3.3.1 개인정보 제3자 제공

3. 개인정보 처리 단계별 요구사항 (22개)

[두음] 수이제파권

3.3 개인정보 제공 시 보호조치	3.3.1 개인정보 제3자 제공
	3.3.2 업무 위탁에 따른 정보주체 고지
	3.3.3 영업의 양수 등에 따른 개인정보의 이전
	3.3.4 개인정보의 국외 이전

---

---

3동법소급요다, 목항기거불자

법적 근거 또는 별도 동의

공공기관 고유 업무위한 정보 연계

 

핵심 키워드 & 내용 

 

제3자 제공 시 정보주체 고지 후 동의
제3자 제공 동의 별도 동의 및 서비스 제공 거부 금지
제3자 제공 시 최소한의 개인정보 항목 제한
제3자 제공 시 안전한 절차와 방법으로 제공 및 제공 내역 기록 · 보관
제3자에게 개인정보 접근 허용 시 보호절차에 따라 통제

 

연관 두음

 

▶ 개인정보를 제3자에게 제공할 수 있는 경우

[두음] 3동법소급요다
제3자 제공, 동의, 법률, 소관 업무, 급박한, 요금정산, 다른 법률

---

▶ 개인정보의 제3자 제공 동의 시 알려야 할 사항

[두음] 목항기거불자
이용 목적, 항목, 보유 및 이용 기간, 거부권, 불이익, 제공받는 자

---

 

인증기준

 

개인정보를 제3자에게 제공하는 경우
법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며,
제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서
개인정보를 안전하게 보호하기 위한 보호대책을 수립 · 이행하여야 한다.

 

주요 확인사항

 

* 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는
  정보 주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?

* 개인정보의 제3자 제공 동의는 수집 · 이용에 대한 동의와 구분하여 받고
  이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?

* 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?

* 개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통하여 제공하고
  제공 내역을 기록하여 보관하고 있는가?

* 제3자에게 개인정보의 접근을 허용하는 경우
  개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?

 

관련 법규 

 

□ 개인정보 보호법 제17조(개인정보의 제공), 제22조(동의를 받는 방법)

 

세부 설명

 

□ 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는

   정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받아야 한다.

 

▶ 개인정보를 제3자에게 제공할 수 있는 경우

 

[두음] 3동법소급 요다

제3자 제공, 동의, 법률, 소관 업무, 급박한, 요금정산, 다른 법률

 

▶ 개인정보의 제3자 제공 동의 시 알려야 할 사항

 

[두음] 목항기거불자

이용 목적, 항목, 보유 및 이용 기간, 거부권, 불이익, 제공받는 자

□ 개인정보의 제3자 제공 동의는 수집 · 이용에 대한 동의와 구분하여 받고,

   제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면

   이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다

 

□ 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다.

 

□ 제3자에게 개인정보를 제공하는 과정에서 개인정보가 유 · 노출되지 않도록

   안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.

 

□ 제3자에게 개인정보의 접근을 허용하는 경우

   개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.

 

결함사례

 

사례 1 :
개인정보처리자가 개인정보 제3자 제공 동의를 받을 때
정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우

[두음] 목항기거불자

사례 2 :
개인정보를 제3자에게 제공하는 과정에서
제3자 제공 동의 여부를 적절히 확인하지 못하여
동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우

사례 3 :
개인정보를 제공 동의를 받을 때,
제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이
포괄적으로 안내하고 동의를 받은 경우

사례 4 :
회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나,
제3자 제공에 동의하지 않으면
회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우

사례 5 :
제공받는 자의 이용 목적과 관련 없이
지나치게 많은 개인정보를 제공하는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)