[법률 상식] 개인정보 제3자 제공 및 처리 위탁이란?
처음 방문한 사이트에서 회원가입을 진행할 때
꼭 갖고 싶던 경품 이벤트에 응모할 때
기존에 사용하던 서비스가 타 서비스와 통합 개편되었을 때
일상 곳곳에서 생각보다 자주 만나게 되는 ‘개인정보 수집 및 활용 동의’. 아마 대부분 ‘전체 동의’를 클릭하고 다음 화면으로 넘어가실 텐데요. 요즘은 전체 동의를 누르면 필수가 아닌 선택 항목까지 체크되는 게 신경 쓰여 필수 항목만 골라서 동의하는 분도 많이 계시죠.
일반 소비자로서는 ‘뭐 이런 것까지 신경 써야 할까?’ 싶지만, 비즈니스를 운영할 때는 절대 몰라선 안 되는 ‘개인정보 관련 정보’! 까다로운 법률 용어 때문에 이해하기 어려웠다면, 이 글이 도움이 될 거예요~
이런 내용을 알 수 있어요!
개인정보의 제3자 제공 시 점검이 필요한 법령을 이해할 수 있어요.
개인정보 처리 위탁 내용에 대해 이해할 수 있어요.
*아래 콘텐츠는 [패파솔루션] 공식 제휴사 'JH 법률사무소' 김진희 변호사님이 제공한 내용으로 구성되었습니다.
Q. 개인정보 수집 시, 고객에게 어떤 정보를 미리 알려야 할까요?
A. 우선, 개인정보는 고객에게 서비스를 제공할 때 필수적으로 수집하게 되는 정보 중 하나입니다. 개인정보를 수집하기 위해서는 관련 법령의 요건을 준수하여 개인정보 주체의 동의를 받아야 하는데요. (개인정보 보호법 제15조 제1항 제1호, 제2항 참조)
개인정보를 '직접' 수집할 때는 아래 항목들을 고객에게 필수적으로 안내해야 합니다.
만약 개인정보를 직접 수집하지 않고 서비스 제공 과정에서 제3자에게 수집한 개인정보를 '위탁 처리'하거나 '제공'할 때도 동일하게 관련 법령을 준수해야 합니다.
온라인 플랫폼을 운영하는 사업자라면, 일반적으로 홈페이지 등 온라인 플랫폼 내에 ‘개인정보 처리 방침’이라는 정책을 기재하여 개인정보의 수집 • 관리 • 운영 등에 관한 내용을 명시하고 있습니다.
Q. ‘개인정보의 제3자 제공’이란 무엇인가요?
A. 개인정보의 제3자 제공이란, 개인정보처리자 이외의 자(제3자)에게 개인정보의 지배, 관리권이 이전되는 것을 의미합니다. 즉, 개인정보를 직접 수집한 개인정보처리자의 업무가 아닌 ‘제3자의 업무’를 위해 개인정보가 이전되는 케이스라고 볼 수 있는데요.
여기에서 의미하는 ‘제공’은 개인정보를 저장한 매체나 수기로 작성된 문서를 전달하는 경우뿐만 아니라 데이터베이스(DB)에 대한 접속 권한을 허용하여 열람 • 복사가 가능하게 하여 공유하는 경우도 포함됩니다.
예를 들어, 제휴 보험사 가입 상담을 위하여 해당 보험사에 고객의 개인정보를 제공하는 경우를 생각해 볼 수 있습니다. 이 경우, 개인정보처리자의 서비스 제공 업무와는 전혀 상관없는 제3자인 보험사에 개인정보를 제공하는 것임을 고객에게 안내해야 하는 것이죠.
Q. 개인정보의 제3자 제공이 필요할 때는 고객에게 어떤 정보를 미리 알려야 하나요?
A. 개인정보를 제3자에게 제공할 때는 개인정보를 직접 수집하는 경우와 동일한 법령에 따라 아래 5가지 사항을 알려야 합니다.
특히 제3자를 명시할 때는 반드시 개인정보 주체인 고객이 제3자가 누구인지 알기 쉽게 기재해야 합니다. 공공기관, 정부 기관 등과 같이 포괄적으로 알리지 않고, 이름 또는 상호를 기재하는 것이 바람직합니다.
Q. ‘개인정보 처리위탁’이란 무엇인가요?
A. 개인정보의 처리위탁은 아래 두 가지로 크게 구분될 수 있습니다.
(1) 개인정보의 수집, 관리 업무 그 자체를 위탁하는 ‘개인정보 처리업무’ 위탁
(2) 개인정보의 이용, 제공이 수반되는 ‘일반 업무를 위탁’하는 개인정보 취급업무 위탁
일반적으로 많이 사용되는 일반 업무 위탁 형태의 개인정보 처리위탁은, 본래의 개인정보 수집 및 이용 목적과 관련하여 위탁자 본인 즉, 개인정보처리자가 자신의 업무처리와 이익을 위해 제3자에게 개인정보를 제공하는 경우를 의미합니다.
이때 개인정보를 받는 제3자는 위탁자인 개인정보처리자의 관리, 감독을 받게 됩니다. 이러한 점은 제3자 제공이 제3자의 이익을 위해서 개인정보 처리가 행해지고, 제3자가 자신의 책임하에서 개인정보를 처리하게 되는 것과 구별됩니다.
예를 들어, 온라인 플랫폼을 통해 상품을 판매하는 자가 배송을 A 업체에 맡긴 경우, A 업체에 주소와 이름 등 필요한 개인정보 항목을 제공하고 배송업무를 위탁하게 되는데요. 이러한 경우 개인정보 처리 위탁에 해당한다고 볼 수 있습니다.
위의 법령에 따라 온라인 플랫폼을 운영하는 사업자는 개인정보 처리 방침에 별도의 조항으로 개인정보 처리위탁에 관한 내용을 명시하고, 수탁업체, 수탁업무의 내용(목적)을 공개하고 있습니다.
Q. 개인정보의 제3자 제공과 개인정보 처리위탁의 차이는 무엇인가요?
A. 만일 수집한 개인정보처리자의 서비스 제공 과정에서 필요한 업무를 이행하는 데 일부 업무에 대한 처리를 제3자에게 위탁하고 이 과정에서 수집한 개인정보를 제공하는 경우, 이는 개인정보 처리위탁에 해당합니다.
한편, 개인정보가 제3자에게 이전되는 목적에 따라 업무 위탁과 제3자 제공의 성격을 겸하는 경우가 있을 수 있습니다. 이 경우, 법률상 제3자 제공의 요건만 갖추어도 된다는 예외 규정이 없으므로 개인정보 주체에게 자신의 정보가 어떻게 활용되고 있는지 정확히 알려야 하는데요. 제3자 제공 및 업무 위탁에 관한 조항을 확인하여 각각 명시된 동의 요건을 모두 갖추고 법령에서 정하는 절차와 방법을 마련하는 것이 안전합니다.
Q. 만약 위와 같은 조항을 위반하면 어떻게 되나요?
A. 과태료나 과징금 등의 불이익을 받게 됩니다.
실제로 개인정보를 수집하는 것에만 집중하고, 수집 이후의 처리나 운영 과정에서는 소홀히 하는 경우가 많은데요. 아래와 같이 개인정보 수집 이후 처리(제3자에게 제공되는 경우)에 대해서도 사업자가 준수해야 할 의무 사항이 있으니 이에 관한 내용을 반드시 숙지해야 합니다.
• 개인정보의 제3자 제공 시, 개인정보 주체의 동의를 받지 않은 경우(제17조 제1항 제1호 위반), 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있음 (제39조의15 참조).
• 개인정보 주체의 동의를 받더라도 개인정보 주체에게 알려야 하는 항목을 누락한 경우(제17조 제2항 위반)에는 3천만 원 이하의 과태료가 부과됨 (제75조 제2항 참조).
• 개인정보 처리위탁 시, 위탁업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 수탁자의 정보를 공개하지 않은 경우, 1천만 원 이하의 과태료가 부과됨 (제75조 제4항 제5호 참조).
Q. 우리 회사가 개인정보 보호법을 잘 지키고 있는지 점검할 방법이 있을까요?
A. 아래 항목을 꼭 체크해 보시고, 혹시 놓치고 있었던 부분이 있다면 반드시 보완하는 것이 필요합니다. 물론 가장 좋은 방법은 개인정보 보호법과 정보통신망 이용 촉진 및 정보보호 등에 관련된 법령을 꾸준히 숙지하는 것이겠죠?
☑ 현재 사용하고 있는 개인정보 처리 방침의 내용이 운영 중인 온라인 플랫폼에서 구현되는 내용(수집하는 항목, 필수/선택 항목 표시 등)과 일치하고 있는지 살펴보세요.
☑ 개인정보를 제3자에게 제공하거나 처리 위탁하고 있는 경우, 해당 주체들과 계약서 등을 통해 상호 간의 권리, 의무 관계를 명확하게 명시하였는지 살펴보세요.
☑ 수집한 개인정보를 동의받지 않은 목적으로 사용하고 있는지 확인하세요. (ex. 마케팅 등)
성공적인 사업을 영위하는 과정에서 필수적으로 수집하게 되는 개인정보.
고객의 인권과 연관된 중요한 정보이기에 관련 법령 숙지는 물론, 꾸준한 관심과 꼼꼼한 관리가 매우 중요하다는 사실, 잊지 맙시다!
