개인정보 처리 위탁 계약서

카카오 T 비즈니스를 이용하는 운수사, 물류사(이하 “위탁자”라 한다)와 주식회사 카카오모빌리티(이하 “수탁자”라 한다)는 ‘카카오 T 비즈니스 이용약관’에 근거하여 “위탁자”의 개인정보 처리 업무를 “수탁자”에게 위탁함에 있어 다음과 같은 내용으로 개인정보 처리 위탁 계약서를 체결한다.

제1조 (목적)

본 계약은 “위탁자”가 개인정보 처리 업무를 “수탁자”에게 위탁하고, “수탁자”는 이를 승낙하여 “수탁자”의 책임아래 성실하게 업무를 완성하도록 하는 데 필요한 사항을 정함을 목적으로 한다.

제2조 (용어의 정의)

본 계약에서 별도로 정의되지 아니한 용어는 개인정보 보호법, 같은 법 시행령, 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시), 표준 개인정보 보호지침(개인정보보호위원회 고시) 등에서 정의된 바에 따른다.

제3조 (위탁업무의 목적 및 범위)

“수탁자”는 본 계약이 정하는 바에 따라 다음 각 호의 목적으로 개인정보 처리 업무를 수행한다.

  1. 카카오 T 비즈니스 전기차 충전 서비스 제공 및 소속 임직원 등록을 위한 “위탁자” 임직원의 개인정보 처리
  2. “위탁자”가 에스지생활안전(주)의 전기차 충전소 관리시스템을 이용하기 위한 목적으로 “위탁자”의 임직원이 이용한 카카오 T 비즈니스 전기차 충전 서비스 이용 내역(차량번호 포함)과 임직원을 구분하기 위한 구분자를 에스지생활안전(주)에 전달하는 업무

제4조 (재위탁 제한)

  1. “수탁자”는 “위탁자”의 동의를 얻은 경우를 제외하고 위탁받은 개인정보 처리 업무를 제3자에게 재위탁할 수 없다.
  2. “수탁자”가 “위탁자”의 동의를 받아 개인정보 처리 업무의 전부 또는 일부를 제3자에게 다시 위탁하는 경우에는 “위탁자”에게 재위탁받는 자 및 재위탁 업무의 범위를 알려야 한다. 다만, “수탁자”가 사전에 재위탁의 범위와 재위탁자를 정하여 “위탁자”에 알리고 동의를 받았을 때에는 그러하지 아니하다.
  3. “위탁자”는 “수탁자”가 다음과 같은 내용으로 제3자에게 업무를 재위탁하는 것에 동의한다.
    1. 재위탁 업체정보:
      1. 업체명: 주식회사 케이드라이브(이하 ‘재수탁자’)
      2. 사업자등록번호 / 대표자명: 280-86-02379 / 김홍섭
      3. 대표번호: 1644-7391
      4. 업체주소: 서울시 영등포구 국회대로 632, 영등포 유원시티빌딩 12층
    2. 목적: 카카오 T 비즈니스 고객센터 운영 및 고객 상담을 위한 재위탁
    3. 제공정보: 이름, 휴대폰번호
    4. 사용기간: 회원 탈퇴 시 또는 위탁 계약 종료 시

제5조 (개인정보의 안전성 확보조치 등)

“수탁자”는 「개인정보 보호법」 제23조제2항 및 제24조제3항 및 제29조, 같은 법 시행령 제21조 및 제30조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시)에 따라 개인정보의 안전성 확보에 필요한 관리적·기술적 및 물리적 안전조치를 하여야 한다.

제6조 (개인정보의 처리제한)

  1. “수탁자”는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.

제7조 (수탁자에 대한 관리·감독 등)

  1. “위탁자”는 “수탁자”에 대하여 다음 각 호의 사항을 감독할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이에 응하여야 한다.
    1. 개인정보의 처리 현황
    2. 개인정보의 접근 또는 접속기록
    3. 개인정보 접근 또는 접속 대상
    4. 목적 외 이용·제공 및 재위탁 제한 사항 준수 여부
    5. 암호화 등 안전성 확보조치 이행여부
    6. 그 밖에 개인정보의 보호를 위하여 필요한 사항
  2. “위탁자”는 “수탁자”에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, “수탁자”는 특별한 사유가 없는 한 이행하여야 한다.
  3. “수탁자”가 다음 각 호 중 어느 하나에 해당하는 경우에는 그러한 사정을 “위탁자”에게 알리고 위탁받은 개인정보의 처리 업무에 대한 점검 결과를 “위탁자”에게 1년의 단위로 정기적으로 보고하는 것으로 위 각 항에 따른 “위탁자”와 “수탁자”의 의무 이행에 갈음할 수 있다. “위탁자”에 대한 “수탁자”의 보고의 시기 등에 대하여는 상호 협의하여 정할 수 있다.
    1. 개인정보 보호법 제32조의2에 따른 개인정보 보호 인증(ISMS-P)을 취득하여 주기적으로 점검을 받고 있는 경우
    2. 개인정보보호위원회의 개인정보보호 ‘민관협력 자율규제’에 참여하여 주기적으로 점검을 받고 있는 경우
    3. 그 외 위 1호, 2호에 준하는 경우로서, “위탁자”와 “수탁자”가 합의하여 법 제31조 제7항의 개인정보 보호책임자 협의회 등에 의한 점검 등을 주기적으로 받고 있는 경우
  4. 제3항의 경우에도 “수탁자”는 “수탁자”의 처리위탁 업무와 관련하여 개인정보보호법 위반 또는 본 계약의 위반의 사항이 발생한 경우에는 즉시 이를 “위탁자”에게 통지하여야 하고, “위탁자”의 지시에 따라야 한다.

제8조 (수탁자에 대한 교육)

  1. “위탁자”는 개인정보 보호법 제26조 제3항에 따라 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 “수탁자”를 교육할 수 있으며, “수탁자”는 이에 응하여야 한다. “수탁자”는 “위탁자”와 협의하여 “수탁자”의 책임 하에 그의 개인정보 취급자 등에게 교육을 실시할 수 있다.
  2. 제1항에 따른 교육은 집합교육, 온라인 교육 등의 방식 등 교육 목적을 달성할 수 있는 범위 내에서 다양한 방식으로 진행될 수 있으며, 구체적인 방식에 대하여는 “위탁자”와 “수탁자”는 별도로 협의하여 정할 수 있다. 다만, “수탁자”가 자체적으로 또는 제3자인 전문 업체를 통해 교육을 실시하는 경우에는 “수탁자”는 교육의 시행 여부 및 결과 등을 “위탁자”에게 증빙자료와 함께 보고하여야 하고, “위탁자”는 보고 내용을 주기적으로 점검할 수 있다.
  3. 그 밖에 구체적으로 교육의 시기와 방법 등에 대해서는 “위탁자”와 “수탁자”가 협의하여 시행한다.

제9조 (정보주체 권리보장)

“수탁자”는 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 한다.

제10조 (개인정보의 파기)

  1. “수탁자”는 계약이 해지되거나 계약 기간이 만료된 경우 위탁업무 와 관련하여 보유하고 있는 개인정보를 개인정보 보호법 시행령 제16조에 따라 즉시 파기하거나 “위탁자”에게 반환하여야 한다.
  2. 제1항에 따라 “수탁자”가 개인정보를 파기한 경우에는 지체없이 “위탁자”에게 그 결과를 통보해야 한다.

제11조 (개인정보의 유출에 따른 조치)

“수탁자”는 “수탁자”가 처리하는 개인정보가 유출된 경우 “위탁자”에게 유출된 개인정보의 항목, 유출시점 및 경위, 유출피해를 최소화하기 위해 필요한 조치 등을 보고하여야 한다.

제12조 (손해배상)

  1. “수탁자”가 이 계약에 의하여 위탁 또는 재위탁 받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하여 “위탁자” 또는 정보주체 기타 제3자에게 손해가 발생한 경우 ”위탁자”와 ‘“수탁자”는 공동으로 정보주체 또는 제3자의 손해를 배상하기로 한다.
  2. 제1항과 관련하여 정보주체 또는 제3자의 손해를 대하여 배상한 당사자는 상대방에게 자신의 부담 비율을 초과하는 부분에 대하여 구상할 수 있다.