[스타트업 법률가이드] #83. 개인정보의 ‘제3자 제공’과 ‘처리위탁’ 구분하는 방법
안녕하세요, 최낙원 변호사입니다.
사업을 하다 보면 거래 상대방, 협력업체, 제3자 등에게 고객의 개인정보를 이전하여야 하는 경우가 빈번하게 발생합니다. 이때 자칫 잘못하면 그와 관련한 개인정보 보호법상의 의무를 간과하게 되고, 이는 형사처벌이나 과태료 등의 제재로 이어질 수 있습니다.
특히 개인정보처리자는 개인정보 보호법에 따라 ‘개인정보 처리방침’을 정해야 하는데, ‘개인정보 처리방침’에는 개인 정보의 제3자 제공에 관한 사항 또는 개인정보처리의 위탁에 관한 사항 등이 포함되어야 합니다.
하지만 개인정보 관련 전문 인력이 부재한 회사의 경우 회사와 제3자 사이의 다양한 거래들 중 무엇이 개인정보의 제3자 제공 또는 개인정보처리의 위탁에 해당하는지, 양자는 어떻게 구별하는지에 대해 혼란을 느낄 수 있습니다.
그래서 이번 기고에서는 개인정보 처리방침 작성 시 개인정보의 제3자 제공과 개인정보처리의 위탁의 구별방법에 대하여 알아보겠습니다.
개인정보의 제3자 동의와 처리 위탁이란?
대법원은 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집∙이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보의 ‘처리위탁’은 본래의 개인정보 수집∙이용 목적과 관련된 위탁자(제공하는 자)의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다고 판시한 바 있습니다.
더불어 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다고 덧붙였습니다(대법원 2017. 4. 7. 선고 2016도13263 판결).
개인정보의 제3자 동의와 처리 위탁의 구별법
위 대법원의 판결을 바탕으로 개인정보의 처리위탁 및 개인정보의 제3자 제공의 차이점을 정리하면 아래 표와 같습니다.
결론
이처럼 개인정보의 처리위탁과 개인정보의 제3자 제공은 유사해 보이지만, 각각에 따라 법령이 요구하는 요건과 절차가 다르므로 엄밀하게 구별하여야 할 필요가 있습니다.
회사가 처리하는 개인정보가 제3자에게 이전되는 경우, 개인정보의 처리위탁 또는 개인정보의 제3자 제공에 해당하는지 여부를 꼼꼼히 살펴 법령을 위반하지 않도록 유의하시기 바라겠습니다.
본 자료에 게재된 내용 및 의견은 일반적인 정보제공만을 목적으로 발행된 것이며, 법무법인 세움의 공식적인 견해나 어떤 구체적 사안에 대한 법률적 의견을 드리는 것이 아님을 알려 드립니다. Copyright ©2021 SEUM Law.