개인정보 처리 위탁 — 외주·SaaS 사용 시 반드시 알아야 할 PIPA 의무

AWS에 서버를 올리고, Slack으로 소통하고, HubSpot으로 CRM을 운영한다면 — 당신의 회사는 이미 개인정보 처리를 외부에 위탁하고 있습니다. 개인정보보호법은 이 위탁 관계에 대해 명확한 의무를 부과합니다.

처리 위탁이란?

처리 위탁은 개인정보 처리 업무를 외부 업체에 맡기는 것입니다.

쉽게 말하면: 내 서비스 이용자의 개인정보가 제3자 서버/시스템을 거치는 경우입니다.

| 위탁에 해당 | 위탁이 아닌 것 | |------------|--------------| | AWS/GCP/Azure에 DB 운영 | 공개된 API 호출 (기상청, 지도 등) | | 이메일 발송 대행 (Mailchimp, SendGrid) | 단순 링크 연결 | | CRM 솔루션 사용 (HubSpot, Salesforce) | 개인정보 없이 서비스 이용 | | 외주 개발팀에 DB 접근 권한 부여 | | | 고객 상담 외주 (콜센터) | |

처리 위탁 시 의무 사항

1. 위탁 계약서 작성 (필수)

단순 이용약관 동의로는 부족합니다. 위탁 계약서(또는 DPA: Data Processing Agreement)에 아래 내용이 포함되어야 합니다.

✅ 위탁 계약서 필수 항목

□ 위탁하는 업무의 목적 및 범위
□ 개인정보 처리 기간
□ 개인정보의 재위탁 제한
□ 수탁자의 개인정보 보호 의무
□ 위탁 업무 감독 및 교육 의무
□ 손해배상 책임

주의: 글로벌 SaaS(AWS, Google, Slack 등)는 보통 DPA를 제공합니다. 반드시 체결해야 하며, 체결하지 않으면 위반입니다.

2. 이용자 고지 의무

위탁 사실을 개인정보처리방침에 공개해야 합니다.

# 개인정보처리방침 위탁 고지 예시

## 개인정보 처리 위탁

회사는 서비스 제공을 위해 아래와 같이 개인정보 처리를 위탁하고 있습니다.

| 수탁 업체 | 위탁 업무 | 보유 기간 |
|-----------|----------|----------|
| Amazon Web Services | 서버 인프라 운영 | 서비스 이용 기간 |
| Mailchimp | 이메일 발송 대행 | 목적 달성 시까지 |
| Zendesk | 고객 상담 관리 | 탈퇴 후 1년 |

단, 재화·서비스 제공을 위해 필요한 경우 처리방침에만 공개하면 됩니다 (별도 동의 불필요).

3. 수탁자 관리·감독 의무

위탁했다고 책임이 없어지는 게 아닙니다. 수탁자가 침해를 일으켜도 원칙적으로 위탁자(귀사)도 책임을 집니다.

수탁자의 개인정보 보호 수준을 주기적으로 확인해야 합니다
수탁자가 개인정보를 재위탁하는 경우 사전 승인 필요

자주 빠뜨리는 위탁 케이스

케이스 1: 외주 개발팀

프리랜서나 외주 개발 에이전시에 운영 DB 접근 권한을 줄 때 위탁 계약서 없이 진행하는 경우가 많습니다.

→ 반드시 NDA + 위탁 계약서 체결 후 접근 권한 부여

케이스 2: 마케팅 자동화 툴

HubSpot, Mailchimp, ActiveCampaign 등에 이메일 리스트를 업로드할 때.

→ 각 서비스의 DPA 체결 여부 확인 필수

케이스 3: 클라우드 분석 툴

Mixpanel, Amplitude, Google Analytics에 이용자 행동 데이터 전송 시.

→ 처리방침에 수탁 업체로 기재 + DPA 체결

케이스 4: 고객 상담 위탁

카카오 채널, 외부 CS 팀에 고객 문의 처리를 맡길 때.

→ 고객 개인정보 접근 범위 명시 + 위탁 계약서

위반 시 제재

| 위반 행위 | 제재 수준 | |----------|---------| | 위탁 계약서 미작성 | 과태료 최대 1,000만 원 | | 처리방침 미공개 | 과태료 최대 1,000만 원 | | 수탁자 관리 감독 의무 위반 | 과태료 최대 3,000만 원 | | 수탁자 침해 → 위탁자 연대 책임 | 손해배상 + 과징금 |

실무 액션 아이템

현재 사용 중인 외부 서비스 목록 작성 — 개인정보가 전달되는 모든 SaaS/외주 포함
각 서비스 DPA 체결 여부 확인 — 미체결 시 즉시 체결
개인정보처리방침 위탁 현황 업데이트 — 누락된 수탁자 추가
외주 개발팀 계약서 검토 — 개인정보 보호 조항 포함 여부 확인

pipaguard로 처리방침의 위탁 고지 적정성을 자동으로 검토해드립니다.

무료 PIPA 진단 →

개인정보 처리 위탁 — 외주·SaaS 사용 시 반드시 알아야 할 PIPA 의무

처리 위탁이란?

처리 위탁은 개인정보 처리 업무를 외부 업체에 맡기는 것입니다.

쉽게 말하면: 내 서비스 이용자의 개인정보가 제3자 서버/시스템을 거치는 경우입니다.

처리 위탁 시 의무 사항

1. 위탁 계약서 작성 (필수)

단순 이용약관 동의로는 부족합니다. 위탁 계약서(또는 DPA: Data Processing Agreement)에 아래 내용이 포함되어야 합니다.

✅ 위탁 계약서 필수 항목

□ 위탁하는 업무의 목적 및 범위
□ 개인정보 처리 기간
□ 개인정보의 재위탁 제한
□ 수탁자의 개인정보 보호 의무
□ 위탁 업무 감독 및 교육 의무
□ 손해배상 책임

주의: 글로벌 SaaS(AWS, Google, Slack 등)는 보통 DPA를 제공합니다. 반드시 체결해야 하며, 체결하지 않으면 위반입니다.

2. 이용자 고지 의무

위탁 사실을 개인정보처리방침에 공개해야 합니다.

# 개인정보처리방침 위탁 고지 예시

## 개인정보 처리 위탁

회사는 서비스 제공을 위해 아래와 같이 개인정보 처리를 위탁하고 있습니다.

| 수탁 업체 | 위탁 업무 | 보유 기간 |
|-----------|----------|----------|
| Amazon Web Services | 서버 인프라 운영 | 서비스 이용 기간 |
| Mailchimp | 이메일 발송 대행 | 목적 달성 시까지 |
| Zendesk | 고객 상담 관리 | 탈퇴 후 1년 |

단, 재화·서비스 제공을 위해 필요한 경우 처리방침에만 공개하면 됩니다 (별도 동의 불필요).

3. 수탁자 관리·감독 의무

위탁했다고 책임이 없어지는 게 아닙니다. 수탁자가 침해를 일으켜도 원칙적으로 위탁자(귀사)도 책임을 집니다.

수탁자의 개인정보 보호 수준을 주기적으로 확인해야 합니다
수탁자가 개인정보를 재위탁하는 경우 사전 승인 필요

자주 빠뜨리는 위탁 케이스

케이스 1: 외주 개발팀

프리랜서나 외주 개발 에이전시에 운영 DB 접근 권한을 줄 때 위탁 계약서 없이 진행하는 경우가 많습니다.

→ 반드시 NDA + 위탁 계약서 체결 후 접근 권한 부여

케이스 2: 마케팅 자동화 툴

HubSpot, Mailchimp, ActiveCampaign 등에 이메일 리스트를 업로드할 때.

→ 각 서비스의 DPA 체결 여부 확인 필수

케이스 3: 클라우드 분석 툴

Mixpanel, Amplitude, Google Analytics에 이용자 행동 데이터 전송 시.

→ 처리방침에 수탁 업체로 기재 + DPA 체결

케이스 4: 고객 상담 위탁

카카오 채널, 외부 CS 팀에 고객 문의 처리를 맡길 때.

→ 고객 개인정보 접근 범위 명시 + 위탁 계약서

위반 시 제재

실무 액션 아이템

현재 사용 중인 외부 서비스 목록 작성 — 개인정보가 전달되는 모든 SaaS/외주 포함
각 서비스 DPA 체결 여부 확인 — 미체결 시 즉시 체결
개인정보처리방침 위탁 현황 업데이트 — 누락된 수탁자 추가
외주 개발팀 계약서 검토 — 개인정보 보호 조항 포함 여부 확인

pipaguard로 처리방침의 위탁 고지 적정성을 자동으로 검토해드립니다.

무료 PIPA 진단 →

개인정보 처리 위탁 — 외주·SaaS 사용 시 반드시 알아야 할 PIPA 의무

개인정보 처리 위탁 — 외주·SaaS 사용 시 반드시 알아야 할 PIPA 의무

처리 위탁이란?

처리 위탁 시 의무 사항

1. 위탁 계약서 작성 (필수)

2. 이용자 고지 의무

3. 수탁자 관리·감독 의무

자주 빠뜨리는 위탁 케이스

케이스 1: 외주 개발팀

케이스 2: 마케팅 자동화 툴

케이스 3: 클라우드 분석 툴

케이스 4: 고객 상담 위탁

위반 시 제재

실무 액션 아이템

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 처리 위탁 — 외주·SaaS 사용 시 반드시 알아야 할 PIPA 의무

개인정보 처리 위탁 — 외주·SaaS 사용 시 반드시 알아야 할 PIPA 의무

처리 위탁이란?

처리 위탁 시 의무 사항

1. 위탁 계약서 작성 (필수)

2. 이용자 고지 의무

3. 수탁자 관리·감독 의무

자주 빠뜨리는 위탁 케이스

케이스 1: 외주 개발팀

케이스 2: 마케팅 자동화 툴

케이스 3: 클라우드 분석 툴

케이스 4: 고객 상담 위탁

위반 시 제재

실무 액션 아이템

지금 바로 PIPA 컴플라이언스 점검하기

관련 글