[ISMS-P] 개인정보 처리 단계별 요구사항 (3.3 개인정보 제공 시 보호조치)

#개인정보 처리 단계별 요구사항 기준

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

인증기준 : 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립/이행하여야 한다.

 

확인사항

- 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?

- 개인정보의 제3자 제공 동의는 수집/이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?

- 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?

- 개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통하여 제공하고 제공내역을 기록하여 보관하고 있는가?

- 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?

 

관련법규

- 개인정보 보호법 제17조(개인정보의 제공), 제22조(동의를 받는 방법)

 

증거자료

- 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인저보 제3자 제공 동의 화면 등)

- 오프라인 개인정보 제3자 제공 관련 양식(회원가입 신청서, 개인정보 제3자 제공 동의서 등)

- 제3자 제공 내역

- 개인정보 처리방침

 

결함사례

1) 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우

2) 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우

3) 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고, '~등'과 같이 포괄적으로 안내하고 동의를 받은 경우

4) 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우

5) 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

---

3.3.2 업무 위탁에 따른 정보주체 고지

인증기준 : 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 정보주체(이용자)에게 알려야 하며, 필요한 경우 동의를 받아야 한다.

 

확인사항

- 개인정보 처리업무를 제3자에게 위탁하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?

- 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가?

 

관련법규

- 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

 

증거자료

- 개인정보 처리방침(개인정보 처리업무 위탁 관련 공개 내역)

- 개인정보 수집 양식

- 개인정보 처리위탁 계약서

- 재화 또는 서비스 홍보, 판매, 권유 업무 위탁 관련 정보주체 통지 내역

 

결함사례

1) 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나, 일부 수탁사와 위탁하는 업무의 내용이 누락된 경우

2) 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하면서, 위탁하는 업무의 내용과 수탁자를 서면 등의 방법으로 정보주체에게 알리지 않고 개인정보 처리방침에 공개하는 것으로 갈음한 경우

3) 기존 개인정보 처리업무 수탁사와의 계약 해지에 따라 개인정보 처리업무 수탁사가 변경되었으나, 이에 대하여 개인정보 처리방침 지체 없이 반영하지 않은 경우

---

3.3.3 영업의 양수 등에 따른 개인정보의 이전

인증기준 : 영업의 양도, 합병 등으로 개읹어보를 이전하거나 이전받는 경우 정보주체(이용자) 통지 등 적절한 보호조치를 수립/이행하여야 한다.

 

확인사항

- 영업의 전부 또는 일부의 양도, 합병 등으로 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체(이용자)에게 알리고 있는가?
- 영업양수자 등은 법적 통지 요건에 해당될 경우 개인정보를 이전받은 사실을 정보주체(이용자)에게 지체 없이 알리고 있는가?
- 개인정보를 이전받는 자는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공하고 있는가?

 

관련법규

- 개인정보 보호법 제27조(영업양도 등에 따른 개인정보의 이전 제한)

 

증거자료

- 개인정보 이전 관련 정보주체(이용자) 고지 내역(영업 양수도 시)

- 개인정보 처리방침

 

결함사례

1) 개인정보처리자가 영업 양수를 통하여 개인정보를 이전받으면서 양도자가 개인정보 이전 사실을 알리지 않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우

2) 영업 양수도 등에 의하여 개인정보를 이전받으면서 정보주체(이용자)가 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체(이용자)에게 알리지 않은 경우

---

3.3.4 개인정보의 국외 이전

인증기준 : 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립/이행하여야 한다.

 

확인사항

- 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?

- 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?

- 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?

- 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하고 있는가?

 

관련 법규

- 개인정보 보호법 제17조(개인정보의 제공), 제39조의12(국외 이전 개인정보의 보호)

 

증거자료

- 개인정보 국외 이전 관련 동의 양식

- 개인정보 국외 이전 관련 계약서

- 개인정보 처리방침

 

결함사례

1) 개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나 개인 정보 국외 이전에 대한 동의를 받지 않은 경우

2) 정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우

3) 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우