개인정보보호책임자(CPO)는 최소 연 1회 이사회 보고를 정례화해야 한다. 규제 기준인 개인정보 처리규모를 산정할 때는 고객뿐만 아니라 임직원도 포함해야 한다.
18일 정보보호업계에 따르면 개인정보보호위원회는 최근 개정 법령 시행(3월15일)을 앞두고 발간한 안내서를 통해 "CPO가 개인정보 처리에 관한 책임자로 실질적 역할을 수행할 수 있도록 해야 한다"며 이같이 권고했다.
개정 시행령에는 개인정보처리자가 CPO를 위해 '개인정보 보호계획의 수립·시행·결과에 관해 정기적으로 대표자 또는 이사회에 직접 보고할 수 있는 체계'를 구축하라는 의무조항이 신설됐다. CPO의 활동이 유명무실화하는 상황을 방지하기 위한 규정으로, 이를 위반한 기업·기관은 개선권고·시정명령 또는 3000만원 이하의 과태료 처분을 받을 수 있다.
업계에서 '정기적'·'대표자 또는 이사회'의 뜻에 대한 질의가 잇따르자 개인정보위는 "(CPO가) 최소 연 1회 이상 정기적으로 보고할 수 있는 체계를 구축하되, 이사회가 있는 경우 이사회 보고를 우선으로 하는 것이 바람직하다"고 답했다. 또 "CPO의 보고 체계가 특정 방식으로 한정되지 않았다"며 "개인정보 보호계획, 내부 관리계획 등을 활용해 조직상황에 따라 보고방법을 정할 수 있다"고 덧붙였다.
CPO 지정을 의무화해야 하는 대상은 '연간 매출·수입이 1500억원 이상이면서 100만명 이상의 '개인정보'나 5만명 이상의 '민감·고유식별정보'를 처리하는 기업·기관' 등이다. 개인정보의 규모에 따라 CPO를 의무적으로 지정해야 하는지가 갈린다.
업계에서 "개인정보의 수를 셀 때 (고객 외에) 임직원이나 분리·보관된 개인정보도 포함해야 하냐"는 질의가 나오자 개인정보위는 "개인정보처리자가 보유한 임직원 개인정보와 분리·보관된 개인정보도 포함하는 게 타당하다"는 해석을 내놨다.
개정 시행령은 기업 등 공공기관이 아닌 곳에서 CPO를 물색할 경우 사업주(대표자) 또는 '임원'을 지정하도록 규정했다. 임원이 없는 경우 개인정보 처리 관련 업무를 담당하는 부서장도 CPO로 지정할 수 있도록 예외도 명시했다.
'임원이 없는 경우'가 무엇인지에 대해 개인정보위는 "전체 조직에 임원이 없는 경우로 해석하는 게 타당하다"며 "이를 '개인정보 처리 관련 업무를 담당하는 임원이 없는 경우나 '자격요건을 충족하는 임원이 없는 경우'로 축소 해석하는 것은 제도의 취지에 반할 우려가 있다"고 밝혔다.