[개인정보] 회사 그룹웨어에 대한 개인정보취급자, 개인정보처리시스템 문의

Question

[상황]

회사 임직원들은 모두 그룹웨어를 통해 조직도를 확인할 수 있고 직원정보를 조회할 수 있습니다.

간혹 업무 상 특정 직원에게 연락하기 위해 그룹웨어 내 직원정보를 조회하여 해당 직원의 연락처를 알아내어 연락을 하기도 합니다.

이 경우 개인정보처리로 봐야하는지와 개인정보취급자로 분류가 되는지 문의드립니다.

Q1. 만약 분류가 된다면 그룹웨에어 접근할 수 있는 회사 전직원 모두 개인정보취급자로 봐야하는지

Q2. 그룹웨어는 개인정보처리시스템인지

Q3. 그룹웨어는 외부에서도 접근이 가능하며 이에 대해 별도 망분리를 해야하는지

Answer 1

안녕하세요? 아하(Aha) 법률 분야 전문가 이성재변호사입니다.
질문하신 내용에 대하여 아래와 같이 답변 드립니다.

「개인정보 보호법」 제2조제5호에서는 개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다고 정의하면서 같은 법 제28조제1항에서는 임직원 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자를 개인정보취급자로 약칭하여 개인정보처리자와 개인정보취급자를 구분하여 규정하고 있습니다.

이러한 「개인정보 보호법」의 규정 내용 및 체계에 비추어 볼 때 같은 법 제2조제6호에 따른 법인인 회사가 같은 조 제5호에 따른 개인정보처리자에 포함된다는 것이 문언상 명백한 반면, 접수ㆍ배정 담당자와 개별 업무담당자는 「개인정보 보호법」상 법인이자 개인정보처리자인 회사의 지휘ㆍ감독을 받아 개인정보를 처리하는 자로서 개인정보취급자에 해당할 뿐, 개인정보처리자에 해당한다고 볼 수는 없습니다.(각주: 헌법재판소 2018. 4. 26. 선고 2017헌마711 결정례 참조)