DPO
Data Protection Officer
DPO 지정 의무[edit | edit source]
컨트롤러와 프로세서는 자유로이 DPO를 지정할 수 있으나, 다음 중 하나의 경우에는 반드시 DPO를 지정하여야 한다.
- 정부부처 또는 관련기관의 경우(사법적 권한을 행사하는 법원은 예외)
- 컨트롤러 또는 프로세서의 ‘핵심 활동’이 다음 중 하나에 해당되는 경우
- ① 정보주체에 대한 ‘대규모’의 ‘정기적이고 체계적인 모니터링’
- ② 민감정보나 범죄정보에 대한 ‘대규모’의 처리
DPO의 업무[edit | edit source]
DPO는 다음과 같은 업무를 수행하여야 한다(제39조).
- ① 컨트롤러와 프로세서 및 임직원에게 GDPR과 다른 개인정보 보호법규 준수 의무 에 대하여 알리고 자문
- ② 내부 정보보호 활동 관리 등 GDPR 및 다른 개인정보 보호법규 이행 상황 모니터링
- ③ 컨트롤러 또는 프로세서에게 정보 제공, 조언 및 권고 사항 제시
- ④ 개인정보 영향평가에 대한 자문 및 평가 이행 감시
DPO의 역할과 상세 업무를 정리하면 다음과 같다
DPO의 역할 | DPO 상세 업무 |
---|---|
GDPR 준수 여부에 대한 모니터링 |
|
개인정보 영향평가에 대한 역할 |
|
DPO의 자질[edit | edit source]
DPO는 제39조에 명시된 업무를 수행할 수 있는 능력을 바탕으로 지정되어야 한다(제37조제5항). 필요한 전문 지식의 수준은 DPO가 수행하는 처리 작업과 보호 수준에 따라 결정되어야 하며, 이는 다음과 같이 제시할 수 있다.
- ① GDPR에 대한 심도 있는 이해 및 자국과 EU 개인정보보호 법률, 관행에 대한 전문 지식
- ② 개인정보 처리 작업에 대한 이해
- ③ 정보 기술 및 보안에 대한 이해
- ④ 기업 및 조직에 대한 지식 ⑤ 조직 내에서 개인정보보호 문화를 활성화할 수 있는 능력
GDPR은 DPO에게 요구되는 전문지식의 수준을 엄격하게 정의하지는 않는다. 하지만 조직이 처리하는 개인정보의 민감성, 복잡성 및 규모에 상응해야 한다. 예를 들어, 개인 정보 처리 활동이 특히 복잡하거나 민감한 개인정보가 대량으로 포함되어 있다면, 더 높은 수준의 전문지식이 DPO에게 요구될 수 있다. 또한 조직이 체계적으로 유럽연합 밖으로 개인정보를 이전하는지 혹은 이러한 이전이 가끔씩 일어나는지 여부에 따라 차이가 있을 수 있다.
GDPR이 DPO의 자질에 대하여 구체적으로 명시하고 있지 않는 반면, WP29의 가이 드라인53은 DPO의 전문성(expertise)과 기량(skill)을 다음과 같이 제시하고 있다.
- 1) 전문 지식 수준(level of expertise)
- 조직에서 처리하는 데이터의 민감도, 복잡성 및 데이터의 양에 따라 적합한 전문성을 갖추어야 한다. 예를 들어, 데이터 처리 활동이 특히 복잡하거나 많은 양의 민감한 데 이터의 처리와 관련된 기업 및 기관의 DPO는 더 높은 수준의 전문 지식이 요구된다.
- 2) 전문적 자질(professional qualities)
- DPO는 자국의 개인정보보호법을 포함하여 유럽 데이터 보호법 및 관행에 대한 전문 지식과 더불어 GDPR에 대한 깊은 이해가 요구된다. 또한 DPO는 수행된 처리 작업뿐 만 아니라 정보 시스템, 컨트롤러의 데이터 보안 및 데이터 보호 요구 사항에 대한 충 분한 지식이 필요하며, 공공기관의 DPO는 조직의 행정 규칙 및 절차에 대한 올바른 지식이 추가적으로 수반되어야 한다.
- 3) 작업 수행 능력(ability to fulfill its tasks)
- DPO는 데이터 보호 처리 능력 등의 전문적 자질과 지식뿐만 아니라 개인의 청렴함과 높은 수준의 직업윤리를 갖추어야 한다. 이를 통하여 조직 내 문화와 GDPR의 필수 요소를 구현하는 기반을 형성하는 데 앞장설 수 있어야 한다.
DPO의 지위[edit | edit source]
GDPR은 DPO가 개인정보보호와 관련된 모든 문제에 시기적절하게 관여할 수 있도록 보장하여야 한다고 규정한다(제38조). 따라서 기업은 DPO가 개인정보보호와 관련한 의견 수렴과 결정에 참여할 수 있도록 보장하고 업무 수행과 전문 지식 보유에 필요한 자원을 제공받을 수 있도록 지원하여야 한다. 개인정보 처리 작업과 활동의 특성 및 조직의 규모에 따라 다음과 같은 자원이 DPO에 제공되어야 한다.
- ① DPO 업무 이행에 대한 고위급 경영진의 적극적 지원
- ② DPO가 자신의 업무를 완수하는 데 필요한 충분한 시간
- ③ 필요할 경우 재정적 자원, 인프라(장소·시설·장비), 구성원의 적절한 지원
- ④ DPO 지정에 대하여 모든 임직원에게 공식적으로 공지
- ⑤ DPO가 조직 내 서비스에 접근할 수 있도록 하여, 해당 서비스로부터 필수적인 지 원·정보 등을 받을 수 있도록 조치
- ⑥ DPO의 지속적인 훈련
DPO 고용주의 의무[edit | edit source]
고용주는 DPO에 대하여 다음과 같은 의무가 있다.
- ① DPO가 기업 조직의 최고 경영층, 즉 이사회에 보고할 수 있도록 할 것
- ② DPO가 독립적으로 임무를 수행할 수 있도록 하며, 그 임무 수행으로 해고나 불이 익을 당하지 않도록 할 것
- ③ DPO가 GDPR의 의무를 이행하기 위하여 필요한 자원을 제공할 것
안전장치[edit | edit source]
DPO가 독립적으로 자신의 과업을 수행하기 위하여 다음의 안전장치가 제38조제3항 과 6항에 마련되어 있다.
- ① DPO의 과업 수행과 관련하여 컨트롤러나 프로세서의 지시를 받지 않음
- ② DPO 과업의 성과에 대해 컨트롤러가 해고나 처벌할 수 없음
- ③ DPO 업무 이외의 과업 및 책무와 이해 충돌이 없도록 보장
DPO의 책임 여부[edit | edit source]
DPO는 GDPR을 준수하지 않는 데 대하여 개인적인 책임을 지지 않는다. GDPR은 DPO가 아니라 컨트롤러 또는 프로세서가 GDPR을 준수하여 개인정보를 처 리하였다는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적·관리적 조치를 이행하 여야 한다고 규정하고 있다.[1] 즉, GDPR 준수는 컨트롤러나 프로세서의 책임이다.
관련 법적 근거[edit | edit source]
- 제37조(DPO의 지정)
- 제38조(DPO의 지위)
- 제39조(DPO의 업무)
- 전문 제97항
- Guidelines on Data Protection Officers(DPO) 2016, WP29(EDPB 승인)
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 우리 기업을 위한 EU일반개인정보보호법 가이드북
- ↑ 제29조 작업반, The Guidelines on Data Protection Officer, 2017. 04. 05., p.4.