1. 업무위탁으로 인한 개인정보 침해유형
- 판매실적 증대를 위한 무분별한 재위탁 등 개인정보의 제재공
- 다른 회사의 상품, 서비스를 동시 취급하면서 개인정보를 공유
- 고객 개인정보를 이용하여 부가서비스 등 다른 서비스에 무단 가입
- 서비스가입신청서 등 개인정보의 분실, 유출
- 고객 DB를 빼내어 판매
- 정보시스템 안전조치 미비로 인한 개인정보유출 등
2. 위탁자와 수탁자 책임과 의무
- 위탁자의 책임과 의무
- 수탁자에 대한 교육 및 감독
- 수탁자의 불법행위로 인한 손해배상책임
- 수탁자의 책임과 의무
- 수탁업무 목적 외 개인정보 이용, 제공 금지
- 개인정보 처리자의 의무 등 준용
- 위탁의 유형
- 개인정보처리업무위탁
- 개인정보취급업무위탁
- 홍모, 판매권유 등 마케팅 업무의 위탁
- 상품배달, 애프터서비스 등 계약이행업무의 위탁
- 위탁자와 수탁자
- 위탁자
- 본래의 개인정보 수집, 이용 목적으로 개인정보를 이전하는 자
- 고객 대상 만족도 조사를 하려는 A기업
- 직원복지 일환으로 리조트와 계약을 맺은 A기업
- 도서관 대출 반납기기를 설치운영하는 도서관
- CCTV 관제센터를 설립 운영하는 00구
- 직원교육을 위해 교육업체와 계약을 맺은 A기업
- 본래의 개인정보 수집, 이용 목적으로 개인정보를 이전하는 자
- 수탁자
- 본래의 개인정보 수집, 이용 목적으로 개인정보를 이전받는 자
- A기업과 계약을 맺고 고객명단을 넘겨받은 B 컨설팅 회사
- A기업으로부터 직원의 성명, 전화번호를 받아 객실예약을 하는 리조트
- 반납기기를 유지보수하는 업체
- 00구의 CCTV를 24시간 모니터링하는 보안업체
- 교육안내 문자를 위해 A기업으로부터 휴대폰번호, 이름을 받은 교육업체
- 본래의 개인정보 수집, 이용 목적으로 개인정보를 이전받는 자
- 위탁자
3. 업무 위탁과 제삼자 제공 비교
- 업무위탁
- 개인정보보호법 제26조
- 배송업무 위탁, TM 위탁 등
- 위탁자의 이익을 위해 처리 (수탁업무처리)
- 정보주체가 사전 예측 가능 (정보주체의 신뢰범위 내)
- 원칙: 위탁사실 공개/예외: 위탁사실 고지 (마케팅 업무위탁)
- 관리 감독 책임: 위탁자 책임
- 손해배상 책임: 위탁자 부담 (사용자 책임)
- 제3자 제공
- 개인정보보호법 제17조
- 사전제휴, 개인정보 판매 등
- 제삼자의 이익을 위해 처리
- 정보주체가 사전 예측 곤란 (정보주체의 신뢰범위 밖)
- 원칙: 제공목적 등 고지 후 정보주체 동의 획득
- 관리 감독 책임: 제공받는 자 책임
- 손해배상 책임: 제공받는 자 부담
4. 위 수탁 시 절차별 수행 내역
- 1단계 : 개인정보 처리 위 수탁 전
- 개인정보처리 위탁 업무 및 수탁자 선정
- 개인정보 위 수탁 문서 작성
- 2단계: 개인정보처리 위 수탁 업무 수행 중
- 개인정보 위탁사실 홈페이지 공개
- 수탁자 관리감독 및 교육
- 3단계: 개인정보처리 위, 수탁 업무 종료
- 개인정보 파기 확인
- 위탁 목적 등 문서화
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적, 관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
- 위탁 업무 공개 방법
- 인터넷 홈페이지 게재 가능
- 인터넷 홈페이지 게재 불가능
- 위탁자의 사업장 등의 보기 쉬운 장소에 게시하는 방법
- 관보 (위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장이 있는 시, 도 이상의 지역을 주된 보급지역으로 하는 신문 등의 진흥에 관한 법률 제2조 제1호 가목, 다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷 신문에 싣는 방법
- 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물, 소식지, 홍보지 또는 청구서 등에 지속적으로 싣는 방법
- 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
- 홍보, 판매권유 등 위탁업무 내용 등의 통지
- 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다
- 위탁자가 과실 없이 서면, 전자우편 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 않는 위탁자의 경우에는 사업장 등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.
- 수탁자 선정 시 고려사항
- 인력
- 물적 시설
- 재정 부담능력
- 기술의 보유 정도
- 책임능력 등 수탁자의 개인정보 처리 및 보호역량
'정보보안 자격증 > CPPG' 카테고리의 다른 글
| CPPG 예상문제 7 (0) | 2024.07.21 |
|---|---|
| CPPG 25. 영업의 양도 양수 (0) | 2024.07.21 |
| CPPG 23. 개인정보 국외 제공 (0) | 2024.07.21 |
| CPPG 22. 노출된 개인정보 (0) | 2024.07.21 |
| CPPG21. 개인정보 저장, 관리 (0) | 2024.07.21 |