​변호사가 직접 작성한 지식글만 게재합니다.

개인정보 처리업무 위탁시 유의 사항


스타트업은 기업 역량을 핵심 업무에 집중하기 위한 목적, 외부 전문성을 충분히 활용하기 위한 목적 등으로 타 업체에 업무를 위탁하는 경우가 많고, 이 과정에서 고객 개인정보가 수탁업체에 이전된다.

개인정보처리 위탁이란, 개인정보처리자(위탁자)가 개인정보 수집·이용 등의 처리 자체를 제3자(수탁자)에게 위탁하거나 개인정보의 이용·제공 등 처리가 수반되는 업무를 수탁자에게 위탁하는 것을 의미하는데, 판례는 개인정보처리 위탁에 관하여, 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미하고, 개인정보처리 위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 된다고 판시한 바 있다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).

개인정보처리 위탁과 구분하여야 할 개념으로 개인정보의 제3자 제공이 있는데, 개인정보의 제3자 제공도 개인정보처리자가 제3자에게 개인정보를 이전하는 것이라는 점에서 개인정보처리 위탁과 동일하지만, 개인정보의 제3자 제공은 개인정보처리 위탁과 달리, 제공받는 자의 업무를 처리할 목적 및 이익을 위해서 개인정보가 이전된다는 점에 차이가 있다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).

이에 이하에서는 스타트업이 타 업체에 개인정보 처리업무를 위탁하는 경우, 개인정보 처리업무의 위탁자로서 지는 의무에 어떤 것들이 있는지 살펴보겠다.

1. 위탁문서 작성 의무

개인정보 보호법은 개인정보처리자가 제3자에게 개인정보의 처리업무를 위탁하는 경우, 아래 표의 내용이 포함된 위탁문서에 의하도록 규정하고 있다(개인정보 보호법 제26조 제1항, 동법 시행령 제28조 제1항).