[개인정보보호위원회] 개인정보보호 책임자 CPO 핸드북 (2024.11)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보보호 책임자 CPO 핸드북 (2024.11) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보보호 책임자 CPO 핸드북

○ 발행일 : 2024년 11월

○ 주관부처 : 개인정보보호위원회

---

[개요]

□ 발간취지

• CPO 핸드북은 개인정보보호 활용에 필요한 법적 의무를 이행함에 있어, CPO가 고려해야 할 사항과 대응 방안에 대한 이해를 돕기 위해 마련됨
• CPO의 역할과 업무는 기업·기관의 규모 및 조작형태, 산업 분야·사업부문 등에 따라 상이할 수 있으므로 동 핸드북의 탄력적인 활용 필요
• 동 핸드북은 법적 효력이 없으며, 관계 법령 우선 적용 필요
• 향후, 한국CPO협의회를 중심으로 조직 및 산업별 개인정보의 특성을 고려하여 동 핸드북을 지속적으로 확대·발전시켜 나갈 예정

---

개인정보보호책임자(CPO) 핸드북(2024.11.).pdf

7.74MB

개인정보 보호책임자 CPO 핸드북 : 개인정보보호위원회, 한국개인정보보호책임자협의회 : 2024.11

---

□ CPO의 의의

• CPO 제도는 개인정보 관련 법규 준수, 오남용 방지 등 개인정보처리자의 개인정보 보호 활동을 촉진하고 책임을 부과하는 규제 장치
• (CPO의 정의) 보호법상 CPO는 개인정보 처리에 관한 업무를 총괄하여 책임지는 자를 의미
• (CPO의 지정 의무) 개인정보처리자는 CPO를 지정해야 함(소상공인 제외)

---

□ 주요 업무 및 역할

[법령에서 규율하고 있는 CPO의 주요 업무는 아래와 같음]

• 개인정보 보호 계획의 수립 및 시행
• 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
• 개인정보 처리와 관련한 불만의 처리 및 피해 구제
• 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
• 개인정보 보호 교육 계획의 수립 및 시행
• 개인정보 파일의 보호 및 관리·감독
• 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
• 개인정보 처리와 관련된 인적·물적 자원 및 정보의 관리
• 처리목적이 달성되거나 보유기간이 지난 개인정보의 파기
• 기타 개인정보 등 관련 법령에서 명시하는 사항

[개인정보 보호 계획의 수립부터 주기적 관리·감독까지 개인정보 보호 ·활용과 관련된 전반적 관리 업무를 수행]

• CPO는 개인정보 정책을 지속적으로 현행화하고 개인정보 생애주기 모든 단계를 관리·감독할 의무를 가짐
• 법령에서는 CPO 업무에 대한 의무사항을 중심으로 최소한으로 규정하고 있으므로, CPO는 최신 개인정보 보호 이슈, 법제도 제·개정 사항 등 대내외 환경을 고려하여 업무 및 역할 수행 필요

---

[직위 요건]

• (도입 취지) 개인정보 보호와 관련하여 필요한 인력, 예산 등 자원을 할당할 수 있도록 일정 직급 이상(C-level)의 지정 필요
• (공공기관) 최소 4급 이상 고무원 또는 개인정보 처리 관련 업무를 담당하는 부서의 장으로 지정(시행령 제32조 제3항 제1호)
• (공공기관 이외) 사업주 또는 대표자나 임원으로 지정(시행령 제32조 제3항 제2호)
• 임원이 없는 경우* 개인정보 처리 관련 업무를 담당하는 부서의 장
• "개인정보 처리 관련 업무를 담당하는 임원이 없는 경우" 또는 "자격요건을 충족하는 임원이 없는 경우"가 아닌 전체 조직 내에 임원 직급을 가진 자가 없는 경우를 의미함

---

[자격 요건]

• (도입 취지) 대량의 개인정보를 처리하는 개인정보처리자는 대내외적으로 일정한 수준의 개인정보 보호 업무 수행 필요
• (적용 대상) 연간 매출액, 보유하고 있는 개인정보 규모 등을 고려하여, 일정 기준(시행령 제32조 제4항의 각호)에 해당하는 개인정보처리자는 개인정보보호 경력 등 자격요건을 갖춘 자를 CPO로 지정 필요
• (자격 기준) 최소 2년 이상의 개인정보 보호 경력을 포함하여 개인정보 보호, 정보보호, 정보기술 경력을 합하여 총 4년 이상의 경력 보유
• 각각의 경력을 모두 보유해야 하는 것은 아니며, 4년 이상의 개인정보 보호 경력만 보유한 경우도 자격요건 충족

○ 그 밖에 경력인정 가능 요건

• 개인정보 보호, 정보보호, 정보기술 관련 학위를 취득한 경우
• 유관 분야에서 자격인증 및 취득한 경우
• 개인정보보호위원회가 주관하는 교육을 이수한 경우(최대 3개월)

개인정보 보호책임자 경력 인정 요건

① 연간 매출액 또는 수입이 1,500억원 이상인 자로서

• 5만명 이상의 민감·고유식별정보를 처리하거나
• 100만명 이상의 개인정보를 처리하는 자

② 직전 연도 12월 31일 기준 재학생 수(대학원 재학생 수를 포함)가 2만명 이상인 '고등교육법' 제2조에 따른 학교

③ '의료법' 제3조의 4에 따른 상급종합병원

④ 공공시스템 운영기관

---

[목차]

Ⅰ. 발간취지

Ⅱ. 개인정보 보호책임자(CPO) 제도

1. CPO 정의 및 역할
2. CPO 직위 및 자격요건
3. CPO 독립성

Ⅲ. 개인정보 보호책임자(CPO) 업무

① 개인정보 거버넌스 구축 및 운영

1. 개인정보 거버넌스와 개인정보 조직 체계
2. 개인정보 보호 정책[전략] 수립

② 개인정보 처리환경 분석 및 관리

1. 개인정보 생명주기 파악
2. 개인정보처리시스템 현안 파악
3. 개인정보파일 관리 및 현행화

③ 개인정보 보호 활동

1. 개인정보 수집·이용 및 제공 적법성 관리
2. 개인정보 처리방침 관리
3. 개인정보취급자 관리
4. 개인정보 처리 업무 위탁 관리
5. 개인정보처리시스템 보호조치 관리
6. 개인정보 파기 관리
7. 정보주체 권리 보장
8. 개인정보 처리 실태 및 관행의 정기적 조사
9. 개인정보 파일 관리(공공기관 의무사항)
10. 개인정보의 국외 이전 법적의무 관리

④ 개인정보 활용 안전조치 및 관리감독

1. 개인정보 위험관리 체계 구축·점검
2. 개인정보 보호 중심 설계(PbD)
3. 가명정보 관리·감독
4. 신기술 트랜드 분석 및 대응 방안 마련

⑤ 개인정보 침해 대응 및 대외협력

1. 개인정보 침해 민원 대응
2. 개인정보 유출 등 사고 대응
3. 조직 내 개인정보 보호 정책 위반 확인 시 대응
4. 외부 인증·평가 심사 대응
5. 개인정보 자율보호 문화확산

Ⅳ. 부록

1. CPO 체크리스트
2. 개인정보 처리 흐름도