85.

[일문일답] 개인정보 처리 업무를 위탁받은 수탁자가 다른 사업자에게 재위탁하려면 어떤 절차를 거쳐야 하나요?

• 새 탭 열기
• 작성 이력 보기

* 출처 : 개인정보보호위원회, 「개인정보 질의응답 모음집」 (2024.12.)

수탁자가 위탁받은 개인정보 처리 업무를 제3자에게 다시 위탁하려면 위탁자의 동의를 받아야 한다.

○ 개인정보보호법 개정(법률 제19234호, 2023. 3. 14. 시행)으로, 수탁자가 개인정보 처리 업무를 제3자에게 다시 위탁하려면 위탁자의 동의를 받아야 한다(개인정보보호법 제26조 제6항).

- 법 개정 취지는, 재위탁이 반복되는 경우 개인정보 관리가 취약해질 수 있어 재위탁하는 것을 제한하되 재위탁이 불가피한 경우에는 위탁자의 동의를 받아 진행할 수 있도록 하기 위함이다.

○ 위탁자의 동의 규정은 위탁자의 관리 책임을 강화하기 위한 것이고, 그 형식을 제한하고 있지는 않으므로 개인정보 처리 업무의 성격, 위탁 계약의 특성 등에 따라 다양한 방식으로 위탁자의 동의를 받을 수 있다.

- 업무의 특성상 재위탁 내용의 변경이 자주 발생하거나 사전 예측이 어려운 경우에는 위탁계약 문서에 수탁자가 위탁자로부터 동의를 받는 절차와 방법에 관한 사항을 포함하여 약정하고 이에 따라 재위탁하는 것도 가능하다.

※ (예) 위탁계약 문서에 재위탁 허용 범위에 관한 사항과 간소화된 동의 절차(위탁자에게 사후 승인, 주기적 통지 등)를 정한 후 위탁계약 내용에 따라 재위탁하는 방법