GDPR 의무화로 ‘데이터보호담당자(DPO)’ 수요 급증…페이스북, 공식 채용 나서
유럽연합(EU) 일반정보보호규정(개인정보보호법; General Data Protection Regulation, 이하 GDPR) 시행을 앞두고 ‘데이터보호담당자(DPO)’ 수요가 전세계적으로 크게 늘어날 전망이다.
GDPR을 준수하기 위해 한국에서만 1400명, 전세계적으로 총 7만5000명의 DPO가 필요할 것이란 분석이 나왔다. 이런 가운데 페이스북이 DPO직을 공식 신설하고 채용에 나서 눈길을 끈다.
내년 5월 시행되는 GDPR(37~39조)은 대규모 개인정보를 처리하는 기업들에 대해 DPO 임명을 의무화하고 있다. 국내 개인정보보호관련법률에서 ‘개인정보보호책임자’ 지정을 의무화하고 있는 것과 비슷하다.
GDPR을 준수해야 하는 전세계 많은 기업들은 아직까지 DPO의 역할과 위치를 규정하지 못하고 혼선을 빚고 있어 DPO를 임명하지 못하고 있다는 게 전문가들의 얘기다.
한국CPO포럼이 최근 개최한 ‘국제 개인정보보호 심포지움-프라이버시 글로벌 에지’ 행사 기조연설자로 참석한 로나 모건(Rona Morgan) 국제개인정보보호전문가협회(IAPP) 아시아 매니징 디렉터는 “GDPR은 전세계적으로 적용되며, 정기적이고 체계적으로 대규모 개인정보(data subjects)를 모니터링·처리하는 기업에서는 반드시 DPO를 임명하도록 돼 있다”라면서 “하지만 많은 기업들이 DPO를 어떤 사람으로 채용해야 하고 누구한테 보고하도록 해야 할지 그 역할과 위치 등을 결정하지 못한 상태”라고 지적했다.
글로벌 소셜미디어 기업인 페이스북은 GDPR에 대응하기 위해 글로벌 프라이버시 팀 소속의 DPO직을 새롭게 신설하고 지원자를 모집 중이다. 페이스북 DPO는 아일랜드 더블린에서 근무하게 된다.
현재 오픈돼 있는 채용공고에서 페이스북은 “국제본부가 위치한 더블린에서 데이터 보호 디렉터 역할을 수행할 경험 많고 의욕적인 데이터 보호·프라이버시 전문가를 찾는다”라면서 “GDPR을 포함해 데이터 보호 및 프라이버시 법률 준수를 보장하기 위해 페이스북의 데이터 보호와 프라이버시 프로그램을 지속적으로 구축 개발, 제공하는데 있어 중요한 역할을 수행하게 될 것”이라고 밝혔다.
페이스북은 DPO가 GPDR 39조에 따라 다양한 임무를 수행할 책임이 있다고 명시했다.
이에 따르면, DPO는 GDPR을 비롯해 유럽·국가별 데이터보호법과 페이스북 정책을 모니터링하고 규정을 준수하는지 정기적으로 확인해야 한다. GDPR을 준수하고 있다는 것을 보여줄 수 있는 최신 기록을 정기적으로 브리핑하고 유지해야 한다. 데이터보호 당국에 컨설팅을 제공하거나 관련 참여를 수행해야 한다. 데이터 보호와 개인정보보호에 관한 내부 교육과 감독 실시, GDPR 조항에 다른 데이터보호 영향 평가 자문 제공 등 GDPR과 관련 다양한 업무를 추진할 수 있어야 한다.
또 DPO는 GDPR과 데이터보호법에 따른 관련문제를 페이스북 아일랜드에 통보·조언해야 하고, GDPR 준수와 관련해 페이스북 내 최고경영진에 보고해야 한다고 명시했다.
페이스북은 다국적 기업에서 최소 10년 이상 정보보호와 개인정보보호 문제를 다뤄본 경력을 가진 전문가를 요구했다. 데이터보호 관련기관과 일해 본 경험과 함께 현재의 정책 이슈를 다룰 수 있는 역량과 우수한 분석능력과 작문 스킬도 갖춰야 한다고 거론했다.
신기술 관련 지식과 관심, 페이스북과 인터넷제공업계 비즈니스 모델, 제품과 플랫폼에 대한 높은 식견을 갖추고 있어야 한다는 점도 빼놓지 않았다.
모건 디렉터는 “페이스북이 제대로된 DPO의 능력을 정의하고 있는 것같다”고 평가하면서 “페이스북의 DPO 채용조건은 리더십, 협상력, 소통능력과 법률·기술적 지식, 글쓰기 스킬까지 엄청 많고 다양하지만 이것이 현실”이라고 말했다.
그는 “DPO는 리더의 역할을 수행해야 하고 팀에 동기부여를 해줄 수 있어야 한다. 기술에 대한 개괄적 지식과 함께 비즈니스 비전을 이해해 관련부서들과 대화하고 협력할 수 있는 역량도 필요하다는 것”이라고 풀이했다.
이어 “페이스북은 10년 이상의 경력과 고등학위를 요구하고 있지만 법학학위를 명시하지는 않았다”라면서 “대신 법무팀 소속이 아니라 글로벌 프라이버시 팀을 새롭게 만들어 DPO의 역할을 수행하도록 했다”는 것을 두드러지는 점으로 꼽았다.
모건 디렉터는 “DPO를 변호사가 맡아야 하는지, 아니면 법을 잘 아는 기술자가 맡아야 하는지 결정하는 것은 쉽지 않은 일”이라면서 “DPO는 경영진에게 프라이버시 중요성을 강조하고 예산을 확보하는 것과 함께 프로젝트 관리 역량을 갖추는 것이 매우 중요하다. 여러 규제와 정책을 다뤄야 하고 비즈니스 운영 경험도 필요하다. 규제 당국과 언론과의 관계를 가져갈 수 있어야 하고, 법무팀과 함께 기업 법무 가이드에 맞춰 컴플라이언스를 잘 관리하는 것이 필요하다”는 견해를 밝혔다.
IAPP가 EY와 함께 발간한 프라이버시 거버넌스 리포트에 따르면, DPO가 수행해야 할 10가지 주요한 역할은 ▲정책과 절차 개발 ▲인식제고·교육 ▲사고 대응 ▲내외부 프라이버시 관련 커뮤니케이션 ▲프라이버시 통제 설계 ▲현재 제품과 서비스 관련 프라이버시 이슈 처리 ▲모니터링·감사 ▲전문 프라이버시 인력 발굴 ▲조사 ▲프라이버시 워킹그룹·위원회 지원이다.
모건 디렉터는 “GDPR을 준수하려면 유럽에서만 2만8000명, 전세계적으로 7만5000명의 DPO가 필요한 것으로 나타났다. 한국에서도 유럽과의 통상규모를 고려할 때 1400명의 DPO가 필요할 것으로 예상됐다”라면서 “현재 전문성을 갖춘 DPO 인력은 부족한 상태로, CIPP같은 자격을 취득하고 전문성을 갖추게 된다면 연봉도 더욱 상승하는 등 강력한 커리어패스가 될 수 있다”고 강조했다.
GDPR은 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보보호 권리를 강화하기 위해 지난 2016년 5월 제정됐다. 신용카드, 금융·의료 정보를 포함해 직·간접적으로 식별 가능한 개인정보가 저장되거나 이전되는 위치와 방법, 정보에 접근할 때 적용되는 정책과 감사에 관한 철저한 관리감독을 요구한다.
GDPR은 EU 내 사업장이 있는 기업뿐만 아니라 EU 거주자의 개인정보를 저장하는 전세계 모든 기업에 적용된다. EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업들이 모두 대상이다. EU를 대상으로 서비스를 제공하거나 사업을 펼치는 국내 기업들도 당연히 포함된다.
만일 GDPR을 심각히 위반할 경우 부과되는 과징금 규모는 어마어마하다. 최대 2000만유로(245억원) 또는 전세계 연간 매출액의 4% 가운데 높은 금액으로 과징금이 부과된다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network