3. 개인정보 제공

1. 개인정보 제공의 이해 

1.1 개인정보 제공의 의의

 - 개인정보의 제3자 제공, 개인정보 취급위탁, 영업·양도 등에 따른 이전을 모두 포함

 - 개인정보 제공은 개인정보보호 측면에서 권리침해 가능성이 높아지는 리스크

 - 개인정보취급자가 확대되고 개인정보처리자의 관리영역을 벗어남

1.2 제3자의 의미

 - 개인정보처리자 자신이 아닌 다른 모든 자

 - 자회사, 패밀리사이트, 계열사 등 모두 포함

1.3 제공의 의미

 - 개인정보를 제3자에게 전달·공유하는 행위

 - 접근 권한을부여하거나 열람을 하게 하는 등 정보를 확인할 수 있게 하는 모든 행위

2. 개인정보 제3자 제공과 위탁

2.1 개인정보의 제3자 제공

 - 개인정보를 제3자에게 제공하는 경우 다음 내용을 고지하고 동의를 받아야 한다.

  (1) 개인정보를 제공받는 자

  (2) 개인정보의 수집·이용 목적

  (3) 수집하려는 개인정보의 항목

  (4) 개인정보의 보유 및 이용 기간

  (5) 동의를 거부할 수 있는 권리. 거부할 경우의 불이익 (망법엔 없고 개보법엔 있는 내용)

2.2 개인정보의 업무 위탁

 - 위탁 : 수집·보관·처리·이용·제공·관리·파기등을 위임

 - 개인정보를 위탁하는 경우 다음과 같은 방법으로 공개하여야 한다.

  (1) 위탁자의 사업장 등 보기 쉬운 장소에 게시

  (2) 관보, 인터넷신문, 사업장이 위치한 지역에 배포되는 일간지, 주간지

  (3) 연 2회이상 정보주체에게 배포하는 간행물·소식지·청구서 등

  (4) 위탁자와 정보주체간 계약서

 - 위탁계약 시 포함되어야 할 사항  암기포인트 

  (1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

  (2) 개인정보의 기술적·관리적 보호조치에 관한 사항

  (3) 위탁하는 사무의 목적 및 범위

  (4) 재위탁 제한에 관한 사항

  (5) 개인정보 안전성 확보조치에 관한 사항

  (6) 개인정보수탁자의 교육에 관한 사항

  (7) 수탁자자의 의무를 위반한 경우 손해배상 등에 관한 사항

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적·관리적 보호조치에 관한 사항

3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.  <개정 2015.7.24.>

⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.

⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다.

개인정보보호법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치) ① 법 제26조제1항제3호에서 "대통령령으로 정한 사항"이란 다음 각 호의 사항을 말한다.

1. 위탁업무의 목적 및 범위

2. 재위탁 제한에 관한 사항

3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

5. 법 제26조제2항에 따른 수탁자(이하 "수탁자"라 한다)가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

② 법 제26조제2항에서 "대통령령으로 정하는 방법"이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다.

③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 한다.

1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법

2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법

3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법

4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

④ 법 제26조제3항 전단에서 "대통령령으로 정하는 방법"이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 "서면등의 방법"이라 한다)을 말한다.

⑤ 위탁자가 과실 없이 제4항에 따른 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.

⑥ 위탁자는 수탁자가 개인정보 처리 업무를 수행하는 경우에 법 또는 이 영에 따라 개인정보처리자가 준수하여야 할 사항과 법 제26조제1항 각 호의 사항을 준수하는지를 같은 조 제4항에 따라 감독하여야 한다.

- 실무적으로 시스템 구축 계약, 도급 계약 등 일반적인 계약서 외에 개인정보 위수탁 계약서를 별도로 작성하는 경우가 많다.

- 개인정보 위탁 계약이 이루어진 경우 위탁자는 수탁자를 점검 할 의무가 생기며, 수탁자는 점검에 응하여야 한다.

- 수탁받은 업무와 관련된 업무를 재위탁 하려 하는 경우 위탁자와 별도로 협의를 하여야 한다.

2.3 제3자 제공과 위탁의 구분 

- 제3자 제공 : 정보주체와 개인정보처리자 간 계약과 직접적으로 관련이 없는 서비스 제공을 위한 경우

  ex) 자동차 보험 가입시 생명보험 텔레마케팅을 위한 정보 제공

- 업무 위탁 : 정보주체와 개인정보처리자 간 계약 내용을 이행하기 위한 사무 처리 위탁

  ex) 자동차 보험 가입시 긴급출동 등 접수처리를 위한 전화응대 위탁

2.4 영업양도 등에 따른 개인정보의 이전

- 영업 양도·합병 등에 따라 개인정보가 이전되는 경우 아래의 사항을 정보주체에게 알려야 한다.

1. 개인정보를 이전하려는 사실

2. 개인정보는 이전받는 자의 성명(명칭), 주소, 연락처

3. 정보 이전을 원하지 않는 경우 조치할 수 있는 방법
* 양도자가 알리지 않은 경우, 양수자가 이전 받은 즉시 알려야 한다.

- 양수자는 이전 당시의 목적대로만 사용 가능하며, 제3자 제공도 마찬가지다.

4. 개인정보 제공 시 유의 사항 

4.1 제3자 제공 시 유의 사항

 - 개인정보 제공으로 인한 침해가 발생하지 않도록 목적 및 이용방법 등에 대한 제한을 두고 계약 하여야 함

 - 안전성 확보를 위한 조치를 취하도록 요구하여야 하며 요청받은 자는 그에 따른 조치를 해야 함

4.2 개인정보 업무 위탁의 재위탁

 - 정보주체의 동의 없이 위탁에 대한 재위탁이 이루어 지는 것은 취급 목적 및 범위를 벗어난 것으로 볼 수 있음

 - 재위탁 시 원위탁자에게 알리고 위탁자는 필요한 경우 정보주체에 동의 혹은 통지 등의 절차 마련

 - 개인정보 업무 위탁시 반드시 재위탁의 제한 관한 사항을 명시하여 무분별한 재위탁이 일어나지 않도록 해야 함

4.3 수탁업체에 대한 관리감독 권한

 - 개인정보보호법에선 개인정보 업무 위탁시 수탁자에 대한 관리·감독 의무를 부과함

 - 수탁 업무 중 손해가 발생한 경우 손해배상책임에 있어 수탁자를 위탁자의 직원으로 봄

 - 수탁자에 대해 주기적으로 점검, 교육 등을 실시하고 명시적인 기록을 남겨둬야 함

4.4 개인정보 제공 단계 침해유형

 - 정보주체의 동의 또는 고지 없는 개인정보 제3자 제공 - 개인정보보호법 제17조 위반

 - 당초 수집 시에 고지한 목적을 넘어서는 개인정보의 제공 - 개인정보보호법 제18조 위반

 - 개인정보 위탁업무의 미공개 또는 부족한 고지사항 공개 - 개인정보보호법 제26조 위반

 - 영리 또는 부정한 방법으로 개인정보를 이용하거나 제공 - 개인정보보호법 제18, 19, 26조 위반