개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 합니다(「개인정보 보호법」 제31조제1항 본문).
이를 위반하여 개인정보 보호책임자를 지정하지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제4항제9호).
※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).
1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
※ "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다((「개인정보 보호법」 제2조제1호의2).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
종업원 수, 매출액 등 다음의 요건을 모두 갖춘 개인정보처리자의 경우 보호책임자를 지정하지 않을 수 있습니다. 지정하지 않으면 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 됩니다(「개인정보 보호법」 제31조제1항 단서·제2항 및 「개인정보 보호법 시행령」 제32조제1항).
상시 근로자 수가 10명 미만일 것
업종별 상시 근로자 수 등이 5명 미만일 것(광업·제조업·건설업 및 운수업의 경우 10명 미만)
개인정보처리자는 개인정보 보호책임자의 자격요건, 업무 및 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 다음의 구분에 따라 개인정보 보호책임자를 지정합니다(「개인정보 보호법」 제31조제9항 및 「개인정보 보호법 시행령」제32조제3항).
구분
개인정보 보호책임자
공공기관
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관
고위공무원 또는 그에 상당하는 공무원
2. 1. 외에 정무직공무원을 장(長)으로 하는 국가기관
3급 이상 공무원(고위공무원을 포함) 또는 그에 상당하는 공무원
3. 1. 및 2. 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관