유럽연합 개인정보보호 일반법(EU General Data Protection Regulation, 이하 'GDPR')의 시행이 채 1년도 남지 않았다. 유럽연합 내에서 유럽연합 회원국 정보주체의 개인정보를 처리하는 사업체뿐만 아니라, 유럽연합 밖에서 1) 유럽연합 내 정보주체를 대상으로 하여 재화나 용역을 제공하거나, 2) 유럽연합 내 정보주체의 활동을 모니터링(monitoring)하는 경우에도 GDPR의 적용을 피할 수 없는 상황이다. 이와 같은 역외적용이 가능한 배경은 GDPR이 개인정보보호를 인권(human rights)이라는 인류보편적 가치의 보호에서 접근하여 합헌성(constitutionality)을 갖게 되었기 때문이라는 학자들의 주장이다. 여기에서 한 가지 주의할 점은, '모니터링(monitoring)'이 감시(surveillance)를 의미하는 것이 아니라, 정보주체의 활동을 체계적으로 추적하는 일체의 행위가 포함되는 폭 넓은 개념이라는 점이다. 온라인 맞춤형 광고를 제공하기 위한 행태의 추적이나,인터넷 쿠키에 식별자(cookie identifier)를 심어 정보주체의 웹사이트 브라우징 기록을 분석하는 행위 등이 모두 포함된다. 어떤 경우에든, GDPR의 '긴 팔'을 피하기는 쉽지 않아 보인다.
GDPR은 다음 세 가지 가운데 어느 하나에 해당하는 경우 Data Protection Officer(개인정보보호책임자, 이하'DPO')를 지정하도록 규정하고 있다(Article 37(1)).
1) 공공기관이나 공공기구에 의해 개인정보 처리가 수행되는 경우 (단, 법원이 사법적 권한을 행사하는 경우에 발생하는 개인정보 처리는 예외임)
2) 컨트롤러나 프로세서의 핵심 활동(core activities)이 정보주체에 대한 정기적이고 체계적인 대규모의 모니터링을 요하는 개인정보 처리활동들로 구성되어 있는 경우
3) 컨트롤러나 프로세서의 핵심 활동이 GDPR Article 9, 10에 규정된 민감 개인정보나 범죄경력에 관련된 개인정보의 대규모 처리활동들로 구성되어 있는 경우
GDPR이 모니터링의 개념을 폭넓게 규정하고 있는데다, 정보통신서비스 제공자의 온라인 서비스(웹 및 앱 포함)의 제공행위는 '핵심 활동'에 해당할 수밖에 없으며, '대규모(large numbers)'의 범위는 명확하지 않으며 일반적으로 1인의 독립 사업자가 관리하는 규모를 초과하는 고객의 정보를 다루는 경우 '대규모'에 해당한다는 GDPR 전문의 설명에 비추어 우리나라 사업자가 유럽연합 시민을 대상으로 온라인 서비스를 제공하는 경우라면 당연히 DPO를 지정해야만 하는 것이 논리적 귀결이다.
GDPR Article 37(5)는 DPO가 갖추어야 할 기본적 '요건'을 규정하고 있다. 우선 개인정보보호법령 및 실무에 대한 전문지식이 요구된다. 또한, Article 39에서 규정된 DPO의 책무(Tasks)를 성실히 수행할 수 있어야 한다. DPO의 책무로는 ① 컨트롤러 / 프로세서 / 개인정보 처리 임직원에게 GDPR 및 유럽연합 회원국의 개인정보 보호규정을 알리고 조언함 ② 임직원의 인식향상 및 교육, 감사 이행, 정책준수를 모니터링 함 ③ 개인정보 영향평가에 대한 조언 제공 및 모니터링 ④ 감독기관과 협력 ⑤ 개인정보 처리관련 사안에 있어 감독기관과의 의사소통 창구역할 수행 등이 있다. 이러한 DPO는 조직 내부에서 지정할 수도 있고, 외부에서 아웃소싱할 수도 있으나 주목해야 할 점은 그의 업무수행에 대한 독립성이 강하게 보장되며, DPO의 책무를 이행하는 것과 관련하여 해고되지 않는 면책을 확보하고 있다는 것이다.
위와 같은 DPO의 요건을 충족하기 위해 Facebook, IBM, Dropbox, Nielsen 등의 세계적인 기업은 올해 상반기에 이미 DPO 선발을 위한 공고를 내었으며, 6~10년의 관련 분야 종사 경력, 다양한 언어 구사능력, 유럽연합 감독기관과의 네트워크, GDPR 및 유럽연합 회원국 개인정보보호 법령에 대한 깊은 이해 등을 DPO의 자격요건으로 내세우고 있다. 이들 기업들이 DPO 선발 공고를 게시한지는 오래 되었지만, 아직까지 어느 기업도 해당 요건들을 충족하는 DPO를 선발했다는 소식은 들리지 않는다. 세계적인 개인정보보호 전문가 단체인 iapp의 DPO Whitepaper("The GDPR Demands 75k DPOs - Where Will They Come From?")에 의하면, GDPR의 적용을 받는 기업들이 GDPR에 대응하기 위해 취하는 조치 가운데 4번째로 많은 기업들이 취하고 있는 활동이 DPO의 지정(35%)인 것으로 확인된다(참고: 교육 투자(1위, 50%) - 새로운 책임성 프레임워크 조직(2위, 46%) - 개인정보 해외전송 메커니즘 수립(3위, 36%)). 또한, GDPR 시행 전까지 대략 75,000명의DPO가 요구될 것으로 예측하고 있다.
이와 같은 상황에서 GDPR이 요구하는 요건을 충족하는 DPO를 확보하여 지정하는 것은 기존의 CPO에게DPO의 역할을 수행하도록 지시하거나, CPO가 DPO의 역할을 수행할 수 있도록 인력과 재원을 추가로 지원하는 것과 동일 시 될 수 없다. DPO는 기존의 CPO와는 다른 개념일 뿐만 아니라, 다른 요건을 충족하는 새로운 인물로 이해해야 한다. 더욱이, 글로벌 레벨에서 DPO를 확보하기 위한 경쟁이 이미 시작된 만큼 우리 기업들이 DPO를 확보하기 위해서는 글로벌 기업들과 경쟁해야 함을 의미한다.
GDPR이 요구하는 DPO를 선발하기 위해서는 GDPR이 제시하는 '요건'을 채용공고에 포함시키는 것 만으로는 충분하지 않다. 어떤 개인정보 처리 활동을 수행하는지, 그러한 처리 활동이 얼마나 빈번하게 발생하고 그에 수반되는 Risk는 어떤 것이 있는지, DPO에게 기대하고 있는 역할과 책임은 무엇인지, 기업의 성장 가능성과 DPO에 대한 보상 수준은 어떠한지, 경영진과의 의사소통 방식은 어떠한지, 개인정보보호 활동에 대한 자원의 투자는 어떻게 증가해왔는지 등 역량있는 DPO가 관심있어할 만한 내용을 충분히 설명하고 관심있는 이들을 설득하여 참여시킬 수 있는 인센티브가 마련되어야 한다. 업무의 독립성과 면책(indemnity)의 확약도 중요하며, 당연히 계약상에 명문화되어야 한다.
DPO를 어떻게 선발할 것이며, 이를 위해 어떤 전략적 접근을 할 것인가? 고민은 짧게, 실행은 신속하게 하지 않는다면 글로벌 경쟁에서 이미 늦은 것이라 해도 과언이 아니다.
이진규 리더 / NAVER Privacy&Security
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 보안 내재화의 핵심은 시스템을 간결하게 하는 것 (0) | 2017.11.06 |
|---|---|
| [기사] 비식별 조치 가이드라인 개선사항 (0) | 2017.11.04 |
| [기사] 개인정보 비식별 관련 입법 (0) | 2017.10.08 |
| [기사] 개인정보 비식별 조치, 세계 각국은 어떻게 하고 있나요 (0) | 2017.09.22 |
| [기사] 23 NYCRR 500 (0) | 2017.08.30 |
