전문가칼럼

[스타트업 법률상식83] 개인정보 처리업무 위탁시 유의 사항

김도윤
[법무법인 민후 김도윤 변호사] 스타트업은 기업 역량을 핵심 업무에 집중하기 위한 목적, 외부 전문성을 충분히 활용하기 위한 목적 등으로 타 업체에 업무를 위탁하는 경우가 많고, 이 과정에서 고객 개인정보가 수탁업체에 이전된다.

개인정보처리 위탁이란, 개인정보처리자(위탁자)가 개인정보 수집·이용 등의 처리 자체를 제3자(수탁자)에게 위탁하거나 개인정보의 이용·제공 등 처리가 수반되는 업무를 수탁자에게 위탁하는 것을 의미하는데, 판례는 개인정보처리 위탁에 관하여, 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미하고, 개인정보처리 위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 된다고 판시한 바 있다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).

개인정보처리 위탁과 구분하여야 할 개념으로 개인정보의 제3자 제공이 있는데, 개인정보의 제3자 제공도 개인정보처리자가 제3자에게 개인정보를 이전하는 것이라는 점에서 개인정보처리 위탁과 동일하지만, 개인정보의 제3자 제공은 개인정보처리 위탁과 달리, 제공받는 자의 업무를 처리할 목적 및 이익을 위해서 개인정보가 이전된다는 점에 차이가 있다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).

이에 이하에서는 스타트업이 타 업체에 개인정보 처리업무를 위탁하는 경우, 개인정보 처리업무의 위탁자로서 지는 의무에 어떤 것들이 있는지 살펴보겠다.

1. 위탁문서 작성 의무

개인정보 보호법은 개인정보처리자가 제3자에게 개인정보의 처리업무를 위탁하는 경우, 아래 표의 내용이 포함된 위탁문서에 의하도록 규정하고 있다(개인정보 보호법 제26조 제1항, 동법 시행령 제28조 제1항).

2. 위탁 관련 사항 공개 및 고지 의무

또한 개인정보 보호법은, 위탁자는 위탁업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다고 규정하면서(개인정보 보호법 제26조 제2항), 특히 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁업무의 내용과 수탁자를 정보주체에게 알려야 한다고 규정하고 있다(개인정보 보호법 제26조 제3항).

3. 교육 및 감독 의무

그리고 개인정보 보호법은, 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실 등 되지 않도록 수탁자를 교육하고, 처리현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 한다고 규정하고 있다(개인정보 보호법 제26조 제4항),

이와 관련하여 개인정보보호위원회 및 한국인터넷진흥원은, 개인정보 보호 교육은 위탁자가 직접 실시하는 것이 원칙이나, 개인정보 보호 교육 전문가, 전문 교육 기관 등 제3자를 통하여 할 수도 있고, 수탁자 스스로 개인정보 보호 교육을 실시하도록 할 수도 있다고 하였다. 또한 위탁자가 수탁자를 감독하는 방법에 대하여 법률에 특별히 규정된 바 없으므로, 자료 제출 요구, 현장 방문, 점검도구 배포 등 개인정보 보호법의 취지에 비추어 합리적인 수단을 택할 수 있다고 하였다(『개인정보 처리 위·수탁 안내서』 13-14면 참조).

4. 정보주체의 동의 요부

다만 개인정보 보호법은 개인정보처리 위탁이 있다고 하여도 이에 관하여 정보주체로부터 동의를 받도록 의무를 부여하고 있지는 않다.

정보통신망법이 개정되기 전에는 정보통신서비스 제공자의 개인정보 보호에 관하여 정보통신망법에서 규율이 이루어지고 있었는데, 현 정보통신망법에는 정보통신서비스 제공자의 개인정보 보호와 관련된 규정이 모두 삭제되었고, 이는 개인정보 보호법으로 통합되어 일원화된 규율 체계가 마련되었다. 그런데 현 개인정보 보호법에는 개인정보처리 위탁시 정보주체의 동의를 받아야 한다는 조항이 포함되어 있지 않은바, 이에 현 개인정보 보호법상 개인정보 처리업무를 위탁한다고 하여도 정보주체로부터 그에 관한 동의를 받을 필요가 없는 것이다.

개인정보 처리업무를 위탁하고자 하는 스타트업은 위 설명한 위탁자로서의 의무를 모두 준수하여 개인정보 보호법의 위반 없이 개인정보 처리업무를 수행하기 바란다.

<김도윤 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>
디지털데일리가 직접 편집한 뉴스 채널