온라인 회원이 탈퇴해 개인정보 보관근거가 사라진 뒤로도 관련 정보를 파기하지 않고 무단 보관한 기업이 잇따라 적발되고 있다.
16일 정보보호업계에 따르면 개인정보보호위원회 2소위원회는 투네이션에 대한 개인정보보호 법규위반행위 시정조치로 최근 과태료 360만원을 의결했다. 투네이션은 인터넷방송인에게 '도네이션(후원)' 플랫폼을 제공하는 기업이다.
투네이션은 2017년 11월 계정삭제를 요청하는 회원 A씨의 메일을 수신한 뒤에도 A씨의 개인정보를 5년 5개월간 파기하지 않고 보관한 것으로 조사됐다. 당시 투네이션 서비스에선 회원탈퇴를 메일로 요청해야 했다.
A씨는 지난해 3월 투네이션이 서비스 관련 안내메일을 발송하자 개인정보 침해신고를 제출했다. 투네이션은 신고 나흘 만에 A씨를 탈퇴 조치하고 A씨의 개인정보를 파기했다.
개인정보보호법은 정보주체(주인)가 개인정보 수집·처리 동의를 철회한 경우 기업·기관 등 개인정보처리자가 관련 개인정보를 지체 없이 파기하도록 규정됐다. 처리자가 동의 없이 개인정보를 보관하기 위해선 법적 근거를 갖춰야 한다.
개인정보위는 △위반기간이 3개월을 넘긴 점 △위반행위를 인정하면서 자료제출·진술에 협조한 점 △조사 종료 전 위반행위를 멈춘 점 등을 종합적으로 고려해 투네이션에 대한 과태료를 산정했다고 밝혔다.
투네이션이 2017년 당시 회원탈퇴 신청을 이메일로 받은 점에 대해서도 개인정보위는 법 위반을 지적했다. 개인정보 수집 동의절차보다 쉬운 철회절차를 갖추도록 규정된 법 조항을 어겼다는 취지다. 다만 제재조항이 지난해 폐지된 탓에 투네이션은 추가 과태료를 면했다.
이른바 '개인정보 미파기'는 개인정보위에서 시정조치 의결이 잦은 개인정보보호법 위반사항이다. 개인정보위는 같은 이유로 지난 5월 골프존, 지난 4월 미스터피자 등에게도 과태료 부과를 의결했다. 두 회사는 개인정보 유출사고를 계기로 개인정보위 조사를 받다 미파기 사실이 드러났다.
전문가들은 파기 대상인 개인정보를 주기적으로 확인할 필요가 있다고 권고한다. 한 업계 관계자는 "특히 회원탈퇴는 고객의 반감이나 불만에서 비롯됐을 가능성이 높다"며 "발송 근거 없이 메일·메시지를 발송할 경우 분쟁과 각종 조사로 이어질 가능성이 크다"고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>