근태관리 개인정보법 위반인지에 대하여 문의드립니다.
본 사업장은 사원증 태그를 통한 근태 관리를 시행하고 있습니다.
위 기기는 근태 관리 외 각 건물 출입 기록 또한 기록되고 있는데요.
근태관리를 위하여 인사팀에서 매일 출근 및 퇴근시간을 체크하고 있습니다.
하지만 일부 직원들 간에서 개인정보법 위반이라고 이야기 하는데요.
지문 및 CCTV를 통한 근태관리에 대하여는 명확하게 나와있으나
사원증을 통한 근태관리는 마땅한 정보가 없어 문의드립니다.
특별한 사항을 체크하기 위한 근태조회를 제외하고 단순 카드 태그를 통한 근태체크 조회 및 감독도
개인정보법 위반으로 판단할 수 있을까요?
안녕하세요. 주현종 노무사입니다.
개인정보보호법 위반에 해당하기 위해서는 개인정보를 수집 활용하는 과정에서 위법한 사항이 발생하지 않아야 합니다.
사원증을 통해 직원들의 출퇴근 시간 및 그 외 각 건물의 출입 기록 또한 체크하고 있는 경우라면 기본적으로 사원증을 통해 이와 같은 정보를 수집한다는 개인정보제공 동의서를 개인정보 주체로부터 받아야 합니다.
이와 관련된 별도 개인정보와 관련된 사내 규정 등이 존재한다 하더라도 해당 규정이 개인정보 각 주체들로부터 명시적인 개인정보 제공 및 수집에 대한 동의를 받았다고 볼 수 있는 경우가 아니라면 그러한 경우에도 개인정보보호법 위반에 해당할 수 있습니다.
따라서 개인정보 주체들로부터 별도 명시적인 개인정보 제공 및 수집에 대한 동의를 받은 경우에는 곧바로 개인정보보호법 위반에 해당할 가능성은 낮지 않을까 싶습니다.
참고로 인권위에서는 지문인식(생체정보)을 통한 개인정보 수집보다는 사원증을 통한 개인정보수집을 권하는 편입니다.
감사합니다.
만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.안녕하세요. 이기중 노무사입니다.
근로자 감시를 위한 CCTV 설치는 개인정보보호법 위반이지만, 출퇴근 시간 체크를 위해 카드 태그 시스템을 설치하는 것은 개인정보보호법 위반이 아닙니다.
만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.안녕하세요. 허규성 노무사입니다.
'개인정보 보호법' 제15조 제 1항 제4호 및 제6호 및 동조 제3항 등에 근거할 때, 회사(개인정보처리자)가 정보를 수집함에 있어 고려한 사항을 '개인정보 처리방침'에 미리 공개한 경우에는 가능할 것이라 사료됩니다.
회사(개인정보처리자)는 '개인정보 보호법' 제15조 제1항 제4호 및 제6호 및 동조 제3항 등에 근거해, 근로자(정보주체)와 맺은 근로계약의 원활한 이행을 위해 불가피하게 필요한 경우, 또는 회사(개인정보처리자)의 정당한 이익 달성(사업의 원활한 운영)을 위해 필요한 경우로서 정당하다 판단되는 경우 개인정보를 수집할 수 있습니다.
단, 회사(개인정보처리자)가 근로자(정보주체)의 동의 없이 개인정보의 이용 등을 하려한다면, 동법 시행령 제14조의 2 제1항에 열거된 사항 등을 고려하여야 하며, 이 고려사항에 대한 판단기준을 동법 제30조 제1항에 따른 '개인정보 처리방침'에 미리 공개하여야 할 것입니다.
제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>
(앞서 제15조 제3항에서 위임하는 대통령령)
제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) ① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각 호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.
[본조신설 2020. 8. 4.]
만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.