와 이용) 또는 제공한 사실에도 영향을 미치려면

'동의 철회'가 아닌 '동의 취소'가 쓰여야할 것입니다.

 

---

Q1) 동의 철회 이전에 수집했던 개인정보를 파기까지 해야할까요? 네

 

'철회'의 의미를 따졌을 때, 동의철회 시점 이후에 행위만 제한하면 되는 것처럼 보이지만,

개인정보보호법 법령 및 고시 지침 해설서에서 '파기'가 걸립니다. 

 

제가 아직 이해가 부족할 수도 있겠지만, 현재까지 정리한 내용에 따르면 '철회'의 의미와 '파기'는 너무나도 상충되는 부분입니다. '철회'는 미래의 행위를 제한하는 의미라면 '파기'는 과거에 저장된 정보를 삭제하라는 의미니까요.

 

온라인 개인정보 처리 가이드라인 p7

 

법적으로 해당만 한다면 보유할 수 있는 근거는 최대 5년까지는 가능할 것 같습니다.

 

 

 

 

---

Q2) 동의 철회 이전에 제공된 개인정보까지 제3자에게 파기 요청해야할까요? 아니요

- 개인정보처리자가 직접 파기요청해야할 근거는 없습니다. 

- 정보주체가 최초에 개인정보를 수집 동의한 업체가 아닌 제공된 업체(제3자)에게 직접 요구하여 동의를 철회할 수 있습니다.

 

다행히 이 답은 2017년 개인정보보호 상담사례에서 확인할 수 있었습니다.

 

요약

동의 철회 = 이용, 처리 중단 + 제공 중단 + 파기

 

---

철회에 대해 정의하고 있는 비슷한 법률이 여럿 있는데, 의미는 조금 다른 것 같습니다.

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제50조(영리목적의 광고성 정보 전송 제한)

② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다. < 미래에 대한 행위 금지 >

 

* 본 글을 작성하는 2023.01.05에는 개인정보보호법에서 정보통신서비스제공자 특례조항이 아직 제거되지 않은 시점으로

개인정보보호법 제39조의 7, 3항에 따라 사전동의 철회한 개인정보 파기, 특히 발송한 이력에 대해서도 고민할 수 있을텐데요.

* 이 경우에는 스팸 관련 정보통신망법 안내서 p44에 따라 '광고성 정보 수신동의 여부 증명 및 소명'을 위해 최대 1년 이상 별도 보관하는 근거에 따라 발송이력은 파기하지 않아도 됩니다.

 

위치정보의 보호 및 이용 등에 관한 법률 제24조(개인위치정보주체의 권리 등)

④위치정보사업자등은 개인위치정보주체가 제1항에 따라 동의의 전부 또는 일부를 철회한 경우에는 지체없이 수집된 개인위치정보 및 위치정보 수집ㆍ이용ㆍ제공사실 확인자료(동의의 일부를 철회하는 경우에는 철회하는 부분의 개인위치정보 및 위치정보 이용ㆍ제공사실 확인자료로 한정한다)를 파기하여야 한다. < 과거의 이력 파기 >

 

개인정보보호법 제39조의7(이용자의 권리 등에 대한 특례)

③ 정보통신서비스 제공자등은 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. < 과거의 이력 파기 >

 

본 해석은 실무자가 분석한 내용으로 그 어떤 법적인 책임도 지지 않으며, 법적 근거가 되지 않습니다.
만일 관련기관 담당자, 유권해석, 유관 경험으로 관련기관에 대응해보신 분께서 본 해석이 적절하지 않다고 판단되는 경우에는 하단 댓글 '비밀글'로 남겨주시면 저에게도 귀중한 경험 공유가 될 것입니다.