개인정보 취급위탁 계약을 체결할 때의 주의사항

Q. 고객센터 업무를 아웃소싱하려고 합니다. 아웃소싱 업체와 개인정보 취급위탁 계약을 체결할 때에 계약서에 반드시 포함시켜야 하는 사항은 무엇이 있나요?

A. 수탁자(아웃소싱 업체)와 취급위탁 계약을 체결할 때에는 계약서에 수탁자명, 수탁 업무명, 개인정보취급기간(계약기간), 수탁자의 개인정보 취급목적, 위탁자의 관리∙감독 사항, 보호조치, 수탁자의 책임 등을 명시하는 것이 바람직합니다.



<정보통신망 이용촉진 및 정보보호 등에 관한 법률>

제25조(개인정보의 취급위탁) ①~② (생략)
 

③ 정보통신서비스 제공자등은 개인정보 취급위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 취급할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 취급하여서는 아니 된다.
 

④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리∙감독하여야 한다.
 

⑤ 수탁자가 개인정보 취급위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다.

제3자 제공에 비해 취급위탁의 허용요건을 완화하는 이유는 취급위탁을 위해 제공한 개인정보가 위탁자의 관리범위 안에 포함되어 있어 개인정보 취급위탁시에는 위탁자가 해당 개인정보에 대한 철저한 관리∙감독을 하여야 함을 의미 합니다.


즉, 제3자 제공 보다 허용 요건을 완화하는 대신 수탁자에 맡겨진 개인정보에 대하여 엄격한 관리감독 의무를 부과하고 있습니다.

이를 위해서는 위탁자와 수탁자가 취급위탁 계약을 체결할 때부터 계약서에 관련 사항을 명확히 반영하고, 개인정보 침해방지를 위한 보호 조치가 수탁업체에 확보되도록 정함과 동시에 위탁자와 수탁자와의 책임관계를 명확하게 규정함 으로써 실효적인 관리∙감독 체계를 확보하여야 합니다.

따라서, 사업자가 수탁자와 위탁계약을 체결하는 때에는 다음의 사항을 포함하여 계약서를 작성하는 것이 바람직합니다.

[관련 위반 사례]

○○여행사는 여행지 현지에서의 고객서비스를 위해 이른바 지역 여행사와 업무 위탁계약을 체결하였으나, 개인정보 수탁업무에 대한 내용 및 기술적∙관리적 보호조치 등 관한 사항을 위탁계약서에 전혀 반영하지 않고 업무 위탁계약을 체결 하여 운영 



개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)