<기업의 보안담당자>
개인정보보호 책임자 자격 및 요건 살펴볼까요?
개인정보보호법 제2조제5호에는 개인정보처리자의 정의가 명시되어 있습니다.
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여
스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
개인정보보호법 제31조제1항에는
"개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다."라고 되어 있습니다.
개인정보 보호책임자가 CPO(Chief Privacy Officer)입니다.
개인정보 보호책임자는 동조 제2항에 정의된 업무를 수행해야 하며, 업무를 수행함에 있어 동조 제3항에 따라 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있습니다.
개인정보보호법 시행령 제32조제2항에는 책임자에 대한 지정요건이 명시되어 있습니다.
책임자에 대한 지정요건 :
통상 기업에서는 대표, 임원, 개인정보 처리 관련 업무를 담당하는 부서의 장이라고 생각하시면 됩니다. 저 셋중에 한사람이 무조건 하도록 되어 있죠... 제 경험상으로는 부서의 장이 대다수 입니다.
물론! CISO가 지정되어 있는 기업이나 보안조직이 운영되는 곳에서는 CISO가 겸임을 하기로 하나... 대다수의 기업은 비용적인 문제 등으로 보안조직을 꾸리지 않으려 하니... 민원처리 부서의 장 혹은 고객센터 관련 부서의 장이 개인정보 보호책임자를 맡습니다.
출처: https://blog.naver.com/pwhaha1004/222961582070
개인정보보호 책임자 법령
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
개인정보보호법 시행령
제32조(개인정보 보호책임자의 업무 및 지정요건 등)
① 법 제31조제2항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016.7.22>
1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 "고위공무원"이라 한다) 또는 그에 상당하는 공무원
나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 다만, 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다. <신설 2020.8.4, 2021.2.2>
④ 보호위원회는 개인정보 보호책임자가 법 제31조제2항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설·운영하는 등 지원을 할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26, 2020.8.4>
댓글 영역