[오승준 변호사의 의료법 톡] 병원 근로자의 개인정보, 보호하는 방법은

2011년부터 개인정보보호법이 시행되고, 쇼핑몰, 포털사이트 등의 개인정보 유출로 인한 피해보상에 관한 다양한 케이스가 집적되면서 사람들의 개인정보에 관한 권리의식이 많이 향상됐다. 과거에는 내 전화번호가 제3자에게 제공되거나 유통되는 것에 대해 아무런 문제를 느끼지 못하는 사람들이 많았지만 최근에는 연락처 등 본인에 관한 작은 정보 하나에도 민감한 반응을 보이고 있다.

오늘은 의료기관과 근로자와의 관계에 있어서 개인정보 수집 및 보호의 문제에 관해 다뤄보고자 한다.

사례 #1 성형외과 의원을 운영 중인 A원장은 최근 코디네이터 B씨의 퇴사 과정에서 B씨로부터 자신의 개인정보를 함부로 이용하지 말 것과, 모든 정보를 폐기할 것을 요청 받았다. 자신의 생년월일과 이메일 주소 등 개인정보가 회사의 인트라넷에 등록돼 있는 것도 위법하다면서 정보의 즉각적인 삭제와 진심어린 사과를 요구했다.

A원장은 개인정보보호법과 그 해석에 관한 사례들을 찾아보았지만, 인트라넷 등록이 잘못된 것 같기도 하기도 하고, 상식적으로 생각해 보면 잘못이 없는 것 같기도 하다. 이에 자문 로펌에 법률 자문을 구했다.

A원장의 궁금증에 대해 답하자면, 의료기관의 운영자는 개인정보처리자로서, 근로자가 퇴직할 경우 ‘경력증명 및 임용계약에 관한 정보’를 제외하고 지체 없이 파기해야 한다. 근로자의 경력증명 등에 관한 정보는 근로자 퇴직 후 3년간 별도로 보관해야 하는데(근로기준법 제39조 및 같은 법 시행령 제19조) 3년 이상 보관하고자 할 경우에는 퇴직 시점에 퇴직 근로자의 동의를 받아야 한다.

따라서 경력증명을 위한 자료 외의 개인정보는 B씨의 요청이 없더라도 파기하는 것이 맞다.

한편 고용주는 근로기준법 등의 법령상 의무준수를 위해 근로자의 동의 없이 개인정보를 수집·이용할 수 있다. 상식적으로 기본 정보를 이용할 수 없다면 갑근세 신고, 기타 행정절차를 처리할 방법이 없다. 성명, 성별, 생년월일, 주소, 이력, 종사하는 업무의 종류, 고용 또는 고용갱신 연월일, 계약기간(정한 경우), 해고·퇴직 또는 사망한 경우에는 그 연월일과 사유, 그밖에 필요한 사항 등이 이에 해당한다.

따라서 의료기관이 채용을 위해 취득한 B씨의 개인정보는 B씨의 명시적인 동의 없이 수집 및 이용이 가능하다. 일부 정보를 사내 인트라넷에 공개적으로 게시한 행위에 관해서는 별도의 동의가 필요하다는 의견도 있지만 심각한 법률위반은 아니다.

취업규칙 등을 활용해 해결할 수도 있는 문제로 보인다. 조직 내부 소통을 위해 필요 최소한의 정보만 게시했다면 위법성이 있다고 보기도 어렵다.

사례 #2 네트워크 의원을 운영 중인 C원장(강남점)은 본사 MSO의 인사·노무 관리 서비스를 받고 있다. 그리고 같은 네트워크 서초점은 배우자가 운영하고 있어서 사실상 하나의 조직처럼 운영되고 있다. 그런데 최근 강남점 구조조정을 하면서 다른 지점(서초점)으로 간호사 D를 전보 조치하기로 했다. 그러자 간호사 D는 인사조치가 부당하다는 주장과 함께 개인정보의 무단 제공을 문제 삼았다.

위 사례는 네트워크 병원에서 흔히 발생하는 실수다. 간호사 D는 강남점을 운영하는 C원장에게 개인정보를 제공하였기 때문에 서초점으로 개인정보를 제공하기 위해서는 D의 명시적 동의가 필요하다. 계열병원 사이의 인사교류를 위한 인사정보의 제공, 의료기관 인터넷 홈페이지 등을 통해 근로자 정보의 공개가 필요한 경우 등에는 근로자의 별도 동의를 받아야 한다.

다만 개인정보 처리 동의는 해당 의료기관의 취업규칙 등에 관련 내용을 정리해 그 준수의 동의를 받거나 별도의 동의서를 통한 동의 등 다양한 방법을 활용할 수 있다. 따라서 아주 구체적인 수준의 동의서를 매번 받아놓을 필요는 없고 포괄적인 동의서 등 시스템을 잘 구축해 놓으면 계열병원 사이의 인사교류도 어느 정도는 자유롭게 진행할 수 있을 것이다.

그밖에 주의할 점들은 재직자의 건강진단 및 진단결과는 5년 간 보관 후 파기해야 하고(산업안전보건법 제43조 및 동법 시행규칙 제107조) 연말정산을 위해 근로자 및 근로자 가족의 동의 없이 수집한 개인정보는 해당 소득세 등의 법정 신고 기한이 지난날로부터 5년간 보존 후 파기해야 한다(국세기본법 제85조의3 제2항).

복리․후생 제공 등의 목적으로 수집한 근로자 및 근로자 가족의 개인정보는 복리 후생 목적 달성 후 더 이상 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 파기해야 한다는 점이다.

근로자의 퇴직 후 정보 삭제에 관해 문제의식을 느끼지 않고 하드디스크 등에 정보를 보관하는 사례들이 많은데 당장은 큰 문제가 되지 않더라도 직원들의 사소한 실수 또는 해킹 등으로 인해 정보가 유출됐을 때 큰 피해로 이어질 수 있다.

개인정보보호법은 이런 경우 민사상 손해배상의무를 규정할 뿐만 아니라 특수한 경우 형사처벌까지 가능하도록 규정하고 있다. 따라서 당장에 눈에 보이지 않는다고 만연히 방치하며 미룰 것이 아니라, 한 번 정도는 병원의 개인정보 관리 시스템에 대해 점검해 볼 필요가 있다.

<오승준 변호사 약력>

법무법인 엘케이파트너스

이화여자대학교 로스쿨 외래교수

서울중앙지방법원 민사조정위원 (의료, 스포츠)