개인정보 보호책임자의 지정(개인정보보호법 제31조) - CPO 지정

CPO업무 두음 : 불교계 실내파

CPO 지정 기준 : 공공기관, 공공기관 외

- 공공기관 : 3급, 3급장 4급, 시도/교육청 3급, 시.군.자치구 3급

- 공공기관외 : 임장 사대(임원/개인정보처리업무 부서장, 사업주/대표) 지정하여야 한다,

   소상공인 별도 지정없이 사업자/대표를 CPO 지정한 것으로 본다.

 

제31조(개인정보 보호책임자의 지정)

① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질

     개인정보 보호책임자를 지정하여야 한다.

 

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
    1. 개인정보 보호 계획의 수립 및 시행
    2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
    3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
    4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
    5. 개인정보 보호 교육 계획의 수립 및 시행
    6. 개인정보파일의 보호 및 관리ㆍ감독
    7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우

    개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및

    다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며,

    필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서

    정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.

⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건,

    그 밖에 필요한 사항은 대통령령으로 정한다.

 

 

개인정보 보호법 시행령[대통령령 제32528호, 2022. 3. 8., 타법개정]

제32조(개인정보 보호책임자의 업무 및 지정요건 등) 

① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다.

1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행

2. 개인정보 보호 관련 자료의 관리

3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는

다음 각 호의 구분에 따라 지정한다.<개정 2016. 7. 22.>

1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및

     중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원

나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는

     그에 상당하는 공무원

다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는

     공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원

라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다):

      해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장

마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원

바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원

사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람

아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관:

     개인정보 처리 관련 업무를 담당하는 부서의 장.

     다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는

     해당 공공기관의 장이 지명하는 부서의 장이 된다.

 

2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람

가. 사업주 또는 대표자

나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

 

③ 제2항에도 불구하고 개인정보처리자가 「소상공인기본법」 제2조에 따른

    소상공인에 해당하는 경우에는 별도의 지정 없이  그 사업주 또는 대표자를

    개인정보 보호책임자로 지정한 것으로 본다.

    다만, 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않다.<신설 2020. 8. 4., 2021. 2. 2.>

 

④ 보호위원회는 개인정보 보호책임자가 법 제31조제2항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설ㆍ운영하는 등 지원을 할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

 

 

 

=====================================================

 개인정보 보호책임자는 다음 업무 수행
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무