앞서 1탄과 2탄에서 말했듯이 인사팀은 개인정보를 다루는 부서인 만큼
수집한 정보에 대한 보관과 삭제에 대한 법적 책임도 큽니다.
2023년 3월 15일 개인정보 보호법이 개정된 이후
기업 내부 감사 또는 고용노동부 점검 시 가장 빈번하게 지적되는 부분이
바로 수집 이후의 처리 절차입니다.
특히 입사(또는 채용) 단계에서 수집된 개인정보는
보유 기간을 설정하고 파기 기준과 위탁 처리 여부 등을 철저히 관리해야
실무자 개인에게도 피해가 가지 않습니다.
오늘은 현직자의 시선에서 개인정보 수집 이후 처리 절차의 전 범위와
실제 감사가 발생했을 때 대응할 수 있는 체크리스트를 정리해 드릴게요!
#1. 먼저 2023년 개정된 개인정보 보호법 알고 넘어가기
- 개인정보 처리 단계별 책임 강화
- 삭제·파기 절차 및 기록 관리 의무 명확화
- 정보 주체의 권리 강화 → 열람, 정정, 삭제 요구권
- 불필요한 개인정보 수집 금지 및 과잉 수집에 대한 제재 강화
- 관리책임자 지정 및 내부 점검 의무화
이후 약간의 개정이 더 있었지만 위 개정 내용이 실무에 가장 큰 영향을 준
기준점이니 참고해서 마지막까지 잘 따라와 주세요.
#2. 수집 이후가 더 중요! 개인정보 목적별 표준 보관 기간 정리
개인정보 보호법에서는 수집된 개인정보에 대해 명시된 목적이 달성된 후에는
지체 없이 파기되어야 하며 보관은 최소한의 기간이라는 원칙에 따라 설정합니다.
근거 없는 장기 보관은 위법 소지가 있으니 아래 표준 기간을 참고해 보시죠!
- 근로계약서는 퇴직일로부터 3년 / 근로관계 종료 후 분쟁 대비
- 임금대장, 연장근로 기록 3년 / 근로기준법 제41조
- 4대 보험 가입/탈퇴 서류 5년 / 국민연금·건강보험 등 관련법
- 연말정산 서류 5년 / 소득세법 시행령 제180조
- 인사 기록 카드 등 근속 기록 3~5년 / 분쟁 소지 여부 고려하여 연장 가능
- 가족관계증명서, 등본 등은 민감정보 목적 달성 즉시 파기 / 개인정보 보호법 제16조, 제21조
- 채용 자료는 채용일로부터 3~6개월 / 채용 절차의 공정화에 관한 법률 제11조
여기서 잠깐 현직자 실무 팁
불합격자 채용 서류 보관 기간은 채용 과정에서 수집된 지원자의 이력서 및 자기소개서,
자격증 사본 등은 채용 목적이 달성된 시점으로부터 180일 이내에 파기하는 것이
개인정보 보호법상 권장되는 기준입니다.
관련 법령은 "채용절차의 공정화에 관한 법률 제11조"이고 이는 채용이 종료된 날로부터
14일 이내에 구직자가 반환을 요구할 경우 사용자는 지체 없이 반환해야 하며
반환하지 않을 경우 ‘과태료 부과’ 대상이 된다는 법령이니 꼭 숙지해야겠죠?
그래서 저는 별도의 반환 요구가 없는 경우라도 6개월을 초과한 정보는 과잉 수집으로
간주할 수 있다고 판단하여 채용 종료일 기준 3개월 내에 파기를 목표로 설정하고
이와 관련된 내부 지침을 제정하고 해당 기간 내 파기를 증빙할 수 있도록
삭제 내용 또는 파기 확인서를 남겨 고용노동부 점검 시 증빙 자료로 사용하였습니다.
#3. 내·외부 감사 시 지적 내용 TOP 3
고용노동부나 개인정보보호위원회의 감사가 진행될 경우 이러한 사례가 많습니다.
- 개인정보 보유 기간 미설정하여 문서 보관 기간 기준이 없는 경우
- 삭제 절차 미이행하여 불필요한 개인정보 장기 보관한 경우
- 위탁업체 관리 부실로 인하여 급여 대행업체와의 위탁 계약 미비한 경우
이는 다음과 같은 실무 리스크를 불러일으킵니다.
- 과태료 300만 원 이하
- 고용노동부의 시정명령 및 언론공표 위험 부담
- 정보 유출 시 책임 전가하기 어려움
그러니 개인정보 삭제 기록은 로그로 남겨두는 것이 가장 안전하며
앞서 말했듯이 외부 점검 시 제출용으로 활용도 가능하니 꼭 실천해 보시기 바랍니다.
#4. 실무자가 꼭 기억해야 할 보관 및 파기 체크리스트
아래 체크리스트는 실제 고용노동부 감사 대응 시 제출했던 문서 양식을 기반으로 구성했습니다.
개인정보 항목별 보관 기간 명시 여부
: 서류마다 보관 종료일 설정되어 있는가?
파기 방식 명시
: 종이·전자 문서의 파기 방법이 분리되어 있는가?
파기 대장 작성 여부
: 삭제된 정보 기록 및 로그 남기는 양식 보유 여부
삭제 주기 운영 (단, 항목별 목록은 별도 진행)
: 연 1회 이상 개인정보 삭제 점검 진행 여부
위탁 업체 계약서 확인
: 개인정보 처리 위탁 시 서면 계약 체결 여부
퇴사자 개인정보 처리 절차
: 퇴사 후 5년 이상 정보 보관 금지 지침 이행 여부
#5. 실제 사례: 삭제 시점만 잘 관리하면 법적 리스크도 단축된다.
제가 처음 근무했던 곳에서는 별도의 문서 규정이 구비되어 있지 않아
퇴사자 개인정보가 3년 이상 삭제되지 않았고 대상 목록을
분리하고 서버와 서면을 파기하는데 약 3개월의 시간이 걸렸습니다.
이렇게 몰아서 일을 처리하게 되면 누락되는 부분도 있을 수 있고
보관 기간이 지난 정보를 그대로 방치하면 고의적 관리 소홀로 간주하여
과태료, CPO 책임 나아가 기업 신뢰도 저하로까지 이어질 수 있습니다.
그러니 단순히 “기간이 지나면 지워야 한다”가 아니라 누가, 언제, 어떤 방식으로
파기했는지를 기록에 남기는 절차가 매우 중요하여 아래 예시 보여드리겠습니다.
파기 절차 예시
1) 매 분기마다 ‘개인정보 파기 대상 목록’ 점검
2) 파기 대장에 일자 및 담당자(또는 책임자) 기록
3) 전자문서의 경우 복구 불가능한 방식으로 삭제 후 로그 기록 보관
4) 종이 문서의 경우 파쇄 확인 및 사진 증빙 또는 파기 대장 서명
포인트는 ‘문제가 터지기 전에 관리 체계를 만들어 두는 것’이었습니다.
이 사건 이후부터는 분기마다 개인정보 삭제 점검을 정기화 했고
외부 점검 시 단 한 번의 지적도 받지 않았습니다.
#6. 마무리 한 줄
개인정보 수집보다 더 중요한 건 ‘언제, 어떻게 삭제할 것인가’입니다.
포인트는 문제가 터지기 전에 관리 체계를 만들어 두는 것인데요.
한 기업의 인사 담당자인 만큼 '개인정보 처리자'라는 인식을 가지고
수집-보관-파기 전 과정을 사전에 설계한다면 감사 대응은 물론이고
향후 경력 관리에서도 큰 무기가 될 수 있으니 이번 글에 있는 항목과
체크리스트를 참고하여 꼭 수정해 보시기 바랍니다.
다음 글에서도 인사 실무에서 자주 놓치는 개인정보 이슈,
함께 정리해 드릴 테니 궁금하신 주제가 있다면 댓글로 남겨주세요!
공감/댓글/이웃 추가는 큰 힘이 됩니다.
'인사노무 꿀팁' 카테고리의 다른 글
| 노동법 1탄) 근로계약서 없이 채용? 실제 사례로 보는 리스크 총 정리 (0) | 2025.04.11 |
|---|---|
| 개인정보 보호법 5탄) 녹음은 합법, 그러나 유포는 위법! (0) | 2025.04.10 |
| 개인정보 보호법 4탄) 구직자 건강 정보, 어디까지 물어봐도 될까? (0) | 2025.04.08 |
| 개인정보 보호법 2탄) 채용 지원서 금지 항목 (0) | 2025.04.08 |
| 개인정보 보호법 1탄) 등본 제출? 그냥 내면 큰일! (0) | 2025.04.07 |
