「개인정보 보호법」 제26조 및 같은 법 시행령 제28조에 따른 계약서2025년 개인정보보호위원회 표준 개인정보처리위탁 계약서(안) 기반
차차여성의원 (이하 "위탁자"라 한다)과(와) 고운앤컴퍼니 (이하 "수탁자 1"이라 한다) 및 케이제로 주식회사 (사업자등록번호: 673-81-03390, 이하 "수탁자 2"라 한다)는 위탁자의 개인정보 처리업무를 수탁자 1 및 수탁자 2(이하 통칭하여 "수탁자"라 한다)에게 위탁함에 있어 「개인정보 보호법」(이하 "법"이라 한다) 제26조 및 같은 법 시행령(이하 "시행령"이라 한다) 제28조에 따라 다음과 같이 계약을 체결한다.
본 계약은 위탁자가 수탁자에게 개인정보 처리업무를 위탁함에 있어, 법 제26조 및 시행령 제28조에 따른 수탁자의 개인정보 보호 관련 의무사항과 위탁자의 관리·감독에 관한 사항을 규정함을 목적으로 한다.
① 위탁자가 수탁자에게 위탁하는 업무의 내용은 다음과 같다.
| 구분 | 수탁자 1 (고운앤컴퍼니) | 수탁자 2 (케이제로 주식회사) |
|---|---|---|
| 위탁업무 | 가. 내원 환자 대상 리뷰 마케팅 기획 및 운영 대행나. 리뷰 작성 가이드라인 수립 및 환자 커뮤니케이션 대행다. 국가건강검진 안내 캠페인 기획 및 운영 대행라. 기타 위탁자의 마케팅 업무 대행 | 가. 내원 환자 대상 리뷰 작성 요청 알림톡 발송 대행나. 리뷰 인증 확인 및 리워드(기프티콘) 발송 대행다. 국가건강검진 대상자 안내 알림톡 발송 대행라. 상기 업무 수행을 위한 마이클리닉 대시보드 시스템 개발 및 운영 |
| 개인정보 항목 | 성명, 생년월일, 휴대전화번호 | |
| 보유 및 이용 기간 | 위탁계약 기간 동안. 계약 종료 또는 위탁업무 완료 시 지체 없이 파기한다. 관계 법령에 따라 보존 의무가 있는 경우 해당 기간 동안 보존할 수 있다. | |
| 개인정보 전달 방식 | 수탁자 2가 운영하는 마이클리닉 대시보드 시스템에 위탁자가 직접 업로드 또는 암호화된 전자파일(CSV 등) 전송. 수탁자 1은 수탁자 2의 시스템을 통해 업무 범위 내에서 개인정보에 접근한다. | |
| 정보주체 수(예상 규모) | 약 12,000명 (연간 기준, 월평균 내원객 약 1,000명 · 신환율 약 15%) |
② 수탁자는 각각 제1항에서 정한 자신의 위탁업무 목적 및 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. (법 제26조 제1항 제1호)
③ 수탁자 1과 수탁자 2는 각자의 업무 범위 내에서 독립적으로 본 계약상 의무를 부담하며, 상대방 수탁자의 의무 위반에 대하여 연대책임을 지지 아니한다. 다만, 공동으로 기인한 사고에 대하여는 그 기여도에 따라 책임을 분담한다.
① 수탁자는 위탁자의 사전 서면 동의 없이 위탁받은 업무를 제3자에게 재위탁할 수 없다. (시행령 제28조 제1항 제2호)
② 수탁자가 재위탁을 하고자 하는 경우, 재위탁의 필요성, 재수탁자의 명칭, 재위탁하는 업무의 내용, 개인정보 항목을 위탁자에게 서면으로 통지하고 사전 동의를 받아야 한다.
③ 재위탁이 승인된 경우, 수탁자는 재수탁자에 대하여 본 계약에서 정한 것과 동등 이상의 개인정보 보호 의무를 부과하여야 하며, 재수탁자의 의무 위반에 대하여 해당 수탁자가 책임을 진다.
④ 수탁자 1과 수탁자 2 간의 업무상 개인정보 공유는 제2조에서 정한 업무 범위 내에서의 공유에 한하며, 이는 재위탁으로 보지 아니한다.
수탁자(수탁자 1 및 수탁자 2 각각)는 다음 각 호의 사항을 준수하여야 한다.