Notion으로 고객 데이터를 관리하고 있나요? Mailchimp로 뉴스레터를 보내고 있나요? 결제는 포트원(아임포트), 통계는 Google Analytics를 씁니까?
그렇다면 당신의 회사는 개인정보 처리를 외부에 위탁한 것이고, 대한민국 개인정보보호법(PIPA) 상 수탁사 관리 의무를 지게 됩니다.
이걸 모르는 중소기업이 놀랍도록 많습니다. "그냥 서비스 쓰는 것 아닌가?"라고 생각하지만, 법적으로는 그렇지 않습니다. 위반 시 최대 3,000만 원의 과태료가 부과됩니다.
개인정보 처리 위탁이란?
개인정보보호법 제26조는 **처리 위탁(委託)**을 이렇게 정의합니다.
개인정보처리자가 개인정보의 처리 업무의 일부를 제3자에게 맡기는 것
여기서 핵심 단어는 "처리 업무의 일부"입니다. 단순히 서비스를 구매하는 게 아니라, 당신의 고객/이용자 개인정보를 그 서비스 업체가 다루게 되는 것이면 위탁에 해당합니다.
위탁에 해당하는 SaaS 사용 사례
| 서비스 유형 | 예시 | 위탁 해당 여부 | |------------|------|--------------| | 이메일 마케팅 | Mailchimp, Stibee | ✅ 해당 | | CRM | HubSpot, Salesforce | ✅ 해당 | | 결제대행 | 포트원, KCP, NHN KCP | ✅ 해당 | | 문자/알림톡 | 솔라피, 네이버 클라우드 SENS | ✅ 해당 | | 고객지원 | 채널톡, Zendesk, Intercom | ✅ 해당 | | 물류/배송 | CJ대한통운, 롯데택배 API 연동 | ✅ 해당 | | 클라우드 호스팅 | AWS, Vercel, Supabase | ⚠️ 조건부 (DB에 개인정보 저장 시) | | 통계 분석 | Google Analytics 4 (IP 등 수집) | ⚠️ 쟁점 있음 |
위탁 시 반드시 해야 할 3가지
1. 수탁자와 서면 계약 체결
구두 합의나 이용약관 동의만으로는 부족합니다. 문서로 된 계약서 또는 별도 합의서에 다음 내용이 반드시 포함되어야 합니다(법 제26조 제1항).
필수 기재 사항:
□ 위탁하는 업무의 목적 및 범위
□ 개인정보의 기술적·관리적 보호조치
□ 개인정보의 처리 제한
□ 안전관리에 관한 사항
□ 재위탁 제한에 관한 사항
□ 개인정보 침해 시 손해배상 책임
□ 위탁기간 종료 후 개인정보 반환 또는 파기
대부분의 글로벌 SaaS는 **DPA(Data Processing Agreement)**를 제공합니다. HubSpot, Google, Mailchimp 등은 설정에서 DPA에 서명할 수 있습니다. 반드시 DPA를 체결하세요.
국내 SaaS는 개인정보 처리 위탁 계약서를 별도 요청하거나, 이용약관의 위탁 관련 조항을 문서화해 두어야 합니다.
2. 수탁사 관리·감독 의무 이행
계약서 체결로 끝이 아닙니다. 수탁자가 개인정보를 적절히 처리하는지 관리·감독해야 합니다(법 제26조 제4항).
실무적으로는 다음을 이행합니다.
- 연 1회 이상 교육: 수탁자의 개인정보 취급 담당자에게 개인정보보호 교육 제공 또는 수료 확인
- 정기 점검: 수탁자의 보안 정책, 침해사고 대응 절차 확인 (대형 SaaS는 SOC 2, ISO 27001 인증으로 갈음 가능)
- 침해사고 보고 체계 확인: 수탁자에서 침해가 발생했을 때 위탁자에게 즉시 통보하는 절차 확인
규모가 작은 중소기업은 글로벌 SaaS의 보안 인증서(SOC 2 Type II, ISO 27001 등)를 연 1회 수집·보관하는 것만으로도 점검 의무를 상당 부분 이행했다고 볼 수 있습니다.
3. 개인정보처리방침에 수탁사 공개
처리 위탁을 하는 경우, 개인정보처리방침에 수탁업체명과 위탁 업무 내용을 공개해야 합니다(법 제26조 제2항).
예시:
회사는 서비스 제공을 위해 아래와 같이 개인정보 처리를 위탁하고 있습니다.
수탁업체: (주)채널코퍼레이션 (채널톡)
위탁 업무: 고객 상담 서비스 운영
보유·이용기간: 위탁 계약 종료 시까지
수탁업체: Mailchimp (Intuit Inc.)
위탁 업무: 이메일 뉴스레터 발송
보유·이용기간: 위탁 계약 종료 시까지
이 공개 의무를 많은 중소기업이 모르거나 누락합니다. 개인정보처리방침에 서비스 소개만 있고 수탁사 목록이 없다면, 지금 바로 추가해야 합니다.
위반 시 과태료
| 위반 행위 | 과태료 | |----------|-------| | 수탁자 관리·감독 미이행 | 최대 3,000만 원 | | 처리방침에 수탁사 미공개 | 최대 3,000만 원 | | 서면 계약 미체결 | 최대 3,000만 원 |
과태료는 위반의 경중, 피해 규모, 위반 횟수에 따라 감경·가중됩니다. 초범에 자진 시정한 경우 50% 감경되는 경우가 많지만, 고의·반복 위반은 상한까지 부과됩니다.
중소기업 실전 체크리스트
지금 사용 중인 SaaS 목록을 만들고, 아래를 하나씩 확인하세요.
[ ] 이용자 개인정보를 다루는 SaaS 목록 작성 완료
[ ] 각 SaaS와 DPA 또는 위탁 계약서 체결
[ ] 수탁사 보안 인증서 또는 보안 정책 문서 수집
[ ] 개인정보처리방침에 수탁사명·업무 공개
[ ] 재위탁 발생 여부 확인 (SaaS가 또 다른 서드파티를 쓰는 경우)
[ ] 계약 종료 시 개인정보 반환·파기 절차 확인
해외 SaaS는 어떻게?
글로벌 SaaS는 대부분 자체 DPA를 제공하므로, 서비스 설정에서 DPA에 온라인 서명하는 것으로 계약 의무를 이행할 수 있습니다.
- Google Workspace: Admin Console → 데이터 처리 약정
- HubSpot: 계정 설정 → 법적 → DPA
- Mailchimp: 계정 설정 → Legal → Data Processing Agreement
- AWS: AWS 서비스 약관에 DPA 포함 (별도 서명 불필요, 단 EU 외 지역은 확인 필요)
해외 SaaS에 개인정보를 저장하는 경우, 국외 이전 요건도 별도로 검토해야 합니다. 이는 다음 글에서 다루겠습니다.
자동으로 수탁사 섹션 추가하기
개인정보처리방침에 수탁사 목록을 직접 작성하기 번거롭다면, pipaguard의 자동생성 기능을 활용해 보세요. 사용 중인 서비스를 선택하면 PIPA 요구사항에 맞는 수탁 위탁 조항이 자동으로 생성됩니다.
정리
- SaaS를 쓰면 처리 위탁이고, 수탁사 관리 의무가 생긴다
- 반드시 해야 할 3가지: 서면 계약 → 관리·감독 → 처리방침 공개
- 글로벌 SaaS는 대부분 DPA를 제공 — 서명하면 계약 의무 이행
- 위반 시 항목별 최대 3,000만 원 과태료
법무팀이 없는 중소기업도 이 3가지만 챙기면 수탁사 관련 PIPA 위반 리스크를 크게 줄일 수 있습니다.