이번 포스팅 글은 IT업무의 아웃소싱 확대로 개인정보 처리 위·수탁 관련 이슈와 이에 대한 사회적 관심이 지속적으로
증가함에 따라 개인정보 처리를 위·수탁 시 필요한 단계 별 조치사항 작성한다.
#개인정보 처리 위·수탁이란?
개인정보의 ‘처리위탁’은 본래의 개인정보 수집, 이용 목적과 관련된 위탁자 본인의 업무처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다.
※ 위탁과 제3자 제공의 구분
위탁자의 업무 처리 및 이익을 위한 개인정보 처리인 경우에 위탁으로 구분하며 제 3자의 업무 처리와 이익이 목적인 경우 제 3자 제공으로 구분한다.
업무위탁 과 제3자 제공 구분 방법
|
관련조항
|
개인정보 보호법 제 26조 | 개인정보 보호법 제 17조 |
|
예시
|
콜센터 업무 운영 위탁 등 | 사업제휴, 개인정보 판매 등 |
|
이전목적
|
위탁자 이익을 위해 처리 | 제3자의 이익을 위해 처리 |
|
이전방법
|
원칙 : 위탁사실 공개 예외 : 위탁사실 고지(마케팅 위탁) |
원칙 : 제공목적 등 고지 후 정보 주체 동의 획득 |
|
관리/감독 의무
|
위탁자 | 제공받는 자(제3자) |
|
손해배상책임
|
위탁자 및 수탁자 부담 | 제공받는 자 부담 |
# 개인정보 처리 위·수탁 전 조치 사항
위탁자는 개인정보 처리 위탁 시 단계 별로 검토를 진행 후에 최종적으로 위·수탁 문서(위탁계약)를 통해 개인정보 보호 활동을 지속적으로 수행한다.
※ 개인정보보호법 제 26조 제1항에 의거하여 위·수탁 시 반드시 문서에 의하여 체결되어야 함
# 개인정보 처리 위·수탁 업무 수행 중 조치 사항
위탁자 업무 수행 및 조치사항
1) 위탁에 관한 사항을 정보주체에게 알릴 의무
- 개인정보 보호법 제26조 제2항 및 제 3항에 의해 위탁자는 위탁업무의 내용과 수탁자를 인터넷 홈페이지를 통해 개인정보 처리방침 내 지속적으로 게재하여야 한다.
2) 수탁자에 대한 교육 및 감독 의무
- 개인정보 보호법 제 26조 제4항에 의해 위탁자는 수탁자에 대하여 개인정보 보호 교육을 실시하여야 한다.
- 개인정보 제26조 제1항 각호 사항 및 제29조 안전조치의무를 준수하는지 여부 등을 감독하여야 한다.
3) 위탁자의 법적 책임
- 행정 책임 : 위탁자는 수탁자가 법령을 위반한 경우에도 법 제61조, 제63조, 제64조에 의하여 개선권고 등 행정기관의 감독을 받으며 법 75조에 의하여 과태료 처분을 받을 수 있다.
- 민사 책임 : 위탁자는 법 제26조 제6항에 의하여 수탁자의 위법한 행위로 인해 정보주체에게 손해가 발생할 경우 배상을 책임져야 한다.
수탁자
1) 개인정보보호법 제25조 제7항의 의무이행
※ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다.
수탁자의 의무 주요 내용 요약
|
개인정보 수집 및 제공
(제 15조 ~ 제 19조) |
수탁자는 개인정보 수집 및 이용 시 위·수탁 문서 상 명시된 개인정보 처리 목적 범위 내 이용할 수 있으며 위탁자 혹은 정보주체로부터 최소한의 개인정보만 수집하며 업무 목적 범위를 초과하여 개인정보를 이용하거나 제 3자에게 제공할 수 없다. |
|
정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
(제 20조) |
수탁자는 정보주체의 요구가 있으면 개인정보의 수집 출처 및 처리 목적 및 정지 요구권이 있다는 사실을 정보 주체에게 알려야 한다. |
|
개인정보의 파기
(제 20조) |
수탁자는 개인정보 보유기간 경과되거나 개인정보 처리목적 달성하는 경우 지체없이 개인정보를 파기해야한다. |
|
개인정보 처리 제한
(제 23조 ~ 제25조) |
수탁자는 법령에 특별 규정이 없는 한 민감 정보와 고유 식별 정보(주민번호 등)는 처리할 수 없으며, 영상 정보처리기기 또한 특별한 사유가 없는 한 설치할 수 없다. |
|
정보주체의 권리 행사 보장
(제 35조 ~ 제37조) |
정보 주체는 수탁자에게 개인정보의 열람, 정정/삭제, 처리정지를 요청할 수 있으며 수탁자는 특별한 사정이 없는 한 이에 응해야 한다. |
2) 개인정보의 안전성 확보조치 의무이행
※ 수탁자는 개인정보보호법 제29조의 안전조치 의무가 적용되어 개인정보 보호를 위한 물리적/기술적 조치를 하여야 한다.
개인정보의 안전성 확보조치
① 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
② 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
③ 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
④ 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
⑤ 개인정보에 대한 보안프로그램의 설치 및 갱신
⑥ 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
수탁자는 법령 위반이 있는 경우 개인정보 보호위원회의 자료제출 요구 및 검사(제63조), 시정조치 등 명령(제64조)에 응하여야 한다.
3) 위탁자의 법적 책임
- 수탁자는 법령 위반이 있는 경우 징역 또는 벌금(제70조부터 제73조까지), 몰수추징(제74조의2) 등의 행사책임을 부담할 수 있다.
- 수탁자는 법 위반으로 사유로 정보주체에게 손해를 입힌 경우 손해배상을 책임질 수 있다.(민법 제750조)
# 개인정보 처리 재위탁시 준수사항
1) 위탁자 조치 사항
- 위탁자는 법 제26조 제4항에 의하여 재수탁자를 교육하고 개인정보 처리 현황을 감독할 의무가 있다.
- 위탁자는 법 제26조 제2항에 의하여 재위탁하는 업무의 내용과 재수탁자를 정보주체가 언제든지 쉽게 확일할 수 있도록 공개하여야 한다.
2) 수탁자 조치사항
- 개인정보 처리를 재위탁하는 경우 수탁자는 재위탁 사실을 위탁자에게 사전에 알리고 동의를 받아야 한다.
- 수탁자는 재수탁자와의 관계에서 민법 제756조의 사용자 책임을 부담하게 되므로 재수탁자에 대한 관리/감독 의무가 있다.
참고 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7040
'개인정보보호' 카테고리의 다른 글
| [개인정보] 가명정보 처리방안 (0) | 2022.01.04 |
|---|---|
| [데이터 3법 : 개인정보보호법] OECD 프라이버시 보호 8원칙 - 5 (0) | 2021.06.23 |
| [데이터 3법 : 개인정보보호법] 국가 등의 책무 및 다른 법률과의 관계 - 4 (0) | 2021.06.09 |
| [데이터 3법 : 개인정보보호법] 정보주체의 권리 - 3 (0) | 2021.06.09 |
| [데이터 3법 : 개인정보보호법] 개인정보 보호 원칙 - 2 (0) | 2021.06.09 |
