상급종합병원·대학교 '베테랑 개인정보 보호책임자' 지정 의무화

개보위, 관련법 개정안 입법예고
책임자 보고체계 독립성도 강화


앞으로 상급종합병원과 대학교 등은 3년 이상의 개인정보보호 경력을 가진 개인정보 보호책임자(CPO)을 의무적으로 지정하고, 책임자가 대표자나 이사회에 독립적으로 보고할 수 있는 체계를 구축해야 한다.


개인정보보호위원회는 이같은 내용을 담은 ‘개인정보 보호법 시행령 개정안’을 23일부터 내년 1월 2일까지 입법예고한다고 22일 밝혔다.


먼저 개인정보 보호책임자의 전문성과 독립성 강화를 위해 이들의 지정요건과 자격요건이 재정비됐다. 매출액과 개인정보 보유 규모를 고려해 일정 기준 이상을 충족한 개인정보처리자는 개인정보 보호 책임자를 지정하도록 했다. 적용 대상은 연 매출액 1500억 원 이상인 자로 대량의 개인정보(100만 명 이상 또는 5만 명 이상 민감·고유식별정보)를 보유한 개인정보처리자 또는 재학생 수 1만 명 이상인 대학, 대규모 개인정보를 처리하는 상급종합병원, 개인정보보호위가 고시하는 기준을 충족하는 공공시스템 운영기관이다. 이들은 개인정보보호 경력을 3년 이상 필수 보유하거나 개인정보보호·정보보호·정보기술 총 경력을 6년 이상 보유한 개인정보 보호책임자를 지정해야 한다.


아울러 개인정보처리자가 개인정보 보호책임자의 독립성을 보장하기 위해 대표자 및 이사회에 직접 보고할 수 있는 보고 체계도 구축하도록 했다. 개인정보 보호책임자 간 교류 협력을 활성화 할 수 있도록 ‘개인정보 보호책임자 협의회’의 공동사업에 대한 구체적인 범위를 정하고 개인정보위가 지원할 수 있도록 했다.


뿐만 아니라 인공지능(AI) 등 디지털 전환에 따라 ‘완전히 자동화된 시스템’으로 개인정보를 처리하는 특수한 영역에서도 정보주체의 거부·설명 등을 요구할 수 있는 권리가 신설됐다. 개인정보처리자가 완전히 자동화된 결정에 따른 개인정보 처리할 경우 사전에 기준 및 절차 등을 공개해야 하며 일회적으로 이뤄질 경우 정보주체에게 사전에 알리도록 했다.


이밖에도 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 ‘개인정보 보호수준 평가’에 대한 법적 근거가 마련되고, 손해배상책임 보장을 위한 보험가입 및 준비금 적립 등 의무대상도 매출액 10억 원 및 정보주체 수 1만 명 이상(현 매출액 5000만 원 및 이용자 수 1000 명)으로 변경된다. 고유식별정보 관리실태 정기조사 기간도 2년에서 3년으로 조정된다.


고학수 개인정보위 위원장은 “개정된 개인정보 보호법이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회·설명회 등을 통해 학계, 산업계, 시민단체 등의 다양한 의견을 들어 시행령에 반영해 나갈 것"이라고 말했다.


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>