CIPP-E 문제 22
대본
다음 질문에 답하려면 다음을 사용하십시오.
Javier는 피트니스 클럽 EVERFIT의 회원입니다. 이 회사는 많은 EU 회원국에 지사를 두고 있지만 GDPR의 목적을 위해 프랑스에 기본 설립을 유지합니다. Javier는 북아일랜드(영국의 일부) 뉴리에 거주하며 아일랜드 던독에서 일하기 위해 국경을 넘어 통근합니다. 2년 전 출장을 갔을 때 Javier는 독일 프랑크푸르트에 있는 EVERFIT 지점에서 운동을 하던 중 사진을 찍었습니다. 당시 Javier는 사진이 판촉용으로만 사용될 것이라는 말을 듣고 사진에 포함되는 데 동의했습니다. 그 이후로 이 사진은 클럽의 영국 브로셔에 사용되었으며 영국 웹사이트의 랜딩 페이지에 실렸습니다. 하지만, 피트니스 클럽은 최근 여러 EU 회원국에서 클럽의 여러 지점에서 회원에 대한 광범위한 학대로 인해 평판이 좋지 않았습니다. 결과적으로 Javier는 더 이상 자신의 사진이 피트니스 클럽과 공개적으로 연관되는 것을 불편해합니다.
이 문제에 대해 논의하기 위해 지역 지점의 관리자와 약속을 잡으려는 시도가 여러 번 실패한 후 Javier는 웹사이트와 모든 판촉 자료에서 자신의 이미지를 제거하도록 요청하는 편지를 EVETFIT에 보냅니다. 몇 달이 지나고 그의 요청을 수락하지 않은 Javier는 이 문제에 대해 매우 걱정하게 됩니다. 다른 채널을 통해 EVETFIT에 여러 번 연락하지 못한 후 그는 회사에 대해 조치를 취하기로 결정합니다.
Javier는 이 문제에 대해 불만을 제기하기 위해 UK Information Commissioner's Office('ICO' - 영국 감독 기관)에 연락합니다. ICO는 GDPR 56(3)조에 따라 CNIL(즉, EVERFIT 주요 시설의 감독 기관)에 이 문제를 알립니다. EVERFIT가 영국에 설립되어 있음에도 불구하고 CNIL은 GDPR 제60조에 따라 사건을 처리하기로 결정했습니다.
CNIL은 협력 절차와 관련하여 ICO와 연락합니다. 결정에 도달하기 위한 감독 기관 간의 문제에 비추어 유럽 데이터 보호 위원회가 참여하고 일관성 메커니즘에 따라 구속력 있는 결정을 내립니다.
또한 Javier는 브로셔와 웹사이트에서 자신의 사진을 삭제해 달라는 그의 요청을 이행하지 않아 발생한 손해에 대해 EVERFIT를 고소했습니다.
협력 메커니즘에서 주도 기관(CNIL)은 문제에 대한 견해를 형성한 후 무엇을 해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Javier는 피트니스 클럽 EVERFIT의 회원입니다. 이 회사는 많은 EU 회원국에 지사를 두고 있지만 GDPR의 목적을 위해 프랑스에 기본 설립을 유지합니다. Javier는 북아일랜드(영국의 일부) 뉴리에 거주하며 아일랜드 던독에서 일하기 위해 국경을 넘어 통근합니다. 2년 전 출장을 갔을 때 Javier는 독일 프랑크푸르트에 있는 EVERFIT 지점에서 운동을 하던 중 사진을 찍었습니다. 당시 Javier는 사진이 판촉용으로만 사용될 것이라는 말을 듣고 사진에 포함되는 데 동의했습니다. 그 이후로 이 사진은 클럽의 영국 브로셔에 사용되었으며 영국 웹사이트의 랜딩 페이지에 실렸습니다. 하지만, 피트니스 클럽은 최근 여러 EU 회원국에서 클럽의 여러 지점에서 회원에 대한 광범위한 학대로 인해 평판이 좋지 않았습니다. 결과적으로 Javier는 더 이상 자신의 사진이 피트니스 클럽과 공개적으로 연관되는 것을 불편해합니다.
이 문제에 대해 논의하기 위해 지역 지점의 관리자와 약속을 잡으려는 시도가 여러 번 실패한 후 Javier는 웹사이트와 모든 판촉 자료에서 자신의 이미지를 제거하도록 요청하는 편지를 EVETFIT에 보냅니다. 몇 달이 지나고 그의 요청을 수락하지 않은 Javier는 이 문제에 대해 매우 걱정하게 됩니다. 다른 채널을 통해 EVETFIT에 여러 번 연락하지 못한 후 그는 회사에 대해 조치를 취하기로 결정합니다.
Javier는 이 문제에 대해 불만을 제기하기 위해 UK Information Commissioner's Office('ICO' - 영국 감독 기관)에 연락합니다. ICO는 GDPR 56(3)조에 따라 CNIL(즉, EVERFIT 주요 시설의 감독 기관)에 이 문제를 알립니다. EVERFIT가 영국에 설립되어 있음에도 불구하고 CNIL은 GDPR 제60조에 따라 사건을 처리하기로 결정했습니다.
CNIL은 협력 절차와 관련하여 ICO와 연락합니다. 결정에 도달하기 위한 감독 기관 간의 문제에 비추어 유럽 데이터 보호 위원회가 참여하고 일관성 메커니즘에 따라 구속력 있는 결정을 내립니다.
또한 Javier는 브로셔와 웹사이트에서 자신의 사진을 삭제해 달라는 그의 요청을 이행하지 않아 발생한 손해에 대해 EVERFIT를 고소했습니다.
협력 메커니즘에서 주도 기관(CNIL)은 문제에 대한 견해를 형성한 후 무엇을 해야 합니까?
CIPP-E 문제 23
노트북이나 하드카피 파일에 포함된 정보와 같이 물리적 형태로 존재하는 개인 데이터에는 어떤 상황에서 GDPR이 적용됩니까?
CIPP-E 문제 24
GDPR의 9조는 생체 인식 데이터 처리에 대한 일반적인 금지에 대한 예외를 나열합니다. a. 다음 중 이러한 예외가 아닌 것은 무엇입니까?
CIPP-E 문제 25
대본
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다.
B사는 상당한 규모의 고객 기반과 업계에서 확고한 평판을 가진 확립된 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여 번호
* 국민보험번호
* 병가 수당
* 출산/육아 수당
* 휴가 자격 일
* 연금 및 복리후생 기여금
* 노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다.
그녀는 먼저 회사 A가 새로운 근태 관리 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 책임자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, Company A와 여전히 계약을 맺고 있는 동안 Company B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 Company C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 서신을 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다.
B사는 상당한 규모의 고객 기반과 업계에서 확고한 평판을 가진 확립된 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여 번호
* 국민보험번호
* 병가 수당
* 출산/육아 수당
* 휴가 자격 일
* 연금 및 복리후생 기여금
* 노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다.
그녀는 먼저 회사 A가 새로운 근태 관리 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 책임자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, Company A와 여전히 계약을 맺고 있는 동안 Company B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 Company C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 서신을 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
CIPP-E 문제 26
대본
다음 질문에 답하려면 다음을 사용하십시오.
Building Block Inc.는 시카고에 본사를 두고 있으며 미국, 아시아 및 유럽(독일, 이탈리아, 프랑스 및 포르투갈 포함)에 지사를 두고 있는 다국적 기업입니다. 작년에 이 회사는 심각한 데이터 유출로 이어진 피싱 공격의 피해자였습니다. 집행 위원회는 총괄 관리자, 개인 정보 보호 사무소 및 정보 보안 팀과 협력하여 추가 보안 조치를 채택하기로 결정했습니다. 여기에는 교육 인식 프로그램, 사이버 보안 감사, SecurityScan이라는 새로운 소프트웨어 도구 사용이 포함됩니다. 이 도구는 직원의 컴퓨터를 스캔하여 공급업체에서 더 이상 지원하지 않아 보안 업데이트를 받지 못하는 소프트웨어가 있는지 확인합니다. 그러나 이 소프트웨어는 직원의 컴퓨터 모니터링을 비롯한 다른 기능도 제공합니다.
이러한 조치가 직원에게 잠재적으로 영향을 미칠 수 있으므로 Building Block의 개인정보 보호국은 회사가 정보 보안을 강화하고 향후 데이터 침해를 방지하기 위한 일련의 계획을 시행할 것임을 나타내는 일반 공지를 모든 직원에게 발행하기로 결정했습니다.
이러한 조치를 시행한 후 서버 성능이 저하되었습니다. 총괄 관리자는 SecurityScan을 사용하여 직원의 컴퓨터 활동과 위치를 모니터링하는 방법에 대해 보안 팀에 지시했습니다. 이러한 활동을 하는 동안 정보 보안 팀은 이탈리아의 한 직원이 매일 영화 비디오 라이브러리에 연결하고 있고 독일의 다른 직원은 승인 없이 원격으로 작업하고 있음을 발견했습니다. 보안팀은 이러한 사건을 개인정보 보호실과 총책임자에게 보고했습니다. 그들의 보고서에서 팀은 이탈리아에서 온 직원이 서버 성능이 저하된 원인이라고 결론지었습니다.
이러한 침해의 심각성으로 인해 회사의 보안 및 개인 정보 보호 정책에서 직원이 회사 컴퓨터에 소프트웨어를 설치하고 승인 없이 원격으로 일하는 것을 금지했기 때문에 회사는 두 직원에 대해 징계 조치를 취하기로 결정했습니다.
GDPR을 준수하기 위해 빌딩 블록은 SecurityScan 조치를 구현하기 전에 첫 번째 단계로 무엇을 수행해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Building Block Inc.는 시카고에 본사를 두고 있으며 미국, 아시아 및 유럽(독일, 이탈리아, 프랑스 및 포르투갈 포함)에 지사를 두고 있는 다국적 기업입니다. 작년에 이 회사는 심각한 데이터 유출로 이어진 피싱 공격의 피해자였습니다. 집행 위원회는 총괄 관리자, 개인 정보 보호 사무소 및 정보 보안 팀과 협력하여 추가 보안 조치를 채택하기로 결정했습니다. 여기에는 교육 인식 프로그램, 사이버 보안 감사, SecurityScan이라는 새로운 소프트웨어 도구 사용이 포함됩니다. 이 도구는 직원의 컴퓨터를 스캔하여 공급업체에서 더 이상 지원하지 않아 보안 업데이트를 받지 못하는 소프트웨어가 있는지 확인합니다. 그러나 이 소프트웨어는 직원의 컴퓨터 모니터링을 비롯한 다른 기능도 제공합니다.
이러한 조치가 직원에게 잠재적으로 영향을 미칠 수 있으므로 Building Block의 개인정보 보호국은 회사가 정보 보안을 강화하고 향후 데이터 침해를 방지하기 위한 일련의 계획을 시행할 것임을 나타내는 일반 공지를 모든 직원에게 발행하기로 결정했습니다.
이러한 조치를 시행한 후 서버 성능이 저하되었습니다. 총괄 관리자는 SecurityScan을 사용하여 직원의 컴퓨터 활동과 위치를 모니터링하는 방법에 대해 보안 팀에 지시했습니다. 이러한 활동을 하는 동안 정보 보안 팀은 이탈리아의 한 직원이 매일 영화 비디오 라이브러리에 연결하고 있고 독일의 다른 직원은 승인 없이 원격으로 작업하고 있음을 발견했습니다. 보안팀은 이러한 사건을 개인정보 보호실과 총책임자에게 보고했습니다. 그들의 보고서에서 팀은 이탈리아에서 온 직원이 서버 성능이 저하된 원인이라고 결론지었습니다.
이러한 침해의 심각성으로 인해 회사의 보안 및 개인 정보 보호 정책에서 직원이 회사 컴퓨터에 소프트웨어를 설치하고 승인 없이 원격으로 일하는 것을 금지했기 때문에 회사는 두 직원에 대해 징계 조치를 취하기로 결정했습니다.
GDPR을 준수하기 위해 빌딩 블록은 SecurityScan 조치를 구현하기 전에 첫 번째 단계로 무엇을 수행해야 합니까?