* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

GDPR에서 요구하는 DPO에 관한 이해

- GDPR 준수를 위한 중요한 준비 사항 중에 하나는 DPO(Data Protection Officer)를 지정하는 것이다.
- 또한 국내 개인정보보호법 또는 정보통신망법에서 요구하는 개인정보보호 책임자의 요건이 명시적으로 있는 반면에 GDPR의 요건은 많은 유연성이 있다.
- GDPR에서 Controller 또는 Processor는 DPO를 지정하여 상세연락처를 공개하고 해당 국가의 감독기관(Supervisor Authority)에게 통보하도록 되어 있다.
- 이러한 DPO는 GDPR시행 이전 선임되어 있어야 하기 때문에 GDPR뿐만 아니라 유럽정보보호위원회(EDPB)의 Working Party 29의 가이드라인, 기타 관련자료 등을 참고하여 DPO의 선임방법, 자격조건 등을 요약해 보았다.

1. GDPR적용을 받는 기업이나 기관이 각 1명씩의 DPO를 지정해야 하가?

a. Controller와 Processor가 모두 각 1명씩의 DPO를 지정해야 하는 것은 아니다.
b. 또한 여러 공공기관이나 공공단체들이 단일 DPO를 지정하여 운영할 수 있으며(제37조 3항), 그룹 형태의 기업의 경우에도 단일 DPO를 그룹 전체에 임명하는 것이 가능하다.(37조 2항)
다만, 아래와 같은 조건이 전제된다.
- 해당 계열사들에 대한 손쉬운 접근이 가능해햐 한다(제37조 2항)
- 조직내 인력을 DPO로 지정하는 경우 다른 업무를 겸임하는 것을 허용하지만 DPO의 업무와 충돌되지 않아야 한다.
- 조직내의 임직원이 아닌 외부 컨설턴트를 DPO로 지정할수는 있으나
- 유럽정보보호위원회(EDPB)의 Working Party 29가 제시한 가이드라인에 따르면 외부 DPO에 대한 임명조건에 대하여 세부적으로 다루고 있으므로 참조할 필요가 있다(예:서비스계약, DPO직위, 지위, 임무 등)

2. DPO가 Controller나 Processor의 개인정보보호에 대한 모든 책임을 지는 것인가?

- GDPR의 요구사항은 DPO 개인이 아닌 Controller와 Processor가 준수해야 하는 요구사항을 명시하고 있다.
- DPO는 업무에 대한 독립성을 갖고 해당 기업이나 기관의 최고경영자에게 보고할 수 있는 지위가 부여되어 있다.(제38조 DPO의 지위)
- DPO는 Controller 또는 Processor의 직원일수 있으며 서비스계약에 근거한 외부인이 업무를 수행할 수 있다.(제37조 6항)
- DPO의 활동에 필요한 사항을 Controller 나 Processor가 지원해야 하고 DPO의 조언을 받을수 있으며 (제38조 DPO의 지위)
- Controller 나 Processor가 DPO를 해임이나 처벌을 할수 없다고 규정하고 있다.(제38조 DPO의 지위)
- 그러나 지정된 DPO는 정보주체에 대한 수집동의, 사고통지, 각종 개인정보보호 활동기록(직원이 250명 이상인 경우 의무)에 DPO의 상세한 연락처가 기록되야 하기 때문에 DPO의 역할은 중요하다.(제37조 DPO의 지정)
- 또한 DPO가 지정되면 해당 국가의 감독기구(Supervisor Authority)에 통보하여 협력하도록 하고, Controller 또는 Processor의 최고경영자에게 직접 보고해야하는 업무들이 존재한다.(제38조 DPO의 지위)

3. GDPR에서 요구하는 DPO의 자격 조건은 무엇인가?

- GDPR에서는 DPO의 직무상 자질, 특히 개인정보보호법과 실무에 대한 전문가적 지식와 제39조에 규정된 업무수행 능력을 근거로 지정하도록 하고 있다.(제37조 5항)
- 또한 관련자료에 보면 DPO로써 변호사 보다는 GDPR과 EU의 개인정보보호 관련법에 대한 깊은 이해와 PIA 등과 같은 각종 조언을 할수 있는 컨설턴트를 권고하고 있다.
- GDPR에서는 자발적인 DPO 선임을 권장하고 있으며, 기업이나 기관의 비즈니스에 대한 이해도가 높아야 실질적인 GDPR의 요구사항을 지속적으로 유지관리할 수 있다.
- 따라서, 기업이나 기관의 내부 임직원을 DPO로 선정하는 방법이 가장 효과적인 GDPR 준수를 위한 대응방법이며
- 이를 위해서는 GDPR 컨설팅을 통해 GDPR뿐만 아니라 EU 개인정보보호관련법, PIA 등과 같은 관련 기법과 정보보안에 대한 지식을 키워나가는 방법이 효과적이겠다.
- 기업이나 기관입장에서 어떤 사람을 DPO로 지정해야 하는지 고민하고 있다면 아래와 같은 사항을 고려할 수 있다.

1) 제39조 DPO의 업무를 고려하여 필요한 자격기준을 수립하는 방법
내부 또는 외부의 전문가를 DPO로 지정하는 경우 제39조에 정의된 최소한의 업무를 고려하여 적정 자격자를 선정하는 방법이다.
Controller 또는 Processor에 대한 각종 조언, 관련법과 규정에 대한 정책준수 모니터링, 해당 감독기관(Supervisor Authority)과의 협력 등이 있으므로 아래와 같은 자격과 스킬을 고려하여 선정하는 것이 중요하다.
- 관련 요구사항에 대한 깊이 있는 이해 (GDPR, EU개인정보위원회, 해당국가의 관련법)
- 해당 국가에 지정된 감독기관(Supervisor Authority) 등 이해관계자들과의 의사소통 능력
- 정보보안을 포함하여 DPIA 등 개인정보보호 관련 각종 활동에 대해 조언할 수 있는 역량
- 개인정보 침해사고 발생시 신속한 대응과 조언을 제공할 수 있는 경험

2) 유럽정보보호위원회(EDPB)의 Working Party 29가 제시한 가이드라인(Guidelines on Data Protection Officers)의 참조 방법
- WP29가 공개한 Guidelines on Data Protection Officers에서는 DPO의 경험과 스킬에 대하여 지식수준, 자질, 능력 등 4가지 사항을 소개하고 있다.
(원문: http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf)
a. 전문지식 수준(Level of expertise)
- DPO가 갖춰야 하는 전문지식에 대해 명시된 사항은 없지만, 기업이나 기관의 개인정보 처리의 특성을 고려하여 전문지식 수준을 선정하는 것이 좋겠다.
- 기업이나 기관이 처리하는 개인정보의 특성(민감성, 복잡성, 처리양, 국외전송 여부)에 따른 전문지식이 필요하다. (예를 들어서 대량의 개인정보를 처리하는 경우, 복잡한 개인정보처리를 하는 경우, EU연합 외부에 개인정보를 전송처리가 있는 경우에 따라서 필요한 전문지식에는 차이가 있다.)

b. 전문적 자질(Professional qualities)
- 제37조(DPO지정)에서는 DPO의 전문적 자질을 규정하고 있지 않으나, DPO는 해당국가 및 EU 개인정보보호법 및 관행에 대한 전문성을 갖추고 GDPR에 대한 심층적인 이해가 필요하다.
- 기업의 경우에는 비즈니스 영역과 조직에 대한 지식이 유용하며, 정보시스템 뿐만 아니라 데이터 보안과 개인정보보호에 대한 충분한 이해를 갖춰야 한다.
- 공공기관의 경우에는 조직의 행정규칙과 정차에 대한 올바른 지식을 보유해야 한다.

c. 업무수행 능력(Ability to fulfil its tasks)
- DPO의 업무수행 능력은 개인의 자질과 지식 뿐만 아니라 최고경영자에게 직접 보고(제38조 3항), 감독기관과 협력(제39조 1항)하는 수행업무 등은 조직내의 직위로 해석되어야 한다.
- 또한 개인적인 자질에는 정직과 높은 직업윤리가 포함되어야 하며 우선적인 관심사가 GDPR을 준수이어야 한다.
- DPO는 조직내의 개인정보보호 문화를 육성, GDPR의 핵심요소의 구현에 도움을 주는 역할을 하기 때문에 이에 대한 업무수행 능력이 필요하다.

d. 서비스 계약에 의한 외부 DPO를 선임하는 경우(DPO on the basis of a service contract)
- 외부의 전문가를 DPO로 지정하여 운영할 수 있으며, 이런 경우 외부의 개인자격 또는 조직이 기업 또는 기관이 서비스 계약을 기반으로 DPO가 업무를 수행할 수 있다.
- 또한 DPO의 독립성과 원활한 활동을 위하여 부당한 서비스계약 해지는 물론 DPO작업을 수행하는 조직의 개별회원에 대한 부당한 해임도 있어서는 않된다.
- 여러 사람의 개별적 전문성과 강점을 결합된 팀 단위의 DPO를 지정하여 업무를 수행하는 것도 가능한데, 이 경우에는 DPO팀내에 합법적이고 명확한 업무를 할당하고 정보주체를 위한 담당자와 리더로써 한명을 할당하는 것을 권고한다.
- 이러한 사항들을 서비스 계약에 요점으로 명시하는 것도 유용하다.

3) 개인정보보호 관련 국제인증 자격보유 참고
- DPO의 업무 특성상 국제 및 EU의 관련법과 실무에 대한 전문가이어야 한다.
- 따라서 국제개인정보보호전문가협회(IAPP)의 경우 좀더 명확한 GDPR의 DPO에 대한 자격검증을 위해 몇 가지 Certification을 제공하고 있다.(ISO인증, CIPP/E, CIPP/M)

(*) DPO 선임관련 참고 자료
- https://www.twobirds.com/en/news/articles/2016/global/article-29-working-party-publishes-guidance-on-dpo-provisions-of-the-gdpr
- http://www.philiplee.ie/the-gdpr-data-protection-officers/
- https://www.whitecase.com/publications/alert/new-eu-guidelines-data-protection-officers
- https://www.itgovernance.eu/blog/en/gdpr-and-qualifications-of-the-data-protection-officer/
- http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf