2024년 1월, 개인정보보호위원회는 개인정보보호법의 개정 사항을 반영하여 영상정보처리기기 가이드를 발표하였습니다.
CCTV로 잘 알려져 있는 영상정보처리기기는 건물의 관리⋅감독뿐만 아니라 위험상황 방지 및 예방, 통계 등의 목적으로 적극 사용되고 있는데요. 본 지침은 공공기관과 민간기관에게 모두 적용되는 만큼, 기관의 장 혹은 사업주라면 변경된 가이드 내용을 숙지할 필요가 있습니다.
이번 글에서는 영상정보처리기기 가이드라인에서 다루는 주요 사항에 대해 알아보겠습니다.
개인정보보호위원회는 개인정보보호법의 개정 사항을 반영하여 기존에 사용하던 용어인 '영상정보처리기기'를 '고정형 영상정보처리기기'로 변경하였는데요.
여기서 고정형 영상정보처리기기란 일정한 공간에 설치되어 지속적 또는 주기적으로 사람이나 사물 영상을 촬영하거나 이를 유⋅무선망으로 전달하는 장치를 의미합니다. 고정형 영상정보처리기기는 폐쇄회로 텔레비전과 네트워크 카메라로 구분할 수 있는데요. 각각의 내용은 다음과 같습니다.
일정한 공간에 설치된 카메라를 통해 영상 등을 촬영하거나 촬영한 영상정보를 특정 장소에 전송하는 장치앞서 촬영하거나 전송한 영상정보를 녹화·기록할 수 있도록 하는 장치
일정한 공간에 기기를 설치 및 관리하는 자가 해당 기기로 촬영한 영상정보를 유무선 인터넷을 통해 어디서든 수집 혹은 저장할 수 있게 하는 장치
원칙적으로 공개된 장소*와 사생활 침해 위험이 큰 장소에는 고정형 영상정보처리기기를 설치할 수 없습니다.
단 다음과 같은 경우라면 공개된 장소에도 예외적으로 고정형 영상정보처리기기를 설치할 수 있도록 허용하고 있습니다.
💡 개인정보보호법 제25조
1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위해 필요한 경우
3. 정당한 권한 보유자가 시설 안전⋅관리, 화재예방, 단속 등을 목적으로 설치·운영하는 경우
4. 촬영된 영상정보를 저장하지 않는 경우로서 아래 중 하나에 해당하는 경우
5. 사람을 구금⋅보호하는 시설 등 대통령령으로 정하는 시설에 해당하는 경우
*공개된 장소: 불특정 다수의 접근 및 통행이 가능한 공원, 도로, 지하철, 상가 내부 등
공개된 장소에 설치된 고정형 영상정보처리기기는 녹음 기능을 사용할 수 없으며, 본 목적이 아닌 다른 목적으로 기기 화면을 조정 및 조작해서는 안됩니다.
예를 들어 주차장에 CCTV를 설치하여 운영하고 있다면, CCTV가 타인이 통행하는 길거리나 다른 건물까지 촬영하지 않도록 사전에 각도를 조절할 필요가 있습니다.
기관의 장 혹은 사업주는 고정형 영상정보처리기기의 촬영 범위 내에 안내판을 설치해야 합니다. 이때 안내판의 크기나 위치는 자율적으로 설정할 수 있지만 정보주체가 쉽게 알아볼 수 있도록 해야 하며, 안내판에는 다음과 같은 사항이 기재되어야 합니다.
💡 고정형 영상정보처리기기 안내판 기재사항
기관의 장 혹은 사업주는 기기를 운영 및 관리할 때 기준으로 활용할 수 있는 지침을 마련해야 하는데요. 이때 지침에 포함되어야 하는 사항은 다음과 같습니다.
💡 고정형 영상정보처리기기 운영·관리 방침 포함사항
기관의 장 혹은 사업주는 고정형 영상정보처리기기를 관리할 책임자를 정해야 합니다.
표준 개인정보 보호지침에서는 기관이나 사업장마다 자체적으로 관련 인력을 지정 및 관리하는 것을 원칙으로 정하고 있습니다. 이때 기관이나 사업장에 개인정보보호 책임자가 있다면, 해당 인력이 관리책임자까지 역임할 수 있습니다.
고정형 영상정보처리기기를 적법하게 설치 및 운영할 경우에는 해당 목적의 범위 안에서 개인영상정보를 이용할 수 있는데요. 이때 다음과 같은 경우라면 개인영상정보를 제3자에게 제공하는 것도 가능합니다.
💡 개인영상정보를 제3자에게 제공할 수 있는 경우
개인영상정보를 기존의 목적이 아닌 이유로 이용 및 제공하는 것은 원칙적으로 불가능한데요. 다만 개인정보보호법에서는 다음과 같은 예외사항을 두어 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우가 아니라면 목적 외 이용 및 제공이 가능하도록 허용하고 있습니다.
이때 기관의 장 또는 사업주가 기존의 목적 외에 개인영상정보를 이용 및 제공했다면, 해당 사실을 기록하고 관리해야 합니다.
💡 개인영상정보 목적 외 이용 및 제3자 제공 제한의 예외 상황
※ 단 5 ~ 9호는 공공기관에 한하여 적용
기관의 장 또는 사업주는 고정형 영상정보처리기기의 설치 및 운영에 관한 사항을 위탁할 수 있는데요. 이 같은 경우에는 개인정보보호법 제26조에서 다루는 업무위탁 규정이 적용됩니다.
따라서 업무 위탁에 필요한 사항은 서면(문서)으로 처리해야 합니다.
💡 고정형 영상정보처리기기 설치·운영 사무 위탁 시, 문서 포함사항
기관의 장 혹은 사업주는 영상정보 보관기간 만료 시, 해당일로부터 5일 이내에 관련 자료를 파기해야 합니다.
영상정보를 보관해야 하는 최소한의 기간을 설정하기 어려운 경우라면, 해당 영상정보의 보관기간은 수집 후 30일 이내로 정하는 것이 좋은데요. 다만 반드시 30일을 준수해야 하는 것은 아니며, 고정형 영상정보처리기기 운영⋅관리 지침에 특정 보관기간을 명시한다면 해당 기간 만큼 영상정보를 보관할 수 있습니다.
영상정보를 파기할 때는 해당 정보가 복구 및 재생할 수 없는 방법으로 진행해야 하며, 파기한 영상정보와 담당자의 정보를 기록 및 관리해야 합니다.
정보주체는 운영자나 기관의 장 혹은 사업주에게 자신의 개인영상정보의 존재를 확인하거나 열람 및 삭제를 요청할 수 있습니다. 이때 정보주체가 요구할 수 있는 개인영상정보의 범위는 정보주체 자신이 촬영된 것으로 한정되어 있는데요.
따라서 정보주체가 요청한 개인영상정보에 다른 사람이 등장하는 경우, 타인을 특정할 수 없도록 모자이크 처리 등을 하여 영상정보를 제공해야 합니다.
이에 따라 운영자 등은 정보주체의 요구사항을 이행하기 전에 정보주체의 신원을 확인해야 하고, 필요한 경우 정보주체의 요구를 제한하거나 거절할 수 있습니다. 다만 정보주체의 요구에 대한 조치는 지체 없이 취해야 합니다.
기관의 장 혹은 사업주는 개인영상정보가 분실, 유출, 위조, 훼손되지 않도록 다음과 같은 조치를 취해야 합니다. 이때 1만 명 미만의 정보주체를 다루는 소상공인이나 개인 혹은 단체는 내부 관리계획까지 수립할 의무는 없습니다(표준 개인정보 보호지침 제47조).
💡 개인영상정보에 대한 안전성 확보조치
기관의 장 혹은 사업주는 고정형 영상정보처리기기가 관련 법령과 지침에 따라 적법하게 설치 및 운영되고 있는지 점검해야 하는데요. 이때 다음과 같은 양식을 활용하여 자체점검을 시행할 수 있습니다.
⏵ 영상정보처리기기 점검 체크리스트 양식 무료 다운로드 >>
고정형 영상정보처리기기는 불특정 다수의 개인정보를 다루기 때문에 안전하게 관리 및 운영하는 것이 중요한데요. 이를 위해 사업주는 시설, 관리자, 점검표 등 시설 점검에 필요한 정보를 등록하여 현장에서도 편리하게 점검 업무를 수행할 수 있는 솔루션을 도입할 수 있습니다.
고정형 영상정보처리기기의 점검 및 관리가 어려우시다면, QR코드 기반 시설 관리 솔루션 하다(HADA)를 통해 효율적으로 안전관리점검을 실시해 보세요!
