CIPP-C 문제 51
대본
다음 질문에 답하려면 다음을 사용하십시오.
Matt는 어느 날 저녁 아들의 침실에 들어가 침대에 누워 노트북으로 타이핑을 하고 있는 아들을 발견했습니다. "네트워크 작업을 하고 있습니까?" Matt는 희망적으로 물었다.
"아니." 소년이 말했다. "저는 설문조사를 작성하고 있습니다."
Matt는 아들의 어깨 너머로 컴퓨터 화면을 바라보았습니다. "어떤 설문조사요?" "내 의견을 묻는 것입니다."
"나 좀 보자." 맷이 말했고 그의 아들이 이미 답한 질문 목록을 읽기 시작했습니다. "정부와 시민권에 대한 당신의 의견을 묻는 것입니다. 조금 이상합니다. 당신은 겨우 10살입니다." Matt는 설문조사에 대한 웹 링크가 아들의 이메일 받은 편지함에 어떻게 들어왔는지 궁금했습니다. 메시지가 실수로 아들에게 전송되었을 수도 있다고 생각한 그는 그것을 열어 읽었습니다. 리더십 프로젝트라는 단체에서 나온 것으로 내용과 그래픽은 어린이를 대상으로 한 것으로 나타났습니다. Matt가 더 읽어보면서 그는 설문조사에 응한 아이들이 유명한 지도자에 관한 시리즈의 첫 번째 책에서 우승하기 위해 자동으로 콘테스트에 등록된다는 것을 알게 되었습니다.
Matt에게 이것은 분명히 어린이들에게 상품과 서비스를 권유하기 위한 마케팅 책략처럼 보였습니다. 그는 아들에게 설문 조사에 참여하기 위해 자신에 대한 정보를 제공하라는 메시지를 받았는지 물었습니다. 그의 아들은 그에게 이름, 주소, 전화번호, 생년월일을 알려주고 그가 가장 좋아하는 게임과 장난감에 대한 질문에 대답하라는 요청을 받았다고 말했습니다.
맷은 걱정했다. 그는 마케팅 담당자가 그러한 방식으로 아들로부터 정보를 수집하는 것이 합법적인지 의심했습니다. 그런 다음 그는 아들의 받은 편지함에서 어린이용 제품을 광고하는 마케팅 담당자의 다른 여러 상업 이메일을 발견했고, 이제 해당 사건을 적절한 당국에 보고할 때라고 결정했습니다.
마케터가 COPPA "세이프 하버" 요구 사항을 충족하기 위해 개인 정보 관리 프로그램을 가장 잘 변경할 수 있었던 방법은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
Matt는 어느 날 저녁 아들의 침실에 들어가 침대에 누워 노트북으로 타이핑을 하고 있는 아들을 발견했습니다. "네트워크 작업을 하고 있습니까?" Matt는 희망적으로 물었다.
"아니." 소년이 말했다. "저는 설문조사를 작성하고 있습니다."
Matt는 아들의 어깨 너머로 컴퓨터 화면을 바라보았습니다. "어떤 설문조사요?" "내 의견을 묻는 것입니다."
"나 좀 보자." 맷이 말했고 그의 아들이 이미 답한 질문 목록을 읽기 시작했습니다. "정부와 시민권에 대한 당신의 의견을 묻는 것입니다. 조금 이상합니다. 당신은 겨우 10살입니다." Matt는 설문조사에 대한 웹 링크가 아들의 이메일 받은 편지함에 어떻게 들어왔는지 궁금했습니다. 메시지가 실수로 아들에게 전송되었을 수도 있다고 생각한 그는 그것을 열어 읽었습니다. 리더십 프로젝트라는 단체에서 나온 것으로 내용과 그래픽은 어린이를 대상으로 한 것으로 나타났습니다. Matt가 더 읽어보면서 그는 설문조사에 응한 아이들이 유명한 지도자에 관한 시리즈의 첫 번째 책에서 우승하기 위해 자동으로 콘테스트에 등록된다는 것을 알게 되었습니다.
Matt에게 이것은 분명히 어린이들에게 상품과 서비스를 권유하기 위한 마케팅 책략처럼 보였습니다. 그는 아들에게 설문 조사에 참여하기 위해 자신에 대한 정보를 제공하라는 메시지를 받았는지 물었습니다. 그의 아들은 그에게 이름, 주소, 전화번호, 생년월일을 알려주고 그가 가장 좋아하는 게임과 장난감에 대한 질문에 대답하라는 요청을 받았다고 말했습니다.
맷은 걱정했다. 그는 마케팅 담당자가 그러한 방식으로 아들로부터 정보를 수집하는 것이 합법적인지 의심했습니다. 그런 다음 그는 아들의 받은 편지함에서 어린이용 제품을 광고하는 마케팅 담당자의 다른 여러 상업 이메일을 발견했고, 이제 해당 사건을 적절한 당국에 보고할 때라고 결정했습니다.
마케터가 COPPA "세이프 하버" 요구 사항을 충족하기 위해 개인 정보 관리 프로그램을 가장 잘 변경할 수 있었던 방법은 무엇입니까?
CIPP-C 문제 52
대본
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다.
B사는 상당한 규모의 고객 기반과 업계에서 확고한 평판을 가진 확립된 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여 번호
* 국민보험번호
* 병가 수당
* 출산/육아 수당
* 휴가 자격 일
* 연금 및 복리후생 기여금
* 노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다. 그녀는 먼저 회사 A가 새로운 근태 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 책임자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, Company A와 여전히 계약을 맺고 있는 동안 Company B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 Company C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 서신을 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다.
B사는 상당한 규모의 고객 기반과 업계에서 확고한 평판을 가진 확립된 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여 번호
* 국민보험번호
* 병가 수당
* 출산/육아 수당
* 휴가 자격 일
* 연금 및 복리후생 기여금
* 노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다. 그녀는 먼저 회사 A가 새로운 근태 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 책임자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, Company A와 여전히 계약을 맺고 있는 동안 Company B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 Company C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 서신을 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
CIPP-C 문제 53
텔레마케팅 판매 규칙을 준수해야 하는 법인은 무엇입니까?
CIPP-C 문제 54
공정 신용 보고법(FCRA)에 따라 신용 기록에 따라 고용이 거부된 사람은 무엇을 받아야 합니까?
CIPP-C 문제 55
다음 중 HIPAA 개인 정보 보호 규칙에 따른 승인 요구 사항에 대한 예외가 아닌 것은 무엇입니까?