개인정보 처리방침에 수탁자명과 위탁 업무 내용을 명확히 기재하고 지속적으로 게재하면 통지의무를 갈음한다. 다만 중요한 변경이 있을 때는 정보주체에게 큰 영향을 예상하면 별도 통지를 권장하며, 일부 산업에서는 법령상 별도 통지 의무가 있을 수 있어 함께 검토해야 한다. 단기·1회성 위탁이라도 서면 계약 처리방침 공개 수탁자 교육의 본질적 의무는 면제되지 않는다. 다만 교육은 업무 개시 전 1회성 안전교육과 비밀유지 서약 등으로 갈음할 수 있고, 교육 사실을 입증할 기록이 남는 것이 핵심이다.
다수 수탁자에 대한 감독은 모든 수탁자에 대해 직접 방문하는 것이 비현실적이다. 정기·수시 점검, 서면 자료 요청, 원격 점검, 보안 자가진단 결과 검토 등의 실질적 통제 방법이 인정된다. 다만 고위험 수탁자에 대해서는 연 1회 이상 현장 점검 또는 외부 인증 확인을 권장한다. 위·수탁 계약서의 감독사항에는 접근통제, 암호화, 접속기록 등의 안전성 확보 이행 의무, 정기 교육 이행 및 결과 보고, 점검권과 시정조치 요구권, 재위탁 사전 동의 절차, 처리 종료 시 즉시 파기 또는 반환, 침해사고 시 즉시 통지와 협조 의무, 위반 시 손해배상 및 계약 해지가 포함된다.
같은 사업·같은 수탁자라도 매년 계약 갱신이 권장된다. 업무 범위 변경 가능성, 안전조치 표준 변동, 수탁자 조직 변경 등의 변수 때문이며, 자동 연장 조항이 있어도 매년 점검 사실과 변경 사항을 기록으로 남겨야 한다. 재위탁은 수탁자가 다른 사업자에게 재위탁하려면 사전 동의가 필요하고, 재위탁 대상 업체, 재위탁 업무 범위, 재수탁 사유, 안전조치 능력을 사전 서면으로 신청·승인 받아야 한다. 위탁자는 재위탁 통보와 처리방침 갱신 의무를 함께 마련해야 한다. 클라우드 사업자는 수탁자에 해당하며, 이용계약과 위·수탁 약정 체결, 국외 클라우드인 경우 국외이전 절차도 추가 적용이 필요하다.
회사 SNS 이벤트를 외부 대행사가 운영하는 경우, 대행사는 수탁자에 해당한다. 위·수탁 계약 체결, 처리방침에 수탁 사실 공개, 안전조치, 이벤트 종료 후 정보 파기 절차를 갖춰야 한다. 대행사가 알아서 한다고 보는 인식은 위탁자 책임으로 돌아온다. 대리점이 고객정보를 부정 이용해 손해를 입혔다면 본사도 손해배상 책임을 부담한다. 이는 수탁자의 위법행위가 위탁 업무 수행 과정에서 발생했고, 위탁자가 선임·감독에 상당한 주의를 다하지 않았을 때 더욱 명확해진다. 따라서 대리점 정기 교육 점검과 시정조치 기록, 고객 불만 응답 체계가 위탁자의 면책 증거가 된다.
![[7] 개인정보 위·수탁 완전정복 - 변호사가 정리한 위탁·재위탁·클라우드 9가지 핵심 쟁점](https://mblogthumb-phinf.pstatic.net/MjAyNjA2MDdfMjI3/MDAxNzgwODI0MDc1OTc1.ejWQmPY9AecjLz8sNyTwzyWla8Gy48UNUAhwJ8c_yNgg.K8nBGidv-9K1GCyv6KBTq_yiJ7xMhNK93mEQyhMg4Acg.JPEG/blog07_%B1%D7%B8%B21.jpg?type=w2)
#
2025개인정보
#
수탁자감독
#
수탁자교육
#
안전성확보조치
#
연대책임
#
영업양도
#
위수탁
#
위탁컨설팅
#
재위탁
#
처리방침
#
콜센터위탁
#
손해배상
#
보호법26조
#
법무법인차온
#
DPA
#
ISMSP
#
PIPA
#
SNS이벤트대행
#
개인정보보호법
#
개인정보위탁
#
개인정보위탁계약서
#
국외이전
#
네이버블로그변호사
#
대리점위탁
#
클라우드위탁
