Source: http://www.pipc.go.kr/cmt/not/ntc/selectBoardArticle.do?nttId=5969&bbsId=BBSMSTR_000000000121&bbsTyCode=BBST03&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=6
(EN) Article 38 describes the specifics of the position of the Data Protection Officer (DPO). In particular, the emphasis is on the fact that DPO performs its work independently, while the responsibility for their timely and quality performance lies partly with the company itself (the controller or processor). Therefore, the text emphasizes that the company provides DPO with the necessary resources and access on the one hand, and is responsible for the independence of the DPO, not having the right to give them any instructions on the other.
In order to provide DPO with support, the company is recommended to ensure the following:
…
Logi sisse
terviktekstile juurdepääsuks
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.
Here is the relevant paragraph to article 38 GDPR:
6.3.1.1 Information security roles and responsibilities
Implementation guidance
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
…
Logi sisse
terviktekstile juurdepääsuks
(97) 법원이나 독립적 사법기관이 사법적 권한에 따라 (정보)처리를 하는 경우를 제외한, 공공기관이 처리를 수행하는 경우, 민간부문에서 정보주체에 대해 주기적이고 체계적인 모니터링을 대규모로 필요로 하는 처리작업이 핵심활동인 컨트롤러가 (정보)처리를 하는 경우, 혹은 컨트롤러나 프로세서의 핵심활동이 특별 범주의 개인정보나 형사기소 및 범죄에 관련된 개인정보를 대규모로 처리 하는 경우, 개인정보보호법 및 개인정보보호 방침에 대해 전문적인 지식을 가진 자는 동 규정이 내부적으로 지켜지고 있는지 모니터링하기 위해 컨트롤러나 프로세서를 도와야 한다. 민간 부문에서의 컨트롤러 핵심 활동(core activities)은 주요 활동(primary activities)과 관련되며 보조적인 활동으로써의 개인정보처리와는 관련이 없다. 이 때 필요한 전문적 지식의 수준은, 컨트롤러나 프로세서가 수행하는 정보처리 작업과 이들이 처리한 개인정보에 필요한 보호에 따라 특히 결정되어야 한다. 데이터보호담당관(data protection officer; DPO)은 컨트롤러에 의해 고용되었는지 여부와는 관계없이, 독립적으로 본인의 업무와 임무를 수행해야 한다.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.
Here is the relevant paragraph to article 5(1)(f) GDPR:
6.10.2.4 Confidentiality or non-disclosure agreements
Implementation guidance
The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.
…
Logi sisse
terviktekstile juurdepääsuks