ISMS-P 인증기준 안내서 3.3

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

• 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.
  • 명확하게 고지하고 별도 동의
  • 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않아야 함
  • 최소한의 개인정보 항목으로 제한
  • 제3자에게 제공하는 경우 안전한 절차와 방법을 통한 제공 및 제공내역 기록 보관
  • 제3자에게 접근 허용하는 경우 안전하게 보호하기 위한 보호절차에 따른 통제
• 결함사례
  • 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
  • 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
  • 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우
  • 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
  • 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

3.3.2 업무위탁에 따른 정보주체 고지

• 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 정보주체(이용자)에게 알려야 하며, 필요한 경우 동의를 받아야 한다.
  • 제3자에게 위탁하는 경우 현행화 및 공개(업무의 내용, 수탁자)
  • 홍보 및 판매 위탁 업무의 경우 정보주체에게 통지
• 결함사례
  • 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나, 일부 수탁사와 위탁하는 업무의 내용이 누락된 경우
  • 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하면서, 위탁하는 업무의 내용과 수탁자를 서면 등의 방법으로 정보주체에게 알리지 않고 개인정보 처리방침에 공개하는 것으로 갈음한 경우
  • 기존 개인정보 처리업무 수탁사와의 계약 해지에 따라 개인정보 처리업무 수탁사가 변경되었으나, 이에 대하여 개인정보 처리방침에 지체 없이 반영하지 않은 경우

3.3.3 영업의 양수등에 따른 개인정보 이전

• 영업의 양도·합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체(이용자) 통지 등 적절한 보호조치를 수립·이행 하여야 한다.
  • 양도·합병 등으로 개인정보 이전하는 경우 필요한 사항 사전통지
  • 법적 통지 요건 해당 시 지체없이 통지
  • 본래목적으로만 이용·제공
• 결함사례
  • 개인정보처리자가 영업 양수를 통하여 개인정보를 이전받으면서 양도자가 개인정보 이전 사실을 알리지 않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우
  • 영업 양수도 등에 의하여 개인정보를 이전받으면서 정보주체(이용자)가 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체(이용자)에게 알리지 않은 경우

3.3.4 개인정보 국외이전

• 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다.
  • 국외 제3자 제공 시 고지 후 동의
  • 국외에 개인정보 처리위탁 및 보관 시 필요사항 통지
  • 법령 준수 포함한 국외 이전 계약 체결
  • 국외 이전 시 보호조치
• 결함사례
  • 개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 개인 정보 국외 이전에 대한 동의를 받지 않은 경우
  • 정보통신서비스 제공자가 서비스 제공을 위하여 국외 클라우드 서비스를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게 알리지 않은 경우
  • 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭 (업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우

---

[요약정리]

3.3 개인정보 제공 시 보호조치 (3위영국)

3.3.1 개인정보 제3자 제공 (명확고지 후 별도동의 / 동의거부권 / 최소정보 수집 제한 / 안전조치 및 기록 보관·관리 / 제3자 접근권한 부여 시 보호통제조치)

3.3.2 업무위탁에 따른 정보주체 고지 (현행화 및 공개(업무내용,수탁자) / 홍보 및 판매 위탁업무 정보주체 통지)

3.3.3 영업의 양수등에 따른 개인정보 이전 (합병·양수 등 개인정보 이전 시 정보주체 통지 / 법령에 따른 정보주체 통지 / 본래 목적 이용)

3.3.4 개인정보 국외이전 (국외이전 시 고지 후 동의 / 위탁·보관 시 정보주체 통지 / 법적준수 계약체결 / 이전 시 보호조치)