DPO

From IT위키

Data Protection Officer

DPO 지정 의무[edit | edit source]

컨트롤러와 프로세서는 자유로이 DPO를 지정할 수 있으나, 다음 중 하나의 경우에는 반드시 DPO를 지정하여야 한다.

  • 정부부처 또는 관련기관의 경우(사법적 권한을 행사하는 법원은 예외)
  • 컨트롤러 또는 프로세서의 ‘핵심 활동’이 다음 중 하나에 해당되는 경우
    • ① 정보주체에 대한 ‘대규모’의 ‘정기적이고 체계적인 모니터링’
    • ② 민감정보나 범죄정보에 대한 ‘대규모’의 처리

DPO의 업무[edit | edit source]

DPO는 다음과 같은 업무를 수행하여야 한다(제39조).

  • ① 컨트롤러와 프로세서 및 임직원에게 GDPR과 다른 개인정보 보호법규 준수 의무 에 대하여 알리고 자문
  • ② 내부 정보보호 활동 관리 등 GDPR 및 다른 개인정보 보호법규 이행 상황 모니터링
  • ③ 컨트롤러 또는 프로세서에게 정보 제공, 조언 및 권고 사항 제시
  • ④ 개인정보 영향평가에 대한 자문 및 평가 이행 감시

DPO의 역할과 상세 업무를 정리하면 다음과 같다

DPO의 역할 DPO 상세 업무
GDPR 준수 여부에 대한 모니터링
  • 처리 활동을 식별하기 위한 정보 수집
  • 처리 활동에 대한 준수 여부 확인 및 분석
  • 컨트롤러 또는 프로세서 대상으로 조언, 자문 제공
개인정보 영향평가에 대한 역할
  • 개인정보 영향평가 수행 여부 검토
  • 개인정보 영향평가 수행을 위한 방법론 검토
  • 개인정보 영향평가의 자체수행 혹은 아웃소싱 여부 검토
  • 정보주체의 권리와 이익에 대한 위험 완화를 위한 보호 조치 검토
  • 개인정보 영향평가의 적절한 수행 여부 및 평가 과정의 GDPR 준수 여부

DPO의 자질[edit | edit source]

DPO는 제39조에 명시된 업무를 수행할 수 있는 능력을 바탕으로 지정되어야 한다(제37조제5항). 필요한 전문 지식의 수준은 DPO가 수행하는 처리 작업과 보호 수준에 따라 결정되어야 하며, 이는 다음과 같이 제시할 수 있다.

  • ① GDPR에 대한 심도 있는 이해 및 자국과 EU 개인정보보호 법률, 관행에 대한 전문 지식
  • ② 개인정보 처리 작업에 대한 이해
  • ③ 정보 기술 및 보안에 대한 이해
  • ④ 기업 및 조직에 대한 지식 ⑤ 조직 내에서 개인정보보호 문화를 활성화할 수 있는 능력

GDPR은 DPO에게 요구되는 전문지식의 수준을 엄격하게 정의하지는 않는다. 하지만 조직이 처리하는 개인정보의 민감성, 복잡성 및 규모에 상응해야 한다. 예를 들어, 개인 정보 처리 활동이 특히 복잡하거나 민감한 개인정보가 대량으로 포함되어 있다면, 더 높은 수준의 전문지식이 DPO에게 요구될 수 있다. 또한 조직이 체계적으로 유럽연합 밖으로 개인정보를 이전하는지 혹은 이러한 이전이 가끔씩 일어나는지 여부에 따라 차이가 있을 수 있다.

GDPR이 DPO의 자질에 대하여 구체적으로 명시하고 있지 않는 반면, WP29의 가이 드라인53은 DPO의 전문성(expertise)과 기량(skill)을 다음과 같이 제시하고 있다.

  • 1) 전문 지식 수준(level of expertise)
    • 조직에서 처리하는 데이터의 민감도, 복잡성 및 데이터의 양에 따라 적합한 전문성을 갖추어야 한다. 예를 들어, 데이터 처리 활동이 특히 복잡하거나 많은 양의 민감한 데 이터의 처리와 관련된 기업 및 기관의 DPO는 더 높은 수준의 전문 지식이 요구된다.
  • 2) 전문적 자질(professional qualities)
    • DPO는 자국의 개인정보보호법을 포함하여 유럽 데이터 보호법 및 관행에 대한 전문 지식과 더불어 GDPR에 대한 깊은 이해가 요구된다. 또한 DPO는 수행된 처리 작업뿐 만 아니라 정보 시스템, 컨트롤러의 데이터 보안 및 데이터 보호 요구 사항에 대한 충 분한 지식이 필요하며, 공공기관의 DPO는 조직의 행정 규칙 및 절차에 대한 올바른 지식이 추가적으로 수반되어야 한다.
  • 3) 작업 수행 능력(ability to fulfill its tasks)
    • DPO는 데이터 보호 처리 능력 등의 전문적 자질과 지식뿐만 아니라 개인의 청렴함과 높은 수준의 직업윤리를 갖추어야 한다. 이를 통하여 조직 내 문화와 GDPR의 필수 요소를 구현하는 기반을 형성하는 데 앞장설 수 있어야 한다.

DPO의 지위[edit | edit source]

GDPR은 DPO가 개인정보보호와 관련된 모든 문제에 시기적절하게 관여할 수 있도록 보장하여야 한다고 규정한다(제38조). 따라서 기업은 DPO가 개인정보보호와 관련한 의견 수렴과 결정에 참여할 수 있도록 보장하고 업무 수행과 전문 지식 보유에 필요한 자원을 제공받을 수 있도록 지원하여야 한다. 개인정보 처리 작업과 활동의 특성 및 조직의 규모에 따라 다음과 같은 자원이 DPO에 제공되어야 한다.

  • ① DPO 업무 이행에 대한 고위급 경영진의 적극적 지원
  • ② DPO가 자신의 업무를 완수하는 데 필요한 충분한 시간
  • ③ 필요할 경우 재정적 자원, 인프라(장소·시설·장비), 구성원의 적절한 지원
  • ④ DPO 지정에 대하여 모든 임직원에게 공식적으로 공지
  • ⑤ DPO가 조직 내 서비스에 접근할 수 있도록 하여, 해당 서비스로부터 필수적인 지 원·정보 등을 받을 수 있도록 조치
  • ⑥ DPO의 지속적인 훈련

DPO 고용주의 의무[edit | edit source]

고용주는 DPO에 대하여 다음과 같은 의무가 있다.

  • ① DPO가 기업 조직의 최고 경영층, 즉 이사회에 보고할 수 있도록 할 것
  • ② DPO가 독립적으로 임무를 수행할 수 있도록 하며, 그 임무 수행으로 해고나 불이 익을 당하지 않도록 할 것
  • ③ DPO가 GDPR의 의무를 이행하기 위하여 필요한 자원을 제공할 것

안전장치[edit | edit source]

DPO가 독립적으로 자신의 과업을 수행하기 위하여 다음의 안전장치가 제38조제3항 과 6항에 마련되어 있다.

  • ① DPO의 과업 수행과 관련하여 컨트롤러나 프로세서의 지시를 받지 않음
  • ② DPO 과업의 성과에 대해 컨트롤러가 해고나 처벌할 수 없음
  • ③ DPO 업무 이외의 과업 및 책무와 이해 충돌이 없도록 보장

DPO의 책임 여부[edit | edit source]

DPO는 GDPR을 준수하지 않는 데 대하여 개인적인 책임을 지지 않는다. GDPR은 DPO가 아니라 컨트롤러 또는 프로세서가 GDPR을 준수하여 개인정보를 처 리하였다는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적·관리적 조치를 이행하 여야 한다고 규정하고 있다.[1] 즉, GDPR 준수는 컨트롤러나 프로세서의 책임이다.

관련 법적 근거[edit | edit source]

  • 제37조(DPO의 지정)
  • 제38조(DPO의 지위)
  • 제39조(DPO의 업무)
  • 전문 제97항
  • Guidelines on Data Protection Officers(DPO) 2016, WP29(EDPB 승인)

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 우리 기업을 위한 EU일반개인정보보호법 가이드북
  1. 제29조 작업반, The Guidelines on Data Protection Officer, 2017. 04. 05., p.4.