안녕하세요! 개인정보보호 전문가 캐치시큐입니다.
국내외 들어와 있는 해외 브랜드 사이트에 회원 가입을 하신 적 있나요? 예를 들어보자면, 롤이나 블리자드 같은 게임 등이 있는데요.
이런 사이트를 이용하다보면 “개인정보 국외 이전에 동의하십니까?” 문구를 심심치 않게 볼 수 있습니다.
글로벌 온라인 서비스가 보편화 된 요즘, 이러한 서비스를 제공하는 기업들이 지켜야 할 사항은 무엇이 있는지 알아보도록 하겠습니다.
1. 개인정보를 국외로 이전하는 경우 하기 항목들을 정보주체에게 고지하고 동의를 받아야 합니다.
- 이전되는 개인정보 항목
- 개인정보가 이전되는 국가, 이전 일시 및 이전 방법
- 개인정보를 이전 받는 자의 성명(법인의 경우에는 그 명칭 및 정보관리책임자의 연락처)
- 개인정보를 이전 받는 자의 개인정보 이용 목적 및 보유/이용 기간
그런데 지난 2020년 2월에 새로운 법령(개인정보보호법 제39조의12)이 신설되면서 국외 이전 시 정보 주체의 동의를 고지로 갈음할 수 있는 경우가 생겼습니다.
‘이전’이라는 행위에는 제3자 제공 / 처리 위탁 / 보관 총 3가지로 분류가 되는데,
이 중 처리 위탁과 보관 시 개인정보처리방침에 고지 항목을 공개하거나 전자우편, 서면 등으로 이용자에게 알린 경우에는 별도의 동의를 받지 않아도 됩니다.
(개인정보보호법 바로가기)
여기서 잠깐! 그럼 제3자 제공과 처리 위탁은 어떻게 다른 걸까요?
* 제3자 제공: 제공하는 자와 관계없이 제공받는 자의 업무를 위해 개인정보를 제공하는 행위
* 처리 위탁: 제공하는 자의 업무를 수행하기 위해 개인정보를 제공하는 행위
구분 | 개인정보 제공 | |
제3자 제공 | 처리 위탁 | |
제공받는 자 | 제3자 | 대행사 |
이전목적 | 제3자의 개인정보 처리 업무 | 우리회사의 개인정보 처리 업무를 대행 |
손해배상 | 제공받는 자 | 제공하는 자(우리회사) |
예를 들어보겠습니다.
A ) 제 3자 제공
다국적기업인 A회사가 한국지사에서 수집한 고객정보를 해외 본사에서 마케팅 목적으로 제공하는 경우 제3자 제공 국외 이전에 해당합니다.
이 경우엔 고객으로부터 제3자 제공 동의를 별도로 받아야 합니다. 이 경우, 제3자 제공 동의서는 어떻게 만들어야 할까요?
캐치시큐에서는 제공받는자 정보, 제공 목적, 제공 항목만 입력하면 자동으로 제3자 제공 동의서를 만들 수 있습니다.
B ) 처리위탁
B회사에서 CS 업무 처리를 위해 C회사와 아웃소싱 계약을 체결하였는데 C회사의 서버가 필리핀에 위치한다고 합니다.
이는 정보가 해외 서버로 이전되기는 하나 고객정보를 직접 수집한 B회사의 업무 처리를 목적으로 이전되는 경우로 처리 위탁에 해당합니다.
처리 위탁의 경우엔 홈페이지 상 개인정보처리방침에 해당 내용(제공받는자, 제공목적, 제공항목 등)을 고지하여야 하는데요.
캐치시큐에서는 처리 목적을 추가하시면 개인정보처리방침 내용 업데이트는 물론 버전 관리까지 자동으로 처리하실 수 있습니다.
2. 개인정보가 안전하게 관리될 수 있도록 보호조치를 하여야 합니다.
개인정보 국외 이전 시 취해야 하는 보호조치는 다음과 같습니다.
- 개인정보의 안전한 처리를 위한 내부관리계획의 수립 및 시행
- 개인정보처리시스템에 대한 접근권한 관리 기준의 수립 및 시행
- 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치 및 운영
- 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단
- 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
- 개인정보처리시스템 접속로그 기록 및 감독
- 개인정보가 안전하게 저장/전송될 수 있도록 하기 위한 암호화 기술을 이용한 보안조치
- 백신소프트웨어 설치 및 주기적 갱신/점검 조치
- 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
- 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
여기까지 고객의 개인정보를 국외로 이전할 때 개인정보처리자가 지켜야 할 사항들을 알아보았습니다.
혹시 국외로 이전하는 개인정보가 있으신가요?
캐치시큐에서 국외이전에 필요한 동의서와 개인정보 처리방침을 간편하게 생성해 보세요.