CIPM 문제 56

일반 데이터 보호 규정(GDPR)은 특정 위반 행위에 대해 데이터 관리자에게 부과될 수 있는 벌금을 명시하고 있습니다. 다음 중 최대 1,000만 유로의 행정 벌금 또는 기업의 경우 직전 회계연도의 전 세계 총 매출액의 최대 2%에 해당하는 벌금이 부과될 수 있는 것은 무엇입니까?

CIPM 문제 57

미국 연방 법률 중 어떤 법률이 금융 기관에게 개인 데이터 수집 관행을 공개하도록 요구합니까?

CIPM 문제 58

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
리처드 맥애덤스는 최근 로스쿨을 졸업하고 버지니아주 렉싱턴이라는 작은 마을로 돌아와 연로하신 할아버지의 법률 사무소를 돕기로 했습니다. 할아버지는 손자가 완전히 은퇴하면 사무소를 물려받기를 바라며 업무에서 부담을 줄이고 싶어 하셨습니다. 맥애덤스 씨는 리처드를 고용한 것 외에도 법률 보조원 두 명, 행정 비서 한 명, 그리고 기본적인 네트워크 관련 업무를 담당하는 파트타임 IT 전문가 한 명을 채용했습니다. 리처드가 자리를 잡고 사무소의 성장 전략을 검토한 후에는 더 많은 직원을 고용할 계획입니다.
도착하자마자 리처드는 사무실 현대화, 특히 고객 개인 정보 관리 측면에서 해야 할 일이 산더미 같다는 사실에 놀랐습니다. 그의 첫 번째 목표는 서류 캐비닛에 보관된 모든 기록을 디지털화하는 것입니다. 많은 문서에 개인 식별이 가능한 금융 및 의료 정보가 포함되어 있기 때문입니다. 또한 리처드는 행정 보조원이 하루 종일 엄청난 양의 복사 작업을 하는 것을 목격했습니다. 이는 서류 캐비닛에 쌓이는 파일 수를 늘릴 뿐만 아니라, 공식적인 정책이 마련되지 않으면 보안 문제를 야기할 수 있습니다. 리처드는 건물을 자주 드나드는 고객들이 쉽게 볼 수 있는 곳에 위치한 공용 복사기/프린터의 과도한 사용에도 우려를 표했습니다. 모든 직원이 같은 팩스기를 사용하는 것 역시 문제였습니다. 리처드는 개인 정보의 보안을 최대한 강화하기 위해 팩스 사용량을 대폭 줄이고, 연말까지 인터넷 팩스 사용을 엄격하게 제한하는 정책을 도입하고자 합니다.
리처드는 할아버지에게 자신의 우려를 표명했고, 할아버지는 데이터 저장 방식, 데이터 보안, 그리고 모든 측면에서 개인 정보 보호를 강화하는 전반적인 접근 방식을 개선해야 한다는 데 동의했습니다. 맥애덤스 씨는 리처드에게 그렇게 할 수 있는 자유와 권한을 부여했습니다. 이제 리처드는 변호사로서의 경력을 시작할 뿐만 아니라, 소규모 로펌의 개인정보보호 책임자 역할도 수행하고 있습니다. 리처드는 다음 날 IT 직원과 만나 사무실 컴퓨터 시스템이 현재 어떻게 구축되고 관리되는지 알아볼 계획입니다.
리처드는 데이터 수명주기 관리(DLM)에 대해 더 자세히 조사하면서, 로펌이 데이터 유출 위험을 줄일 수 있는 방법이 무엇인지 알게 됩니다.

CIPM 문제 59

대본
다음 질문에 답하실 때 아래 내용을 참고해 주십시오.
콘솔리데이티드 레코드 코퍼레이션의 데이터 보호 책임자로서, 당신은 지금까지 이뤄낸 성과에 당연히 만족하고 계실 것입니다. 당신은 비교적 경미한 데이터 유출 사고들이 잇따라 발생한 후 규제 기관으로부터 경고를 받은 뒤 채용되었습니다. 다행히도, 당신은 회사에 재직한 3년 동안 보고할 만한 사고를 단 한 건도 경험하지 못했습니다. 오히려 당신은 자신의 데이터 보호 프로그램을 데이터 저장 업계의 다른 기업들이 자체 프로그램 개발에 참고할 만한 모범 사례로 여기고 있습니다.
당신은 Consolidated에서 뒤죽박죽 섞인 정책과 절차들을 바로잡는 프로그램을 시작했고, 부서 간 및 운영 전반에 걸쳐 일관성을 확보하기 위해 노력했습니다. 그 과정에서 프로그램 책임자인 운영 담당 부사장과 변화의 필요성을 명확히 인식하고 있던 개인정보보호팀의 도움을 받았습니다.
처음에 당신의 업무는 경영진과 데이터 처리 및 고객 응대를 담당하는 현장 직원들을 포함한 회사 내 "기득권층"으로부터 별다른 신뢰나 열의를 얻지 못했습니다. 하지만 발생한 데이터 유출 사고로 인한 비용뿐만 아니라 현재 운영 상태를 고려했을 때 쉽게 발생할 수 있는 예상 비용까지 보여주는 지표를 활용하자, 곧 경영진과 주요 의사 결정권자들의 지지를 얻을 수 있었습니다. 다른 직원들은 다소 저항적이었지만, 각 부서와의 대면 회의와 기본 개인정보 보호 교육 프로그램 개발을 통해 적절한 절차를 마련하는 데 필요한 충분한 동의를 얻을 수 있었습니다.
이제 개인정보 보호는 개인정보 또는 보호 대상 데이터를 다루는 모든 현행 업무에서 필수적인 요소로 자리 잡았으며, 모든 기술 개발 과정의 최종 결과물에 반드시 포함되어야 합니다. 귀하의 접근 방식은 체계적이지는 않지만 상당히 효과적입니다.
당신은 다음과 같은 생각에 잠기게 됩니다:
데이터 유출 방지 프로그램을 넘어 프로그램을 유지하고 발전시키려면 어떻게 해야 할까요? 성공을 발판으로 삼아 더 나아가려면 어떻게 해야 할까요?
다음 조치 단계는 무엇입니까?
어떤 방식이 프로그램 책임자에게 법률, 규정 및 업계 모범 사례 준수 여부를 가장 철저하게 점검할 수 있는 방법을 제공할까요?

CIPM 문제 60

조직 내 개인정보보호 전문가가 개인정보보호 강화 기술(PET)과 관련하여 누구와 상담하는 것이 가장 좋을까요?