무료 온라인 액세스 IAPP.CIPP-E.v2025-08-11.q240 모의 시험 (Page 28)

CIPP-E 문제 131

예상치 못한 정전으로 인해 회사 Z는 6시간 동안 고객 데이터에 액세스할 수 없게 되었습니다. GDPR 32조에 따르면 이는 침해로 간주됩니다. WP 29의 2018년 2월 지침에 따르면 회사 Z는 다음 중 무엇을 해야 합니까?

A. 영향을 받은 개인에게 일정 기간 동안 데이터를 사용할 수 없었음을 알립니다.

B. 책임을 입증하기 위해 가용성 손실을 문서화합니다.

C. 가용성 손실에 대해 감독 기관에 통보합니다.

D. 모든 보안 시스템에 대한 철저한 감사를 실시합니다.

정답: B

GDPR 제32조에 따르면, 통제자와 처리자는 물리적 또는 기술적 사고 발생 시 적시에 개인 데이터의 가용성과 액세스를 복원하는 기능을 포함하여 처리 위험에 적합한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다.1 개인 데이터 침해는 전송, 저장 또는 기타 방식으로 처리되는 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해로 정의됩니다.2 따라서 6시간 동안 고객 데이터의 가용성을 상실하는 정전은 GDPR에 따라 개인 데이터 침해로 간주됩니다.
유럽 데이터 보호 위원회에서 지지한 WP 29의 2018년 2월 지침에 따라, 회사 Z는 책임을 입증하기 위해 가용성 손실을 문서화해야 합니다.3 이 지침은 통제자가 개인 데이터 침해를 문서화해야 하며, 침해를 감독 기관이나 데이터 주체에게 통지해야 하는지 여부와 관계없이 개인 데이터 침해와 관련된 사실, 그 영향 및 취해진 시정 조치를 포함해야 한다고 명시합니다. 이 문서는 감독 기관이 GDPR 준수 여부를 확인할 수 있도록 해야 하며, 요청 시 감독 기관에서 사용할 수 있어야 합니다.4
다른 옵션(A, C, D)은 GDPR 또는 지침에서 요구하지 않지만 상황에 따라 권장되거나 유익할 수 있습니다.옵션 A는 필수가 아닙니다.GDPR은 위반으로 인해 자연인의 권리와 자유에 대한 높은 위험이 발생할 가능성이 있는 경우에만 컨트롤러가 개인 데이터 침해를 데이터 주체에게 전달하도록 요구하기 때문입니다.5 일시적인 가용성 손실은 데이터 주체의 필수 서비스나 활동에 영향을 미치지 않는 한 그렇게 높은 위험을 초래하지 않을 수 있습니다.옵션 C도 의무가 아닙니다.GDPR은 위반으로 인해 자연인의 권리와 자유에 대한 위험이 발생할 가능성이 없는 경우를 제외하고는 컨트롤러가 72시간 이내에 감독 기관에 개인 데이터 침해를 통지하도록 요구하기 때문입니다.6 단기적인 가용성 손실은 많은 수의 데이터 주체나 민감한 데이터에 영향을 미치지 않는 한 그러한 위험을 수반하지 않을 수 있습니다. 옵션 D는 GDPR 또는 지침에 명시되어 있지 않지만, 개인 데이터 침해 후 모든 보안 시스템에 대한 철저한 감사를 수행하여 사고에 기여했거나 향후 사고로 이어질 수 있는 취약성이나 약점을 식별하고 해결하는 것이 좋은 관행일 수 있습니다. 참조:
* 1: GDPR 제32조
* 2: GDPR 제4조(12)항
* 3: WP29 가이드라인 승인
* 4: GDPR 제33조(5)항
* 5: GDPR 제34조(1)항
* 6: GDPR 제33조(1)항
* 7: 규정 2016/679에 따른 개인 데이터 침해 통지에 대한 지침, WP250 rev.01
* 8: 개인 데이터 처리와 이러한 데이터의 자유로운 이동에 관한 자연인 보호에 관한 2016년 4월 27일 유럽 의회 및 이사회 규정(EU) 2016/679 (일반 데이터 보호 규정) 및 지침 95/46/EC 폐지
* 9: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679

CIPP-E 문제 132

유럽사법재판소가 2014년에 데이터 보존 지침을 무효로 선언한 이유는 무엇입니까?

A. 해당 요구 사항은 예외 없이 개인에게 영향을 미칩니다.

B. 이러한 요구 사항은 EU 기업에 재정적으로 부담이 되었습니다.

C. 요구 사항에는 데이터가 EU 내에서 보관되어야 한다는 것이 명시되어 있습니다.

D. 해당 요구 사항에는 국가 기관이 데이터를 사용하는 방법에 제한이 있었습니다.

CIPP-E 문제 133

조직은 COVID-19 모니터링의 일환으로 체온 검사를 실시합니다. 체온은 수동으로 측정되며 개인의 개인 데이터에 대한 등록, 문서화 또는 기타 처리가 뒤따르지 않습니다.
다음 중 이 관행이 GDPR의 적용을 받지 않는 이유를 가장 잘 설명하는 것은 무엇입니까?

A. 이 관행은 대중 건강에 대한 극심한 위험을 완화하기 위한 것입니다.

B. 이 관행에는 자동화된 수단을 통한 완료가 포함되지 않습니다.

C. 체온은 개인정보로 간주되지 않습니다.

D. 체온은 가명 데이터로 간주됩니다.

CIPP-E 문제 134

초등학교에서 얼굴 인식을 사용하여 학생 출석을 추적할 계획입니다. 다음 중 어느 것이 이 처리에 대한 합법적 근거를 제공할 수 있습니까?

A. 학교는 각 카메라 근처에 공지문을 게시합니다.

B. 학교는 학생으로부터 명확한 동의를 받습니다.

C. 학교의 합법적 이익을 위해 처리가 필요합니다.

D. 주법에 따라 참석 여부를 확인하기 위해 얼굴 인식이 필요합니다.

정답: B

참조:
학생 출석을 추적하기 위한 얼굴 인식 기술의 사용에는 GDPR에 따른 특수 범주의 개인 데이터인 생체 인식 데이터 처리가 포함됩니다. 이러한 데이터는 특정 조건 하에서만 처리될 수 있으며, 그 중 하나는 데이터 주체의 명시적 동의입니다.1 따라서 학교는 학생(또는 학생이 미성년자인 경우 법적 보호자)의 명시적 동의를 얻는 경우 이 처리에 대한 합법적 근거를 제공할 수 있습니다. 동의는 자유롭게 제공되어야 하고, 구체적이고, 정보에 입각하고, 모호하지 않아야 하며, 학생은 언제든지 동의를 철회할 권리가 있어야 합니다.2 다른 옵션은 특수 범주의 데이터를 처리하기 위한 요구 사항을 충족하지 않으므로 이 처리에 대한 합법적 근거를 제공하지 않습니다. 각 카메라 근처에 공지문을 게시하는 것은 동의를 구성하지 않으며 투명성 원칙을 준수하지도 않습니다.3 학교의 합법적 이익을 위한 처리가 일반적으로 개인 데이터를 처리하는 데 유효한 근거가 될 수 있지만, 적절한 보호 장치를 제공하는 특정 법률에 의해 승인되지 않는 한 생체 인식 데이터를 처리하는 데는 유효하지 않습니다.4 출석을 확인하기 위해 얼굴 인식을 요구하는 주법은 일반적으로 개인 데이터를 처리하는 데 유효한 근거가 될 수 있지만, 상당한 공익을 위한 이유로 필요하고 적절한 보호 장치를 제공하지 않는 한 생체 인식 데이터를 처리하는 데는 유효하지 않습니다.5 참조:
무료 CIPP/E 학습 가이드, 24페이지, 3.2절
CIPP/E 인증, 19페이지, 3.2절
Cipp-e 학습 가이드, 수업 노트 및 요약, 17페이지, 3.2절
특수 범주의 개인 데이터 - 일반 데이터 보호 규정(GDPR), 제9조 동의 - 일반 데이터 보호 규정(GDPR), 제7조 원칙 - 일반 데이터 보호 규정(GDPR), 제5조 처리의 합법성 - 일반 데이터 보호 규정(GDPR), 제6조 특수 범주의 개인 데이터 - 일반 데이터 보호 규정(GDPR), 제9조

CIPP-E 문제 135

유럽 위원회와 유럽 연합 위원회의 주요 차이점은 무엇입니까?

A. 유럽연합 이사회는 대통령이 주도합니다.

B. 유럽연합 이사회는 일정 수준의 입법권을 가지고 있습니다.

C. 유럽 이사회는 주로 인권과 관련된 문제에 초점을 맞춥니다.

D. 유럽 이사회는 각 EU 회원국의 수장들로 구성되어 있습니다.

다른 버전: 2072IAPP.CIPP-E.v2025-10-10.q185; 1272IAPP.CIPP-E.v2024-09-16.q211; 634IAPP.CIPP-E.v2023-07-24.q44; 1537IAPP.CIPP-E.v2023-02-11.q108; 1612IAPP.CIPP-E.v2022-06-11.q104; 1828IAPP.CIPP-E.v2022-01-26.q100

최근 업로드: 105WGU.Global-Economics-for-Managers.v2026-06-15.q48; 107Databricks.Databricks-Certified-Data-Engineer-Professional.v2026-06-15.q112; 107Oracle.1Z0-136.v2026-06-15.q46; 106SAP.C-P2W10-2504.v2026-06-15.q29; 111SAP.C_SAC_2601.v2026-06-15.q39; 108Nutanix.NCP-NS.v2026-06-15.q39; 143SAP.C_S4CPB_2602.v2026-06-13.q7; 159SAP.C-S4CS-2602.v2026-06-13.q29; 189Salesforce.Slack-Con-201.v2026-06-13.q86; 190Oracle.1Z1-136.v2026-06-13.q46