개인정보 처리 단계별 요구사항 - 3.3 개인정보 제공 시 보호조치

 

개인정보 처리 단계별 요구사항 - 3.3 개인정보 제공 시 보호조치

 

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

3.3.2 업무 위탁에 따른 정보주체 고지

3.3.3 영업의 양수 등에 따른 개인정보 이전

3.3.4 개인정보의 국외이전

 

 

3.3.1 개인정보 제3자 제공

1) 인증기준

개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.

 

2) 확인사항

- 개인정보를 제3자에게 제공 시, 법적 근거에 의하여 제공하고 있는가?

- 개인정보를 제3자에게 제공 시, 정보주체(이용자)에 동의를 받고 있는가?

- 정보주체(이용자) 동의받을 시, 수집·이용에 대한 동의와 구분하여 받고 있는가?

- 정보주체(이용자) 동의받을 시, 필수 고지사항이 포함되어 있는가?

  → 개인정보보호법 : 목적, 항목, 기간, 동의 거부 시 불이익 내용, 제공받는 자

  → 정보통신망법 : 목적, 항목, 기간, 제공받는 자

- 개인정보를 제3자에게 제공 시, 제공 내역을 기록하고 보관하고 있는가?

- 개인정보를 제3자에게 제공 시, 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하고 있는가?

 

3) 증적자료

- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등) 
- 오프라인 개인정보 수집 양식(회원가입신청서 등) 
- 제3자 제공 내역
- 개인정보 처리방침

 

 

3.3.2 업무 위탁에 따른 정보주체 고지

1) 인증기준

개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 정보주체(이용자)에게 알려야 하며, 필요한 경우 동의를 받아야 한다.

(※ 개인정보 처리자는 업무 위탁 내용을 정보주체에게 고지('동의'는 필수가 아님 )하여야 하며, 정보통신서비스 제공자의 경우 정보주체의 '동의' 필요함)

 

2) 확인사항

- 개인정보 처리업무 위탁 시, 위탁하는 업무 내용과 수탁자를 공개하고 있는가?

  → '개인정보 처리방침' 등에 공개 여부 확인

- 개인정보 처리업무 위탁 시, 동의가 필요한 경우 위탁하는 업무 내용과 수탁자를 알리고, 동의를 받고 있는가?

- 정보통신서비스 제공자이면서 정보통신서비스 제공에 관한 계약 이행 시에는 별도의 이용자 동의를 받지 않고, '개인정보 처리방침' 등과 같이 정보주체에게 알리고 있는가?

- 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가?

- 수탁자 또는 위탁하는 업무의 내용이 변경된 경우 해당 내용을 알리거나 필요한 경우 동의를 받고 있는가?

- 수탁자가 위탁받은 업무를 제3자에게 재위탁하는 경우 위탁자의 사전 동의를 받고 있는가?

 

3) 증적자료

- 개인정보 처리방침 
- 개인정보 수집 양식(개인정보 처리위탁 동의 관련)  
- 개인정보 처리위탁 계약서 
- 개인정보 처리 재위탁 승인 관련 문서(해당하는 경우) 

 

 

3.3.3 영업의 양수 등에 따른 개인정보 이전

1) 인증기준

영업의 양도·합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체(이용자) 통지 등 적절한 보호조치를 수립·이행하여야 한다.

 

2) 확인사항

- 영업의 양도·양수 및 합병 등으로 개인정보 이전 시, 관련 내용을 사전에 정보주체(이용자)에게 알리고 있는가?

  → 고지 내용 : 개인정보 이전 사실, 개인정보 이전받는 자(성명, 주소, 전화번호 등), 개인정보 이전 거부 시 조치 방법

- 정보통신서비스 제공자, 개인정보처리자에 따라 양도·양수 및 합병 시 아래와 같이 처리(고지)하고 있는가? 

  ① 정보통신서비스 제공자의 경우

      양도자가 개인정보 이전 사실 알림 유무와 상관없이 양수자는 정보주체에게 개인정보 이전 사실을 알려야 함

  ② 개인정보처리자의 경우

      양도자가 개인정보 이전 사실을 정보주체에게 알린 경우, 양수자는 정보주체에게 개인정보 이전 사실을 알릴 의무가 없음

 

3) 증적자료

- 개인정보 이전 관련 정보주체(이용자) 고지 내역(영업 양수도 시)
- 개인정보 처리방침

 

 

3.3.4 개인정보의 국외이전

1) 인증기준

개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.

 

2) 확인사항

- 개인정보 국외 이전 시, 국외 이전에 대한 동의 및 관련 사항을 공개하고 있는가?

- 정보통신서비스 제공자, 개인정보처리자에 따라 개인정보 국외 이전에 대한 동의 시 아래와 같이 처리(고지)하고 있는가?

개인정보 국외 이전 시 기본적으로 정보통신서비스 제공자 및 개인정보처리자 모두 국외 이전에 대한 동의 및 관련 사항을 공개해야 하며, 아래의 경우 정보통신서비스 제공자는 고지로 갈음할 수 있다.

  ① 정보통신서비스 제공자의 경우

      • 정보통신서비스의 제공에 관한 계약을 이행하는 경우

      • 이용자 편의 증진 등을 위하여 필요한 경우

- 개인정보 국외 이전 시, 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하고 있는가?

 

3) 증적자료

- 개인정보 국외 이전 관련 동의 양식
- 개인정보 국외 이전 관련 계약서
- 개인정보 처리방침