얼굴도장 로고얼굴도장
홈블로그 목록
법률·세무

학원생 개인정보 관리, 원장님이 알아야 할 법적 의무

2026-02-25 • 학원운영연구소

학원도 개인정보 처리자입니다

학원은 학생 이름, 생년월일, 연락처, 학교, 학부모 정보, 성적 등 민감한 개인정보를 대량으로 수집·보관합니다. 「개인정보보호법」에 따라 학원도 엄연한 개인정보 처리자이며, 법에서 정한 의무를 지켜야 합니다.

2023년 개정된 개인정보보호법은 과태료 기준을 대폭 강화하여, 위반 시 최대 전체 매출의 3%까지 부과할 수 있게 되었습니다. 소규모 학원이라고 예외가 아닙니다. 관련 법령과 가이드라인은 개인정보보호위원회(pipc.go.kr)에서 확인할 수 있습니다.

학원에서 수집하는 개인정보

학원이 일반적으로 수집하는 개인정보 항목을 정리하면 다음과 같습니다.

필수 수집 항목

대상항목
학생이름, 생년월일, 학교·학년, 연락처
학부모이름, 연락처 (전화번호, 카카오톡 등)
수납계좌번호, 카드 정보 (결제 시)

선택 수집 항목

항목사유
사진출결 관리, 학생 식별
건강 정보알레르기, 특이사항
성적레벨 테스트, 학업 관리
주소셔틀 운행
핵심: 필수 항목과 선택 항목을 구분하고, 선택 항목은 동의하지 않아도 서비스 이용이 가능해야 합니다.

개인정보 수집 시 동의

동의 받아야 할 사항

개인정보를 수집할 때는 다음 사항을 정보 주체(학부모)에게 알리고 동의를 받아야 합니다.

1. 수집 목적: 어떤 목적으로 수집하는지 (예: 수업 관리, 출결 확인, 수납)

2. 수집 항목: 어떤 정보를 수집하는지

3. 보유 기간: 언제까지 보관하는지

4. 동의 거부권: 동의를 거부할 수 있으며, 거부 시 불이익이 있다면 그 내용

동의서 작성 예시

[개인정보 수집·이용 동의서]

>

○○학원(이하 '학원')은 교습 서비스 제공을 위해 아래와 같이 개인정보를 수집·이용합니다.

>

1. 수집 목적: 수업 관리, 출결 확인, 학부모 연락, 수강료 수납
2. 수집 항목 — 필수: 학생 이름, 생년월일, 학교/학년, 학부모 이름, 연락처 / 선택: 학생 사진, 건강 특이사항
3. 보유 기간: 수강 종료 후 1년
4. 동의를 거부할 수 있으며, 필수 항목 미동의 시 수강이 제한될 수 있습니다.

>

□ 필수 항목 수집·이용에 동의합니다. □ 선택 항목 수집·이용에 동의합니다.

미성년자의 경우

14세 미만 아동의 개인정보를 수집할 때는 법정대리인(학부모)의 동의가 반드시 필요합니다. 학원생 대부분이 14세 미만이므로, 입학 시 학부모 동의를 받는 것이 표준 절차입니다.

개인정보 보관 및 관리

보관 원칙

  • 최소 수집: 목적에 필요한 최소한의 정보만 수집합니다.
  • 목적 외 이용 금지: 수업 관리 목적으로 수집한 정보를 마케팅에 사용하면 안 됩니다.
  • 기간 제한: 보유 기간이 지나면 즉시 파기합니다.

    • 기술적 보호 조치

    디지털로 관리하는 경우 다음 조치가 필요합니다.

  • 비밀번호 설정: 학생 정보 파일에 비밀번호 설정
  • 접근 권한 제한: 불필요한 직원의 접근 차단
  • 백업: 데이터 유실에 대비한 정기 백업
  • 보안 업데이트: 사용하는 프로그램의 보안 업데이트 적용

    • 물리적 보호 조치

    종이 서류로 관리하는 경우:

  • 시건장치가 있는 캐비닛에 보관
  • 업무 시간 외 잠금
  • 불필요한 인원의 열람 차단

    • 개인정보 제3자 제공

    학생의 개인정보를 외부에 제공해야 하는 경우가 있습니다.

    상황제공 가능 여부조건
    학부모에게 성적 통보가능동의 범위 내
    다른 학원에 학생 정보 전달별도 동의 필요전원 시
    교육청 보고가능법적 의무
    경찰 수사 협조가능영장 또는 긴급 요청
    마케팅 업체에 연락처 제공별도 동의 필요거의 동의하지 않음
    주의: 학부모 연락처를 학원 홍보 목적으로 다른 업체에 제공하면 개인정보보호법 위반입니다.

    파기 의무

    파기 시점

    보유 기간이 경과하거나 처리 목적이 달성되면 지체 없이(5일 이내) 파기해야 합니다.

  • 퇴원 후 약정한 보유 기간(예: 1년) 경과 시
  • 학원 폐업 시

    • 파기 방법

    형태파기 방법
    종이 서류파쇄기 또는 소각
    전자 파일복원 불가능한 방법으로 삭제
    USB·하드디스크초기화 또는 물리적 파괴

    단순히 휴지통에 넣거나 파일을 삭제하는 것만으로는 완전한 파기가 아닙니다. 복원 불가능한 방법을 사용해야 합니다.

    위반 시 처벌

    개인정보보호법 위반 시 처벌 수위는 다음과 같습니다. 자세한 법적 기준은 국가법령정보센터(law.go.kr)에서 확인할 수 있습니다.

    위반 사항제재
    동의 없이 수집5천만 원 이하 과태료
    동의 없이 제3자 제공5년 이하 징역 또는 5천만 원 이하 벌금
    안전조치 미이행3천만 원 이하 과태료
    파기 의무 위반3천만 원 이하 과태료
    개인정보 유출매출의 3% 이하 과징금

    실무 체크리스트

    학원에서 바로 실천할 수 있는 개인정보 관리 체크리스트입니다.

  • [ ] 입학 시 개인정보 수집·이용 동의서를 받고 있는가?
  • [ ] 필수·선택 항목을 구분하고 있는가?
  • [ ] 14세 미만 학생은 학부모 동의를 받고 있는가?
  • [ ] 학생 정보 파일에 비밀번호가 설정되어 있는가?
  • [ ] 퇴원 학생 정보를 일정 기간 후 파기하고 있는가?
  • [ ] 개인정보 처리 방침을 비치·게시하고 있는가?
  • [ ] 강사에게 학생 정보 보호 교육을 하고 있는가?
  • [ ] 학생 정보가 포함된 서류를 시건장치 내 보관하는가?

    • 개인정보 처리 방침 비치

    1만 명 이하의 개인정보를 처리하는 소규모 사업자도 개인정보 처리 방침을 수립하고 이를 학원 내에 비치하거나 홈페이지에 게시해야 합니다.

    개인정보보호위원회에서 소규모 사업자용 처리 방침 템플릿을 제공하고 있으니, 이를 활용하면 쉽게 작성할 수 있습니다.

    마무리

    학원에서의 개인정보 관리는 복잡한 IT 보안이 아니라, 기본적인 동의 절차와 보관·파기 원칙을 지키는 것입니다. 입학 시 동의서를 꼼꼼히 받고, 퇴원 후에는 적시에 파기하며, 학생 정보에 대한 접근을 제한하는 것만으로도 대부분의 법적 의무를 충족할 수 있습니다.

    최근 개인정보 관련 민원이 증가하고 있으므로, 지금 바로 위 체크리스트를 점검해 보시기 바랍니다.

    ← 목록으로 돌아가기

    © 2026 얼굴도장. All Rights Reserved.