개인정보 수집·이용 동의서: 필수 기재 항목
"길고 어려운 동의서 한 장에 서명만 받으면 끝"이라고 생각하는 곳이 아직 많습니다. 실제로는 반대입니다. 개인정보 보호법이 요구하는 것은 분량이 아니라, 정한 항목을 빠짐없이 알리고 성격이 다른 동의를 나눠서 받는 일입니다. 고객 상담 신청서든 회원가입 화면이든 채용 지원서든, 개인정보를 수집하는 순간 이 규칙이 적용됩니다. 항목이 하나라도 빠진 동의서는 분쟁이나 점검 때 "제대로 알리지 않았다"는 지적으로 이어질 수 있습니다.
반드시 알리고 받아야 할 네 가지
개인정보 보호법 제15조는 동의를 받을 때 다음 사항을 정보주체에게 알리도록 정하고 있습니다.
- 수집·이용 목적 — "서비스 제공을 위해" 같은 막연한 표현 대신 "상담 예약 접수와 결과 안내"처럼 구체적으로 적습니다.
- 수집 항목 — 성명, 연락처, 이메일처럼 실제로 받는 항목만 열거합니다. 쓰지 않을 항목을 미리 받아 두는 것 자체가 과잉 수집입니다.
- 보유·이용 기간 — "회원 탈퇴 시까지", "상담 종료 후 1년" 등 언제 파기되는지 판단할 수 있게 적습니다.
- 동의를 거부할 권리와 불이익 — 거부할 수 있다는 사실과, 거부하면 어떤 서비스가 제한되는지를 함께 알립니다.
하나로 묶지 말고 나눠서 받기
수집·이용 동의, 제3자 제공 동의, 마케팅 활용 동의는 성격이 다른 별개의 동의입니다. 제3자에게 제공한다면 받는 자, 제공 목적, 제공 항목, 보유 기간을 따로 알리고 따로 동의받아야 하고, 홍보 목적 이용은 선택 동의로 두어 미동의를 이유로 서비스 제공을 거절해서는 안 됩니다. 만 14세 미만 아동의 개인정보는 법정대리인의 동의가 필요합니다. 한편 회사 내부에서 개인정보를 다루는 직원 관리라면 보안(정보보호) 서약서가, 거래처와 주고받는 기업 정보라면 NDA(비밀유지계약서)가 각각 짝이 되는 문서입니다.
현장에서 자주 보이는 실수 3가지
첫째, 목적을 "당사 업무 일체"처럼 포괄적으로 적는 것입니다. 목적이 넓으면 동의의 효력 자체가 다투어질 수 있습니다. 둘째, 보유 기간을 비워 두거나 "영구 보관"으로 적는 것입니다. 개인정보는 목적을 달성하면 지체 없이 파기하는 것이 원칙이므로 파기 시점을 설계해야 합니다. 셋째, 필수 동의와 선택 동의를 체크박스 하나로 묶는 것입니다. 항목별로 체크란을 나누고, 선택 항목은 동의하지 않아도 가입·이용이 가능하다는 사실을 문구로 밝혀 두세요.
표 형태로 고지 항목을 정리한 양식은 개인정보 수집·이용 동의서 서식 안내에서 확인할 수 있습니다.
자주 묻는 질문
동의 없이 개인정보를 수집할 수 있는 경우도 있나요?
있습니다. 정보주체와의 계약 체결·이행에 필요한 경우 등 개인정보 보호법이 정한 사유에 해당하면 동의 없이 수집·이용할 수 있습니다. 다만 그때도 목적 범위를 벗어나면 안 되고, 해당 사유에 해당하는지 판단이 어렵다면 동의를 받는 쪽이 안전합니다.
받은 동의서는 얼마나 보관해야 하나요?
동의를 받았다는 사실을 입증할 수 있도록 개인정보를 보유·이용하는 기간 동안 함께 보관하는 것이 일반적입니다. 개인정보 자체는 목적을 달성하면 지체 없이 파기하는 것이 원칙이며, 다른 법령의 보존 의무가 있는지도 확인해야 합니다.
온라인 체크박스 방식의 동의도 유효한가요?
내용을 명확히 알리고 정보주체가 항목별로 선택할 수 있게 했다면 유효할 수 있습니다. 동의 일시와 방법 등 기록을 남겨 두는 것이 중요하고, 필수와 선택을 체크박스 하나로 묶어 받는 방식은 피해야 합니다.
좋은 동의서의 기준은 분량이 아니라 "무엇을, 왜, 언제까지"에 답하는 명확함입니다.
※ 본 글은 일반적인 정보 제공용이며, 개별 사안·최신 법령은 세무사·노무사·변호사 등 전문가의 확인을 권합니다.