개인정보 보호책임자

Chief Privacy Officer; Data Protect Officer

1. 개요[편집]

  • 국내의 개인정보보호법, EU의 GDPR 등 개인정보 보호를 중요시 하는 국가들에선 안전한 개인정보 보호를 위해 개인정보 보호를 담당하는 책임자를 지정하도록 법으로 규정한다.
  • 해외의 경우 GDPR의 적용을 받는 유럽계 국가에서 DPO 개념이 일반화 되어 있으며, 미국에는 관련된 명확한 규정이 존재하지 않는다.

2. 개인정보 보호책임자의 지위[편집]

2.1. 국내[편집]

개인정보보호법에선 개인정보 보호책임자를 임원급이 하도록 규정하고 있다.
  • 개인정보 보호책임자를 지정하지 않는 경우 대표자가 개인정보 보호책임자인 것으로 본다.
  • 개인정보 보호책임자는 최소 임원급으로 지정해야 하며, 임원이 없는 경우 개인정보 보호를 담당하는 부서장으로 지정할 수 있다.
  • 개인정보 보호책임자는 역할 수행을 위한 권한을 보장 받으며, 업무 수행에 따른 불이익을 받지 않음을 보장받는다.
    • 보호담당자의 역할이 다른 사업 수행 주체와 이해충돌이 있을 수 있으므로
  • 국내법에선 GDPR과 다르게 개인정보 보호책임자에 대한 전문성 요건이 존재하지 않는다.

2.2. 유럽[편집]

GDPR에선 개인정보 보호담당자로 칭하며, 직위의 제한은 없다.
  • 개인정보 보호담당자에 대한 직위 제한이 없다.
  • 개인정보 보호담당자는 그 회사의 직원이 아니어도 된다. 즉, 한명의 개인정보 보호담당자가 여러 회사의 개인정보 보호를 담당할 수 있다.
  • 국내와 마찬가지로 역할 수행을 위한 권한을 보장 받으며, 업무 수행에 따른 불이익을 받지 않음을 보장받는다.
  • 개인정보 보호담당자를 법률과 데이터 보호에 전문성이 있는 자로 지정해야 한다.

3. 개인정보 보호책임자의 역할[편집]

3.1. 국내[편집]

개인정보보호법 제31조(개인정보 보호책임자의 지정)
  1. 개인정보 보호 계획의 수립 및 시행
  2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
  5. 개인정보 보호 교육 계획의 수립 및 시행
  6. 개인정보파일의 보호 및 관리ㆍ감독
  7. 개인정보 처리방침의 수립ㆍ변경 및 시행(시행령 제32조)
  8. 개인정보 보호 관련 자료의 관리(시행령 제32조)
  9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기(시행령 제32조)

3.2. 유럽[편집]

GDPR Article 39. Tasks of data protection officer
  1. to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; (GDPR 및 유럽연합 회원국의 개인정보보호법령에 기초하여 컨트롤러, 프로세서 및 그들의 임직원들에게 정보와 조언을 제공)
  2. to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; (개인정보보호 법규 및 제도의 준수를 모니터링하며, 보호 책임을 할당하고, 인식을 제고 및 훈련을 실시에 관여)
  3. to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; (개인정보 영향평가 활동에 조언을 제시)
  4. to cooperate with the supervisory authority; (개인정보보호 정부당국과 협조)
  5. to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter. (개인정보처리에 있어 정부당국의 컨택 포인트 역할)