진단서 냈더니 병원에 뒷조사? ‘묻는 건 죄가 아니다?’

회사에 병가를 신청하며 진단서를 냈더니, 인사팀이 병원에 직접 연락해 내 병명과 치료 내용을 캐물었다면?

이는 직원의 민감한 개인정보를 침해하는 행위지만, 법적 책임을 누가 지는지를 두고는 전문가들 사이에서도 의견이 미묘하게 갈린다.

병원이 정보를 넘겨준 것은 명백한 불법이라는 데는 이견이 없지만, 단순히 ‘물어본’ 회사의 행위까지 처벌할 수 있는지를 두고는 법률 해석이 엇갈리고 있어 논란이 예상된다.

답변한 병원은 명백한 불법…“의료법 위반” 한목소리

법률 전문가들은 직원의 동의 없이 회사에 의료 정보를 넘겨준 병원의 행위는 명백한 불법이라고 입을 모은다. 개인의 건강 정보는 개인정보보호법상 가장 민감하게 다뤄져야 할 ‘민감정보’이며, 의료법은 이를 제3자에게 누설하는 것을 엄격히 금지하고 있기 때문이다.

한 변호사는 “병원이 직원의 동의 없이 회사에 의료 정보를 제공했다면 이는 개인정보 보호법 위반에 해당된다”며 “따라서, 내담자의 동의 없이 병원 진료 기록 등을 열람한 인사 담당 직원과 해당 병원에 대해 법적 조치를 원할 경우, 변호사의 조력을 받아 사건을 진행하시길 권해드린다”고 조언했다.

박성현 변호사 역시 “병원 관계자가 동의 없이 민감정보를 제공하는 경우, 의료법과 개인정보보호법 위반에 해당하며 법적 책임을 질 수 있다”고 못 박았다. 실제로 개인정보보호법은 민감정보를 부당하게 처리한 자에 대해 ‘5년 이하의 징역 또는 5천만원 이하의 벌금’이라는 무거운 처벌을 규정하고 있다.

‘묻는 행위’는 죄가 아닐까?…엇갈린 법률가들 시선

문제는 ‘정보를 물어본’ 회사 측의 책임 소재다. 이 지점에서 법률 전문가들의 의견이 갈린다.

일부 변호사들은 질문 자체를 처벌하기는 어렵다는 신중한 입장을 보인다. 조기현 변호사는 “회사 인사 담당자가 진단서를 발급한 병원에 연락하여 질문자의 진단서 발급 경위와 병명, 증세, 치료 내역 등을 물어본다고 하더라도 인사 담당자에게 민사 책임을 물을 수 있는지 여부는 별론으로 하고 개인정보보호법 위반이나 의료법 위반의 책임을 물을 수는 없습니다”라고 했다.

“그러나 병원 관계자가 이에 대한 세부적인 답변을 할 경우 병원 관계자는 개인정보보호법 위반 및 의료법 위반이 된다”고 그는 덧붙였다. 질문 행위와 답변 행위의 법적 책임을 분리해서 본 것이다.

김경수 변호사도 “회사가 병원에 의뢰인에 대해 물어볼 수는 있지만 병원에서는 그에 대해 답을 해서는 안 됩니다”라며 “만약 그에 대해 답을 하고 관련 정보를 제공하였다면 이는 회사의 문제라기보다는 병원의 문제일 것으로 보이며 개인정보보호법 혹은 의료법 위반의 소지가 있습니다”라고 분석했다.

반면, 묻는 행위 자체도 위법 소지가 있다는 의견도 만만치 않다. 박영재 변호사는 “회사가 직원의 진단서를 제출받은 후, 해당 진단서에 포함된 개인정보를 병원에 직접 문의하여 확인하는 행위는 개인정보 보호법에 위반될 가능성이 있다”고 지적했다.

김경태 변호사 역시 “회사가 진료 받은 병원에 직접 연락하여 진단서 발급 경위나 구체적인 의료정보를 요구하는 행위는, 정보주체인 직원의 명시적 동의 없이는 할 수 없다”고 강조해, 질문 행위 자체의 부당함을 분명히 했다.

내 정보 침해당했다면…“신고하고 증거 남겨야”

그렇다면 직원은 어떻게 대응해야 할까? 전문가들은 부당한 정보 조회가 있었다면 즉시 행동에 나서야 한다고 조언한다. 김경태 변호사는 “이러한 행위가 발생한 경우, 개인정보침해 신고센터나 개인정보보호위원회에 신고하실 수 있으며, 관련 자료와 증거를 수집해두시면 도움이 된다”고 구체적인 대응법을 제시했다.

고용주의 인사권이 근로자의 기본권인 개인정보자기결정권을 침해할 수는 없다는 것이 법의 기본 원칙이다. 회사가 업무상 확인이 필요하다면 직원에게 직접 명시적인 동의를 얻어 최소한의 정보만 확인하는 것이 적법한 절차다. 이를 어기고 병원에 뒷조사를 하는 행위는 법적 분쟁으로 번질 수 있음을 명심해야 한다.