개인정보 처리 위탁/수탁 이슈 (1)
사례로 알아보는 개인정보 처리 방침
안녕하세요 코마입니다. 오늘은 개인정보 처리 시 위탁/수탁 이슈에 대해서 알아보도록 하겠습니다. 😺
개요
많은 개인정보 담당자들이 아웃소싱으로 인한 개인정보 위수탁으로 인해 골머리를 앓고 있습니다. 이에, 저 코마는 여러분의 생각을 환기 시킬겸 개인정보 위수탁 처리 관련된 대표적인 이슈를 사례 기반으로 소개해 드릴려고 합니다.
개인정보 위탁이란
우선, 개인정보 위탁에 대해서 알아볼 필요가 있습니다.
개인정보 처리 위탁이란? 계약의 형태와 종류를 불문하고 사업자가 개인정보 취급(수집, 보관, 처리, 이용, 제공, 관리, 파기 등)의 전부 또는 일부를 대신하는 내용을 계약 일체에 포함하는 것을 말합니다.
이때, 수탁사란 업무상 제휴를 맺고 있는 업체를 말합니다.
핸드폰 판매를 예로 들어볼까요?
- S 통신사는 핸드폰 판매를 위해 A 대리점에 영업 업무를 위탁하였습니다.
- A 대리점은 수탁사에 해당하게 됩니다.
- S 통신사는 위탁사에 해당하게 됩니다.
법적 의무 발생
개인정보취급 업무에 대한 위탁계약을 하는 경우 아래와 같은 의무와 책임이 발생합니다.
- 기술적, 관리적 보호 의무
- 개인정보에 관한 비밀유지 의무
- 처리하는 개인정보의 제3자 제공 및 목적 외 이용 금지의 의무
- 개인정보 침해로 인한 손해배상 책임의 의무
- 수탁사에 대한 철저한 관리 감독을 이행해야 하는 의무
- 개인정보 처리로 인해 발생하는 손해에 대해 사용자로서의 책임
개인정보 보관 및 처리하는데 많은 법률적 책임과 의무가 따르는 것을 알 수 있습니다. 그렇다면 위의 의무 중에 제3자 제공이라는 단어가 눈에 띄는데요 타인에게 제공이라는 측면에서는 같은 개념인것 같은데 위탁과 제 3자 제공은 무슨 차이점이 있을까요?
위탁과 ‘제3자 제공’의 차이점
제3자 제공과 위탁의 구분 방법은 두가지로 보시면 됩니다.
- 실제로 처리 실익이 누구에게 있는가? (이익의 수혜자 관점)
- 업무 처리의 목적성은 무엇인가? (제공받는 자의 목적을 위해)
그렇다면 위의 두 가지 기준은 어디에서 찾을수 있을까요? 아래와 같이 행정기관에서 배포하는 가이드라인 및 판례를 살펴보면 알 수 있습니다.
- 대법원
- 판례: 대법원 2011.7.14 선고 2011도1960 판결
- 행정안전부
- 가이드: 개인정보 보호 법령 및 지침 고시 해설
- 안전행정부/금융위원회/금융감독원
- 가이드: 금융분야 개인정보보호 가이드라인
이제, 예를 들어 차이점을 알아볼까요?
쇼핑몰 A 는 고객에게 주문을 받았으며 이에, 자신의 이익을 실현하기 위해 배송업체 B 에게 주문 정보등의 개인 정보를 제공하게될 경우 이를 업무 위탁이라고 한다.
위의 예에서 쇼핑몰 A의 목적/이익을 실현하므로 배송 업체에게 제공하는 개인 정보는 업무 위탁이라고 합니다.
쇼핑몰 A 는 쇼핑몰 B 와 제휴관계를 맺고 있으며 쇼핑몰 B 사의 판촉 및 이벤트를 위해 쇼핑몰 A 이(가) 개인 정보를 제공하게 될 경우 이를 제3자 제공이라고 한다.
또한, 쇼핑몰 B의 이익/목적의 실현을 위해서 쇼핑몰 A 는 제3자 제공이라는 것을 하게됩니다.
이제, 어느정도 개념이 잡히었으니 표로 정리해 볼까요?
|구분|개인정보 취급 위탁|개인정보 제3자 제공| |:—:|:—:|:—:| |예시 |배송업무 위탁, 프로그램 개발 위탁, 본인 확인 절차 위탁 등|개인정보 판매, 개인정보 제공을 목적으로 한 이벤트 등| |처리실익|위탁사의 이익을 위해 대신 처리|제3자의 이익을 위해 처리| |이전방법|위탁사실 공개 또는 마케팅 업무위탁은 위탁사실 고지|제공목적 등 고지 후 정보주체의 동의 획득 필요| |책임소재|위탁자 책임|제공받는 자 책임|
개인정보 위·수탁 위반 사례
이번 시간에는 위·수탁 계약서 미흡만을 다루고 다음 시간에는 좀더 다양한 사례를 다루도록 하겠습니다.
위·수탁 계약서 미흡
위·수탁 문서의 경우 필수 법적 의무 사항을 빠짐없이 모두 반영해 작성해야 한다.
-
필수 법적 의무 사항이란?
- 목적 외 처리 금지
- 기술적·관리적 보호 조치 및 접근 제한 등 안전 조치
- 목적·범위, 재위탁 제한
- 관리·감독 사항
- 손해배상 등 책임에 관한 사항
-
이슈
- 위·수탁 계약서에서 법정 필수 기재사항 중 개인정보의 처리 제한 항목 누락
-
위반 사항
- 개인정보보호법 제26조 위반
-
행정 처분
- 시정 조치 + 1천만원 이하 과태료
결론
지금까지 업무위탁, 제3자 제공과의 차이점, 그리고 위·수탁 위반 사례 중 계약서 미흡을 알아보았습니다. 다음 시간에는 이어서 업무 공개, 의무 불이행 케이스를 알아보도록 하겠습니다. 지금까지 코마 였습니다.
참고
저 코마는 한편의 글을 쓸때에도 다양한 자료를 분석하고 연구합니다. 아래의 링크를 잘 갈무리하여 필요할 때 읽어보는 것을 권해드립니다.
- 위탁과 제3자 제공의 차이점
- 보안 뉴스: 개인정보 위탁의 법률관계 (1)
- 소프트캠프: 개인정보 처리 위탁이란
- 업무위탁과 제3자 제공의 차이에 대한 올바른 이해 : 김국영 컨설턴트
- 개인정보 처리 위/수탁 단골 이슈 3가지