[featured_image]
다운로드
Download is available until [expire_date]
  • 버전
  • 다운로드 45
  • 파일 크기 19.10 MB
  • 파일 수 1
  • 생성 날짜 2024년 11월 19일
  • 마지막 업데이트 2024년 12월 2일

[개인정보보호위원회] CPO 핸드북

개인정보보호위원회에서 발간한

CPO 핸드북입니다.

업무에 참고 바랍니다.

ㅇ 자료명 : CPO 핸드북

ㅇ 발행일 : 2024년 11월

ㅇ 주관부처 : 개인정보보호위원회

1. 발간취지

  • CPO 핸드북은 개인정보 보호·활용에 필요한 법적 의무를 이행하멩 있어, CPO가 고려해야 할 사항과 대응 방안에 대한 이해를 돕기 위함
    • CPO의 역할과 업무는 기업·기관의 규모 및 조직형태, 산업 분야·사업부문 등에 따라 상이할 수 있으므로 동 핸드북의 탄력적인 활용 필요
      ※동 핸드북은 법적 효력이 없으며, 관계 법령 우선 적용 필요
  • 향후, 한국 CPO 협의회를 중심으로 조직 및 산업별 개인정보의 특성을 고려하여 동 핸드북을 지속적으로 확대·발전시켜 나갈 예정
  • 동 핸드북에서 사용하는 주요 용어 및 약칭은 아래와 같음

2. 개인정보 보호책임자(CPO) 제도

1. CPO 정의 및 역할
CPO의 의의
  • CPO 제도는 개인정보 관련 법규 준수, 오남용 방지 등 개인정보처리자의 개인정보 보호 활동을 촉진하고 책임을 부과하는 규제 장치
    • (CPO의 정의) 보호법상 CPO는 개인정보 처리에 관한 업무를 총괄하여 책임지는 자를 의미
    • (CPO의 지정 의무) 개인정보처리자는 CPO를 지정해야 함(소상공인 제외)
주요 업무 및 역할
  • 법령에서 규율하고 있는 CPO의 주요 업무는 아래와 같음
  1. 개인정보 보호 계획의 수립 및 시행
  2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
  5. 개인정보 보호 교육 계획의 수립 및 시행
  6. 개인정보 파일의 보호 및 관리·감독
  7. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
  8. 개인정보 처리와 관련된 인적·물적 자원 및 정보의 관리
  9. 처리목적이 달성되거나 보유기간이 지난 개인정보의 파기
  10. 기타 개인정보 등 관련 법령에서 명시하는 사항
  • 개인정보 보호 계획의 수립부터 주기적 관리ㆍ감독까지 개인정보 보호ㆍ활용과 관련된 전반적 관리 업무를 수행
    • CPO는 개인정보 정책을 지속적으로 현행화하고 개인정보 생애주기 모든 단계를 관리·감독할 의무를 가짐
    • 법령에서는 CPO 업무에 대한 의무사항을 중심으로 최소한으로 규정하고 있으므로,
      CPO는 최신 개인정보 보호 이슈, 법제도 제·개정 사항 등 대내외 환경을 고려하여 업무 및 역할 수행 필요

 

2. CPO 직위 및 자격요건
직위요건
  • (도입 취지) 개인정보 보호와 관련하여 필요한 인력, 예산 등 자원을 할당할 수 있도록 일정 직급 이상(C-level)의 CPO 지정 필요
  • (공공기관) 최소 4급 이상 공무원 또는 개인정보 처리 관련 업무를 담당하는 부서의 장으로 지정(시행령 제32조제3항제1호)
  • (공공기관 이외) 사업주 또는 대표자나 임원으로 지정(시행령 제32조제3항제2호)
    • 임원이 없는 경우* 개인정보 처리 관련 업무를 담당하는 부서의 장
      * "개인정보 처리 관련 업무를 담당하는 임원이 없는 경우" 또는 "자격요건을 충족하는 임원이 없는 경우"가 아닌 전체 조직 내에 임원 직급을 가진 자가 없는 경우를 의미함
자격요건
  • (도입 취지) 대량의 개인정보를 처리하는 개인정보처리자는 대내외적으로 일정하니 수준의 개인정보 보호 업무 수행 필요
  • (적용 대상) 연간 매출액, 보유하고 있는 개인정보 규모 등을 고려하여,
    일정 기준(시행령 제32조제4항의 각호)에 해당하는 개인정보처리자는 개인정보보호 경력 등 자격요건을 갖춘 자를 CPO로 지정 필요
  • (자격 기준) 최소 2년 이상의 개인정보 보호 경력을 포함하여 개인정보 보호, 정보보호, 정보기술 경력을 합하여 총 4년 이상의 경력 보유
    • 각각의 경력을 모두 보유해야 하는 것은 아니며, 4년 이상의 개인정보 보호 경력만 보유한 경우도 자격요건 충족
    • 그 밖에 경력 인정 가능 요건
      1. 개인정보 보호, 정보보호, 정보기술 관련 학위를 취득한 경우
      2. 유관 분야에서 자격인증 및 취득한 경우
      3. 개인정보위가 주관하는 교육을 이수한 경우(최대 3개월)
함께 읽으면 좋은 글

👉개인정보보호책임자 지정 요건 알아보기

👉정보보호 책임자의 역할 및 직책 알아보기

메뉴
error: 컨덴츠는 보호됩니다.
우리는 사이트 트래픽을 분석하고 더 나은 서비스 환경을 제공하기 위하여 필수 쿠키를 사용합니다. 쿠키는 귀하를 식별할 수 없습니다.
이 사이트를 계속 사용하면 쿠키 사용에 동의하게 됩니다. 귀하는 웹브라우져 설정에서 언제든지 쿠키를 삭제 할 수있습니다.
자세한 방법은 “개인정보처리방침” 을 참고하세요. 개인정보처리방침
Ok