공공기관 CPO, 순환보직 특성이라도 CPO 지정해야...2016년 이후 임원급으로 지정
주민번호 보관·개인정보 대량 취급하면 국민의 개인정보보호 위해 전문CPO 지정 필수
세부적인 CPO 자격요건, 오는 상반기 안으로 가이드라인 통해 발표 예정
[보안뉴스 김경애 기자] 개인정보 보호책임자를 의미하는 CPO의 자격요건 관련 제도가 본격 시행되면서 CPO 자격요건을 두고 관심이 높아지고 있다. CPO 자격요건에 부서장을 CPO로 지정해도 되는지, 단순 개인정보처리시스템 운영자도 자격요건에 해당될 수 있는지, 공공기관의 경우 순환보직 특성에 따라 전문CPO 지정이 현실적으로 적용이 어렵다는 등의 문의가 이어지고 있다.
[이미지=gettyimagesbank]
CPO 자격요건
1. 제32조제4항에 따라 개인정보 보호책임자로 지정되는 사람은 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.
2. 제1호에서 개인정보보호 경력이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 개인정보보호 관련 정책 및 제도, 개인정보 영향평가, 개인정보보호 인증 심사 등 개인정보보호 업무를 수행한 경력, 개인정보보호 관련 컨설팅 또는 법률자문 경력을 말한다.
3. 제1호에서 정보보호 경력이란 공공기관, 기업체, 교육기관, 및 연구기관 등에서 정보보호를 위한 공통기반기술, 시스템·네트워크 보호, 응용서비스 보호, 계획·분석·설계·개발·운영·유지보수·컨설팅·감리 또는 연구개발 등 정보보호 업무를 수행한 경력, 정보보호 관련 컨설팅 또는 법률자문 경력을 말한다.
4. 제1호에서 정보기술 경력이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 정보통신서비스, 정보통신 기기, 소프트웨어 및 컴퓨터 관련 서비스 분야의 기획·분석·설계·개발·운영·유지보수·컨설팅·감리 또는 연구개발 등 정보기술 업무를 수행한 경력, 정보기술 관련 컨설팅 또는 법률자문 경력을 말한다.
이와 함께 동일 기간에 2가지 이상 업무 중복되는 경우 하나의 경력만 인정되고, 개인정보보호, 정보보호, 정보기술 관련 학위를 취득한 경우에는 학위에 따라 일정 부분 경력으로 인정한다. 다만, 여러 학위를 취득한 경우에는 개인정보보호책임자를 지정하려는 개인정보처리자가 정하는 하나의 학위만 경력으로 인정한다.
CPO 자격요건과 관련해 가장 많이 받는 질문에 대해 개인정보보호위원회 자율보호정책과 윤여진 과장은 “공공기관은 순환보직에 따른 전문CPO 지정 어려움을 토로하고, 민간의 경우는 부서장 등을 전문CPO로 지정할 수 있는지에 대한 질의가 많다”며 “공공기관의 경우 민감한 개인정보를 정보주체의 동의없이도 대규모로 수집하여 처리하고 있는 점 등을 고려할 때, 민간기업 뿐만 아니라 공공기관도 전문 CPO 지정 등 개인정보 보호를 위한 투자가 필요한 시기라고 생각한다”고 밝혔다.
또한, 윤여진 과장은 “2024년 3월 15일 시행일 기준으로 현직 CPO에 대해서는 2년의 충분한 준비기간을 부여했다”고 강조하며 “중요한 개인정보를 취급하고 관리하는 기관이라면 국민의 개인정보 보호를 위해 전문CPO 지정은 필수”라며 정부에서는 이에 대해 강력한 추진 의지를 갖고 있다고 전했다.
공공기관의 아닌 민간기업의 경우 부서장을 CPO로 지정할 수 있는지 여부에 대해 개인정보보호위원회 공수진 사무관은 “2016년 이후로 임원을 CPO로 지정할 수 있도록 법이 개정됐다”며 “임원이 없는 경우에는 개인정보를 처리하는 부서의 장을 CPO로 지정할 수 있다”고 밝혔다.
또한 CPO 자격요건에 대한 세부적인 사항은 상반기 중 가이드라인을 통해 안내할 것이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
주민번호 보관·개인정보 대량 취급하면 국민의 개인정보보호 위해 전문CPO 지정 필수
세부적인 CPO 자격요건, 오는 상반기 안으로 가이드라인 통해 발표 예정
[보안뉴스 김경애 기자] 개인정보 보호책임자를 의미하는 CPO의 자격요건 관련 제도가 본격 시행되면서 CPO 자격요건을 두고 관심이 높아지고 있다. CPO 자격요건에 부서장을 CPO로 지정해도 되는지, 단순 개인정보처리시스템 운영자도 자격요건에 해당될 수 있는지, 공공기관의 경우 순환보직 특성에 따라 전문CPO 지정이 현실적으로 적용이 어렵다는 등의 문의가 이어지고 있다.
[이미지=gettyimagesbank]
CPO 자격요건
1. 제32조제4항에 따라 개인정보 보호책임자로 지정되는 사람은 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상 보유하고, 그 중 개인정보보호 경력을 최소 2년 이상 보유해야 한다.
2. 제1호에서 개인정보보호 경력이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 개인정보보호 관련 정책 및 제도, 개인정보 영향평가, 개인정보보호 인증 심사 등 개인정보보호 업무를 수행한 경력, 개인정보보호 관련 컨설팅 또는 법률자문 경력을 말한다.
3. 제1호에서 정보보호 경력이란 공공기관, 기업체, 교육기관, 및 연구기관 등에서 정보보호를 위한 공통기반기술, 시스템·네트워크 보호, 응용서비스 보호, 계획·분석·설계·개발·운영·유지보수·컨설팅·감리 또는 연구개발 등 정보보호 업무를 수행한 경력, 정보보호 관련 컨설팅 또는 법률자문 경력을 말한다.
4. 제1호에서 정보기술 경력이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 정보통신서비스, 정보통신 기기, 소프트웨어 및 컴퓨터 관련 서비스 분야의 기획·분석·설계·개발·운영·유지보수·컨설팅·감리 또는 연구개발 등 정보기술 업무를 수행한 경력, 정보기술 관련 컨설팅 또는 법률자문 경력을 말한다.
이와 함께 동일 기간에 2가지 이상 업무 중복되는 경우 하나의 경력만 인정되고, 개인정보보호, 정보보호, 정보기술 관련 학위를 취득한 경우에는 학위에 따라 일정 부분 경력으로 인정한다. 다만, 여러 학위를 취득한 경우에는 개인정보보호책임자를 지정하려는 개인정보처리자가 정하는 하나의 학위만 경력으로 인정한다.
CPO 자격요건과 관련해 가장 많이 받는 질문에 대해 개인정보보호위원회 자율보호정책과 윤여진 과장은 “공공기관은 순환보직에 따른 전문CPO 지정 어려움을 토로하고, 민간의 경우는 부서장 등을 전문CPO로 지정할 수 있는지에 대한 질의가 많다”며 “공공기관의 경우 민감한 개인정보를 정보주체의 동의없이도 대규모로 수집하여 처리하고 있는 점 등을 고려할 때, 민간기업 뿐만 아니라 공공기관도 전문 CPO 지정 등 개인정보 보호를 위한 투자가 필요한 시기라고 생각한다”고 밝혔다.
또한, 윤여진 과장은 “2024년 3월 15일 시행일 기준으로 현직 CPO에 대해서는 2년의 충분한 준비기간을 부여했다”고 강조하며 “중요한 개인정보를 취급하고 관리하는 기관이라면 국민의 개인정보 보호를 위해 전문CPO 지정은 필수”라며 정부에서는 이에 대해 강력한 추진 의지를 갖고 있다고 전했다.
공공기관의 아닌 민간기업의 경우 부서장을 CPO로 지정할 수 있는지 여부에 대해 개인정보보호위원회 공수진 사무관은 “2016년 이후로 임원을 CPO로 지정할 수 있도록 법이 개정됐다”며 “임원이 없는 경우에는 개인정보를 처리하는 부서의 장을 CPO로 지정할 수 있다”고 밝혔다.
또한 CPO 자격요건에 대한 세부적인 사항은 상반기 중 가이드라인을 통해 안내할 것이라고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 TH.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
