[보안맨] 개인정보보호 책임자의 역할과 책임 GDPR와비교

안녕하세요,

본 기고글에서는 한국 개인정보보호 책임자 (이하 ‘CPO’)의 역할과 책임을 GDPR (유럽 개인정보보호 규제)와 비교, 이해하는 시간을 갖고자 합니다.

최근 대기업, 중소기업 등 회사의 크기를 막론하고 개인정보보호 유출 사고가 빈번히 발생하고 있습니다. 특히, 최근 LG***회사에서 고객 개인정보 유출사고가 발생해, 개인정보보호위원회가 약 68억원의 과징금을 부과한 사건은 정보보호 업계 전반에 경종을 울렸습니다.

Figure 1. 위반사항에 대한 행정처분 내용 (출처: 개인정보보호위원회 보도자료)

특히, 개인정보보호위원회에서 요청한 아래 방지 대책들 중, “책임자” 관련 내용이 눈에 띕니다.

• ●개인정보보호책임자의 역할과 위상 강화

• ●개인정보보호 조직의 전문성 제고

• ●개인정보보호 내부관리계획 재정립

정보보호 관리체계 두 번째 (1.1.2) 항목에 기재 되어있는 만큼, 최고책임자의 지정은 조직 내 매우 중요합니다. 인증 기준에서는 아래와 같이 정의하고 있습니다.

“최고 경영자는 정보보호 업무를 총괄하는 정보보호 최고 책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정해야 한다.”

필자는 특히 24년 3월 시행될 한국의 '개인정보보호법 제31조'에 대해 말씀 드리고 싶습니다. 이 조문은 '개인정보 보호책임자의 지정 등'에 관한 내용을 담고 있으며, 이번 개정을 통해 그 역할과 책임이 어떻게 변화했는지 GDPR의 개인정보보호

담당관 (이하 ‘DPO)와 비교하여 살펴 보겠습니다. 사기업 기준으로 작성된 점 참고 부탁 드립니다.

• ●DPO란?

GDPR의 DPO에 대해 알아보겠습니다. DPO는 조직 내에서 개인정보 보호에 대한 책임을 지며, 조직의 개인정보 보호 정책을 관리하고 GDPR 준수를 보장하는 역할을 합니다.

이때, 특정 조건을 충족하는 조직, 기업들은 DPO를 반드시 지정해야 합니다. GDPR 제29조(개인정보보호 담당관의 업무)에 DPO의 직무에 대해 상세하게 나와있으며, 주로 개인정보 보호 정책의 설계 및 실행, GDPR 준수 교육, 그리고 개인정보 보호 위반 사항에 대한 대응 등을 포함합니다.

GDPR은 DPO 선임 시, 조직 내부 직원만 한정하는 요구사항이 존재하지 않습니다. 따라서, 유럽 내 3rd party agency(e.g. 컨설팅, 로펌) 를 통해 DPO를 선임할 수 있습니다. 이를 통해, 기업에서는 DPO 지정을 통해 개인정보보호 활동의 독립성을 보장해 줄 수 있습니다.

필자는 DPO 관련 다소 황당한 에피소드가 있습니다. 이전 소규모 글로벌 기업에 재직 당시, DPO가 마케팅 부서 팀장으로 임명되어 있었습니다. 해당 팀장은 별도 전문 지식, 경험이 없었으며, 조직 내 DPO 관련 인사 발령이 진행되어 있지 않은 상황이었습니다. 다행인 것은, 해당 기업은 유럽에 본격적인 마케팅, 사업 진출을 하지 않아, 유럽 내 감독기구에 DPO 의무화에 따른 신고 보고를 하지 않아도 되었습니다. 하지만, GDPR 규제 외에도 엄밀히 말하면, 정보보호 관리체계 (이하 ‘ISMS’)의 ‘1.1.2 최고책임자의 지정’ 인증 기준의 결함에는 해당될 수 있다고 생각합니다.

• ●CPO란?

한편, 한국의 개인정보보호법에 따른 CPO는 기본적으로 DPO와 비슷한 역할을 합니다. 즉, 조직 내에서 개인정보 보호에 대한 책임을 지며, 조직의 개인정보 보호 정책을 관리하고, 법률 준수를 보장하는 역할을 합니다. CPO는 개인정보 보호 정책의 설계 및 실행, 임직원의 개인정보보호 준수 교육, 그리고 개인정보 보호 위반 사항에 대한 대응 등을 담당합니다.

• ●DPO와 CPO의 비교

GDPR의 DPO는 유럽 연합의 GDPR 준수를 촉진하는 반면, 한국 개인정보보호법의 CPO는 한국의 개인정보 보호법 준수를 촉진합니다. 이는 각자의 법률에 적합하도록 개인정보 보호 정책을 설계하고 실행하는 것을 의미합니다.

따라서, 유럽 연합 내에서 활동하거나 유럽 연합 시민의 개인정보를 처리하는 기업은 GDPR의 DPO를, 한국 내에서 활동하거나 한국 시민의 개인정보를 처리하는 기업은 한국의 개인정보보호법의 CPO를 반드시 준수해야 합니다.

DPO와 CPO에 대해 간단히 표로 비교했습니다. (23년 11월 기준)

독립성 보장에 관한 한국 개인정보보호법을 아래와 같이 발췌 하였습니다.

⑥ 개인정보처리자는 개인정보 보호책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다.

사실, 24년 초 시행될 개인정보 보호책임자 지정 등 요건 관련 고용형태, 전문성 여부 등을 파악할만한 보다 구체적인 내용 (e.g. 시행령, 관련 가이드)를 확인할 수는 없었으나, 그럼에도 불구하고, ‘독립성’이 보장된 업무를 수행할 수 있도록 한 법 개정은, 커다란 소식이 아닐 수 없습니다. 일련의 흐름이 GDPR의 DPO 제도를 따라가는 것처럼 보여, 실무자 입장에서는 적극 찬성 입니다.

필자가 직접 CPO 직책을 수행하진 않았지만, 업무를 여러차례 보고하면서, 많은 애로사항을 느꼈습니다. 필자 근무 당시, CPO는 회사 내 CTO께서 겸직 하셨습니다. CTO께서는 정보보호 및 개인정보보호에 대한 전문성, 이해가 부족한 개발자 출신 이었습니다. 자체 인력이 부족한 상황에서 개인정보 법적 준거성 검토 및 실태점검 등 제반 개인정보보호 활동을 위해 개인정보보호 외부 컨설팅의 필요성을 여러차례 보고 했으나, 결론적으로 CTO의 반대로 추진하지 못했습니다. 회사 내 여러가지 상황, 예산적인 문제 등 충분히 있을 수 있지만, 회사 내 인력, 예산 등 영향을 미치는 임원의 의지가 없이 체계적인 개인정보보호 활동을 보장받기 쉽지 않다고 생각합니다.

디지털 환경에서 개인정보는 굉장히 중요한 자산이지만, 동시에 침해받을 위험성도 높습니다.