표준 개인정보처리위탁 계약서(2025년)
안녕하세요!
개인정보보호교육 전문강사 강문석입니다.
많은 분들이 방문해주셔서 위탁계약서를 사용하시는 것 같습니다.
본 글을 작성했던 시점이 25년 3월이어서 기존 샘플 파일에 표준 개인정보 보호지침의 고시번호가 변경이 되어 있지 않은 상태였습니다.
(개인정보보호위원회에서 표준 개인정보 보호지침이 25년4월 11자로 새롭게 시행하여 고시번호가 "개인정보보호위원회고시 제2025-4호"로 변경이 되었습니다. 이점 참고하시기 바랍니다.)
이에 수정하여 다시 게재하오니 참고하시기 바랍니다.
개인정보보호법 제26조에 따라 개인정보 처리에 관한 업무를 위탁할 경우 "개인정보처리위탁 계약서"를 작성하여 법령에서 정한 사항을 모두 기재하고 위수탁 내용을 홈페이지에 게재하도록 의무화 되어 있습니다.
점검을 나가보면 대부분의 공공기관에서 잘 이행하고 있지만, 상세히 검토해 보면 계약서 내용을 확인하지 않고 계속 복사해서 사용하여 중요한 실수를 하는 경우가 발생합니다.
예컨대, 계약서 내용에 「개인정보의 안전성 확보조치 기준」과 「표준 개인정보 보호지침」을 기재하고 있는데, 해당하는 고시 번호가 잘못된 경우입니다. 개인정보보호의 업무가 행정안전부에서 개인정보보호위원회로 이관된지도 꽤 되었음에도 아직 행정안전부 고시번호가 기재된 경우는 개인정보보호 담당자가 너무 관심이 없다고 판단할 수 있겠죠.
또한 개인정보보호위원회로 변경되었다고 하더라도 고시번호가 예전 것으로 기재되어 있다면 마찬가지입니다. 따라서, 개인정보보호 담당자께서는 표준 개인정보처리위탁 계약서를 법령 개정에 따라 확인하셔야 합니다.
현재는 이렇게 수정되어 있어야 합니다. 본 계약에서 별도로 정의되지 아니한 용어는「개인정보 보호법」, 같은 법 시행령 및 고시,「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시 제2023-6호) 및「표준 개인정보 보호지침」(개인정보보호위원회 고시 제2025-4호)에서 정의된 바에 따른다.
한 가지 팁을 드리자면, 고시번호는 기재하지 않으시는 것도 좋은 방법입니다.
그냥 "안전성 확보조치 기준(개인정보보호위원회 고시)" , "표준 개인정보 보호지침(개인정보보호위원회 고시)" 이렇게 표현하여도 무방합니다.
또한 교육 및 관리 감독 부분도 세심하게 살펴보셔야 하며 위수탁업무가 종료될 경우 개인정보에 대해서 파기를 어떻게 할 것인지, 파기했다는 증빙을 반드시 보내줘야 한다는 등의 세부사항을 기재하여 수탁사 개인정보 유출로 인한 피해가 발생하지 않도록 하여야 합니다.
변경된 계약서를 현재날짜 기준으로 첨부하오니 참고하시면 좋을 것입니다.
표준 개인정보 처리 위탁 계약서(안)
OOO(이하 “갑”이라 한다)과 △△△(이하 “을”이라 한다)는 “갑”의 개인정보 처리업무를 “을”에게 위탁함에 있어 다음과 같은 내용으로 본 업무위탁계약을 체결한다.
제1조 (목적) 이 계약은 “갑”이 개인정보 처리업무를 “을”에게 위탁하고, “을”은 이를 승낙하여 “을”의 책임 아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의) 본 계약에서 별도로 정의되지 아니한 용어는 개인정보 보호법, 같은 법 시행령, 개인정보의 안전성 확보조치 기준(개인정보호호위원회 고시), 표준 개인정보 보호지침(개인정보보호위원회 고시) 등에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위) “을”은 계약이 정하는 바에 따라 ( ) 목적으로 다음과 같은 개인정보 처리 업무를 수행한다.
1. (위탁하는 개인정보 처리 업무 내용을 기재)
2. (위탁하는 개인정보 처리 업무 내용을 기재)
제4조 (위탁업무 기간) 이 위탁 계약서에 의한 개인정보 처리업무의 기간은 다음과 같다.
계약 기간 : 20 년 월 일 ~ 20 년 월 일
제5조 (재위탁 제한) ① “을”은 “갑”의 동의를 얻은 경우를 제외하고 위탁받은 개인정보 처리 업무를 제3자에게 재위탁할 수 없다.
② “을”이 “갑”의 동의를 받아 개인정보 처리 업무의 전부 또는 일부를 제3자에게 다시 위탁하는 경우에는 “갑”에게 재위탁받는 자 및 재위탁 업무의 범위를 알려야 한다. 다만, “을”이 사전에 재위탁의 범위와 재위탁자를 정하여 “갑”에게 알리고 동의를받았을 때에는 그러하지 아니하다.
③ “을”은 본조에 따른 재위탁을 문서로 하여야 한다.
④ “을”은 재위탁받는 자의 명칭과 그 업무 범위를 개인정보처리방침으로 공개하여야 한다.
제6조 (개인정보의 안전성 확보조치 등) “을”은 「개인정보 보호법」 제29조, 같은 법 시행령 제30조 및 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시)에 따라 개인정보의 안전성 확보에 필요한 관리적·기술적 및 물리적 안전조치를 하여야 한다.
제7조 (개인정보의 처리 제한) “을”은 계약 기간 동안은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
제8조 (수탁자에 대한 관리·감독 등) ① “갑”은 “을”에 대하여 개인정보의 처리 위탁과 관련하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, “을”은 특별한 사유가 없는 한 이에 응해야 한다.
1. 개인정보의 처리 현황
2. 개인정보의 접근 또는 접속기록
3. 개인정보 접근 또는 접속 대상자
4. 목적 외 이용·제공 및 재위탁 제한 사항 준수 여부
5. 암호화 등 안전성 확보조치 이행 여부
6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
② “갑”은 “을”에 대하여 제1항 각 호의 사항에 대한 현황을 점검하거나 “을” 또는 제3자에 의한 현황 점검을 요구할 수 있고, 점검 사항에 대하여 시정을 요구할 수 있다. “을”은 특별한 사유가 없는 한 “갑”의 요구를 이행해야 한다.
③ “을”이 다음 각 호 중 어느 하나에 해당하는 경우에는 그러한 사정을 “갑”에게 알리고 위탁받은 개인정보의 처리 업무에 대한 점검 결과를 “갑”에게 [ ]개월의 단위로 정기적으로 보고하는 것으로 위 각 항에 따른 “갑”과 “을”의 의무 이행에 갈음할 수 있다. “갑”에 대한 “을”의 보고의 시기 등에 대하여는 “갑”과 “을”이 협의하여 정할 수 있다.
1. 개인정보 보호법 제32조의2에 따른 개인정보 보호 인증(ISMS-P)을 취득하여 주기적으로 점검을 받고 있는 경우
2. 개인정보보호위원회의 개인정보보호 ‘민관협력 자율규제’에 참여하여 주기적으로 점검을 받고 있는 경우
3. 그 외 위 1호, 2호에 준하는 경우로서, “갑”과 “을”이 합의하여 법 제31조 제7항의 개인정보 보호책임자 협의회 등에 의한 점검 등을 주기적으로 받고 있는 경우
④ 제3항의 경우에도 “을”은 “을”의 처리위탁 업무와 관련하여 개인정보 보호법 위반 또는 본 계약 위반의 사항이 발생한 경우에는 즉시 이를 “갑”에게 통지하여야 하고, “갑”의 지시에 따라야 한다.
제9조 (수탁자에 대한 교육) ① “갑”은 개인정보 보호법 제26조 제3항에 따라 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 “을”을 교육할 수 있으며, “을”은 이에 응하여야 한다. “을”은 “갑”과 협의하여 “을”의 책임 하에 그의 개인정보 취급자 등에게 교육을 실시할 수 있다.
② 제1항에 따른 교육은 집합교육, 온라인 교육 등의 방식 등 교육 목적을 달성할 수 있는 범위 내에서 다양한 방식으로 진행될 수 있으며, 구체적인 방식에 대하여는 “갑”과 “을”은 별도로 협의하여 정할 수 있다. 다만, “을”이 자체적으로 또는 제3자인 전문업체를 통해 교육을 실시하는 경우에는 “을”은 교육의 시행 여부 및 결과 등을 “갑”에게 증빙자료와 함께 보고하여야 하고, “갑”은 보고 내용을 주기적으로 점검할 수 있다.
③ 그 밖에 구체적으로 교육의 시기와 방법 등에 대해서는 “갑”은 “을”과 협의하여 시행한다.
제10조 (정보주체 권리보장) “을”은 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제11조 (개인정보의 파기) ① “을”은 계약이 해지되거나 계약 기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 개인정보 보호법 시행령 제16조에 따라 즉시 파기 하거나 “갑”에게 반환하여야 한다.
② 제1항에 따라 “을”이 개인정보를 파기한 경우에는 지체없이 “갑”에게 그 결과를 통보 해야 한다.
제12조 (손해배상) ① “을”이 이 계약에 따른 의무를 위반하여 정보주체 또는 제3자에게 손해가 발생할 경우 “갑”과 “을”은 공동으로 정보주체 또는 제3자의 손해를 배상하기로 한다.
② 제1항과 관련하여 정보주체 또는 제3자의 손해를 배상한 당사자는 상대방에게 자신의 부담 비율을 초과하는 부분에 대하여 구상할 수 있다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, “갑”과 “을”이 서명 또는 날인한 후 각 1부씩 보관한다.
20 . . .
|
위탁자
주 소 :
기관(회사)명 :
대표자 성명 : (인)
|
수탁자
주 소 :
기관(회사)명 :
대표자 성명 : (인)
|