입사지원서 수집과 보관: GDPR 관점의 채용 관리
채용과정에서 개인정보 보호
이력서는 단순한 경력 정리 문서를 넘어, 개인정보 보호법(GDPR 등)상 고도의 개인정보를 포함한 민감한 문서입니다. 채용 절차에서 이력서를 작성하는 개인과 이를 수집, 검토하는 회사는 모두 법적으로 보호되는 개인정보를 다루게 되며, 그에 따른 권리와 의무를 명확히 이해하고 있어야 합니다. 이 글에서는 이력서와 관련된 개인정보 항목의 유형을 살펴보고 지원자와 채용담당자가 각각 어떤 점에 유의해야 하는지를 관련 법령을 기반으로 실무적으로 알아보겠습니다. 그리고 최근 주목받고 있는 온라인 백그라운드 체크에 관하여서도 알아보겠습니다.
이력서에 포함되는 개인정보의 유형
일반 식별 정보: 이름, 주소, 전화번호, 이메일 주소 등은 식별 가능한 개인정보로 GDPR 보호 대상이며 생년월일, 출생지, 성별, 국적 등은 차별 우려가 있어 수집 자체를 지양하거나 목적이 명확할 때만 수집해야 한다.
학력 및 경력: 학교명, 전공, 재학 및 졸업 시기, 회사명, 직책, 재직 기간, 업무 내용 등은 사실관계 기반의 정보이나, 여전히 개인을 식별할 수 있어 보호가 필요하며 추천인 또는 상사 이름 등 제3자의 개인정보가 포함될 경우, 해당인의 사전 동의가 필요하다.
자격 및 인증: 어학능력, 전문 자격증, 시험 성적 등은 수집 가능하나, 민감정보와 결합될 경우 주의가 필요하다.
민감정보 (Art. 9 GDPR): 얼굴 사진, 건강 정보, 종교, 정치 성향, 성적 지향 등은 원칙적으로 수집 금지이며 사진의 경우, 생체 정보로 간주될 수 있어 명시적 동의가 없는 한 포함을 지양해야 한다. 그리고 장애 정보는 독일에서 의무고용제도와 연계될 경우 예외적으로 포함 가능하나, 반드시 지원자의 자발적 제공이 전제되어야 한다.
지원자 주의사항
최소한의 정보만 기재: 채용과 직접적인 관련이 없는 개인정보는 기재하지 않는 것이 원칙이다. 예: 종교, 출산 계획, 가족관계, 정치활동, 성별, 혼인 여부 등은 원칙적으로 제외
사진의 포함 여부 결정: 독일에서는 이력서에 사진을 첨부하지 않아도 법적으로 불이익을 받을 수 없으며 채용 시 불필요한 차별을 피하기 위해 사진을 생략하는 것이 권장된다.
동의하지 않은 정보 제공 거부: 회사가 민감정보 제공을 요구하는 경우, 그 법적 근거와 선택 여부를 명확히 요청할 수 있으며 불합리한 정보 요구(예: 성적 지향, 출산 계획 등)는 거부 가능하며, 이를 이유로 불이익을 줄 경우 차별로 간주될 수 있다.
개인정보 삭제 요청권: 채용 결과와 무관하게 언제든지 자신의 이력서 및 관련 자료의 삭제를 요청할 수 있으며, 기업은 이에 대해 즉시 조치할 의무가 있다.
채용담당자가 주의할 점
정보제공의무 이행 (GDPR Art. 13): 이력서 수신 시점 또는 통상 1개월 이내에 수집 목적, 수신자, 보관 기간, 정보주체의 권리, 연락처 등 사항을 제공해야 함. 통상 지원 완료 후 확인 메일 또는 채용 공고에 링크된 개인정보 안내문을 통해 안내됩니다.
민감정보의 수집 제한: 사진, 장애, 건강, 종교 정보 등은 반드시 명시적 동의가 있는 경우에만 수집 가능하며 동의는 특정 목적에 한정되며, 언제든지 철회될 수 있어야 함.
보관 기간 설정 및 삭제: 불합격자의 경우, 이력서는 차별금지법(AGG) 대응을 위한 최소 기간(6개월) 이후 삭제해야 하며 Talent Pool 등 장기 보관의 경우, 자발적이고 명확한 동의를 받아야 하며, 이 또한 삭제 요청이 있으면 즉시 조치해야 함.
통계 목적 보관의 조건: “통계 목적”만으로 이력서 전체를 보관하는 것은 허용되지 않으며 이 경우 익명화 또는 가명화 방법으로 재식별이 불가능해야 함.
독일에서는 법적으로 생년월일, 출생지, 성별, 국적 등 민감정보의 수집을 지양해야 하지만, 전통적인 관행과 행정적 이유로 여전히 많은 회사들이 이를 요구하는 경우가 많습니다. 이러한 요구는 법적•윤리적으로 권장되지 않으며, 현대 인사 트렌드에서는 점차 익명화 된 이력서와 정보 최소화 원칙이 확산되고 있습니다. 앞으로는 개인정보 보호와 차별 금지 강화에 따라 이러한 관행도 점점 줄어들 전망이며 기업은 이에 맞는 시스템 개편이 필요합니다.
지원자의 온라인 정보 조회(Background check)
채용 과정에서 인터넷 검색 및 소셜미디어를 통한 후보자 정보 조회(Background Check)는 점점 일반화되고 있지만, 이는 GDPR 및 독일 BDSG(연방 데이터보호법)의 엄격한 규제를 받는다. 개인정보 보호 원칙을 침해하지 않으면서 정당한 채용 평가 도구로 활용되기 위해서는 다음과 같은 사항을 반드시 준수해야 한다.
조회 가능한 정보와 출처 구분:
– LinkedIn, Xing과 같은 업무용 플랫폼은 제한적으로 활용 가능하나, 정보의 공개 목적이 ‘업무용’임이 명확해야 한다.
– Facebook, Instagram, TikTok 등 개인용 SNS는 원칙적 조회 금지.
– 트위터(현 X)와 같은 혼용 플랫폼은 정보 공유 목적에 따라 신중히 판단해야 하며, 업무와 무관한 정보는 활용 불가.
법적 요건과 정보 주체의 권리:
– 모든 백그라운드 체크는 ‘명시적이고 자발적인 동의’가 있어야 하며, 동의는 특정 목적과 범위에 한정되어야 함.
– GDPR 제13조 및 제14조에 따라 정보 제공 및 열람 권리가 보장되어야 함.
교포신문사는 독일에 진출한 기업과 재독 한인들을 대상으로 이충수 개인정보 보호책임자의 개인정보 보호 관련 상식을 격주로 연재한다. 이충수 개인정보 보호책임자는 다년간 국내 기업에서 개인정보 보호책임자(DPO/Datenschutzbeauftragter)로서 근무하였으며, 현재 교포신문의 개인정보 보호책임을 맡고 있다. lee@mygood.company
1423호 16면, 2025년 8월 15일