CIPP-E 문제 62
대본
다음 질문에 답하려면 다음을 사용하십시오.
하비에르는 밈이다피트니스 클럽 EVERFIT의 베르. 이 회사는 많은 EU 회원국에 지사를 두고 있지만 GDPR의 목적을 위해 프랑스에 기본 설립을 유지합니다. Javier는 북아일랜드(영국의 일부)의 Newry에 거주하며 아일랜드 던독에서 일하기 위해 국경을 넘어 통근합니다. 2년 전 출장을 갔을 때 Javier는 독일 프랑크푸르트에 있는 EVERFIT 지점에서 운동을 하던 중 사진을 찍었습니다. 당시 하비에르는 사진이 판촉용으로만 쓰겠다고 해서 사진에 포함되는 것에 동의했다. 그 이후로 이 사진은 클럽의 영국 브로셔에 사용되었으며 영국 웹사이트의 랜딩 페이지에 실렸습니다. 그러나 피트니스 클럽은 최근 여러 EU 회원국에서 클럽의 여러 지점에서 회원에 대한 광범위한 학대로 인해 평판이 좋지 않았습니다.
이 문제에 대해 논의하기 위해 현지 지점의 관리자와 약속을 잡으려는 시도가 여러 번 실패한 후 Javier는 웹사이트와 모든 판촉 자료에서 자신의 이미지를 제거하도록 요청하는 편지를 EVETFIT에 보냅니다. 몇 달이 지나고 그의 요청을 수락하지 않은 Javier는 이 문제에 대해 매우 걱정하게 됩니다. 다른 채널을 통해 EVETFIT에 여러 번 연락하지 못한 후 그는 회사에 대해 조치를 취하기로 결정합니다.
Javier는 이 문제에 대해 불만을 제기하기 위해 UK Information Commissioner's Office('ICO' - 영국 감독 기관)에 연락합니다. GDPR 56조 3항에 따라 ICO는 이 문제를 CNIL(즉, EVERFIT의 주요 시설의 감독 기관)에 알립니다. EVERFIT가 영국에 설립되어 있음에도 불구하고 CNIL은 GDPR 제60조에 따라 사건을 처리하기로 결정했습니다. CNIL은 협력 절차와 관련하여 ICO와 연락합니다. 결정에 도달하기 위한 감독 기관 간의 문제에 비추어 유럽 데이터 보호 위원회가 참여하고 일관성 메커니즘에 따라 구속력 있는 결정을 내립니다.
또한 Javier는 브로셔와 웹사이트에서 자신의 사진을 삭제해 달라는 그의 요청을 이행하지 않아 발생한 손해에 대해 EVERFIT를 고소했습니다.
여러 EU 국가에 걸쳐 여러 EVETFIT 지점이 별도의 데이터 컨트롤러 역할을 하고 각 지점이 Javier의 요청을 잘못 처리한 책임이 있다고 가정하면 Javier는 보상을 받기 위해 어떻게 진행할 수 있습니까?
다음 질문에 답하려면 다음을 사용하십시오.
하비에르는 밈이다피트니스 클럽 EVERFIT의 베르. 이 회사는 많은 EU 회원국에 지사를 두고 있지만 GDPR의 목적을 위해 프랑스에 기본 설립을 유지합니다. Javier는 북아일랜드(영국의 일부)의 Newry에 거주하며 아일랜드 던독에서 일하기 위해 국경을 넘어 통근합니다. 2년 전 출장을 갔을 때 Javier는 독일 프랑크푸르트에 있는 EVERFIT 지점에서 운동을 하던 중 사진을 찍었습니다. 당시 하비에르는 사진이 판촉용으로만 쓰겠다고 해서 사진에 포함되는 것에 동의했다. 그 이후로 이 사진은 클럽의 영국 브로셔에 사용되었으며 영국 웹사이트의 랜딩 페이지에 실렸습니다. 그러나 피트니스 클럽은 최근 여러 EU 회원국에서 클럽의 여러 지점에서 회원에 대한 광범위한 학대로 인해 평판이 좋지 않았습니다.
이 문제에 대해 논의하기 위해 현지 지점의 관리자와 약속을 잡으려는 시도가 여러 번 실패한 후 Javier는 웹사이트와 모든 판촉 자료에서 자신의 이미지를 제거하도록 요청하는 편지를 EVETFIT에 보냅니다. 몇 달이 지나고 그의 요청을 수락하지 않은 Javier는 이 문제에 대해 매우 걱정하게 됩니다. 다른 채널을 통해 EVETFIT에 여러 번 연락하지 못한 후 그는 회사에 대해 조치를 취하기로 결정합니다.
Javier는 이 문제에 대해 불만을 제기하기 위해 UK Information Commissioner's Office('ICO' - 영국 감독 기관)에 연락합니다. GDPR 56조 3항에 따라 ICO는 이 문제를 CNIL(즉, EVERFIT의 주요 시설의 감독 기관)에 알립니다. EVERFIT가 영국에 설립되어 있음에도 불구하고 CNIL은 GDPR 제60조에 따라 사건을 처리하기로 결정했습니다. CNIL은 협력 절차와 관련하여 ICO와 연락합니다. 결정에 도달하기 위한 감독 기관 간의 문제에 비추어 유럽 데이터 보호 위원회가 참여하고 일관성 메커니즘에 따라 구속력 있는 결정을 내립니다.
또한 Javier는 브로셔와 웹사이트에서 자신의 사진을 삭제해 달라는 그의 요청을 이행하지 않아 발생한 손해에 대해 EVERFIT를 고소했습니다.
여러 EU 국가에 걸쳐 여러 EVETFIT 지점이 별도의 데이터 컨트롤러 역할을 하고 각 지점이 Javier의 요청을 잘못 처리한 책임이 있다고 가정하면 Javier는 보상을 받기 위해 어떻게 진행할 수 있습니까?
CIPP-E 문제 63
대본
다음 질문에 답하려면 다음을 사용하십시오.
ABC 보험의 오랜 고객인 제이슨은 몇 달 전에 경미한 교통사고를 당했습니다.
다친 사람은 없었지만 제이슨은 Erbium Insurance라는 회사에서 개인 상해에 대한 보상을 회복하는 데 도움이 된다는 문자와 전화를 받았습니다. Jason은 보험 회사가 고객 데이터를 제3자에게 판매한다는 소식을 들었고 Erbium이 ABC에서 자신의 정보를 얻었을 것이라고 확신합니다.
Jason은 또한 ABC로부터 더 많은 양의 마케팅 정보를 받아 보험 정책의 전체 범위를 그에게 판매하려고 했습니다.
이에 당황한 제이슨은 인터넷에서 가격 비교 사이트를 살펴보기 시작했고 다른 보험사가 ABC보다 훨씬 저렴한 요금을 제공한다는 사실을 알고 충격을 받았습니다. ABC 정책이 갱신될 때 그는 Xentron Insurance로 전환하기로 결정합니다.
새 보험 정책을 활성화하기 위해 Jason은 Xentron에 No Claim 보너스, 차량 및 운전 기록에 대한 정보를 제공해야 합니다. GDPR에 따른 자신의 권리를 조사한 후, 그는 ABC에 자신의 정보를 Xentron으로 직접 전송하도록 요청하기 위해 씁니다. 그는 또한 이 기회를 통해 ABC에 마케팅 목적으로 자신의 개인 데이터를 사용하는 것을 중단할 것을 요청합니다.
ABC는 Jason에게 No Claim Certificate의 PDF 및 XML(Extensible Markup Language) 버전을 제공하지만 기술적으로 실현 가능하지 않기 때문에 데이터를 Xentron으로 직접 전송할 수 없다고 Jason에게 말합니다. ABC는 또한 Jason의 계약에 Jason이 마케팅 목적으로 데이터를 사용할 수 있다는 데 동의한 조항이 포함되어 있다고 설명합니다. ABC에 따르면 Jason이 이에 대해 마음을 바꾸기에는 너무 늦었습니다. 제이슨은 법률 용어로 가득 차 있고 매우 혼란스러운 계약서의 문구를 기억할 때 화를 냅니다.
그동안 제이슨은 여전히 에르븀 보험으로부터 원치 않는 전화를 받고 있습니다. 그는 Erbium에게 편지를 써서 자신의 세부 정보를 제공한 조직의 이름을 묻습니다. 그는 Erbium에게 회사가 자신의 데이터를 불법적으로 사용하고 있다고 생각하기 때문에 데이터 보호 당국에 불만을 제기할 계획이라고 경고합니다. 그의 편지에는 자신의 데이터가 어떤 식으로든 사용되는 것을 원하지 않는다고 명시되어 있습니다.
에르븀의 회신 편지는 제이슨의 의심을 확인시켜준다. Erbium은 ABC의 전액 출자 자회사이며 Jason이 사고 청구서를 제출한 직후 ABC로부터 Jason의 사고에 대한 정보를 받았습니다. Erbium은 Jason의 계약에 비즈니스 목적으로 ABC의 계열사와 정보를 공유하기로 동의한 조항이 포함되어 있기 때문에 GDPR을 위반하지 않았다고 Jason을 보증합니다.
제이슨은 ABC가 자신을 대하는 방식에 역겨워하며 자신의 모든 정보를 컴퓨터 시스템에서 지워야 한다고 주장하는 편지를 씁니다.
Jason이 데이터 사용을 제한할 권리를 행사한 후 Erbium은 어떤 조건에서 준수를 거부할 수 있습니까?
다음 질문에 답하려면 다음을 사용하십시오.
ABC 보험의 오랜 고객인 제이슨은 몇 달 전에 경미한 교통사고를 당했습니다.
다친 사람은 없었지만 제이슨은 Erbium Insurance라는 회사에서 개인 상해에 대한 보상을 회복하는 데 도움이 된다는 문자와 전화를 받았습니다. Jason은 보험 회사가 고객 데이터를 제3자에게 판매한다는 소식을 들었고 Erbium이 ABC에서 자신의 정보를 얻었을 것이라고 확신합니다.
Jason은 또한 ABC로부터 더 많은 양의 마케팅 정보를 받아 보험 정책의 전체 범위를 그에게 판매하려고 했습니다.
이에 당황한 제이슨은 인터넷에서 가격 비교 사이트를 살펴보기 시작했고 다른 보험사가 ABC보다 훨씬 저렴한 요금을 제공한다는 사실을 알고 충격을 받았습니다. ABC 정책이 갱신될 때 그는 Xentron Insurance로 전환하기로 결정합니다.
새 보험 정책을 활성화하기 위해 Jason은 Xentron에 No Claim 보너스, 차량 및 운전 기록에 대한 정보를 제공해야 합니다. GDPR에 따른 자신의 권리를 조사한 후, 그는 ABC에 자신의 정보를 Xentron으로 직접 전송하도록 요청하기 위해 씁니다. 그는 또한 이 기회를 통해 ABC에 마케팅 목적으로 자신의 개인 데이터를 사용하는 것을 중단할 것을 요청합니다.
ABC는 Jason에게 No Claim Certificate의 PDF 및 XML(Extensible Markup Language) 버전을 제공하지만 기술적으로 실현 가능하지 않기 때문에 데이터를 Xentron으로 직접 전송할 수 없다고 Jason에게 말합니다. ABC는 또한 Jason의 계약에 Jason이 마케팅 목적으로 데이터를 사용할 수 있다는 데 동의한 조항이 포함되어 있다고 설명합니다. ABC에 따르면 Jason이 이에 대해 마음을 바꾸기에는 너무 늦었습니다. 제이슨은 법률 용어로 가득 차 있고 매우 혼란스러운 계약서의 문구를 기억할 때 화를 냅니다.
그동안 제이슨은 여전히 에르븀 보험으로부터 원치 않는 전화를 받고 있습니다. 그는 Erbium에게 편지를 써서 자신의 세부 정보를 제공한 조직의 이름을 묻습니다. 그는 Erbium에게 회사가 자신의 데이터를 불법적으로 사용하고 있다고 생각하기 때문에 데이터 보호 당국에 불만을 제기할 계획이라고 경고합니다. 그의 편지에는 자신의 데이터가 어떤 식으로든 사용되는 것을 원하지 않는다고 명시되어 있습니다.
에르븀의 회신 편지는 제이슨의 의심을 확인시켜준다. Erbium은 ABC의 전액 출자 자회사이며 Jason이 사고 청구서를 제출한 직후 ABC로부터 Jason의 사고에 대한 정보를 받았습니다. Erbium은 Jason의 계약에 비즈니스 목적으로 ABC의 계열사와 정보를 공유하기로 동의한 조항이 포함되어 있기 때문에 GDPR을 위반하지 않았다고 Jason을 보증합니다.
제이슨은 ABC가 자신을 대하는 방식에 역겨워하며 자신의 모든 정보를 컴퓨터 시스템에서 지워야 한다고 주장하는 편지를 씁니다.
Jason이 데이터 사용을 제한할 권리를 행사한 후 Erbium은 어떤 조건에서 준수를 거부할 수 있습니까?
CIPP-E 문제 64
스페인에 기반을 두고 있지만 전 세계적으로 촬영된 다큐멘터리를 전문으로 하는 한 유명한 비디오 제작 회사는 마드리드 거리의 노인들이 등장하는 몇 시간 분량의 영상 녹화를 막 마쳤습니다. 어떤 조건에서 회사가 다큐멘터리에 이미지를 사용하는 모든 사람의 동의를 얻지 않아도 될까요?
CIPP-E 문제 65
다음 중 직장협의회의 역할이 아닌 것은?
CIPP-E 문제 66
대본
다음 질문에 답하려면 다음을 사용하십시오.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 엔지니어링 부서의 강사입니다. 대학은 다음과 같은 여러 유형의 기록을 유지합니다.
이름, 학생 번호, 집 주소, 예비 대학 정보, 대학 출석 및 성과 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
자서전 자료를 포함한 교직원 기록(예: 커리큘럼, 전문 연락처 파일, 학생 평가 및 기타 관련 교육 파일).
출생지, 생년월일, 졸업일 및 학위 수여를 포함한 동문 기록. 이 기록은 Granchester의 Alumni 포털을 통해 등록한 후 이전 학생이 사용할 수 있습니다. 특정 인구통계학적 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상되는지 보여주는 교육부 기록. 이러한 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
보안 정책에 따라 대학은 전송 중이거나 저장되지 않은 모든 개인 데이터 기록을 암호화합니다.
Frank는 자신의 교수법을 개선하기 위해 교육부 기대치와 관련하여 공학 학생들이 수행하는 방식을 조사하려고 합니다. 그는 Anna의 데이터 보호 교육 과정 중 하나에 참석했으며 자신의 목표를 달성하는 데 필요한 것보다 더 많은 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다: 이전에 다녔던 학교, 원래 얻은 성적, 현재 얻은 성적 및 대학에 처음 다녔던 시간. 그는 개별 학생 수준에서 기록을 유지하기를 원합니다. Anna의 훈련을 염두에 두고 Frank는 알고리즘을 통해 학생 번호를 실행하여 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 레코드를 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 임무 중 하나는 GDPR에서 요구하는 처리 활동 기록을 완료하는 것입니다. GDPR의 요구에 따라 이메일 알림을 받은 후. 이메일 알림을 받은 Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
Ann은 Frank에게 개인 데이터를 최소화할 뿐만 아니라 대학이 기존 데이터의 이러한 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리가 이루어지기 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. Anna는 추가 조사를 마친 후 Frank와 이 문제에 대해 더 논의하기로 합니다.
Frank는 여가 시간에 분석 작업을 수행할 수 있기를 원하므로 암호화되지 않은 가정용 랩톱으로 분석을 전송합니다. 불행히도 Frank는 노트북을 대학에 가져갔을 때 기차에서 노트북을 잃어버렸습니다. Frank는 호환 가능한 처리에 대해 논의하기 위해 그날 Anna를 만나야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 동시에 Anna에게 분실한 노트북에 대해 알리기로 결정합니다.
Anna가 Frank의 성능 데이터베이스가 허용 가능한지 여부를 결정하기 전에 그녀에게 필요한 추가 정보는 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 엔지니어링 부서의 강사입니다. 대학은 다음과 같은 여러 유형의 기록을 유지합니다.
이름, 학생 번호, 집 주소, 예비 대학 정보, 대학 출석 및 성과 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
자서전 자료를 포함한 교직원 기록(예: 커리큘럼, 전문 연락처 파일, 학생 평가 및 기타 관련 교육 파일).
출생지, 생년월일, 졸업일 및 학위 수여를 포함한 동문 기록. 이 기록은 Granchester의 Alumni 포털을 통해 등록한 후 이전 학생이 사용할 수 있습니다. 특정 인구통계학적 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상되는지 보여주는 교육부 기록. 이러한 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
보안 정책에 따라 대학은 전송 중이거나 저장되지 않은 모든 개인 데이터 기록을 암호화합니다.
Frank는 자신의 교수법을 개선하기 위해 교육부 기대치와 관련하여 공학 학생들이 수행하는 방식을 조사하려고 합니다. 그는 Anna의 데이터 보호 교육 과정 중 하나에 참석했으며 자신의 목표를 달성하는 데 필요한 것보다 더 많은 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다: 이전에 다녔던 학교, 원래 얻은 성적, 현재 얻은 성적 및 대학에 처음 다녔던 시간. 그는 개별 학생 수준에서 기록을 유지하기를 원합니다. Anna의 훈련을 염두에 두고 Frank는 알고리즘을 통해 학생 번호를 실행하여 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 레코드를 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 임무 중 하나는 GDPR에서 요구하는 처리 활동 기록을 완료하는 것입니다. GDPR의 요구에 따라 이메일 알림을 받은 후. 이메일 알림을 받은 Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
Ann은 Frank에게 개인 데이터를 최소화할 뿐만 아니라 대학이 기존 데이터의 이러한 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리가 이루어지기 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. Anna는 추가 조사를 마친 후 Frank와 이 문제에 대해 더 논의하기로 합니다.
Frank는 여가 시간에 분석 작업을 수행할 수 있기를 원하므로 암호화되지 않은 가정용 랩톱으로 분석을 전송합니다. 불행히도 Frank는 노트북을 대학에 가져갔을 때 기차에서 노트북을 잃어버렸습니다. Frank는 호환 가능한 처리에 대해 논의하기 위해 그날 Anna를 만나야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 동시에 Anna에게 분실한 노트북에 대해 알리기로 결정합니다.
Anna가 Frank의 성능 데이터베이스가 허용 가능한지 여부를 결정하기 전에 그녀에게 필요한 추가 정보는 무엇입니까?