CIPP-E 문제 146
대본
다음 질문에 답하려면 다음을 사용하세요.
제인 스탠은 온라인 플랫폼을 통해 누구나 암호화폐를 사고 팔 수 있는 몰타 소재 회사에서 데이터 보호 책임자(DPO)로 새로운 역할을 맡았습니다. 이 회사는 몰타 |EU에 위치한 전용 데이터 센터에서 고객의 개인 데이터를 저장하고 처리합니다.
암호화폐 거래를 원하는 사람은 플랫폼에서 온라인 계좌를 개설해야 합니다. 그런 다음 자금 세탁을 방지하고 해당 금융 규정을 준수하는 것을 목표로 하는 KYC 실사 절차를 성공적으로 통과해야 합니다.
유럽 지역이 아닌 고객도 플랫폼에서 계정이 승인되려면 굵은 글씨로 쓰여진 면책 조항을 읽고 별도 페이지에 있는 체크 박스에 체크하여 GDPR 권리를 모두 포기해야 합니다.
고객은 또한 플랫폼의 서비스 약관을 수락해야 합니다. 서비스 약관에는 개인정보 보호 정책 섹션도 포함되어 있으며, 여기에는 AWS 클라우드에서 운영되는 백업 시스템에 잠재적으로 문제가 있는 것은 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
제인 스탠은 온라인 플랫폼을 통해 누구나 암호화폐를 사고 팔 수 있는 몰타 소재 회사에서 데이터 보호 책임자(DPO)로 새로운 역할을 맡았습니다. 이 회사는 몰타 |EU에 위치한 전용 데이터 센터에서 고객의 개인 데이터를 저장하고 처리합니다.
암호화폐 거래를 원하는 사람은 플랫폼에서 온라인 계좌를 개설해야 합니다. 그런 다음 자금 세탁을 방지하고 해당 금융 규정을 준수하는 것을 목표로 하는 KYC 실사 절차를 성공적으로 통과해야 합니다.
유럽 지역이 아닌 고객도 플랫폼에서 계정이 승인되려면 굵은 글씨로 쓰여진 면책 조항을 읽고 별도 페이지에 있는 체크 박스에 체크하여 GDPR 권리를 모두 포기해야 합니다.
고객은 또한 플랫폼의 서비스 약관을 수락해야 합니다. 서비스 약관에는 개인정보 보호 정책 섹션도 포함되어 있으며, 여기에는 AWS 클라우드에서 운영되는 백업 시스템에 잠재적으로 문제가 있는 것은 무엇입니까?
CIPP-E 문제 147
대본
다음 질문에 답하려면 다음을 사용하세요.
인력이 급속히 확대됨에 따라 회사 A는 회사 B에 급여 기능을 아웃소싱하기로 결정했습니다.
회사 B는 업계에서 탄탄한 평판과 대규모 고객 기반을 갖춘 기존 급여 서비스 제공업체입니다.
회사 B의 회사 A에 대한 급여 솔루션은 회사 A의 각 공장에 설치된 생체 인식 입력 시스템을 통해 얻은 근무 시간 및 출석 데이터 수집에 의존합니다. 회사 B는 생체 인식 데이터를 직접 보유하지 않지만 관련 데이터는 회사 B의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여번호
* 국민보험번호
* 병가 수당 자격
* 출산휴가/육아휴가 수당 자격
* 휴가권
* 연금 및 혜택 기여금
* 노동조합 기부금
제니는 A회사의 컴플라이언스 관리자입니다.
그녀는 회사 A가 새로운 출퇴근 관리 시스템과 관련하여 데이터 보호 영향 평가를 실시해야 하는지 먼저 고려했지만, 이것이 필요한지 확신하지 못했습니다.
하지만 제니는 GDPR에 따라 회사 B가 급여 서비스를 제공하는 목적으로만 근무 시간 및 출석 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술적, 조직적 보안 조치를 적용하도록 요구하는 공식적인 서면 계약이 있어야 한다는 것을 알고 있습니다. 제니는 회사 B가 데이터 보호 책임자로부터 조언을 구하도록 제안합니다. 회사에는 DPO가 없지만 계약을 마무리하기 위해 조항에 전부 서명하는 데 동의합니다. 회사 A가 계약을 체결합니다.
몇 주 후, 회사 A와 계약 중인 회사 B는 급여 서비스 기능을 개선하기 위한 별도의 프로젝트에 착수하고 회사 C의 도움을 받습니다. 회사 C는 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하여 회사 B의 새 데이터베이스를 만드는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에 호스팅된 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되므로 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
안타깝게도 회사 C의 미국 서버는 오래된 IT 보안 시스템으로만 보호되고 있으며, 회사 C가 프로젝트를 시작한 직후 사이버 보안 사고가 발생했습니다. 그 결과 회사 A의 직원과 관련된 데이터는 회사 C의 웹사이트를 방문하는 모든 사람에게 표시됩니다. 회사 A는 제니가 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못했습니다. 제니는 침해 사실을 알게 되자마자 영향을 받은 모든 직원에게 알립니다.
GDPR은 회사가 적절한 기술적 및 조직적 조치를 구현할 수 있는 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있는 가장 현실적인 방법은 무엇일까요?
다음 질문에 답하려면 다음을 사용하세요.
인력이 급속히 확대됨에 따라 회사 A는 회사 B에 급여 기능을 아웃소싱하기로 결정했습니다.
회사 B는 업계에서 탄탄한 평판과 대규모 고객 기반을 갖춘 기존 급여 서비스 제공업체입니다.
회사 B의 회사 A에 대한 급여 솔루션은 회사 A의 각 공장에 설치된 생체 인식 입력 시스템을 통해 얻은 근무 시간 및 출석 데이터 수집에 의존합니다. 회사 B는 생체 인식 데이터를 직접 보유하지 않지만 관련 데이터는 회사 B의 영국 서버에 업로드되어 급여 서비스를 제공하는 데 사용됩니다. 회사 B의 라이브 시스템에는 회사 A의 각 직원에 대한 다음 정보가 포함됩니다.
* 이름
* 주소
* 생일
* 급여번호
* 국민보험번호
* 병가 수당 자격
* 출산휴가/육아휴가 수당 자격
* 휴가권
* 연금 및 혜택 기여금
* 노동조합 기부금
제니는 A회사의 컴플라이언스 관리자입니다.
그녀는 회사 A가 새로운 출퇴근 관리 시스템과 관련하여 데이터 보호 영향 평가를 실시해야 하는지 먼저 고려했지만, 이것이 필요한지 확신하지 못했습니다.
하지만 제니는 GDPR에 따라 회사 B가 급여 서비스를 제공하는 목적으로만 근무 시간 및 출석 데이터를 사용하고 데이터를 보호하기 위한 적절한 기술적, 조직적 보안 조치를 적용하도록 요구하는 공식적인 서면 계약이 있어야 한다는 것을 알고 있습니다. 제니는 회사 B가 데이터 보호 책임자로부터 조언을 구하도록 제안합니다. 회사에는 DPO가 없지만 계약을 마무리하기 위해 조항에 전부 서명하는 데 동의합니다. 회사 A가 계약을 체결합니다.
몇 주 후, 회사 A와 계약 중인 회사 B는 급여 서비스 기능을 개선하기 위한 별도의 프로젝트에 착수하고 회사 C의 도움을 받습니다. 회사 C는 회사 B의 라이브 시스템에서 모든 개인 데이터를 추출하여 회사 B의 새 데이터베이스를 만드는 데 동의합니다.
이 데이터베이스는 회사 C의 미국 서버에 호스팅된 테스트 환경에 저장됩니다. 두 회사는 데이터가 IT 테스트 목적으로만 사용되므로 서비스 계약에 데이터 처리 조항을 포함하지 않기로 동의합니다.
안타깝게도 회사 C의 미국 서버는 오래된 IT 보안 시스템으로만 보호되고 있으며, 회사 C가 프로젝트를 시작한 직후 사이버 보안 사고가 발생했습니다. 그 결과 회사 A의 직원과 관련된 데이터는 회사 C의 웹사이트를 방문하는 모든 사람에게 표시됩니다. 회사 A는 제니가 조사와 관련하여 감독 기관으로부터 편지를 받을 때까지 이를 알지 못했습니다. 제니는 침해 사실을 알게 되자마자 영향을 받은 모든 직원에게 알립니다.
GDPR은 회사가 적절한 기술적 및 조직적 조치를 구현할 수 있는 능력에 대한 충분한 보장을 요구합니다. 회사 B가 이 요구 사항을 충족할 수 있는 가장 현실적인 방법은 무엇일까요?
CIPP-E 문제 148
다음 중 지시사항을 정확하게 설명한 것은 무엇입니까?
CIPP-E 문제 149
유럽 데이터 보호 위원회에 따르면, EU에 등록되지 않았지만 GDPR의 적용을 받는 관리자가 개인 데이터 침해를 인지한 경우, 어떤 감독 기관에 통보해야 합니까?
CIPP-E 문제 150
다음 중 GDPR의 영토적 범위가 적용되지 않는 당사자는 누구입니까?