안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
어느덧 한 해의 반이 훌쩍 넘어가면서, 위탁사로부터 수탁사 점검과 관련된 연락을 받은 담당자분이 많을 거예요. 이렇게 매년 번거로운 점검이 진행되는 이유는, 수탁사가 개인정보를 적절하게 관리하는지 관리·감독을 제대로 해야 하는 의무가 위탁사에 있기 때문입니다.
수탁사에서 개인정보 유출 사고가 발생하게 되면 위탁사 역시 관리 책임에서 자유로울 수 없기 때문에 수탁사 점검이 꼼꼼하게 수행되는데요. 개인정보 관리가 부실하다는 사유로 위수탁 계약을 해지하거나 재계약 시 패널티를 부여하는 실제 사례도 많습니다.
이렇게 중요한 수탁사 점검, 어떻게 준비하면 좋을지 알려 드릴게요!
Check!
1. 수탁사 점검, 필수인가요?
2. 수탁사 점검 진행 절차
3. 수탁사 점검 필수 체크리스트
4. 마치며
1. 수탁사 점검, 필수인가요?
위탁사에게는 개인정보 보호법에 따라 수탁사에 대한 개인정보보호 교육과 관리·감독의 의무를 지닙니다. 따라서 1년에 한 번 이상 정기적인 점검을 통해 수탁사가 개인정보를 안전하게 잘 관리하고 있는지 확인합니다.
위수탁 계약 시 작성한 문서에 맞게 고객정보를 처리하고 있는지 여러 자료와 현황을 확인하게 되는데요. 수탁사의 개인정보 관리가 부실하다는 이유로 계약이 해지되는 경우도 발생하며, 향후 재계약 시 부정적인 영향을 끼칠 수 있어 주의해야 합니다. 만약 정보 주체에게 손해를 입히게 된다면 손해배상 책임까지 물을 수 있습니다.
2. 수탁사 점검 진행 절차
수탁사 점검 방법에 대해서는 법률에서 특별히 규정하는 바가 없으므로, 위탁자와 수탁자의 협의로 결정될 수 있습니다.
위와 같은 절차로 진행되는 경우가 일반적이며, 현장 점검과 원격 점검 두 가지 방식으로 진행됩니다. 현장 점검의 경우, 점검 팀이 수탁사에 직접 방문하여 담당자 인터뷰를 통해 현황 분석 및 실사 점검을 진행합니다. 원격으로 점검하는 경우라면, 위탁사가 전달한 체크리스트를 기반으로 수탁사가 자체 점검을 하여 그 증적 자료를 제출하는 방식입니다.
3. 수탁사 점검 필수 체크리스트
수탁사 점검시 확인하는 항목은 개인정보 보호법 내용에 해당하는 세가지 영역으로 구성되어 있습니다. 개인정보를 처리하는 기업이라면 기본적으로 모두 관리해야 하는 사항인데요. 수탁사라면 위탁사가 매 년 점검을 하기 때문에 실제 수행 이력 및 증적 관리가 더욱 중요합니다.
영역 별로 어떤 것들을 확인하고 수행해야 하는지 필수 사항에 대한 체크리스트를 뽑아 보았으니, 우리 서비스는 얼마나 준비되어 있는지 참고해보시기 바랍니다.
1. 관리적 보호조치
회사 내부의 개인정보보호 관련 정책 및 지침을 수립, 검토, 개정 등의 지속적인 관리를 하고 있는지 여부를 확인합니다.
2. 개인정보 생명주기
개인정보 전반적인 흐름에 따라 개인정보 수집 시, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시, 정보주체 권리보호 등 각 영역의 보안조치 여부를 확인합니다.
3. 기술적 보호조치
개인정보를 안전하게 보관하고 있는지 시스템에 대한 적절한 보안 조치 여부를 확인합니다.
4. 마치며
수탁사 점검에 대비하기 위해 알아야 하는 필수적인 내용을 살펴봤습니다. 기업 개인정보보호 현장에서 수탁사 점검을 진행하며 전문 대응 인력이 없어 어려움을 겪는 담당자를 많이 보았는데요. 위수탁 점검을 진행해본 적이 없다면 자료를 준비하는 것이 어렵게 느껴질 수 있지만, 한 번 제대로 준비해 둔다면 매년 진행되는 수탁사 점검에 보다 쉽고 빠르게 대응하실 수 있을 거예요. 다만, 위탁받은 업무와 계약 상황이 워낙 다양하다 보니 아직도 헷갈리는 부분이 있을 수 있습니다.
회사의 현황에 맞게 도움을 받을 수 있도록 저희 캐치시큐로 상담을 신청해보세요.
감사합니다.