이번 개인정보보호법 개정에서 CPO(개인정보보호책임자) 관련 조항이 대폭 강화됐다. 법 조문이 바뀌었다는 차원을 넘어, 조직 내에서 개인정보보호 업무가 위치하는 방식 자체를 바꾸는 변화다.
달라지는 것: 이사회 의결과 개인정보위 신고
일정 규모 이상의 개인정보처리자에 대해 CPO를 지정·변경 또는 해제할 때 이사회 의결을 거칠 의무와 개인정보보호위원회에 신고할 의무가 부과됐다. Lawtimes
공공시스템을 운영하는 기관은 9월 14일까지, 상급 종합병원이나 재학생 2만 명 이상 대학 등은 3월 14일까지 관련 내용을 개인정보위에 신고해야 한다. Dailian
단순히 담당자 한 명을 지정하는 문제가 아니다. 임원급으로의 격상, 이사회 보고 의무, 행정기관 신고까지 연결되는 구조가 만들어진 것이다.
이 변화가 의미하는 것: CPO의 위상이 달라진다
그동안 많은 조직에서 CPO는 실질적인 의사결정 권한 없이 업무를 수행하는 경우가 많았다. 예산 요청이 묵살되거나, 보호 조치 도입 의견이 개발팀·사업부의 일정에 밀리는 상황이 반복됐다.
개정안은 사업주·대표자를 개인정보 보호의 최종 책임자로 명시하고, CPO의 업무 범위에 전문 인력 관리 및 예산 확보, 사업주 또는 대표자 및 이사회에 대한 개인정보 보호 현황 보고가 추가됐다. Lawtimes
CPO가 이사회에 보고하는 구조가 법적으로 명시됐다는 뜻이다. 예산 확보 권한도 업무 범위에 포함됐다. 말하자면 CPO를 실질적인 권한을 가진 역할로 제도화하겠다는 설계다.
실무에서 부딪힐 현실적인 문제들
이 제도가 현장에서 매끄럽게 작동하려면 넘어야 할 지점들이 있다.
첫째, 적용 대상 범위다. '매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준'이라고만 되어 있다. 시행령이 확정되어야 내 조직이 해당하는지 알 수 있다. 시행령을 지속적으로 모니터링해야 하는 이유다.
둘째, 전문성 요건이다. 단순히 누군가를 CPO로 지정하는 것으로는 부족해질 수 있다. 법이 요구하는 '일정 경력을 갖춘 CPO' 기준이 어떻게 구체화될지가 관건이다.
셋째, 이사회 보고 체계 구축이다. 지금까지 개인정보보호 현황을 이사회에 보고한 적 없는 조직이 대부분이다. 어떤 지표를 어떻게 보고할지를 설계하는 것 자체가 새로운 과제다.
CPO가 갖춰야 할 것이 달라진다
이 변화는 CPO 역할을 수행하는 사람에게도 의미가 있다. 법 조문을 해석하고 현장을 점검하는 능력만으로는 부족해진다. 경영진에게 보고하고, 예산을 요청하고, 리스크를 수치로 설명하는 역량이 요구된다.
개인정보보호 업무가 IT 관리 업무에서 경영 리스크 관리 업무로 이동하는 흐름이 이번 개정에 고스란히 반영되어 있다.