CIPP-E 문제 56
GDPR은 노트북이나 종이 파일에 저장된 정보와 같이 물리적 형태로 존재하는 개인 데이터에 어떤 상황에서 적용됩니까?
CIPP-E 문제 57
대본
다음 질문에 답하려면 다음을 사용하세요.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 공학과 강사입니다. 이 대학은 여러 유형의 기록을 보관합니다.
이름, 학번, 집 주소, 대학 입학 전 정보, 대학 출석 및 성취 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
자서전적 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
출생지, 출생 연도, 입학 날짜 및 학위 수여를 포함한 동문 기록. 이 기록은 Granchester의 동문 포털을 통해 등록한 후 이전 학생이 이용할 수 있습니다. 교육부 기록은 특정 인구 통계 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상할 수 있는지 보여줍니다. 이 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
대학은 보안 정책에 따라 모든 개인 데이터 기록을 전송 중 및 보관 중에 암호화합니다.
프랭크는 교육을 개선하기 위해 엔지니어링 학생들이 교육부 기대치와 관련하여 어떤 성과를 보이는지 조사하고자 합니다. 그는 안나의 데이터 보호 교육 과정 중 하나에 참석했으며 목표를 달성하는 데 필요한 것 이상의 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다. 이전에 다녔던 학교, 원래 취득한 성적, 현재 취득한 성적, 처음 대학에 다녔던 시간입니다. 그는 기록을 개별 학생 수준에서 유지하려고 합니다. 프랭크는 안나의 교육을 염두에 두고 알고리즘을 통해 학생 번호를 실행하여 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 기록을 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 업무 중 하나는 GDPR에서 요구하는 대로 처리 활동 기록을 완료하는 것입니다. GDPR에서 요구하는 대로 그녀의 이메일 알림을 받은 후. 그녀의 이메일 알림을 받은 후, Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
앤은 프랭크에게 개인 데이터를 최소화하는 것 외에도 대학은 기존 데이터의 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리를 시작하기 전에 위험 분석을 수행해야 할 수도 있다고 의심합니다. 앤은 추가 조사를 한 후 프랭크와 이에 대해 더 논의하기로 합니다.
프랭크는 여가 시간에 분석을 하고 싶어서, 그것을 집 노트북(암호화되지 않음)으로 옮깁니다. 불행히도 프랭크가 노트북을 대학으로 가져갔을 때 기차에서 잃어버립니다. 프랭크는 그날 안나를 만나 호환 처리에 대해 논의해야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에, 동시에 안나에게 분실된 노트북에 대해 말하기로 합니다.
안나가 처리 활동 기록에 포함시킬 필요가 없는 대학 기록은 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 공학과 강사입니다. 이 대학은 여러 유형의 기록을 보관합니다.
이름, 학번, 집 주소, 대학 입학 전 정보, 대학 출석 및 성취 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
자서전적 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
출생지, 출생 연도, 입학 날짜 및 학위 수여를 포함한 동문 기록. 이 기록은 Granchester의 동문 포털을 통해 등록한 후 이전 학생이 이용할 수 있습니다. 교육부 기록은 특정 인구 통계 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상할 수 있는지 보여줍니다. 이 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
대학은 보안 정책에 따라 모든 개인 데이터 기록을 전송 중 및 보관 중에 암호화합니다.
프랭크는 교육을 개선하기 위해 엔지니어링 학생들이 교육부 기대치와 관련하여 어떤 성과를 보이는지 조사하고자 합니다. 그는 안나의 데이터 보호 교육 과정 중 하나에 참석했으며 목표를 달성하는 데 필요한 것 이상의 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다. 이전에 다녔던 학교, 원래 취득한 성적, 현재 취득한 성적, 처음 대학에 다녔던 시간입니다. 그는 기록을 개별 학생 수준에서 유지하려고 합니다. 프랭크는 안나의 교육을 염두에 두고 알고리즘을 통해 학생 번호를 실행하여 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 기록을 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 업무 중 하나는 GDPR에서 요구하는 대로 처리 활동 기록을 완료하는 것입니다. GDPR에서 요구하는 대로 그녀의 이메일 알림을 받은 후. 그녀의 이메일 알림을 받은 후, Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
앤은 프랭크에게 개인 데이터를 최소화하는 것 외에도 대학은 기존 데이터의 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리를 시작하기 전에 위험 분석을 수행해야 할 수도 있다고 의심합니다. 앤은 추가 조사를 한 후 프랭크와 이에 대해 더 논의하기로 합니다.
프랭크는 여가 시간에 분석을 하고 싶어서, 그것을 집 노트북(암호화되지 않음)으로 옮깁니다. 불행히도 프랭크가 노트북을 대학으로 가져갔을 때 기차에서 잃어버립니다. 프랭크는 그날 안나를 만나 호환 처리에 대해 논의해야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에, 동시에 안나에게 분실된 노트북에 대해 말하기로 합니다.
안나가 처리 활동 기록에 포함시킬 필요가 없는 대학 기록은 무엇입니까?
CIPP-E 문제 58
Murla HB Club은 새로운 접근 시스템을 설치하기 전에 DPIA를 수행했어야 했으며, 다른 시점에는 언제 수행했어야 했습니까?
CIPP-E 문제 59
다음 중 데이터 보호 책임자를 지정해야 하는 것은 무엇입니까?
CIPP-E 문제 60
대본
다음 질문에 답하려면 다음을 사용하세요.
인력이 급속히 확대됨에 따라 회사 A는 자사의 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다. 회사 B는 상당한 고객 기반과 업계에서 탄탄한 평판을 갖춘 정립된 급여 서비스 제공업체입니다.
회사 B의 회사 A에 대한 급여 솔루션은 회사 A의 각 공장에 설치된 생체 인식 입력 시스템을 통해 얻은 근무 시간 및 출석 데이터 수집에 의존합니다. 회사 B는 생체 인식 데이터를 직접 보유하지 않지만 관련 데이터는 회사 B의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
이름
주소
생일
급여번호
국민보험번호
병가 수당 자격
출산휴가/육아휴가 수당 자격
휴가 권리
연금 및 혜택 기여금
노동조합 기부금
제니는 회사 A의 규정 준수 책임자입니다. 그녀는 먼저 회사 A가 새로운 근무 시간 및 출석 시스템과 관련하여 데이터 보호 영향 평가를 실시해야 하는지 고려하지만, 이것이 필요한지 여부는 확신하지 못합니다.
하지만 제니는 GDPR에 따라 회사 B가 급여 서비스를 제공하는 목적으로만 근무 시간 및 출석 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술적, 조직적 보안 조치를 적용하도록 요구하는 공식적인 서면 계약이 있어야 한다는 것을 알고 있습니다. 제니는 회사 B가 데이터 보호 책임자로부터 조언을 구하도록 제안합니다. 회사에는 DPO가 없지만 계약을 마무리하기 위해 조항에 전부 서명하는 데 동의합니다. 회사 A가 계약을 체결합니다.
몇 주 후, 회사 A와 계약 중인 회사 B는 급여 서비스 기능을 개선하기 위한 별도의 프로젝트에 착수하고 회사 C의 도움을 받습니다. 회사 C는 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하여 회사 B의 새 데이터베이스를 만드는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에 호스팅된 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되므로 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
안타깝게도 회사 C의 미국 서버는 오래된 IT 보안 시스템으로만 보호되고 있으며, 회사 C가 프로젝트를 시작한 직후 사이버 보안 사고가 발생했습니다. 그 결과 회사 A의 직원과 관련된 데이터는 회사 C의 웹사이트를 방문하는 모든 사람에게 표시됩니다. 회사 A는 제니가 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못했습니다. 제니는 침해 사실을 알게 되자마자 영향을 받은 모든 직원에게 알립니다.
GDPR에 따르면 회사 B의 어떤 행위가 잠재적인 집행 조치를 촉발할 가능성이 없겠습니까?
다음 질문에 답하려면 다음을 사용하세요.
인력이 급속히 확대됨에 따라 회사 A는 자사의 급여 기능을 회사 B에 아웃소싱하기로 결정했습니다. 회사 B는 상당한 고객 기반과 업계에서 탄탄한 평판을 갖춘 정립된 급여 서비스 제공업체입니다.
회사 B의 회사 A에 대한 급여 솔루션은 회사 A의 각 공장에 설치된 생체 인식 입력 시스템을 통해 얻은 근무 시간 및 출석 데이터 수집에 의존합니다. 회사 B는 생체 인식 데이터를 직접 보유하지 않지만 관련 데이터는 회사 B의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
이름
주소
생일
급여번호
국민보험번호
병가 수당 자격
출산휴가/육아휴가 수당 자격
휴가 권리
연금 및 혜택 기여금
노동조합 기부금
제니는 회사 A의 규정 준수 책임자입니다. 그녀는 먼저 회사 A가 새로운 근무 시간 및 출석 시스템과 관련하여 데이터 보호 영향 평가를 실시해야 하는지 고려하지만, 이것이 필요한지 여부는 확신하지 못합니다.
하지만 제니는 GDPR에 따라 회사 B가 급여 서비스를 제공하는 목적으로만 근무 시간 및 출석 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술적, 조직적 보안 조치를 적용하도록 요구하는 공식적인 서면 계약이 있어야 한다는 것을 알고 있습니다. 제니는 회사 B가 데이터 보호 책임자로부터 조언을 구하도록 제안합니다. 회사에는 DPO가 없지만 계약을 마무리하기 위해 조항에 전부 서명하는 데 동의합니다. 회사 A가 계약을 체결합니다.
몇 주 후, 회사 A와 계약 중인 회사 B는 급여 서비스 기능을 개선하기 위한 별도의 프로젝트에 착수하고 회사 C의 도움을 받습니다. 회사 C는 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하여 회사 B의 새 데이터베이스를 만드는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에 호스팅된 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되므로 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
안타깝게도 회사 C의 미국 서버는 오래된 IT 보안 시스템으로만 보호되고 있으며, 회사 C가 프로젝트를 시작한 직후 사이버 보안 사고가 발생했습니다. 그 결과 회사 A의 직원과 관련된 데이터는 회사 C의 웹사이트를 방문하는 모든 사람에게 표시됩니다. 회사 A는 제니가 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못했습니다. 제니는 침해 사실을 알게 되자마자 영향을 받은 모든 직원에게 알립니다.
GDPR에 따르면 회사 B의 어떤 행위가 잠재적인 집행 조치를 촉발할 가능성이 없겠습니까?