본문 바로가기
법률 팁

[개인정보보호법] 업무위탁과 제3자 제공의 차이?(개인정보의 제공)

by 달팽이는 작가가 되고 싶지 2021. 6. 4.
728x170

 

업무위탁과 제3자제공 차이


아래에서는 제3자에게 개인정보를 이전하는 유형으로 개인정보 업무위탁과 개인정보의 제3자 제공에 대해서 설명하고자 합니다.

 

 


 

1. 들어가며

 

 

사업이 세분화되고 전문성과 효율성이 중요시되면서 사업자들은 사업의 일부를 직접 수행하지 않고 타 기업이나 개인에게 위탁하는 일이 많아지고 있습니다. 따라서 회사들은 상품을 제조하고 판매하는 등의 본연의 업무만을 남겨두고 고객 정보의 수집·이용·관리에 대해서는 이른바 외주 용역을 주는 것이 현실입니다. 그런데 이러한 현상의 장점도 있지만 하나의 회사에만 머물러 있던 고객정보가 외부로 노출이 되는 일이 많아지면서 개인정보 유출에 대한 우려도 커지고 있는 것도 사실입니다.

 

 

2. 개인정보 업무위탁과 개인정보 제3자 제공 비교


업무위탁은 개인정보처리자의 업무처리 범위 내에서 개인정보 처리가 되고, 위탁자인 개인정보처리자의 관리·감독을 받는 형태를 의미합니다. 그러나 개인정보 제3자 제공은, 개인정보처리자의 이익이 아닌 '제3자'의 이익을 위해 개인정보가 처리되는 것으로 제3자가 본인의 책임으로 개인정보를 처리하게 됩니다.


업무위탁이냐 제3자 제공이냐를 구분하는 것은 단순히 학문적인 것이 아니라 개인정보를 처리하는 현실에서 누가 개인정보처리에 대한 책임이 있느냐를 가르는 중요한 기준이 됩니다. 판례에서는 업무위탁과 제3자 제공의 구분에 대해서 아래와 같이 설명하고 있습니다.

「개인정보 보호법」제17조에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집ㆍ이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면,「개인정보 보호법」제26조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집ㆍ이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리ㆍ감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로,「개인정보 보호법」제17조에 정한 ‘제3자’에 해당하지 않는다. 한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다(대법원 2017. 4. 7. 선고 2016도13263 판결).

업무위탁과 제3자 제공 비교표

 

 

3. 업무위탁을 하는 방법

 

 

가. 개인정보 처리위탁 계약서를 작성한다

개인정보처리자가 제3자에게 개인정보 처리 업무를 위탁하려면 아래의 내용이 포함된 문서, 즉 계약서를 작성해야 합니다.

1. 위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항
2. 개인정보의 기술적, 관리적 보호조치에 관한 사항
3. 위탁업무의 목적 및 범위
4. 재위탁 제한에 관한 사항
5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
7. 수탁자가 준수하여야 할 의무를 위반한 경우 손해배상 등 책임에 관한 사항

 

나. 위탁업무 내용을 공개해야 합니다.

개인정보처리 위탁자는 위탁하는 업무의 내용과 수탁자에 대해서 정보주체가 언제든지 쉽게 확인할 수 있도록 자신의 인터넷 홈페이지에 게재하는 방법으로 공개해야 합니다. 그러나 인터넷 홈페이지에 게재할 수 없는 경우에는 아래 중 하나 이상의 방법으로 공개해야 합니다.

1. 위탁자의 사업장등 정보주체가 보기 쉬운 장소에 게시
2. 관보나 위탁자 사업장이 있는 시도 이상의 지역을 담당하는 일반일간신문, 일반주간신문, 인터넷신문에 게시
3. 같은 제목으로 연2회 이상 발행하여 정보주체에게 배포하는 간행물, 소식지, 홍보지 또는 청구서 등에 지속적으로 게시
4. 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

 

다. 홍보, 판매권유를 하는 경우에는 업무 내용을 정보주체에게 알려야 합니다.

위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁할 때는 서면, 전자우편, 전화, 문자 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 합니다. 업무의 내용이나 수탁자가 변경된 경우에도 같습니다.

 

 

4. 위탁자의 의무

 

 

가. 위탁자는 수탁자를 관리·감독·교육할 의무가 있습니다.

업무위탁과 제3자제공을 구분하는 실익 중 중요한 포인트로서, 수탁자가 개인정보처리에 있어서 법령을 위반하는 경우 위탁자는 수탁자를 관리·감독 책임이 있기 때문에, 정기적으로 교육을 실시하는 외에 수탁자의 개인정보처리 현황 및 실태, 목적 외 이용·제공, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 조사·점검하여야 합니다.
나. 위탁자는 수탁자의 불법행위로 인한 손해배상책임을 부담합니다.
위 내용과 같이 위탁자는 수탁자에대한 관리·감독 책임이 있고, 이러한 경우 손해에 대해서는 수탁자를 개인정보처리자 즉, 위탁자 소속 직원으로 간주합니다. 따라서 수탁자의 불법행위에 대하여 위탁자는 민법 제756조 사용자책임에 따라 손해배상책임을 부담합니다. 물론 위탁자가 정보주체에게 손해배상을 한 때에는 위탁자는 수탁자에게 구상권을 행사할 수 있습니다.

 

 

5. 수탁자의 의무

 

가. 수탁업무 목적 이외에 개인정보의 이용·제공이 금지됩니다.

당연 하겠지만, 수탁자가 업무 목적 이외에 개인정보를 이용 또는 제3자에게 제공하는 것은, 위탁자로부터 받은 권한 밖의 행위를 하는 것과 동시에 개인정보보호법에서 정한 의무를 위반하는 행위입니다.

 

 

나. 수탁자는 개인정보 보호를 하기위해 기술적·물리적·관리적 조치를 해야합니다.

수탁자는 "개인정보의 안정성 확보조치 기준 고시"에 따라 정보주체의 개인정보를 보호하기 위한 기술적·물리적·관리적 조치를 해야 할 의무가 있습니다.

 

 

6. 개인정보의 제3자 제공의 경우에는?


개인정보의 제3자 제공의 경우에는 개인정보처리자에게 업무위탁과 같은 의무들이 부과되지 않습니다. 그 이유는 제3자제공의 성격을 보면 쉽게 이해가 되는데, 업무위탁은 개인정보처리자의 업무 및 이익을 위해서 하는 것인 반면 제3자 제공은 그 제3자의 업무 및 이익을 위해 개인정보가 제공되는 것이기 때문입니다. 따라서 제공된 개인정보의 보호를 위한 조치는 제3자의 손으로 넘어가게 되어 개인정보처리자에게는 업무위탁과 같은 주의, 관리 의무가 부과될 필요가 없는 것입니다.
다만, 개인정보처리자가 제3자에게 개인정보를 제공하기 위해서는 아래의 내용을 알리고 '동의'를 받아야 합니다(이는 업무 위탁의 경우에도 같습니다).

① 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에 는 그 명칭)
② 제공받는 자의 개인정보 이용 목적
③ 제공하는 개인정보의 항목
④ 제공받는 자의 개인정보 보유 및 이용 기간
⑤ 동의 거부권이 존재하다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 내용


따라서, (실무적인 사항이지만) 제3자를 통해 개인정보 처리업무가 수반된 사업을 하는 것을 계획하고 있다면, 어떠한 경우에 회사의 사업에 유리한지를 따져보아 개인정보 처리업무의 형식을 업무위탁으로 할 것인지 제3자 제공의 형식으로 할 것인지 검토하는 과정이 중요할 것 같습니다.

 

 

 

* 해당 글은 글쓴이 개인의 의견이므로 구체적인 사안에 대하여는 법률 전문가의 도움을 받으시기 바랍니다.

 

그리드형

댓글