<질의요지>
2024년 3월 12일 대통령령 제34309호로 일부개정된 「개인정보 보호법 시행령」(이하 “개정 「개인정보 보호법 시행령」”이라 함) 제32조제4항에서는 「의료법」 제3조의4에 따른 상급종합병원 등에 해당하는 개인정보처리자는 같은 조제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정하도록 하고, 별표 1을 신설하여 개인정보 보호책임자의 자격요건을 강화하면서, 같은 영 부칙 제2조제1항에서는 “이 영 시행 당시 종전의 제32조제2항에 따라 개인정보 보호책임자를 지정한 개인정보처리자로서 제32조제4항의 개정규정에 따른 개인정보처리자(공공시스템운영기관은 제외한다)에 해당하는 경우에는 이 영 시행일부터 2년 동안 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 본다”고 규정하고 있는바,
개인정보처리자(개정 「개인정보 보호법 시행령」 시행 당시 종전의 제32조제2항에 따라 개인정보 보호책임자를 지정한 개인정보처리자로서 개정 「개인정보 보호법 시행령」 제32조제4항의 개정규정에 따른 개인정보처리자(공공시스템운영기관은 제외함)에 해당하는 것을 전제로 함.)가 개정 「개인정보 보호법 시행령」 시행 당시 구 「개인정보 보호법 시행령」(2024.3.12. 대통령령 제34309호로 일부개정되기 전의 것을 말하며, 이하 같음) 제32조제2항에 따라 지정한 개인정보 보호책임자의 임기가 만료되어 개정 「개인정보 보호법 시행령」 시행일부터 2년 이내에 같은 영 제32조제3항·제4항 및 별표 1에 따른 강화된 자격요건을 갖추지 못한 자로 개인정보 보호책임자를 지정한 경우, 해당 개인정보처리자는 같은 영 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 있는지?
<회 답>
이 사안의 경우, 개인정보처리자는 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 없습니다.
<이 유>
개정 「개인정보 보호법 시행령」 제32조 및 별표 1에서는 연간 매출액 등이 1,500억원 이상인 자로서 5만명 이상의 정보주체에 관하여 민감정보를 처리하는 개인정보처리자 등 일정한 기준에 해당하는 개인정보처리자는 총 4년 이상의 개인정보보호 경력 등이 있는 사람을 개인정보 보호책임자로 지정하도록 하여 개인정보 보호책임자의 자격요건을 강화(개정 「개인정보 보호법 시행령」 개정이유 및 주요내용 참조)하면서 같은 영 부칙 제2조에서 이에 대한 경과조치를 규정하고 있는데, 법령의 개정에 따라 부칙에 규정되는 경과조치는 구법질서에서 신법질서로의 이행 과정에서 나타나는 신구법령의 적용관계를 분명히 함으로써 종전 규정에 따라 성립된 기득권을 잠정적으로 보호하고, 일정한 유예기간을 두어 새로운 제도의 안정적인 시행을 도모하려는 것으로서(법제처 2023.10.24. 회신 23-0733 해석례 참조), 이 사안의 경우 개인정보처리자가 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 있는지 여부는 이러한 경과조치의 성격을 고려하여 해석해야 할 것입니다.
먼저 개정 「개인정보 보호법 시행령」 부칙 제2조에서 조의 제목을 “개인정보 보호책임자에 관한 경과조치”로 규정하고 있고, 같은 조제1항에서는 강화된 자격요건을 갖춘 개인정보 보호책임자를 지정해야 하는 개인정보처리자가 같은 영 시행 당시 종전의 규정에 따라 개인정보 보호책임자를 지정한 경우 같은 영 시행일부터 2년 동안은 같은 영에 따른 개인정보 보호책임자를 지정한 것으로 보도록 규정하고 있는바, 해당 경과조치는 종전의 규정에 따라 지정된 개인정보 보호책임자의 법적 지위가 침해되거나 불리해지는 것을 방지하는 한편, 강화된 자격요건을 갖춘 개인정보 보호책임자를 지정해야 하는 개인정보처리자의 부담을 완화하기 위하여 종전의 규정에 따라 지정된 개인정보 보호책임자가 유지되는 경우에 한하여 개정 「개인정보 보호법 시행령」 시행 이후 2년 동안은 종전의 규정에 따라 개인정보 보호책임자를 지정한 개인정보처리자와 그 개인정보처리자가 지정한 개인정보 보호책임자의 법적 지위를 보호하려는 취지의 규정이라고 할 것이므로, 비록 이 영 시행일부터 2년 이내의 기간에 해당되더라도 종전의 규정에 따라 지정된 개인정보 보호책임자를 교체하여 새로운 개인정보 보호책임자를 지정하는 경우까지 이 사안의 경과조치가 적용되는 것은 아니라고 할 것입니다.
그리고 개인정보 보호책임자는 개인정보 보호 계획의 수립·시행, 개인정보 처리 실태 조사 및 개선, 개인정보 처리 관련 불만의 처리 및 피해 구제 등의 업무를 수행하면서, 개인정보 처리에 관한 업무를 총괄해서 책임지는 자(「개인정보 보호법」 제31조제1항 및 제3항)로서 데이터 경제 시대에 개인정보 활용 확대에 따른 개인정보 침해 위험이 높아지고 있는 상황(2021.9.28. 의안번호 제12723호로 발의된 개인정보 보호법 일부개정법률안에 대한 국회 정무위원회 심사보고서 참조) 등을 고려하여 개인정보 보호책임자의 전문성을 강화하기 위하여 개정 「개인정보 보호법 시행령」 제32조제4항 및 별표 1에서는 개인정보 보호책임자의 자격요건을 강화한 것인데, 같은 영 시행 이후 구 「개인정보 보호법 시행령」 제32조제2항에 따라 지정된 개인정보 보호책임자를 교체하고 새로운 개인정보 보호책임자를 지정하는 경우까지 개정 「개인정보 보호법 시행령」 부칙 제2조제1항이 적용되어 강화된 개정 규정의 적용을 유예하는 것으로 해석하는 것은 개인정보 보호책임자의 자격요건을 강화한 개정취지에도 부합하지 않습니다.
아울러 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에서 규정한 개인정보 보호책임자에 대한 경과조치는 종전의 규정에 따라 개인정보 보호책임자를 지정한 개인정보처리자와 그 개인정보처리자가 지정한 개인정보 보호책임자의 법적 지위를 존중·보호하기 위한 예외적 조치인데, 종전의 규정에 따라 지정된 개인정보 보호책임자를 개정 「개인정보 보호법 시행령」 시행일 이후에 새로운 개인정보 보호책임자로 교체하여 지정하는 경우까지도 이러한 예외를 인정하는 경우에는 같은 영 시행 이후 새롭게 개인정보 보호책임자를 지정하는 경우와 형평성 문제가 발생할 수 있다는 점도 이 사안을 해석할 때 고려할 필요가 있습니다.
따라서 이 사안의 경우, 개인정보처리자는 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 없습니다.
【법제처 24-0445, 2024.07.24.】