개인정보처리자로부터 개인정보를 직접 제공받지 않아도 개인정보보호법 위반에 해당할까요?

Article posted in 2022-02-08 14:44:43 | VEAT

「개인정보보호법」 제 59조는 개인정보를 처리하거나 처리하였던 자에게 금지되는 행위를 규정하고 있습니다. 제 59조 제2호에 따르면 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위는 금지행위임을 명시하고 있습니다. 개인정보를 처리하거나 처리하였던 자가 이러한 금지행위를 한다면 개인정보 보호법을 위반하는 것이 됩니다. 

그렇다면 개인정보를 처리하거나 처리하였던 자로부터 개인정보를 제공받은 자는 어떠할까요? 

개인정보를 제공받은 자도 「개인정보 보호법」 위반의 책임이 있습니다. 「개인정보 보호법」 제71조 제5호는 ‘제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’5년 이하의 징역 또는 5천만원 이하의 벌금에 처할 수 있도록 규정하고 있습니다. 

여기서 흥미로운 점은 개인정보를 제공받은 사람은 개인정보를 처리하거나 처리하였던 자에게 직접 개인정보를 제공받지 않았다고 하더라도 「개인정보 보호법」 위반에 해당할 수 있다는 것입니다.

대법원은 「개인정보 보호법」 제71조 제5호에서 개인정보를 제공하는 자가 누구인지에 관하여는 문언상 제한을 두고 있지 않은 점과, 개인의 자유와 권리를 보호하고 개인의 존엄과 가치를 구현하고자 하는 「개인정보 보호법」의 입법 목적 등을 고려할 때, 그 개인정보가 권한 없이 다른 사람에게 제공한 정보임을 알고 있었던 이상 위 호에서 규정하고 있는 개인정보를 제공받은 자에 해당한다고 판시한 바 있습니다. (대법원 2018. 1. 24. 선고 2015도16508 판결)

 

구체적인 사건을 통해 알아보면, 업무상 조합원들의 개인정보를 처리하던 A가 퇴사 후 보관하고 있던 조합원명부 엑셀파일을 총 6회에 걸쳐 유출하는 사건이 있었습니다. A에게서 조합원명부 엑셀파일을 제공받은 B는 개인정보를 가지고 있는 것이 이익을 얻을 수 있는 기회라 생각하고 당시 이사장 선거 출마자였던 C와의 접촉을 시도했습니다.

B: “A로부터 조합원명부를 메일로 받은 것이 있는데, 메일로 보내 드릴까요?”
C: “처에게 메일주소를 알려 달라 하고, 처가 알려주는 메일로 파일을 보내라.”

이렇듯 개인정보를 처리하거나 처리하였던 자로부터 개인정보를 직접 제공받지 않았더라도, 개인정보를 처리하거나 처리하였던 자인 A가 권한 없이 B에게 제공한 개인정보라는 사정을 알면서도 영리 또는 부정한 목적으로 해당 정보를 제공받은 이상 C는 개인정보 보호법 제71조 제5호의 ‘개인정보를 제공받은 자’에 해당하여 위법 책임을 인정할 수밖에 없었습니다.

 

이처럼 개인정보를 제공받을 시 개인정보처리자가 정보주체의 동의를 획득하였는지, 개인정보를 처리하거나 처리하였던 자가 위법하게 유출한 개인정보는 아닌지 여부를 꼼꼼히 살펴 법령을 위반하지 않도록 유의하여야 합니다.

법무법인 비트는 기업이 개인정보 관련 법령을 준수할 수 있도록 개인정보 보호 체계수립(ISMS, ISMS-P 등) 컨설팅 등의 업무를 수행하고 있습니다. 개인정보를 제공하거나 제공받음에 있어 법률 검토가 필요하신 분들은 법무법인 비트로 편하게 문의해 주시기 바랍니다.

감사합니다.

법무법인 비트 드림