ISMS-P 인증 기준 3.3.2.개인정보 처리 업무 위탁: Difference between revisions

• 영역: 3.개인정보 처리단계별 요구사항
• 분류: 3.3.개인정보 제공 시 보호조치

개요[edit | edit source]

세부 설명[edit | edit source]

개인정보 처리 업무 위탁 시 수탁자 공개[edit | edit source]

개인정보 처리업무를 제3자에게 위탁하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 정보주체가 언제든지 쉽게 확인할 수 있도록 지속적으로 공개하여야 한다.

정보주체에게 알려야 할 사항

• 1. 위탁하는 업무의 내용
• 2. 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)
  • ʻ수탁자ʼ는 개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자 (재수탁자)를 포함

• 개인정보 처리업무 위탁 사항 공개 방법(개인정보 보호법 시행령 제28조제2항, 제3항)
  • 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법
  • 인터넷 홈페이지에 게재할 수 없는 경우 공개 방법(다음 방법 중 하나 이상의 방법 활용)
    • 1. 위탁자의 사업장 등 보기 쉬운 장소에 게시하는 방법
    • 2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
    • 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
    • 4. 재화나 서비스를 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

주의사항

• 수탁자의 수가 많을지라도 해당 수탁자명을 모두 열거하여 공개 필요
• 재위탁이 존재하는 경우 재위탁에 관한 사항도 함께 공개 필요
• 위탁하는 업무의 내용 또는 수탁자가 변경된 경우 지체 없이 변경된 내용을 반영하여 인터넷 홈페이지 등을 통하여 공개 필요

홍보 위탁 시 정보주체 고지 의무[edit | edit source]

재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.

• 통지방법: 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)
• 통지사항: 위탁하는 업무의 내용, 수탁자

증거 자료[edit | edit source]

• 개인정보 처리방침(개인정보 처리업무 위탁 관련 공개 내역)
• 개인정보 수집 양식
• 개인정보 처리위탁 계약서
• 재화 또는 서비스 홍보·판매 권유 업무 위탁 관련 정보주체 통지 내역

결함 사례[edit | edit source]

• 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나, 일부 수탁자와 위탁하는 업무의 내용이 누락된 경우
• 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하면서, 위탁하는 업무의 내용과 수탁자를 서면등의 방법으로 정보주체에게 알리지 않고 개인정보 처리방침에 공개하는 것으로 갈음한 경우
• 기존 개인정보 처리업무 수탁자와의 계약 해지에 따라 개인정보 처리업무 수탁자가 변경되었으나, 이에 대하여 개인정보 처리방침에 지체 없이 반영하지 않은 경우
• 개인정보 처리업무를 위탁받은 자가 해당 업무를 제3자에게 재위탁을 하고 있지만, 재위탁에 관한 사항을 인터넷 홈페이지 등에 공개하고 있지 않은 경우

같이 보기[edit | edit source]

• 정보보호 및 개인정보보호관리체계 인증
• ISMS-P 인증 기준
• ISMS-P 인증 기준 세부 점검 항목
• ISMS-P 인증 기준 3.3.3.영업의 양수 등에 따른 개인정보의 이전

참고 문헌[edit | edit source]

• 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)