개인정보 보호책임자

From IT Wiki


Chief Privacy Officer; Data Protect Officer

개요[edit | edit source]

  • 국내의 개인정보보호법, EU의 GDPR 등 개인정보 보호를 중요시 하는 국가들에선 안전한 개인정보 보호를 위해 개인정보 보호를 담당하는 책임자를 지정하도록 법으로 규정한다.
  • 해외의 경우 GDPR의 적용을 받는 유럽계 국가에서 DPO 개념이 일반화 되어 있으며, 미국에는 관련된 명확한 규정이 존재하지 않는다.

개인정보 보호책임자의 지위[edit | edit source]

국내[edit | edit source]

개인정보보호법에선 개인정보 보호책임자를 임원급이 하도록 규정하고 있다.
  • 개인정보 보호책임자는 최소 임원급으로 지정해야 하며, 임원이 없는 경우 개인정보 보호를 담당하는 부서장으로 지정할 수 있다.
  • 개인정보 보호책임자는 역할 수행을 위한 권한을 보장 받으며, 업무 수행에 따른 불이익을 받지 않음을 보장받는다.[1]
  • 국내법에선 GDPR과 다르게 개인정보 보호책임자에 대한 전문성 요건이 존재하지 않는다.[2]
  • 소상공인의 경우 개인정보 보호책임자를 별도 지정하지 않고 대표자가 개인정보 보호책임자인 것으로 본다.

유럽[edit | edit source]

GDPR에선 개인정보 보호담당자(DPO)로 칭하며, 직위의 제한은 없다.
  • 개인정보 보호담당자에 대한 직위 제한이 없다.
  • 개인정보 보호담당자는 그 회사의 직원이 아니어도 된다. 즉, 한명의 개인정보 보호담당자가 여러 회사의 개인정보 보호를 담당할 수 있다.
  • 국내와 마찬가지로 역할 수행을 위한 권한을 보장 받으며, 업무 수행에 따른 불이익을 받지 않음을 보장받는다.
  • 개인정보 보호담당자를 법률과 데이터 보호에 전문성이 있는 자로 지정해야 한다.

개인정보 보호책임자의 역할[edit | edit source]

국내[edit | edit source]

개인정보보호법 제31조(개인정보 보호책임자의 지정)
  1. 개인정보 보호 계획의 수립 및 시행
  2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
  5. 개인정보 보호 교육 계획의 수립 및 시행
  6. 개인정보파일의 보호 및 관리ㆍ감독
  7. 개인정보 처리방침의 수립ㆍ변경 및 시행(시행령 제32조)
  8. 개인정보 보호 관련 자료의 관리(시행령 제32조)
  9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기(시행령 제32조)

유럽[edit | edit source]

GDPR Article 39. Tasks of data protection officer
  1. to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; (GDPR 및 유럽연합 회원국의 개인정보보호법령에 기초하여 컨트롤러, 프로세서 및 그들의 임직원들에게 정보와 조언을 제공)
  2. to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; (개인정보보호 법규 및 제도의 준수를 모니터링하며, 보호 책임을 할당하고, 인식을 제고 및 훈련을 실시에 관여)
  3. to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; (개인정보 영향평가 활동에 조언을 제시)
  4. to cooperate with the supervisory authority; (개인정보보호 정부당국과 협조)
  5. to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter. (개인정보처리에 있어 정부당국의 컨택 포인트 역할)

개인정보 보호책임자 지정요건[edit | edit source]

개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)

  • ② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.
    • 1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
      • 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원
      • 나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
      • 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
      • 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
      • 마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
      • 바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
      • 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
      • 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
    • 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
      • 가. 사업주 또는 대표자
      • 나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
  • ③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 다만, 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다. <신설 2020. 8. 4., 2021. 2. 2.>
  1. 보호담당자의 역할이 다른 사업 수행 주체와 이해충돌이 있을 수 있으므로 독립적인 업무를 보장하기 위함
  2. 실무 보단 책임을 지는 역할이다.