가. 개인정보 위탁의 개념
■ 개인정보 처리업무의 위탁
사무비용 절감, 업무효율화, 서비스 개선 등 다양한 목적으로 개인정보의 처리업무를 처리를 위탁 하는 것
- 법 제26조에 따른 법적 준수사항을 이행해야 함
■ 개인정보의 ‘위탁'과 ‘제3자 제공'의 차이
┃개인정보 처리업무위탁과 제3자 제공의 비교┃
구분 업무위탁 제3자 제공
관련조항 개인정보 보호법 제26조 개인정보 보호법 제17조 예시 배송업무위탁, TM(Tele Marketing), 처방
전폐기 위탁 등 사업제휴, 개인정보 판매 등
이전목적 위탁자의 이익을 위하여 처리(수탁업무 처리) 제3자의 이익을 위하여 처리 예측가능성 정보주체가 사전 예측 가능 정보주체가 사전 예측 곤란
이전 방법 원칙 : 위탁사실 공개 예외 : 위탁사실 고지
원칙 : 제공목적 등 고지 후 정보주체 동의 획득
관리・감독책임 위탁자 책임(약국 책임) 제공받는 자 책임 손해배상책임 위탁자 부담(사용자 책임) 제공받는 자 부담
나. 개인정보 업무위탁의 절차와 방법
■ 개인정보 처리의 문서화
개인정보의 처리업무를 제3자에게 위탁하는 경우에는 반드시 위탁내용과 책임 등 개인정 보 보호법에 따라 포함하여야 하는 사항들을 문서화 하여야 함
(「개인정보 보호법」 제26조제1항)
개인정보처리위탁 계약서의 기재사항
• 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
• 개인정보의 기술적・관리적 보호조치에 관한 사항(개인정보의 접근제한 등 안전성 확보에 필요한 조치사항 포함)
• 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항
• 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
• 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항
• 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
알아두기
➜ 위탁업무의 내용과 수탁자 공개 방법 및 위반 시 벌칙
• 홈페이지를 운영하는 약국: 개인정보 처리방침에 포함하여 홈페이지에 게시 • 홈페이지를 운영하지 않는 약국: 약국 내에 보기 쉬운 장소에 게시 • 위반 시 벌칙: 1천만 원 이하 과태료 (「개인정보 보호법」 제75조제4항)
┃위탁계약서 작성 방법(예시)┃
항목 내용
위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
▪사업 또는 용역의 목적을 초과한 개인정보의 활용 금지 예) 개인정보의 처리는 계약상의 위임업무 수행을 위한 목적의 범위에
한한다. 또한 위탁받은 개인정보를 제3자에게 제공할 수 없다.
개인정보의 관리적・기술적・물리적 보호조치에 관한 사항
▪고유식별정보의 암호화 적용
▪파일에 대한 암호 설정
▪개인정보 보관 장소의 구분 및 시건장치 등 물리적 보호 조치 예) 컴퓨터를 이용하여 개인정보를 취급하는 경우 개인정보가 분
실, 도난, 누출 또는 훼손되지 않도록 안정성 확보조치에 필요 한 기술적・관리적 보호조치를 강구하여야 한다.
위탁업무의 목적 및 범위 ▪위탁사업의 수행 범위내로 한정 재위탁 제한 또는 손해배상에 관한
사항
▪재위탁 금지 또는 재위탁 시 위탁 받은 개인정보 처리 업무를 수행 하면서 발생하는 손해에 대한 배상을 청구 가능 규정 명시 개인정보에 대한 접근 제한 등 안정
성 확보 조치에 관한 사항
▪개인정보에 대한 접근 권한을 가진 자의 범위
▪개인정보 취급에 따른 이력관리 등 명시
위탁업무와 관련하여 보유하고 있 는 개인정보의 관리현황점검 등 감 독에 관한 사항
▪실태점검을 정기적 또는 비정기적으로 실시하며, 필요시 요청에 응해야 함
▪위탁자의 개인정보 교육 참석 요청에 응해야 하며, 자체 개인정보 교육을 실시하고 결과를 제출해야 함
예) 업무위탁에 의해 발생한 개인정보를 취급하는 담당직원에게 개 인정보를 보호하기 위하여 필요한 교육을 실시하여야 한다. 이 경우‘을’의 개인정보 보호책임자는 교육계획을 수립하여야 한다.
‘을’은 소속직원이 개인정보보호 의무를 성실히 이행하는지 여 부를 감사하여야 한다. 이 경우 개인정보 보호책임자는 감사대 상, 감사절차 및 방법 등 감사의 실시에 관하여 필요한 지침을 수립하여야 한다.
수탁자가 준수하여야 할 의무를 위 반한 경우의 손해배상 등에 관한 사항
▪수탁자가 준수 의무를 위반하여 개인정보의 유출 등과 같은 사고가 발생할 경우, 손해배상의 책임의 의무부과
예) ‘을’은 본 계약서상에 명기한 개인정보 보호의무와 관련된 업무 를 수행함에 있어서 위법 또는 부당한 방법으로 인하여 '갑'에게 손해가 발생한 경우 이를 배상하여야 한다.
‘갑’이 ‘을’의 과실로 인하여 개인정보보호와 관련한 손해배상 책임을 지는 경우, ‘갑’은 ‘을’에게 구상할 수 있다.
※ [붙임2] 표준 개인정보처리위탁 계약서 참조
■ 수탁자에 대한 관리‧감독 수행(실태점검 등)
개인정보 처리 업무를 위탁한 약국은 업무위탁으로 인하여 정보주체의 개인정보가 분실・
도난・유출・위조・변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 함(「개인정보 보호법」 제26조제4항)
■ 위탁 완료 후 개인정보 파기
개인정보 처리 업무위탁이 종료된 경우 수탁자는 해당 개인정보를 파기하고 그 결과를 위탁자(약국)에게 보고하여야 함
위탁자의 확인사항
① 수탁자가 개인정보의 처리과정에서 발생한 개인정보 또는 개인정보파일을 법령이 정하는 절차와 방법에 따라 파기하였고, 파기 결과를 보고하였는가?
② 해당 개인정보 또는 개인정보파일이 위탁 종료 후에도 계속 관리할 필요가 있는가? (관리의 필요가 없는 경우 법령에 따라 파기하도록 함)
③ 개인정보 처리방침에 위탁 내역을 삭제하였는가?
■ 그 밖의 관리방안
수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용 하거나 제3자에게 제공하여서는 아니 됨
수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 약국의 소속 직원으로 간주함
(개인정보 보호법 제26조제6항)