CPPG9. 개인정보의 이해 - EU-GDPR DPO 요건

1. EU-GDPR의 DPO와 개인정보보호법의 CPO 비교

• EU-GDPR의 데이터보호책임자 (DPO)와 국내 개인정보보호법의 개인정보보호책임자 (CPO)는 모두 개인정보보호 관련 업무의 책임자 역할을 하지만 지정 방식, 직무 범위, 신고의무, 겸직 관련 다음과 같은 차이가 있음
• 1. 지정 의무자 및 지정 사유
  • GDPR의 DPO : 아래 사유에 해당된 컨트롤러 또는 프로세서 
    • 공공당국 또는 기관
    • 컨트롤러/프로세서의 핵심 활동이 정보주체에 대한 대규모의 정기적, 체계적 감시를 요하는 처리 작업으로 구성되는 경우
    • 컨트롤러/프로세서의 핵심 활동이 제9조의 특수 범주 정보 및 제10조의 범죄경력 및 범죄행위 관련 개인정보의 대규모 처리로 구성
  • 개인정보보호법의 CPO : 모든 개인정보처리자
• 2. 복수단체의 단일지정
  • GDPR: 가능사유 있음
  • 개인정보보호법: 가능사유 없음
• 3. 자격요건
  • GDPR: 전문적 자질, 특히 개인정보보호법과 실무에 대한 전문적 지식 및 제39조에서 언급된 직무를 수행할 능력을 보유한 자, 내부 직원 가능, 용역계약을 한 외부인 가능
  • CPO: (공공기관 외의 경우) 사업주나 대표자, 임원
• 4. 최소 직무 범위
  • GDPR
    • 컨트롤러나 프로세서 및 처리를 수행하는 직원들에게 관련 규정상의 그들의 임무를 알리고 조언
    • 관련 규정 및 정책의 준수 감시 (책임 분배, 직원의 인식 제고 및 훈련, 관련 감사 포함)
    • 개인정보보호 영향평가에 대하여 조언을 제공하고 평가의 수행을 감시, 감독당국과 협력
    • 처리와 관련된 사항에 있어서 감독당국의 연락처로 행동하고, 적절한 경우 다른 모든 사안에 관해 협의
  • CPO
    • 개인정보보호 계획 수립 및 시행
    • 개인정보 처리실태 및 관행의 정기조사 및 개선
    • 개인정보 처리와 관련한 불만의 처리 및 피해구제
    • 개인정보 유출 등의 방지를 위한 내부통제시스템 구축
    • 개인정보보호 교육 계획의 수립 및 시행
    • 개인정보파일의 보호 및 관리, 감독
    • 개인정보처리방침의 수립, 변경 및 시행
    • 개인정보보호 관련 자료 관리
    • 개인정보의 파기
• 5. 지정 신고 의무
  • GDPR: 있음, 개인정보보호법: 없음
• 6. 겸직금지
  • GDPR: 없음 (겸직 허용), 개인정보보호법: 없음

2. GDPR의 DPO (Data Protection Officer) 지정

• 1. DPO 지정 의무
  • 정부부처 또는 관련기관의 경우
    • 사법적 권한을 행사하는 법원은 예외
  • 컨트롤러 또는 프로세서의 '핵심활동'이 다음 중 하나에 해당하는 경우
    • 정보주체에 대한 '대규모'의 '정기적이고 체계적인 모니터링'
    • 민감정보나 범죄정보에 대한 '대규모'의 처리
• 2. DPO 관련 용어
  • 1. 핵심 활동 예시
    • 병원: 의료 서비스를 제공하는 것
    • 보안 회사: 쇼핑센터 등 공적인 공간을 감시
  • 2. 대규모 처리 의미
    • 1. 관련된 정보 주체들의 수 -> 구체적인 수치로서 혹은 관련된 인구의 비율
    • 2. 개인정보의 규모와 처리되는 다양한 개인정보 항목의 범위
    • 3. 개인정보 처리 활동의 기간 또는 영속성
    • 4. 처리 활동의 장소적 범위
  • 3. 대규모 처리 예시
    • 1. 병원의 정기적인 업무 과정에서 환자 개인정보의 처리
    • 2. 교통 시스템을 이용하는 개인들의 이용 개인정보 처리 (교통카드를 통한 추적 등)
    • 3. 통계 목적의 패스트푸드 체인 고객의 실시간 지리 위치정보 처리
    • 4. 보험 회사 또는 은행의 정기적인 업무 과정에서 고객의 개인정보 처리
    • 5. 행태에 따른 맞춤형 광고를 위한 검색엔진의 개인정보 처리
    • 6. 전화 또는 인터넷 서비스 제공업체의 개인정보 (콘텐츠, 트래픽, 위치) 처리
  • 4. 정기적 의미
    • 1. 지속적으로 또는 특정 기간 동안에 특정한 간격으로 발생
    • 2. 고정된 주기로 재발하거나 반복
    • 3. 지속적으로 또는 주기적으로 발생
  • 5. 체계적 의미
    • 1. 시스템에 으하여 발생 및 예정되고, 조직화되거나 또는 규칙적인 경우
    • 2. 개인정보 수집을 위한 계획의 일환, 또는 전략의 일부로 수행되는 경우
  • 6. 정기적이고 체계적인 모니터링 예시
    • 1. 모바일 앱을 통한 위치 추적, 고객 보상 프로그램, 행태에 따른 광고의 경우
    • 2. 착용형 기기를 통한 건강, 신체 및 의료 개인정보의 모니터링의 경우

3, 공동 DPO 지정

• GDPR은 각 사업장에서 쉽게 접근 가능하다면, 사업체 집단은 1명의 DPO를 지정할 수 있다고 규정
• 접근 가능성이란 정보 주체, 감독 당국과 관련한 연락 담당, 그리고 조직 내에서 국제적인 접촉점으로서의 DPO의 역할을 말함

4. 외부 DPO 지정

• DPO는 컨트롤러 또는 컨트롤러의 직원이거나 (내부 DPO), 개인 또는 조직이 서비스 계약에 근거하여 (외부 DPO) 직무를 이행 가능
• DPO의 기능이 외부 서비스 조직에 의해 수행될 경우, 각 구성원은 GDPR에서 요구하는 자질을 갖추어야 하며, 관련 규정에 따라 보호돼야 함
• 법적 명확성과 효율적 조직 운영을 위해, WP29는 서비스 계약에 근거하여 외부 DPO 팀 내의 과업을 명확하게 분담시키고, 대표 연락처 제공 및 고객 대응 담당자를 배정하도록 권고

5. DPO 역할 밎 지위

• DPO는 GDPR을 준수하지 않는 데 대하여 개인적인 책임을 지지 않음
• GDPR은 DPO가 아니라 컨트롤러 또는 프로세서가 GDPR을 준수해 개인정보를 처리하였다는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적, 관리적 조치를 이행한다고 규정
• 1. DPO 역할
  • 1. GDPR 준수 여부에 대한 모니터링
    • 처리활동을 식별하기 위한 정보 수집
    • 처리 활동에 대한 준수 여부 확인 및 분석
    • 컨트롤러 또는 프로세서 대상으로 조언, 자문 제공
  • 2. 개인정보 영향평가에 대한 역할
    • 개인정보 영향평가 수행 여부 검토
    • 개인정보 영향평가 수행을 위한 방법론 검토
    • 개인정보 영향평가의 자체수행 혹은 아웃소싱 여부 검토
    • 정보주체의 권리와 이익에 대한 위험을 완화시키기 위해 적용되는 보호조치 검토
    • 개인정보 영향평가의 적절한 수행 여부 및 평가 과정의 GDPR 준수 여부
• 2. DPO의 지위
  • 1. DPO에게 제공되는 자원
    • DPO 업무 이행에 대한 고위급 경영진의 적극적 지원
    • DPO가 자신의 업무를 완수하는 데 필요한 충분한 시간
    • 필요할 경우 재정적 자원, 인프라, 구성원의 적절한 지원
    • DPO 지정에 대하여 모든 임직원에게 공식적으로 공지
    • DPO가 조직 내 서비스에 접근할 수 있도록 하여, 해당 서비스로부터 필수적인 지원, 정보 등을 받을 수 있도록 조치
    • DPO의 지속적인 훈련
  • 2. DPO의 독립성
    • DPO의 과업 수행과 관련하여 컨트롤러나 프로세서의 지시를 받지 않음
    • DPO 과업의 성과에 대해 컨트롤러가 해고나 처벌할 수 없음
    • DPO 업무 이외의 과업 및 책무와 이해 충돌이 없도록 보장