항해
GDPR > 제37조. 데이터보호 담당관의 지정
다운로드 PDF

제37조 GDPR. 데이터보호 담당관의 지정

Article 37 GDPR. Designation of the data protection officer

1. 다음 각 호에 해당하는 경우, 컨트롤러와 프로세서는 데이터보호담당관을 지정해야 한다.

1. The controller and the processor shall designate a data protection officer in any case where:

(a) 법원이 사법 권한을 행사하는 경우를 제외한 공공당국 또는 기관이 처리를 하는 경우

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

관련 교과서

(b) 컨트롤러나 프로세서의 핵심 활동이 처리의 성격, 범위 또는 목적에 의해 정보주체에 대한 정기적이고 체계적인 대규모의 모니터링을 요하는 처리 작업들로 구성되는 경우

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

관련 교과서

(c) 컨트롤러 또는 프로세서의 핵심 활동이 제9조에 따른 특별 범주의 개인정보와 제10조에 규정된 범죄경력 및 범죄 행위에 관련된 개인정보를 대규모로 처리하는 것으로 구성되는 경우

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

관련 교과서

2. 사업체 집단은 단일의 데이터보호담당관을 지정할 수 있는데, 각 사업장이 해당 데이터보호담당관을 쉽게 이용할 수 있는 경우에 그러하다.

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

관련 교과서

3. 컨트롤러 또는 프로세서가 공공당국이나 기관인 경우, 조직의 구조나 규모를 고려하여, 다수의 그러한 당국이나 기관을 위해 단일의 데이터보호담당관이 지정될 수 있다.

3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size.

관련 교과서

4. 제1항에 규정된 것 이외의 경우, 컨트롤러나 프로세서의 각 범주를 대표하는 협회 또는 기타 기관은, 유럽연합 또는 회원국 법률이 요구하는 경우, 데이터보호담당관을 지정할 수 있거나 지정해야 한다. 데이터보호담당관은 컨트롤러 또는 프로세서를 대변하는 해당 협회 및 기타 기관을 대행할 수 있다.

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

5. 데이터보호담당관은 직무상의 자질, 특히 개인정보 보호법과 실무에 대한 전문가적 지식과 제39조에 규정된 업무를 수행할 수 있는 능력에 근거하여 지정되어야 한다.

5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

관련 교과서

6. 데이터보호담당관은 컨트롤러 또는 프로세서의 직원일 수 있거나, 서비스계약에 근거하여 업무를 수행할 수 있다.

6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

7. 컨트롤러 또는 프로세서는 데이터보호담당관의 상세 연락처를 공개하며 이를 감독기관에 통보하여야 한다.

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN) The article explains when and under what conditions a Data Protection Officer (DPO) should be appointed or hired. In most cases, at least one of the following conditions is sufficient for the company to be required to have a DPO:

  • if data processing is performed by state authorities (except for courts)


전체 텍스트에 액세스하려면

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 37 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


전체 텍스트에 액세스하려면

전문 (Recitals)

(97) 법원이나 독립적 사법기관이 사법적 권한에 따라 (정보)처리를 하는 경우를 제외한, 공공기관이 처리를 수행하는 경우, 민간부문에서 정보주체에 대해 주기적이고 체계적인 모니터링을 대규모로 필요로 하는 처리작업이 핵심활동인 컨트롤러가 (정보)처리를 하는 경우, 혹은 컨트롤러나 프로세서의 핵심활동이 특별 범주의 개인정보나 형사기소 및 범죄에 관련된 개인정보를 대규모로 처리 하는 경우, 개인정보보호법 및 개인정보보호 방침에 대해 전문적인 지식을 가진 자는 동 규정이 내부적으로 지켜지고 있는지 모니터링하기 위해 컨트롤러나 프로세서를 도와야 한다. 민간 부문에서의 컨트롤러 핵심 활동(core activities)은 주요 활동(primary activities)과 관련되며 보조적인 활동으로써의 개인정보처리와는 관련이 없다. 이 때 필요한 전문적 지식의 수준은, 컨트롤러나 프로세서가 수행하는 정보처리 작업과 이들이 처리한 개인정보에 필요한 보호에 따라 특히 결정되어야 한다. 데이터보호담당관(data protection officer; DPO)은 컨트롤러에 의해 고용되었는지 여부와는 관계없이, 독립적으로 본인의 업무와 임무를 수행해야 한다.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]