CIPP-E 문제 116
대본
다음 질문에 답하려면 다음을 사용하세요.
이탈리아에 본사를 둔 회사인 BHealthy는 자외선 차단제에 초점을 맞춘 새로운 천연 제품 라인을 출시할 준비가 되었습니다. 제품 출시 전 마지막 단계는 BHealthy가 유럽 전역에서 새로운 자외선 차단제 라인을 얼마나 광범위하게 마케팅할지 결정하기 위한 조사를 수행하는 것입니다. 이를 위해 BHealthy는 천연 제품 가격 결정을 전문으로 하는 회사인 Natural Insight와 협력했습니다. BHealthy는 기존 고객 정보(이름, 위치, 이전 구매 내역)를 Natural Insight와 공유하기로 결정했습니다. Natural Insight는 이 정보를 사용하여 알고리즘을 훈련하여 BHealthy가 새로운 자외선 차단제를 판매할 수 있는 가격대를 결정하는 데 도움을 줄 계획입니다.
BHealthy는 고객 목록을 공유하기 전에 Natural Insight의 보안 관행을 검토했으며, 회사가 연락처 정보를 보호하기에 충분한 보안 조치를 취하고 있다는 결론을 내렸습니다. 또한, BHealthy와 Natural Insight의 데이터 처리 계약 조건에는 기술적 및 조직적 조치의 지속적인 구현이 필요합니다. 또한 계약에는 BHealthy가 제공하는 데이터를 서비스 제공 이외의 모든 목적으로 사용하는 것에 대한 제한이 명시되어 있으며, 여기에는 Natural Insight의 머신 러닝 알고리즘을 지속적으로 개선하기 위한 데이터 사용이 포함됩니다.
어떤 경우 Natural Insight가 알고리즘 개선을 위해 BHealthy의 데이터를 사용하는 것이 데이터 처리자 활동으로 간주될까요?
다음 질문에 답하려면 다음을 사용하세요.
이탈리아에 본사를 둔 회사인 BHealthy는 자외선 차단제에 초점을 맞춘 새로운 천연 제품 라인을 출시할 준비가 되었습니다. 제품 출시 전 마지막 단계는 BHealthy가 유럽 전역에서 새로운 자외선 차단제 라인을 얼마나 광범위하게 마케팅할지 결정하기 위한 조사를 수행하는 것입니다. 이를 위해 BHealthy는 천연 제품 가격 결정을 전문으로 하는 회사인 Natural Insight와 협력했습니다. BHealthy는 기존 고객 정보(이름, 위치, 이전 구매 내역)를 Natural Insight와 공유하기로 결정했습니다. Natural Insight는 이 정보를 사용하여 알고리즘을 훈련하여 BHealthy가 새로운 자외선 차단제를 판매할 수 있는 가격대를 결정하는 데 도움을 줄 계획입니다.
BHealthy는 고객 목록을 공유하기 전에 Natural Insight의 보안 관행을 검토했으며, 회사가 연락처 정보를 보호하기에 충분한 보안 조치를 취하고 있다는 결론을 내렸습니다. 또한, BHealthy와 Natural Insight의 데이터 처리 계약 조건에는 기술적 및 조직적 조치의 지속적인 구현이 필요합니다. 또한 계약에는 BHealthy가 제공하는 데이터를 서비스 제공 이외의 모든 목적으로 사용하는 것에 대한 제한이 명시되어 있으며, 여기에는 Natural Insight의 머신 러닝 알고리즘을 지속적으로 개선하기 위한 데이터 사용이 포함됩니다.
어떤 경우 Natural Insight가 알고리즘 개선을 위해 BHealthy의 데이터를 사용하는 것이 데이터 처리자 활동으로 간주될까요?
CIPP-E 문제 117
다국적 기업이 의무적 데이터 보호 책임자를 임명하고 있습니다. GDPR 제37조(1)에 명시된 규칙을 고려하는 것 외에도, 회사는 운영되는 모든 EU 관할권에서 규정 준수를 보장하기 위해 다음 중 어떤 조치를 취해야 합니까?
CIPP-E 문제 118
일반 데이터 보호 규정(GDPR)과 유럽 평의회 협약 108에 대해 사실인 것은 무엇입니까?
CIPP-E 문제 119
대본
다음 질문에 답하려면 다음을 사용하세요.
인력이 급속히 확대됨에 따라 회사 A는 회사 B에 급여 기능을 아웃소싱하기로 결정했습니다.
회사 B는 업계에서 탄탄한 평판과 대규모 고객 기반을 갖춘 기존 급여 서비스 제공업체입니다.
회사 B의 회사 A에 대한 급여 솔루션은 회사 A의 각 공장에 설치된 생체 인식 입력 시스템을 통해 얻은 근무 시간 및 출석 데이터 수집에 의존합니다. 회사 B는 생체 인식 데이터를 직접 보유하지 않지만 관련 데이터는 회사 B의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여번호
* 국민보험번호
* 병가 수당 자격
* 출산휴가/육아휴가 수당 자격
* 휴가권
* 연금 및 혜택 기여금
* 노동조합 기부금
제니는 회사 A의 규정 준수 책임자입니다. 그녀는 먼저 회사 A가 새로운 근무 시간 및 출석 시스템과 관련하여 데이터 보호 영향 평가를 실시해야 하는지 고려하지만, 이것이 필요한지 여부는 확신하지 못합니다.
하지만 제니는 GDPR에 따라 회사 B가 급여 서비스를 제공하는 목적으로만 근무 시간 및 출석 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술적, 조직적 보안 조치를 적용하도록 요구하는 공식적인 서면 계약이 있어야 한다는 것을 알고 있습니다. 제니는 회사 B가 데이터 보호 책임자로부터 조언을 구하도록 제안합니다. 회사에는 DPO가 없지만 계약을 마무리하기 위해 조항에 전부 서명하는 데 동의합니다. 회사 A가 계약을 체결합니다.
몇 주 후, 회사 A와 계약 중인 회사 B는 급여 서비스 기능을 개선하기 위한 별도의 프로젝트에 착수하고 회사 C의 도움을 받습니다. 회사 C는 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하여 회사 B의 새 데이터베이스를 만드는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에 호스팅된 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되므로 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도, 회사 C의 미국 서버는 오래된 IT 보안 시스템으로만 보호되고 있으며, 회사 C가 프로젝트를 시작한 직후 사이버 보안 사고가 발생합니다. 그 결과, 회사 A의 직원과 관련된 데이터는 회사 C의 웹사이트를 방문하는 모든 사람에게 표시됩니다. 회사 A는 제니가 이어지는 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못합니다.
제니는 침해 사실을 알게 되자마자 영향을 받은 모든 직원에게 알립니다.
GDPR은 회사가 적절한 기술적 및 조직적 조치를 구현할 수 있는 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있는 가장 현실적인 방법은 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
인력이 급속히 확대됨에 따라 회사 A는 회사 B에 급여 기능을 아웃소싱하기로 결정했습니다.
회사 B는 업계에서 탄탄한 평판과 대규모 고객 기반을 갖춘 기존 급여 서비스 제공업체입니다.
회사 B의 회사 A에 대한 급여 솔루션은 회사 A의 각 공장에 설치된 생체 인식 입력 시스템을 통해 얻은 근무 시간 및 출석 데이터 수집에 의존합니다. 회사 B는 생체 인식 데이터를 직접 보유하지 않지만 관련 데이터는 회사 B의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여번호
* 국민보험번호
* 병가 수당 자격
* 출산휴가/육아휴가 수당 자격
* 휴가권
* 연금 및 혜택 기여금
* 노동조합 기부금
제니는 회사 A의 규정 준수 책임자입니다. 그녀는 먼저 회사 A가 새로운 근무 시간 및 출석 시스템과 관련하여 데이터 보호 영향 평가를 실시해야 하는지 고려하지만, 이것이 필요한지 여부는 확신하지 못합니다.
하지만 제니는 GDPR에 따라 회사 B가 급여 서비스를 제공하는 목적으로만 근무 시간 및 출석 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술적, 조직적 보안 조치를 적용하도록 요구하는 공식적인 서면 계약이 있어야 한다는 것을 알고 있습니다. 제니는 회사 B가 데이터 보호 책임자로부터 조언을 구하도록 제안합니다. 회사에는 DPO가 없지만 계약을 마무리하기 위해 조항에 전부 서명하는 데 동의합니다. 회사 A가 계약을 체결합니다.
몇 주 후, 회사 A와 계약 중인 회사 B는 급여 서비스 기능을 개선하기 위한 별도의 프로젝트에 착수하고 회사 C의 도움을 받습니다. 회사 C는 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하여 회사 B의 새 데이터베이스를 만드는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에 호스팅된 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되므로 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
불행히도, 회사 C의 미국 서버는 오래된 IT 보안 시스템으로만 보호되고 있으며, 회사 C가 프로젝트를 시작한 직후 사이버 보안 사고가 발생합니다. 그 결과, 회사 A의 직원과 관련된 데이터는 회사 C의 웹사이트를 방문하는 모든 사람에게 표시됩니다. 회사 A는 제니가 이어지는 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못합니다.
제니는 침해 사실을 알게 되자마자 영향을 받은 모든 직원에게 알립니다.
GDPR은 회사가 적절한 기술적 및 조직적 조치를 구현할 수 있는 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있는 가장 현실적인 방법은 무엇일까요?
CIPP-E 문제 120
GDPR에 따라 개인 데이터가 데이터 주체로부터 직접 수집되지 않은 경우, 데이터 관리자는 데이터 처리에 대한 정보를 데이터 주체에게 직접 제공하는 일에서 면제됩니다. 그 경우는 언제인가요?