간장공장

본문

노동자들은 매일 아침 회사에 들어서면서부터 자신의 개인정보를 보호받을 권리를 포기하지 않는다. 회사에서 타인들과 인간관계를 넓혀나감에 따라, 프라이버시 보호에 대한 적절한 수준의 기대를 하게 된다. 하지만 노동자의 권리는 고용주의 합법적인 권리와 요구, 특히 회사를 어느 정도 효율적으로 운영할 권리와 무엇보다 노동자의 행동에 의한 피해를 입는 것으로부터 보호받을 권리 사이에 균형을 이뤄야 한다. 이러한 고용주의 권리와 이익은 노동자의 프라이버시를 제한하는 적절한 제도를 정당화하는 합법적 근거가 된다. 고용주가 노동자의 범죄행위의 피해자가 되는 경우가 그런 예에 해당한다. 이렇게 다양한 권리와 요구들의 균형을 이루기 위해선 여러 가지 원칙들이 필요하다. 감시행위가 고용주의 요구를 만족시키기에 편리하다는 단순한 사실만으로 고용주의 행위가 정당화되지는 않는다는 것을 명심해야한다. 감시는 이 보고서에 제시된 여러 원칙들의 검토를 거쳐 수행되어야 한다. 다음의 질문으로 그러한 평가가 요약될 수 있겠다. a) 감시행위가 노동자에게 투명한가? b) 전자통신감시가 필요한가? 전통적인 감시방법으로는 똑같은 결과를 얻을 수 없는가? c) 개인정보의 처리가 노동자에게 공정하게 여겨지는가? d) 결합되는 이해관계 간에 균형이 유지되는가? 본 보고서는 이러한 원칙들의 실질적인 적용에 초점을 맞추어 회사의 특성과 규모, 정보보호와 관련된 법을 고려하는 등 좀 더 세심하게 노동자와 고용주 모두 최소한으로 받아들일 수 있는 이메일과 인터넷 사용에 대한 회사방침에 가이드 라인을 제시한다. 사적인 용도로 인터넷을 사용하는 것에 대해, 허용해놓고 감시하는 것보다는 아예 그런 용도로 사용하지 못하게끔 하는 것이 고용주의 요구를 더욱 만족시킨다. 이런 맥락에서 기술적 해법이 굉장히 유용하다. 인터넷을 사적인 용도로 사용하는 것에 대한 포괄적인 금지는 근거가 없어보이고, 인터넷이 노동자의 일상생활에서 얼마나 도움이 되는지를 고려하지 않은 처사가 된다. 고용주는 노동자에게 i) 감시장비의 위치, 용도, 목적에 대해 고지해야 하고, 비공개 감시가 지속될 만한 중요한 근거가 없는 한 ii) 적발된 인터넷과 이메일의 오용에 대해 고지해야 한다. 노동자에게 시스템이 감시되고 있고, 허용되지 않은 네트워크의 사용을 금지한다는 경고 메시지를 띄움으로써 즉시 고지하는 것이 가능하다. 고용주가 노동자에게 두 개의 계정을 주는 것도 고려해볼 수 있다. a) 하나는 오로지 업무용으로서, 이 보고서에서 제시하는 허용된 범위에서 감시가 가능하다. b) 다른 하나는 오직 사적 용도로만 쓰이는 계정(또는 웹메일 사용의 허가)으로서, 안전규제만을 받으며, 예외적인 경우에만 남용을 점검할 수 있다. 1. 회사에서의 감시―사회에 대한 도전 최근 들어 직장에서 이메일 사용이 점증함에 따라 노동자 감시문제가 주목을 받고 있다. 감시 문제를 고려함에 있어 직장에서 노동자의 프라이버시가 어느 정도 보장되어야 하지만 고용주의 정당한 이해관계를 침해할 수 있는 노동자의 행동으로부터 자신을 방어할 권리―예를 들어 노동자의 행동에 대해 고용주가 책임을 져야할 경우―와 회사를 효율적으로 운영하려는 고용주의 권리 간에 균형을 이루어야 한다. 새로운 기술은 고용주에게 유용한 자원의 발전에 기여하는 반면, 전자감시 장비는 노동자의 권리와 자유를 침해하는 수단으로 사용될 위험이 내재되어 있다. 명심해야 할 것은 새로운 정보기술의 도래함에 따라 노동자들이 온라인에서든 오프라인에서든 간에 작업하는 동안 자신의 권리가 침해되어서는 안 된다는 사실이다. 더욱이 작업환경이 점점 발달하여 업무시간과 사생활을 명확히 구분하기가 쉽지 않다는 사실이다. 특히 ‘홈오피스’가 발전함에 따라 대다수의 노동자들은 고용주가 제공한 컴퓨터 작업환경이 갖추어진 집에서 일을 한다. 노동자의 존엄성은 다른 어떤 조건보다 우선한다. 이 문제를 고려하는 데 있어 감시행위가 노동자와 고용주간의 관계와 업무 그 자체에 끼칠 수 있는 부정적인 영향을 인지하는 것이 중요하다. 2. 국제 법적 기구 2.1 ‘인권과 기본적 자유 보호를 위한 유럽협약’의 8, 10항 8항 1) 누구나 자신의 개인과 가족생활, 집, 통신을 존중받을 권리가 있다. 2) 이러한 권리를 수행하는데 있어 공공기관의 방해가 있어서는 안된다. 다만, 공공의 안전과 경제적 부를 위해 필요한 경우, 그리고 범죄의 예방, 건강과 도덕의 보호, 타인의 자유와 권리의 보호를 위해 필요한 경우 예외가 있을 수 있다. 10항 1) 누구나 표현의 자유를 누린다. 이 권리는 국경에 상관없이 공공기관의 방해를 받지 않고 생각과 이념을 자유롭게 교환할 수 있음을 의미한다. 이 조항은 국가가 텔레비전이나 영화를 통해 방송할 수 있는 권리를 요구하는 것을 금지하지 않는다. 유럽인권재판소는 8항에 명시된 ‘사생활’의 보호는 노동자의 집안 내에서의 생활로만 제한하지 않고 업무 활동도 포함하는 개념임을 명확히 했다. ‘니미츠 對 독일’ 사건에서 재판소는 다음과 같이 진술했다. “사생활에 대한 존중은 다른 사람들과의 관계를 발전시킬 권리를 어느 정도 포함해야 한다. 나아가 대다수의 사람들은 직장생활을 하는 과정에서 바깥 세상과의 관계를 발전시켜 나갈 중요한 기회를 갖게 되므로 ‘사생활’ 개념에서 업무활동을 배제하자는 주장은 근거가 없다. 이는 업무활동에서 개인적 활동을 명확하게 분리해내기가 어렵다는 점을 보아도 잘 알 수 있다.” ‘해포드 對 영국’ 사건에서 재판소는 업무중 노동자의 전화를 가로채는 행위는 ‘협약’의 8항을 위반한 것으로 판명했다. 해포드에게는 두 대의 전화가 있었는데, 그 중 하나는 개인용이었다. 그 전화의 사용에 대한 어떤 지침이나 제한도 없었다. 해포드도 자신의 전화사용을 가로챈 행위는 협약의 8항을 위반한 것이라고 진술했다. 그러나 정부는 개인전화의 사용에 있어서 프라이버시 보호가 기대될 만한 근거가 없기 때문에 회사에서 그녀가 사용한 전화는 8항에 해당되지 않는다고 제기했다. 정부의 변호인단은 고용주는 원칙적으로 노동자에게 사전고지 없이도 고용주가 제공한 전화의 통화내역을 감시할 수 있다고 주장했다. 그러나 재판소는 “집에서 뿐 아니라 업무활동에서 사용한 통화내역도 8항이 의미하는 바의 ‘사생활’과 ‘통신’의 범위에 포함된다. 내선전화의 사용자인 해포드에게 시스템이 가로채일 수 있다는 경고를 했다는 증거가 없다. 따라서, 본 재판소는 그녀가 전화통화시 프라이버시 보호에 대한 기대를 했을 것이라 생각한다.” ‘통신’은 종이로 주고받는 편지뿐만 아니라 회사에서 사용하는 모든 전자통신 수단을 의미한다. 노동자가 고용주로부터 통신이 감청될 위험이 있다고 사전에 경고를 받았다면, 프라이버시에 대한 기대를 하지도 않을 것이고 감청을 해도 협약 8항에 저촉되지 않는다는 의미로 받아들이는 사람도 있다. 그러나 위원회는 노동자에 대한 사전경고가 정보보호 권리의 침해를 정당화할 수 없다고 생각한다. 8항에 관련된 판결들로부터 유추할 수 있는 세 가지 원칙 a) 노동자는 회사에서의 프라이버시―통신장비나 사무기구가 고용주가 제공했다는 사실로 인해 침해되어서는 안되는―에 대한 정당한 기대치가 있다. b) 통신비밀에 대한 일반적 원칙은 작업장에서의 모든 통신을 포함한다. 이메일과 첨부파일도 포함. c) 사생활에 대한 존중은 타인과의 관계를 발전시킬 권리를 포함한다. 그러한 관계 맺기가 상당부분 회사에서 이루어진다는 사실은 감시제도에 대한 고용주의 합법적 요구에 제한을 가한다. 2.2 개인정보의 자동처리에 있어 개인의 보호에 관한 협약 ․고용관계에서 사용되는 개인정보 보호에 관한 유럽의회 보고서(89) ․의료정보 보호에 관한 보고서(97) ․사회보험을 목적으로 쓰이는 개인정보 보호에 관한 보고서(86) ․통신서비스 영역에서 개인정보 보호에 관한 유럽의회의 권고안(95) 2.3 EU의 인권헌장 7항 개인과 가정생활의 존중 8항 개인정보의 보호 2.4 ILO 개인정보 보호에 관한 행동강령(97) 3. 회사에서의 전자통신 감시(지침 95/46/EC) 회사에서의 감시기제는 여러 가지가 있는데 본 보고서에서는 비슷한 원칙이 적용되는 이메일과 인터넷 사용의 감시에 대해서만 다룬다. 3.1 이메일과 인터넷 감시에 적용되는 일반적 원칙 다음의 정보보호에 관한 원칙들은 반드시 준수되어야 하고, 감시활동의 합법성을 획득하는데 필요하다. ① 필요성 고용주는 감시행위를 시작하기 전에 어떤 형태의 감시활동이건 특별한 목적을 위해 절대적으로 필요한지 점검해야 한다. 예외적인 경우 : 고용주의 입장에서 노동자의 특정한 행동에 대한 증거나 확신을 얻을 필요가 있을 경우. 고용주가 노동자의 행위에 대한 책임을 대신 저야할 경우 등과 같이 고용주의 이해관계를 침해하는 노동자의 범죄행위나 통신시스템의 안전을 유지하기 위해 바이러스를 찾거나 시스템을 점검하려 할 때. 또한 노동자가 질병이나 휴일로 회사에 없는 경우 통신을 계속 가동하기 위해서나, 자동응답이나 자동전달 방법 외에는 통신이 유지될 수 없는 경우에도 노동자의 이메일을 열어볼 수 있다. ② 합목적성 고용주는 적절하고 합법적인 목적하에 정보를 수집해야 한다. 그런 목적에 부합하지 않는다면 당장 금지되어야 한다. 이런 맥락에서 ‘일관성’이란 원칙은, 예를 들면 통신시스템의 안전을 위해 정보를 수집했다면 이 정보는 다른 목적―노동자의 감시―으로 쓰여서는 안 된다는 의미이다. ③ 투명성 고용주는 감시행위에 대해 항상 공개해야 한다. 이 원칙은 지침의 13항에 명시된 예외의 경우를 제외하고는 비공개 감시가 허용되지 않음을 의미한다. 특정한 범죄행위가 명백하거나 고용주가 작업장에서의 위법행위를 적발하는 것이 법적으로 허용되있는 경우에 해당한다. ● 정보주체에게 고지할 의무 고용주는 노동자에게 이메일과 인터넷 사용의 감시에 관해 명확한 진술과 용이한 접근을 제공해야 한다. 노동자는 예외적 규칙이 적용되는 경우는 무엇인지 그리고 감시가 허용되는 범위는 어디까지인가에 대한 모든 정보를 제공받아야 한다. 제공되는 정보는 다음과 같다. 1) 회사가 소유한 통신장비가 노동자의 개인용도로 사용될 수 있는 범위에 대한 자세한 설명(예를 들면 사용시간의 제한 등) 2) 감시의 근거와 목적에 대한 정보. 고용주가 회사의 장비를 사적인 용도로 사용하는 것을 허락했을 때, 통신 내용은 매우 제한적인 조건 하에서 감시될 수 있다. 이를테면 바이러스 체크와 같은 시스템의 점검을 위해서 3) 감시를 누가, 무엇을, 어떻게, 언제 하는지에 대한 정보 4) 노동자에게 고용주들의 요구에 대해 대응할 기회와 내부방침의 위반을 알려주는 것이 언제, 어떻게 이루어지는지에 대한 자세한 시행절차 보통의 경우 감시가 지속될 만한 정당한 근거가 없다면 전자감시의 오용에 대해 노동자에게 즉시 고지하도록 해야 한다. 허가받지 않은 네트워크 접속을 감시하고 있다는 경고메시지를 띄움으로써 노동자에게 즉각적인 고지가 가능하다. 투명성의 원칙의 또다른 예로서 고용주가 노동관련 정책을 입안하기 전 노동자 대표에게 알리거나 자문을 구하는 방식이 있다. ● 자동전산처리를 하기 전 감독기관을 명시할 의무 노동자가 정보보호 규정 -정보의 범주, 목적, 고용주가 노동자의 개인정보를 처리하게 되는 수용자는 누구인지- 을 항상 점검할 수 있게 한다. ● 개인정보에 대한 접근 권리 노동자는 고용주가 수집한 자신에 관계된 개인정보에 접근할 권리를 갖는다. 또한 정보가 부정확하고 불완전하다면 지침을 위반하지 않는 선에서 노동자는 정보의 수정, 삭제, 접근금지에 대한 요구를 할 수 있다. 노동자가 적절한 기간동안 과도한 비용이나 지연 없이 손쉽게 정보에 접근할 수 있도록 하는 것은 노동자들로 하여금 작업장에서의 행동감시가 여전히 노동자에게 공정하고 합법적임을 확신시키는데 좋은 수단이 된다. 그러나 소위 평가자료에의 접근과 같은 예외적인 경우에는 문제가 될 수 있다. ④ 합법성 정보의 처리는 지침 7항에 의해 합법적인 목적 하에 수행되어야 한다. 경쟁사에 영업비밀이 유출되는 것과 같은 영업상의 비밀보호는 합법적 요구에 해당한다. 민감한 정보를 다루는 것은 문제가 되는데, 8항(b)은 다음과 같이 언급하고 있다. “적절한 안전장치가 있는 국내법에 의해 규정되는 한에서 고용관계법에서의 권리와 법적의무를 다해야 할 목적하에서는 민감한 정보의 처리가 가능하다.” 감시행위와 관련된 민감한 정보의 처리는 어려운 문제인데, 고용관계에서만 문제가 되는 것은 아니다. 실제로 법에 의해 적절한 보호장치가 마련되지 않는다면 노동자의 민감한 정보를 다룰 목적으로 행해지는 감시는 지침에 비춰볼 때 적법하지 않고 용납되지도 않을 것이다. 그러나 많은 경우 합법적일 뿐 아니라 시스템의 안전을 위해 바람직하기까지도 한 감시행위를 민감한 정보처리가 불가피하게 수반된다는 사실만으로 금지하거나 어렵게 하는 것 또한 용납되지 않을 것으로 보인다. ⑤ 적절성 감시과정에서 얻은 개인정보는 특정한 목적을 이루는데 있어 적절해야 하고 과도하지 않아야 한다. 기업의 정책은 기업이 직면한 위험의 크기와 형태에 따라 적절히 맞춰져야 한다. 따라서 시스템의 안전을 위한 목적 이외에는 모든 직원들의 통신사용을 비밀리에 감시하는 행위는 금지된다. 가능하다면 이메일 감시는 고용주가 걱정하지 않아도 된다면 그 내용보다는 시간이나 이동정보로 한정해야 한다. 이메일의 내용에 대한 접근이 절대적으로 필요하다면 받는 사람 뿐 아니라 보내는 사람의 프라이버시에 대한 고려도 해야한다. 고용주는 보내는 사람에게 고지를 하는 충분한 노력을 해야한다. ⑥ 정보의 보존과 정확성 고용주에 의해 합법적으로 저장된 정보는 정확해야하고 필요이상으로 오랫동안 보존되어서는 안된다. 고용주는 영업적 요구에 기반하여 중앙서버에의 보존기간을 명시해야 한다. 보통 3달을 넘기지 않아야 한다. ⑦ 안전성 고용주는 보존하고 있는 개인정보가 외부로부터 안전함을 보장할 적절할 기술적인 대책을 시행해야 한다. 위원회는 시스템안전의 유지가 중요하다는 점에서 이메일의 자동검사는 적절한 안전장치가 마련된다면 노동자의 프라이버시 침해가 아니라고 생각한다. 시스템 운영자나 감시과정에서 노동자 개인정보에 접근하려는 모든 사람은 비밀 유지 의무를 지닌다. 4. 이메일 감시 4.1 통신비밀 원칙 위원회는 이메일이건 전통적 방식의 편지건 똑같이 보호의 대상이 되어야 한다고 생각한다. 유럽인권재판소는 민주사회에서 ‘통신비밀에 관한 원칙’의 적용에 대한 가이드라인을 제시했다. 업무영역에서의 전자통신도 앞서 언급했던 협약 8항의 ‘사생활’과 ‘통신’의 개념에 포함된다. 협약이 보호하고 있는 다른 권리와 자유(고용주의 합법적 요구)와 충돌할 때, 위의 원칙이 얼마나 훼손되거나 제한될 것인가 하는 문제가 있다. 어떤 경우든 감시에 사용된 전자장비의 소유권과 위치는 법에 규정된 통신비밀을 배제하거나 불가능하게 하지 않는다. 위원회는 보고서에 제시된 해결책이 다양한 이해관계를 잘 조정하는데 유용할 것이라 확신한다. 4.2 지침(95/46/EC)에 따른 합법성 개인정보가 담긴 이메일은 지침에 의해 보호된다. 그래서 고용주는 이 정보를 처리할 정당한 근거가 있어야 한다. 노동자는 자유로운 상황에서 동의할 수 있어야 하고 충분히 정보가 제공되어야 하며, 일반적으로 합법적 수단으로써 노동자의 동의에만 근거해서 개인정보를 처리해서도 안 된다. 7항(f)에도 있듯이 정보가 공개되는 제3자나 통제자의 정당한 이해관계가 걸려있을 때는 이메일 감시가 합법화된다. 그러나 그렇다고 해서 통신비밀권리에 해당하는 노동자의 기본적 권리와 자유를 침해해선 안 된다. 동의란 노동자가 정말로 자유롭게 선택할 수 있어야 하고, 어떤 손해 없이도 그 동의를 파기할 수 있어야 한다. 노동자에게 순전히 개인적인 용도로 메일계정이 부여되거나 웹메일에 접근할 수 있도록 허용되었을 경우, 고용주가 이 계정을 열람하는 것은 (바이러스 체크와는 별도로) 아주 제한적인 조건에서만 정당화될 수 있다. 4.3 기업이 노동자에게 제공해야하는 최소한의 정보 1) 노동자에게 순수한 개인용 메일계정을 가질 권리가 부여되는지, 작업장에서 웹메일 계정의 사용이 허락되는지, 고용주가 개인용도로 쓸 웹메일 계정의 사용을 권유했는지 여부 2) 노동자가 예기치 않게 부재중일 때 메일의 내용에 접근하기 위한 설비, 접근을 하려는 목적 3) 메시지의 백업화일이 있을 때, 그것의 보존기간 4) 이메일이 서버에서 틀림없이 지워졌다는 증거 5) 안전문제 6) 정책형성과정에서 노동자 대표의 참여 4.4 웹메일 위원회는 노동자가 웹메일이나 개인용 계정을 사용하도록 하는 것은 문제를 해결하는데 실질적인 도움이 된다고 생각한다. 고용주의 입장에서 쓴 보고서에서는 개인용과 업무용을 명확히 구분하여, 고용주가 노동자의 프라이버시를 침해할 위험을 감소시킬 것이라 한다. 더 나아가 고용주에게는 초과비용이 들지 않을 것이라 한다. 고용주가 이런 정책을 채택한다면 노동자의 행동이 의심스러운 경우에 있어서 웹메일 계정을 사용하는 시간을 알려줌으로써 노동자가 개인용 PC를 얼마나 많이 사용하는지 감시하는 것이 가능하다. 이런 방법을 사용하면 노동자의 민감한 정보가 공개될 위험 없이 고용주의 요구가 보장될 수 있다. 1) 웹메일이나 허용된 개인계정의 사용은 4장에서 언급한 다른 메일계정에 적용되는 원칙을 똑같이 적용 받는다. 2) 웹메일 사용을 허락했을때 회사는 특히 바이러스의 확산과 같이 네트워크의 안전이 위협당할 수 있다는 사실을 명심해야한다. 3) 때로는 웹메일의 서버가 개인정보보호에 관한 조항이 없는 다른 나라에 위치할 수도 있다는 점을 노동자는 명심해야 한다. 5. 인터넷 접근의 감시 5.1 업무시 인터넷의 개인적 사용 제일먼저 강조되어야 할 것은 노동자에게 개인용도로 인터넷의 이용을 허락할 것인지와 그 허용범위는 어디까지인가에 대한 결정을 회사가 전적으로 하게 된다는 것이다. 위원회는 노동자의 인터넷 사용의 총괄적 금지는 노동자가 일상생활 속에서 인터넷으로부터 얼마나 많은 도움을 받는지가 전혀 고려되지 않기에 비현실적이라고 생각한다. 5.2 인터넷 감시에 관한 원칙들 인터넷의 개인적 사용을 감시하려는 것보다는 기술적으로 아예 금지하는 것이 더 낫다. 다시 말해, 요용을 감시하는데 자원을 낭비하는 것보다는 기술적으로 오용을 막는 것이 고용주의 입장에선 더 낫다는 것이다. 가능한 범위 내에서 자동접근경고를 한다거나 몇 개의 사이트를 차단하는 등 행동에 대한 감시를 하기보다는 기술적으로 접근을 제한하는 방식에 의존해야한다. 인터넷의 의심스러운 사용을 적발하는 즉시 고지하는 것은 문제를 최소화하는데 중요하다. 비록 이것이 필요한 방법이라 할지라도 감시는 고용주가 처한 위험에 대한 적절한 대응책이 되어야 한다. 대부분의 경우 인터넷의 오용은 방문한 사이트의 내용을 검사할 필요도 없이 적발할 수 있다. 예를 들어, 사용시간을 체크하고 가장 자주 방문하는 사이트를 체크하는 것은 고용주가 자신의 장비가 오용되고 있는지 여부를 확인하기에 충분하다. 노동자의 인터넷 사용을 점검할 때 고용주는 검색엔진이나 링크, 배너광고, 오타 등으로 인해 의도치 않게 사이트를 방문할 수도 있다는 사실을 고려하여, 쉽게 결론을 내려서는 안된다. 어떤 경우든 노동자에게 고용주가 주장하는 오용에 대해 사실을 알려야 하고, 이에 대해 이의를 제기할 수 있는 기회를 주어야 한다. 5.3 회사의 인터넷 정책에 대한 추천항목 1) ch 3.1의 투명성의 원칙 2) 고용주는 노동자가 복사하거나 검색할 수 없는 자료에 대해 충분히 고지하고 인터넷의 개인적 사용이 허용되는 조건에 대해 명확히 제시해야 한다. 3) 노동자는 인터넷의 오용을 감시하고 특정한 사이트를 차단하는 시스템에 대해 고지받아야 한다. 감시가 개인이나 회사의 영역과 관련이 있는지, 고용주가 특정한 환경에서 방문한 사이트를 보고, 기록하는지 등 감시의 범위가 정해져야 한다. 4) 위반사실의 조사와 정책수행과정에서의 노동자 대표 참여 ■

본문

국제노동기구(ILO)의 [노동자의 개인정보 보호에 대한 행동 강령] (1995) 1. 서문 사용자는 구직자와 노동자에 대한 개인정보를 법을 지키기 위해, 직원의 고용과 훈련 및 인사 고과에서 참고삼기 위해, 개인의 안전·인적 담보·품질 관리·고객 서비스와 자산 보호를 하기 위해서 수집한다. 다수의 국내법과 국제규범들이 개인정보의 처리에 관한 의무적인 절차를 규정하고 있다. 전산정보 검색기술, 사원 정보자동화시스템, 전자감시, 유전자 감별, 약물 실험 등은 개인정보보호장치가 개발되어야 할 필요성을 보여준다. 개인정보보호장치는 노동자의 존엄성을 보호하기 위해 노동자의 개인정보를 누가 사용하는지를 표시하고 노동자의 프라이버시권을 보호하며 노동자 자신이 누가 어떤 정보를 어떤 목적으로 그리고 어떤 조건하에서 사용할 것인지 결정할 수 있는 궁극적 권리를 보장할 수 있어야 한다. 2. 목적 이 행동 강령의 목적은 노동자의 개인정보를 보호하기 위한 길라잡이를 제시한다는 것이다. 이 강령에 구속력은 없다. 이 강령은 제정법, 규칙·조례, 국제 근로기준이나 다른 일반기준을 대신하지 않는다. 이 강령은 법령, 규칙·조례, 단체협약, 근무규정, 정책과 실무적 규정을 발전시키는데 참고될 수 있다. 3. 정의 이 강령에서 3.1 개인정보라는 말은 신원확인되었거나 신원확인이 가능한 노동자와 관계되는 모든 정보를 뜻한다. 3.2 처리라는 말은 수집, 저장, 결합·배합, 교환 또는 다른 모든 개인정보의 사용을 포함한다. 3.3 감시라는 말은 컴퓨터, 카메라, 영상장비, 음향설비, 전화기, 기타 통신장비와 같은 장비의 사용, 신원과 위치를 확인하는 다양한 방법, 혹은 기타 감시방법을 포함하며, 그 이상의 뜻도 포함한다. 3.4 노동자라는 말은 현재와 과거의 노동자 혹은 입사 지원자를 모두 포함한다. 4. 적용 범위 4.1 이 강령은 (a) 공적·사적 분야 모두에 (b) 노동자 개인정보의 수동·자동 처리에 모두 적용된다. 5. 전반적인 원칙 5.1 개인정보는 반드시 적법하고 공정하게, 그리고 오직 노동자의 고용과 직접 관련한 이유로만 처리되어야 한다. 5.2 개인정보는 원칙적으로 반드시 수집할 당시의 원래 목적과 동일한 목적으로만 사용되어야 한다. 5.3 만일 개인정보가 처음 수집될 당시의 목적과 다른 목적으로 처리되는 경우, 사용자는 반드시 원래의 목적과 모순된 목적으로 사용되지 않을 것임을 보장해야 하며, 전후관계의 변화로 인해 생길 오해를 방지하는 데 필요한 대책을 반드시 수립해야 한다. 5.4 자동 정보 시스템의 보안이나 적절한 운영을 보장하기 위해 기술적이거나 관리적인 차원의 대책을 수립할 때 수집된 개인정보는 노동자의 행동을 통제하는 데에 사용될 수 없다. 5.5 어떤 노동자에 대한 결정이 그 노동자에 대한 자동 처리된 개인정보에만 의존해서 이루어지면 안된다. 5.6 전자 감시로 수집된 개인정보가 직무 수행 평가의 유일한 요소가 되어서는 안된다. 5.7 사용자는 자신의 정보 처리 업무에 대해 정기적으로 평가해야한다. (a) 수집된 개인정보의 종류와 양을 가능한 한 줄이기 위해 (b) 노동자의 프라이버시권을 보호하는 방법을 개선하기 위해 5.8 노동자와 그 대표는 모든 정보수집 과정, 그 과정을 제어하는 규칙, 그리고 자신의 권리를 통지받아야 한다. 5.9 개인정보를 처리하는 사람은 이 강령의 원칙에 따른 정보수집과 자신의 역할을 이해하기 위해 정기적으로 훈련받아야 한다. 5.10 개인정보의 처리는 고용이나 취업에서 불법적인 차별 효과를 줄 수 없다. 5.11 사용자, 노동자와 그 대표는 개인정보를 보호해야 하고 이 강령에 따라 노동자의 프라이버시권에 대한 정책을 개발하도록 협력해야 한다. 5.12 사용자, 노동자 대표, 고용 알선 기관, 노동자 등 개인정보에 접근할 수 있는 모든 사람은, 자신의 의무 이행과 이 강령의 원칙에 어긋나지 않는 비밀유지의 의무를 지켜야만 한다. 5.13 노동자는 프라이버시권을 포기할 수 없다. 6. 개인정보의 수집 6.1 원칙적으로 모든 정보는 반드시 노동자 개인에게서 획득되어야 한다. 6.2 만약 개인정보를 제3자로부터 획득해야할 필요가 있을 경우, 노동자는 반드시 사전에 이를 통보받아야 하고 명시적인 동의 의사를 전달할 수 있어야 한다. 사용자는 반드시 처리 목적, 사용자가 사용하려는 출처와 수단 뿐 아니라 수집 정보의 유형, 그리고 만약에 동의 거부가 있었다면 그 결과를 명시해야 한다. 6.3 만약 어떤 노동자가, 사용자나 다른 어떤 사람 혹은 조직에게 자신의 정보를 수집하거나 노출시킬 권한을 위임하는 계약서에 대한 서명을 요구받을 때에는, 계약서가 평이한 용어로 작성되어야 하고 구체적이어야 하며, 단체나 기관이 명시되어야 하고, 문제의 신상정보가 드러나 있어야 하며, 개인정보가 무엇을 목적으로 수집되는지와 계약서의 유효 기간이 명시되어 있어야 한다. 6.4 사용자가 노동자의 개인정보 사용에 대한 동의를 얻었을 경우, 사용자는 정보의 수집하거나 조사하는 사람과 기관이 언제나 조사 목적을 염두에 두고 그 재현에서 실수나 오해가 없도록 보장해야 한다. 6.5 (1) 사용자는 노동자의 다음 정보를 수집할 수 없다. (a) 성생활 (b) 정치적인, 종교적인 또는 그 외의 믿음·신앙 (c) 전과 (2) 예외적으로 고용 결정에 직접 관련이 있고 적법한 경우에 사용자는 (1)의 경우에 해당되는 개인정보를 수집할 수 있다. 6.6 사용자는 법이나 단체협약에 의하여 강제되거나 허락된 경우가 아니면 노동자의 특정 단체에서의 지위나 조합활동에 관한 정보를 수집할 수 없다. 6.7 개인 의료정보는 적법하고 의료상의 기밀과 작업 현장의 건강과 안전에 대한 일반 원칙에 따라, 그리고 아래와 같이 필요한 경우가 아니면 수집될 수 없다. (a) 노동자가 특정 직업에 맞는지 결정하기 위해 (b) 작업 현장의 건강과 안전을 위한 요구 조건을 만족하기 위해 (c) 사회적 이익을 위한 자격과 보상을 결정하기 위해 6.8 만약 노동자가 이 강령의 5.1, 5.10, 6.5, 6.6 그리고 6.7에 어긋나는 요구를 받았을 때와 노동자가 부정확하거나 불완전한 답을 할 때, 노동자는 고용 관계의 종료에 영향을 받지 않으며 다른 규율상의 처분에 대해서도 그러하다. 6.9 개인정보 요청에 대한 노동자의 잘못된 이해로 제공된 개인 정보와 관계없거나 범위를 넘어서는 개인정보는 처리될 수 없다. 6.10 거짓말 탐지기, 사실 증명 장비와 기타 유사한 검사 절차는 사용될 수 없다. 6.11 인성 테스트 또는 유사한 검사 절차는 이 강령 규정에 따라야 하며, 노동자는 검사를 거부할 수 있음을 명시해야 한다. 6.12 유전자 검사는 금지되거나 법적으로 명확히 인정된 경우에만 한정되어야 한다. 6.13 약물 검사는 국가의 제정법과 관습법 또는 국제법 표준에 따라 이루어져야 한다. ILO는 사업장에서의 알콜과 약물 관련 사안의 처리에 대한 행동 강령과 "사업장에서의 약물과 알콜 검사에 대한 규준"을 가지고 있다. 6.14 (1) 노동자를 감시할 때에는 사전에 감시의 목적과 예정 시간, 사용되는 방법과 기술, 수집되는 정보를 알려야만 한다. 또한 사용자는 노동자의 프라이버시권의 침해를 최소화해야만 한다. (2) 비밀스런 감시는 다음의 경우에만 허용된다. (a) 국가의 법에 따를 때 (b) 합리적 근거에 기반하여 범죄행위 또는 그에 준하는 심각한 행위가 의심될 때 (c) 단, 지속적인 감시는 건강과 안전 또는 재산의 보호를 위해 필요할 때에만 허락된다. 7. 개인정보의 보안 7.1 사용자는 정보의 유실, 정보에 대한 권한 없는 접근과 그 사용, 수정, 유포를 막기 위하여 상황에 따른 적절한 보안 수단을 사용하고 개인정보를 보호할 의무가 있다. 8. 개인정보의 보관 8.1 이 강령의 개인정보 수집에 관한 원칙에 따른 방법으로 수집된 개인정보에 대해서만 보관을 허용해야 한다. 8.2 비밀이 보장되어야 하는 개인 의료 정보는 의료 기밀 규정에 따라 인사 담당자에게만 보관되어야 하며 다른 모든 개인정보와 분리하여 다루어야 한다. 8.3 사용자는 전반적인 정보와 정기적으로 검토되는 개별 노동자의 개인 정보 항목과 그 처리에 대한 정보를 제공해야 한다. 8.4 사용자는 저장된 개인정보가 정확하고 최신의 것이며 완전하다는 것을 정기적으로 보장해야 한다. 8.5 개인정보를 수집할 당시의 특정한 필요성이 계속적으로 존재하는 동안에만 그 정보를 보관할 수 있다. 단, 다음의 경우는 예외로 한다. (a) 노동자가 특정 기간 동안 구직자 명단에 올라 있기를 원할 때 (b) 국가의 법으로 개인정보가 요구될 때 (c) 현재 존재하거나 과거에 존재했던 고용 관계와 관련한 법적 증명 절차를 위하여 사용자 또는 노동자가 개인정보를 요구할 때 8.6 개인정보를 다음과 같은 방법으로 보관하고 작성하여야 한다. (a) 노동자가 이해할 수 있어야 한다. (b) 노동자의 특성을 거론하며 그 노동자에 대한 차별을 유발해서는 안 된다. 9. 개인정보의 이용 9.1 개인정보는 그 수집, 교환, 보관에 대한 이 강령 안의 원칙에 따라 이용되어야 한다. 10. 개인정보의 교환 10.1 개인정보는 다음의 경우를 제외하고 노동자의 명시적 동의 없이 제3자와 교환될 수 없다. (a) 생명과 건강에 대한 중대하고 절박한 위협을 막기 위해 필요할 때 (b) 법률로 요구되었거나 승인되었을 때 (c) 고용 관계의 관리를 위해 필요할 때 (d) 형법집행을 위해 요구될 때 10.2 노동자의 개인정보는 노동자의 인지와 명시적 동의 없이 상업적·영리적 목적으로 교환될 수 없다. 10.3 제3자에 대한 정보 교환 규칙은 동일 조직 내의 사용자들 간에 혹은 정부 각 기관간의 개인정보 교환에도 적용된다. 10.4 사용자는 노동자의 개인정보를 교환하는 자에게 그 개인정보는 제공한 목적에 한해서만 사용되어야 함을 고지해야 하며, 이를 이행할 것임을 확인 받아야 한다. 다만 법적 의무에 따른 규칙적인 교환은 예외로 한다. 10.5 개인정보의 내부적 상호교환은 노동자가 명백히 인지한 사람들에 한해야 한다. 10.6 개인정보의 내부이용은 그 개인정보가 특정 작업의 수행에 필요한 경우에 한하여 승인 받은 특정 이용자에게만 허용된다. 10.7 노동자의 개인정보를 포함한 자료들의 취합은 이 강령의 규정에 엄밀히 따르지 않는 한 금지된다. 10.8 의료 기록의 경우, 사용자는 특정한 고용의 결정에 관련한 판정만을 제공받을 수 있다. 10.9 그 판정은 어떠한 의료 정보도 포함할 수 없다. 판정은 제안된 작업에 적합한지를 나타내거나, 일정 종류의 직업, 일시적 혹은 영구적으로 의학적으로 금해야 하는 근무환경을 적시하는 내용이어야 한다. 10.10 노동자의 대표와 개인정보를 교환하는 것은 국가의 법률이나 관습법에 따른 단체협약에 따라 이루어져야 한다. 또한, 노동자 대표의 특정한 업무 수행에 필요한 개인정보에만 한정되어야 한다. 10.11 사용자는 개인정보의 내부 흐름을 볼 수 있고 그 처리과정이 이 강령에 따르는 절차를 채택해야 한다. 11. 개인의 권리 11.1 노동자는 확보된 자신의 개인정보와 그 개인정보의 처리과정을 정기적으로 고지받을 권리를 가진다. 11.2 개인정보가 자동화된 시스템으로 처리되었거나 노동자별로 특정한 수작업 파일에 보관되었거나 기타 어떤 형태로 노동자의 개인 정보가 보관되었든지 간에 노동자는 자신의 모든 개인정보에 접근할 수 있다. 11.3 노동자가 자신의 개인정보의 처리과정에 대하여 알 권리는 그 노동자의 개인정보를 포함하는 모든 형태의 기록을 검토하고 사본을 소지할 수 있는 권리를 포함한다. 11.4 노동자는 근무시간 중 자신의 개인정보에 대해 접근할 수 있는 권리를 가진다. 만약 근무시간에 이루어지지 못할 때에는 노동자와 사용자의 편의를 고려하여 실시되어야 한다. 11.5 노동자는 접근권의 행사를 보조할 노동자 대표나 보조자를 지명할 권리가 있다. 11.6 노동자는 자신이 선택한 의료전문가를 통해 자신의 의료 정보에 접근할 권리를 가진다. 11.7 사용자는 노동자가 자신의 기록에 접근하거나 복사하는 것에 비용 부담을 지울 수 없다. 11.8 사용자는 안전 점검할 때 점검에 현저한 위해가 예상되는 경우에 한하여 점검이 끝날 때까지 노동자가 자신의 개인정보에 접근하는 것을 거부할 수 있다. 그러나 노동자가 자신의 모든 개인정보에 접근하기 전에는 인사에 관한 어떠한 결정도 행할 수 없다. 11.9 노동자는 잘못되고 불완전한 개인정보 및 이 강령의 규정에 따르지 않는 개인정보에 대해 삭제 혹은 수정을 요구할 권리를 갖는다. 11.10 개인정보를 삭제 혹은 수정할 때, 사용자는 앞서 부정확하고 불완전한 개인정보를 제공받았던 모든 사람에게 삭제 혹은 수정한 사실을 알려야만 한다. 단, 삭제 혹은 수정의 통지가 필요하지 않다는 노동자의 동의가 있을 때에는 알리지 않을 수도 있다. 11.11 사용자가 개인정보의 수정을 거절할 때, 노동자는 그 개인정보에 동의하지 않는다는 진술 혹은 그 근거 기록을 제출할 권리를 가진다. 이후에 개인정보가 사용될 때에는 언제나 이 개인정보가 논란이 있음을 알리는 정보와 해당 노동자의 진술이 포함되어야 한다. 11.12 사법 기록의 경우 삭제나 수정이 불가능할 때에는 노동자는 자신의 관점을 서술한 진술을 첨부할 권리를 가진다. 이 진술은 포함하지 않아도 된다는 노동자의 동의가 없는 한 모든 개인정보 교환에 포함되어야 한다. 11.13 이 강령의 규정에 따라 마련된 모든 법률, 규칙 조례, 단체협약, 업무 규정 혹은 정책에 있어서, 사용자가 법 절차를 이행하지 않을 때 노동자가 배상받을 수 있는 방법을 적시해야 한다. 노동자가 제출하는 어떠한 진정도 받아들이고 답변하는 절차를 마련해야 한다. 진정 절차는 노동자가 이용하기 쉽고 간단해야 한다. 12. 집단적 권리 12.1 노동자의 개인정보 처리에 관한 모든 협상은 자신에 대한 어떠한 개인정보가 어떠한 조건하에서 어떤 목적으로 사용되어야 하는지 알고 결정할 수 있는 개별 노동자의 권리를 보장하는 것을 목적으로 하는 이 행동 강령의 원칙에 따라야 한다. 12.2 노동자의 대표는 다음의 사항을 통지받고 조언할 수 있다. (a) 노동자의 개인정보를 처리하는 자동 시스템의 채택 및 변경에 관하여 (b) 사업장 안의 전자 노동자 감시 시스템의 채택에 앞서 (c) 노동자의 개인정보에 대한 설문조사 및 검사를 해석하고 관리하는 방법과 내용, 목적에 대하여 13. 고용 알선 기관 13.1 만약 사용자가 노동자를 채용하기 위해서 고용 알선 기관을 이용한다면, 사용자는 고용 알선 기관에게 이 강령의 규정에 적합하게 개인정보를 처리할 것을 요구해야 한다. ■