개인정보보호전문관리자 (미래직업, 하는일, 되는법, 국내외 현황)

개인정보보호전문관리자 등장배경, 하는일, 되는법, 국내외 현황에 대해서 알아보려고 합니다. 본 자료는 한국고용정보원의 ‘2019 미래를 함께 할 새로운 직업’에서 찾아보았고, 미래에 새롭게 성장할 신직업에 대해서 살펴보는 시간이 되었으면 합니다.

개인정보보호전문관리자-미래직업-하는일-되는법-국내외현황

 

 

개인정보보호전문관리자 등장배경

빅데이터, 사물인터넷(IoT) 같은 신규 정보통신기술(ICT) 기반의 4차산업혁명 시대에서 개인정보는 중요한 자원이다.

반면 무분별한 활용으로 사생활 침해 우려 또한 증가하고 있는 실정이다.

무엇보다 4차산업혁명 시대를 선도하려면 개인정보의 안전한 활용과 더불어 이용자의 사생활 보호가 당면 과제로 대두되고 있다.

따라서 국제적으로 개인정보보호 분야의 전문 인력 수요가 급증하고 있다.

그 같은 추세에 따라 주요 국가들은 데이터 기반 디지털 경제에서 주도권을 확보하고 자국민의 개인정보보호를 위해 개인정보보호 관련 법·제도를 정비·강화하고 있다.

대표적으로 EU는 유럽 내 사업장을 운영하는 기업뿐만 아니라 전자상거래 등을 통해

해외에서 EU 주민의 개인정보를 처리하는 기업에도 적용되는 일반 개인정보보호법(GDPR, General Data Protection Regulation)을 제정해 2018년 5월 25일에 시행에 들어갔다.

이 규정을 위반하는 기업은 최대 2,000만 유로의 과징금 또는 연간 전 세계 매출의 4%에 이르는 과징금 중 높은 금액을 처분하도록 하고 있다.

특히 GDPR는 금융기관, 생명보험사 같은 정보 주체의 민감정보를 대규모로 처리하는 경우에는

개인정보보호전문관리자(DPO, Data Protection Officer)를 의무적으로 지정하도록 하는 규정을 도입해 EU에 진출한 우리 기업 또한 DPO 지정이 필요한 상황이다.

그러나 국내 기업은 DPO의 자격에 부합하고 책무를 수행할 수 있는 자, 국내외 개인정보보호 관련 법률·기술지식을 갖추고

EU에서 통용되는 언어 구사 능력 같은 전문 지식을 보유한 인력 확보가 매우 어려운 것으로 파악되고 있다.

때문에 개인정보보호와 관련한 전문 지식과 업무 독립성을 토대로 기업의 개인정보보호 법규 준수를 지원·감독하는 DPO 양성이 시급하다고 할 수 있다.

 

 

개인정보보호전문관리자 하는일

현재 국내에는 아직 DPO의 직무와 책무를 규정하는 법·제도가 도입되지 않음에 따라

EU GDPR 내 DPO의 지위(제38조)와 책무(제39조) 조항을 근거로 DPO의 지위와 수행 직무를 소개한다.

DPO의 지위와 관련해 컨트롤러와 프로세서는 DPO가 개인정보보호와 관련된 모든 문제에 시의적절하고 적시에 관여하도록 보장해야 한다.

또 개인정보의 접근과 처리 작업을 하고 전문 지식을 유지하는 데 필요한 자원을 제공해 DPO가 임무를 수행할 수 있도록 지원해야 한다.

또한 DPO는 자신의 업무 수행 과정에서 컨트롤러나 프로세서에 의해 해임 또는 처벌을 받지 않고 최고경영진에게 직접 보고하도록 하고 있다.

이는 DPO의 독립성을 보장하기 위한 것으로 컨트롤러나 프로세서의 개인정보보호와 관련한 적절한 조치와 감사, 자문이 이루어지도록 하기 위함이다.

더불어 DPO는 전문성이 보장되어야 하는데 구체적인 직무를 살펴보면

첫째, 컨트롤러와 프로세서, 임직원에게 GDPR와 유럽연합 또는 회원국의 다른 개인정보보호 법규들의 준수 의무 에 대해 알리고 자문해야 한다.

둘째, GDPR와 유럽연합 또는 회원국의 개인정보보호 법규와 관련한 컨트롤러 또는 프로세서의 정책 수준 모니터링을 해야 한다.

셋째, 요청이 있을 경우, 개인정보보호 영향 평가에 자문하고 평가의 이행을 모니터링하며 감독기관에 협력해야 한다.

넷째, 사전 자문 같은 개인정보 처리 현안에 대해 감독기관과의 콘택트 포인트(Contact Point) 역할을 수행하고 적절한 경우 기타 사안에 대한 자문을 제공해야 한다.

DPO는 업무를 수행함에 있어 개인정보 처리의 성격과 범위, 상황, 목적을 참작하여 개인정보처리 작업과 관련한 위험을 충분히 고려해야 한다.

정보 주체는 개인정보의 처리와 정보 주체 권리행사와 관련된 모든 문제에 대해 DPO와 접촉할 수 있다.

이러한 직무 특성상 DPO는 유럽연합이나 회원국 법률에 따라 자신의 직무수행에 관해 비밀 또는 기밀 유지의 의무를 준수해야 한다.

DPO의 업무와 직무는 이해 상충이 되지 않는 범위 내에서만 다른 업무와 직무를 수행하도록 하고 있다.

 

 

 

해외현황

 

 

 

 

유럽연합은 모든 회원국이 의무적으로 준수해야 하는 GDPR에 DPO 규정을 새로이 도입해 현재 시행하고 있다.

다시 말해 유럽연합 회원국의 사업자, 즉 정보 주체에 대한 대규모 정기적이고 체계적인 모니터링,

또는 민감정보나 범죄 경력과 범죄행위의 대규모 처리가 핵심 활동인 사업자는 개인정보보호법령과 실무에 대한 전문 지식과 책무를 수행할 수 있는 DPO를 지정 해야 한다(제37조).

한 사업장(Establishment)이 반드시 1명의 DPO를 지정해야 하는 것은 아니며 각 사업장에서 쉽게 접근 가능할 경우,

사업체 그룹(A Group of Undertakings)은 1명의 DPO를 지정할 수 있다.

또한 컨트롤러 또는 프로세서가 공공기관이거나 기구인 경우 조직의 구조나 규모를 고려해 1명의 DPO를 지정할 수 있다.

DPO는 컨트롤러 또는 프로세서의 직원이 될 수도 있고, 서비스 계약에 근거해 외부인이 DPO의 업무를 처리할 수도 있다.

이렇게 선임된 DPO의 상세 연락처는 감독기관에 통보해야 한다.

이렇듯 EU GDPR가 본격적으로 시행됨에 따라 이미 DPO 관련 규정이 있던 독일은

이에 맞춰 독일 데이터 보호법( GDPAA, German Data Protection Amendment Act)을 2017년 6월 개정했고,

스페인 개인정보 감독기구(AEPD, Agencia Española de Protección de Datos)는 DPO의 전문성을 검증하기 위한 자격 인증제도(DPO-AEPD SCHEME)를

2017년 10월 마련해 현재 4곳의 인증기관을 인가·운영 중(2018. 3. 30 기준)에 있다.

 

 

국내현황

우리나라 개인정보보호 전문 인력 운용 시스템은 현재 정보통신망법과 개인정보보호법상 개인정보보호책임자(CPO, Chief Privacy Officer) 지정 관련 규정만 존재하는 상황이다.

정보통신망법에 따르면 정보통신서비스 제공자 등은 이용자의 개인정보를 보호하고

개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보보호책임자를 지정하도록 하고 있다.

따라서 CPO는 개인정보보호와 관련하여 법령의 위반 사실을 알게 된 경우에는 즉시 개선 조치를 하고,

필요하면 소속 정보통신서비스 제공자 등의 사업주 또는 대표자에게 개선 조치를 보고하는 역할을 맡고 있다(제27조).

얼핏 DPO와 CPO가 비슷해 보일 수 있으나 DPO와 CPO의 가장 큰 차이점은 전문성과 독립성 부분이다.

CPO는 법령상 자격요건으로 ‘임원 또는 개인정보와 관련하여 이용자의 고충 처리 담당하는 부서의 장’이라는 조직 내 지위만 규정될 뿐

개인정보보호와 관련한 전문성과 업무상 독립성이 명시되어 있지 않아 GDPR상 DPO를 대체하기 곤란한 상황이다.

실제로 정보통신망법 적용 대상 2017년 개인정보보호 실태조사 결과에 따르면 정보통신망법 적용 기업 중 다수가

일반 관리 부서에서 개인정보보호 업무를 겸하거나(76.1%), 담당 부서가 부재(15.4%)한 것으로 나타났다.

독립성과 전문성이 미비한 것이다.

한편, 국제프라이버시전문가협회(IAPP)에 따르면 GDPR 시행으로 EU 상위 교역 대상국 중 8위인 한국은

최소 1,330개의 DPO 일자리가 필요하다는 전망(2016. 11. 9)을 내놓아 CPO와는 다른 국내 DPO 양성이 시급한 실정이다.

 

 

탐정 (미래직업, 공인탐정, 하는일, 되는법, 국내외 현황) – 알아두면 쓸모있는 잡학사전 (infoworld365.com)

Views: 10