‘동의’는 개인정보처리자가 개인정보를 수집ᆞ이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시로서(서명날인, 구두, 홈페이지 동의 등) 동의 여부를 명확하게 확인할 수 있어야 한다.
1. 각각의 동의사항 구분
동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 한다(제1항).
2. 명확하고 알기 쉽게 표기
동의를 서면으로 받을 때에는 대통령령으로 정한 중요한 내용을 명확하고 알기 쉽게 표기해야 한다. (제2항)
3. 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분
동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분하여야 한다(제3항).
개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 필수정보(정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보)와 선택정보(정보주체의 동의가 필요한 개인정보)를 구분하여야 한다.
이 경우 이것이 선택정보가 아니라 필수정보(동의 없이 처리할 수 있는 개인정보)라는 입증책임은 개인정보처리자가 부담한다. 따라서 개인정보처리자는 이것이 선택정보인지 필수정보인지 불분명하다면 선택정보라고 생각하고 동의를 받아 처리하는 것이 안전하다.
4. 홍보 또는 판매가 목적일 경우 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의 받아야 함(제4항)
개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인 정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
이와 같은 특칙은 업무위탁에 의한 개인정보 처리의 경우에도 있는데, 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 하며, 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다(제26조 제3항).
5. 선택사항의 미동의를 이유로 한 불이익 금지
선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부해서는 안 된다(제5항).
6. 만14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야 함(제6항)
개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다.
이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
7. 동의의 구체적인 방법
(1) 각각동의
① 수집ᆞ이용 동의(제15조 제1항 제1호)
② 제3자 제공 동의(제17조 제1항 제1호)
③ 국외 제3자 제공 동의(제17조 제3항)
④ 마케팅 목적 처리 동의(제22조 제3항)
⑤ 법정대리인의 동의(제22조 제5항)
(2) 별도동의
① 목적 외 이용ᆞ제공 동의(제18조 제2항 제1호)
② 개인정보를 제공받는 자의 이용·제공 제한(제19조 제1호)
③ 민감정보 처리 동의(제23조 제1항 제1호)
④ 고유식별정보 처리 동의(제24조 제1항 제1호)
(3) 동의서에 특히 명확히 표시해야 하는 항목(시행령 제17조 제2항)
① 재화나 서비스의 홍보 및 판매 권유, 기타 이와 관련된 목적으로 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
② 민감정보, 고유식별정보
③ 개인정보의 보유 및 이용 기간
④ 개인정보 제공받는 자 및 제공받는 자의 이용 목적