CIPP-C 문제 41
대본
캐나다 온타리오 주 손 베이에 있는 베리 컨트리 지역 의료 센터에서 개인 정보 보호 및 규정 준수 책임자로 일했던 첫 2년을 돌이켜보면 최첨단 시뮬레이션 기반 교육 개발을 통해 달성한 행진을 볼 수 있습니다. 직원은 물론 환자도 접근할 수 있는 대화형 의료 기록 시스템을 구축하기 위해 개인 정보 보호에 관한 직원을 대상으로 합니다. 그러나 이제 귀하가 미루어 놓은 질문이 크게 떠올랐습니다. 최근에 생성된 기록뿐만 아니라 몇 년 전에 아직 보유하고 있는 모든 데이터를 어떻게 관리합니까? 작년에 생성된 데이터 흐름도는 여러 서버, 데이터베이스 및 워크스테이션을 보여줍니다. 이들 중 다수는 새 기록 시스템에 아직 통합되지 않은 파일을 보유하고 있습니다. 이 데이터의 대부분은 암호화되어 있지만 지속성으로 인해 보안 및 규정 준수 문제가 발생할 수 있습니다. 환자 정보를 사용하여 의료진이 수행하는 여러 장기 연구가 상황을 더욱 복잡하게 만듭니다. 최근에 주요 캐나다 개인 정보 보호 규정을 검토한 후 의료 센터가 이를 준수하는지 확인하고 싶습니다.
당신은 또한 최근에 현대 시설 옆에 있는 오래된 병원 지하에 있는 "더 던전"이라고 불리는 기록 보관 섹션을 방문한 것을 기억합니다. 그곳에서 수많은 종이 기록을 발견했습니다. 이들 중 일부는 연도, 건강 상태 또는 환자 이름이 알파벳순으로 표시된 상자에 들어 있었고, 나머지는 구분되지 않은 묶음으로 선반과 바닥에 있었습니다. 섹션의 뒷 선반에는 레이블이 없는 경우가 많았지만 몇 년은 된 것처럼 보이는 데이터 테이프와 오래된 하드 드라이브가 있었습니다. 던전을 빠져나오면서, 당신은 당신의 바로 앞에서 당신이 알아보지 못한 실험복을 입은 작은 남자를 발견했습니다. 그는 팔 아래에 폴더 묶음을 들고 있었는데, 이는 그가 보관소에서 제거한 것으로 보이는 기록입니다.
이 온타리오 의료 센터에서 가장 주의를 기울여야 하는 데이터 수명 주기 단계는 무엇입니까?
캐나다 온타리오 주 손 베이에 있는 베리 컨트리 지역 의료 센터에서 개인 정보 보호 및 규정 준수 책임자로 일했던 첫 2년을 돌이켜보면 최첨단 시뮬레이션 기반 교육 개발을 통해 달성한 행진을 볼 수 있습니다. 직원은 물론 환자도 접근할 수 있는 대화형 의료 기록 시스템을 구축하기 위해 개인 정보 보호에 관한 직원을 대상으로 합니다. 그러나 이제 귀하가 미루어 놓은 질문이 크게 떠올랐습니다. 최근에 생성된 기록뿐만 아니라 몇 년 전에 아직 보유하고 있는 모든 데이터를 어떻게 관리합니까? 작년에 생성된 데이터 흐름도는 여러 서버, 데이터베이스 및 워크스테이션을 보여줍니다. 이들 중 다수는 새 기록 시스템에 아직 통합되지 않은 파일을 보유하고 있습니다. 이 데이터의 대부분은 암호화되어 있지만 지속성으로 인해 보안 및 규정 준수 문제가 발생할 수 있습니다. 환자 정보를 사용하여 의료진이 수행하는 여러 장기 연구가 상황을 더욱 복잡하게 만듭니다. 최근에 주요 캐나다 개인 정보 보호 규정을 검토한 후 의료 센터가 이를 준수하는지 확인하고 싶습니다.
당신은 또한 최근에 현대 시설 옆에 있는 오래된 병원 지하에 있는 "더 던전"이라고 불리는 기록 보관 섹션을 방문한 것을 기억합니다. 그곳에서 수많은 종이 기록을 발견했습니다. 이들 중 일부는 연도, 건강 상태 또는 환자 이름이 알파벳순으로 표시된 상자에 들어 있었고, 나머지는 구분되지 않은 묶음으로 선반과 바닥에 있었습니다. 섹션의 뒷 선반에는 레이블이 없는 경우가 많았지만 몇 년은 된 것처럼 보이는 데이터 테이프와 오래된 하드 드라이브가 있었습니다. 던전을 빠져나오면서, 당신은 당신의 바로 앞에서 당신이 알아보지 못한 실험복을 입은 작은 남자를 발견했습니다. 그는 팔 아래에 폴더 묶음을 들고 있었는데, 이는 그가 보관소에서 제거한 것으로 보이는 기록입니다.
이 온타리오 의료 센터에서 가장 주의를 기울여야 하는 데이터 수명 주기 단계는 무엇입니까?
CIPP-C 문제 42
GDPR은 특정 위반에 대해 데이터 컨트롤러에 부과될 수 있는 벌금을 지정합니다. 다음 위반 사항 중 최대 1,000만 유로(또는 사업의 경우 이전 회계 연도의 전 세계 연간 매출의 최대 2%)의 덜 심각한 행정 벌금이 부과되는 것은 무엇입니까?
CIPP-C 문제 43
GDPR의 9조는 생체 인식 데이터 처리에 대한 일반적인 금지에 대한 예외를 나열합니다. 다음 중 이러한 예외가 아닌 것은 무엇입니까?
CIPP-C 문제 44
대본
다음 질문에 답하려면 다음을 사용하십시오.
Building Block Inc.는 시카고에 본사를 두고 있으며 미국, 아시아 및 유럽(독일, 이탈리아, 프랑스 및 포르투갈 포함)에 지사를 두고 있는 다국적 기업입니다. 작년에 이 회사는 심각한 데이터 유출로 이어진 피싱 공격의 피해자였습니다. 집행 위원회는 총괄 관리자, 개인 정보 보호 사무소 및 정보 보안 팀과 협력하여 추가 보안 조치를 채택하기로 결정했습니다. 여기에는 교육 인식 프로그램, 사이버 보안 감사, SecurityScan이라는 새로운 소프트웨어 도구 사용이 포함됩니다. 이 도구는 직원의 컴퓨터를 스캔하여 공급업체에서 더 이상 지원하지 않아 보안 업데이트를 받지 못하는 소프트웨어가 있는지 확인합니다. 그러나 이 소프트웨어는 직원의 컴퓨터 모니터링을 비롯한 다른 기능도 제공합니다.
이러한 조치가 직원에게 잠재적으로 영향을 미칠 수 있으므로 Building Block의 개인정보 보호국은 회사가 정보 보안을 강화하고 향후 데이터 침해를 방지하기 위한 일련의 계획을 시행할 것임을 나타내는 일반 공지를 모든 직원에게 발행하기로 결정했습니다.
이러한 조치를 시행한 후 서버 성능이 저하되었습니다. 총괄 관리자는 SecurityScan을 사용하여 직원의 컴퓨터 활동과 위치를 모니터링하는 방법에 대해 보안 팀에 지시했습니다.
이러한 활동을 하는 동안 정보 보안 팀은 이탈리아의 한 직원이 매일 영화 비디오 라이브러리에 연결하고 있고 독일의 다른 직원은 승인 없이 원격으로 작업하고 있음을 발견했습니다. 보안팀은 이러한 사건을 개인정보 보호실과 총책임자에게 보고했습니다. 그들의 보고서에서 팀은 이탈리아에서 온 직원이 서버 성능이 저하된 원인이라고 결론지었습니다.
이러한 침해의 심각성으로 인해 회사의 보안 및 개인 정보 보호 정책에서 직원이 회사 컴퓨터에 소프트웨어를 설치하고 승인 없이 원격으로 일하는 것을 금지했기 때문에 회사는 두 직원에 대해 징계 조치를 취하기로 결정했습니다.
모니터링 목적, 데이터의 잠재적 사용 및 개인 정보 보호 권리에 대해 직원에게 알리는 것 외에도 빌딩 블록은 보안 조치를 구현하기 전에 직원에게 어떤 정보를 제공해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Building Block Inc.는 시카고에 본사를 두고 있으며 미국, 아시아 및 유럽(독일, 이탈리아, 프랑스 및 포르투갈 포함)에 지사를 두고 있는 다국적 기업입니다. 작년에 이 회사는 심각한 데이터 유출로 이어진 피싱 공격의 피해자였습니다. 집행 위원회는 총괄 관리자, 개인 정보 보호 사무소 및 정보 보안 팀과 협력하여 추가 보안 조치를 채택하기로 결정했습니다. 여기에는 교육 인식 프로그램, 사이버 보안 감사, SecurityScan이라는 새로운 소프트웨어 도구 사용이 포함됩니다. 이 도구는 직원의 컴퓨터를 스캔하여 공급업체에서 더 이상 지원하지 않아 보안 업데이트를 받지 못하는 소프트웨어가 있는지 확인합니다. 그러나 이 소프트웨어는 직원의 컴퓨터 모니터링을 비롯한 다른 기능도 제공합니다.
이러한 조치가 직원에게 잠재적으로 영향을 미칠 수 있으므로 Building Block의 개인정보 보호국은 회사가 정보 보안을 강화하고 향후 데이터 침해를 방지하기 위한 일련의 계획을 시행할 것임을 나타내는 일반 공지를 모든 직원에게 발행하기로 결정했습니다.
이러한 조치를 시행한 후 서버 성능이 저하되었습니다. 총괄 관리자는 SecurityScan을 사용하여 직원의 컴퓨터 활동과 위치를 모니터링하는 방법에 대해 보안 팀에 지시했습니다.
이러한 활동을 하는 동안 정보 보안 팀은 이탈리아의 한 직원이 매일 영화 비디오 라이브러리에 연결하고 있고 독일의 다른 직원은 승인 없이 원격으로 작업하고 있음을 발견했습니다. 보안팀은 이러한 사건을 개인정보 보호실과 총책임자에게 보고했습니다. 그들의 보고서에서 팀은 이탈리아에서 온 직원이 서버 성능이 저하된 원인이라고 결론지었습니다.
이러한 침해의 심각성으로 인해 회사의 보안 및 개인 정보 보호 정책에서 직원이 회사 컴퓨터에 소프트웨어를 설치하고 승인 없이 원격으로 일하는 것을 금지했기 때문에 회사는 두 직원에 대해 징계 조치를 취하기로 결정했습니다.
모니터링 목적, 데이터의 잠재적 사용 및 개인 정보 보호 권리에 대해 직원에게 알리는 것 외에도 빌딩 블록은 보안 조치를 구현하기 전에 직원에게 어떤 정보를 제공해야 합니까?
CIPP-C 문제 45
대본
WebTracker Limited는 런던에 위치한 클라우드 기반 온라인 마케팅 서비스입니다. 작년에 WebTracker는 IT 인프라를 클라우드 제공업체 AmaZure로 마이그레이션했습니다. AmaZure는 WebTracker에 SQL 데이터베이스 및 인공 지능 서비스를 제공합니다. 두 회사 간의 역할과 책임은 WebTracker에 데이터 컨트롤러의 역할을 할당하는 것을 포함하는 표준 계약으로 공식화되었습니다.
WebTracker의 CEO인 Mr. Bond는 AmaZure의 개인 정보 보호 제어의 효율성을 평가하고 싶어하며 최근 귀하를 독립 감사인으로 고용하기로 결정했습니다. 참여 범위는 WebTracker에서 제공하는 마케팅 서비스로만 제한되며 HR 또는 급여와 같은 내부 데이터 처리 활동을 평가하지 않습니다.
이 임시 감사는 WebTracker와 SmartHome 간의 미래 파트너십(데이터 공유가 필요하지 않은 파트너십)으로 인해 트리거되었습니다. SmartHome은 미국에 기반을 두고 있으며 가장 최근에는 DNA 정보를 기반으로 일일 권장 칼로리 섭취량을 제안할 수 있는 스마트 냉장고 개발에 상당한 자원을 투입했습니다. 이 데이터와 기타 개인 데이터는 WebTracker에서 수집합니다.
관련된 작업 범위에 대한 아이디어를 얻기 위해 회사 문서를 검토하고 잠재적인 개인 정보 위험을 이해하기 위해 주요 직원을 인터뷰하기로 결정했습니다.
이 초기 작업의 결과에는 다음 메모가 포함됩니다.
* WebTracker의 현재 개인정보 보호정책에 오타가 여러 개 있으며 SmartHome에 대한 개인정보 보호정책을 찾을 수 없습니다.
* SmartHome에서 작동하는 모든 하위 프로세서를 식별할 수 없습니다. 클라우드 인프라의 지원 및 유지 관리를 담당하는 AmaZure와의 클라우드 계약에는 하청업체가 명시되어 있지 않습니다.
* HR 시스템의 인터페이스를 포함하여 WebTracker의 내부 직원으로부터 수집되는 개인 데이터를 나타내는 데이터 흐름이 있습니다.
* WebTracker가 수집한 DNA 데이터 중 일부는 WebTracker의 CEO가 승인한 프로토타입으로 직원들로부터 얻은 것입니다.
* 모든 WebTracker 및 SmartHome 고객은 미국과 캐나다에 있습니다.
다음 중 WebTracker의 최고 개인 정보 보호 책임자(CPO)의 조사가 필요한 문제는 무엇입니까?
WebTracker Limited는 런던에 위치한 클라우드 기반 온라인 마케팅 서비스입니다. 작년에 WebTracker는 IT 인프라를 클라우드 제공업체 AmaZure로 마이그레이션했습니다. AmaZure는 WebTracker에 SQL 데이터베이스 및 인공 지능 서비스를 제공합니다. 두 회사 간의 역할과 책임은 WebTracker에 데이터 컨트롤러의 역할을 할당하는 것을 포함하는 표준 계약으로 공식화되었습니다.
WebTracker의 CEO인 Mr. Bond는 AmaZure의 개인 정보 보호 제어의 효율성을 평가하고 싶어하며 최근 귀하를 독립 감사인으로 고용하기로 결정했습니다. 참여 범위는 WebTracker에서 제공하는 마케팅 서비스로만 제한되며 HR 또는 급여와 같은 내부 데이터 처리 활동을 평가하지 않습니다.
이 임시 감사는 WebTracker와 SmartHome 간의 미래 파트너십(데이터 공유가 필요하지 않은 파트너십)으로 인해 트리거되었습니다. SmartHome은 미국에 기반을 두고 있으며 가장 최근에는 DNA 정보를 기반으로 일일 권장 칼로리 섭취량을 제안할 수 있는 스마트 냉장고 개발에 상당한 자원을 투입했습니다. 이 데이터와 기타 개인 데이터는 WebTracker에서 수집합니다.
관련된 작업 범위에 대한 아이디어를 얻기 위해 회사 문서를 검토하고 잠재적인 개인 정보 위험을 이해하기 위해 주요 직원을 인터뷰하기로 결정했습니다.
이 초기 작업의 결과에는 다음 메모가 포함됩니다.
* WebTracker의 현재 개인정보 보호정책에 오타가 여러 개 있으며 SmartHome에 대한 개인정보 보호정책을 찾을 수 없습니다.
* SmartHome에서 작동하는 모든 하위 프로세서를 식별할 수 없습니다. 클라우드 인프라의 지원 및 유지 관리를 담당하는 AmaZure와의 클라우드 계약에는 하청업체가 명시되어 있지 않습니다.
* HR 시스템의 인터페이스를 포함하여 WebTracker의 내부 직원으로부터 수집되는 개인 데이터를 나타내는 데이터 흐름이 있습니다.
* WebTracker가 수집한 DNA 데이터 중 일부는 WebTracker의 CEO가 승인한 프로토타입으로 직원들로부터 얻은 것입니다.
* 모든 WebTracker 및 SmartHome 고객은 미국과 캐나다에 있습니다.
다음 중 WebTracker의 최고 개인 정보 보호 책임자(CPO)의 조사가 필요한 문제는 무엇입니까?