개인정보보호위원회, 자격요건을 갖춘 개인정보보호책임자(전문CPO) 경력 인정에 관한 고시 마련
개인정보보호위원회, 자격요건을 갖춘 개인정보보호책임자(전문CPO) 경력 인정에 관한 고시 마련
법무법인 대륙아주 김정은 변호사1
1. 배경
개인정보보호책임자(CPO)는 개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 개인정보 처리와 관련한 불만의 처리 및 피해 구제, 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축 등 개인정보처리자의 개인정보의 처리에 관한 업무를 총괄합니다.
기존 개인정보 보호법령에서는 공공기관 외의 개인정보처리자의 CPO 지정 요건에 관하여, ‘사업주 또는 대표자’나 ‘임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)’을 CPO로 지정하도록 정하고 있었는데, 최근 법령의 개정으로 일정한 요건에 해당하는 개인정보처리자의 경우에는 자격요건을 갖춘 전문CPO를 반드시 지정하도록(전문CPO 지정 제도) 개인정보 보호법 시행령 제32조 제4항 및 [별표1]이 신설되었으며, 지난 3. 15.부터 시행되고 있습니다.
전문CPO 지정 제도와 관련하여, 개인정보보호위원회는 전문CPO의 자격범위에 관한 구체적인 내용을 담은 「개인정보 보호책임자 경력 인정에 관한 고시」(개인정보보호위원회고시 제2024-5호)를 마련하였으며, 고시는 4. 2.자로 시행되었습니다. 이하에서 개정 법령과 고시의 내용을 살펴보겠습니다.
2. 전문CPO 지정 제도의 주요 내용
가. 전문CPO 지정 적용대상
대규모의 또는 민감한 개인정보를 처리하는 개인정보처리자는 일정한 자격요건을 갖춘 CPO를 반드시 지정하여야 합니다.
나. 전문CPO 자격 요건 및 경력인정 요건
위 가.항의 적용대상에 해당하는 개인정보처리자는, 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유하는 개인정보보호책임자, 즉, 전문CPO를 반드시 지정하여야 합니다.
전문CPO의 경력인정 요건과 관련하여, 개인정보보호법 시행령 [별표1]에서는 개인정보보호, 정보보호, 정보기술 분야별 학위의 종류에 따라 6개월~2년의 경력 인정기간을 명시하였고, 고시에서는 자격현황 및 검정수준 등을 고려하여 경력으로 인정이 가능한 자격과 인정기간을 정함으로써 자격범위를 구체화하였습니다.
나아가, 개인정보보호위원회가 실시하는 CPO 교육과정을 이수한 경우 최대 3개월의 범위에서 개인정보보호 경력으로 인정하도록 하여, 보다 전문성 있는 CPO의 양성에 앞장서겠다는 입장입니다.
한편, 개인정보보호위원회는 전문CPO 지정 제도의 안정적인 정착을 위해 법령 개정 사항을 반영한 ‘CPO 업무 가이드라인’(가칭)을 상반기 중 발간할 계획이라고 밝혔습니다.
3. 시사점
개인정보 보호법령의 개정으로 지난 3. 15.부터 전문CPO 지정 제도가 시행되었습니다. 이는 대규모의 또는 민감한 개인정보를 처리하는 개인정보처리자로 하여금 일정한 자격을 갖춘 전문CPO를 지정하도록 하여 개인정보의 안전한 처리에 만전을 기하기 위한 것으로 해석됩니다.
글로벌 데이터 경제시대에서의 개인정보 보호법령은 개인정보의 활용을 일률적으로 규제하고 제한하기 보다는 개인정보의 안전한 활용을 촉진하는 방향으로 나아갈 것으로 예측되고 있습니다. 이를 위해서는 그 전제로서 신뢰할 수 있는 개인정보 이용 환경이 우선적으로 구축되어야 할 것입니다. 이러한 면에서 전문CPO 지정 제도의 시행 과 그 구체적인 요건을 담은 고시의 마련은 개인정보처리자에게 보다 책임감 있는 개인정보 처리를 도모하기 위한 하나의 가이드라인으로서의 역할을 할 수 있을 것으로 보입니다.
대륙아주 IP부문 정보보안/TMT 그룹은 국내외 다양한 기업들의 개인정보 관련 소송 및 법률 자문 수행 경험이 풍부한 변호사, 보안 전문가들로 구성되어 있으며, 오랜 경험과 축적된 노하우를 기반으로 고객들에게 개인정보 규제, 개인정보 컴플라이언스, 개인정보 유출 대응 등 개인정보에 관한 전문적인 법률서비스를 제공하고 있습니다.