Ⅳ. 개인정보의 취급 위탁 시 고지. 동의 획득 위반
사례
통신사업자가 이용자에게 알리지 아니하고 개인정보를 제3자에게 취급위탁
1. 사건개요
. 신청인은 2010년 1월 4일 피신청인의 케이블 서비스를 이용하고 있는데, 피신청인에게 현재의 계약조건을 변경 없이 무료로 디지털 케이블 방송으로 설치하여 준다는 피신청인의 TM을 받고 이를 신청하였음
- 같은 달 14일 신청인은 서비스를 설치하는 과정에서 설치기사가 제시한 설치확인서에 TM에서 안내받은 내용과 다르게 확인서 제목에 “상품변경”이라는 내용의 계약서임을 알게 되어
- TM을 한 직원과 연락을 하기 위해, 피신청인의 상품 안내를 하는 A사에 전화를 하였으나, 해당 직원을 찾을 수 없었음
. 신청인은 피신청인의 해당 대리점에 연락을 하여, TM한 직원을 찾아달라고 요청한 결과, 해당 대리점은 B사의 직원이 TM을 하였다고 답변함
- B사라는 업체는 피신청인과 위탁계약을 맺은 업체이지만, 이 업체는 피신청인의 개인정보취급방침에 고지되지 않은 업체임을 확인함
. 이에, 신청인은 피신청인이 동의 없이 제3자에게 개인정보를 제공하여 TM을 하였음은 물론, 안내받은 서비스와 다르게 계약을 시행하려 한 행위에 대하여 제도개선 및 정신적 손해배상을 요구하는 분쟁조정을 신청함
2. 피신청인 주장
. 피신청인은 2009년 11월 1일 B사와 업무위탁 계약을 맺었으나, 이에 대한 사실을 홈페이지의 개인정보취급방침에 고지 및 동의 절차가 없었고, 이로 인해 신청인에게 피해를 입힌 사실을 인정함
-다만, 신청인이 주장하는 바와 같이 동의 없이 제3자에게 신청인의 개인정보를 제공한 것이 아니라 위탁계약을 맺은 B사에 개인정보를 제공한 것이라 소명함
3. 사실조사
가. 신청인이 피신청인의 이용자인지 여부
. 신청인은 2004년 6월 29일 피신청인의 케이블방송 서비스에 가입한 이용자로 확인됨
나. 피신청인이 신청인에게 TM을 하였는지 여부
. 피신청인은 2010년 1월 4일 신청인에게 자사의 관련 상품에 대한 TM을 하였고, TM을 한 업체는 위탁업무 계약을 맺은 B사임
※ 피신청인은 2009년 11월 1일 B사와 케이블방송, 인터넷서비스, 인터넷전화서비스 및 부가서비스에 대한 가입자 유치 영업 업무를 위탁하는 계약을 맺음
. 피신청인은 2009년 12월 7일 B사에 신청인을 포함한 19,737명의 이용자 개인정보를 제공하였으며, 2010년 1월 18일 다시 회수한 후 분쇄하여 폐기하였음
다. 피신청인이 B사와의 위탁사실을 고지하였는지 여부
. 피신청인은 B사와 위탁계약을 맺었음에도 불구하고, 이에 대한 고지 및 동의 절차가 없었음을 인정함
- 피신청인은 기존 C사가 B사로 변경되었다고 처음에 답변하였지만, 후에 해당 회사는 관리자와 직원들이 승계되어 운영되고 있을 뿐, 사업자 등록증 상으로 사업주와 사업자등록번호가 상이하여 동일업체로 보기 어려울 것 같다고 추가 답변함
- 한편, 피신청인은 본 사건 접수 이후, 개인정보취급방침의 위탁업체 현황을 수정하여 고지하였으며, 동의 절차를 구축하였다고 답변함
4. 위원회 의견
가. 피신청인의 개인정보 취급위탁에 대한 고지 및 동의획득 의무 불이행의 위법성 여부
.정보통신망 이용촉진 및 정보보호 등에 관한 법률.(이하 “정보통신망법”) 제25조 제1항에서는 정보통신서비스제공자 등은 제3자에게 이용자의 개인정보를 수집.보관.처리.이용.제공.관리. 파기 등을 할 수 있도록 업무를 위탁하는 경우에는 수탁자, 개인 정보 취급위탁을 하는 업무의 내용에 대해 이용자에게 알리고 동의를 얻어야 하며, 이와 같은 사항이 변경되는 경우에도 또한 같다고 규정하고 있음
- 아울러, 같은 조 제2항에서는 정보통신서비스 제공자 등은 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우로서 제1항 각 호의 사항(수탁자, 개인정보 취급위탁을 하는 업무의 내용) 모두를 제27조의2제1항(개인정보취급방침의 공개)에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 취급위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다고 규정하고 있음
. 본 사건에서 피신청인이 자사 서비스상품 안내 및 가입권유 등의 업무를 제3자에게 위탁하고, 이를 위해 이용자의 개인정보를 활용하는 경우에는 반드시 이용자에게 고지 및 동의를 얻어야 하지만,
- 피신청인 스스로 인정하는 바와 같이, 새로운 업체와 계약을 맺었음에도 이용자에게 이와 같은 사실에 대한 고지 및 동의 절차가 없었던 사실이 인정되므로,
-피신청인은 업무를 위탁하는 경우에 수탁자, 개인정보 취급위탁을 하는 업무의 내용에 대해 이용자에게 알리고 동의를 얻도록 의무화한 정보통신망법 제 25조 제 1항 규정을 준수하지 않은 것으로 판단됨
5. 위원회 결정
. 피신청인은 개인정보취급위탁 계약을 맺은 업체를 이용자에게 고지하지 아니하고 개인정보를 제공함으로써, 신청인에게 자신의 개인정보가 임의로 제3자에게 제공되고 악용될 수 있다는 우려로 정신적 피해를 입혔다고 인정되므로
- 피신청인은 신청인에게 금200,000원의 손해배상을 지급할 것이며,
. 아울러, 피신청인은 개인정보 취급위탁을 하는 경우에는 이용자에게 지체 없이 그 사실을 고지하고 동의를 얻을 수 있는 절차를 구비하도록 제도 개선할 것을 조정 결정함
개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)
'개인정보보호 분쟁조정 사례' 카테고리의 다른 글
| 이동통신사업자의 이용자 동의 없는 통화내역 제공에 대한 분쟁조정 사례 (0) | 2011.06.22 |
|---|---|
| 학원의 이용자 동의 없는 개인정보를 제3자에게 제공으로 인한 분쟁조정사례 (0) | 2011.06.21 |
| 온라인광고서비스 제공자의 이용자 동의 없는 개인정보 제 3 자 제공으로 인한 분쟁조정사례 (0) | 2011.06.17 |
| 온라인서비스제공자가 이용자의 동의 없이 제3자에게 개인정보 제공으로 인한 분쟁조정사례 (1) | 2011.06.16 |
| [개인정보 분쟁조정사례]결혼중개업자가 이용자 동의 없이 개인정보를 제3자에게 제공한 분쟁조정사례 (0) | 2011.06.15 |