개인정보 파기, CPO의 승인 필요할까? 🤔

아래 내용은 카카오톡 단체 대화방인 '개보꾼'에서 나온 질의를 바탕으로 작성되었습니다.

안녕하세요!
오늘은 2024년에 개정된 개인정보 보호법을 기준으로, 개인정보 파기와 관련된 궁금증을 풀어보려고 해요.
특히, CPO(Chief Privacy Officer)가 파기 내용을 꼭 승인해야 하는지에 대해 이야기해볼게요. 😄

---

개인정보 파기, 왜 중요할까? 🔒

개인정보 파기는 더 이상 필요하지 않거나 보관 기간이 지난 개인정보를 안전하게 삭제하는 절차입니다.
이를 제대로 하지 않으면 해커의 공격이나 내부 유출로 개인정보가 악용될 수 있어요. 😱

2024년 개정된 개인정보 보호법에서는 파기의 중요성이 더욱 강조되었는데요.
법적으로 개인정보를 "필요한 기간 이상 보관하지 말라"는 의무가 강화되었습니다.
따라서 기업과 기관은 불필요한 개인정보를 정해진 방식에 따라 파기해야 해요.

다른 법령에 따라 보관 의무가 있는 경우 개인정보 파기가 면제 됩니다.(예: 상법에 따른 회계자료 10년 보존 의무).

---

그럼 CPO는 어떤 역할을 할까? 🤓

CPO는 개인정보 보호법에 따라 개인정보 처리와 관련된 모든 활동을 감독하는 중요한 역할을 합니다.
파기 절차도 예외는 아니에요! CPO는 다음과 같은 상황에서 승인 또는 관여해야 할 수 있습니다.

1. 파기 대상 선정

파기 전에 "무엇을 삭제해야 할지" 결정하는 과정이 있어요.

• 보유 기간이 지난 데이터
• 처리 목적이 달성된 데이터
  이 단계에서 CPO는 "파기가 적절한지"를 검토할 수 있습니다.

2. 파기 방법 확인

데이터 파기는 단순히 삭제 버튼을 누르는 게 아니라, 법적 기준에 따라 안전하게 처리해야 합니다.
예:

• 전자 파일: 복구 불가능하게 삭제
• 종이 문서: 소각 또는 분쇄
  이런 방법이 제대로 적용되었는지 확인하는 것도 CPO의 역할이에요.

3. 승인 필요 여부

2024년 개정안에서는 CPO의 역할이 더 강조되었지만, 모든 파기에 대해 무조건 승인해야 한다고 명시된 건 아니에요.
다만, 중요 데이터나 민감한 개인정보를 파기할 때는 CPO가 승인 과정에 반드시 포함되도록 정책을 마련하는 것이 권장됩니다.
예:

• 고객 금융정보
• 의료 데이터이런 경우에는 CPO의 승인을 받아야 안전하겠죠?

---

CPO 승인이 꼭 필요한 경우 📋

1. 법적 요구사항이 있는 경우

특정 산업(예: 금융, 의료)에서는 관련 규정에 따라 CPO의 승인을 의무화할 수 있어요.
👉 금융기관에서는 고객 신용정보 파기 시, CPO의 승인 및 서면 기록을 남기도록 요구하는 경우가 많습니다.

2. 내부 정책에 따른 경우

회사마다 개인정보 보호 정책이 다르잖아요?
예를 들어, 회사의 내부 규정에서 "중요한 개인정보는 CPO 승인을 받아야 한다"라고 정하면, 승인이 필수겠죠!
👉 따라서 여러분의 회사나 기관의 내부 규정을 꼭 확인해보세요.

---

그렇다면 꼭 CPO가 승인하지 않아도 되는 경우는? 🙋‍♀️

• 일상적인 개인정보 파기:
  예를 들어, 웹사이트 회원 탈퇴 시 자동 삭제되는 데이터는 시스템이 알아서 처리하도록 설정하면 됩니다.
  이런 경우라면, CPO의 별도 승인은 필요하지 않을 수 있어요.
• 소규모 개인정보:
  중요도가 낮고, 법적 요구 사항에 해당하지 않는 개인정보라면, 관련 팀이나 담당자가 처리해도 괜찮습니다.
  물론, 전체 프로세스는 CPO가 감독해야 해요!

---

마치며 📝

2024년 개정된 개인정보 보호법은 "책임성과 신뢰"를 강조하고 있어요.
CPO가 모든 파기를 승인해야 한다는 명확한 의무는 없지만,
데이터 중요도에 따라 관여하거나 승인을 권장하는 경우가 많습니다.

👉 중요한 건, 여러분의 회사나 기관에서 CPO와의 협력 체계를 잘 마련하고,
데이터 보호 책임을 철저히 수행하는 거예요.
안전하게 데이터를 파기하고, 신뢰받는 데이터 관리자가 되어보세요! 😊

그럼 다음에 또 유용한 정보로 찾아올게요~! 🙌