이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
병가를 낸다는 것의 의미
직원이 병가를 신청하는 순간, 회사는 GDPR에서 가장 민감하게 다루는 영역인 건강정보와 마주하게 된다. 많은 기업들이 병가를 단순한 근태 관리의 일부로 생각하면서 “어느 정도는 사정을 알아야 배려할 수 있지 않겠느냐”고 말한다. 하지만 독일 노동법과 개인정보보호법이 제시하는 기준은 명확하다. 병가는 관리할 수 있지만, 일반적인 병가 관리에서 건강정보까지 관리 대상은 아니기에 회사는 이를 알 필요가 없다.
직원이 알려야 할 것은 생각보다 적다
독일에서 병가 신청 시 직원이 회사에 알려야 할 의무는 매우 제한적이다. 근무가 불가능하다는 사실과 예상 결근 기간, 이 두 가지면 충분하다. 병명이나 증상, 치료 과정, 질병의 원인을 설명할 의무는 없다. 이런 정보들은 개인의 사적 영역에 속하며, GDPR에서 특별범주 개인정보로 분류하는 건강정보에 해당한다. 업무 운영을 위해 필요한 정보와 개인의 건강 상태 보호 사이에서, 법은 후자를 우선한다.
진단서(AU)의 의미
AU는 근로자가 실제로 근무할 수 없는 상태임을 증명하는 문서일 뿐, 질병의 내용을 설명하기 위한 문서가 아니다. 그래서 AU에는 병명이 기재되지 않으며, 기재되어서도 안 된다.
만약 직원이 실수로 병명이 포함된 본인 보관용 AU를 제출했다면 어떻게 해야 할까. 중요한 것은 회사의 대응이다. 해당 문서를 즉시 삭제하고 접근을 차단하며, 병명 정보를 기록이나 판단에 활용하지 않는다면 GDPR 위반으로 이어지지 않을 수 있다. 하지만 그대로 보관하거나 공유한다면 명백한 문제가 된다.
또한 이런 상황은 단순히 “잘못 왔으니 버린다”에서 끝날 문제가 아니다. 내부적으로는 보안사고•데이터 침해 가능성이 있는 사건으로 평가해야 할 수 있어야 한다. 내부 Incident 또는 Datenpanne 절차에 따라 사건을 기록•평가하고, 유출 범위•리스크를 검토한 뒤, 필요하다면 감독기관 통지 및 정보주체 통지 의무가 발생하는지까지 검토하는 것이 GDPR 관점에서 요구되는 안전한 접근이다.
무심코 던진 질문이 위반이 되는 이유
병가 상황에서 가장 흔히 발생하는 문제는 바로 질문이다. “어디가 안 좋으세요?”, “스트레스 때문이죠?”, “그 병이면 오래 걸리겠네요” 같은 말들은 일상적인 관심처럼 들린다. 그러나 개인정보보호 관점에서 이런 질문은 단순한 대화가 아니라 건강정보의 수집이다.
특히 상사나 HR 담당자와 직원 사이에는 구조적인 권력 관계가 존재하기 때문에, 직원이 답했다고 해서 자유로운 동의가 있었다고 보기 어렵다. 회사는 이런 질문을 할 권리가 없고, 직원 역시 답해야 할 의무가 없다. 선의로 던진 말 한마디가 위반의 시작점이 될 수 있다.
병문안, 배려일까 압박일까
회사 사람이 병가 중인 직원을 직접 방문하는 병문안은 흔히 인간적인 조직 문화로 여겨진다. 하지만 실제로는 거절하기 어려운 상황을 만들고, 건강 상태에 대한 추론을 유도하며, 복귀 압박으로 받아들여질 가능성이 크다. 특히 상사나 HR 담당자의 방문은 비공식적인 상태 점검으로 해석될 수 있다.
개인정보보호와 노동법 관점에서 가장 안전한 선택은 회사 차원의 병문안을 하지 않는 것이다. 카드나 메시지처럼 답변을 요구하지 않는 방식이 허용 가능한 최소한의 배려에 해당한다.
예외가 인정되는 경우는 언제인가
그렇다면 질병 사유가 공개되는 예외는 전혀 없을까. 전염병처럼 동료나 제3자의 안전에 직접적인 위험이 있는 경우에는 예외가 인정될 수 있다. 하지만 이 경우에도 구체적 병명보다는 감염 위험 여부나 업무 수행 가능성에 대한 결론만 공유되어야 한다.
산업안전, 산재, 임신 보호, 중증장애 보호, 동일 질병 여부 판단, 직장 복귀 지원 절차 같은 상황에서도 기준은 동일하다. 회사가 알 수 있는 것은 언제나 질병의 이유가 아니라, 업무상 필요한 결과에 한정된다.
“OO는 아프다”는 말도 개인정보다
최근 판례는 이 원칙을 더욱 명확히 보여준다. 한 조직의 대표가 “직원이 장기간 병가 중”이라는 사실을 여러 사람에게 알린 사건에서, 법원은 병명조차 언급되지 않았음에도 건강정보 공개에 해당한다고 판단했다. 누군가가 아프다는 사실 자체가 이미 개인정보이며, 근거 없는 공개는 손해배상 책임으로 이어질 수 있다는 것이다. 이 판결은 병가 관련 정보가 얼마나 좁은 범위에서만 공유되어야 하는지를 분명히 보여준다.
H&M 사건이 말하는 것
이런 흐름을 상징적으로 보여주는 사례가 H&M 사건이다. 병가 후 복귀한 직원들과의 면담 과정에서 병명, 치료 과정, 개인적 문제를 상세히 기록하고 내부 시스템에 저장한 사실이 드러났다. 회사는 직원 배려를 위한 조치라고 주장했지만, 감독기관은 받아들이지 않았다.
배려는 건강정보 처리의 법적 근거가 될 수 없으며, 목적과 최소화 원칙을 위반한 정보 처리는 명백한 GDPR 위반이라는 판단이었다. 그 결과 H&M은 수천만 유로의 과징금을 부과받았다.
여러 판례에서 확인되는 원칙
노동법원 판결과 감독기관 결정들이 반복해서 강조하는 메시지는 일관된다. 병명은 사생활의 핵심 영역에 속하며, AU는 근무 불능을 증명하는 데 충분한 자료다. 그리고 회사의 관리 권한이 건강정보에 대한 접근 권한을 의미하지는 않는다.
관행이나 조직 문화, 선의는 법적 면책 사유가 되지 않는다. 오히려 그런 이유로 건강정보를 더 많이 수집하고 공유할수록 회사의 책임은 커진다.
회사가 알아야 할 것은 최소한이다
일상적인 병가 상황에서 회사가 실제로 알아야 할 정보는 매우 제한적이다. 직원이 현재 근무가 가능한지, 그리고 언제까지 근무가 어려운지에 대한 정보만으로도 근태 관리와 업무 계획에는 대부분 충분하다.
그 밖의 병명, 구체적인 증상, 치료 내용, 질병의 원인 등은 사생활과 건강정보의 영역에 속하며, 원칙적으로 회사의 관리 대상이 아니다. 물론 산재, 중증장애 보호, BEM, 감염 위험 등 특정한 예외 상황에서는 업무상 필요 범위 내에서 추가 정보가 필요할 수 있다. 하지만 이 역시 최소한의 정보에 그쳐야 한다.
궁극적으로는 “알 필요가 없는 정보는 묻지도, 기록하지도, 기억하지 않는 것”이 가장 안전한 선택일 것이다.
1441호 18면, 2026년 1월 9일