CIPP-E 문제 1
대본
다음 질문에 답하려면 다음을 사용하십시오.
Joe는 DNA 분석을 제공하는 캐나다 기업인 Who-RU의 새 개인 정보 관리자입니다. 회사는 몬트리올에 본사가 있으며 모든 직원이 몬트리올에 있습니다. 이 회사는 캐나다인에게만 서비스를 제공합니다. 웹사이트는 영어와 프랑스어로 제공되며 캐나다 통화만 허용하며 캐나다 외부에서 들어오는 인터넷 트래픽을 차단합니다(이 솔루션이 모든 비캐나다인 트래픽을 차단하지는 않음). 또한 DNA 보고서를 캐나다 외부로 보내도록 요청하는 주문 처리를 거부하고 비캐나다 반품 주소가 표시된 주문을 반품합니다.
Who-RU의 Bob 사장은 EU에서 제품에 대한 관심이 높다고 생각하고 회사는 고객 기반을 확장하기 위해 여러 가지 계획을 모색하고 있습니다.
총칭하여 We-Track-U라고 하는 첫 번째 계획은 앱을 사용하여 현재 캐나다 고객 기반에 대한 정보를 수집합니다. 확장을 통해 캐나다 고객은 해외 여행 중에 앱을 사용할 수 있습니다. 그는 회사가 이 앱을 사용하여 위치 정보를 수집할 것을 제안합니다. 계획에 약속이 있으면 Bob은 푸시 알림과 문자 메시지를 사용하여 기존 고객이 EU 버전의 서비스에 사전 등록하도록 권장합니다. Bob은 이 작업 계획을 We-Text-U라고 부릅니다. 회사가 사전 등록을 충분히 수집하면 EU 전용 콘텐츠 및 서비스를 개발할 것입니다.
또 다른 플랜은 평생 고객이라고 합니다. 아이디어는 회사의 앱을 통해 다른 애플리케이션 및 의료 제공자와 DNA 정보의 저장 및 공유와 같은 추가 서비스를 제공하는 것입니다. 이 회사의 계약에는 고객 DNA를 무기한으로 보관할 수 있으며 새로운 서비스를 제공하고 고객에게 마케팅하는 데 사용할 수 있다고 나와 있습니다. 또한 고객이 직접 마케팅 동의를 철회하지 않는 데 동의한다고 명시되어 있습니다. 마케팅 이사인 Paul은 회사가 이러한 조항을 최대한 활용해야 하며 계약이 무효화되기 때문에 동의를 철회하려는 고객의 시도를 피할 수 있다고 제안합니다.
최종 계획은 EU에서 브랜드 인지도를 높이는 것입니다. 회사는 이미 이 프로세스를 시작했습니다. Who-RU 경영진이 해외 여행 중에 사용할 수 있는 사무실이 몇 개 있는 독일의 건물에 대한 명명권을 구매하는 과정에 있습니다. 사무실에는 기술이나 인프라가 포함되어 있지 않습니다. 오히려 책상과 의자가 있는 방일 뿐입니다.
명명권 거래에 관한 최근 여행에서 Bob의 노트북이 도난당합니다. 노트북에는 모두 캐나다 거주자인 5,000명의 Who-RU 고객에 대한 암호화되지 않은 DNA 보고서가 들어 있었습니다. 보고서에는 고객 이름, 생년월일, 민족, 인종 배경, 친척 이름, 성별 및 때때로 건강 정보가 포함됩니다.
Who-RU가 앱을 사용하여 위치를 추적하기로 결정한 경우 GDPR을 준수하려면 어떻게 해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Joe는 DNA 분석을 제공하는 캐나다 기업인 Who-RU의 새 개인 정보 관리자입니다. 회사는 몬트리올에 본사가 있으며 모든 직원이 몬트리올에 있습니다. 이 회사는 캐나다인에게만 서비스를 제공합니다. 웹사이트는 영어와 프랑스어로 제공되며 캐나다 통화만 허용하며 캐나다 외부에서 들어오는 인터넷 트래픽을 차단합니다(이 솔루션이 모든 비캐나다인 트래픽을 차단하지는 않음). 또한 DNA 보고서를 캐나다 외부로 보내도록 요청하는 주문 처리를 거부하고 비캐나다 반품 주소가 표시된 주문을 반품합니다.
Who-RU의 Bob 사장은 EU에서 제품에 대한 관심이 높다고 생각하고 회사는 고객 기반을 확장하기 위해 여러 가지 계획을 모색하고 있습니다.
총칭하여 We-Track-U라고 하는 첫 번째 계획은 앱을 사용하여 현재 캐나다 고객 기반에 대한 정보를 수집합니다. 확장을 통해 캐나다 고객은 해외 여행 중에 앱을 사용할 수 있습니다. 그는 회사가 이 앱을 사용하여 위치 정보를 수집할 것을 제안합니다. 계획에 약속이 있으면 Bob은 푸시 알림과 문자 메시지를 사용하여 기존 고객이 EU 버전의 서비스에 사전 등록하도록 권장합니다. Bob은 이 작업 계획을 We-Text-U라고 부릅니다. 회사가 사전 등록을 충분히 수집하면 EU 전용 콘텐츠 및 서비스를 개발할 것입니다.
또 다른 플랜은 평생 고객이라고 합니다. 아이디어는 회사의 앱을 통해 다른 애플리케이션 및 의료 제공자와 DNA 정보의 저장 및 공유와 같은 추가 서비스를 제공하는 것입니다. 이 회사의 계약에는 고객 DNA를 무기한으로 보관할 수 있으며 새로운 서비스를 제공하고 고객에게 마케팅하는 데 사용할 수 있다고 나와 있습니다. 또한 고객이 직접 마케팅 동의를 철회하지 않는 데 동의한다고 명시되어 있습니다. 마케팅 이사인 Paul은 회사가 이러한 조항을 최대한 활용해야 하며 계약이 무효화되기 때문에 동의를 철회하려는 고객의 시도를 피할 수 있다고 제안합니다.
최종 계획은 EU에서 브랜드 인지도를 높이는 것입니다. 회사는 이미 이 프로세스를 시작했습니다. Who-RU 경영진이 해외 여행 중에 사용할 수 있는 사무실이 몇 개 있는 독일의 건물에 대한 명명권을 구매하는 과정에 있습니다. 사무실에는 기술이나 인프라가 포함되어 있지 않습니다. 오히려 책상과 의자가 있는 방일 뿐입니다.
명명권 거래에 관한 최근 여행에서 Bob의 노트북이 도난당합니다. 노트북에는 모두 캐나다 거주자인 5,000명의 Who-RU 고객에 대한 암호화되지 않은 DNA 보고서가 들어 있었습니다. 보고서에는 고객 이름, 생년월일, 민족, 인종 배경, 친척 이름, 성별 및 때때로 건강 정보가 포함됩니다.
Who-RU가 앱을 사용하여 위치를 추적하기로 결정한 경우 GDPR을 준수하려면 어떻게 해야 합니까?
CIPP-E 문제 2
대본
다음 질문에 답하려면 다음을 사용하십시오.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 엔지니어링 부서의 강사입니다. 대학은 다음과 같은 여러 유형의 기록을 유지합니다.
* 이름, 학생 번호, 집 주소, 예비 대학 정보, 대학 출석 및 성과 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
* 자서전 자료를 포함한 교직원 기록(예: 커리큘럼, 전문 연락처 파일, 학생 평가 및 기타 관련 교육 파일).
* 출생지, 생년월일, 졸업일 및 학위 수여를 포함한 동문 기록.
이 기록은 Granchester의 Alumni 포털을 통해 등록한 후 이전 학생이 사용할 수 있습니다.
* 특정 인구통계학적 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상되는지 보여주는 교육부 기록. 이러한 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
* 대학은 보안 정책에 따라 전송 중 및 저장되지 않은 모든 개인 데이터 기록을 암호화합니다.
Frank는 자신의 교수법을 향상시키기 위해 교육부 기대치와 관련하여 엔지니어링 학생들이 수행하는 방식을 조사하기를 원합니다. 그는 Anna의 데이터 보호 교육 과정 중 하나에 참석했으며 자신의 목표를 달성하는 데 필요한 것보다 더 많은 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다: 이전에 다녔던 학교, 원래 얻은 성적, 현재 얻은 성적 및 대학에 처음 다녔던 시간. 그는 개별 학생 수준에서 기록을 유지하기를 원합니다.
Anna의 훈련을 염두에 두고 Frank는 알고리즘을 통해 학생 번호를 실행하여 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 레코드를 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 임무 중 하나는 GDPR에서 요구하는 처리 활동 기록을 완료하는 것입니다. GDPR의 요구에 따라 이메일 알림을 받은 후. 그녀의 이메일 알림을 받은 Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
Ann은 Frank에게 개인 데이터를 최소화할 뿐만 아니라 대학이 기존 데이터의 이러한 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리가 이루어지기 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. Anna는 추가 조사를 마친 후 Frank와 이에 대해 더 논의하기로 합니다.
Frank는 여가 시간에 분석 작업을 수행할 수 있기를 원하므로 암호화되지 않은 가정용 랩톱으로 분석을 전송합니다. 불행히도 Frank는 노트북을 대학에 가져갔을 때 기차에서 노트북을 잃어버렸습니다. Frank는 호환 가능한 처리에 대해 논의하기 위해 그날 Anna를 만나야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에 Anna에게 동시에 분실된 노트북에 대해 이야기하기로 결정합니다.
Anna가 처리 활동 기록에 포함하지 않아도 되는 대학 기록은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 엔지니어링 부서의 강사입니다. 대학은 다음과 같은 여러 유형의 기록을 유지합니다.
* 이름, 학생 번호, 집 주소, 예비 대학 정보, 대학 출석 및 성과 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
* 자서전 자료를 포함한 교직원 기록(예: 커리큘럼, 전문 연락처 파일, 학생 평가 및 기타 관련 교육 파일).
* 출생지, 생년월일, 졸업일 및 학위 수여를 포함한 동문 기록.
이 기록은 Granchester의 Alumni 포털을 통해 등록한 후 이전 학생이 사용할 수 있습니다.
* 특정 인구통계학적 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상되는지 보여주는 교육부 기록. 이러한 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
* 대학은 보안 정책에 따라 전송 중 및 저장되지 않은 모든 개인 데이터 기록을 암호화합니다.
Frank는 자신의 교수법을 향상시키기 위해 교육부 기대치와 관련하여 엔지니어링 학생들이 수행하는 방식을 조사하기를 원합니다. 그는 Anna의 데이터 보호 교육 과정 중 하나에 참석했으며 자신의 목표를 달성하는 데 필요한 것보다 더 많은 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다: 이전에 다녔던 학교, 원래 얻은 성적, 현재 얻은 성적 및 대학에 처음 다녔던 시간. 그는 개별 학생 수준에서 기록을 유지하기를 원합니다.
Anna의 훈련을 염두에 두고 Frank는 알고리즘을 통해 학생 번호를 실행하여 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 레코드를 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 임무 중 하나는 GDPR에서 요구하는 처리 활동 기록을 완료하는 것입니다. GDPR의 요구에 따라 이메일 알림을 받은 후. 그녀의 이메일 알림을 받은 Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
Ann은 Frank에게 개인 데이터를 최소화할 뿐만 아니라 대학이 기존 데이터의 이러한 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리가 이루어지기 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. Anna는 추가 조사를 마친 후 Frank와 이에 대해 더 논의하기로 합니다.
Frank는 여가 시간에 분석 작업을 수행할 수 있기를 원하므로 암호화되지 않은 가정용 랩톱으로 분석을 전송합니다. 불행히도 Frank는 노트북을 대학에 가져갔을 때 기차에서 노트북을 잃어버렸습니다. Frank는 호환 가능한 처리에 대해 논의하기 위해 그날 Anna를 만나야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에 Anna에게 동시에 분실된 노트북에 대해 이야기하기로 결정합니다.
Anna가 처리 활동 기록에 포함하지 않아도 되는 대학 기록은 무엇입니까?
CIPP-E 문제 3
개인 데이터를 가명화하기 위해 데이터 컨트롤러는 무엇을 해야 합니까?
CIPP-E 문제 4
GDPR은 이제 "처리"를 어떻게 정의합니까?
CIPP-E 문제 5
Planet 49 CJEU 심판 적용 대상은?