경영 효율화를 위해 콜센터, 데이터 보관, 마케팅, 배송 등을 외부에 맡기는 일이 보편화되고 있습니다. 다만 위탁 과정에서 개인정보 유출이 발생하면 위탁자(원청) 역시 책임을 질 수 있어, 계약·관리·공개 전 과정을 체계적으로 마련해야 합니다.
1. ‘개인정보 처리업무 위탁’ 시 법적 책임과 관리·감독 의무
가. ‘개인정보 처리 위탁’이란?
이는 위탁자의 목적을 위해 수탁자가 개인정보를 대신 처리하는 것을 말합니다. 아래는 대표적인 예입니다.
- 쇼핑몰의 고객 CS를 전문 콜센터에 맡기는 경우
- 병원의 환자정보 시스템 운영을 외부 IT업체에 맡기는 경우
- 물류·택배사를 통해 고객에게 상품을 배송하는 경우
나. 책임 구조
수탁자의 위반으로 손해가 발생해도 위탁자도 법에 따라 손해배상 책임을 질 수 있습니다. 따라서 위탁자는 사전 심사·계약 체결·이행 점검·사후 조치까지 전 단계에서 지속적인 관리·감독 체계를 갖춰야 합니다.
다. 위탁 계약의 필수·권장 조항
개인정보 보호법 제26조 및 관련 시행령에 따른 필수 기재사항을 계약서에 포함해야 합니다.
- 위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항
- 개인정보의 기술적·관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
2. 개인정보 처리방침을 통한 공개
기업은 개인정보 처리업무를 위탁하는 경우, 개인정보 처리방침에 다음 사항을 공개해야 합니다.
- 수탁자(법인명/명칭)
- 위탁업무 내용(구체적으로)
수탁자나 위탁업무 내용이 변경되면 지체 없이 처리방침을 업데이트하여 정보주체가 자신의 개인정보가 누구에게, 어떤 목적으로 처리되는지 알 수 있도록 해야 합니다.
3. 자주 묻는 질문(FAQ)
수탁자 위반으로 인한 손해에 대해 위탁자도 책임을 질 수 있습니다. 따라서 계약상 통제·점검과 사고 대응 체계를 갖춰야 합니다.
재위탁 자체가 일률 금지되는 것은 아니지만, 계약으로 사전 승인 절차와 동일 수준의 보호조치를 명확히 두어야 합니다.
위탁은 업무처리를 대신 맡기는 구조, 국외이전은 개인정보가 국외로 이전·보관되는 행위를 의미합니다. 국외이전은 별도의 고지·동의·조치 요건을 검토해야 합니다.
스타트 법무법인은 개인정보 관련 검토를 포함하여, 기업 경영에 대한 법률 자문 서비스를 제공합니다.
관련 문의 사항은 저희 법무법인으로 연락 주시면 상세한 상담을 제공해 드리겠습니다.
메시지 남기기02-6486-0011
hi@startlawfirm.com