개인정보의 제3자 제공은 개인정보보호법 제17조에 따라 정보주체의 동의를 받은 경우나 수집한 목적 범위에서 제공하는 경우에만 가능합니다. 이에 반하여 개인정보의 처리 업무위탁은 제26조에 따라 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)를 정보주체가 언제든지 쉽게 확인할 수 있도록 홈페이지 등에 공개하면 족합니다. 여기서 개인정보의 처리는 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말합니다.
개인정보와 관련된 개인정보의 ‘제3자 제공’은 제공받는 자의 사업목적을 위하여 개인정보가 제공되는 경우로, 제25조에서 말하는 개인정보의 ‘업무 위탁’은 제공하는 자의 사업목적을 위하여 개인정보를 이전하여 사무처리를 위한 경우로 구별됩니다.
(1)
적법한 개인정보의 처리 업무위탁으로 인정받기 위해서는 우선 개인정보처리자(위탁자)와 수탁자 간에 다음과 같은 사항이 포함된 계약을 체결해야 합니다(법 제26조 제1항, 시행령 제28조 제1항).
1.
위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2.
개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3.
위탁업무의 목적 및 범위
4.
재위탁 제한에 관한 사항
5.
개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
6.
위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
7.
법 제26조제2항에 따른 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
(2)
그리고, 개인정보의 처리 업무를 위탁하는 개인정보처리자는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)를 정보주체가 언제든지 쉽게 확인할 수 있도록 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법에 따라 공개하여야 합니다(법 제26조 제2항, 시행령 제28조 제2항).
다만, 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다(법 제26조 제3항, 시행령 제28조 제4항).
(3)
또한, 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 법 또는 시행령에 따라 개인정보처리자가 준수하여야 할 사항과 법 제26조 제1항 각 호의 사항을 준수하는지 등과 같이 개인정보를 안전하게 처리하는지를 감독하여야 합니다(법 제26조 제4항, 시행령 제28조 제6항).
[위수탁 업무 사례]
정회목 변호사
댓글 없음:
댓글 쓰기