안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
최근 시설 안전, 범죄 및 화재 예방 등을 위해 많은 기업, 기관에서 CCTV와 같은 영상정보처리기기를 설치하고 있는 추세입니다. 개인정보보호위원회의 실태조사 및 개인정보보호 종합지원시스템 현황자료에 따르면, 2020년 기준 공공기관에 설치된 CCTV만으로도 133만 대가 넘어간다고 합니다. 이렇듯 영상정보처리기기는 우리 생활 속에 깊숙이 자리잡아 활용되고 있습니다.
또한 다양한 기관에서의 CCTV 설치가 의무화 되어 영상정보처리기기가 많은 쟁점으로 떠오르고 있는 만큼 기기의 설치·운영뿐만 아니라 수집한 정보에 대한 보관·파기에도 각별한 주의가 필요한 상황인데요.
오늘은 영상정보처리기기의 설치 및 운영부터 수집한 영상정보들의 보관과 파기까지 전반에 걸친 내용을 살펴보려고 합니다.
평소 영상정보처리기기의 운영에 있어 의문점이 있으셨던 분들은 이 글을 주목하세요!
Check!
- 영상정보처리기기란?
- 영상정보처리기기 운영 방침도 있어야 하나요?
- 사생활 침해 장소, 설치하면 안 되는 이유
- 수집한 영상은 어떻게 보관하고, 언제 파기해야 하나요?
- 마치며
1. 영상정보처리기기란?
영상정보처리기기란, 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치를 의미합니다.
개인정보 보호법 시행령 제3조에 의하면 폐쇄회로 텔레비전(CCTV) 및 네트워크 카메라를 영상정보처리기기로 규정하고 있습니다. 네트워크 카메라란 우리가 사용하는 IP 카메라로, 유무선 인터넷을 통하여 영상을 어느 곳에서나 수집·저장 등의 처리를 할 수 있는 장치를 의미합니다.
CCTV의 경우, 폐쇄망을 통해 특정 장소에서만 수집한 영상을 확인할 수 있고, 저장 장치가 있어야만 저장이 가능합니다. 하지만, IP 카메라의 경우 유무선 인터넷망을 통하여 누구나 수집한 영상을 확인할 수 있기 때문에, 개인정보 침해에 더 취약하다는 단점을 가지고 있습니다.
2. 영상정보처리기기 운영 방침도 있어야 하나요?
영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 “개인영상정보”라고 합니다.
영상정보처리기기는 대체로 안전조치를 위해 사람들의 얼굴을 촬영하기 때문에, 개인의 초상 및 행동과 관련된 영상으로 볼 수 있습니다. 따라서 영상정보처리기기를 설치·운영하는 경우, 개인정보 보호법에 의해 영상정보처리기기 운영·관리 방침을 수립하고 인터넷 홈페이지에 게재하여 정보 주체에게 공개해야 합니다.
만약, 인터넷 홈페이지를 운영하고 있지 않아 게재가 불가능한 경우,
- 영상정보처리기기운영자의 사업장·영업소·사무소·점포 등 보기 쉬운 장소에 게시하는 방법
- 관보 또는영상정보처리기기운영자의 사업장 등이 있는 특별시·광역시·도 또는 특별자치도(이하 “시·도”라 한다) 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 등
- 같은 제목으로 연 2회 이상 발행하여 정보 주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 게재
- 영상정보처리기기운영자와 정보 주체가 작성한 계약서 등에 실어 정보 주체에게 발급
위와 같은 방법으로 정보 주체가 해당 사실을 알 수 있도록 게시해야 합니다.
그렇지만 공공이 아닌 민간의 경우 순수한 사적 장소(개인의 주택 내부, 개인소유의 차량 등)에 설치할 경우, 개인정보 보호법 적용이 배제됩니다. 다만, 해당 경우에도 다른 사람들의 사생활 침해가 발생하지 않도록 주의해야 합니다.
그렇다면, 영상정보처리기기 운영 방침에 포함해야 하는 사항은 무엇일까요?
- 영상정보처리기기의 설치 근거 및 설치 목적
- 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
- 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
- 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
- 영상정보 확인 방법 및 장소
- 정보주체의 영상정보 열람 등 요구에 대한 조치
- 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
- 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
위와 같이 총 8가지 사항을 영상정보처리기기 운영 방침에 포함해야 합니다.
참고로, 영상정보처리기기의 설치·운영 사무의 위탁을 하는 경우에도 해당 내용을 필수적으로 운영 방침에 추가해야 합니다.
3. 사생활 침해 장소, 설치하면 안 되는 이유
대체로 기업·기관에서 사용하는 영상정보처리기기는 CCTV이기 때문에, 수집된 영상이 유출될 위험이 적어서 사생활 침해 장소에 설치해도 된다고 생각하실 수도 있어요. 하지만, 개인정보 보호법에 근거하여 사생활 침해 장소에 설치하면 안 됩니다.
그렇다면 사생활 침해 장소는 어디인지, 제대로 규정된 건 맞는지 궁금하실 거예요. 바로 개인정보 보호법 제25조제2항에 사생활 침해 장소를 명확히 규정하고 있습니다.
개인정보 보호법 §25② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하여서는 아니 된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
즉, 개인의 은밀한 신체를 노출시킬 우려가 있는 목욕실, 화장실, 탈의실 등의 장소에는 영상정보처리기기를 설치해서는 절대 안 됩니다.
2022년 8월, 다수가 이용하는 화장실의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영한 지방공기업과 학교에서 각각 과태료 부과 처분을 받기도 했습니다.
위의 사례처럼 사생활 침해 장소에 영상정보처리기기를 설치한 경우, 개인정보 보호법 제75조제1항제3호에 따라 5천만 원 이하의 과태료를 부과받게 되니, 주의해야겠죠?
4. 수집한 영상은 어떻게 보관하고, 언제 파기해야 하나요?
마지막으로 영상정보처리기기를 통해 수집된 영상정보는 영상정보처리기기 운영·방침에 명시한 보관기간이 만료되었다면 ‘지체없이’ 파기하여야 합니다.
여기서 ‘지체없이’란, 표준 개인정보 보호지침 제10조제1항에 의해 처리방침에 명시한 보유기간 종료일로부터 5일 이내를 의미하게 됩니다.
또한 개인영상정보를 그냥 파기해서는 안 된다는 사실, 알고 계셨나요?
개인영상정보의 파기를 위해서는 아래 3가지의 사항을 꼭 기록하고 관리하여야 해요.
- 파기하는 개인영상정보 파일의 명칭
- 개인영상정보 파기일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 대한 확인 시기
- 개인영상정보 파기 담당자
또한 파기한 영상정보는 출력물과 전자형태 등 존재 형태에 따라 복구 또는 재생이 불가능해야 합니다.
혹시, 아직 기관·기업의 상황에 의해 보유목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 상황이시라면, 표준 개인정보 보호지침 제41조제2항에 의해 보유기간을 영상정보의 수집 후 30일 이내로 정하시면 됩니다. 하지만 30일을 초과하는 경우, 이를 운영·관리 처리방침에 반영해야 합니다. 수집한 영상의 경우에도 처리방침에 명시한 장소에서 보관해야 합니다.
5. 마치며
영상정보처리기기의 운영을 위해 알아야 하는 필수적인 내용을 살펴봤습니다.
지금까지 별도의 절차 없이, 혹은 운영·관리 처리방침을 작성하지 않은 상태로 CCTV를 설치·운영하셨던 분들도 계실 거예요. 하지만 정보주체의 권리보장, 우리 기관·기업의 과태료 예방을 위해서는 영상정보처리기기의 개인정보보호도 필수랍니다.
혹시, 운영·관리 처리방침 작성에 부담을 느끼신다면 캐치시큐의 무료 상담을 통해 개인정보보호 전문가에 상담을 받아보시기 바랍니다.
영상정보처리기기 관리 정책도 캐치시큐와 함께하세요!
감사합니다.