[개인정보보호법] 수탁사의 개인정보처리 의무

개인정보를 위탁 받아 처리하는 경우 개인정보처리자와 동일하게 준수해야하는 개인정보보호법이 있다.

수탁자는 일부 조문에 대해 개인정보처리자의 의무와 책임을 부과하며 지키지 않을 경우 법규 위반으로 처벌될 수 있으니 꼭 챙겨야 한다.

 

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 

⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다. 

 

제16조(개인정보의 수집 제한) : 최소 수집

제17조(개인정보의 제공) : 합리적으로 관련된 범위에서 제공 (위탁받은 자가 제공할 수 있는 부분이 있다. 단, 위탁 받을 때 제공이 가능한 부분까지 검토되어 받아야 할 것으로 보임)

제18조(개인정보의 목적 외 이용ㆍ제공 제한) : 목적 외 이용 및 제공 제한

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2023. 3. 14.>

② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.

④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

제22조(동의를 받는 방법) : 목적 외 이용 등에 따른 정보주체 동의를 받을 때

제22조의2(아동의 개인정보 보호)

제23조(민감정보의 처리 제한)

제24조(고유식별정보의 처리 제한)

제24조의2(주민등록번호 처리의 제한)

제25조(고정형 영상정보처리기기의 설치ㆍ운영 제한)

제25조의2(이동형 영상정보처리기기의 운영 제한)

제27조(영업양도 등에 따른 개인정보의 이전 제한)

제28조(개인정보취급자에 대한 감독)

제28조의2(가명정보의 처리 등)

제28조의3(가명정보의 결합 제한)

제28조의4(가명정보에 대한 안전조치의무 등)

제28조의5(가명정보 처리 시 금지의무 등)

제28조의7(적용범위)

제28조의8(개인정보의 국외 이전)

제28조의9(개인정보의 국외 이전 중지 명령)

제28조의10(상호주의)

제28조의11(준용규정)

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4., 2023. 3. 14.>

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

3의3. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항

6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

제30조의2(개인정보 처리방침의 평가 및 개선권고) 

제31조(개인정보 보호책임자의 지정 등)

제33조(개인정보 영향평가)

제34조(개인정보 유출 등의 통지ㆍ신고)

제34조의2(노출된 개인정보의 삭제ㆍ차단)

제35조(개인정보의 열람)

제35조의2(개인정보의 전송 요구)

제36조(개인정보의 정정ㆍ삭제)

제37조(개인정보의 처리정지 등)

제37조의2(자동화된 결정에 대한 정보주체의 권리 등)

제38조(권리행사의 방법 및 절차)

제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다. <개정 2023. 3. 14.>

1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위

2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위

3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위

제63조(자료제출 요구 및 검사)

제63조의2(사전 실태점검)

제64조의2(과징금의 부과)

 

표준 개인정보 보호지침 제17조(개인정보 보호 조치의무) 수탁자는 위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적ㆍ기술적ㆍ물리적 조치를 하여야 한다.

 

아래는 해당 법조문 원본으로 위탁사와 수탁사와의 관계 등 위탁에 따른 개인정보 처리 내용을 규정하고 있다. 참고하기 바란다.

---

 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.  <개정 2023. 3. 14.>

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항

3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.  <개정 2023. 3. 14.>

③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.  <개정 2015. 7. 24.>

⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.  <신설 2023. 3. 14.>

⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.  <개정 2023. 3. 14.>

⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다.  <개정 2023. 3. 14.>

---