1. 업무위탁에 따른 개인정보의 처리 제한(제26조)
‘개인정보 처리 업무의 위탁’이란 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다.
업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람에게 이전하거나 다른 사람과 공유하게 되지만, 업무위탁의 경우에는 업무위탁자인 개인정보처리자의 이익을 위하여 그 업무처리 범위 내에서 개인정보 처리가 행해지고 위탁자인 개인정보처리자의 관리·감독을 받지만, 제3자 제공은 제3자의 이익을 위해서 개인정보 처리가 행해지고 제3자가 자신의 책임 하에 개인정보를 처리하게 된다는 점에서 차이가 있다.
2. 업무위탁의 유형
(1) 개인정보 ‘처리’ 업무 위탁
개인정보의 수집·관리업무 그 자체를 위탁하는 경우
(2) 개인정보 ‘취급’ 업무 위탁
개인정보의 이용ᆞ제공이 수반되는 일반업무를 위탁하는 경우를 말하며, 이는 다시 홍보ᆞ판매권유 등 마케팅업무의 위탁과 상품배달ᆞ애프터서비스 등 계약이행업무의 위탁으로 구분될 수 있다.
3. 업무위탁의 절차ᆞ방법
(1) 위탁 목적 등의 문서화
업무위탁시 법적 구속력이 있는 계약서 또는 그와 동일한 효력이 있는 문서에 의하여야 하며, 다음의 내용이 포함되어야 한다.
※ 계약서 등 문서에 포함되어야 할 사항
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적·관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
(2) 위탁업무 내용 등의 공개
위탁자는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 자신의 인터넷 홈페이지에 지속적으로 게재하는 방법으로 공개하여야 하며(영 제28조 제2항), 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 공개하여야 한다(영 제28조 제3항).
※ 위탁업무 등의 공개방법
- 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
- 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시ᆞ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조 제1호 가목ᆞ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
- 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
- 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
4. 마케팅(홍보, 판매권유 등) 업무 위탁시 정보주체에 대한 통지
(1) 정보주체에 대한 통지의무
위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 하며(영 제28조 제4항), 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 통지하여야 한다.
(2) 인터넷 홈페이지 등에 게재할 수 있는 경우
위탁자가 과실 없이 서면, 전자우편 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다.
다만, 인터넷 홈페이지를 운영하지 않는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.
5. 수탁자 선정시 고려하여야 할 사항
※ 수탁자 선정시의 고려사항(표준지침 제16조)
- 수탁자의 인력
- 수탁자의 물적 시설
- 수탁자의 재정 부담능력
- 수탁자의 기술 보유의 정도
- 수탁자의 책임능력 등 수탁자의 개인정보 처리 및 보호역량
6. 업무위탁자의 책임과 의무
(1) 수탁자에 대한 교육 및 감독의무
위탁자는 업무 위탁으로 인하여 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 수탁자를 감독하여야 하며, 수탁자가 법령 및 위·수탁 계약에 따라 준수하여야 할 사항의 준수 여부를 확인ᆞ점검하여야 한다.
(2) 수탁자의 불법행위로 인한 위탁자의 손해배상책임
수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 보호법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 보게 되며, 따라서 개인정보처리자는 수탁자가 발생시킨 손해에 대하여 민법상의 사용자책임(대위책임)을 부담한다.
단, 만약 위탁자가 수탁자의 과실로 인하여 정보주체에게 손해배상을 한 때에는 수탁자에게 구상권을 행사할 수 있다.
7. 업무수탁자의 책임과 의무
(1) 위탁받은 업무 목적 외 개인정보 이용ᆞ제공 금지
수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
(2) 개인정보처리자의 의무 등 준용
수탁자도 개인정보 보호법의 적용대상인 개인정보처리자에 해당되며, 수탁자의 법규 준수의무를 이를 명확하게 하기 위하여 별도의 조문으로 보호법 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조의 규정을 준용하도록 명시하고 있다. 다만, 수탁자가 정보통신서비스 제공자등으로부터 개인정보 처리 업무를 위탁 받은 경우에는 그 위탁받은 업무 범위 내에서는 정보통신서비스 제공자등에 관한 특례규정(제6장)을 준수하여야 한다.