Breaking
사이버 보안(Cybersecurity)
GDPR 시행 1년, 데이터보호책임자 중요성 날로 증가…"전문화 교육 필요해"
2019-06-26 18:29:55
김지연
▲GDPR 또는 데이터 보호법에 대한 이해가 부족한 DPO의 고용은 회사에 장기간의 이익을 가져다주지 못한다(사진=ⓒ123RF)

[라이헨바흐=김지연 기자] 일반개인정보보호법(GDPR) 시행된지 1년이 지난 가운데, 데이터보호책임자(DPO)의 중요성이 더욱 증가하고 있다. 

이에 따라 보안 전문가들은 모든 유형의 사이버 위협에 대처할 수 있도록 데이터보호책임자(DPO)에 대한 교육이 시행돼야 할 것을 촉구했다.

2016년 이후, DPO가 부족한 실정이다. 국제개인정보보호협회(IAAP)가 발표한 조사 결과에 따르면, GDPR이 실행되면 전 세계에서 최소 7만 5,000명의 DPO 직책이 필요하다는 결론이 나왔다. 미국의 DPO는 9,000명, 영국은 3,102명, 중국은 7,568명, 스위스는 3,682명이 있어야 한다.

GDPR은 작년 5월 25일 시행된 이래 거의 1년이 되어 가고, 현재는 과거의 데이터보호법(DPA)을 대신한다. 그러나 조직에 속한 모든 DPO가 회사의 GDPR 요구 사항을 준수하고 있지는 않아 우려의 목소리가 나오고 있다. 

 

따라서 DPO는 조직이 적절한 데이터 보호 조치를 취하고 있는지 확인하는데 필요한 기술을 갖춰야 한다.

이상적인 DPO는 조직을 관리하는 GDPR과 같은 데이터 보호 규정에 대해 심도 깊게 이해하고 있어야 한다. DPO는 직원과 기업 임원의 데이터 보호 질문에 효과적으로 응답할 수 있어야 하며, 조직이 해당 규정를 준수하는지 여부를 모니터링 할 수 있어야 한다.

뿐만 아니라 회사는 DPO 직책을 확보해야 하는 것은 물론이고, 고용된 DPO에게 전문화된 교육 프로그램을 제공해 직무 적합성을 확인해야 한다.

IT 거버넌스 UK의 루크 어윈은 DPO에게 전문화된 프로그램을 제공하는 것이 민감한 데이터를 처리하는 모든 조직에 유익하다고 밝혔다.

▲이상적인 DPO는 직원이 근무하고 있는 조직을 관할하는 GDPR과 같은 데이터 보호 규정에 대해 심도 깊게 이해하고 있어야 한다(사진=ⓒ123RF)

충분한 데이터 보호법에 대한 이해

GDPR 또는 데이터 보호법에 대한 이해가 부족한 DPO는 기업에 악영향을 끼친다. 특히 숙련된 DPO가 부족하거나 이들을 찾기 힘든 경우에 더욱 그렇다. 따라서 능력을 갖춘 DPO는 회사에서 필요한 사람으로 대우받아야 한다.

만약 자격 미달의 DPO가 상주한다면 회사는 우수한 수준의 데이터 보호 및 사이버보안을 성취할 수 있는 스킬을 갖출 수 있도록 DPO에게 전문적인 교육을 제공하는 것이다.

책임 의식 갖기

DPO는 회사가 추진하는 적절한 데이터 보호 조치를 준수해야 한다. 이와 같은 책임감에는 직원의 데이터 보호 관행을 감독해 데이터 처리 담당자인지를 확인하고, 기업 책임자의 사전 지시 없이도 DPO로서의 책임을 유지하기 위한 조치를 취해야 한다.

이 책임감 중 가장 힘든 부분은 DPO로서 자신의 한계를 아는 것이다. 즉, 독자적으로 할 수 있는 것과 그렇지 못한 것의 차이를 아는 것이다.

 

​비상사태 대비

DPO는 데이터 유출 사고 발생 시 즉각적인 대안을 취할 수 있는 대비를 해놔야 한다. 

GDPR의 통제를 받는 기업의 경우, DPO는 72시간 안에 데이터 유출 사실을 대중에게 알려야 한다. 만약 그렇지 않으면, 기업은 벌금을 부과 받아 법적 책임을 지게 된다. 

이와 같은 상황에서, DPO는 데이터 유출의 발표 시기를 잘 포착해야 한다. 너무 일찍 발표하면 회사는 이 사건의 복잡한 사정에 대해 제대로 조사하지 못할 수 있다. 하지만 72시간이 지난 뒤에 발표하면 회사는 법적인 영향을 받는다.

[라이헨바흐=김지연 기자]