CIPP-E 문제 1
대본
다음 질문에 답하려면 다음을 사용하십시오.
홍콩에 소재한 장난감 제조업체에 채용되었습니다. 이 회사는 다양한 소매점에서 국제적으로 찾을 수 있는 다양한 인형, 액션 피규어 및 봉제 장난감을 판매합니다. 제조업체는 홍콩 외부에 사무실이 없고 실제로 홍콩 외부에 직원을 고용하지 않지만 여러 지역 유통 계약을 체결했습니다. 회사에서 생산한 장난감은 유럽, 미국 및 아시아의 모든 인기 있는 장난감 매장에서 찾을 수 있습니다. 회사 수익의 상당 부분은 해외 판매로 인한 것입니다.
이 회사는 이제 아이들과 이야기하고 상호 작용할 수 있는 새로운 종류의 연결된 장난감을 출시하고자 합니다. 이 회사의 CEO는 제공되는 가능성의 증가로 인해 이 장난감을 차세대 제품으로 선전하고 있습니다. 숫자는 수학 계산이나 날씨와 같은 다양한 주제에 대한 어린이의 질문에 답할 수 있습니다. 각 피규어에는 마이크와 스피커가 장착되어 있으며 블루투스를 통해 모든 스마트폰이나 태블릿에 연결할 수 있습니다. 반경 10m 이내의 모든 모바일 기기도 블루투스를 통해 장난감에 연결할 수 있습니다. 피규어는 (동일한 제조사의) 다른 피규어와 연결될 수도 있고 향상된 플레이 경험을 위해 서로 상호작용할 수도 있습니다.
아이가 장난감에 질문을 하면 분석을 위해 요청이 클라우드로 전송되고, 클라우드 서버에서 답이 생성되어 그림으로 다시 전송됩니다. 그림의 통합 스피커를 통해 대답이 제공되어 마치 장난감이 실제로 어린이의 질문에 응답하는 것처럼 보입니다. 장난감 포장에는 작동 방식에 대한 기술적인 세부 정보가 나와 있지 않으며 이 기능에 인터넷 연결이 필요하다는 언급도 없습니다. 이를 위해 필요한 데이터 처리는 남아프리카에 위치한 데이터 센터에 아웃소싱되었습니다. 그러나 귀하의 회사는 이를 나타내기 위해 소비자 대면 개인 정보 보호 정책을 아직 수정하지 않았습니다.
이와 병행하여 소비자가 게임을 플레이하면서 획득한 캐릭터를 플레이할 수 있는 새로운 게임 시스템을 선보일 예정입니다. 이 시스템은 NFC(Near-Field Communications) 리더가 포함된 포털과 함께 번들로 제공됩니다. 이 장치는 액션 피규어의 RFID 태그를 읽어 피규어를 화면에 생생하게 만듭니다. 각 캐릭터에는 고유한 스톡 기능과 능력이 있지만 게임 목표를 달성하여 추가로 얻을 수도 있습니다. 태그에 저장된 유일한 정보는 피규어의 능력과 관련된 것입니다. 게임 중 캐릭터 전환이 용이하며, 집 밖의 장소로 피규어를 가져와 캐릭터의 능력을 그대로 유지하는 것이 가능하다.
GDPR 32조(처리 보안 관련)의 요구 사항에 비추어 회사는 어떤 관행을 도입해야 합니까?
다음 질문에 답하려면 다음을 사용하십시오.
홍콩에 소재한 장난감 제조업체에 채용되었습니다. 이 회사는 다양한 소매점에서 국제적으로 찾을 수 있는 다양한 인형, 액션 피규어 및 봉제 장난감을 판매합니다. 제조업체는 홍콩 외부에 사무실이 없고 실제로 홍콩 외부에 직원을 고용하지 않지만 여러 지역 유통 계약을 체결했습니다. 회사에서 생산한 장난감은 유럽, 미국 및 아시아의 모든 인기 있는 장난감 매장에서 찾을 수 있습니다. 회사 수익의 상당 부분은 해외 판매로 인한 것입니다.
이 회사는 이제 아이들과 이야기하고 상호 작용할 수 있는 새로운 종류의 연결된 장난감을 출시하고자 합니다. 이 회사의 CEO는 제공되는 가능성의 증가로 인해 이 장난감을 차세대 제품으로 선전하고 있습니다. 숫자는 수학 계산이나 날씨와 같은 다양한 주제에 대한 어린이의 질문에 답할 수 있습니다. 각 피규어에는 마이크와 스피커가 장착되어 있으며 블루투스를 통해 모든 스마트폰이나 태블릿에 연결할 수 있습니다. 반경 10m 이내의 모든 모바일 기기도 블루투스를 통해 장난감에 연결할 수 있습니다. 피규어는 (동일한 제조사의) 다른 피규어와 연결될 수도 있고 향상된 플레이 경험을 위해 서로 상호작용할 수도 있습니다.
아이가 장난감에 질문을 하면 분석을 위해 요청이 클라우드로 전송되고, 클라우드 서버에서 답이 생성되어 그림으로 다시 전송됩니다. 그림의 통합 스피커를 통해 대답이 제공되어 마치 장난감이 실제로 어린이의 질문에 응답하는 것처럼 보입니다. 장난감 포장에는 작동 방식에 대한 기술적인 세부 정보가 나와 있지 않으며 이 기능에 인터넷 연결이 필요하다는 언급도 없습니다. 이를 위해 필요한 데이터 처리는 남아프리카에 위치한 데이터 센터에 아웃소싱되었습니다. 그러나 귀하의 회사는 이를 나타내기 위해 소비자 대면 개인 정보 보호 정책을 아직 수정하지 않았습니다.
이와 병행하여 소비자가 게임을 플레이하면서 획득한 캐릭터를 플레이할 수 있는 새로운 게임 시스템을 선보일 예정입니다. 이 시스템은 NFC(Near-Field Communications) 리더가 포함된 포털과 함께 번들로 제공됩니다. 이 장치는 액션 피규어의 RFID 태그를 읽어 피규어를 화면에 생생하게 만듭니다. 각 캐릭터에는 고유한 스톡 기능과 능력이 있지만 게임 목표를 달성하여 추가로 얻을 수도 있습니다. 태그에 저장된 유일한 정보는 피규어의 능력과 관련된 것입니다. 게임 중 캐릭터 전환이 용이하며, 집 밖의 장소로 피규어를 가져와 캐릭터의 능력을 그대로 유지하는 것이 가능하다.
GDPR 32조(처리 보안 관련)의 요구 사항에 비추어 회사는 어떤 관행을 도입해야 합니까?
CIPP-E 문제 2
전자 상거래 지침 2000/31/EC에 따르면 GDPR에 의해 확인된 인터넷 웹사이트를 통해 서비스를 제공하는 회사의 "설립" 장소는 어디입니까?
CIPP-E 문제 3
고용주가 직원 데이터를 처리하는 법적 근거로 동의를 피하는 것이 바람직한 이유는 무엇입니까?
CIPP-E 문제 4
대본
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다. 회사 B는 상당한 고객 기반과 업계에서 확고한 평판을 가진 확고한 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
이름
주소
생일
급여 번호
국민보험번호
병가 수당
출산/육아 수당 자격
휴가 자격 일
연금 및 복리후생 기여금
노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다.
그녀는 먼저 회사 A가 새로운 근태 관리 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 담당자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, 회사 A와 여전히 계약을 맺고 있는 동안, 회사 B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 회사 C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
빠르게 확장되는 인력으로 인해 회사 A는 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다. 회사 B는 상당한 고객 기반과 업계에서 확고한 평판을 가진 확고한 급여 서비스 제공업체입니다.
A사에 대한 B사의 급여 솔루션은 A사의 각 공장에 설치된 생체 입력 시스템을 통해 얻은 근태 데이터 수집에 의존합니다. B사는 생체 데이터 자체를 보유하지 않지만 관련 데이터는 B사의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
이름
주소
생일
급여 번호
국민보험번호
병가 수당
출산/육아 수당 자격
휴가 자격 일
연금 및 복리후생 기여금
노동조합 기부금
Jenny는 회사 A의 규정 준수 책임자입니다.
그녀는 먼저 회사 A가 새로운 근태 관리 시스템과 관련하여 데이터 보호 영향 평가를 수행해야 하는지 여부를 고려하지만 이것이 필요한지 여부는 확실하지 않습니다.
그러나 Jenny는 GDPR에 따라 회사 B가 급여 서비스를 제공할 목적으로만 근태 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술 및 조직 보안 조치를 적용하도록 요구하는 공식 서면 계약이 있어야 한다는 것을 알고 있습니다. . Jenny는 B사에게 데이터 보호 담당자에게 조언을 구할 것을 제안합니다. 회사는 DPO가 없지만 계약을 마무리하기 위해 전체 조항에 서명하는 데 동의합니다. A사는 계약을 체결합니다.
몇 주 후, 회사 A와 여전히 계약을 맺고 있는 동안, 회사 B는 급여 서비스의 기능을 향상시키기 위한 별도의 프로젝트에 착수하고 회사 C와 협력하여 도움을 줍니다. 회사 C는 회사 B를 위한 새 데이터베이스를 생성하기 위해 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에서 호스팅되는 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되기 때문에 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도 Company C의 미국 서버는 구식 IT 보안 시스템으로만 보호되고 있으며 Company C가 프로젝트 작업을 시작한 직후 사이버 보안 사고를 당합니다. 결과적으로 Company A의 직원과 관련된 데이터는 Company C의 웹사이트를 방문하는 모든 사람이 볼 수 있습니다. 회사 A는 Jenny가 계속되는 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못합니다. Jenny는 위반 사실을 알게 되는 즉시 영향을 받는 모든 직원에게 알립니다.
GDPR은 적절한 기술 및 조직적 조치를 이행할 수 있는 회사의 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있었던 가장 현실적인 방법은 무엇입니까?
CIPP-E 문제 5
미국에 기반을 둔 한 온라인 상점은 정교한 소프트웨어를 사용하여 유럽 고객의 검색 행동을 추적하고 향후 구매를 예측합니다. 또한 이 정보를 제3자와 공유합니다. GDPR에 따라 이러한 종류의 프로파일링에 참여하는 동안 온라인 상점의 기본 의무는 무엇입니까?