CIPP-E 문제 236
GDPR에서 확인한 인터넷 웹사이트를 통해 서비스를 제공하는 회사의 "설립" 장소는 전자상거래 지침 2000/31/EC에 따라 어디입니까?
CIPP-E 문제 237
통제자를 대신하여 수행되는 처리와 관련하여 통제자와 처리자 간의 서면 계약에 무엇이 포함되어야 합니까?
CIPP-E 문제 238
대본
다음 질문에 답하려면 다음을 사용하세요.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 공학과 강사입니다. 이 대학은 여러 유형의 기록을 보관합니다.
* 이름, 학번, 집 주소, 대학 입학 전 정보, 대학 출석 및 성취 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
* 자서전적 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
* 출생지, 출생연도, 입학일 및 학위 수여일을 포함한 동문 기록.
이러한 기록은 Granchester의 동문 포털을 통해 등록한 졸업생에게만 제공됩니다.
* 교육부 기록은 특정 인구통계 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상되는지 보여줍니다. 이 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
* 대학은 보안 정책에 따라 모든 개인 데이터 기록을 전송 중 및 보관 중에 암호화합니다.
프랭크는 교육을 개선하기 위해 엔지니어링 학생들이 교육부 기대치와 관련하여 어떤 성과를 보이는지 조사하고자 합니다. 그는 안나의 데이터 보호 교육 과정 중 하나에 참석했으며 목표를 달성하는 데 필요한 것 이상의 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다. 이전에 다녔던 학교, 원래 취득한 성적, 현재 취득한 성적, 처음 대학에 다녔던 시간입니다. 그는 기록을 개별 학생 수준에서 보관하고자 합니다.
안나의 훈련을 염두에 두고, 프랭크는 학생 번호를 알고리즘을 통해 실행하여 다른 참조 번호로 변환합니다. 그는 각 경우에 동일한 알고리즘을 사용하여 시간이 지남에 따라 각 기록을 업데이트할 수 있습니다.
Anna의 업무 중 하나는 GDPR에서 요구하는 대로 처리 활동 기록을 완료하는 것입니다. GDPR에서 요구하는 대로 그녀의 이메일 알림을 받은 후. 그녀의 이메일 알림을 받은 후, Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
앤은 프랭크에게 개인 데이터를 최소화하는 것 외에도 대학은 기존 데이터의 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리를 시작하기 전에 위험 분석을 수행해야 할 수도 있다고 의심합니다. 앤은 추가 조사를 한 후 프랭크와 이에 대해 더 논의하기로 합니다.
프랭크는 여가 시간에 분석을 하고 싶어서, 그것을 집 노트북(암호화되지 않음)으로 옮깁니다. 불행히도 프랭크가 노트북을 대학으로 가져갔을 때 기차에서 잃어버립니다. 프랭크는 그날 안나를 만나 호환 처리에 대해 논의해야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에, 동시에 안나에게 분실된 노트북에 대해 말하기로 합니다.
안나가 프랭크의 성과 데이터베이스가 허용되는지 여부를 판단하기 위해 필요한 추가 정보는 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
Anna와 Frank는 둘 다 Granchester University에서 일합니다. Anna는 데이터 보호를 담당하는 변호사이고 Frank는 공학과 강사입니다. 이 대학은 여러 유형의 기록을 보관합니다.
* 이름, 학번, 집 주소, 대학 입학 전 정보, 대학 출석 및 성취 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
* 자서전적 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
* 출생지, 출생연도, 입학일 및 학위 수여일을 포함한 동문 기록.
이러한 기록은 Granchester의 동문 포털을 통해 등록한 졸업생에게만 제공됩니다.
* 교육부 기록은 특정 인구통계 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상되는지 보여줍니다. 이 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
* 대학은 보안 정책에 따라 모든 개인 데이터 기록을 전송 중 및 보관 중에 암호화합니다.
프랭크는 교육을 개선하기 위해 엔지니어링 학생들이 교육부 기대치와 관련하여 어떤 성과를 보이는지 조사하고자 합니다. 그는 안나의 데이터 보호 교육 과정 중 하나에 참석했으며 목표를 달성하는 데 필요한 것 이상의 개인 데이터를 사용해서는 안 된다는 것을 알고 있습니다. 그는 일부 학생 데이터만 내보내는 프로그램을 만듭니다. 이전에 다녔던 학교, 원래 취득한 성적, 현재 취득한 성적, 처음 대학에 다녔던 시간입니다. 그는 기록을 개별 학생 수준에서 보관하고자 합니다.
안나의 훈련을 염두에 두고, 프랭크는 학생 번호를 알고리즘을 통해 실행하여 다른 참조 번호로 변환합니다. 그는 각 경우에 동일한 알고리즘을 사용하여 시간이 지남에 따라 각 기록을 업데이트할 수 있습니다.
Anna의 업무 중 하나는 GDPR에서 요구하는 대로 처리 활동 기록을 완료하는 것입니다. GDPR에서 요구하는 대로 그녀의 이메일 알림을 받은 후. 그녀의 이메일 알림을 받은 후, Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알립니다.
앤은 프랭크에게 개인 데이터를 최소화하는 것 외에도 대학은 기존 데이터의 새로운 사용이 허용되는지 확인해야 한다고 설명합니다. 그녀는 또한 GDPR에 따라 데이터 처리를 시작하기 전에 위험 분석을 수행해야 할 수도 있다고 의심합니다. 앤은 추가 조사를 한 후 프랭크와 이에 대해 더 논의하기로 합니다.
프랭크는 여가 시간에 분석을 하고 싶어서, 그것을 집 노트북(암호화되지 않음)으로 옮깁니다. 불행히도 프랭크가 노트북을 대학으로 가져갔을 때 기차에서 잃어버립니다. 프랭크는 그날 안나를 만나 호환 처리에 대해 논의해야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에, 동시에 안나에게 분실된 노트북에 대해 말하기로 합니다.
안나가 프랭크의 성과 데이터베이스가 허용되는지 여부를 판단하기 위해 필요한 추가 정보는 무엇입니까?
CIPP-E 문제 239
다음 질문에 답하려면 다음을 사용하세요.
잭은 다국적 제약 회사의 아일랜드 사무실에서 COVID-19와 관련된 임상 시험에 대한 약물 안전 감시 운영 전문가로 일했습니다. 잭은 온보딩 프로세스의 일환으로 개인정보 보호 교육을 받았습니다. 그는 업무 과정에서 기밀 환자 데이터를 처리해야 하지만, 업무 관련(요청) 수행 외에는 어떠한 상황에서도 이 데이터를 사용할 수 없다는 명확한 정보를 받았습니다. 이는 잭이 교육을 마치고 서명한 개인정보 보호 정책에도 명시되어 있습니다.
몇 달간 근무한 후, 잭은 환자와 전화로 말다툼을 했습니다. 화가 난 그는 나중에 환자의 이름과 가족 정보를 비하하는 댓글과 함께 소셜 미디어 웹사이트에 게시했습니다. 그의 약물 안전 감시 감독관이 이를 발견했을 때, 잭은 즉시 해고되었습니다. 잭의 변호사는 해고가 과도한 제재이며, 잭이 14일 이내에 복직되지 않으면 그의 회사는 회사를 상대로 법적 절차를 밟을 수밖에 없다고 명시한 편지를 회사에 보냈습니다. 이 편지에는 잭의 데이터 접근 요청이 첨부되어 "잭이 보내거나 받은 내부 이메일을 포함한 모든 개인 데이터 또는 잭이 이메일 내용에서 직접 또는 간접적으로 식별될 수 있는 경우"의 사본을 요청했습니다. 이메일과 관련하여 잭은 받은 편지함에 접근이 필요한 경영팀 구성원 6명을 나열했습니다.
회사는 IT 시스템에 대한 초기 검색을 수행하여 많은 양의 정보를 반환했습니다. 그런 다음 회사는 잭에게 연락하여 필요한 정보를 더 구체적으로 알려달라고 요청하여 타깃 검색을 실시했습니다. 잭은 정보 요청자의 범위를 좁히지 않겠다고 대답했습니다.
GDPR 82조('배상 및 책임에 대한 권리')에 따르면, 데이터 침해로 인한 손해에 대해 누가 책임을 져야 합니까?
잭은 다국적 제약 회사의 아일랜드 사무실에서 COVID-19와 관련된 임상 시험에 대한 약물 안전 감시 운영 전문가로 일했습니다. 잭은 온보딩 프로세스의 일환으로 개인정보 보호 교육을 받았습니다. 그는 업무 과정에서 기밀 환자 데이터를 처리해야 하지만, 업무 관련(요청) 수행 외에는 어떠한 상황에서도 이 데이터를 사용할 수 없다는 명확한 정보를 받았습니다. 이는 잭이 교육을 마치고 서명한 개인정보 보호 정책에도 명시되어 있습니다.
몇 달간 근무한 후, 잭은 환자와 전화로 말다툼을 했습니다. 화가 난 그는 나중에 환자의 이름과 가족 정보를 비하하는 댓글과 함께 소셜 미디어 웹사이트에 게시했습니다. 그의 약물 안전 감시 감독관이 이를 발견했을 때, 잭은 즉시 해고되었습니다. 잭의 변호사는 해고가 과도한 제재이며, 잭이 14일 이내에 복직되지 않으면 그의 회사는 회사를 상대로 법적 절차를 밟을 수밖에 없다고 명시한 편지를 회사에 보냈습니다. 이 편지에는 잭의 데이터 접근 요청이 첨부되어 "잭이 보내거나 받은 내부 이메일을 포함한 모든 개인 데이터 또는 잭이 이메일 내용에서 직접 또는 간접적으로 식별될 수 있는 경우"의 사본을 요청했습니다. 이메일과 관련하여 잭은 받은 편지함에 접근이 필요한 경영팀 구성원 6명을 나열했습니다.
회사는 IT 시스템에 대한 초기 검색을 수행하여 많은 양의 정보를 반환했습니다. 그런 다음 회사는 잭에게 연락하여 필요한 정보를 더 구체적으로 알려달라고 요청하여 타깃 검색을 실시했습니다. 잭은 정보 요청자의 범위를 좁히지 않겠다고 대답했습니다.
GDPR 82조('배상 및 책임에 대한 권리')에 따르면, 데이터 침해로 인한 손해에 대해 누가 책임을 져야 합니까?
CIPP-E 문제 240
대본
다음 질문에 답하려면 다음을 사용하세요.
하비에르는 피트니스 클럽 EVERFIT의 회원입니다. 이 회사는 많은 EU 회원국에 지점이 있지만 GDPR의 목적상 프랑스에 주요 시설을 두고 있습니다. 하비에르는 북아일랜드 뉴리(영국 일부)에 거주하며 국경을 넘어 아일랜드 던독에서 일합니다. 2년 전 출장 중이던 하비에르는 독일 프랑크푸르트에 있는 EVERFIT 지점에서 운동하는 모습이 사진에 포착되었습니다. 당시 하비에르는 홍보 목적으로만 사용된다는 말을 듣고 사진에 포함되는 데 동의했습니다. 그 이후로 이 사진은 클럽의 영국 브로셔에 사용되었고 영국 웹사이트의 랜딩 페이지에도 실렸습니다. 그러나 최근 여러 EU 회원국에 있는 클럽의 다양한 지점에서 회원에 대한 광범위한 학대로 인해 피트니스 클럽의 평판이 나빠졌습니다. 그 결과 하비에르는 자신의 사진이 피트니스 클럽과 공개적으로 연관되는 것을 더 이상 편안하게 여기지 않습니다.
이 문제를 논의하기 위해 지역 지점 관리자와 약속을 잡으려는 시도가 여러 번 실패한 후, 하비에르는 EVETFIT에 자신의 이미지를 웹사이트와 모든 홍보 자료에서 삭제해 달라고 요청하는 편지를 보냅니다. 몇 달이 지나고 하비에르는 자신의 요청에 대한 확인을 받지 못하고 이 문제에 대해 매우 불안해합니다. 다른 채널을 통해 EVETFIT에 연락하는 데 거듭 실패한 후, 그는 회사에 대한 조치를 취하기로 결정합니다.
하비에르는 이 문제에 대한 불만을 제기하기 위해 영국 정보 위원회('ICO' - 영국의 감독 기관)에 연락합니다. ICO는 GDPR 제56조(3)에 따라 CNIL(즉, EVERFIT의 주요 시설에 대한 감독 기관)에 이 문제를 알립니다. EVERFIT이 영국에 시설이 있다는 사실에도 불구하고 CNIL은 GDPR 제60조에 따라 사건을 처리하기로 결정합니다.
CNIL은 협력 절차에 따라 관련 ICO와 연락합니다. 감독 기관 간의 결정에 대한 문제에 비추어 유럽 데이터 보호 위원회가 개입하여 일관성 메커니즘에 따라 구속력 있는 결정을 내립니다.
또한 하비에르는 자신의 사진을 브로셔와 웹사이트에서 삭제해 달라는 요청을 들어주지 않아 발생한 손해에 대해 EVERFIT을 상대로 소송을 제기했습니다.
여러 EU 국가에 걸쳐 있는 다수의 EVETFIT 지점이 별도의 데이터 관리자 역할을 하고 있으며, 각 지점이 하비에르의 요청을 잘못 처리한 데 대한 책임이 있다고 가정할 때, 하비에르는 어떻게 하면 손해배상을 구할 수 있을까?
다음 질문에 답하려면 다음을 사용하세요.
하비에르는 피트니스 클럽 EVERFIT의 회원입니다. 이 회사는 많은 EU 회원국에 지점이 있지만 GDPR의 목적상 프랑스에 주요 시설을 두고 있습니다. 하비에르는 북아일랜드 뉴리(영국 일부)에 거주하며 국경을 넘어 아일랜드 던독에서 일합니다. 2년 전 출장 중이던 하비에르는 독일 프랑크푸르트에 있는 EVERFIT 지점에서 운동하는 모습이 사진에 포착되었습니다. 당시 하비에르는 홍보 목적으로만 사용된다는 말을 듣고 사진에 포함되는 데 동의했습니다. 그 이후로 이 사진은 클럽의 영국 브로셔에 사용되었고 영국 웹사이트의 랜딩 페이지에도 실렸습니다. 그러나 최근 여러 EU 회원국에 있는 클럽의 다양한 지점에서 회원에 대한 광범위한 학대로 인해 피트니스 클럽의 평판이 나빠졌습니다. 그 결과 하비에르는 자신의 사진이 피트니스 클럽과 공개적으로 연관되는 것을 더 이상 편안하게 여기지 않습니다.
이 문제를 논의하기 위해 지역 지점 관리자와 약속을 잡으려는 시도가 여러 번 실패한 후, 하비에르는 EVETFIT에 자신의 이미지를 웹사이트와 모든 홍보 자료에서 삭제해 달라고 요청하는 편지를 보냅니다. 몇 달이 지나고 하비에르는 자신의 요청에 대한 확인을 받지 못하고 이 문제에 대해 매우 불안해합니다. 다른 채널을 통해 EVETFIT에 연락하는 데 거듭 실패한 후, 그는 회사에 대한 조치를 취하기로 결정합니다.
하비에르는 이 문제에 대한 불만을 제기하기 위해 영국 정보 위원회('ICO' - 영국의 감독 기관)에 연락합니다. ICO는 GDPR 제56조(3)에 따라 CNIL(즉, EVERFIT의 주요 시설에 대한 감독 기관)에 이 문제를 알립니다. EVERFIT이 영국에 시설이 있다는 사실에도 불구하고 CNIL은 GDPR 제60조에 따라 사건을 처리하기로 결정합니다.
CNIL은 협력 절차에 따라 관련 ICO와 연락합니다. 감독 기관 간의 결정에 대한 문제에 비추어 유럽 데이터 보호 위원회가 개입하여 일관성 메커니즘에 따라 구속력 있는 결정을 내립니다.
또한 하비에르는 자신의 사진을 브로셔와 웹사이트에서 삭제해 달라는 요청을 들어주지 않아 발생한 손해에 대해 EVERFIT을 상대로 소송을 제기했습니다.
여러 EU 국가에 걸쳐 있는 다수의 EVETFIT 지점이 별도의 데이터 관리자 역할을 하고 있으며, 각 지점이 하비에르의 요청을 잘못 처리한 데 대한 책임이 있다고 가정할 때, 하비에르는 어떻게 하면 손해배상을 구할 수 있을까?