GDPR 第 21 条に基づき、管理者は、データ主体から要求された場合、個人の利益に優先する説得力のある正当な理由を証明できない限り、プロファイリングを停止しなければなりません。WP 29 は、自動化された個人の意思決定とプロファイリングに関するガイドラインで、管理者はそのような正当な根拠があることを証明するために次のすべてを行う必要があると述べています。

シナリオ
次の質問に答えるには、以下を使用してください。
あなたは香港に拠点を置く玩具メーカーに採用されたばかりです。同社は、幅広い人形、アクションフィギュア、ぬいぐるみを販売しており、世界中のさまざまな小売店で見つけることができます。このメーカーは香港以外にオフィスを持たず、実際に香港以外にスタッフを雇用していませんが、多数の現地販売契約を結んでいます。同社が製造するおもちゃは、ヨーロッパ、米国、アジアの人気のおもちゃ店で見つけることができます。同社の収益の大部分は海外売上によるものです。
同社は現在、子供たちと会話したり対話したりできる、新しい種類のコネクテッド玩具を発売したいと考えている。同社の CEO は、これらのおもちゃが提供される可能性が高まるため、次の大きなものとして宣伝しています。数字は、数学の計算や天気など、さまざまなテーマについて、子供たちの質問に答えることができます。各フィギュアにはマイクとスピーカーが装備されており、Bluetooth 経由でスマートフォンやタブレットに接続できます。半径 10 メートル以内のモバイル デバイスも Bluetooth 経由でおもちゃに接続できます。フィギュアは (同じメーカーの) 他のフィギュアと関連付けることもでき、相互に作用して遊び体験を強化することもできます。
子供がおもちゃに質問すると、そのリクエストは分析のためにクラウドに送信され、答えはクラウド サーバーで生成されてフィギュアに送り返されます。答えはフィギュアに組み込まれたスピーカーを通じて提供され、あたかもおもちゃが実際に子供の質問に答えているかのように見えます。おもちゃのパッケージには、これがどのように機能するかについての技術的な詳細は記載されておらず、この機能にはインターネット接続が必要であることについても記載されていません。これに必要なデータ処理は南アフリカにあるデータセンターに委託されています。ただし、あなたの会社は、これを示すために消費者向けのプライバシー ポリシーをまだ改訂していません。
並行して、同社は、消費者がゲームをプレイする過程で獲得したキャラクターをプレイできる新しい範囲のゲームシステムを導入することを計画しています。このシステムには、近距離無線通信 (NFC) リーダーを含むポータルがバンドルされています。このデバイスはアクション フィギュアの RFID タグを読み取り、フィギュアを画面上で生き生きとさせます。各キャラクターには独自のストック機能と能力がありますが、ゲーム目標を達成することで追加の機能と能力を獲得することもできます。タグに保存される情報は、フィギュアの能力に関するものだけです。ゲーム中のキャラクターの切り替えも簡単で、フィギュアを家の外に持ち込んでもキャラクターの能力をそのまま維持することも可能です。
会社の慣行に関して最大​​の潜在的なプライバシー問題を引き起こしているものは何ですか?

従業員が雇用主に対して、自分に関して保持している個人データへのアクセス要求を行った場合、何が真実になりますか?

暗号化されていない個人データの盗難を伴う侵入を検出した後、侵害を受けた企業は GDPR 要件に基づいて誰に最初に通知するのでしょうか?

米国の企業の Web サイトではウィジェットが販売されています。次の要因のうち、それ自体が企業を GDPR の対象にしないものはどれですか?