인사이트

수탁사가 개인정보 보호를 무시하면 생길 수 있는 치명적인 결과

안녕하세요. 캐치시큐입니다.
다른 기업으로부터 업무를 위탁 받아서 진행하고 있는 기업이라면 1년에 한 번 수탁사 점검을 진행해야 한다는 사실 알고 계실텐데요.
업무를 위탁받은 부서는 주로 개인정보 관련 부서가 아닌 마케팅 등 실무 부서에서 진행합니다.
그래서 실무 부서에서는 개인정보 보호와 관련한 사항을 준수하여야 한다는 사실에 대해 인지가 부족할 수도 있습니다.
이번 글에서는 수탁사가 개인정보 보호에 신경써야 하는 이유에 대해 알아보겠습니다.

법령이 규정하는 의무

가장 기본적인 이유 중의 하나는 개인정보보호법에서 명시하고 있기 때문입니다.
수탁사의 의무 주요 내용은 다음과 같습니다.

  • 개인정보 수집 및 제공
    개인정보 수집 및 이용 시 위수탁 문서상 명시된 개인정보 처리 목적 범위 내에서 이용할 수 있으며, 필요 최소한의 개인정보를 수집하여야 합니다.
    또한 위수탁 목적 범위를 초과하여 개인정보를 이용하거나 제3자에게 개인정보를 제공할 수 없습니다.
  • 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
    수탁사는 정보주체의 요구가 있으면 개인정보의 수집 출처 및 처리 목적, 처리정지 요구권이 있다는 사실을 정보주체에게 알려야 합니다.
  • 개인정보의 파기
    수집한 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되면 지체 없이 개인정보를 파기해야 합니다.
  • 개인정보의 처리 제한
    법령에 특별한 규정이 없으면 민감정보와 고유식별정보는 처리할 수 없습니다.
    영상정보처리기기 역시 특별한 사유가 없는 한 설치 및 운영할 수 없습니다.
  • 정보주체의 권리 행사 보장
    정보주체는 수탁사에게 개인정보의 열람, 정정 및 삭제, 처리 정지를 요청할 수 있습니다.
    그리고 수탁사는 특별한 사정이 없는 경우 이에 응해야 합니다.

해당 의무를 이행하지 못하게 되어 법령 위반이 있는 경우 개인정보보호위원회의 자료 제출 요구 및 검사, 시정조치 등의 명령 처분을 받을 수도 있습니다.
이와 더불어 정보주체에게 손해가 발생한 경우 손해배상 책임을 질 수도 있습니다.

재계약 실패 또는 계약 파기

수탁사의 실수나 관리 소홀로 개인정보 관련 문제가 발생하게 되면 위탁사에도 책임이 부여될 수도 있습니다.
위탁사는 매년 수탁사를 교육 및 점검하며 개인정보 처리 현황을 점검해야 할 관리·감독 의무가 있습니다.
만약 개인정보 침해 사고 혹은 유출 사고 발생 시 관리·감독을 소홀히 하지 않았다는 것을 입증하지 못한다면 이는 위탁사의 책임이 됩니다.
따라서 위탁사도 처벌 대상이 되며 손해배상, 소송으로 진행될 경우 소송 관련 비용, 신뢰 회복을 위한 홍보마케팅 비용 등 금전적 손실로 이어질 수도 있습니다.
그리고 해당 사고에 대해 사건 조사 및 대응 과정에서 서비스의 정상적인 운영이 어려워질 수도 있습니다.
위탁사의 이러한 책임은 수탁사와의 재계약 실패 또는 계약 파기로 이어질 수도 있습니다.

저희 회사가 수탁사인데 문제가 안 생기게 하려면 어떻게 해야 하나요?

1년에 한 번 있는 수탁사 점검 전에 체크리스트를 통해 다양한 보안조치를 잘 준수하고 있는지 확인하는 것입니다.
수탁사 점검은 관리적 보호조치, 개인정보 생명주기, 기술적 보호조치 세 개의 영역이 있는데요.
여기를 클릭해 확인해 보세요.

수탁사는 보통 여러 회사와 다양한 위수탁 계약을 맺고 업무를 진행할 텐데요.
기업별로 보안 요구사항이 다른 경우가 있어 시스템을 구축해 두면 효율적으로 대응할 수 있습니다.
하지만 이는 많은 자원과 비용이 필요로 하므로 대기업이 아니라면 실질적으로 어려울 수 있습니다.
그래서 제안하는 방법은 개인정보 보호 체계를 적용할 수 있는 솔루션을 이용하는 방법입니다.

캐치시큐의 경우 캐치폼을 통해 개인정보를 수집하게 되면 폼 생성 시 적법한 동의서를 자동으로 생성하며, 보관 시에도 암호화·마스킹을 통해 안전하게 보관됩니다.
그리고 수집한 개인정보의 보유기간 만료 시 자동으로 파기해 개인정보 유출을 예방할 수 있습니다.
또한 접속지 IP 제한 기능, 2단계 보안 인증 기능 그리고 구성원 접근 권한 관리 등을 통해 외부의 접속을 막아 해킹 등을 예방할 수 있으며, 안전성 확보조치도 준수할 수 있습니다.
캐치시큐의 또 다른 장점은 구축이 필요 없기 때문에 적은 비용으로 개인정보 보호 체계를 즉시 적용할 수 있다는 점입니다.

수탁사의 개인정보 보호, 캐치시큐와 함께 하세요!


# 인사이트

관련 최신글

안녕하세요. 캐치시큐입니다.
다른 기업으로부터 업무를 위탁 받아서 진행하고 있는 기업이라면 1년에 한 번 수탁사 점검을 진행해야 한다는 사실 알고 계실텐데요.
업무를 위탁받은 부서는 주로 개인정보 관련 부서가 아닌 마케팅 등 실무 부서에서 진행합니다.
그래서 실무 부서에서는 개인정보 보호와 관련한 사항을 준수하여야 한다는 사실에 대해 인지가 부족할 수도 있습니다.
이번 글에서는 수탁사가 개인정보 보호에 신경써야 하는 이유에 대해 알아보겠습니다.

법령이 규정하는 의무

가장 기본적인 이유 중의 하나는 개인정보보호법에서 명시하고 있기 때문입니다.
수탁사의 의무 주요 내용은 다음과 같습니다.

  • 개인정보 수집 및 제공
    개인정보 수집 및 이용 시 위수탁 문서상 명시된 개인정보 처리 목적 범위 내에서 이용할 수 있으며, 필요 최소한의 개인정보를 수집하여야 합니다.
    또한 위수탁 목적 범위를 초과하여 개인정보를 이용하거나 제3자에게 개인정보를 제공할 수 없습니다.
  • 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
    수탁사는 정보주체의 요구가 있으면 개인정보의 수집 출처 및 처리 목적, 처리정지 요구권이 있다는 사실을 정보주체에게 알려야 합니다.
  • 개인정보의 파기
    수집한 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되면 지체 없이 개인정보를 파기해야 합니다.
  • 개인정보의 처리 제한
    법령에 특별한 규정이 없으면 민감정보와 고유식별정보는 처리할 수 없습니다.
    영상정보처리기기 역시 특별한 사유가 없는 한 설치 및 운영할 수 없습니다.
  • 정보주체의 권리 행사 보장
    정보주체는 수탁사에게 개인정보의 열람, 정정 및 삭제, 처리 정지를 요청할 수 있습니다.
    그리고 수탁사는 특별한 사정이 없는 경우 이에 응해야 합니다.

해당 의무를 이행하지 못하게 되어 법령 위반이 있는 경우 개인정보보호위원회의 자료 제출 요구 및 검사, 시정조치 등의 명령 처분을 받을 수도 있습니다.
이와 더불어 정보주체에게 손해가 발생한 경우 손해배상 책임을 질 수도 있습니다.

재계약 실패 또는 계약 파기

수탁사의 실수나 관리 소홀로 개인정보 관련 문제가 발생하게 되면 위탁사에도 책임이 부여될 수도 있습니다.
위탁사는 매년 수탁사를 교육 및 점검하며 개인정보 처리 현황을 점검해야 할 관리·감독 의무가 있습니다.
만약 개인정보 침해 사고 혹은 유출 사고 발생 시 관리·감독을 소홀히 하지 않았다는 것을 입증하지 못한다면 이는 위탁사의 책임이 됩니다.
따라서 위탁사도 처벌 대상이 되며 손해배상, 소송으로 진행될 경우 소송 관련 비용, 신뢰 회복을 위한 홍보마케팅 비용 등 금전적 손실로 이어질 수도 있습니다.
그리고 해당 사고에 대해 사건 조사 및 대응 과정에서 서비스의 정상적인 운영이 어려워질 수도 있습니다.
위탁사의 이러한 책임은 수탁사와의 재계약 실패 또는 계약 파기로 이어질 수도 있습니다.

저희 회사가 수탁사인데 문제가 안 생기게 하려면 어떻게 해야 하나요?

1년에 한 번 있는 수탁사 점검 전에 체크리스트를 통해 다양한 보안조치를 잘 준수하고 있는지 확인하는 것입니다.
수탁사 점검은 관리적 보호조치, 개인정보 생명주기, 기술적 보호조치 세 개의 영역이 있는데요.
여기를 클릭해 확인해 보세요.

수탁사는 보통 여러 회사와 다양한 위수탁 계약을 맺고 업무를 진행할 텐데요.
기업별로 보안 요구사항이 다른 경우가 있어 시스템을 구축해 두면 효율적으로 대응할 수 있습니다.
하지만 이는 많은 자원과 비용이 필요로 하므로 대기업이 아니라면 실질적으로 어려울 수 있습니다.
그래서 제안하는 방법은 개인정보 보호 체계를 적용할 수 있는 솔루션을 이용하는 방법입니다.

캐치시큐의 경우 캐치폼을 통해 개인정보를 수집하게 되면 폼 생성 시 적법한 동의서를 자동으로 생성하며, 보관 시에도 암호화·마스킹을 통해 안전하게 보관됩니다.
그리고 수집한 개인정보의 보유기간 만료 시 자동으로 파기해 개인정보 유출을 예방할 수 있습니다.
또한 접속지 IP 제한 기능, 2단계 보안 인증 기능 그리고 구성원 접근 권한 관리 등을 통해 외부의 접속을 막아 해킹 등을 예방할 수 있으며, 안전성 확보조치도 준수할 수 있습니다.
캐치시큐의 또 다른 장점은 구축이 필요 없기 때문에 적은 비용으로 개인정보 보호 체계를 즉시 적용할 수 있다는 점입니다.

수탁사의 개인정보 보호, 캐치시큐와 함께 하세요!


# 인사이트
관련 최신글

결과 없음.

인기글

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.