IT/영어 공부노트
[개인정보] '위탁'과 '제3자제공'의 차이 본문
개인정보의 위탁과 개인정보 제3자 제공, 같은 것 일까요?
결론부터 말하자면 아닙니다.
위탁과 제공 모두 제3자가 정보를 처리한다는 공통점만 존재할 뿐 차이점이 매우 많습니다!
둘 사이에 어떠한 차이점이 있고, 위탁과 제공 시 어떤 주의점을 알아야 할 지 오늘 알아보며 두 개념을 완벽히 이해해봅시다.
1. 개인정보 업무 위탁
| 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. <개정 2023. 3. 14.> ③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. ⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. ⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다. <신설 2023. 3. 14.> ⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. |
개인정보 보호법에 나온 업무 위탁 항목입니다.
한마디로 업무 위탁이란, 개인정보의 업무를 제3자에게 위탁하는 경우로, 업무의 목적은 위탁자의 이익입니다. 이로 인해 따로 정보주체의 동의는 받을 필요가 없지만, 개인정보처리방침에 표시를 해야 합니다.
또한 수탁자도, 위탁자의 소속 직원으로 보아 업무 대행사에서 개인정보 침해사고가 나더라도, 손해배상 책임은 위탁자에게 있습니다! 해서 수탁자에 대한 교육과 감독이 필요합니다.
위·수탁 업무 사례
1. 홈페이지 사이트 관리 대행
2. 인사 관련 문서 파기를 위해 파쇄업체 고용
3. 고객 대상 만족도 조사를 위해 컨설팅 회사에세 고객 리스트 제공
4. 쇼핑몰 거래 택배사
2. 개인정보 제3자제공
| 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 삭제 <2023. 3. 14.> ④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.> |
말 그대로 개인정보를 제3자에게 제공하는 것으로, 우리들 회원가입 시에 체크하던 항목을 떠오르면 쉽습니다.
주로 선택 항목으로 (필수일 때도 있음!) 자주 보는, 제3자 제공 동의가 위의 개인정보보호법 항목에 해당하는 것이죠.
이 업무의 목적은 제3자의 이익을 위해서 입니다! 이게 위탁과 가장 큰 차이점이죠. 제3자의 이익을 위해서 개인정보를 제공한다! 이는 본 고객이 서비스를 이용하면서 필요한 목적이 아니기에 사전동의가 필수인 것 입니다.
동의를 받을 때에는, 위 2항에서 나오는 것처럼 총 5가지를 명시해야합니다.
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
또한 제3자 제공에 대해서도 개인정보처리방침에 명시하셔야 합니다.
3. 업무위탁과 제3자 제공 비교하기
둘을 한 눈에 비교하면 위의 표와 같습니다.
가장 큰 차이점인 이전 목적을 확실히 알고 가면, 아래의 내용들은 쉽게 파악 가능합니다.
- 목적이 위탁자의 이익이니, 서비스를 운영하기 위에 필요한 업무로 정보 주체도 사전 예측이 가능하고, 위탁자에게 손해배상 책임이 있으니 관리감독을 해야한다!
- 목적이 제3자의 이익이니, 정보주체가 예측이 불가하고, 동의를 받아야 하며 손해배상책임고, 관리감독도 제공받는 제3자의 몫!
참조
[1] 캐치시큐 - 위탁과 제3자 제공, 더이상 헷갈리지 마세요 https://www.catchsecu.com/archives/10756
[2] 패스트파이브 - 개인정보 제3자 제공 및 처리 위탁이란? https://brunch.co.kr/@fastfive/509
[3] 법무법인 세움 - 개인정보의 '제3자 제공'과 '처리위탁' 구분하는 방법 https://www.seumlaw.com/insights/publications/979
[4] KISA - 개인정보 처리 위수탁 안내서 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7040
[5] 개인정보위원회 - 개인정보처리방침 개인정보처리방침 | 개인정보보호위원회 > > 정보관리 (pipc.go.kr)
