안녕하세요, 베리입니다. 개인정보 업무를 하면 고객의 정보를 외부 업체와 공유해야하는 상황이 생깁니다. 이 때 사용하는 개념이 ‘위수탁' 혹은 ‘제3자 제공'입니다. 오늘은 업무에서 많이 사용하지만 혼용하기 쉬운 용어 ‘위수탁'과 ‘제3자 제공’을 비교해보겠습니다.
이해를 돕기 위해 상황을 제시해 드릴게요.
라즈베리를 판매하는 온라인 쇼핑몰, A가 있습니다.
A는 전문 택배업체 B에게 배송을 위탁합니다.
마켓에 입점해 라즈베리를 팔던 C 농가는 라즈베리 인형을 판매할 이벤트를 기획합니다. 인형 제작 전, 고객들이 인형을 구매할 의향이 있는지 전화로 사전 조사를 하려 합니다. 이 조사는 인형 판매가 목적이므로 A의 라즈베리 판매 목적과는 차이가 있습니다.
C 농가가 시장 조사를 하려면 A 고객의 연락처가 필요 합니다. 이 때 C 농가는 A와 협의 후 고객으로부터 인형 판매를 위한 정보 수집활용에 대해 별도 동의 하에 고객 개인정보를 제공받습니다.
|
감이 오시나요? 감이 오셨다면, 여러분들은 개인정보의 대한 이해가 상당하신 분들입니다.
A 업체는 라즈베리 판매 업무를 수행하기 위해 B 업체에게 위탁을 주었습니다. 따라서 위탁을 의뢰한 A는 위탁자, 그리고 A로부터 업무를 위탁받은 B는 수탁자가 됩니다.
C 농가는 인형 구매 의향을 파악하기 위해, 고객에게 별도 동의를 받은 후 A 업체의 고객의 정보를 수집했습니다. 따라서, A 업체는 고객의 정보를 제공하는 ‘제3자 제공하는자'에 해당하며 고객의 정보를 수집한 C는 ‘제3자 제공받는자'가 됩니다.
간단히 정리하면 위탁과 제3자 제공의 의미는 다음과 같습니다.
| 위탁 | 제3자 제공 |
처리 목적 | 정보주체의 업무 수행 목적 | ‘제공받은 자(제3자)’의 업무 목적 |
정보주체 고지 | 별도의 동의 필요 없음 | 정보주체의 별도 동의 필요 |
관리감독 책임 | 위탁자(위탁을 맡긴 자) - 위탁자는 수탁자에 대한 관리감독 의무 | 제공받은 자(제3자) |
손해배상 책임 | 위탁자(위탁을 맡긴 자) | 제공받은 자(제3자) |
위탁 그리고 제3자 제공의 경우 관리 책임에 대해 자세하게 설명해 드릴게요.
[위탁]
개인정보 보호법에서 ‘위탁'에 대한 내용을 찾아보면 위탁자는(위탁을 맡긴 자)는 수탁자(위탁을 받은 자)가 1. 위탁업무 목적으로 한정한 개인정보 처리여부, 2. 개인정보의 기술적ㆍ관리적 보호조치 수행여부 그리고 수탁자를 관리감독하고 교육할 의무가 있습니다.
[위탁, 개인정보 보호법 관련 근거]
개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.>
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다. |
[개인정보의 제공 (제3자 제공)]
‘개인정보의 제공 (제3자 제공)’은 계약 본연의 목적이 아니라 제3자의 이용 목적을 위해, 정보주체의 별도 동의를 받고 개인정보를 제공하는 경우입니다. 따라서, 개인정보 보호 감독 및 책임은 ‘제공 받은 자(제3자)’에게 있습니다.
[개인정보의 제공 (제3자 제공), 개인정보 보호법 관련 근거]
개인정보 보호법 제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.>
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.>
|
이해가 되시나요? 그러면 여기서 퀴즈!
온라인 쇼핑몰 A 업체가 상품의 환불 및 교환 등 고객의 민원 처리를 위해 콜센터 D를 아웃소싱했습니다. 이 경우 A 업체와 콜센터 D는 위수탁 관계에 해당할까요, 아니면 제3자 제공 관계에 해당할까요?
3
2
1
!
답은 위수탁 관계입니다. 이유는 쇼핑몰 A의 상품판매 과정에서 발생한 고객의 민원을 해결해주기 위한 목적으로, 콜센터 D에게 고객정보를 제공하기 때문입니다.
위수탁과 제3자 제공 관계를 이해하셨다면, 관심있는 회사의 개인정보 처리방침을 찬찬히 읽어보시길 추천드립니다. 보이시나요? 개인정보 처리방침 속에 숨어있는 위수탁과 제3자 제공이 눈에 보이시나요?
안 보이신다고 하셔도 괜찮습니다. 찬찬히 배워가면 되죠. :)
-----
[1] 개인정보 보호법
http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95
