사용자 혹은 인사담당자는 인사·노무 업무를 수행하며 직원들의 개인정보를 처리하게 되는데요. 특히 새로운 직원을 고용하기 위한 채용 업무에서는 직원이 아닌 입사 지원자들의 개인정보까지 취급하게 됩니다.
하지만 사용자 등은 개인정보보호법과 같은 관계법령에 의해 필요한 최소한의 개인정보만을 수집 및 활용해야 하는데요. 그렇다면 사용자 등은 불특정 다수의 개인정보를 취급할 수밖에 없는 채용·고용단계에서 어떻게 개인정보를 요구하고 처리할 수 있을까요?
이번 글에서는 고용노동부에서 발간한 개인정보보호 가이드라인과 함께 개인정보의 개념과 인사·노무 업무에서 개인정보를 처리하는 방법에 대해 알아보고, 자주 묻는 질문(FAQ)을 통해 더 자세히 알아보겠습니다.
개인정보란 살아있는 개인에 관한 정보를 의미합니다. 쉽게 말하여 정보 그 자체뿐만 아니라 다른 정보와 쉽게 결합하여 개인을 특정할 수 있는 정보라면 모두 개인정보에 해당하는데요.
예를 들어 성명, 주민등록번호와 같은 일반정보부터 가족정보, 소득·신용정보, 통신정보, 이메일과 같이 가명 처리한 정보도 모두 개인정보에 해당합니다.
헌법에 따라 모든 개인은 개인정보 자기결정권을 행사할 수 있는데요. 이는 자신의 개인정보가 언제 누구에게 어디까지 알려지고 또 이용할 수 있는지를 스스로 정할 수 있는 권리를 의미합니다.
이에 따라 사용자와 같은 개인정보처리자는 개인정보 처리 목적을 명확하게 하고, 개인의 동의를 받아 최소한의 정보만을 수집해야 합니다.
사용자는 신규 인력을 고용하기 위한 채용 단계에서 입사 지원자들의 인적정보와 최종학력, 자격증, 동아리 활동과 같은 교육·훈련정보까지 수집하게 되는데요. 이는 모두 지원자들의 개인정보에 해당하기 때문에 사용자는 채용 준비부터 고용 종료 시기까지 적법하게 개인정보를 수집·활용해야 합니다.
다음과 같은 고용 단계에 따라 사용자가 개인정보를 보호하기 위해 준수해야 하는 사항들을 알아보겠습니다.
채용 준비 → 채용 결정 → 고용유지 → 고용종료
▪ 1단계: 채용 준비
채용 전형에 필요한 최소한의 개인정보는 당사자의 동의 없이 수집할 수 있습니다. 예를 들어 다음과 같은 개인정보들이 ‘필요한 최소한의 개인정보’에 해당할 수 있는데요. 하지만 이는 회사에서 요구하는 인재상이나 선발 방법 등에 따라 달라질 수 있습니다.
단 채용절차법에 따라 직무 수행에 필요하지 않은 정보는 수집이 금지되어 있기 때문에 사용자는 필요한 경우, 채용 단계에서 수집한 개인정보가 최소한의 것이었는지 입증해야 합니다.
민감정보*와 고유식별정보**는 원칙적으로 수집이 금지되어 있지만, 예외적으로 법령에 근거가 마련되어 있거나 근로자로부터 개별 동의를 얻은 경우에 한하여 수집할 수 있는데요. 하지만 이 역시 민감정보 등의 수집이 불가피했음을 입증할 수 있는 범위 내에서 이루어져야 하니, 이 점에 유의하시길 바랍니다.
*민감정보: 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보
**고유식별정보: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호(단 주민등록번호는 당사자의 동의를 받아도 처리 불가)
▪ 2단계: 채용 결정
채용 여부 확정 후, 사용자는 법적 의무를 준수하기 위해 필요한 근로자의 개인정보를 요구할 수 있습니다.
예를 들어 근로기준법에서 사용자에게 부여하고 있는 의무인 ‘근로자 명부’ 작성을 위해 근로자에게 성명과 생년월일, 이력 등을 요구할 수 있는데요. 이때 사용자는 근로자에게 법령 근거를 안내하고, 필요한 개인정보만 수집해야 합니다.
법령에 근거가 없는 개인정보의 경우에는 근로자에게 별도의 동의를 받아야 하니, 이 점에 유의하시길 바랍니다.
▪ 3단계: 고용 유지
근로자 채용 이후, 사용자는 인력 관리를 통해 고용 관계를 유지하게 됩니다.
이때 인력배치, 인사평가, 급여 지급, 복리후생, 복무관리 등 근로계약을 이행하기 위해 근로자의 개인정보를 활용해야 하는 상황이 발생할 수 있는데요.
이 같은 경우, 사용자는 근로자의 동의 없이도 업무 수행을 위해 필요한 최소한의 개인정보를 수집·이용할 수 있습니다. 단 노조 가입 여부와 직원의 출산계획 등은 민감정보에 해당하니, 이 점에 유의하시길 바랍니다.
최근 사무실 등 근로자가 상시 근무하는 장소에 CCTV, 지문인식기 등과 같은 디지털 장치를 도입하고자 하는 경우가 많은데요.
이때 근로자의 동의 여부는 디지털 장치의 설치 장소와 목적에 따라 달라질 수 있으나, 사용자는 근로자, 노사협의회 등 이해관계자에게 디지털 장치의 설치 목적과 운영범위, 처리되는 개인정보의 내용과 보유기간 등을 명확히 전달하고, 사전에 의견을 충분히 청취할 필요가 있습니다.
▪ 4단계: 고용 종료
사용자는 근로자의 퇴직 등에 의해 보유 목적이 사라진 개인정보를 복구·재생되지 않는 방법으로 지체 없이 파기해야 합니다.
단 개인정보보호법이 아닌 다른 법령에서 보관기간을 별도로 정하고 있는 경우, 해당 규정에 따라 퇴직자의 개인정보를 보관해야 할 수 있는데요. 예를 들어 사용자는 근로자 퇴사 이후에도 당사자의 요청이 있을 경우, 최소 3년간 경력증명서 등을 발급해 주어야 합니다(근로기준법 제42조).
따라서 사용자는 경력증명서 발급에 필요한 개인정보 보유기간을 정하여 보관할 필요가 있으나, 재직 근로자의 개인정보와 분리하여 보관해야 합니다.
Q. 업무상 편의를 위해 채용 이후에 필요한 개인정보를 채용 단계에서 한번에 받아도 되나요?
A. 아니요, 채용 이후에 필요한 개인정보는 입사 지원 시 요구할 수 없습니다.
사용자는 업종 및 직무의 특성, 인재상 등에 따라 채용 전형 단계별로 필요한 최소한의 개인정보를 선택 및 수집할 수 있는데요.
이때 채용 이후에 필요한 개인정보를 포함한 직무 수행에 필요하지 않은 개인정보는 수집할 수 없습니다(채용절차법 제4조의3).
따라서 복리후생적 차원의 정보일지라도 채용 이후에 필요한 개인정보를 채용 단계에서 요구할 수 없습니다.
Q. 4대보험료 징수 등 근로자의 개인정보를 다른 기관에 제공해야 하는 경우, 근로자의 개별 동의가 필요한가요?
A. 아니요, 그렇지 않습니다.
개인정보 보호에 관한 업무의 기준이 되는 법령은 개인정보보호법입니다.
하지만 다른 법령에 특별한 규정이 있는 경우에는 해당 법률을 준수해야 하는데요. 따라서 4대보험과 같이 다른 법률에서 사용자에게 근로자의 개인정보를 제출하도록 요구하는 경우에는 해당 법률에 따라 처리하면 됩니다.
Q. 사용자의 정당한 이익 달성이 근로자의 권리보다 우선될 경우, 근로자의 동의 없이도 개인정보를 이용할 수 있다던데 정말인가요?
A. 네, 그렇습니다.
시설안전, 영업비밀 보호 등 사용자가 정당한 이익을 달성하기 위해 근로자의 개인정보가 필요한 상황이 발생할 수 있는데요.
이때 사용자는 정당한 이익과 상당한 관련성이 있고, 합리적인 이유를 초과하지 않는 범위 안에서 근로자의 개인정보를 수집 및 이용할 수 있습니다.
예를 들어 근로자가 회사의 이익을 빼돌린다는 소문에 대한 구체적이고 합리적인 의심이 있던 상황에서 이를 확인하기 위해 근로자의 메신저·이메일을 검색한 행위는 형법 제20조에 따른 정당행위로 인정된 사례가 있습니다(대판 2007도6243, 2009.12.24).
반면 시설안전과 범죄 예방을 목적으로 관리사무소 사무실에 CCTV를 설치할지라도 경비원의 사생활 보호를 위한 최소한의 조치 없이 밤낮으로 사무실 전체를 모두 촬영하는 것은 그 정당성을 인정받기 어렵습니다.
즉, 사용자는 근로자의 동의 없이 개인정보를 활용하더라도 근로자의 피해를 최소화하기 위한 방안을 마련하고 사전에 충분히 검토할 필요가 있습니다.
Q. 근로자가 개인정보 열람을 요구할 경우, 이에 항상 응해야 하나요?
A. 아니요, 그렇지 않습니다.
사용자는 근로자의 개인정보 열람, 정정, 삭제 및 처리 정지 등을 요구할 경우, 이를 보장해야 하는데요. 하지만 인사고과, 연봉 산출근거 등 기업의 질서에 영향을 미쳐 회사나 다른 근로자의 이익을 침해할 우려가 있는 사안이라면 열람을 제한하거나 거절할 수 있습니다.
단 객관적인 성과, 실적 등의 평가정보는 특별한 사유가 없다면 공개해야 하니, 이 점에 유의하시길 바랍니다.
개인정보 보호의 핵심은 꼭 필요한 정보만 수집하여 적법하게 관리하는 것에 있습니다. 이번 글을 통해 인사·노무 업무 시, 개인정보보호 보호 및 처리를 위해 준수해야 하는 사항을 확인하고, 실무에 적용하시길 바랍니다.
