항해
GDPR > 제38조. 데이터보호담당관의 지위
다운로드 PDF

제38조 GDPR. 데이터보호담당관의 지위

Article 38 GDPR. Position of the data protection officer

1. 컨트롤러 및 프로세서는 데이터보호담당관이 개인정보 보호와 관련된 모든 문제에 적절하고 시의 적절하게 관여하도록 해야 한다.

1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.

2. 컨트롤러 및 프로세서는 데이터보호담당관이 제39조의 업무를 수행하고 개인정보 및 처리 작업을 열람하며 전문지식을 유지하는 데 필요한 자원을 제공함으로써 그의 업무 수행을 지원해야 한다.

2. The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.

관련 교과서

3. 컨트롤러 또는 프로세서는 데이터보호담당관이 그 업무의 수행에 있어 어떠한 지시도 받지 않도록 보장해야 한다. 데이터보호담당관은 본인의 업무 수행을 이유로 컨트롤러나 프로세서에 의해 해임 또는 처벌받아서는 안 된다. 데이터보호담당관은 컨트롤러 또는 프로세서의 최고 경영진에게 직접 보고해야 한다.

3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.

관련 교과서

4. 정보주체는 본인의 개인정보 처리 및 본 규정에 따른 권리 행사와 관련한 모든 사안에 관해 데이터보호담당관에 연락을 취할 수 있다.

4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.

5. 데이터보호담당관은 유럽연합이나 회원국 법률에 따라 본인의 업무 수행에 관해 비밀 또는 기밀유지의 의무를 준수해야 한다.

5. The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 5(1)(f) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.

 


전체 텍스트에 액세스하려면

6. 데이터보호담당관은 기타 업무 및 직무를 수행할 수 있다. 컨트롤러나 프로세서는 이러한 업무 및 직무가 이해의 상충을 초래하지 않도록 해야 한다.

6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.

관련 교과서
전문가 해설 ISO 27701 전문 (Recitals) 지침 및 사례 법률 코멘트를 남겨주세요
전문가 해설

(EN) Article 38 describes the specifics of the position of the Data Protection Officer (DPO). In particular, the emphasis is on the fact that DPO performs its work independently, while the responsibility for their timely and quality performance lies partly with the company itself (the controller or processor). Therefore, the text emphasizes that the company provides DPO with the necessary resources and access on the one hand, and is responsible for the independence of the DPO, not having the right to give them any instructions on the other.

In order to provide DPO with support, the company is recommended to ensure the following:

  • DPO is actively and timely involved in all data protection issues; DPO is invited to participate regularly in senior and middle management meetings when decisions with data protection implications are being made


전체 텍스트에 액세스하려면

(EN) Author
(EN) Maria Arnst CIPM, TÜV
(EN) GDPR Consultant
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 38 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


전체 텍스트에 액세스하려면

전문 (Recitals)

(97) 법원이나 독립적 사법기관이 사법적 권한에 따라 (정보)처리를 하는 경우를 제외한, 공공기관이 처리를 수행하는 경우, 민간부문에서 정보주체에 대해 주기적이고 체계적인 모니터링을 대규모로 필요로 하는 처리작업이 핵심활동인 컨트롤러가 (정보)처리를 하는 경우, 혹은 컨트롤러나 프로세서의 핵심활동이 특별 범주의 개인정보나 형사기소 및 범죄에 관련된 개인정보를 대규모로 처리 하는 경우, 개인정보보호법 및 개인정보보호 방침에 대해 전문적인 지식을 가진 자는 동 규정이 내부적으로 지켜지고 있는지 모니터링하기 위해 컨트롤러나 프로세서를 도와야 한다. 민간 부문에서의 컨트롤러 핵심 활동(core activities)은 주요 활동(primary activities)과 관련되며 보조적인 활동으로써의 개인정보처리와는 관련이 없다. 이 때 필요한 전문적 지식의 수준은, 컨트롤러나 프로세서가 수행하는 정보처리 작업과 이들이 처리한 개인정보에 필요한 보호에 따라 특히 결정되어야 한다. 데이터보호담당관(data protection officer; DPO)은 컨트롤러에 의해 고용되었는지 여부와는 관계없이, 독립적으로 본인의 업무와 임무를 수행해야 한다.

(97) Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner.

지침 및 사례 법률 코멘트를 남겨주세요
[js-disqus]