[개인정보] 개인정보 처리업무 위탁계약시 필수사항

(2022. 1. 24. 기준)

1. 개인정보 처리 업무 위탁시 해당 계약에 필수적으로 삽입되어야 하는 사항은 아래와 같다(개인정보 보호법 제26조 및 동법 시행령 제28조 제1항).

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 위탁업무의 목적 및 범위 4. 재위탁 제한에 관한 사항 5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

2. 개인정보 위탁업무 내용은 홈페이지에 지속적으로 게재하는 방법으로 공개하여야 한다(개인정보 보호법 시행령 제28조 제2항).

3. 홍보, 판매권유 등 위탁업무 내용 등의 통지

위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다(개인정보 보호법 시행령 제28조제4항).

위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

위탁자가 과실 없이 서면, 전자우편 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 않는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다(개인정보 보호법 시행령 제28조제5항).

4. 위탁자의 책임 및 의무

위탁자는 수탁자에 대하여 정기적인 교육을 실시하여야 하고, 그 외에 수탁자의 개인정보 처리 현황 및 실태, 목적 외 이용·제공, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 조사·점검하여야 한다(개인정보 보호법 제26조 제4항 및 동법 시행령 제28조 제6항).

수탁자의 불법행위가 발생한 경우, 개인정보 보호법상 위탁자(개인정보처리자)의 소속 직원으로 간주되어, 민법상 사용자책임(부진정연대채무)을 부담한다(개인정보 보호법 제26조 제6항).

5. 수탁자의 책임 및 의무

수탁자는 위탁받은 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니되고, 수탁자에 대하여는 개인정보 보호법 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조의 규정을 준용한다.

즉, 개인정보처리자로서의 의무를 부담하여야 한다.

6. 다른 법률과의 관계

신용정보법의 경우, 신용정보회사등의 신용정보 처리 업무 위탁의 경우에 개인정보 보호법 제26조 제1항부터 제3항까지 및 제5항의 규정을 준용하도록 규정하고 있다(신용정보법 제17조 제1항).

7. 벌칙 규정

위반행위	벌칙
업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 아니한 자 (제26조제1항 위반)	1천만원 이하의 과태료 (제75조제4항제4호)
위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자 (제26조제2항 위반)	1천만원 이하의 과태료 (제75조제4항제5호)
업무위탁에 따른 개인정보 제공을 알리지 아니한 자 (제26조제3항 위반)	3천만원 이하의 과태료 (제75조제2항제1호)
수탁자 관리·감독을 소홀히 하여 수탁자가 「개인정보 보호법」을 위반한 경우 (제26조제4항 관련)	위반행위 관련 매출액의 100분의 3이하 과징금 (제39조의15제1항제4호)
위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공한 수탁자, 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 (제26조제5항 위반)	5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제2호)