개인정보 관련 개념 이해(입문)_개인정보 처리 단계별 절차 이해-이용/제공

개인정보 제3자 제공 개요

개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말함

• 개인정보처리자는 적법 근거가 있는 경우에만 최초 수집한 목적외로 개인정보를 이용하거나 제3자 제공 가능
• 업무를 목적으로 개인정보를 목적외로 이용하거나 제3자에게 제공하는 경우 개인정보 보호 조직의 사전 확인을 받을 필요

처벌 규정

• 위반 시 5년 이하 징역 또는 5천만원 이하의 벌금
• 전체 매출액의 100분의 3 이하 과징금

제3자 제공 개념: 개인정보를 최초 수집한 개인정보처리자(기관.단체.법인 등) 외의 다른 개인정보처리자에게 개인정보가 제공되는 것

• 개인정보가 저장된 저장매체, 개인정보가 인쇄된 출력물.책자, 개인정보를 기재한 수기문서 등을 물리적으로 이전
• 개인정보가 저장된 파일을 네트워크를 통해 전송
• 개인정보가 저장된 DB 등 시스템 접근 권한을 허용하여 개인정보 열람.복사 가능

위탁과 제3자 제공의 구분

유사 개념 비교

• 제3자 제공
  • 개인정보처리자 외의 제3자에게 개인정보의 지배 관리권이 이전되는 것
    • 제공받은 개인정보처리자의 업무 처리와 이익을 위해 개인정보가 이전
    • 제3자가 개인정보에 대한 법적인 관리 책임을 가짐
• 위탁
  • 개인정보처리자의 업무 처리 목적으로 외부의 수탁사에게 전달하는 것
    • 개인정보의 지배관리권은 여전히 최초의 개인정보처리자에게 있어 개인정보 제공 아님
• 영업 양도.합병
  • 개인정보 처리 형태가 변하는 것이 아니라 관리주체만 변경되는 것으로 제3자 제공과는 차이가 있음

개인정보취급자 금지 행위

• 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금

 

개인정보 제3자 제공 적법 근거

1. 정보주체 동의를 받은 경우
2. 다음의 경우에 따라 수집한 목적 범위 내에서 제공하는 경우
   1. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우
   2. 공공기관이 법령 등에서 정한 소관업무 수행을 위해 불가피
   3. 급박한 생명, 신체, 재산의 이익을 위해 필요
   4. 개인정보처리자의 정당한 이익 달성. 정보주체의 권리보다 우선하는 경우
   5. 공공의 안전과 안녕을 위하여 긴급히 필요

처벌 규정

• 전체 매출액의 100분의 3 이하의 과징금

수집한 목적 범위내에 개인정보 제공

• 법률에 제3자 제공에 관한 특별한 규정이 있는 경우 혹은 법령상 의무를 준수하기 위해 제3자 제공이 불가피한 경우
  • 법률에서 개인정보의 활용에 대하여 구체적으로 요구하거나 허용하여야 함
• 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우로서 그 수집 목적 범위 내에서 개인정보를 제공하는 경우
• 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

개인정보의 추가적 이용.제공

• 당초 수집 목적과 합리적으로 관련된 범위 내 정보주체 동의 없이 개인정보 이용.제공 가능

1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

 

개인정보 처리 위탁

위탁 시 조치사항

1. 위탁업무 수행목적 외 개인정보의 처리 금지
2. 개인정보의 기술적.관리적 보호조치
3. 위탁업무의 목적 및 범위
4. 재위탁 제한
5. 개인정보에 대한 접근 제한 등 안전성 확보 조치
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등의 감독
7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등의 책임

개인정보 처리업무 공개 및 수탁사 관리 감독

• 위탁자는 정보주체가 언제든지 쉽게 확인할 수 있도록 위탁 업무 내용, 수탁자를 인터넷 홈페이지 등에 공개(재수탁사 포함)
• 홍보나 판매 권유 업무 위탁 시 업무 내용과 수탁자를 정보주체에게 통지
• 수탁자가 개인정보를 안전하게 관리할 수 있도록 수탁자 교육, 감독

⇒

수탁사에 대한 관리.감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우

전체 매출액의 100분의 3을 초과하지아니하는 범위에서 과징금을 부과

개인정보취급자 주의 사항

• 위수탁 계약종료 전후 개인정보보호 조직의 검토 및 확인
• 수탁사 선정
  • 위탁 업무 및 수탁사 선정
  • 위탁 문서 작성
• 위탁 계약 유지
  • 수탁사 교육 및 관리 감독
  • 재위탁 여부 확인
• 위탁 계약 종료
  • 개인정보 파기 확인

개인정보 위수탁 관련 처벌 사례

• A사는 B사의 서버.계정으로 회원정보를 공공 관리→A사 B사에게 개인정보처리 위탁
• 해커가 사전에 탈취한 관리자 계정으로 B사 서버에 침입하여 A사.B사 회원 8만 7,923명에게 스팸문자 발송

 

개인정보취급자 실천수칙

이용.제공 단계 개인정보 보호 수칙

1. 개인정보는 반드시 최초 수집한 목적 범위 내에서 이용.제공
2. 개인정보를 제3자에게 제공 전 적법 근거를 확인하기
3. 동의를 받아서 제3자에게 재공하는 경우에는 동의서 내 법적 고지 사항을 포함하기
4. 위탁 계약 시 개인정보 보호에 대한 사항을 계약서에 포함하기
5. 수탁자를 주기적으로 교육하고 점검하여 관리.감독을 철저히 하기
6. 위탁 계약 종료 후에 개인정보 파기 여부를 확인하기
7. 제3자 제공과 위탁 처리 전 반드시 개인정보 보호 담당자의 검토 받기