Q. 실제로 법령으로 정할 수 없는 재위탁의 경우에 있어서 개인정보보호 방안은 무엇인가요?

A-1. 재위탁의 경우 통제가 불가능하고 사고 발생 시 책임 소재가 불분명해질 수있으므로 원천적으로 할 수 없게 계약서상에 명시해야 합니다. 위탁 계약을 할 때 계약 범위 내에서 보호할 대상(정보)을 식별한 후, 그에 알맞은 보호대책을 세우고이행하도록 SLA에 세부적인 내용을 명시해야 합니다.

(사이버보안전문단 사이버보안전문단원)

A-2. 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁할 때 재위탁을 제한하려면 문서로 그 내용을 명시해야 합니다(개인정보법 시행령 제28조 제1항 제2호). 재위탁을 제한하지 않았다면 정보주체는 재위탁을 받아 처리하는 자(재수탁자)에 대해 재위탁 받은 개인정보처리 업무로 인하여 발생하는 손해에 대한 배상을 청구할 수 있습니다(안전행정부 표준 개인정보보호지침 제21조 제1항).

(김광준 태평양 변호사 /kwangjun.kim@bkl.co.kr)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>