CCTV 설치로 과태료를 받는다고?

영업점, 전산실, 출입자 관리 등의 영상정보처리기기 관리 내용 확인하기

배경

영업점이나 건물 출입 시 등에 항시 보이는 CCTV 설치에도 지켜야 할 법이 있습니다.

촬영된 영상으로 포함된 내용도 개인정보이기 때문에 지켜야 할 절차를 개인정보보호법에 정하고 있습니다. 특히 개인정보의 중요성이 더 강조되고 일반 국민들의 개인정보 의식이 높아짐에 따라 사업자에게 민원이 접수되거나, 직접 개인정보위원회나 한국인터넷진흥원으로 신고가 되는 경우가 발생합니다.

(참고.개인정보위, 법령을 위반한 영상정보처리기기 운영 사업자(16개)에 총 2,100만원 과태료 부과)

CCTV는 영상정보처리기기의 일종으로 같은걸 말하는데요. 회사들이 영상정보처리기기를 운영하면서도 놓치는 부분이 많은 게 현실입니다. 영상정보처리기기에 관한 사항은 개인정보보호법 제25조에서 정하고 있습니다.(개인정보보호법)

도움 되는 정보

전반적인 영상정보처리기기 운영에 자세한 사항은 앞서 기재한 개인정보보호법과 아래의 개인정보위원회에서 발행한 해설서를 참고하시면 사례별로 구체적인 내용을 확인하실 수 있습니다.

(공공)영상정보처리기기_설치운영_가이드라인(2021._4월).pdf

(민간)영상정보처리기기_설치운영_가이드라인(2021._4월).pdf

추가적으로 금융감독원에서 발행한 개인정보보호 자가진단 매뉴얼(체크리스트)을 참고하시는 것도 권장드립니다. 금융회사가 참고할 사항이 사례별로 정리되어 있습니다.

20131118 개인정보보호 자가진단 매뉴얼(배포）_.hwp

금융회사의 미흡사항

영상정보기기에 대해서는 개인정보위원회에서 담당하기 때문에 금융감독원의 감사를 통해 직접 확인하지는 않습니다만 그렇게 때문에 다소 관리가 미흡해질 수 있습니다. 하지만 금융회사는 주로 시재(현찰 등)를 처리하는 지점이나 전산실, 주요 문서를 수발하는 곳에서 범죄 예방, 시설 안전 등의 사유로 영상정보처리기기를 운영하고 있습니다. 이때 개인정보보호법 제25조 제4항에 따라 안내판을 설치하고 영상정보처리기기 운영방침을 홈페이지 등에 게시해야 하는데요. 금융회사에서 빈번하게 발생하는 미흡한 사항을 알려드리겠습니다.

1. 안내판

일부 금융회사에서는 안내판의 필수 포함사항인 촬영 시간 또는 범위를 누락한 채 CCTV업체가 나누어 준 스티커를 붙이거나, 입구나 촬영 위치에 안내판을 부착하지 않는 경우가 종종 발견됩니다.

- 안내판에 촬영 시간 또는 범위 누락

- 안내판에 관리책임자 연락처 기재 누락

- 안내판에 관리책임자의 성명을 마스킹하여 기재

- 안내판에 수탁관리자의 명칭 및 연락처를 기재 누락

( 참고. 안내판 작성 미흡으로 과태료나 행정지도를 받은 사례)

211208(2소위)-의결서(제2021-223-504_523호).pdf

2. 내부관리계획 : 영상정보처리기기 운영지침 등

내부적인 관리방법으로 개인정보보호법의 사항을 반영한 영상정보처리기기 운영지침을 마련하지 않아 영상정보의 보유기간을 정하지 못하거나, 접근통제 등 관리가 미흡한 부분도 발생합니다.

- 영상정보처리기기 운영지침이 마련되어 있지 않은 사례

- 영상정보처리기기 운영지침의 내용이 영상정보처리기기 운영ㆍ관리 방침과 다른 사례

- 영상정보처리기기 운영지침에 개인 영상정보 관리책임자 또는 접근권한자(취급자)가 역할을 인지 못하여 개인 영상정보의 관리가 누락되는 사례

- 영상정보처리기기 운영지침에 따라 개인 영상정보에 대한 접근통제(비밀번호 설정 미흡, 기기 내 비밀번호 부착 등)가 미흡한 사례

- 영상정보에 대한 보관기간을 최소 보존 기간을 설정하지 않거나 3년 등 장기간을 설정하고 있어 사실상 삭제가 이루어지지 않는 사례

- 사무실, 전산실 등 비공개 장소에 대해 촬영 시 동의서를 받지 않는 사례

3. 영상정보처리기기 운영ㆍ관리 방침 수립 및 공개

영상정보처리기기 운영ㆍ관리 방침을 홈페이지에 공개하지 않거나 영상정보처리기기 운영ㆍ관리 방침에서 정한 사항이 법에서 요구하는 것과 달리 누락된 경우가 발생하기도 합니다. 영상정보처리기기 운영ㆍ관리 방침에 공개한 영상정보의 보관기간이 영상정보처리기기 운영지침과 달라 관리가 미흡한 사례가 발생하기도 합니다. (ex. 영상정보처리기기 운영ㆍ관리 방침의 영상정보 보관기간은 촬영일 이후 3개월로 정하는 반면 영상정보처리기기 운영지침에는 최소 3개월로 오기재 되어 장기간 삭제가 되지 않는 경우)

- 영상정보처리기기 운영ㆍ관리 방침을 수립하지 않은 사례

- 영상정보처리기기 운영ㆍ관리 방침을 홈페이지 등에 공개하지 않은 경우

- 영상정보처리기기 운영 퇴사한 관리책임자가 공개되어 최신화되지 않은 경우

- 영상정보처리기기 운영ㆍ관리 방침에 사항과 실제 처리가 달라 보관기간 내 영상정보가 없거나 보관기간이 경과한 경우에도 삭제되지 경우

금융회사의 영상정보처리기기 운영 미흡사항 예방을 위한 최우선 체크리스트 TOP 10

금융회사가 자주 실수하는 부분을 예방하기 위해 체크리스트를 마련해보았습니다. 업무와 관련 있는 분들은 가이드라인과 더불어 활용하시기 바랍니다.

1. 영상정보처리기기를 설치하는 곳이 공개된 장소인 경우, 범죄 예방, 시설 안전, 화재 예방에 필요한 사항인지

2. 영상정보처리기기를 설치하는 곳이 비공개 장소(사무실 등)인 경우 별도 동의서를 받았는지

3. 개인정보보호법 등이 반영된 영상정보처리기기 운영지침을 마련하였는지

4. 영상정보처리기기 운영ㆍ관리 방침을 마련하여 홈페이지 등에 공개하였는지

5. 영상정보처리기기 운영ㆍ관리 방침과 영상정보처리기기 운영지침의 불일치는 없는지

6. 영상정보처리기기 운영ㆍ관리 방침의 내용에 따라 안내판에 아래의 사항이 빠짐없이 포함되어 작성하였는지

안내판 포함사항

1) 설치 목적 및 장소

2) 촬영 범위 및 시간

3) 관리책임자 성명(직책) 및 연락처

4) 수탁관리자 명칭 및 연락처(위탁 처리 시)

7. 안내판을 영상정보처리기기가 설치된 위치 또는 출입문 등에 쉽게 확인 가능하도록 부착하였는지

8. 영상정보처리기기 운영지침을 반영하여 영상정보처리기기에 대해 영상정보 보관기간 경과 시 자동으로 삭제되도록 설정하였는지(영상정보 보관기간을 준수하도록 주기적으로 삭제하는지)

9. 개인 영상정보 관리책임자와 최소한의 접근권한자를 지정하고 다른 인원이 볼 수 없도록 관리하고 있는지

10. 개인 영상정보 관리책임자와 접근권한자(취급자)에 대해 개인 영상정보의 관리에 대한 교육을 실시하고 내부관리계획(영상정보처리기기 운영지침 등)에 따른 점검을 수행하는지