학원의 이용자 동의 없는 개인정보를 제3자에게 제공으로 인한 분쟁조정사례

Ⅲ. 이용자 동의 없는 개인정보 제3자 제공

 

사례4

학원의 이용자 동의 없는 개인정보 제3자 제공

 

1. 사건개요

 

. 신청인은 피신청인이 운영하는 학원에서 수강신청서를 작성하였는데, 피신청인이 수강신청서의 개인정보(주소)를 제3자에게 제공한 사실을 알았음

 

.이에, 신청인은 피신청인이 동의 없이 제3자에게 개인정보를 제공한 행위에 대하여 정신적 손해배상을 요구하는 분쟁조정을 신청함

 

2. 피신청인 주장

 

. 피신청인은 상담원이 신청인의 친구라고 말하는 사람과 수강 상담을 하는 과정에서, 그 사람이 신청인과 연락이 되지 않는다며 주소를 문의하였고, 상담원이 이를 안내하여 주었음을 인정함

 

-피신청인은 당시 신청인과 전화연락이 어려웠으며, 상담원이 단순히 주소만 제3자에게 제공하여 주는 것은 위법사항이 아닌 것으로 판단하였다고 주장함

 

3. 사실조사

 

가. 피신청인이 신청인의 개인정보를 수집한 경위

 

. 피신청인은 신청인이 자사가 제공하는 강의를 수강하였으며, 2010년 8월 25일 다음 과정의 수강 신청을 하였는데,

 

-이 때에 수강신청서를 작성함으로써 신청인의 개인정보를 수집하였음

 

나. 피신청인의 개인정보 수집 시 고지 및 동의절차

 

. 피신청인은 수강신청서 접수 시 이용자(학원수강생)를 위한 개인정보 수집에 대한 정당한 고지 및 동의절차를 두고 있지 않으며,

 

- 따라서, 신청인도 개인정보 수집, 이용 등에 관하여 아무런 고지를 받지 아니하였음

 

다. 피신청인이 신청인의 개인정보를 제3자에게 제공한 경위

 

. 피신청인은 상담원이 신청인의 친구라고 말하는 사람과 수강 상담을 하는 과정에서, 그 사람이 신청인과 연락이 되지 않는다며 주소를 문의하자 상담원이 주소를 제공하였음을 인정함

 

- 또한, 피신청인은 개인정보를 제공하는 과정에서 신청인의 동의를 받지 않았음을 인정함

 

※ 신청인은 피신청인이 자신의 개인정보를 제공한 제3자가 자신과의 채무관계가 있는 자로서, 본 사건 때문에 이사를 가야하는 상태라고 주장함(유선 확인)

 

※ 신청인은 본 사건 이후 피신청인에게 수강 취소를 요청하여 수강료 전액을 환불받았음

 

4. 위원회 의견

 

가. 피신청인에 대한 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 적용여부

 

. 피신청인은 .학원의 설립. 운영 및 과외교습에 관한 법률. 제2조에 따른 검정고시학원으로서 정보통신망법 제67조 제1항 규정의 정보통신서비스제공자 외의 자(이하 ‘준용사업자’라고 함)에 해당되어 정보통신망법의 개인정보 보호 규정을 준수하여야 함

 

나. 피신청인의 신청인 개인정보 수집 시 동의 절차에 대한 판단

 

. 정보통신망법 제22조 제1항은 정보통신서비스제공자가 이용자의 개인정보를 수집.이용 하고자 하는 경우 개인정보의 수집 . 이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유 . 이용 기간을 알리고 동의를 얻어야 한다고 규정함

 

-이 규정에 따라 정보통신서비스제공자는 개인정보를 수집하는 경우에는 특별한 예외 사항이 아니고서는 전화, 인터넷, 서면 등 수집매체를 불문하고 개인정보의 수집 . 이용에 대한 동의를 얻어야 함

 

. 본 사건에서 피신청인은 신청인의 수강신청서 접수 시 정당한 고지 및 동의절차 없이 신청인의 개인정보를 수집함으로써 개인정보 수집 시 고지 및 동의획득 의무를 규정한 정보통신망법 제 22조 제 1항의 규정을 위반하였다고 판단됨

 

다. 신청인의 동의 없이 개인정보를 제3자에 제공한 피신청인의 책임 유무

 

. 정보통신망법 제 24조의2는 개인정보를 제3자에게 제공하려면 그 사실을 이용자에게 알리고 동의를 얻어야 한다고 규정함

 

. 이 사건에서 피신청인은 신청인과 계약을 체결하고 신청인의 수강신청서를 접수하면서,

 

-개인정보의 중요성을 인식하지 못한 채 개인정보 제3자 제공 등에 대한 아무런 고지 및 동의절차 없이, 신청인의 개인정보를 제3자에게 제공함으로써,

 

-이용자의 개인정보를 제3자에게 제공하려면 제공받는 자, 이용목적, 제공하는 개인정보의 항목, 제공받는 자의 개인정보 보유 및 이용기간 등을 이용자에게 알리고 동의를 받아야 한다고 규정하고 있는 정보통신망법 제 24조의2의 규정을 준수하지 않은 것으로 판단됨

 

5. 위원회 결정

 

. 피신청인은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 」에서 정한 개인정보의 수집 . 이용에 대한 고지 및 동의 절차 없이 개인정보를 수집하였으며,

 

- 신청인의 동의 없이 개인정보를 제3자에게 제공함으로써 신청인의 입장에서는 타인에게 알려주고 싶지 않는 개인정보가 노출되어 정신적 피해를 입혔다고 인정되므로,

 

- 피신청인은 신청인에게 손해배상금으로 금500,000원을 지급할 것이며,

 

. 아울러,「정보통신망 이용촉진 및 정보보호 등에 관한 법률 」에 따라 적정한 개인정보 수집 . 이용 및 제3자 제공 경우의 고지, 동의 절차를 마련하여 유사사례가 재차 발생하지 않도록 주의 의무를 다할 것을 조정 결정함

개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)