개인정보 처리 위수탁 전 단계에서 위탁자는 자신의 업무 중 위탁하여 수행할 업무를 선정하기 전, 개인정보 처리 위탁 시 발생할 수 있는 위험을 평가하여 업무 위탁 여부 및 범위를 결정해야 합니다. 개인정보 유출 시 위험성이 높다고 평가된 겨우 위탁 범위에 대한 재검토, 위수탁시 안전조치 강화, 감독 강화, 책임의 명확화 등의 대책을 강구해야 합니다. 위탁자는 수탁자 선정을 위하여 수탁자의 개인정보보호 역량을 종합적으로 검토해 개인정보 위험을 최소화할 수 있는 자를 선정해야 합니다. 그리고, 위탁자는 수탁자가 위수탁 업무 수행에 필요한 최소한의 개인정보를 처리하도록 하여 처리범위를 명확화 해야 합니다.
위수탁 계약 단계에서는 개인정보보호법 제26조 제1항, 시행령 제28조 제1항에 따라 위탁업무의 목적 및 범위, 위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항, 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, 개인정보의 기술적관리적 보호조치에 관한 사항, 재위탁 제한에 관한 사항, 수탁자가 준수해야할 의무를 위반한 경우 손해배상 등 책임에 관한 사항이 반드시 포함되어야 합니다.
위탁자는 위탁에 관한 사항을 정보주체에게 알려야 하는데, 위탁자의 인터넷 홈페이지에 지속적으로 게재하거나 이를 할 수 없는 경우에는 위탁자 사업장 등의 보기 쉬운 장소에 게세, 관보 등에 게시, 정보주체에 발급, 배포 등의 방법으로 공개해야 합니다. 특히, 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송, 이에 상당하는 방법으로 위탁하는 업무의 내용, 수탁자에 대하여 정보주체에게 통지해야 합니다.
위탁자는 수탁자에 대하여 개인정보의 분실, 도난, 유출, 위조, 변조, 훼손 등이 발생하지 않도록 개인정보보호 교육을 실시해야 하는데, 교육의 방법 및 횟수 등은 수탁자의 개인정보보호 역량, 위수탁 업무의 성격, 개인정보 위험, 위수탁 기간 등을 고려하여 협의하면 됩니다.
업무위탁으로 위탁자에게는 법적 책임이 발생할 수 있습니다. 위탁자는 수탁자가 법령을 위반한 경우에도 법 제61조, 제63조, 제64조에 의해 개선 권고 등 행정기관의 감독을 받으며 법 제75조에 의해 과태료 처분을 받을 수 있고, 법 제26조 제6항에 의해 수탁자의 위법한 행위로 인해 정보 주체에게 손해가 발생할 경우 배상책임을 질 수 있습니다.
그리고 위탁자는 개인정보 처리 위수탁 업무의 종료 후에는 수탁자가 개인정보의 파기, 반환 등을 이행하고 위탁자는 수탁자의 파기 등에 대하여 확인해야 합니다.
정회목 변호사
댓글 없음:
댓글 쓰기