1. 개인정보 제공
- 개인정보 제3자 제공의 의미
> 개인정보의 제공이란 개인정보처리자외의 제3자에게 개인정보의 지배, 관리권이 이전되는 것을 의미
> 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람, 복사가 가능하게 하여 개인정보를 공유하는 경우 등도 포함됨
- 제3자의 의미
| 구분 | 정의 | 제3자 해당 여부 | 비고 | 사례 |
| 정보주체 | 개인정보의 소유자 | 미해당 | 본인의 개인정보 자기졀정권리 행사 |
개인정보 수집을 허용 |
| 개인정보처리자 | 개인정보를 처리하는 자 | 미해당 | 수집 목적이 다를 시 목적외 이용 |
공공기관, 일반사업자, 개인, 단체 등 |
| 영업 양수자 | 영업을 양도받은 자 | 해당 | 수집 목적이 같고 처리 주체만 다름 |
개인정보가 포함된 사업인수, 합병, 분할 등 |
| 수탁자 | 업무를 위탁 받은 자 | 해당 | 위탁자의 이익을 위해 개인정보 처리 |
배송업체, 콜센터 등 |
| 제3자 제공받은 자 |
수집목적과 달리 개인정보를 제공 받은 자 | 해당 | 제3자의 이익을 위해 개인정보 처리 |
제휴 판매사, 계열회사, 모회사-자회사, 관계회사 |
| 국외이전 받은 자 |
정보주체의 개인정보를 받은 국외 처리 자 | 해당 | 위탁, 제3자 제공 모두 해당할 수 있음 |
해외 지사, 글로벌 해외 소재 회사 |
- 제공의 의미
| 구분 | 제공 방법 | 제공 레벨 | 제공 사례 |
| 저장매체를 통한 전달 | 물리적 | 사물 | 디스크, 테이프, 외장하드, USB, CD, 출력물 전달 |
| 네트워크를 통한 전송 | 논리적 | 네트워크 | 파일 업로드, 파일 다운로드, FTP 등을 통한 파일 전송 |
| DB 제3자 접근권한 부여 | 논리적 | 데이터베이스 | 개인정보 DB 제3자 열람, 복사 등 권한 부여 |
| 개인정보처리시스템 접근권한 부여 |
논리적 | 응용프로그램 | 종류 다양 |
| 기타 확인 행위 | N/A | 다양 | 육안, SMS, 이메일 등 |
- 제3자 제공, 처리 위탁, 영업양도 시 개인정보 이전의 차이점
| 구분 | 제3자 제공 | 처리 위탁 | 양도 개인정보 이전 |
| 목적 | 제공받는 자(제3자)의 목적, 이익을 위해 개인정보 이전 | 제공하는 자의 목적, 이익을 위해 개인정보 이전 | 개인정보 처리목적은 유지되고 단지 개인정보의 보유, 관리 주체만 변경 |
| 관리책임 | 개인정보 이전 후에는 제공 받는 자 (제3자)의 관리범위에 속함 | 개인정보 이전 후에도 원칙적으로 제공하는 자의 관리범위에 속함 | 영업양도, 합병 후에는 양수자의 관리범위에 속함 |
| 허용요건 | 정보주체 고지, 동의 또는 법률의 규정 등 | 처리위탁사실 공개 | 정보주체에게 통지 |
| 위반 시 처벌 | 형사벌금(5년 이하 징역 또는 5천 만원 이하 벌금) | 과태료(2천만원 이하) | 과태료(1천만원 이하) |
| 사례 | 기업 간 이벤트 또는 업무 제휴 등을 통한 개인정보 제공 | 콜센터, A/S 센터 등의 외부 위탁 | 기업 간 양도, 합병 |
2. 개인정보 제3자 제공
| 개인정보보호법 제17조(개인정보의 제공) |
| ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.> 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다. ④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.> |
| 개인정보보호법 시행령 제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) |
| ① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각 호의 사항을 고려해야 한다. 1. 당초 수집 목적과 관련성이 있는지 여부 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부 3. 정보주체의 이익을 부당하게 침해하는지 여부 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 ② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다. [본조신설 2020. 8. 4.] |
| 개인정보보호법 제15조(개인정보의 수집ㆍ이용) 및 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) |
| ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) ② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다. 1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우 3. 다른 법률에 특별한 규정이 있는 경우 |
- 개인정보의 수집, 이용기준과 제공기준의 비교
| 기준 | 수집, 이용(제15조) | 제공(제17조) |
| 정보주체의 동의를 받은 경우 | 가능 | 가능 |
| 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 | 가능 | 수집목적 범위 내에서 제공 가능 |
| 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 | 가능 | 수집목적 범위 내에서 제공 가능 |
| 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 | 가능 | 제공불가 (정보주체 동의 필요) |
| 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 | 가능 | 수집목적 범위 내에서 제공 가능 |
| 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 | 가능 | 제공불가 (정보주체 동의 필요) |
3. 개인정보 국외이전
| 개인정보보호법 제39조의12(국외 이전 개인정보의 보호) |
| ① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다. ② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다. ③ 정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다. 1. 이전되는 개인정보 항목 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다) 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간 ④ 정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다. ⑤ 이용자의 개인정보를 이전받는 자가 해당 개인정보를 제3국으로 이전하는 경우에 관하여는 제1항부터 제4항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “개인정보를 이전받는 자”로, “개인정보를 이전받는 자”는 “제3국에서 개인정보를 이전받는 자”로 본다. [본조신설 2020. 2. 4.] |
| 개인정보보호법 제39조의13(상호주의) |
| 제39조의12에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 그러하지 아니하다. [본조신설 2020. 2. 4.] |
- 개인정보의 국외 제3자 제공
> 개인정보처리자는 동의 받은 범위를 초과하여 국외 제3자에게 제공하여서는 아니 됨
> 그러나 법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음
> 공공기관은 제18조 제2항 제5호~제9호까지의 경우에 해당하는 경우에만 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음
> 정보통신서비스 제공자등이 국외 제3자 제공을 포함하여 개인정보를 국외로 이전하는 경우에는 제39조의2에 따라 동의를 받아야하며, 제18조 제2항 제1호, 제2호에 해당하는 경우에만 동의 받은 범위를 초과하여 국외로 이전 가능
- 개인정보 국외 이전 동의 시 고지사항
| 개인정보보호법 제17조(개인정보의 제공) | 개인정보보호법 제39조의12(국외 이전 개인정보의 보호) |
| 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 |
1. 이전되는 개인정보 항목 2. 개인정보가 이전되는 국가, 이전일시 및 이전방법 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다) 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간 |
- 국외 이전 시 정보주체 동의 의무
| 개인정보처리자 - 개인정보보호법 제17조(개인정보의 제공) | 정보통신서비스 제공자 - 개인정보보호법 제39조의12(국외 이전 개인정보의 보호) |
| ③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다. ※ 고지만해도 된다는 예외 조항이 없으므로 국외의 제3자 제공 동의를 받아야 함 |
② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다. |
- 개인정보 국외 이전에 관한 계약 시 고려사항
| 개인정보처리자 - 개인정보보호법 제17조(개인정보의 제공) | 정보통신서비스 제공자 - 개인정보보호법 시행령 제48조의10(개인정보 국외 이전 시 보호조치) |
| 개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 됨 | 정보통신서비스 제공자 등은 아래의 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 함 1. 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치 |
4. 개인정보 처리 위탁
| 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) |
| ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.> ⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. ⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. ⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다. |
| 개인정보보호법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치) |
| ① 법 제26조제1항제3호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다. 1. 위탁업무의 목적 및 범위 2. 재위탁 제한에 관한 사항 3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 5. 법 제26조제2항에 따른 수탁자(이하 “수탁자”라 한다)가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 ② 법 제26조제2항에서 “대통령령으로 정하는 방법”이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다. ③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 한다. 1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법 4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법 ④ 법 제26조제3항 전단에서 “대통령령으로 정하는 방법”이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등의 방법”이라 한다)을 말한다. ⑤ 위탁자가 과실 없이 제4항에 따른 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다. ⑥ 위탁자는 수탁자가 개인정보 처리 업무를 수행하는 경우에 법 또는 이 영에 따라 개인정보처리자가 준수하여야 할 사항과 법 제26조제1항 각 호의 사항을 준수하는지를 같은 조 제4항에 따라 감독하여야 한다. |
- 위탁 증가와 위험
> 분업화에 따라 비용절감, 업무효율화, 서비스 개선 등 다양한 목적으로 위탁 사례 증가 및 개인정보 재유통, 남용 등의 위험 증가
> 업무위탁으로 인한 개인정보 침해유형
① 판매실적 증대를 위한 무분별한 재위탁 등 개인정보의 재제공
② 고객 개인정보를 이용하여 부가서비스 등 다른 서비스에 무단 가입
③ 고객 DB를 빼내어 판매
④ 정보시스템 안전조치 미비로 인한 개인정보 유출 등
- 위탁의 유형
| 구분 | 설명 | 유형 |
| 개인정보처리업무 위탁 | 개인정보의 수집, 관리 업무 그 자체를 위탁 | 개인정보처리시스템 운영 업무 위탁 |
| 개인정보취급업무 위탁 | 개인정보의 이용, 제공이 수반되는 일반업무를 위탁 | - 홍보, 판매권유 등 마케팅 업무의 위탁 - 상품배달, 애프터서비스 등 계약이행업무의 위탁 |
- 업무 위탁과 제3자 제공 비교
| 구분 | 업무 위탁 | 제3자 제공 |
| 관련조항 | 개인정보보호법 제26조 | 개인정보보호법 제17조 |
| 예시 | 배송업무 위탁, TM 위탁 등 | 사업제휴, 개인정보 판매 등 |
| 이전 목적 | 위탁자의 이익을 위해 처리(수탁업무 처리) | 제3자의 이익을 위해 처리 |
| 예측 가능성 | 정보주체가 사전 예측 가능 (정보주체의 신뢰 범위 내) |
정보주체가 사전 예측 곤란 (정보주체의 신뢰 범위 밖) |
| 이전 방법 | 원칙: 위탁사실 공개 예외: 위탁사실 고지(마케팅 업무위탁) |
원칙: 제공목적 등 고지 후 정보주체 동의 획득 |
| 관리, 감독 책임 | 위탁자 책임 | 제공받는 자 책임 |
| 손해배상 책임 | 위탁자 부담(사용자 책임) | 제공받는 자 부담 |
- 위탁 목적 등 문서화
① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
② 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
③ 위탁업무의 목적 및 범위
④ 재위탁 제한에 관한 사항
⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
- 수탁자 선정 시 고려사항
① 인력
② 물적 시설
③ 재정 부담능력
④ 기술 보유의 정도
⑤ 책임능력 등 수탁자의 개인정보 처리 및 보호 역량
5. 영업의 양도양수
| 개인정보보호법 제27조(영업양도 등에 따른 개인정보의 이전 제한) |
| ① 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다. 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(이하 “영업양수자등”이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처 3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차 ② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다. ③ 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다. |
| 개인정보보호법 시행령 제29조(영업양도 등에 따른 개인정보 이전의 통지) |
| ① 법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 “대통령령으로 정하는 방법”이란 서면등의 방법을 말한다. ② 법 제27조제1항에 따라 개인정보를 이전하려는 자(이하 이 항에서 “영업양도자등”이라 한다)가 과실 없이 제1항에 따른 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지에 게재할 수 없는 정당한 사유가 있는 경우에는 다음 각 호의 어느 하나의 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 있다. <개정 2020. 8. 4.> 1. 영업양도자등의 사업장등의 보기 쉬운 장소에 30일 이상 게시하는 방법 2. 영업양도자등의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 또는 같은 조 제2호에 따른 일반일간신문ㆍ일반주간신문 또는 인터넷신문에 싣는 방법 |
- 영업양도, 양수 등의 통지시기
> 영업양도자등이 정보주체에게 개인정보의 이전 사실 등을 통지할 때에는 개인정보를 이전하기 전에 미리 통지
> 최소한 정보주체가 이전 사실을 확인하고 회원탈퇴 등의 권리를 행사할 수 있는 충분한 시간적 여유가 주어져야 함
> 또한, 개인정보를 이전하는 경우에는 실제 개인정보 DB가 이전되는 시점이 아닌 합병 등 계약 체결 시점에 통지하여야 함
> 정보주체에게 개인정보의 이전사실 등을 통지할 떄에는 개인정보를 이전받은 후 지체 없이 통지하야 함
- 개인정보의 목적 외 이용, 제공 금지
> 영업양수자등은 영업의 양도, 합병 등으로 개인정보를 이전받은 경우 이전 당시의 본래의 목적으로만 이용 및 제공할 수 있음
> 목적 외 다른 용도로 이용 및 제공하고자 할 경우 관련 규정(개보법 제18조)에 따라 별도 동의를 받거나 다른 요건을 충족하여야 함
- 가명정보의 적용 제외
> 가명정보를 이전하는 경우에는 적용되지 않음
6. 개인정보 제공 시 유의사항
- 개인정보 제공 시 위험 및 대책
| 원인 | 위험 | 대책 |
| 개인정보 취급자 증가 | 개인정보 오남용으로 인한 침해 위험 증가 | 개인정보 제공 시 최소한의 개인정보를 최소권한에 따라 처리 |
| 침해로 인한 책임소재 불분명 | 침해 원인 및 책임 소재 파악 어려움 | 개인정보 처리에 대해 계약서 등으로 손해배상 명시 |
| 개인정보보호 통제력 약화 | 제3자에게 통제할 수 있는 영향력 감소 | 개인정보 처리 관리감독, 처리 제한, 재위탁 시 승인 등 보호대책 이행 |
| 정보주체 제공 사실 고지/통지/공유 미흡 |
개인정보 제공에 대한 예측 어려움 | 제공 시 고지 및 동의, 개인정보 처리방침 공개 또는 정보주체 통지 |
- 개인정보 제공 유형별 유의사항
| 구분 | 제3자 제공 | 처리 위탁 | 양도 개인정보 이전 | 국외 이전 |
| 고지, 동의, 통지 | 제3자 제공 시 명확히 고지 후 별도 동의 | - 동의 불필요 - 홍보 및 판매 권유 시 정보주체 통지 |
개인정보 이전 사실 통지 | 개인정보 국외 이전 시 명확히 고지 후 별도 동의 |
| 개인정보 처리방침 |
공개(제3자 제공 현황) | 공개(업무 내용 및 수탁자) | N/A | 국외 이전 사실 공개 |
| 보호대책 통제 |
- 제3자 목적 외 이용 및 제공 제한 - 제3자 보호조치 요청 - 제3자 제공 시 제공 내역 기록, 보관 |
- 위탁 시 계약서 작성 - 재위탁 시 위탁자 사전 동의 - 수탁사 관리감독 |
- 양수자 목적외 이용 및 제공 제한 - 양도자 및 양수자 이전사실 통지(양도자 통지시 양수자 통지 면제) |
국외 이전 시 보호조치 이행 |
'개인정보보호(법) > CPPG' 카테고리의 다른 글
| Part 5. 개인정보 관리체계 (0) | 2023.06.07 |
|---|---|
| Part 4. 개인정보의 보호조치_개인정보의 보호조치 개요 (0) | 2023.05.06 |
| Part 3. 개인정보보호 라이프사이클 관리_개인정보 저장, 관리 (0) | 2023.04.24 |
| Part 3. 개인정보보호 라이프사이클 관리_개인정보 수집, 이용 (0) | 2023.04.23 |
| Part 2. 개인정보보호의 제도_분쟁해결 절차 (0) | 2023.04.17 |