과거 망법과 현 개보법 미묘한 차이 - 3. 제공, 국외 이전 및 위탁

 

Q1. 정보통신서비스 제공자인데, 제3자 제공 동의 받을 시 “동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용”을 알려줘야 하나요?

A1. 네. 알려줘야 합니다.

개인정보 수집ㆍ이용과 달리 제3자 제공 동의을 받을 시 알려주도록 통합됨.

정보통신서비스 제공자 특례 조항에서 삭제됨.

Q2. 정보통신서비스 제공자인데, ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’로서 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우에는 동의를 받지 않아도 되나요?

A2. 계약 이행, 이용자 편의 증진 사유가 아니더라도. 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우 동의를 받지 않을 수 있습니다.

Q3. 정보통신서비스 제공자인데, 개인정보 처리위탁 시 이용자의 동의를 받아야 하나요?

A3. 아니요. 동의는 받지 않아도 되고 위탁사실 공개는 해야합니다. 만약 홍보하거나 판매를 권유하는 업무를 위탁하는 경우는 “서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법”으로 통지도 해야합니다.

Q4. 개인정보를 위탁받아 처리하고 있는 수탁자입니다. 재위탁하려고 할 때 위탁자의 동의를 받아야 하나요?

A4. 개인정보보호법에 규정되지 않았지만, 동의받아야 합니다.

[참고 : 개인정보 처리 위수탁 안내서(2020.12)]

3. 개인정보 처리 재위탁시 준수할 사항

□ 원칙

o 개인정보 처리 업무의 재위탁은 개인정보 유출 등의 위험성을 높이므로 최소한의 범위로 한정하여야 함

• 특히 개인정보 위험을 증가시키는지, 정보주체의 권리에 불이익한 영향을 미치는지 등을 미리 검토하여 재위탁 하는 것이 바람직함

□ 위탁자 조치 사항

o 위탁자는 법 제26조 제4항에 의하여 재수탁자를 교육하고 개인정보 처리 현황을 감독할 의무가 있음

• 다만, 교육 및 감독의 방법에 있어 수탁자와의 사전 협의를 통해 합리적인 수준으로 다양한 방법을 활용할 수 있음

o 위탁자는 법 제26조 제2항에 의하여 재위탁하는 업무의 내용과 재수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개해야 함

• 다만, 홈페이지 내 링크(예 : 수탁사의 개인정보처리방침 링크 등)를 통한 공개 등 다양한 수단을 활용할 수 있음

□ 수탁자 조치 사항

o 개인정보 처리를 재위탁하려는 수탁자는 재위탁 사실을 위탁자에게 미리 알리고 동의를 받아야 함

o 수탁자는 재수탁자와의 관계에서는 민법 제756조의 사용자 책임을 부담하게 되므로 재수탁자에 대한 관리‧감독 의무가 있음