안녕하세요? 아하(Aha) 법률 분야 전문가 장주석 변호사입니다.
질문하신 내용에 대하여 아래와 같이 답변 드립니다.
개인정보보호법에서는 개인정보처리자의 경우 개인정보가 유출될 경우 지체없이 정보주체(개인정보가 유출된 사람)에게 유출사실과 대응조치 및 피해 구제절차 등을 통지하여야 하고, 이를 위반했을 경우 5천만원 이하의 과태료를 부과하도록 규정하고 있습니다.
그러나 카페운영자는 개인정보 보호법상 개인정보처리자(업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등)로 보기는 어려우므로 개인정보 보호법 위반혐의를 적용시키기는 어려울 것입니다.
한편 카페운영자가 개인정보 유출사실을 확인하였고, 피해자로부터 게시물 삭제조치를 요구받았음에도 상당기간동안 이를 삭제하지 않은 경우라면 민법상 불법행위에 따른 손해배상책임을 질 여지는 있습니다.
관련법령
개인정보 보호법
제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
제75조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. <개정 2017. 4. 18.>
자
8. 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자
9. 제34조제3항을 위반하여 조치 결과를 신고하지 아니한 자