개인정보 처리 위수탁 계약
1. 근거
- 개인정보 처리 업무를 위탁하는 경우 그 내용을 반드시 문서로 유지하여야 한다.
§ 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. <개정 2023. 3. 14.>
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. <개정 2023. 3. 14.>
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.>
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다. <신설 2023. 3. 14.>
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. <개정 2023. 3. 14.>
⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다. <개정 2023. 3. 14.>
[시행일: 2023. 9. 15.] 제26조
2. 필수사항
- 문서로 유지할 때는 다음과 같은 사항을 반드시 포함시켜야 한다.
§개인정보 처리 위수탁 안내서 9p 참조(한국인터넷진흥원)
① 위탁업무의 목적 및 범위
② 위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항
③ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
④ 개인정보의 기술적,관리적 보호조치에 관한 사항
※ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
⑤ 재위탁 제한에 관한 사항
⑥ 수탁자가 준수하여야 할 의무를 위반한 경우 손해배상 등 책임에 관한 사항
3. 위반 시 벌칙
- 문서를 유지하지 않을 경우 1천만원 이하의 과태료 처분을 받을 수 있다.
§개인정보보호법 제75조(과태료)
④ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. <개정 2017. 4. 18., 2020. 2. 4.>
4. 제26조제1항을 위반하여 업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 아니한 자
4. 참고사항
- 개인정보 처리 위수탁 안내서(한국인터넷진흥원)
- 표준 개인정보처리 위탁 계약서(안)(개인정보 포털)
5. 개인정보 처리 위탁사실 공개
- 개인정보처리자는 개인정보 처리의 위탁에 관한 사실을 정보주체에게 공개하여야 한다.
§개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
§개인정보보호법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)
② 법 제26조제2항에서 “대통령령으로 정하는 방법”이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다.
③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 한다.
1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
6. 재위탁
- 개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 제 3자에게 위탁하는 경우(이하 "재위탁"이라 한다) 원수탁자는 원위탁자에게 동의를 얻어야 한다.(동의를 득한 내용은 문서로 근거유지)
§개인정보 처리 위수탁 안내서 20p 참조(한국인터넷진흥원)
- 재위탁에 관한 사실도 정보주체에게 공개하여야 한다.