소식지

[해외정보인권] Data Protection and COVID-19{/}개인정보 보호와 코로나19

By 2020/03/20 3월 26th, 2020 No Comments

편집자주 :

감염병이 전세계를 잠식하고 있습니다. 뉴스를 보면 인류의 위기가 닥쳐온 것만 같습니다. 누구나 감염병에 걸릴 수 있고 생명에 위협을 느낄 수도 있지만, 지난 역사와 현실을 보면 알 수 있듯 재난은 결코 평등하지 않습니다.
인종과 출신 지역으로 인한 차별부터 시작해 일을 쉬거나 사회적 거리두기를 실천할 수 없는 비정규노동자, 일감이 끊겼지만 아무런 지원도 받지 못하는 플랫폼 노동자, 장애인, 노인, 홈리스, 현장에서 끝없는 과로에 시달리는 의료진과 공무원 등까지 다양한 방면의 문제가 드러나고 있지요.
저희 진보네트워크센터에서는 확진자 동선 공개에서 벌어지는 인권 침해와 부작용, 만연한 감시 통제 기술과 같은 문제를 정보인권의 시각에서 바라보며 고민하고 있습니다. 이번에 소개할 것은 아일랜드 개인정보감독기구의 논평입니다. 감염병의 확산과 피해를 줄이고 방지하기 위해 민감한 개인정보가 수집되고 공개되는 것은 분명 필요한 일일지 모릅니다. 다만 개인이나 집단에 대한 인권 침해가 뒤따르는 일인만큼 그 과정을 심사숙고하고 기존의 개인정보보호에 대한 원칙을 고려하여 이를 처리해야 할 것입니다.

번역오류는 policy 골뱅이 jinbo.net 으로 알려주세요.
제목 : 개인정보 보호와 코로나19
원문제목 : Data Protection and COVID-19
원문링크 : https://www.dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19
일시 : 2020년 3월 6일
작성 : 아일랜드 개인정보감독기구 The Data Protection Commission (DPC Ireland)

개인정보 보호와 코로나19

정부는 물론 공공, 민간, 시민자율 기구들은 코로나19 바이러스의 확산을 방지하고 그 영향을 완화하기 위해 필요한 조치를 취해야 한다. 이런 조치의 대부분은 개인정보(이름, 주소, 직장, 여행 내역 등)에 대한 처리를 포함하는데, 많은 경우 민감정보를 포함한다(건강정보 등).

개인정보보호법은 보건의료 서비스 제공이나 공중 보건 문제 관리를 방해하지 않는다. 그럼에도 불구하고 이런 상황에서 개인정보, 특히 건강정보 및 민감정보를 다룰 때 중요하게 고려할 사항들이 있다.

건강정보 등 개인정보를 이용하여 코로나19에 대응하는 조치들은 필수적이며 비례적이어야 한다. 이에 대한 의사결정은 보건당국 및 유관기관의 지침 및 지시에 따라 이루어져야 한다.

공공기관들은 다음과 같은 의무를 고려해야 한다.

합법성

GDPR 에 따르면 이런 상황에서 적용할 수 있는 조항으로 개인정보를 처리할 수 있는 법적 근거에 대해서는 제6조, 민감정보 처리를 허용하는 요건에 대해서는 제9조를 따른다. 그 가운데 다음과 같은 조항이 관련 있을 수 있다.

기관들이 보건당국 및 유관기관의 지침 및 지시에 기반하여 업무를 수행하는 상황에서는 GDPR 제9조제2항i호 및 [2018년 개인정보보호법] 제53장이 민감정보를 포함한 개인정보 처리를 허용하는 것으로 보이며, 다만 적절한 보호 조치가 취해져야 한다. 이 보호 조치들에는 접근 제한, 엄격한 삭제 시한, 기타 개인의 개인정보권리를 보호하기에 적절한 직원 교육 등의 조치를 포함할 수 있다.

또한 사용자들은 [2005년 작업장 안전, 건강 및 복지에 관한 법률]에 따라 노동자를 보호해야 할 법적 의무를 지고 있다. 이 의무는 GDPR 제9조제2항b호와 더불어 필수적이고 비례적인 것으로 여겨지는 때 건강정보 등 개인정보를 처리할 수 있는 법적 근거가 된다. 이때 처리되는 모든 개인정보는 기밀로 취급되어야 하는데, 예를 들어 작업장에서 코로나19 바이러스의 존재 가능성에 대한 직원들에게 공지할 때는 통상 특정 개별 노동자를 식별해서는 안 된다.

또한 정보주체 또는 제3자의 급박한 이익을 보호하기 위해 개인정보 처리가 필요한 경우 개인정보 처리가 허용된다. 이런 상황에서 물리적으로나 법적으로 동의를 받는 것이 불가능할 경우 개인의 건강정보가 처리될 수 있다. 이는 보통 다른 법적 근거를 찾아볼 수 없는 응급 상황에만 적용될 수 있다.

투명성

개인정보를 처리하는 기관들은 이런 상황에서 개인정보 수집 목적 및 보관 기간 등 자신들이 집행하는 조치에 대하여 반드시 투명해야 한다. 기관들은 개인들에게 개인정보 처리와 관련한 정보를 제공하되, 간결하고 접근이 용이하며 이해하기 쉬운 형식으로, 명확하고 평이한 표현을 사용해야 한다.

기밀성

코로나19 바이러스 확산을 예방하려는 취지에서 개인정보를 처리하는 것은, 특히 건강정보과 관련된 경우 정보 보안을 보장하는 방식으로 수행되어야 한다. 명확하게 정당한 근거 없이는 감염자의 신원이 제3자나 그 동료들에게 공개되어서는 안 된다.

최소 처리

모든 개인정보 처리에 있어 코로나19 확산 방지 및 예방 조치를 수행하는 목적에 필수적인 최소한의 개인정보만을 처리해야 한다.

책무성

또한 개인정보처리자들은 개인정보 처리를 포함하여 코로나19를 관리하기 위해 수행되는 조치와 관련한 모든 의사결정 절차에 대해 문서화해야 한다.