[ISDP 2025] 김직동 개인정보위 과장, “2025 개인정보보호법 개정 주요 내용” 강연(영상)

자동화된 결정에 대한 정보주체 권리 강화

CPO(개인정보보호책임자) 지정 및 자격 요건 강화

전반기 최대 제13회 정보보호&데이터보안 컨퍼런스 ISDP 2025가 2월 11일 삼성동 코엑스 3층 컨퍼런스룸E 및 로비에서 공공, 금융, 기업 정보보호 담당자 1,700여 명이 참석한 가운데 성황리 개최됐다.

ISDP 2025는 “사이버보안과 데이터보호, 개인정보보호 전 영역”에 걸쳐 보안실무 업무에 필요한 강연 및 국내외 최신 솔루션들을 소개하는 최고의 컨퍼런스 및 전시회로 자리잡고 있다.

이날 개인정보보호위원회 김직동 과장은 '2025 개인정보보호법 개정 주요 내용'을 주제로 첫 키노트 발표를 진행하면서 보안담당자들이 반드시 지켜야 할 개인정보보호 규정에 대해 상세히 설명하는 시간을 가졌다.

김 과장은 이번 개정이 데이터 경제 활성화와 개인정보 보호의균형을 중시했다고 밝혔다. 개인정보보호법은 정보주체의 권리와 개인정보처리자의 의무를 명확히 규정하며, 총칙부터 벌칙까지 폭넓은 내용을 담고 있다.

■2024년 2차 시행 주요 개정 내용(2024년 3월 15일 시행)

김직동 과장은 2024년 3월 15일부터 시행되고 있는 2차 개정 내용을 각 항목별로 구체적으로 설명했다.

첫 번째는 자동화된 결정에 대한 정보주체 권리 강화다. 김 과장은 자동화된 결정의 기준과 절차를 사전에 홈페이지에 공개해야 하며, 정보주체가 설명을 요구하거나 의견을 제출할 수 있고, 인적 개입을 통한 재처리 및 결과 통보를 요청할 권리를 보장한다고 강조했다. 또한, 해당 결정이 생명이나 기본권에 미치는 영향을 종합적으로 고려해 판단해야 한다고 설명했다.

두 번째는 CPO(개인정보보호책임자) 지정 및 자격 요건 강화다. 그는 연매출 1,500억 원 이상 기업, 재학생 2만 명 이상 대학, 대형 종합병원이 자격요건을 충족한 CPO를 지정해야 한다고 밝혔다. 기존 CPO는 2026년까지 요건을 충족하도록 유예 기간을 두며, 경력, 학위, 자격증 요건이 명확히 규정된다고 덧붙였다.

세 번째는 고유식별정보 관리실태 정기조사 주기 변경이다. 김 과장은 조사 주기가 기존 2년에서 3년으로 변경되며, ISMS-P 인증 등 정기 점검을 받은 기관은 중복 조사를 면제받는다고 설명했다.

네 번째는 국외 수집·이전 시 처리방침 공개 의무화다. 국외에서 국내 정보주체의 개인정보를 수집·처리할 경우 해당 국가명과 법적 근거를 처리방침에 명시해 정보주체의 알 권리를 강화한다고 말했다.

김직동 과장은 발표를 마치며, 개정된 법이 현장에서 혼란 없이 적용될 수 있도록 현장 의견을 수렴하며 지속적인 안내와 지원을 이어갈 것이라고 강조했다.

이번 발표는 2024년 시행된 2차 개정의 핵심 내용을 명확히 설명하며, 기업과 기관이 준비할 구체적인 대응 방안을 상세히 제시했다. 특히, 자동화된 결정권 보장과 CPO 자격 요건 강화는 기업의 실무 대응에 중요한 변화를 가져올 것이라고 강조했다.

김직동 과장의 ISDP 2025 강연은 아래 영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.