[보안맨] 개인정보보호 책임자의 역할과 책임 GDPR와비교

안녕하세요,

 기고글에서는 한국 개인정보보호 책임자 (이하 ‘CPO’) 역할과 책임을 GDPR (유럽 개인정보보호 규제)와 비교이해하는 시간을 갖고자 합니다.

 

최근 대기업, 중소기업  회사의 크기를 막론하고 개인정보보호 유출 사고가 빈번히 발생하고 있습니다특히최근 LG***회사에서 고객 개인정보 유출사고가 발생해개인정보보호위원회가 약 68억원의 과징금을 부과한 사건은 정보보호 업계 전반에 경종을 울렸습니다.


 






Figure 1. 위반사항에 대한 행정처분 내용 (출처개인정보보호위원회 보도자료)

 

특히, 개인정보보호위원회에서 요청한 아래 방지 대책들 , 책임자 관련 내용이 눈에 띕니다.

  • 개인정보보호책임자의 역할과 위상 강화

  • 개인정보보호 조직의 전문성 제고

  • 개인정보보호 내부관리계획 재정립

 

 

정보보호 관리체계  번째 (1.1.2) 항목에 기재 되어있는 만큼, 최고책임자의 지정은 조직 내 매우 중요합니다인증 기준에서는 아래와 같이 정의하고 있습니다.

 

최고 경영자는 정보보호 업무를 총괄하는 정보보호 최고 책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산인력 등 자원을 할당할 수 있는 임원급으로 지정해야 한다.”

 

 

필자는 특히 24 3 시행될 한국의 '개인정보보호법 31' 대해 말씀 드리고 싶습니다 조문은 '개인정보 보호책임자의 지정 ' 관한 내용을 담고 있으며이번 개정을 통해 그 역할과 책임이 어떻게 변화했는지 GDPR의 개인정보보호


담당관 (이하 ‘DPO) 비교하여 살펴 보겠습니다. 사기업 기준으로 작성된  참고 부탁 드립니다.

 

 

 

  • DPO?

 

GDPR의 DPO에 대해 알아보겠습니다. DPO는 조직 내에서 개인정보 보호에 대한 책임을 지며, 조직의 개인정보 보호 정책을 관리하고 GDPR 준수를 보장하는 역할을 합니다.

이때특정 조건을 충족하는 조직기업들은 DPO를 반드시 지정해야 합니다. GDPR 29(개인정보보호 담당관의 업무)에 DPO의 직무에 대해 상세하게 나와있으며, 주로 개인정보 보호 정책의 설계  실행, GDPR 준수 교육, 그리고 개인정보 보호 위반 사항에 대한 대응 등을 포함합니다.

 

GDPR DPO 선임 , 조직 내부 직원만 한정하는 요구사항이 존재하지 않습니다따라서유럽  3rd party agency(e.g. 컨설팅로펌 통해 DPO 선임할 수 있습니다이를 통해기업에서는 DPO 지정을 통해 개인정보보호 활동의 독립성을 보장해 줄 수 있습니다.

 

필자는 DPO 관련 다소 황당한 에피소드가 있습니다. 이전 소규모 글로벌 기업에 재직 당시, DPO가 마케팅 부서 팀장으로 임명되어 있었습니다해당 팀장은 별도 전문 지식경험이 없었으며조직 내 DPO 관련 인사 발령이 진행되어 있지 않은 상황이었습니다다행인 것은해당 기업은 유럽에 본격적인 마케팅사업 진출을 하지 않아유럽 내 감독기구에 DPO 의무화에 따른 신고 보고를 하지 않아도 되었습니다하지만, GDPR 규제 외에도 엄밀히 말하면정보보호 관리체계 (이하 ‘ISMS’)의 ‘1.1.2 최고책임자의 지정’ 인증 기준의 결함에는 해당될 수 있다고 생각합니다.

 


  • CPO?

 

한편한국의 개인정보보호법에 따른 CPO는 기본적으로 DPO와 비슷한 역할을 합니다조직 내에서 개인정보 보호에 대한 책임을 지며조직의 개인정보 보호 정책을 관리하고, 법률 준수를 보장하는 역할을 합니다. CPO 개인정보 보호 정책의 설계 및 실행임직원의 개인정보보호 준수 교육그리고 개인정보 보호 위반 사항에 대한 대응 등을 담당합니다.

 

 

  • DPO CPO 비교

 

GDPR DPO 유럽 연합의 GDPR 준수를 촉진하는 반면한국 개인정보보호법의 CPO 한국의 개인정보 보호법 준수를 촉진합니다. 이는 각자의 법률에 적합하도록 개인정보 보호 정책을 설계하고 실행하는 것을 의미합니다.


따라서, 유럽 연합 내에서 활동하거나 유럽 연합 시민의 개인정보를 처리하는 기업은 GDPR DPO한국 내에서 활동하거나 한국 시민의 개인정보를 처리하는 기업은 한국의 개인정보보호법의 CPO를 반드시 준수해야 합니다.

 

DPO CPO 대해 간단히 표로 비교했습니다. (23년 11월 기준)

구분

DPO

CPO

관련 근거

GDPR 373839

개인정보보호법 31(24년 시행)

역할 및 책임

개인정보보호를 위해 GDPR이 정하는 구체적 활동

법에서 정하는 구체적 활동

업무 독립성

독립성 보장

고용 형태

직원 또는 외부자

TBD

전문성

법과 실무에서의 전문적 지식 요구

TBD

 

독립성 보장에 관한 한국 개인정보보호법을 아래와 같이 발췌 하였습니다.

 개인정보처리자는 개인정보 보호책임자가 3  호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다.

 

사실, 24  시행될 개인정보 보호책임자 지정  요건 관련 고용형태, 전문성 여부 등을 파악할만한 보다 구체적인 내용 (e.g. 시행령관련 가이드)를 확인할 수는 없었으나그럼에도 불구하고, ‘독립성이 보장된 업무를 수행할 수 있도록 한 법 개정은커다란 소식이 아닐 수 없습니다일련의 흐름이 GDPR의 DPO 제도를 따라가는 것처럼 보여실무자 입장에서는 적극 찬성 입니다.

 

필자가 직접 CPO 직책을 수행하진 않았지만업무를 여러차례 보고하면서많은 애로사항을 느꼈습니다필자 근무 당시, CPO 회사  CTO께서 겸직 하셨습니다. CTO께서는 정보보호 및 개인정보보호에 대한 전문성이해가 부족한 개발자 출신 이었습니다자체 인력이 부족한 상황에서 개인정보 법적 준거성 검토  실태점검 등 제반 개인정보보호 활동을 위해 개인정보보호 외부 컨설팅의 필요성을 여러차례 보고 했으나결론적으로 CTO의 반대로 추진하지 못했습니다회사 내 여러가지 상황예산적인 문제  충분히 있을  있지만, 회사  인력, 예산  영향을 미치는 임원의 의지가 없이 체계적인 개인정보보호 활동을 보장받기 쉽지 않다고 생각합니다.

 

 

디지털 환경에서 개인정보는 굉장히 중요한 자산이지만, 동시에 침해받을 위험성도 높습니다.


금년 9  내년에 시행될 한국 개인정보보호법 개정은 개인정보 보호책임자가 단순히 법률을 준수하는 역할뿐만 아니라보다 적극적으로 개인정보의 안전을 확보하는 역할을 수행하도록 하는 첫 단추를 꿰는 법 개정으로서 의미가 있다고 생각합니다. 특히, 개인정보처리자로서 기업은 개인정보보호에 대한 책임을 더욱 철저히 다하도고록 독려받게 될 것입니다이는 기업이나 조직이 개인정보를 안전하게 보호하는데 필요한 내부 시스템제도 등을 갖추도록 유도할  입니다.

 

IT, 정보보호, 개인정보보호 실무자께서 새로운  개정에 따른 변화를  이해하고개인정보 보호에 대한 스스로의 역할과 책임을 돌아보시는 계기가 되셨으면 좋겠습니다.

 

감사합니다.

4개의 댓글이 있습니다.

6달 전

잘봤습니다 ^^

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

6달 전

참고하겠습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

6달 전

참고하겠습니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

7달 전

감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입