개인정보 처리 위탁 계약서
카카오 T 비즈니스를 이용하는 운수사, 물류사(이하 “위탁자”라 한다)와 주식회사 카카오모빌리티(이하 “수탁자”라 한다)는 ‘카카오 T 비즈니스 이용약관’에 근거하여 “위탁자”의 개인정보 처리 업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 개인정보 처리 위탁 계약서를 체결한다.
제1조 (목적)
본 계약은 “위탁자”가 개인정보 처리 업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임아래 성실하게 업무를 완성하도록 하는 데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의)
본 계약에서 별도로 정의되지 아니한 용어는 개인정보 보호법, 같은 법 시행령, 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시), 표준 개인정보 보호지침(개인정보보호위원회 고시) 등에서 정의된 바에 따른다.
제3조 (위탁업무의 목적 및 범위)
“수탁자”는 본 계약이 정하는 바에 따라 다음 각 호의 목적으로 개인정보 처리 업무를 수행한다.
- 카카오 T 비즈니스 전기차 충전 서비스 제공 및 소속 임직원 등록을 위한 “위탁자” 임직원의 개인정보 처리
- “위탁자”가 에스지생활안전(주)의 전기차 충전소 관리시스템을 이용하기 위한 목적으로 “위탁자”의 임직원이 이용한 카카오 T 비즈니스 전기차 충전 서비스 이용 내역(차량번호 포함)과 임직원을 구분하기 위한 구분자를 에스지생활안전(주)에 전달하는 업무
제4조 (재위탁 제한)
- “수탁자”는 “위탁자”의 동의를 얻은 경우를 제외하고 위탁받은 개인정보 처리 업무를 제3자에게 재위탁할 수 없다.
- “수탁자”가 “위탁자”의 동의를 받아 개인정보 처리 업무의 전부 또는 일부를 제3자에게 다시 위탁하는 경우에는 “위탁자”에게 재위탁받는 자 및 재위탁 업무의 범위를 알려야 한다. 다만, “수탁자”가 사전에 재위탁의 범위와 재위탁자를 정하여 “위탁자”에 알리고 동의를 받았을 때에는 그러하지 아니하다.
- “위탁자”는 “수탁자”가 다음과 같은 내용으로 제3자에게 업무를 재위탁하는 것에 동의한다.
- 재위탁 업체정보:
- 업체명: 주식회사 케이드라이브(이하 ‘재수탁자’)
- 사업자등록번호 / 대표자명: 280-86-02379 / 김홍섭
- 대표번호: 1644-7391
- 업체주소: 서울시 영등포구 국회대로 632, 영등포 유원시티빌딩 12층
- 목적: 카카오 T 비즈니스 고객센터 운영 및 고객 상담을 위한 재위탁
- 제공정보: 이름, 휴대폰번호
- 사용기간: 회원 탈퇴 시 또는 위탁 계약 종료 시
제5조 (개인정보의 안전성 확보조치 등)
“수탁자”는 「개인정보 보호법」 제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시)에 따라 개인정보의 안전성 확보에 필요한 관리적·기술적 및 물리적 안전조치를 하여야 한다.
제6조 (개인정보의 처리제한)
- “수탁자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
제7조 (수탁자에 대한 관리·감독 등)
- “위탁자”는 “수탁자”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응하여야 한다.
- 개인정보의 처리 현황
- 개인정보의 접근 또는 접속기록
- 개인정보 접근 또는 접속 대상
- 목적 외 이용·제공 및 재위탁 제한 사항 준수 여부
- 암호화 등 안전성 확보조치 이행여부
- 그 밖에 개인정보의 보호를 위하여 필요한 사항
- “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이행하여야 한다.
- “수탁자”가 다음 각 호 중 어느 하나에 해당하는 경우에는 그러한 사정을 “위탁자”에게 알리고 위탁받은 개인정보의 처리 업무에 대한 점검 결과를 “위탁자”에게 1년의 단위로 정기적으로 보고하는 것으로 위 각 항에 따른 “위탁자”와 “수탁자”의 의무 이행에 갈음할 수 있다. “위탁자”에 대한 “수탁자”의 보고의 시기 등에 대하여는 상호 협의하여 정할 수 있다.
- 개인정보 보호법 제32조의2에 따른 개인정보 보호 인증(ISMS-P)을 취득하여 주기적으로 점검을 받고 있는 경우
- 개인정보보호위원회의 개인정보보호 ‘민관협력 자율규제’에 참여하여 주기적으로 점검을 받고 있는 경우
- 그 외 위 1호, 2호에 준하는 경우로서, “위탁자”와 “수탁자”가 합의하여 법 제31조 제7항의 개인정보 보호책임자 협의회 등에 의한 점검 등을 주기적으로 받고 있는 경우
- 제3항의 경우에도 “수탁자”는 “수탁자”의 처리위탁 업무와 관련하여 개인정보보호법 위반 또는 본 계약의 위반의 사항이 발생한 경우에는 즉시 이를 “위탁자”에게 통지하여야 하고, “위탁자”의 지시에 따라야 한다.
제8조 (수탁자에 대한 교육)
- “위탁자”는 개인정보 보호법 제26조 제3항에 따라 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다. “수탁자”는 “위탁자”와 협의하여 “수탁자”의 책임 하에 그의 개인정보 취급자 등에게 교육을 실시할 수 있다.
- 제1항에 따른 교육은 집합교육, 온라인 교육 등의 방식 등 교육 목적을 달성할 수 있는 범위 내에서 다양한 방식으로 진행될 수 있으며, 구체적인 방식에 대하여는 “위탁자”와 “수탁자”는 별도로 협의하여 정할 수 있다. 다만, “수탁자”가 자체적으로 또는 제3자인 전문 업체를 통해 교육을 실시하는 경우에는 “수탁자”는 교육의 시행 여부 및 결과 등을 “위탁자”에게 증빙자료와 함께 보고하여야 하고, “위탁자”는 보고 내용을 주기적으로 점검할 수 있다.
- 그 밖에 구체적으로 교육의 시기와 방법 등에 대해서는 “위탁자”와 “수탁자”가 협의하여 시행한다.
제9조 (정보주체 권리보장)
“수탁자”는 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.
제10조 (개인정보의 파기)
- “수탁자”는 계약이 해지되거나 계약 기간이 만료된 경우 위탁업무 와 관련하여 보유하고 있는 개인정보를 개인정보 보호법 시행령 제16조에 따라 즉시 파기하거나 “위탁자”에게 반환하여야 한다.
- 제1항에 따라 “수탁자”가 개인정보를 파기한 경우에는 지체없이 “위탁자”에게 그 결과를 통보해야 한다.
제11조 (개인정보의 유출에 따른 조치)
“수탁자”는 “수탁자”가 처리하는 개인정보가 유출된 경우 “위탁자”에게 유출된 개인정보의 항목, 유출시점 및 경위, 유출피해를 최소화하기 위해 필요한 조치 등을 보고하여야 한다.
제12조 (손해배상)
- “수탁자”가 이 계약에 의하여 위탁 또는 재위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하여 “위탁자” 또는 정보주체 기타 제3자에게 손해가 발생한 경우 ”위탁자”와 ‘“수탁자”는 공동으로 정보주체 또는 제3자의 손해를 배상하기로 한다.
- 제1항과 관련하여 정보주체 또는 제3자의 손해를 대하여 배상한 당사자는 상대방에게 자신의 부담 비율을 초과하는 부분에 대하여 구상할 수 있다.