개인정보보호위원회가 스타벅스 코리아가 개인정보보호 책임자(CPO)에게 내린 인사조치의 위법성 여부를 판단한다. CPO 업무를 보장하는 개인정보보호법 조항 위반 여부를 따지는 첫 사례다.
개인정보보호위원회 조사2과는 스타벅스 코리아 개인정보보호법 위반 여부 조사에 착수했다.
스타벅스 코리아 CPO로 재직한 A씨는 지난달 24일, 보안 강화 및 개인정보보호에 필요한 IT업무관리 개선방안을 담은 '개선 요청 보고서'를 작성, 담당 임원에게 보고했다.
대표이사 보고를 앞두고 직장 내 괴롭힘 신고가 접수됐다고 통보받고 대기발령·직위해제 처리됐다. A씨는 정상적 CPO 업무 수행을 방해하는 행위라며, 회사에 이의를 제기했다.
개보위는 일련의 과정에서 스타벅스 코리아가 개인정보보호법 제31조를 위반했는지를 점검한다.
제 31조는 △개인정보 보호 계획의 수립 및 시행 △개인정보 처리 실태 및 관행의 정기적 조사 및 개선 △개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템 구축 등 CPO의 구체 업무를 규정하고 있다. 또, 관련 업무를 수행하는 데 CPO가 정당한 이유 없이 불이익을 받지 않아야 한다고 명시했다.
개보위 조사는 개인정보보호법 31조 위반 여부를 가리는 첫 사례로, 관심이 집중되고 있다. 조사 결과가 CPO 권한 범위를 결정하는 가이드라인으로 작용할 가능성이 크다는 관측이다.
기업 관계자는 “CPO는 다른 부서에 업무 개선을 요구하는 경우가 많아서 갈등을 빚을 가능성이 높다”며 “CPO 권한을 명확히 하고 정당한 업무에 대해선 부당한 조처를 받지 않을 수 있는 근거가 마련돼야 한다”고 강조했다.
CPO 독립성을 보장하는 법 개정 논의에도 힘이 실릴 전망이다. 31조는 CPO 독립성을 보장하는 근거가 미약하다는 지적을 받고 있다. CPO가 업무 지시나 시정을 권고를 할 경우, 다른 조직과 마찰을 빚을 가능성이 높은 이유로 지목된다.
최경진 가천대 교수는 “EU 등은 개인정보보호 책임자의 독립성, 권한을 대폭 강화해 업무 지시 등에 추진력과 명확한 근거를 부여하고 있다”며 “개인정보법 개정안에도 CPO가 업무를 독립적으로 수행할 수 있도록 보장해야 한다는 조항이 담겼지만, 법안이 처리되지 않고 있다”고 지적했다.
개보위 관계자는 “CPO 권한과 직장 내 괴롭힘 같은 다른 요인까지 결부돼 있다”며 “정보보호 업무 독립성, 기업 인사권을 종합해 이해당사자가 수용할 수 있는 결정을 내리도록 노력하겠다”고 설명했다.
최호기자 snoop@etnews.com
