Ⅵ 기업의
책임성 강화
5
DPO(Data Protection Officer)
② 보안 회사의 경우 쇼핑 센터 등 공적인 공간을 감시하며, 불가피하게 개인정보의 처리와 연계되어 있다. 이 때 감시는 보안 회사의 ‘핵심 활동’으로 본다.
‘대규모 처리’의 예시
- 병원의 정기적인 업무 과정에서 환자 개인정보의 처리
- 교통 시스템을 이용하는 개인들의 이동 개인정보 처리(교통 카드를 통한 추적 등) - 통계 목적의 패스트푸드 체인 고객의 실시간 지리 위치정보 처리
- 보험 회사 또는 은행의 정기적인 업무 과정에서 고객의 개인정보 처리 - 행동 양식에 따른 맞춤형 광고를 위한 검색엔진의 개인정보 처리 - 전화 또는 인터넷 서비스 제공업체의 개인정보(콘텐츠, 트래픽, 위치) 처리
‘정기적이고 체계적인 모니터링’의 의미 및 예시 - ‘정기적’은 다음의 하나 또는 그 이상을 의미한다.
① 지속적으로 또는 특정 기간 동안에 특정한 간격으로 발생 ② 고정된 주기로 재발하거나 반복
③ 지속적으로 또는 주기적으로 발생 - ‘체계적’은 다음의 하나 또는 그 이상을 의미한다.
① 시스템에 의하여 발생 및 예정되고, 조직화되거나 또는 규칙적인 경우 ② 개인정보 수집을 위한 계획의 일환, 또는 전략의 일부로 수행되는 경우 - 다음의 경우 ‘정기적’이고 ‘체계적’인 모니터링 예시에 속한다.
① 모바일 앱을 통한 위치 추적, 고객 보상 프로그램, 행동 양식에 따른 광고의 경우 ② 착용형 기기를 통한 건강, 신체 및 의료 개인정보의 모니터링의 경우
다만 GDPR은 DPO 지정 의무와 관련하여 회원국의 개별조항을 통하여 그 범주를 제한할 수 있게 하고 있다.
※ 독일의 경우 개인정보의 자동 처리를 위하여 최소 10명 이상의 인력을 고용하는 컨트롤러는 DPO를 의무 지정하도록 명시하고 있다[Bundesdatenschutzgesetz, BSDG(개정)제38조].
DPO를 지정하거나 또는 지정 요건에 해당하지 않아 지정하지 않는 경우, 그와 같은 결정을 내린 사유를 문서화해야 한다.
DPO 지정 요건에 해당하지 않더라도 DPO를 자발적으로 지정할 수 있다. 다만
Ⅵ 기업의
책임성 강화
자발적으로 DPO를 지정한 경우라도 DPO의 지정·지위·책무 등과 관련한 GDPR 제37~39조가 적용되므로 유의하여야 한다.
5.1.2 공동 DPO의 지정(제37조제2항)
GDPR은 ‘각 사업장(establishment)에서 쉽게 접근 가능’할 경우, 사업체 그룹(a group of undertakings)은 1명의 DPO를 지정할 수 있다고 규정하고 있다.
5.1.3 외부 DPO의 지정(제37조제6항)
DPO는 컨트롤러 또는 컨트롤러의 직원이거나(내부 DPO), 서비스 계약에 근거하여 직무를 이행할 수 있다. 따라서 DPO는 외부에 존재하는 외부인이 될 수 있으며, 이 경우 개인 또는 조직과 체결한 계약을 바탕으로 그 기능을 수행할 수 있다.
5.2 DPO의 자질(제37조제5항)
DPO는 제39조에 명시된 업무를 수행할 수 있는 능력을 바탕으로 지정되어야 한다.
필요한 전문 지식의 수준은 DPO가 수행하는 처리 작업과 보호 수준에 따라 결정되어야 하며, 이는 다음과 같이 제시할 수 있다.
① GDPR에 대한 심도 있는 이해 및 자국과 EU 개인정보보호 법률, 관행에 대한 전문 지식
② 개인정보 처리 작업에 대한 이해
③ 정보 기술 및 보안에 대한 이해
④ 기업 및 조직에 대한 지식
⑤ 조직 내에서 개인정보보호 문화를 활성화할 수 있는 능력
5.3 DPO의 업무(제39조)
DPO는 다음과 같은 업무를 수행하여야 한다.
① 컨트롤러와 프로세서 및 임직원에게 GDPR과 다른 개인정보 보호법규의 준수 의무에 대하여 알리고 자문
② 내부 정보보호 활동 관리 등 GDPR 및 다른 개인정보 보호법규 이행 상황 모니터링
③ 컨트롤러 또는 프로세서에게 정보 제공, 조언 및 권고 사항 제시
④ 개인정보 영향평가에 대한 자문 및 평가 이행 감시
5.4 DPO의 지위(제38조)
GDPR은 DPO가 개인정보보호와 관련된 모든 문제에 시기적절하게 관여할 수 있도록 보장하여야 한다고 규정한다.
따라서 기업은 DPO가 개인정보보호에 관련한 의견 수렴과 결정에 참여할 수 있도록 보장하고 업무 수행과 전문 지식 보유에 필요한 자원을 제공받을 수 있도록 지원하여야 한다.
개인정보 처리 작업과 활동의 특성 및 조직의 규모에 따라 다음과 같은 자원이 DPO에 제공되어야 한다.
① DPO 업무 이행에 대한 고위급 경영진의 적극적 지원
② DPO가 자신의 업무를 완수하는 데 필요한 충분한 시간
③ 필요할 경우 재정적 자원, 인프라(장소·시설·장비), 구성원의 적절한 지원
④ DPO 지정에 대하여 모든 임직원에게 공식적으로 공지
⑤ DPO가 조직 내 서비스에 접근할 수 있도록 하여, 해당 서비스로부터 필수적인 지원·정보 등을 받을 수 있도록 조치
⑥ DPO의 지속적인 훈련
5.5 고용주(employer)의 의무
고용주는 DPO에 대하여 다음과 같은 의무가 있다.
Ⅵ 기업의
책임성 강화
① DPO가 기업 조직의 최고 경영층, 즉 이사회에 보고할 수 있도록 할 것
② DPO가 독립적으로 임무를 수행할 수 있도록 하며, 그 임무 수행으로 해고나 불이익을 당하지 않도록 할 것
③ DPO가 GDPR의 의무 이행을 하기 위하여 적절한 자원을 제공할 것
5.6 DPO의 책임 여부
DPO는 GDPR을 준수하지 않는 데 대하여 개인적인 책임을 지지 않는다.
GDPR은 DPO가 아니라 컨트롤러 또는 프로세서가 GDPR을 준수하여 개인정보를 처리하였다는 것을 보장하고, 이를 입증할 수 있는 적절한 기술적·관리적 조치를 이행하여야 한다고 규정하고 있다.
30)
• 제37조(DPO의 지정), 제38조(DPO의 지위), 제39조(DPO의 업무)
• 전문 제97항 GDPR 관련 규정
• 제31조(개인정보 보호책임자의 지정) 개인정보보호법 관련 규정
셀프 체크리스트
□ □
□ □
□ □
□ □
• 컨트롤러 또는 프로세서는 법령에 명시된 DPO 지정 요건에 해당하는 경우, DPO를 지정하고 있다.
• DPO를 지정한 경우, 컨트롤러 또는 프로세서는 DPO의 연락처 정보를 공개하고, 필요한 경우 감독기구에 통보하고 있다.
• DPO를 지정한 경우, 법령에서 명시된 DPO의 지위 및 업무 지원 사항을 보장하고 있다.
• DPO의 업무를 정의하고 DPO는 이를 수행하고 있다.
예 아니오
30) 제29조 작업반(2017. 4. 5.), The Guidelines on Data Protection Officer, p. 4.