개인정보 취급 관련 Q&A
Q) [수탁자 관리·감독] 온라인 쇼핑몰을 운영하면서 PG사에 결제 과정에서 개인정보 취급을 위탁하고 있습니다. 영세사업자인 위탁자가 수탁자인 대 규모 PG사를 대상으로 관리・감독하는 것은 현실적으로 매우 어렵습니다. 이러한 경우 위탁자가 어디까지 관리・감독 의무를 이행해야 하나요?
A) 개인정보 취급을 위탁하고자 할 때에는 수탁자의 개인정보 보호조치 능력 등을 고려하여 정하고, 계약서에 위탁된 개인정보의 안전한 관리 와 파기 및 확인 사항을 명시한 후 이행 여부를 주기적으로 확인하여 야 합니다. 다만, 해당 수탁자가 정보통신망법 또는 다른 법률에 따라 개인정보 보호조치 등에 대한 별도의 관리・감독을 받고 있는 경우에는 위탁자가 주기적 확인을 하지 않을 수 있습니다.
예 : 정보통신망법에 따라 방송통신위원회가 지정한 본인확인기관, 전자서명법에 따라 미래창조과학부장관이 지정한 공인인증기관, 정보통신망법에 따라 미래창조과학부에 등록한 통신과금서비스제공자, 전자금융거래법에 따라 금융위원회에 등록한 PG사 등)
[출처] 온라인 개인정보 취급 가이드라인(14.11.12)
https://privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000839817&fileSn=0
'Compliance' 카테고리의 다른 글
| [Day 328] KISA ISMS 인증심사기간 내 일정(최초,사후) (0) | 2022.01.10 |
|---|---|
| [Day 327] 외부자 계약 시 보안 요구사항 (0) | 2021.07.02 |
| [Day 295] 개인정보 간접 수집 시 통지 의무 요건 (0) | 2021.05.31 |
| [Day 291] 법적 요구사항에 따른 암호화 대상 개인정보 (0) | 2021.05.27 |
| [Day 281] 보존이 필요한 주요 로그 유형 예시 (0) | 2021.05.17 |