본문 바로가기

개인정보 위탁

개인정보 처리 위탁 시 수탁자의 개인정보보호 위반행위에 대한 책임의 성질 개인정보보호법 제26조제6항에 따라 개인정보 처리 업무를 위탁한 경우, 수탁자에 의해 발생한 개인정보보호 위반 행위에 대해 손해배상책임과 관련하여 수탁자를 위탁자의 소속직원으로 본다고 규정하고 있습니다. 이에 따라, 수탁자의 위법행위에 대해 위탁자도 손해배상 책임을 지도록 하고 있습니다.따라서, 정보주체는 수탁자 또는 위탁자 어느 상대를 해서라도 손해배상을 청구할 수 있는데요. 두 책임의 성질이 다릅니다. 수탁자의 개인정보보호 위반 행위에 대해 1. 위탁자는 민법 제756조에 따른 '사용자책임'을 지게되고2. 수탁자는 민법 제750조에 따른 '불법행위' 책임을 지게됩니다. 즉, 수탁자가 직접 개인정보보호 위반행위를 했으므로 정보주체는 수탁자에 대해 당해 행위의 불법행위에 대한 손해배상을 청구할 수 있고,.. 더보기
웹사이트 개발/운영자를 위한 개인정보보호 가이드15_개인정보의 위탁 다. 개인정보 취급위탁 동의 사업자가 원활한 업무처리를 위해 이용자의 개인정보를 외부업체에 아웃소싱하는 경우가 있다. 이렇게 아웃소싱으로 외부업체에 개인정보를 제공하는 경우를 개인정보의 취급위탁이라 볼 수 있다. 개인정보의 취급위탁을 하게 될 때 사업자는 누구에게, 왜 주는지를 정보주체에게 알리고 동의를 얻어야 한다. 1. 수탁업체명(개인정보를 제공받는 업체) 2. 수탁 업무 내용 ※ 이 ※ 이용자가의 동의를 획득하여야 하는 업무가 여러 건인 경우 각 건별로 이용자 동의를 획득하여 이용자의 선택권을 보장하여야 하며, 이용자가 동의하지 않더라도 서비스 가입 및 이용에 제한이 없도록 하여야 한다. (그림 3-32) 개인정보 취급위탁 동의 예시 개인정보 취급업무를 위탁 시 동의를 얻어야 하는 사례로는 다음과 .. 더보기
웹사이트 개발/운영자를 위한 개인정보보호 가이드13_개인정보의 이용 및 제공 3. 개인정보의 이용 및 제공 개인정보의 이용 및 제공단계에서 개인정보보호를 위해 고려해야 할 세부사항들은 다음과 같다. (그림 3-26) 개인정보 이용단계에서의 개인정보보호 고려사항 가. 개인정보 제3자 제공과 취급위탁의 구분 사업자는 업무제휴, 아웃소싱 위하여 타 사업자에게 개인정보를 제공해야 하는 경우가 있다. 이때, 개인정보주체인 이용자의 개인정보 자기결정권을 위하여 반드시 이 사실을 이용자에게 알리고 동의를 획득해야 한다. 타 사업자에게 개인정보를 제공하는 것은 ‘제3자 제공’과 ‘취급위탁’으로 구분할 수 있고, 이 두 경우 동의 받기 위해 고지하는 내용이 다르므로 사업자는 명확하게 이를 구분하여 동의를 받을 필요가 있다. (1) 제3자 제공 개인정보의 제3자 제공은 “제공받는 측의 사업목적”을.. 더보기
개인정보 취급위탁 계약을 체결할 때의 주의사항 Q. 고객센터 업무를 아웃소싱하려고 합니다. 아웃소싱 업체와 개인정보 취급위탁 계약을 체결할 때에 계약서에 반드시 포함시켜야 하는 사항은 무엇이 있나요? A. 수탁자(아웃소싱 업체)와 취급위탁 계약을 체결할 때에는 계약서에 수탁자명, 수탁 업무명, 개인정보취급기간(계약기간), 수탁자의 개인정보 취급목적, 위탁자의 관리∙감독 사항, 보호조치, 수탁자의 책임 등을 명시하는 것이 바람직합니다. 제25조(개인정보의 취급위탁) ①~② (생략) ③ 정보통신서비스 제공자등은 개인정보 취급위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 취급할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 취급하여서는 아니 된다. ④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아.. 더보기
개인정보 취급위탁에 관한 몇가지 Q&A Q1. 서비스 제공에 필수적인 개인정보 취급위탁은 따로 동의를 받지 않아도 되는 대신 관련 사항을 공개하여야 하는데, 구체적 공개 방법은 어떻게 되나요? A. 서비스 제공에 관한 계약 이행을 위해 필요한 취급위탁은 아래 2가지 방법 중 택일하여 이용자에게 공개하거나 알리면 됩니다. ① 취급위탁을 받는 자 및 취급위탁을 하는 업무의 내용을 개인정보 취급방침에 명시하고, 인터넷 홈페이지 게재, 점포∙사무소 게재∙비치, 간행물∙소식지∙홍보지∙청구서 등에 지속 게재 등의 방법으로 공개 ② 취급위탁을 받는 자 및 취급위탁을 하는 업무의 내용을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법에 따라 이용자에게 알림 Q2. 병원과 의료정보 전달시스템 관리업체 간에 환자의 정보를 공유하는 것도 취급위탁에 따른 동의.. 더보기
개인정보 위탁 시에 무조건 동의를 받아야 되나? Q. 요금고지서를 우편 DM으로 발송하는 업무를 외부 업체에 위탁하려 하는 경우에 고객이 우편 DM 발송의 위탁에 대해 동의하지 않는다면, 본사에서 일일이 직접 배송을 해야 하나요? A. 요금고지서 DM 발송, 상담, A/S 등“ 서비스 제공에 관한 계약을 이행하기 위해 필요한 개인정보 취급위탁”은 이용자의 동의 없이도 가능합니다. 이 경우 사업자는 위탁업무의 내용 및 수탁자를 개인정보 취급방침에 공개하거나 이용자에 대해 통지하시면 됩니다. 제25조(개인정보의 취급위탁) ① (생략) ② 정보통신서비스 제공자 등은 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개 하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린.. 더보기
개인정보 업무를 외주 업체에 위탁할 때 주의사항 Q. 여행사를 운영하면서 예약확인 및 고객 상담업무를 전문 콜센터에서 처리하고 있는데, 자사에서 진행하는 고객 대상 이벤트와 여행상품 홍보 업무도 해당 콜센터에서 모두 진행하려고 합니다. 관련 법률상 문제는 없는지 알고 싶습니다. A. 사업자가 제3자에게 개인정보의 수집, 보관 등 취급업무를 위탁하는 경우에는 취급위탁을 받는 자(수탁자) 및 취급위탁을 하는 업무의 내용을 고지하고 이용자의 동의를 받아야 합니다. 다만, 서비스 제공계약의 이행을 위해 필요한 경우에는 위의 고지∙동의절차를 거치지 않고, 취급위탁을 받는 자 및 취급위탁을 받는 업무의 내용을 개인정보 취급방침에 공개하거나 이용자에게 통지하여, 이를 대신할 수 있습니다. 질의와 같이 본래의 서비스 이행을 위한 취급위탁 업무가 아닌 별도의 이벤트,.. 더보기
개인정보를 타 업체에게 위탁할 때는 감독을 잘 하셔야 해요. ■ 개인정보 처리 위탁 수탁자 관리감독 위반 『정보통신망이용촉진및정보보호등에관한법률』 제25조 5항에 따르면 ‘수탁자가 개인정보 취급위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다.’ 라고 명시가 되어 있습니다. 즉, 수탁자가 위반한 개인정보보호 규정을 위탁자의 소속 직원으로 보아 처벌이 가능하다는 이야기입니다. 사례1 (이미지 출처: 한국인터넷진흥원 전국 순회 교육 자료) 대부분의 사업체들이 위탁업체를 두고 운영을 하고 있는데요 위탁업체에 개인정보를 제공할 때는 위탁업무에 필요한 최소한의 정보만을 제공해야 하며 위탁업체가 임의로 개인정보를 저장,출력 또는 다른 목적으로 사용할 수 없도록 관리.. 더보기
현대캐피탈 해킹 진원지 - 리스차량 정비 서비스 현대캐피탈 개인정보 유출 사고와 관련하여 기사에 올라온 내용을 보면, 이번 유출 진원지가 [리스차량 정비 시스템]이라고 합니다. 현대캐피탈 서비스 중에 차량을 리스해 주는 서비스가 있고, 고객들은 자신의 리스차량 계약현황, 정비사고현황, 범칙금 관리 등의 내용을 본 시스템에서 확인할 수 있다고 합니다. 바로 이 리스차량시스템에 고객들이 남기는 로그 정보를 통해 이름, 주민등록번호, 휴대폰 번호 정보가 유출되었다고 합니다. [현대캐피탈 해킹 사고 관련 뉴스 보도] 제가 이전 포스트에서도 지적했듯이 현대캐피탈은 900 여개가 넘는 업체와 개인정보 업무 위탁을 하고 있습니다. 이번 사고도 현대캐피탈 본 서버에서 발생한 것이 아니라 제휴 업체와 연결된 서버에서 발생된 것입니다. 현대캐피탈 개인정보 제3자 제공 .. 더보기