안녕하세요! 개인정보보호 전문가 캐치시큐입니다.
요즘은 한 회사에서 발생하는 다양한 업무를 다른 업체에 위탁하여 운영하는 사례가 일반적입니다.
위수탁으로 인해 발생하는 개인정보의 유출에 대한 이슈와 위험성 또한 커지고 있는데요.
이번 글에서는 개인정보 처리 업무를 위탁할 때 고려해야 하는 사항에 대하여 소개하겠습니다.
Check!
- 개인정보 처리 위수탁이란?
- 위수탁 계약이 아닌 경우
- 위탁사 의무 사항
- 마치며
1. 개인정보 처리 위탁이란?
먼저, 개인정보 처리 위탁은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위해 개인정보를 이전하여 처리하는 경우를 말합니다.
예를 들어 새로운 제품을 출시하여 서베이 전문 업체를 통해 고객의 반응을 파악하거나, 오프라인 운영 대행을 맡기는 등 다양한 상황이 이에 해당합니다.
이렇게 위탁한 개인정보가 유출되는 사고가 발생하면 누구에게 책임이 있을까요?
개인정보보호법에 따라 위탁사는 매년 수탁사를 교육하고, 개인정보 처리 현황을 점검해야 할 관리·감독 의무가 있습니다.
따라서 수탁사에서 개인정보 침해 사고가 일어났다고 해도, 제대로 관리하지 못한 위탁사에도 책임이 부여됩니다.
최근 개인정보보호 규제가 강화되고 있기 때문에, 위탁사는 물론이고 수탁사 또한 개인정보 관리에 더욱 신경을 써야 하는 상황입니다.
2. 위수탁 계약이 아닌 경우
개인정보보호 컨설팅을 하다 보면 가장 많이 문의하시는 내용이 어떤 경우를 업무 위탁으로 봐야 하는지에 대한 판단 기준입니다. 특히, 제3자 제공과 헷갈리는 분이 많은데요.
개인정보를 수집할 때 위탁에 대해서는 별도 동의가 필요 없지만, 제3자 제공에 해당할 경우 별도로 동의를 받아야 하기 때문입니다.
해당 부분에 대해서는 아래 대법원 판례를 참고해 볼 수 있습니다.
“개인정보의 제3자 제공은 본래의 개인정보 수집, 이용 목적의 범위를 넘어 그 정보를 제공받는 자(제3자)의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미하므로, 위탁자의 업무 처리 및 이익을 위한 개인정보 처리 위‧수탁과 구분“ (대법원 2017.4.7. 선고 2016도13263판결 참고)
개인정보 수집·이용 목적이 어느 회사의 업무 처리와 이익에 있는지 여부, 다시 말해 “개인정보를 이용할 필요성이 있는 자가 실질적으로 누구인지”에 따라 종합해서 판단할 수 있겠습니다.
좀 더 쉽게 이해할 수 있도록 수탁사에 해당하는 예시를 알아보겠습니다.
위탁 업무에 해당하여 관리해야 하는 수탁사
- 고객 대상 만족도 조사를 하는 기업의 고객 리스트를 제공받아서 조사해주는 컨설팅 업체
- 도서 대출 반납을 진행하는 도서 간의 반납 처리기기를 유지·보수하는 업체
- 전국 약 천여 개 가맹점이 있는 배달 음식 파는 본사가 콜센터를 통해 배달 주문 처리하는 가맹점
- 직원교육을 위해 교육 전문 업체와 계약을 맺고 기업으로부터 정보를 받아 교육 수행 업체
- 홈쇼핑과 계약을 통해 택배를 정기적으로 배송 업무를 수행하는 업체
수탁사에 해당하지 않는 경우
- 행사 안내를 위해서 포털 사이트에서 제공하는 초대장 발송 서비스를 이용하는 경우로 포털 플랫폼 제공 사업자
- 우편 및 택배를 이용하는 경우 단순히 전달하는 업체 (비정기적)
1번과 같은 플랫폼 제공 사업자는 개인정보의 보호 의무만 있지, 처리 자체에 관여하지 않기 때문에 수탁자로 보기는 어렵습니다. 다만 그 플랫폼 제공 사업자가 만약 개인정보를 분석 처리하고, 이 처리가 플랫폼 이용자의 지시로 이루어지는 경우에는 위탁 처리로 볼 수 있습니다.
또한 2번과 같은 우편 업무의 경우 개인정보를 단순히 전달, 전송만 하는 것을 개인정보의 처리라고 보지 않기 때문에 수탁사가 아닙니다. 다만, 정기적으로 고객의 정보를 처리하는 것을 수반하게 되면 수탁사로 보게 됩니다.
3. 위탁사 의무 사항
위수탁 계약을 하고 수탁사를 선정해야 한다면 다음의 내용을 반드시 적용해야 합니다.
- 반드시 문서에 의해 계약이 되어야 합니다.
- 위탁사는 수탁사 및 위탁하는 업무 내용을 개인정보처리방침에 고지해야 합니다.
- 위탁사는 수탁사를 교육하고 관리·감독해야 합니다.
① 문서에 의한 계약
「개인정보 보호법」 제26조제1항에 의한 내용으로 아래와 같은 내용을 반드시 포함해야 합니다. 만약 이를 어길 시, 동법 제75조제4항에 의하여 1천만 원 이하의 과태료 처분을 받을 수 있기 때문에 반드시 확인해야 됩니다.
② 개인정보 처리방침 고지
위에서 설명한 것처럼 개인정보를 수집할 때 제 3자 제공에 대해서는 별도로 동의를 받아야 하지만, 위탁을 하는 것에 대해서는 동의 받을 필요가 없습니다.
하지만 개인정보 처리방침에는 위탁하는 업무 내용과 수탁사 명을 반드시 공개해야 합니다. (개인정보 보호법 시행령 제28조제2항 내지 제3항)
업체나 위탁하는 업무 내용이 변경된 경우에도 동의서나 서면 등으로 고지해야 될 의무가 있으니 주의해야 합니다.
“재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 함” 「개인정보 보호법」 제26조제3항
③ 수탁사 교육 및 관리·감독
위탁사에게 가장 어렵고 부담스러운 점이 바로 수탁사에 대한 교육 및 감독 의무입니다.
특히 신경을 써야 하는 이유는, 바로 위탁사가 행정 책임과 민사 책임을 모두 받을 수 있기 때문입니다.
수탁자가 법령을 위반한 경우에도 위탁사는 개인정보 보호법 제61조, 제63조, 제64조에 의하여 개선 권고 등 행정기관의 감독을 받으며, 동법 제75조에 의하여 과태료 처분을 받을 수 있습니다.
개인정보 보호법 제26조제6항에 의하여 수탁자의 위법한 행위로 인해 정보 주체에게 손해가 발생할 경우 배상 책임 또한 위탁사에 발생합니다.
따라서 위탁사는 1년에 한 번 이상 정기적인 점검을 통해 수탁사가 개인정보를 안전하게 잘 관리하고 있는지 확인합니다.
점검할 때는 위수탁 계약 문서에 맞게 고객 개인정보를 처리하고 있는지 여러 자료와 현황을 확인 꼼꼼하게 확인해야 하는데요.
수탁사 점검 절차와 점검 항목에 대해서는 이어지는 글에서 확인해주시기를 바랍니다.
4. 마치며
지금까지 개인정보를 다른 업체에 위탁하는 경우, 위탁사가 주의해야 하는 사항에 대해 알아보았습니다.
이렇게 하나의 서비스를 운영하기 위해서는 우리 회사뿐만 아니라, 우리 회사의 업무를 위탁한 수탁사에서 개인정보 관리가 잘 되고 있는지 늘 확인하고 신경 써야 합니다.
캐치시큐는 위탁사와 수탁사 모두 개인정보 보호를 효율적으로 할 수 있도록 다양한 맞춤형 서비스를 제공하고 있는데요.
실제 업무와 밀접한 곳에서 도움이 되는 솔루션이 되도록 더욱 노력하겠습니다.
감사합니다.