개인정보 보호책임자(CPO) 지정

CPO 지정과 관련해서 정리차 내용 작성

1. 배경 

• 개인정보보호법 · 시행령 개정 (2차 - '24년 3월 15일 시행)
• 근거 : 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건)

2. CPO 지정 의무 대상

• 연간 매출액 또는 수입이 1,500억원 이상인 개인정보처리자로서, 100만명 이상의 정보주체 개인정보를 처리하는 자
• 연간 매출액 또는 수입이 1,500억원 이상인 개인정보처리자로서, 5만명 이상의 민감정보·고유식별정보를 처리하는 자
• 전년도 말 기준 재학생(대학원 재학생 수를 포함)수가 2만명 이상인 대학
  ※ CPO 지정 범위 : 해당 학교의 행정사무를 총괄하는 사람을 포함한 교원과 직원
• 대규모 개인정보를 처리하는 상급종합병원
• 보호위원회가 고시하는 기준을 충족하는 공공시스템운영기관

3.  CPO 지정 요건

• 공공기관 외의 개인정보처리자: 사업주 또는 대표자 또는 임원 (임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
• 공공기관 : 시행령 참조

4. CPO의 자격           

• 개인정보 보호책임자로 지정되는 사람은 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유
• “개인정보보호 경력”이란 공공기관, 기업체, 교육기관 및 연구기관등에서 개인정보보호 관련 정책 및 제도ㆍ개인정보 영향평가ㆍ개인정보 보호인증심사 등 개인정보보호 업무를 수행한 경력, 개인정보보호 관련 컨설팅 또는법률자문 경력을 말함
• “정보보호 경력”이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 정보보호를 위한 공통기반기술, 시스템ㆍ네트워크 보호, 응용서비스 보호, 계획ㆍ분석ㆍ설계ㆍ개발ㆍ운영ㆍ유지보수ㆍ컨설팅ㆍ감리 또는 연구개발 등 정보보호 업무를 수행한 경력, 정보보호 관련 컨설팅 또는 법률자문 경력을 말함
• “정보기술 경력”이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 정보통신서비스, 정보통신기기, 소프트웨어 및 컴퓨터 관련 서비스 분야의계획ㆍ분석ㆍ설계ㆍ개발ㆍ운영ㆍ유지보수ㆍ컨설팅ㆍ감리 또는 연구개발 등 정보기술 업무를 수행한 경력, 정보기술 관련 컨설팅 또는 법률자문 경력을 말함
• 단, 
  1. 동일 기간에 (개인정보보호 , 정보보호, 정보기술 중) 두 가지 이상 업무가 중복되는 경우에는 하나의 경력만 인정
  2. 개인정보보호, 정보보호, 정보기술 관련 학위를 취득한 경우에는 아래의 표에 따라 경력으로 인정. 다만, 여러 학위를 취득한 경우에는 개인정보 보호책임자를 지정하려는 개인정보처리자가 정하는 하나의 학위만 경력으로 인정

 

4. 질의/응답

Q1) '연간 매출액 또는 수입이 1,500억원 이상'에서 매출액은 온라인(정보통신서비스)에 한정된 것인지, 아니면 회사 전체의 매출을 말하는 것인지?

      → 영 제32조제4항의 "매출액등" 이란 개인정보처리자의 매출액과 매출액을 산정하지 않는 경우에는 법인세법 제4조제3항제1호에 따른 수익사업에서 생기는 소득을 말합니다. 개인정보처리자의 매출액은 개인정보처리자 내 여러 사업부문이 있더라도 전체 매출액을 의미

 

Q2) CIO나 인사부서에서 CPO를 겸직할 수 있는지?

    →  CPO는 별도 겸직금지 조항은 없음. 즉, 직위와 자격 등 요건만 갖춘다면 어느 누구나 CPO 지정 가능

 

Q3) CPO의 요건에서 '임원'이란 누구를 말하는 것인지?

     → 영 제32조제3항에서 임원이란 회사 경영 업무에 주요한 권한이 있고, 경영에 책임을 지는 자로서 일반적으로 사장, 부사장, 상무, 이사, 감사 등으로 불리는 자가 해당됨. 

상법상 임원에는 등기이사 및 감사가 해당되며, 법인세법상 임원은 법인의 회장, 사장, 부사장, 이사장, 대표이사, 전무이사, 상무이사 등 이사회의 구성원 전원과 청산인, 합명회사, 합자회사 및 유한회사의 업무집행사원 또는 이사, 감사 기타 이에 준하는 자가 해당(개인정보 보호 법령 해설서 中).

향후 구체적인 범위에 대해 상반기 중 마련 예정인 "CPO 업무 가이드라인"을 통해 안내할 예정

 

Q4) 여러개의 독립된 회사를 보유하고 있고, 각 회사는 의무지정 기준에 모두 만족하는 상황인 경우 CPO는 각 회사의 임원을 별도로 지정해야 하는지? 아니면 본사 혹은 모회사에서 CPO를 통합으로 지정하여도 되는지?

     →  법 제31조제1항은 "개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다."라고 규정하고 있으며, 해당 규정에 따라 개인정보처리자는 CPO를 1인으로 지정하는 것이 바람직합니다.

다만, 특정 사업 부문에서 취급하는 개인정보의 종류, 개인정보 처리 흐름 등이 다른 부문과 비교하여 특수하여 특별히 별도의 CPO를 지정하는 것이 바람직하다면 구체적인 상황에 따라 특정 사업부문의 CPO를 지정하는 것이 가능할 것으로 판단. 

이에 대한 구체적인 안내는 상반기 내 발간 예정인 "CPO 업무 가이드라인"을 통해 안내할 예정