비영리·사회적 기업 개인정보보호법 가이드
"우리는 영리 목적이 아니니 개인정보보호법 적용이 약하겠지"라고 생각하는 비영리단체나 사회적 기업이 많습니다. 하지만 PIPA는 영리·비영리를 구분하지 않습니다. 오히려 비영리 분야는 수혜자의 경제적 어려움·건강 상태 등 민감정보를 처리하는 경우가 많아 더욱 주의가 필요합니다.
비영리 서비스의 개인정보 유형
| 정보 주체 | 주요 수집 정보 | 주요 위험 | |-----------|--------------|-----------| | 후원자 | 이름, 연락처, 계좌/카드, 후원 내역 | 결제정보 유출, 마케팅 무분별 활용 | | 봉사자 | 이름, 연락처, 경력, 건강 상태 | 건강정보 민감성, 신원 확인 | | 수혜자 | 소득 수준, 가족관계, 복지 필요 정보 | 매우 민감 — 유출 시 큰 피해 | | 행사 참가자 | 이름, 연락처, 참가 기록 | 장기 보관 주의 |
1. 후원자 개인정보와 정기후원 동의
후원 가입 시 동의 설계
비영리단체의 후원 가입 페이지는 종종 동의 설계가 부실합니다. 정기후원은 자동이체를 포함하므로 명확한 동의가 필요합니다.
[후원 가입 필수 동의]
□ (필수) 후원 서비스 운영을 위한 개인정보 수집·이용
수집: 이름, 연락처, 이메일, 계좌/카드 정보
목적: 후원금 처리, 영수증 발급, 후원 내역 안내
보관: 후원 종료 후 5년 (세법상 기부금 장부 보관 의무)
□ (선택, 별도) 활동 소식 및 뉴스레터 수신 동의
목적: 단체 활동 보고, 캠페인 안내
수단: 이메일, SMS (수단별 선택 가능)
□ (선택, 별도) 기부금 영수증 이메일 발송 동의
※ 영수증 발송이 후원 서비스의 일부라면 필수로 처리 가능
주의: "후원하면 소식지 수신에 동의한 것으로 간주"는 PIPA 위반.
후원 종료 후 정보 처리
[후원 해지 후 처리 원칙]
자동이체 정보: 해지 즉시 삭제
후원 이력: 세법상 5년 보관 (기부금 장부)
마케팅 동의: 해지와 동시에 철회로 처리
뉴스레터: 별도 수신 거부 처리 (자동 해지 아님)
실수 잦은 사례:
❌ "후원자였으니 계속 소식지 발송" — 동의 없는 발송
❌ 후원 재개 권유 목적으로 연락처 무기한 보관
2. 수혜자 개인정보 — 가장 민감한 영역
비영리단체의 수혜자 정보는 경제적 취약성, 장애, 질병 등 매우 민감한 내용을 포함합니다.
수혜자 정보 처리 원칙
[수혜자 민감정보 분류]
✅ 민감정보 (PIPA 제23조):
- 건강 상태, 장애 정보 → 건강정보
- 기초생활수급 여부, 차상위계층 → 경제 상황 (민감정보 준용)
- 가정폭력·학대 피해 → 법적 분쟁 정보
처리 원칙:
1. 수혜 서비스 제공에 필요한 최소 정보만 수집
2. 수혜자의 명시적 동의 또는 법적 근거 확보
3. 내부 접근 권한 엄격 제한 (담당자만)
4. 수혜 종료 후 파기 또는 최소 보관
공익 목적과 PIPA 예외 조항
PIPA 제58조는 공공기관의 통계 작성, 학술 연구 등 공익적 목적에 대해 일부 예외를 인정하지만, 일반 비영리단체에는 적용 범위가 제한적입니다.
[공익 목적 처리 가능 여부 판단 기준]
공공기관 위탁 사업: 위탁 범위 내 처리 가능 (법령에 근거)
민간 비영리: 원칙적으로 일반 PIPA 기준 적용
연구·통계 목적: 익명화 처리 후 활용 가능
주의: "공익 목적이니 동의 없이 처리 가능"은 잘못된 이해.
비영리라도 동의 획득 또는 법령 근거 필요.
3. 봉사자 개인정보 처리
봉사자 모집과 신원 확인
아동·노인 대상 봉사는 범죄경력 조회가 필요한 경우가 있습니다.
[봉사자 범죄경력 조회 처리]
아동·청소년 대상 봉사: 아동청소년성보호법상 취업 제한 확인 의무
→ 법령에 근거한 처리 (별도 동의 없이 가능, 단 고지 필요)
→ 조회 결과는 취업 제한 확인 목적으로만 사용
→ 봉사 종료 후 즉시 파기
일반 봉사: 범죄경력 조회 법적 근거 없음
→ 동의 없이 조회 불가
봉사 기록과 봉사 시간 인증
[봉사 기록 관리 원칙]
보관 기간: 봉사 활동 종료 후 3년 권고
(봉사 시간 인증, 분쟁 대비)
봉사 시간 제3자 제공:
학교·기업 제출용 확인서 → 봉사자 동의 후 제공
자동 연동 (1365 등 공공 봉사 포털) → 연동 동의 획득 필요
4. 캠페인·서명 운동의 개인정보
온라인 청원, 서명 운동, 캠페인 참가자의 개인정보 처리는 종종 법적 요건을 갖추지 않은 채 진행됩니다.
온라인 서명 운동 동의 설계
[서명 캠페인 동의 요건]
수집 목적 명시:
"○○ 정책 개선 촉구 서명에 사용됩니다"
"국회·정부에 제출될 수 있습니다" (제3자 제공 사전 고지)
제3자 제공 고지:
서명 명단을 정부기관·언론에 제출하는 경우 사전 동의 필요
(단순 참여 인원만 제출하는 경우 — 통계이므로 동의 불필요)
보관 기간:
캠페인 목적 달성 후 1년 이내 파기 권고
캠페인 참가자 연락처 재활용 금지
[절대 금지 사례]
❌ 서명 참가자 연락처를 향후 다른 캠페인 홍보에 재사용
(수집 목적 외 이용 → PIPA 위반)
❌ 서명 명단을 후원 요청 대상으로 활용
(제3자 제공 또는 목적 외 이용 → PIPA 위반)
✅ 허용: 동일 캠페인의 진행 상황 업데이트 발송
✅ 허용: 참가자 동의 후 단체 뉴스레터 구독 전환
5. 비영리단체 개인정보 처리방침 필수 항목
비영리단체도 개인정보 처리방침을 웹사이트에 공개해야 합니다.
[비영리 처리방침 체크리스트]
□ 후원자·봉사자·수혜자별 수집 항목과 목적 구분 기재
□ 기부금 영수증 발급 관련 세법 보관 의무 명시
□ 수혜자 민감정보 처리 현황 (별도 동의 사실 기재)
□ 봉사자 범죄경력 조회 여부 및 법적 근거
□ 캠페인 서명 데이터 처리 및 제3자 제공 고지
□ 개인정보 보호 책임자 지정 및 연락처 공개
□ 정보 주체 권리 행사 방법 안내
PipaGuard로 비영리·사회적 기업 PIPA 준수하기
비영리단체와 사회적 기업은 PIPA 적용 대상임에도 컴플라이언스 체계가 부족한 경우가 많습니다. 수혜자 민감정보 누출, 후원자 정보 무단 활용, 서명 캠페인 데이터 재사용 등은 신뢰도를 직접 훼손합니다. PipaGuard는 비영리 서비스의 개인정보 처리 현황을 자동으로 검토합니다.
→ pipaguard.vercel.app에서 무료로 시작해보세요.