6.개인정보 취급업무 위탁시 보호조치
| ■■■ 개인정보보호법 ■■■ 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다.)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다.)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. ⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. ⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. ⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다. |
| ■■■ 개인정보보호법 표준지침 ■■■ 제19조(수탁자의 선정 시 고려사항) ① 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다.)가 개인정보 처리 업무를 위탁받아 처리하는자(이하 “수탁자”라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다. ② 개인정보처리자가 개인정보의 처리 업무를 위탁하는 때에는 수탁자의 처리업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 마련하여야 한다. 제20조(개인정보 보호 조치의무) 수탁자는 위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적조치를 한다. 제21조(정보주체와 재위탁의 관계) ① 정보주체는 수탁자로부터 개인정보 처리업무를 재위탁 받아 처리하는 자(이하 “재수탁자”라 한다.)가 재위탁 받은 개인정보 처리 업무를 수행하면서 발생하는 손해에 대한 배상을 청구할 수 있다. ② 개인정보 처리 업무의 재위탁에 대해서는 법 제26조를 준용한다. |
| ■■■ 정보통신망법 ■■■ 제25조(개인정보의 취급위탁) ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집·보관·처리·이용·제공·관리·파기 등(이하 "취급"이라 한다.)을 할 수 있도록 업무를 위탁(이하 "개인정보 취급위탁"이라 한다.)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보 취급위탁을 받는 자(이하 "수탁자"라 한다.) 2. 개인정보 취급위탁을 하는 업무의 내용 ② 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 취급위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. ③ 정보통신서비스 제공자등은 개인정보 취급위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 취급할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 취급하여서는 아니 된다. ④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리·감독하여야 한다. ⑤ 수탁자가 개인정보 취급위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다. |
| 벌칙 규정 | 벌칙 |
| 개인정보의 목적 외 이용·제공 | 5년 이하의 징역 또는 5천만원 이하의 벌금 |
| 업무 위탁에 따른 개인정보 제공을 알리지 아니한 경우 | 3천만원 이하의 과태료 |
| 업무위탁 시 공개의무 위반 | 1천만원 이하의 과태료 |
○ (개인정보취급 위탁) 개인정보 수집·보관·처리·이용·제공·관리·파기 등의 취급 업무를 제3자에게 위탁하는 경우 이용자의 동의를 얻어야 한다. 이는 제3자의 지위에 있는 자에게 개인정보 취급업무를 위탁함으로써 이용자 정보에 대한 일정한 권한을 부여함에 따라 이용자의 자기정보결정권의 행사를 위해 필요한 조치이다.
○ (알려야 하는 사항) 개인정보취급 위탁시 개인정보취급을 위탁받는 자, 개인정보취급 위탁을 하는 업무의 내용을 이용자에게 알리고 동의를 얻어야 한다.
① 개인정보취급을 위탁받는자: 예) 업무를 위탁받는 업체 등의 구체적인 명칭
② 개인정보취급위탁을 하는 업무의 내용: 예) 신상품 홍보를 위한 SMS 발송 등 텔레마케팅, DM 발송, 고객정보DB시스템 운영, 고객 불만 접수 등
※ 수탁받는 자의 수를 모두 열거하여 동의를 받기 어려운 경우(예를 들어, 전국적으로 분포되어 있는 여행사 대리점 혹은 항공사 대리점 등) 대표업체명과 업체수만을 기재하고 홈페이지 개인정보취급방침 등을 통해 상세한 내역을 열거하고 이용자가 언제든지 확인할 수 있도록 조치할 수 있다. 이 경우 홈페이지 주소를 동의문에 안내하는 것이 바람직하다.
| ■■■ 개인정보취급업무 위탁시 동의를 얻어야 하는 사례 ■■■ ▶ 백화점 등이 수집한 개인정보를 활용하여 멤버쉽 가입 권유나 할인행사 소개 등의 텔레마케팅을 외부업체에 위탁을 주는 경우 ▶ 고객만족도 조사를 위해 리서치 업체에 고객 정보 제공하는 경우 ▶ 일시적인 이벤트 혹은 경품 행사 운영을 홍보 대행사에 아웃소싱하는 경우 |
■■■ 개인정보취급업무 위탁에 대한 동의 획득 예시 ■■■
| <알아두기> 공정거래위원회는 ‘원활한 서비스’ 또는 ‘보다 활성화하고 최적화된 서비스’ 등을 제공하기 위하여 고객에 대한 단순한 고지만으로도 고객정보를 제3자에게 제공할 수 있도록 규정한 5개 주요통신사업자의 인터넷 등 이용약관을 수정하도록 결정하였다. 이는 결재·배송 등 계약이행을 위해 필요한 경우 이외에는 개인정보 취급위탁시 고객에게 알려 동의를 받아야 하는 정보통신망법의 규정에 반할뿐 만 아니라 개인정보 제공 사유를 추상적이고 불명확하게 규정하는 것은 부당하게 개인정보 이용범위를 확대하는 것이므로 고객에게 부당하게 불리하다고 판단하였다. (2008.12) |
○ (서비스 제공에 필요한 개인정보취급 업무위탁) 이용자와 계약을 맺은 주된 서비스 제공을 위해 불가피하게 발생하는 업무를 위탁하는 경우, 위탁업무의 내용 및 수탁자를 이용자가 알 수 있도록 개인정보취급방침에 공개하거나 전자우편·서면·모사전송·전화 또는 이와 유사한 방법에 따라 이용자에게 통지하는 것으로 동의를 얻은 것으로 갈음할 수 있다.
| ■■■ 서비스 제공에 필요한 개인정보취급 업무위탁 예시 ■■■ ▶ 자동차 매매업자가 자동차 정비 전문업체에 매매한 차량의 A/S 업무를 위탁 ▶ 할인마트의 경우 이용자와 계약을 맺은 물품 판매 서비스를 완료하기 위해 불가피하게 발생하는 배송 업체에 대해 물품 배송 업무 위탁 ▶ 고객이 작성한 가입신청서의 전산 입력을 외부 업체에 아웃소싱 ▶ 고객 정보 취급을 위한 전산 시스템 구축 운영을 SI업체에 아웃소싱 ▶ 요금 고지서 및 DM 우편 발송의 아웃소싱 ▶ 연체 요금 정산을 위해 신용정보회사에 채권 추심 업무 위탁 ▶ 고객의 불만 처리 접수 등을 위해 고객센터를 외부 업체에 위탁 |
○ (수탁자에 대한 책임) 사업자는 수탁자가 개인정보 관련 규정을 위반하지 아니하도록 관리·감독할 책임을 규정하고 있으므로 업무위탁 계약서상 취급 목적 등 수탁자가 행할 수 있는 개인정보 취급업무의 범위를 구체적으로 적시하고, 위탁업무와 관련하여 수탁자가 부여받은 업무범위를 벗어난 행위를 하지 않도록 수시로 관리·감독을 할 필요성이 있다.
※ 예를 들어, 전문 텔레마케팅업체에 신상품 홍보 등의 업무를 위탁시 해당 업체가 여러 다른 회사의 텔레마케팅 업무를 함께 수행할 수도 있으므로 자사 이용자의 정보를 다른 회사의 텔레마케팅 업무에 이용하지 못하도록 관리·감독이 필요
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보 생명주기 관리 - 영업의 양수·양도시 개인정보 이전 (0) | 2022.06.12 |
|---|---|
| 개인정보 생명주기 관리 - 개인정보 수집·이용·제공 등의 동의획득 방법 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 개인정보 제3자 제공시 동의획득 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 개인정보 수집·이용 목적외 이용금지 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 과도한 개인정보 수집제한 (0) | 2022.06.12 |