[개인정보] 장기 미이용자(휴면회원) 별도 분리관리 의무 폐지

2023년 9월 15일 개인정보보호법 개정 시행되면서 기존에 규정했던 개인정보 유효기간제가 폐지되었다.

그 내용은 다음과 같다. 

 

정보통신서비스 제공자등은 1년 이상 서비스를 미이용한 휴면회원을 분리 보관하는 등 별도 관리를 해야했으나 관련 규정이 삭제되면서 더이상 필수적으로 분리보관할 의무가 없음.

 

※ 개인정보보호법 개정 시안안<2023.09.15> ※

 

(기존)

제39조의6(개인정보의 파기에 대한 특례)

① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

-> 1년의 기간 동안 서비스 미이용한 이용자의 개인정보는 파기 또는 별도 분리보관과 같은 필요한 조치를 취하여야 함.

 

② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

-> 서비스 사용일자가 마지막날로부터 365일동안 사용하지않으면 휴면회원처리가 되는 경우(별도 분리가 되는 경우), 30일 전(최소 335일 이전)까지 해당 이용자에게 휴면처리(별도 분리보관) 사실을 알려야 한다.

 

(변경)

제39조의6 폐지

-> 장기 미이용자(휴면회원)의 별도 분리보관 의무가 없으며, 개인정보보호법 제21조 일반규정에 따라서 안전하게 보관하도록 개정되었음.

 

해설서에 따르면 별도 분리보관 의무가 없어졌기때문에 강제성은 없지만, 상황을 고려하여 자율적으로 별도 보관관리 정책을 유지할 수도 있음.

 

다만, 정책을 유지할 경우 기존의 법에서 제시하고 있는 절차를 따르거나 장기 미이용자의 개인정보가 충분히 안전하게 관리될 수 있도록 조치하여야 함.

 

더불어, 별도 보관정책을 없애고 복원하려는 경우에는 이용자에게 바뀐 정책에 대해 알려주고 복원을 진행하는 것이 바람직함.

 

 

 

※ 장기 미이용자의 별도 분리보관 의무가 없어 일반 회원과 통합관리가 되는 경우, 기존에 매년 1회 개인정보 이용내역 통지 대상에서 제외되었던 것을 앞으로는 통지 대상으로 포함하여야 할 것이다.

개인정보처리자가 정보주체의 개인정보를 보유하고 있는 것도 "이용"의 범주에 포함되며, 통지의무가 있는 "이용내역"은 개인정보처리자의 이용내역을 의미하는 것이므로 더이상 별도의 관리 대상이 아닌 장기 미이용자는 통지 대상으로 분류하여야 할 것입니다.