[정보보안] - 개인정보보호 책임자의 권한과 의무(CPO/CISO)
2008년 6월 개인정보 사고가 발생할 경우 사업장의 책임을 물어 처벌하는 법 조항이 처음 생성되었다.
개인정보보호 책임자의 권한과 의무에 대해 정리합니다.
개인정보보호 책임자의 권한 및 의무
1) 개인정보보호 법 제 75조 제 4항 제8호 개인정보보호 책임자를 지정하지 않을 경우 천만원 이하의 과태료가 발생한다.
(개인정보보호 책임자 지정의 의무화)
2) 개인정보보호 법 제 31조 제 6항을 바탕으로 개인정보 보호 책임자를 지정해야한다.
- 중앙 행정기관(선거위원회, 법원, 국회 등)은 고위공무원단에 속하는 공무원
- 정무직공무원을 장으로 수립하는 국가기관의 경우는 3급 이상의 공무원
- 고위 공무원 및 3급 공무원을 장으로하는 국가기관의 경우 4급 이상의 공무원
- 기타 국가 및 소속기관의 경우 개인정보처리 업무를 담당하는 부서장이 개인정보보호 책임자를 임한다.
- 교육기관의 경우 교육부는 고위공무원, 시/도 교육청은 3급 이상의 공무원, 교육지원청의 경우 4급 이상의 공무원이 개인정보보호 책임자로 임한다.
3) 개인정보보호 법 제 31조 제 2항 시행령에 따라 개인정보보호 책임자의 업무는 다음과 같다.
- 개인정보보호 계획 수립과 시행을 담당한다.
- 개인정보보호를 위한 실태를 파악하고 정기적인 조사를 통해 관행을 개선한다.
- 개인정보처리에 대한 불만사항을 파악하고 구제사항을 도출한다.
- 개인정보보호에 대한 내부 통제 시스템을 구축하여 보호하고 관리 및 감독한다.
- 개인정보보호가 이루어질 수 있도록 자료를 관리하고 교육하며 종료된 정보는 파기한다.
4) 개인정보보호 법 제 31조 제 3항 개인정보보호 책임자의 권한으로는 다음과 같다.
- 개인정보 실태에대해 수시로 조사가 가능하다.
- 개인정보를 취급하는 관계 당사자로부터 보고를 받는다.
5) 개인정보보호 책임자의 의무로는 개인정보보호 법과 관련 법령에 근거하여 위반이 확인 될 경우 위반 사항에 대한 보고와 개선조치를 실행해야한다.
6) 개인정보보호 법 제 31조 제 5항 개인정보보호 책임자가 개인정보 처리 업무를 수행함에 있어 정당한 이유 없이 불이익을 받게 해서는 아니된다. 신분보장 및 임무수행에 따른 비용과 인력을 지원하며 불이익을 방지해야한다.
7) 개인정보보호 법 제 32조 제 2항 개인정보처리자가 소상공인일 경우, 소상공인 보호 및 지원에 관한 법률에 따라 별도의 개인정보보호 책임자를 지정하지 않은 경우 공적인 지정 없이 사업주 혹은 대표자를 개인정보보호 책임자로 임한다.