- 제3자의 범위

    : 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자 (동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음)

      ※ 개인정보의 제3자 제공(예시)

        - 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전

        - 네트워크를 통한 개인정보의 전송

        - 개인정보에 대한 제3자의 접근권한 부여

        - 개인정보처리자와 제3자의 개인정보 공유

        - 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위

- 개인정보 제공 경로 별로 개인정보 제공의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리 (개정 23.11.23.)

  : 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 제공하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화

 - 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 제3자에게 제공(공유를 포함)할 수 있음

  : 개인정보를 제3자에게 제공할 수 있는 경우 개인정보의 제3자 제공이 가능한 경우 (개인정보 보호법 제17조제1항)

    1. 정보주체의 동의를 받은 경우

    2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

    3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

    4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 (개정 23.11.23.)

    5. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. (개정 23.11.23.)

    6. 다른 법률에 특별한 규정이 있는 경우 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 (개정 23.11.23.)

   ※ 위의 2호부터 6호까지에 따라 개인정보를 수집한 목적 범위에서 정보주체의 동의 없이 개인정보 제공 가능

  - 개인정보의 제3자 제공 동의 시 알려야 할 사항

    ① 개인정보를 제공받는 자

    ② 개인정보를 제공받는 자의 개인정보 이용목적

    ③ 제공하는 개인정보의 항목

    ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

    ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용 개인정보를 제공받는 자

  - 개인정보의 제3자 제공과 관련하여 기존에 정보주체(이용자)에게 고지한 사항 중 변경이 발생한 경우 정보주체(이용자)에게 관련 변경 내용을 알리고 추가적으로 동의를 받아야 함

  - 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다. 개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.

    : 동의 사항의 구분이 필요한 경우(개인정보 보호법 제22조제1항)

       1. 제15조제1항제1호에 따라 동의를 받는 경우(개인정보 수집·이용 동의)

       2. 제17조제1항제1호에 따라 동의를 받는 경우(개인정보 제3자 제공 동의)

       3. 제18조제2항제1호에 따라 동의를 받는 경우(개인정보 목적외 이용·제공 동의)

       4. 제19조제1호에 따라 동의를 받는 경우(개인정보를 제공받은 자의 목적외 이용·제공 동의)

       5. 제24조제1항제1호에 따라 동의를 받는 경우(민감정보 처리 동의)

       6. 제24조제1항제1호에 따라 동의를 받는 경우(고유식별정보 처리 동의)

       7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우

         ※ 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 구분하여 표시

(개정 23.11.23.)

- 정보주체로부터 개인정보 제3자 제공 동의를 받을 때에는 5가지의 법정 고지사항을 구체적이고 명확하게 알리고 동의를 받아야 함

    : 개인정보의 제3자 제공 동의 시 고지사항(개인정보 보호법 제17조제2항)

       1. 개인정보를 제공받는 자

       2. 개인정보를 제공받는 자의 개인정보 이용목적

       3. 제공하는 개인정보의 항목

       4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

       5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

- 정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함

    : 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항)

       1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것

       2. 동의를 받으려는 내용이 구체적이고 명확할 것

       3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것

       4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

        ※ 단, 본 규정은 2024년 9월 15일부터 시행

- 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함

    : 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항)

       > 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실

       > 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호

       > 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)

       > 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

    : 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)

       > 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것

       > 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

※ 상세한 내용은 ʻ알기쉬운 개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고

(개정 23.11.23.)

  - 동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인정보 항목만 제공하여야 함

  - 법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공해야 함

  ※ 제3자 제공 시 안전한 절차(예시)

    - 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화 계약서 등)

    - 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)

    - 전송 또는 전달 과정의 암호화

    - 접근통제, 접근권한 관리 등 안전성 확보 조치 적용

    - 제공 기록의 보존 등

  ※ 제3자 제공 기록에 포함해야 할 내용(예시)

    - 제공받는 자

    - 제공 일시

    - 제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목

    - 제공 목적 또는 근거

    - 제공자(담당자): 승인절차가 있는 경우 승인자 포함

    - 제공 방법 : 시스템 연계, 이메일 전송 등

    - 기타 필요한 정보

  - 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치

  - 전송구간에서의 도청을 방지하기 위한 암호화 조치

  - 책임추적성을 확보할 수 있도록 접속기록 보존 등

- 개인정보의 추가적인 제공 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)

    1. 당초 수집 목적과 관련성이 있는지 여부

    2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부

    3. 정보주체의 이익을 부당하게 침해하는지 여부

    4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

(개정 23.11.23.)

  - 정보주체(이용자)에게 알려야 할 사항

    1. 위탁하는 업무의 내용

    2. 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)

    ※ ʻ수탁자ʼ는 개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자(재수탁자)를 포함 (개정 23.11.23.)

  - 개인정보 처리업무 위탁 사항 공개 방법(개인정보 보호법 시행령 제28조제2항, 제3항)

    : 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법

    : 인터넷 홈페이지에 게재할 수 없는 경우 공개 방법(다음 방법 중 하나 이상의 방법 활용)

      1. 위탁자의 사업장 등 보기 쉬운 장소에 게시하는 방법

      2. 관보(위탁자가 공공기관인 경우만 해당)나 위탁자의 사업장 등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 ｢신문 등의 진흥에 관한 법률｣ 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법

      3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법

      4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

  - 주의사항

    : 수탁자의 수가 많을지라도 해당 수탁자명을 모두 열거하여 공개 필요

    : 재위탁이 존재하는 경우 재위탁에 관한 사항도 함께 공개 필요 (개정 23.11.23.)

    : 위탁하는 업무의 내용 또는 수탁자가 변경된 경우 지체 없이 변경된 내용을 반영하여 인터넷 홈페이지 등을 통하여 공개 필요

  - 통지방법 : 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법

  - 통지사항 : 위탁하는 업무의 내용, 수탁자

※ 개인정보 처리업무의 위탁과 관련된 위탁 계약, 재위탁 시 위탁자 동의, 수탁자 관리·감독 등에 관한 사항은 2.3(외부자 보안) 분야 인증기준 참고 (개정 23.11.23.)

  - 알려야 할 사항

    ① 개인정보를 이전하려는 사실

    ② 개인정보를 이전받는 자의 이름, 주소, 전화번호 및 그 밖의 연락처

    ③ 정보주체(이용자)가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차

  - 알리는 방법

    ① 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법

    ② 과실 없이 정보주체(이용자)의 연락처를 알 수 없는 등의 이유로 정보주체에게 직접 알릴 수 없는 경우에는 인터넷 홈페이지에 30일 이상 기재 (다만 인터넷 홈페이지를 운영하지 않는 양도자 등의 경우 사업장 등의 보기 쉬운 장소에 30일 이상 게시 또는 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고 등의 방법 이용)

  - 양도자가 이전 사실을 정보주체(이용자)에게 알린 경우 양수자는 추가로 알리지 않아도 됨.

  - 다만 영업 양수 등에 따라 개인정보를 이전받았으나 개인정보를 이전하는 자가 이전한 사실을 알리지 않은 경우, 이전 사실을 정보주체(이용자)에게 알려야 함.

  - 개인정보를 이전받은 자가 당초의 목적 범위 외로 개인정보를 이용하거나 제공하고자 하는 경우에는 별도로 정보주체(이용자)의 동의를 받아야 함

- 개인정보의 국외 이전이 가능한 경우(개인정보 보호법 제28조의8제1항)

  1. 별도 동의

     : 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우

  2. 법률, 조약 등 근거

     : 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우

  3. 개인정보 처리방침 공개 등(처리위탁·보관)

     : 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우로서, 관련 사항을 개인정보 처리방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우

  4. 인증

     : 개인정보 보호 인증(ISMS-P 인증) 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

       가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

       나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

  5. 대상국 등 인정

     : 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우

(개정 23.11.23.)

  - 이용자정보주체에게 알리는 방법

    1. 개인정보 처리방침에 공개

    2 전자우편, 서면 등 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)

  -  이용자정보주체에게 알려야 할 사항

    1. 이전되는 개인정보 항목

    2. 개인정보가 이전되는 국가, 이전일시시기 및 이전방법

    3. 개인정보를 이전받는 자의 이름성명(법인인 경우 그 명칭과 및 정보관리책임자의 연락처를 말한다)

    4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간

    5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과 (개정 23.11.23.)

  - 개인정보 국외 이전에 관한 계약 시 고려사항

    : 개인정보처리자

      ① 개인정보 보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 안 됨.

    : 정보통신서비스 제공자

      정보통신서비스 제공자 등은 다음 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 함

        ① 시행령 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치

        ② 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

        ③ 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

 - 다음의 사항에 관하여 이전받는 자와 미리 협의하고 이를 계약내용 등에 반영

    1. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치

    2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

    3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치

(개정 23.11.23.)

  - 개인정보 국외 이전 시 적용해야 하는 보호조치

    ① 개인정보 보호를 위한 안전성 확보 조치

    ② 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

    ③ 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

 - 개인정보 국외 이전 시 이행하여야 하는 보호조치

  1. 개인정보의 국외 이전 관련 개인정보 보호법 규정 준수

  2. 개인정보 보호법 제17조부터 제19조까지의 규정 준수

  3. 개인정보 보호법 제5장(정보주체의 권리 보장) 규정 준수

  4. 개인정보 보호법 시행령 제30조제1항에 따른 개인정보 보호를 위한 안전성 확보 조치

  5. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치

  6. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 조치

(개정 23.11.23.)