알림
뒤로

개인정보보호 관리체계
(ISMS-P)

3.3.1. 개인정보 제3자 제공

개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.

 

1. 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?

상세 기준

  - 제3자의 범위

    : 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자 (동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음)

      ※ 개인정보의 제3자 제공(예시)

        - 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전

        - 네트워크를 통한 개인정보의 전송

        - 개인정보에 대한 제3자의 접근권한 부여

        - 개인정보처리자와 제3자의 개인정보 공유

        - 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위

  - 개인정보를 제3자에게 제공할 수 있는 경우

    ① 정보주체의 동의를 받은 경우

    ② 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

    ③ 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

    ④ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

    ⑤ 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

    ⑥ 다른 법률에 특별한 규정이 있는 경우

  - 개인정보의 제3자 제공 동의 시 알려야 할 사항

    ① 개인정보를 제공받는 자

    ② 개인정보를 제공받는 자의 개인정보 이용목적

    ③ 제공하는 개인정보의 항목

    ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

    ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용 개인정보를 제공받는 자

  - 개인정보의 제3자 제공과 관련하여 기존에 정보주체(이용자)에게 고지한 사항 중 변경이 발생한 경우 정보주체(이용자)에게 관련 변경 내용을 알리고 추가적으로 동의를 받아야 함

 

2. 개인정보의 제3자 제공 동의는 수집∙이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?

상세 기준

  - 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.

 

3. 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?

상세 기준

  - 동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인정보 항목만 제공하여야 함

  - 법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공해야 함

 

4. 개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통하여 제공하고 제공 내역을 기록하여 보관하고 있는가?

상세 기준

  ※ 제3자 제공 시 안전한 절차(예시)

    - 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화 계약서 등)

    - 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)

    - 전송 또는 전달 과정의 암호화

    - 접근통제, 접근권한 관리 등 안전성 확보 조치 적용

    - 제공 기록의 보존 등

  ※ 제3자 제공 기록에 포함해야 할 내용(예시)

    - 제공받는 자

    - 제공 일시

    - 제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목

    - 제공 목적 또는 근거

    - 제공자(담당자): 승인절차가 있는 경우 승인자 포함

    - 제공 방법 : 시스템 연계, 이메일 전송 등

    - 기타 필요한 정보

 

5. 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?

상세 기준

  - 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치

  - 전송구간에서의 도청을 방지하기 위한 암호화 조치

  - 책임추적성을 확보할 수 있도록 접속기록 보존 등

 

    운영 내역(증적) 예시

 

  • 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등)
  • 오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등)
  • 제3자 제공 내역
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 **

 

  1. 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정부주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
  2. 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
  3. 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 "~등"과 같이 포괄적으로 안내하고 동의를 받은 경우
  4. 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
  5. 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

3.3.2. 업무 위탁에 따른 정보주체 고지

개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 정보주체(이용자)에게 알려야 하며, 필요한 경우 동의를 받아야 한다.

 

1. 개인정보 처리업무를 제3자에게 위탁하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?

상세 기준

  - 정보주체(이용자)에게 알려야 할 사항

    1. 위탁하는 업무의 내용

    2. 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)

  - 개인정보 처리업무 위탁 사항 공개 방법(개인정보 보호법 시행령 제28조제2항, 제3항)

    : 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법

    : 인터넷 홈페이지에 게재할 수 없는 경우 공개 방법(다음 방법 중 하나 이상의 방법 활용)

      1. 위탁자의 사업장 등 보기 쉬운 장소에 게시하는 방법

      2. 관보(위탁자가 공공기관인 경우만 해당)나 위탁자의 사업장 등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법

      3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법

      4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

  - 주의사항

    : 수탁자의 수가 많을지라도 해당 수탁자명을 모두 열거하여 공개 필요

    : 위탁하는 업무의 내용 또는 수탁자가 변경된 경우 지체 없이 변경된 내용을 반영하여 인터넷 홈페이지 등을 통하여 공개 필요

 

2. 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가?

상세 기준

  - 통지방법 : 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법

  - 통지사항 : 위탁하는 업무의 내용, 수탁자

 

    운영 내역(증적) 예시

 

  • 개인정보 처리방침(개인정보 처리업무 위탁 관련 공개 내역)
  • 개인정보 수집 양
  • 개인정보 처리위탁 계약서
  • 재화 또는 서비스 홍보·판매 권유 업무 위탁 관련 정보주체 통지 내역

 

    ** 인증심사 결함사항 예시 **

 

  1. 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나 일부 수탁사와 위탁하는 업무의 내용이 누락된 경우
  2. 기존 개인정보 처리업무 수탁사와의 계약 해지에 따라 개인정보 처리업무 수탁사가 변경되었으나, 이에 대하여 개인정보 처리방침에 지체 없이 반영하지 않은 경우
  3. 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하면서, 위탁하는 업무의 내용과 수탁자를 서면 등의 방법으로 정보주체에게 알리지 않고 개인정보 처리방침에 공개하는 것으로 갈음한 경우

3.3.3. 영업의 양수 등에 따른 개인정보의 이전

영업의 양도·합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체(이용자) 통지 등 적절한 보호조치를 수립·이행하여야 한다.

 

1. 영업의 전부 또는 일부의 양도‧합병 등으로 개인정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체(이용자)에게 알리고 있는가?

상세 기준

  - 알려야 할 사항

    ① 개인정보를 이전하려는 사실

    ② 개인정보를 이전받는 자의 이름, 주소, 전화번호 및 그 밖의 연락처

    ③ 정보주체(이용자)가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차

  - 알리는 방법

    ① 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법

    ② 과실 없이 정보주체(이용자)의 연락처를 알 수 없는 등의 이유로 정보주체에게 직접 알릴 수 없는 경우에는 인터넷 홈페이지에 30일 이상 기재 (다만 인터넷 홈페이지를 운영하지 않는 양도자 등의 경우 사업장 등의 보기 쉬운 장소에 30일 이상 게시 또는 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고 등의 방법 이용)

 

2. 영업양수자 등은 법적 통지 요건에 해당될 경우 개인정보를 이전받은 사실을 정보주체(이용자)에게 지체 없이 알리고 있는가?

상세 기준

  - 양도자가 이전 사실을 정보주체(이용자)에게 알린 경우 양수자는 추가로 알리지 않아도 됨.

  - 다만 영업 양수 등에 따라 개인정보를 이전받았으나 개인정보를 이전하는 자가 이전한 사실을 알리지 않은 경우, 이전 사실을 정보주체(이용자)에게 알려야 함.

 

3. 개인정보를 이전받는 자는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공하고 있는가?

상세 기준

  - 개인정보를 이전받은 자가 당초의 목적 범위 외로 개인정보를 이용하거나 제공하고자 하는 경우에는 별도로 정보주체(이용자)의 동의를 받아야 함

 

    운영 내역(증적) 예시

 

  • 개인정보 이전 관련 정보주체(이용자) 고지 내역(영업 양수도 시)
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 **

 

  1. 영업 양수도 등에 의해 개인정보를 이전받으면서 정보주체(이용자)가 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체(이용자)에게 알리지 않은 경우
  2. 개인정보처리자가 영업 양수를 통하여 개인정보를 이전 받으면서 양도자가 개인정보 이전 사실을 알리지 않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우

3.3.4. 개인정보의 국외이전

개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.

 

1. 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?

상세 기준

  - 개인정보 국외 이전 동의 시 고지사항

    : 개인정보처리자

      ① 개인정보를 제공받는 자

      ② 개인정보를 제공받는 자의 개인정보 이용목적

      ③ 제공하는 개인정보의 항목

      ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

      ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

    : 정보통신서비스 제공자

      ① 이전되는 개인정보 항목

      ② 개인정보가 이전되는 국가, 이전일시 및 이전 방법

      ③ 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)

      ④ 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

 

2. 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?

상세 기준

  - 이용자에게 알리는 방법

    ① 개인정보 처리방침에 공개

    ② 전자우편, 서면 등

  - 이용자에게 알려야 할 사항

    ① 이전되는 개인정보 항목

    ② 개인정보가 이전되는 국가, 이전일시 및 이전방법

    ③ 개인정보를 이전받는 자의 이름(법인인 경우 그 명창 및 정보관리책임자의 연락처)

    ④ 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

 

3. 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?

상세 기준

  - 개인정보 국외 이전에 관한 계약 시 고려사항

    : 개인정보처리자

      ① 개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 안 됨.

    : 정보통신서비스 제공자

      정보통신서비스 제공자 등은 다음 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 함

        ① 시행령 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치

        ② 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

        ③ 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

 

4. 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하고 있는가?

상세 기준

  - 개인정보 국외 이전 시 적용해야 하는 보호조치

    ① 개인정보 보호를 위한 안전성 확보 조치

    ② 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

    ③ 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

 

    운영 내역(증적) 예시

 

  • 개인정보 국외 이전 관련 동의 양식
  • 개인정보 국외 이전 관련 계약서
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 **

 

  1. 개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인정보 국외 이전에 대한 동의를 받지 않은 경우
  2. 정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
  3. 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우