개인정보보호법은 마케터가 매일 다루는 회원 DB·이메일 DB·문자 발송 시 반드시 지켜야 할 법이며, 위반 시 과징금·신뢰 손상이 큽니다.
핵심 5가지만 정리해 두면 사고 대부분을 피할 수 있습니다.
1. 수집 — 동의·목적·기간
개인정보 수집 시 (a) 수집 목적 (b) 수집 항목 (c) 보유 기간 (d) 거부 시 불이익을 명확히 고지하고 동의를 받아야 하며, "회원가입 동의"에 묶어 일괄 동의 받는 형태는 위반입니다.
필수 동의와 선택 동의를 명확히 구분해야 하고, 마케팅 활용 동의는 반드시 별도 체크박스로 받아야 합니다.
2. 마케팅 발송 — 별도 동의
이메일·SMS·카카오톡 마케팅 발송은 정보통신망법 광고성 정보 수신 동의가 필수이며, 회원가입 시 동의에 자동 포함시키면 위반입니다.
광고 메시지 첫 줄에 "(광고)" 표시·맨 끝에 "수신거부 방법"이 누락되면 발송 자체가 위반이고, 과태료가 부과됩니다.
3. 보관 — 안전 조치
회원 DB는 암호화 저장·접근 권한 관리·접속 기록 보관·내부 직원 교육 4가지를 의무로 하고, 사고 발생 시 이 조치 여부가 처벌 강도를 결정합니다.
클라우드 저장 시에도 동일 의무가 적용되며, "잘 모르고"는 변명이 안 됩니다.
4. 파기 — 보유 기간 종료 시
수집 시 고지한 보유 기간이 끝나면 즉시 파기해야 하며, "혹시 모르니 보관"하는 형태는 위반입니다.
회원 탈퇴 시에도 "복구를 위해 30일 보관" 같은 임의 정책은 동의서에 명시되지 않으면 위반이 됩니다.
5. 사고 — 72시간 신고
개인정보 유출 사고 발생 시 72시간 안에 정보보호위원회 또는 KISA에 신고해야 하고, 영향 받은 사용자에게도 알려야 합니다.
신고를 늦추면 처벌 강도가 크게 올라가므로, 사고 인지 즉시 법무·정보보호 책임자에게 알리는 게 표준 절차입니다.
개인정보 보호는 마케팅 부서가 직접 챙겨야 할 영역이며, 사후 처벌이 사전 점검 비용의 100배입니다.
