개인정보보호법 실무에서 반복해서 나오는 질문 30개를 모아 정리했습니다. 처리방침·동의·삭제 요청·CCTV·마케팅 문자·직원 정보·과태료까지 카테고리별로 빠르게 확인할 수 있습니다.
처리방침 관련
Q1. 홈페이지가 없으면 처리방침을 게시하지 않아도 되나요?
아닙니다. 홈페이지가 없어도 처리방침을 수립해야 합니다. 다만 게시 방법을 달리할 수 있습니다. 오프라인 사업장은 게시판에 비치하거나 요청 시 제공하면 됩니다.
Q2. 처리방침 파일을 PDF로만 제공해도 되나요?
원칙적으로 사용자가 쉽게 읽을 수 있어야 합니다. PDF 단독 제공은 검색 엔진이 색인하지 못하고 가독성이 낮아 권고하지 않습니다. 웹 페이지(HTML)로 제공하는 것이 표준입니다.
Q3. 처리방침을 영어로만 써도 되나요?
한국 내 서비스라면 한국어 처리방침이 필요합니다. 외국어 단독 게시는 정보주체가 내용을 파악하기 어려워 고지 의무를 이행한 것으로 보기 어렵습니다.
Q4. 처리방침에 "필요에 따라 변경할 수 있습니다"라고만 쓰면 되나요?
아닙니다. 실제 변경이 발생하면 사전 고지(중요 변경 30일, 경미한 변경 7일 전)가 필요합니다. 포괄적 변경 예고 문구만으로는 의무를 이행한 것이 아닙니다.
동의 관련
Q5. "이용약관에 동의"가 개인정보 동의를 포함하나요?
아닙니다. 이용약관과 개인정보 처리방침 동의는 별도로 받아야 합니다. 하나의 체크박스로 묶으면 위반입니다.
Q6. 구두(전화)로 받은 동의도 유효한가요?
유효하지만 증빙이 어렵습니다. 전화 동의를 받은 경우 통화 내용을 녹취하거나, 이후 서면으로 동의를 재확인하는 것을 권장합니다.
Q7. 마케팅 동의를 받은 적이 없는데 고객에게 이벤트 문자를 보내도 되나요?
안 됩니다. 마케팅 목적의 문자·이메일·알림은 사전 동의가 필요합니다. 기존 거래 관계가 있더라도 별도 마케팅 동의를 받지 않았다면 발송할 수 없습니다.
Q8. 동의를 받은 고객에게 3년 전 동의를 근거로 문자를 보내도 되나요?
원칙적으로 가능하지만, 동의 후 장기간 미이용 시 동의가 유효한지 검토해야 합니다. 2년 이상 미연락 고객은 동의를 재확인하는 것을 권장합니다.
Q9. "수신 거부" 없이 마케팅 문자를 발송해도 되나요?
안 됩니다. 광고 문자에는 반드시 수신 거부 방법(무료 080 번호 또는 링크)을 안내해야 합니다 (정보통신망법 제50조).
삭제 요청 관련
Q10. 고객이 개인정보 삭제를 요청하면 즉시 삭제해야 하나요?
원칙적으로 10일 이내 처리해야 합니다. 단, 법령상 보관 의무가 있는 경우(결제 기록 5년 등)에는 해당 기간까지 보관 후 삭제합니다.
Q11. 탈퇴한 고객의 정보를 얼마나 보관할 수 있나요?
법령상 의무 보관 기간이 있는 정보는 그 기간까지 보관합니다. 법령 의무가 없는 정보는 탈퇴 후 즉시 파기가 원칙입니다. 일부 기업은 분쟁 대비로 90일~1년 보관하지만, 처리방침에 명시해야 합니다.
Q12. 고객이 삭제를 요청해도 거부할 수 있나요?
가능합니다. 다음 경우에는 거부할 수 있습니다:
- 법령에 따른 의무 보관 기간 중인 경우
- 계약 이행에 필요한 경우 (진행 중인 거래)
- 타인의 권리를 보호하기 위해 필요한 경우
거부 시 사유를 서면으로 고지해야 합니다.
CCTV 관련
Q13. CCTV 안내판에 무엇을 써야 하나요?
최소 다음 항목이 필요합니다: 설치 목적, 촬영 범위, 촬영 시간, 보관 기간, 관리 책임자 이름 및 연락처.
Q14. CCTV 영상은 얼마나 보관해야 하나요?
법령마다 다릅니다. 일반 사업장은 30일, 어린이집은 60일 이상이 기준입니다. 최대 보관 기간을 초과하면 파기해야 합니다.
Q15. 고객이 CCTV 영상 열람을 요청하면 보여줘야 하나요?
원칙적으로 자신이 촬영된 부분은 열람 청구가 가능합니다. 다만 다른 사람이 함께 촬영된 경우 해당 부분을 마스킹 처리 후 제공합니다.
직원 정보 관련
Q16. 직원 급여를 다른 직원에게 알려도 되나요?
안 됩니다. 급여 정보는 개인 재무 정보로 타인에게 공개하면 개인정보 위반입니다. 인사팀과 대표만 접근하는 것이 원칙입니다.
Q17. 직원 퇴직 후 계약서를 언제 파기해야 하나요?
근로기준법상 3년간 보관 의무가 있습니다. 보관 기간 종료 후 파기해야 합니다.
Q18. 직원 얼굴 사진을 회사 홈페이지에 올릴 수 있나요?
직원의 동의를 받아야 합니다. 퇴직 시 삭제를 요청할 권리도 있습니다.
제3자 제공·위탁 관련
Q19. 배달앱에 고객 정보를 넘기는 것은 위탁인가요, 제3자 제공인가요?
배달 서비스 제공을 위해 배달앱(배달의민족, 쿠팡이츠 등)에 주소를 전달하는 것은 위탁입니다. 처리방침에 수탁자로 기재해야 합니다.
Q20. 마케팅 대행사에 고객 DB를 줘서 문자를 발송하게 하면 위탁인가요?
네, 위탁입니다. 마케팅 대행사는 수탁자이므로 위탁 계약서를 체결하고 처리방침에 기재해야 합니다. 단, 대행사가 고객 DB를 자신의 목적으로 활용하면 제3자 제공이 됩니다.
Q21. AWS, Google Cloud를 쓰는데 이것도 처리방침에 써야 하나요?
네. 클라우드 서버에 개인정보를 저장하면 해당 클라우드 사업자가 수탁자입니다. 처리방침에 기재해야 합니다. (AWS: Amazon Web Services Korea LLC 등)
마케팅·문자 관련
Q22. 카카오 채널 친구 추가가 마케팅 동의를 의미하나요?
아닙니다. 친구 추가는 채널 구독 의사일 뿐, 마케팅 문자 발송 동의가 아닙니다. 채널에서 마케팅 메시지를 발송하려면 별도 수신 동의가 필요합니다.
Q23. 구매 완료 후 리뷰 요청 문자는 동의 없이 보낼 수 있나요?
구매와 직접 관련된 거래 후 통보(리뷰 요청 포함)는 기존 거래 관계를 근거로 발송할 수 있습니다. 단, 이 경우에도 수신 거부 방법을 안내해야 합니다.
과태료·처벌 관련
Q24. 처리방침을 게시하지 않으면 과태료가 얼마인가요?
최대 3천만 원 이하의 과태료가 부과됩니다 (개인정보보호법 제75조 제1항).
Q25. 개인정보를 유출하면 무조건 형사처벌을 받나요?
과실로 유출된 경우 행정 처분(과태료·과징금)이 주로 적용됩니다. 고의로 유출하거나 판매한 경우 형사처벌(5년 이하 징역 또는 5천만 원 이하 벌금) 대상이 됩니다.
Q26. 과징금은 어떻게 계산되나요?
매출액의 최대 3%입니다. 매출이 없거나 산정이 어려운 경우 20억 원 이하의 정액 과징금이 부과될 수 있습니다.
소규모 사업자 관련
Q27. 직원 3명인 소규모 사업자도 개인정보보호법을 지켜야 하나요?
네. 규모에 관계없이 개인정보를 처리하면 PIPA 의무가 발생합니다. 다만 소규모 처리자는 일부 의무(내부관리계획 등)가 간소화됩니다.
Q28. 가족만 운영하는 가족 사업체도 적용되나요?
고객 개인정보를 처리하는 경우 가족 운영 여부와 관계없이 PIPA가 적용됩니다.
기타
Q29. 개인정보보호법과 정보통신망법이 다른 건가요?
2023년 개정으로 정보통신망법의 개인정보 조항 대부분이 개인정보보호법으로 통합되었습니다. 현재는 개인정보보호법 단일 체계로 운영됩니다.
Q30. GDPR과 PIPA, 둘 다 지켜야 하는 경우는?
EU 거주자에게 서비스를 제공하는 경우 GDPR도 적용됩니다. 한국에서 운영하는 서비스가 EU 사용자를 대상으로 하면 두 법을 모두 준수해야 합니다. PIPA를 준수하면 GDPR 대응의 약 70~80%가 커버됩니다.
PIPAGuard로 지금 바로 점검하기
위 FAQ에서 "아직 준비 안 됐다"고 느낀 항목이 있다면, PIPAGuard로 무료로 현황을 점검할 수 있습니다.