개인정보 보호책임자는 누가 맡아서 어떻게 해야할까?

기업의 비즈니스를 위해서는 고객이 필요하고, 고객들을 확보하는 과정에서 기업은 필수적으로 그들의 개인정보를 수집하게 된다. 그런데 고객 개인정보는 어떻게 관리해야 ‘잘’관리하는 것일까?
앞으로 [개인정보위키]에서는 기업의 중요하고 필수적인 자산으로 자리매김 한 고객 개인정보를 어떻게 하면 ‘잘’ 관리할 수 있는지, 또 어떻게 하면 ‘잘’ 활용할 수 있는지에 대해 알아보고자 한다.

기업에서 고객의 개인정보를 다루기 위해서는 이를 관리하는 책임자가 필요하다.

우리가 흔히 개인정보책임자, 개인정보관리자, CPO 등으로 부르고 있는 이 직책을 가진 사람들은 개인정보보호법에서 정의하는 책임자, 즉 ‘개인정보 보호책임자’에 해당한다.

그렇다면 ‘개인정보 보호책임자’는 어떤 업무를 수행해야 하는걸까?

개인정보보호 책임자의 업무

개인정보 보호책임자는 기업의 개인정보 처리에 관한 업무를 총괄하는 자리이기 때문에, 가장 기본이 되는 계획의 수립에서부터 이를 주기적으로 관리하고 감독하는것 까지 전반적인 개인정보 관리 업무를 수행할 책임을 가진다.

그 업무에 대한 내용은 ‘개인정보보호법’에 다음과 같이 명시하고 있다.

[개인정보보호법 제31조 2항]

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

개인정보 보호책임자는 위 법에서 명시하고 있는바와 같이 기업의 개인정보 처리에 관한 업무를 총괄하는 자리이기 때문에, 가장 기본이 되는 계획의 수립에서부터 이를 주기적으로 관리하고 감독하는것 까지 전반적인 개인정보 관리 업무를 수행할 책임을 가진다.

그렇다면 개인정보 보호책임자의 업무는 언제 해야되는 걸까? 한번만 하고 나면 끝나는 것일까? 기업의 비즈니스는 더 많은 수익을 창출하기 위해 계속해서 변화하고, 그에 따라 서비스 또한 개선되기 때문에 이를 사용하는 고객들에 대한 개인정보 수집 및 관리 정책 또한 지속적으로 업데이트 되어야 한다. 따라서 개인정보 보호책임자는 기업이 개인정보를 수집하기 시작하는 시점부터 사업이 끝나는 시점, 그리고 그 후에도 관련 법에 따라 개인정보를 파기하고, 파기가 잘 되었는지 등을 관리감독 해야할 의무가 있다. 따라서 개인정보 보호책임자는 비즈니스가 끝난다 하더라도 끝나지 않는 업무를 수행한다고 할 수 있다.

Tip. 개인정보보호법에서 정의한 바에 따르면,
“개인정보처리자”는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고,
“개인정보 보호책임자”는 개인정보의 처리에 관한 업무를 총괄해서 책임지는 사람이며,
“개인정보 취급자”는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자를 말한다.

개인정보 보호책임자의 지정 요건

개인정보 보호책임자는 조직내의 개인정보 처리에 대한 전반적인 사항들을 결정하고 개인정보에 관련된 업무를 총괄해서 책임지기 때문에, 개인정보와 관련된 의사결정 권한을 가질 필요가 있다.

따라서, 개인정보보호법에서는 공공기관인 경우를 제외한 기업에서는 기업의 사업주나 대표자, 임원이거나 임원이 없는 경우 개인정보 처리 관련 업무를 담당하는 부서의 장이 개인정보 보호책임자를 맡도록 명시하고 있다. 만약 소상공인(소상공인 보호 및 지원에 관한 법률 제 2조)인 경우라면 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다.

[개인정보 보호책임자의 지정 요건] – 개인정보보호법 시행령 제32조 2항

② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.  <개정 2016. 7. 22.>
1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원
나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

그러나 개인정보 보호책임자를 지정할 때 다른 법에서 개인정보보호법 제31조의 개인정보 보호책임자와 그 취지상 유사한 제도를 두고 있는 경우에는 해당 법률에 따라 지정하면 된다. 예를 들어, 신용정보법에 따르는 신용정보 관리책임자를 지정하였을 경우에는 별도로 개인정보 보호책임자를 지정하지 않아도 된다. 그러나 신용정보 관리책임자가 개인정보 보호법에서 규정하고 있는 개인정보 보호책임자의 업무를 동시에 수행해야 하며, 관련 책임 또한 함께 부과 된다.

앞서 살펴본 지정조건에 부합하는 개인정보 보호책임자가 지정되고 나면 기업은 개인정보 보호책임자의 성명과 부서의 명칭, 전화번호 등의 연락처를 개인정보에 처리방침에 공개해야 한다. 또한, 기업의 개인정보 내부관리계획에 ‘개인정보 보호책임자의 지정에 관한 사항’과 ‘개인정보 보호책임자 및 개인정보 취급자의 역할 및 책임에 관한 사항’도 포함시켜야 한다.

기업이 개인정보 보호책임자를 지정하지 않는다면 우선 개인정보보호법을 위반했기 때문에 이에 따른 과태료를 부과받게 된다. 그러나 더 큰 문제는 개인정보 보호책임자가 없는 기업은 개인정보 관리 업무가 체계적이고 전사적으로 수행되지 못하기 때문에 그에 따르는 많은 문제들이 발생할 수 있다는 점이다. 특히, 최근에는 정보주체의 ‘개인정보 자기결정권’이라는 개념이 점점 더 중요해지고, 개인정보 보호에 대한 대중적인 인식이 높아지고 있다. 따라서 기업은 개인정보 보호책임자 지정의 필요성 및 업무 중요성에 대해 명확히 인지하고, 이를 통해 고객의 개인정보 관리에 더 높은 관심과 책임의식을 가짐으로써 고객의 신뢰를 얻기위해 노력해야 할 것이다.

Tip. 개인정보 자기결정권이란?
자신에 관한 정보를 보호받기 위하여 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리이다.