CIPP-E 문제 102
대본
다음 질문에 답하려면 다음을 사용하십시오.
Zandelay Fashion('Zandelay')은 성공적인 국제 온라인 의류 소매업체로
아일랜드 더블린에 본사를 둔 650명의 직원. Martin은 최근에 임명된 데이터 보호 책임자로서 회사의 GDPR(일반 데이터 보호 규정) 및 기타 개인 정보 보호 법률 준수를 감독합니다.
이 회사는 어린이를 포함한 모든 연령대의 남성 및 여성 의류 라인을 모두 제공합니다. 이를 위해 회사는 선호도와 신용 카드 및 은행 계좌 번호와 같은 민감한 금융 정보를 포함하여 그러한 고객에 대한 대량의 정보를 처리합니다.
수익 성장을 위한 공격적인 시도에서 CEO Jerry는 Martin에게 회사가 구매를 분석하여 회사 고객을 프로파일링하는 데 중점을 둔 새로운 모바일 앱 및 로열티 제도를 출시할 것이라고 말했습니다. Martin은 CEO에게 다음과 같이 말합니다. (b) 이 평가의 결과가 적절한 보호 조치가 없는 경우 높은 위험을 나타내는 경우. Zandelay는 앱 및 로열티 제도를 구현하기 전에 아일랜드 데이터 보호 위원과 사전 협의를 거쳐야 할 수 있습니다.
Jerry는 Martin에게 감독 기관에 직접 관여해야 하고 Zandelay의 사업 계획 및 관련 처리 활동에 대한 세부 정보를 공개해야 하는 상황이 마음에 들지 않는다고 말했습니다.
Zadelay는 사전 협의 중에 감독 기관에 무엇을 제공해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
Zandelay Fashion('Zandelay')은 성공적인 국제 온라인 의류 소매업체로
아일랜드 더블린에 본사를 둔 650명의 직원. Martin은 최근에 임명된 데이터 보호 책임자로서 회사의 GDPR(일반 데이터 보호 규정) 및 기타 개인 정보 보호 법률 준수를 감독합니다.
이 회사는 어린이를 포함한 모든 연령대의 남성 및 여성 의류 라인을 모두 제공합니다. 이를 위해 회사는 선호도와 신용 카드 및 은행 계좌 번호와 같은 민감한 금융 정보를 포함하여 그러한 고객에 대한 대량의 정보를 처리합니다.
수익 성장을 위한 공격적인 시도에서 CEO Jerry는 Martin에게 회사가 구매를 분석하여 회사 고객을 프로파일링하는 데 중점을 둔 새로운 모바일 앱 및 로열티 제도를 출시할 것이라고 말했습니다. Martin은 CEO에게 다음과 같이 말합니다. (b) 이 평가의 결과가 적절한 보호 조치가 없는 경우 높은 위험을 나타내는 경우. Zandelay는 앱 및 로열티 제도를 구현하기 전에 아일랜드 데이터 보호 위원과 사전 협의를 거쳐야 할 수 있습니다.
Jerry는 Martin에게 감독 기관에 직접 관여해야 하고 Zandelay의 사업 계획 및 관련 처리 활동에 대한 세부 정보를 공개해야 하는 상황이 마음에 들지 않는다고 말했습니다.
Zadelay는 사전 협의 중에 감독 기관에 무엇을 제공해야 합니까?
CIPP-E 문제 103
대본
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다. 회사 B는 상당한 고객 기반과 업계에서 확고한 평판을 가진 확고한 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
이름
주소
생일
급여 번호
국민보험번호
병가 수당
출산/육아 수당 자격
휴가 자격 일
연금 및 복리후생 기여금
노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다.
그녀는 먼저 회사 A가 새로운 근태 관리 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 책임자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, Company A와 여전히 계약을 맺고 있는 동안 Company B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 Company C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 서신을 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다. 회사 B는 상당한 고객 기반과 업계에서 확고한 평판을 가진 확고한 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
이름
주소
생일
급여 번호
국민보험번호
병가 수당
출산/육아 수당 자격
휴가 자격 일
연금 및 복리후생 기여금
노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다.
그녀는 먼저 회사 A가 새로운 근태 관리 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 책임자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, Company A와 여전히 계약을 맺고 있는 동안 Company B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 Company C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 서신을 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
CIPP-E 문제 104
기업의 웹사이트는 EU 사용자의 컴퓨터 및 모바일 장치 브라우저에 텍스트 파일을 저장합니다. 그렇게 하기 전에 기업은 사용자에게 다음 프레임워크에 따라 정보와 동의가 포함된 통지를 제공해야 합니다.