개인정보주체

개인정보주체는 개인정보보호법에 따라 자신의 개인정보를 처리하는 개인정보처리자에게 해당 정보의 처리 현황을 알 권리와 그 내용을 정정하거나 삭제를 요구할 권리를 가진다. 이는 정보 주체의 자기정보결정권을 실현하는 핵심적인 권리로, 개인정보의 정확성과 최신성을 확보하고 불필요한 정보의 보유를 방지하는 데 목적이 있다.

접근권은 개인정보가 처리되고 있는지 여부를 확인하고, 그 구체적인 내용을 열람하거나 사본을 발급받을 수 있는 권리를 의미한다. 정보 주체는 자신의 개인정보가 어떤 목적으로, 어떻게 처리되고 있으며, 어디에 제공되었는지 등을 확인할 수 있다. 정정·삭제 요구권은 열람을 통해 확인한 개인정보가 사실과 다르거나 처리 목적이 달성되어 더 이상 필요하지 않은 경우, 그 정정 또는 삭제를 요구할 수 있는 권리이다.

이러한 권리를 행사하기 위해서는 정보 주체는 일반적으로 해당 개인정보처리자가 정한 절차에 따라 '개인정보 열람 등 요구서'를 작성하여 제출해야 한다. 개인정보처리자는 이러한 요구를 받은 날로부터 10일 이내에 필요한 조치를 취하고 그 결과를 통지할 의무가 있다. 다만, 다른 법률에 따라 열람이 금지되거나 타인의 생명·신체·재산에 대한 침해 우려가 있는 경우 등 법정 사유가 있을 때는 열람을 제한하거나 거절할 수 있다.

[3] 예를 들어, 상법이나 국세기본법 등 다른 법령에서 일정 기간 보관을 의무화하고 있는 거래 내역 등의 정보는 정보 주체의 삭제 요구가 있어도 법적 의무에 따라 삭제하지 않을 수 있다.

처리정지 요구권은 개인정보보호법이 개인정보주체에게 부여하는 핵심 권리 중 하나이다. 이는 자신의 개인정보가 처리되고 있는 개인정보처리자에 대하여, 그 처리 행위를 일시적으로 중단하도록 요구할 수 있는 권리를 의미한다. 이 권리는 정보의 수집, 이용, 제공 등 모든 처리 활동의 정지를 요구하는 것으로, 정보 주체가 자신의 정보에 대한 통제력을 강화하는 중요한 수단이다.

그러나 이 권리의 행사는 절대적이지 않으며, 법률에서 정한 예외 사유가 존재한다. 예를 들어, 다른 법령에 따라 처리 의무가 명시되어 있거나, 계약의 이행을 위해 반드시 필요한 경우, 정보 주체의 동의 없이도 법령에 근거해 처리할 수 있는 경우 등에는 처리정지 요구가 거절될 수 있다. 또한 처리정지 요구로 인해 타인의 생명, 신체, 재산의 이익을 현저히 해할 우려가 있는 경우에도 제한이 따른다.

권리 행사 방법은 다른 권리와 유사하게, 개인정보처리자가 지정한 절차에 따라 서면이나 전자적 방법으로 요구서를 제출하는 것이다. 개인정보처리자는 이 요구를 받은 날로부터 10일 이내에 처리정지 여부를 결정하고 그 결과를 통지해야 하는 의무를 진다. 요구가 거절된 경우, 정보 주체는 통지를 받은 날로부터 30일 이내에 이의제기를 할 수 있다.

이러한 처리정지 요구권은 정보 주체에게 사후적 구제 수단인 정정이나 삭제 요구권 외에, 사전적·예방적으로 개인정보 처리로 인한 피해 발생을 막을 수 있는 적극적인 권리를 부여한다는 점에서 의미가 크다.

동의 철회권은 개인정보주체가 자신의 개인정보 처리에 대해 이전에 부여한 동의를 취소할 수 있는 권리를 말한다. 이 권리는 개인정보보호법에 따라 보장되며, 정보주체가 자신의 정보에 대한 통제력을 유지하는 핵심적인 수단 중 하나이다. 동의 철회는 원칙적으로 동의를 받은 목적 범위 내에서 가능하며, 철회 시 개인정보처리자는 지체 없이 해당 정보의 파기 등 필요한 조치를 취해야 한다.

동의 철회권 행사는 특별한 형식을 요구하지 않으며, 서면, 전화, 전자우편 등 개인정보처리자가 안내한 방법으로 신청할 수 있다. 다만, 법령에 따라 동의가 의무적인 경우나 계약의 이행을 위해 반드시 필요한 경우 등 법률상 예외 사유가 있을 때는 동의 철회가 제한될 수 있다. 이 경우 개인정보처리자는 그 사유와 근거를 정보주체에게 설명해야 할 의무가 있다.

동의를 철회하면, 개인정보처리자는 해당 정보의 처리 즉시 중단하고, 개인정보 파기 절차에 따라 복구 또는 재생이 불가능한 방법으로 정보를 삭제해야 한다. 또한 이미 동의를 기반으로 개인정보를 제공받은 제3자가 있다면, 지체 없이 동의 철회 사실을 통지하여 해당 제3자도 추가적인 처리 중단 및 파기 조치를 하도록 요청해야 한다.

개인정보주체가 자신의 권리를 행사하는 방법은 주로 해당 개인정보처리자에게 직접 요구하는 방식과 개인정보보호위원회를 통한 방식으로 구분된다. 개인정보처리자는 권리 행사를 위한 구체적인 방법과 절차를 마련해 두고 있으며, 이는 해당 기관의 개인정보 처리방침이나 고객센터 등을 통해 확인할 수 있다.

권리 행사의 일반적인 절차는 다음과 같다. 먼저, 개인정보주체는 개인정보 열람 등 요구서를 작성하여 방문, 우편, 전자우편 또는 팩스 등의 방법으로 개인정보처리자에게 제출한다. 요구 시 본인임을 확인할 수 있는 신분증 사본을 제출해야 하며, 법정대리인이나 위임을 받은 대리인이 신청할 경우에는 추가로 위임장과 대리인의 신분증이 필요하다. 개인정보처리자는 이러한 요구를 접수한 날로부터 10일 이내에 조치를 취하고 그 결과를 통지할 의무가 있다.

만약 개인정보처리자가 열람이나 정정·삭제 요구를 거부하거나 지연하는 경우, 개인정보주체는 이의제기를 할 수 있다. 거부 통지를 받은 날부터 30일 이내에 서면으로 이의를 제기할 수 있으며, 이에 대한 개인정보처리자의 답변이 만족스럽지 않거나 30일 내에 답변이 없는 경우 개인정보보호위원회에 개인정보 침해 신고나 분쟁조정을 신청할 수 있다. 또한, 개인정보보호 종합포털을 통해 온라인으로도 권리 행사 신청이 가능하다.

개인정보처리자는 개인정보보호법 제2조 제5호에 따라, "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등"으로 정의된다. 이는 개인정보보호법상 대부분의 의무 규정을 부담하는 핵심적인 의무 주체에 해당한다.

개인정보처리자의 정의에는 몇 가지 중요한 요소가 포함된다. 첫째, '업무를 목적으로' 처리해야 하므로, 순수한 개인적 활동이나 가사 활동을 위한 개인정보 처리(예: 사적인 연락처 저장)는 해당하지 않는다. 둘째, '개인정보파일을 운용하기 위하여' 처리하는 경우에 한정되므로, 일회성 메모나 문서 작성 행위는 일반적으로 개인정보처리자에 포함되지 않는다.

개인정보처리자는 개인정보취급자와 구별되는 개념이다. 개인정보취급자는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자 등을 말하며, 개인정보처리자 본인은 아니다. 또한, 개인정보보호법 제59조는 의무 주체를 '개인정보를 처리하거나 처리하였던 자'로 규정하여, 전·현직 임직원이나 수탁자 등 개인정보처리자에 소속된 자도 특정 금지행위에 대한 의무를 부담할 수 있도록 하고 있다.

개인정보처리자는 개인정보보호법에 따라 정보주체의 권리를 보장하고 개인정보를 안전하게 관리하기 위해 다양한 법적 의무를 부담한다. 이 의무는 개인정보의 수집부터 파기까지 전 과정에 적용되며, 위반 시 행정적·형사적 제재를 받을 수 있다.

주요 의무는 다음과 같다. 첫째, 개인정보를 수집할 때는 반드시 법정 동의를 얻어야 하며, 수집 목적을 명확히 고지해야 한다. 둘째, 수집한 정보는 명시된 목적 범위 내에서만 이용해야 하며, 제3자 제공 시 별도의 동의를 받아야 한다. 셋째, 개인정보의 정확성을 유지하고, 보유 기간이 경과하거나 처리 목적이 달성되면 지체 없이 파기해야 한다. 또한, 개인정보 유출 등 사고 발생 시 즉시 개인정보보호위원회에 신고하고 정보주체에게 통지해야 할 의무도 있다.

개인정보처리자는 내부 관리 계획 수립, 개인정보 취급자에 대한 교육 실시, 기술적·관리적 보호조치 마련 등 안전성 확보 의무도 진다. 특히 고유식별정보나 민감정보를 처리할 때는 더 엄격한 기준이 적용된다. 한편, 개인정보 처리방침을 수립하고 공개하여 정보주체가 쉽게 확인할 수 있도록 해야 한다.

의무 위반 시에는 시정조치 명령, 과징금 부과, 형사처벌 등의 제재를 받게 된다. 예를 들어, 동의 없이 개인정보를 제3자에게 제공한 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있다. 따라서 공공기관이나 기업 등 모든 개인정보처리자는 법정 의무를 충실히 이행하는 것이 중요하다.