CIPP-E 試験問題 141
シナリオ
次の質問に答えるには、以下を使用してください。
従業員の急速な拡大により、A 社は給与計算業務を B 社にアウトソーシングすることにしました。
B 社は、大規模な顧客ベースを持ち、業界で確固たる評判を得ている確立された給与計算サービス プロバイダーです。
B 社の A 社向け給与計算ソリューションは、A 社の各工場に設置された生体認証入力システムを介して取得された勤怠データの収集に依存しています。B 社自体は生体認証データを保持しませんが、関連データは B 社の英国のサーバーにアップロードされ、給与計算サービスの提供に使用されます。B 社のライブ システムには、A 社の各従業員に関する次の情報が含まれます。
* 名前
* 住所
* 生年月日
* 給与番号
* 国民保険番号
* 傷病手当金の受給権
* 出産/父親手当の受給資格
*休日の権利
* 年金および給付金の拠出
* 労働組合の寄付
ジェニーは A 社のコンプライアンス責任者です。
彼女はまず、A 社が新しい勤怠管理システムに関連してデータ保護の影響評価を実行する必要があるかどうかを検討しますが、これが必要かどうかはわかりません。
ただし、ジェニーは、GDPR の下では、B 社が給与計算サービスを提供する目的でのみ勤怠勤怠データを使用すること、およびデータを保護するために適切な技術的および組織的セキュリティ対策を適用することを要求する正式な書面による契約が必要であることを知っています。 。ジェニーは、B 社にデータ保護担当者からアドバイスを受けるよう提案します。同社には DPO はありませんが、契約を最終的に締結するために、条項を完全に適用することに同意しています。A社は契約を締結します。
数週間後、B 社はまだ A 社との契約を結んでいますが、給与計算サービスの機能を強化することを目的とした別のプロジェクトに着手し、C 社に支援を依頼しました。会社 C は、会社 B 用の新しいデータベースを作成するために、会社 B のライブ システムからすべての個人データを抽出することに同意します。
このデータベースは、C 社の米国サーバーでホストされるテスト環境に保存されます。データは IT テストの目的でのみ使用されるため、両社はサービス契約にデータ処理条項を含めないことに同意します。
残念なことに、C 社の米国サーバーは時代遅れの IT セキュリティ システムによってのみ保護されており、C 社がプロジェクトに取り組み始めた直後にサイバー セキュリティ インシデントに見舞われました。その結果、A 社の従業員に関するデータは、C 社の Web サイトにアクセスしたすべてのユーザーに表示されます。A 社は、ジェニーがその後の調査に関連して監督当局から手紙を受け取るまで、このことに気づきませんでした。ジェニーは侵害に気づくとすぐに、影響を受けるすべての従業員に通知します。
GDPR では、企業が適切な技術的および組織的対策を実施する能力を十分に保証することが求められています。B 社がこの要件を満たす最も現実的な方法は何でしょうか?
次の質問に答えるには、以下を使用してください。
従業員の急速な拡大により、A 社は給与計算業務を B 社にアウトソーシングすることにしました。
B 社は、大規模な顧客ベースを持ち、業界で確固たる評判を得ている確立された給与計算サービス プロバイダーです。
B 社の A 社向け給与計算ソリューションは、A 社の各工場に設置された生体認証入力システムを介して取得された勤怠データの収集に依存しています。B 社自体は生体認証データを保持しませんが、関連データは B 社の英国のサーバーにアップロードされ、給与計算サービスの提供に使用されます。B 社のライブ システムには、A 社の各従業員に関する次の情報が含まれます。
* 名前
* 住所
* 生年月日
* 給与番号
* 国民保険番号
* 傷病手当金の受給権
* 出産/父親手当の受給資格
*休日の権利
* 年金および給付金の拠出
* 労働組合の寄付
ジェニーは A 社のコンプライアンス責任者です。
彼女はまず、A 社が新しい勤怠管理システムに関連してデータ保護の影響評価を実行する必要があるかどうかを検討しますが、これが必要かどうかはわかりません。
ただし、ジェニーは、GDPR の下では、B 社が給与計算サービスを提供する目的でのみ勤怠勤怠データを使用すること、およびデータを保護するために適切な技術的および組織的セキュリティ対策を適用することを要求する正式な書面による契約が必要であることを知っています。 。ジェニーは、B 社にデータ保護担当者からアドバイスを受けるよう提案します。同社には DPO はありませんが、契約を最終的に締結するために、条項を完全に適用することに同意しています。A社は契約を締結します。
数週間後、B 社はまだ A 社との契約を結んでいますが、給与計算サービスの機能を強化することを目的とした別のプロジェクトに着手し、C 社に支援を依頼しました。会社 C は、会社 B 用の新しいデータベースを作成するために、会社 B のライブ システムからすべての個人データを抽出することに同意します。
このデータベースは、C 社の米国サーバーでホストされるテスト環境に保存されます。データは IT テストの目的でのみ使用されるため、両社はサービス契約にデータ処理条項を含めないことに同意します。
残念なことに、C 社の米国サーバーは時代遅れの IT セキュリティ システムによってのみ保護されており、C 社がプロジェクトに取り組み始めた直後にサイバー セキュリティ インシデントに見舞われました。その結果、A 社の従業員に関するデータは、C 社の Web サイトにアクセスしたすべてのユーザーに表示されます。A 社は、ジェニーがその後の調査に関連して監督当局から手紙を受け取るまで、このことに気づきませんでした。ジェニーは侵害に気づくとすぐに、影響を受けるすべての従業員に通知します。
GDPR では、企業が適切な技術的および組織的対策を実施する能力を十分に保証することが求められています。B 社がこの要件を満たす最も現実的な方法は何でしょうか?
CIPP-E 試験問題 142
GDPR により、企業が本来の収集目的を超えてデータを処理できるようになるのはいつですか?
CIPP-E 試験問題 143
GDPR の第 58 条では、監督当局の権限について説明しています。付与されないものは次のうちどれですか?
CIPP-E 試験問題 144
シナリオ
次の質問に答えるには、以下を使用してください。
ジョーは 2000 年に米国バーモント州の自宅から Gummy Bear Company を設立しました。現在、同社はあらゆる大陸で事業を展開する数十億ドル規模のキャンディー会社です。同社の IT サーバーはすべてバーモント州にあります。今年、ジョーは息子のベンを会社に入社させ、わずか 5 年で総収益を 3 倍にする主要なマーケティング戦略であるプロジェクト ビッグを指揮してもらいます。ベンは一流大学をコンピュータ ソフトウェアの博士号を取得して卒業しました。ベンは父親の会社に入社することを決めましたが、ベン・ノウズ・ベストという新しい世界的なオンライン出会い系サイト会社の立ち上げにも密かに取り組んでいます。
ベンは、Gummy Bear Company に何百万もの顧客がいることを認識しており、その多くが自分にぴったりの相手を見つけることに興味を持っているのではないかと考えています。Project Big のために、Ben は会社のオンライン Web ポータルを再設計し、欧州連合およびその他の地域の顧客に対し、顧客であり続けるために追加の個人情報の提供を要求します。プロジェクト ベンは、顧客の哲学的信念、政治的意見、婚姻状況に関するデータの収集を開始します。
顧客が独身であると判明した場合、ベンはその顧客の個人データをすべて Ben Knows Best の別のデータベースにコピーします。ベンは、情報を受け入れる前にボックスにチェックを入れるよう各顧客に明示的に求めているため、自分は何も悪いことをしていないと信じています。Project Big は重要なプロジェクトであるため、会社はベンを助けるためにコンピューター サイエンスを勉強している大学 1 年生のサムも雇用します。
ベンが声をかけると、サムはベン・ノウズ・ベストのデータベースを発見する。サムは 10 人の友人とともにスプリング ビークを越えてアイルランドに行く予定です。そこで、サムと彼の友人がアイルランドにいるときに連絡できるように、アイルランドに居住する人々の顧客情報をすべてコピーします。
ジョーはまた、米国のロースクールを卒業したばかりの親友の娘アリスを会社の新しい法務顧問として雇います。アリスは GDPR について聞いたことがあるので、それについて調査します。アリスはジョーに近づき、社内の全員が従うべき拘束力のある企業規則を起草したことを伝えます。会社にとって、データを欧州連合での事業から欧州連合に社内でデータを転送するための法的メカニズムを整備することが重要であるためです。私たち
ジョーは、アリスが素晴らしい仕事をしていると信じており、米国の連邦裁判所で会社に対して起こされた大規模な訴訟の処理も担当することを彼女に伝えます。訴訟の準備をするために、アリスは会社の IT 部門に指示を出します。彼女が全員の情報を確認できるように、欧州連合を含む世界の営業チーム全体からコンピューターのハードドライブのコピーを作成し、すべてを彼女に送信するよう部門に依頼しました。アリスは、ジョーが第 1 レベルの審査を行ったことに満足するだろうと信じています。そうすれば、会社は外部の法律事務所に支払うはずだった多額の費用を節約できるからです。
ベンが顧客から追加データを収集したことにより、会社にいくつかの潜在的な問題が生じました。どのような問題が必要になる可能性が最も高いでしょうか?
次の質問に答えるには、以下を使用してください。
ジョーは 2000 年に米国バーモント州の自宅から Gummy Bear Company を設立しました。現在、同社はあらゆる大陸で事業を展開する数十億ドル規模のキャンディー会社です。同社の IT サーバーはすべてバーモント州にあります。今年、ジョーは息子のベンを会社に入社させ、わずか 5 年で総収益を 3 倍にする主要なマーケティング戦略であるプロジェクト ビッグを指揮してもらいます。ベンは一流大学をコンピュータ ソフトウェアの博士号を取得して卒業しました。ベンは父親の会社に入社することを決めましたが、ベン・ノウズ・ベストという新しい世界的なオンライン出会い系サイト会社の立ち上げにも密かに取り組んでいます。
ベンは、Gummy Bear Company に何百万もの顧客がいることを認識しており、その多くが自分にぴったりの相手を見つけることに興味を持っているのではないかと考えています。Project Big のために、Ben は会社のオンライン Web ポータルを再設計し、欧州連合およびその他の地域の顧客に対し、顧客であり続けるために追加の個人情報の提供を要求します。プロジェクト ベンは、顧客の哲学的信念、政治的意見、婚姻状況に関するデータの収集を開始します。
顧客が独身であると判明した場合、ベンはその顧客の個人データをすべて Ben Knows Best の別のデータベースにコピーします。ベンは、情報を受け入れる前にボックスにチェックを入れるよう各顧客に明示的に求めているため、自分は何も悪いことをしていないと信じています。Project Big は重要なプロジェクトであるため、会社はベンを助けるためにコンピューター サイエンスを勉強している大学 1 年生のサムも雇用します。
ベンが声をかけると、サムはベン・ノウズ・ベストのデータベースを発見する。サムは 10 人の友人とともにスプリング ビークを越えてアイルランドに行く予定です。そこで、サムと彼の友人がアイルランドにいるときに連絡できるように、アイルランドに居住する人々の顧客情報をすべてコピーします。
ジョーはまた、米国のロースクールを卒業したばかりの親友の娘アリスを会社の新しい法務顧問として雇います。アリスは GDPR について聞いたことがあるので、それについて調査します。アリスはジョーに近づき、社内の全員が従うべき拘束力のある企業規則を起草したことを伝えます。会社にとって、データを欧州連合での事業から欧州連合に社内でデータを転送するための法的メカニズムを整備することが重要であるためです。私たち
ジョーは、アリスが素晴らしい仕事をしていると信じており、米国の連邦裁判所で会社に対して起こされた大規模な訴訟の処理も担当することを彼女に伝えます。訴訟の準備をするために、アリスは会社の IT 部門に指示を出します。彼女が全員の情報を確認できるように、欧州連合を含む世界の営業チーム全体からコンピューターのハードドライブのコピーを作成し、すべてを彼女に送信するよう部門に依頼しました。アリスは、ジョーが第 1 レベルの審査を行ったことに満足するだろうと信じています。そうすれば、会社は外部の法律事務所に支払うはずだった多額の費用を節約できるからです。
ベンが顧客から追加データを収集したことにより、会社にいくつかの潜在的な問題が生じました。どのような問題が必要になる可能性が最も高いでしょうか?
CIPP-E 試験問題 145
シナリオ
次の質問に答えるには、以下を使用してください。
ProStorage は、オランダに本社を置く多国籍クラウド ストレージ プロバイダーです。そのCEO。Ruth Brown 氏は、成長のための 2 本柱の戦略を策定しました。1) ProStorage のグローバルな顧客ベースを拡大し、2) 効果的なチームを効率的に採用することで ProStorage の販売力を強化します。この戦略の実行は、最近、ルースさんの健康状態により労働時間が制限され、潜在的な顧客に会うために出張することができないため、複雑になっています。プロストレージの人事部とルースさんの首席補佐官は現在、協力して彼女のスケジュールを管理し、彼女がすべての医療予約を確実に取れるようにしている。後者は、ルースさんの前回のインド旅行後、特に重要になっている。ルースさんはそこで医療上の緊急事態に見舞われ、入院した。 m ニューデリー ルースさんの家族と連絡が取れなかったため、病院はプロストレージに連絡を取り、人事部長のメアリーと連携して彼女の首席補佐官に連絡を取ることができた。ルースさんが開始時に行った要求に応じて医師に情報を提供しました。 ProStorage より多くの営業担当者を雇用するというルースさんの戦略目標を支援するため、人事チームは、新入社員の調達、面接、採用を確実にするためのプロセスの改善に重点を置いています。雇用され、効率的にオンボーディングされます。これを支援するために、Mary は 2 つのベンダー、ドイツに拠点を置く企業 HRYourWay とオーストラリアに拠点を置く企業 InstaHR を特定しました。彼女は、Ruth と協力して最終決定を下せるように、両方のベンダーに ProStorage のベンダー リスク レビュー プロセスを通過させることにしました。レビュー プロセスの一環として、ProStorage のプライバシー プログラムの維持 (コントローラー BCR の維持とベンダー リスク評価の実施を含む) を担当する Jackie は、両方のベンダーをレビューしましたが、転送影響評価を完了したのは InstaHR のみでした。彼女がレビューした結果、両社はより確立されたプライバシー プログラムを誇り、サードパーティの証明書を提供していましたが、HRYourWay は最小限のデータ保護運用を行う小規模ベンダーでした。
そこで彼女はInstaHRを勧めました。
ProStorage のマーケティング チームはまた、市場シェアを拡大する必要がある業界に焦点を当て、会社の戦略目標を達成するために取り組みました。これを支援するために、チームは金融業界の顧客と深いつながりを持つ米国に本拠を置く企業である UpFinance をパートナーとして選択しました。ProStorage のデリジェンス プロセス中、プライバシー チームの Jackie 氏は、移転影響評価の中で、UpFinance が顧客が保有する暗号化キーを使用して、エンドツーエンドの暗号化を含むいくつかのデータ保護措置を実装していると指摘しました。
特に、UpFinance は 7 年間の事業を通じて政府からの要請を一度も受けていません。それでもジャッキー氏は、UpFinanceが個人データを政府から要求された場合、UpFinanceが個人データを開示する前にProStorageに通知することを契約で義務付けることを推奨した。
InstaHR を使用するために Jackie が推奨する転送メカニズムは何ですか?
次の質問に答えるには、以下を使用してください。
ProStorage は、オランダに本社を置く多国籍クラウド ストレージ プロバイダーです。そのCEO。Ruth Brown 氏は、成長のための 2 本柱の戦略を策定しました。1) ProStorage のグローバルな顧客ベースを拡大し、2) 効果的なチームを効率的に採用することで ProStorage の販売力を強化します。この戦略の実行は、最近、ルースさんの健康状態により労働時間が制限され、潜在的な顧客に会うために出張することができないため、複雑になっています。プロストレージの人事部とルースさんの首席補佐官は現在、協力して彼女のスケジュールを管理し、彼女がすべての医療予約を確実に取れるようにしている。後者は、ルースさんの前回のインド旅行後、特に重要になっている。ルースさんはそこで医療上の緊急事態に見舞われ、入院した。 m ニューデリー ルースさんの家族と連絡が取れなかったため、病院はプロストレージに連絡を取り、人事部長のメアリーと連携して彼女の首席補佐官に連絡を取ることができた。ルースさんが開始時に行った要求に応じて医師に情報を提供しました。 ProStorage より多くの営業担当者を雇用するというルースさんの戦略目標を支援するため、人事チームは、新入社員の調達、面接、採用を確実にするためのプロセスの改善に重点を置いています。雇用され、効率的にオンボーディングされます。これを支援するために、Mary は 2 つのベンダー、ドイツに拠点を置く企業 HRYourWay とオーストラリアに拠点を置く企業 InstaHR を特定しました。彼女は、Ruth と協力して最終決定を下せるように、両方のベンダーに ProStorage のベンダー リスク レビュー プロセスを通過させることにしました。レビュー プロセスの一環として、ProStorage のプライバシー プログラムの維持 (コントローラー BCR の維持とベンダー リスク評価の実施を含む) を担当する Jackie は、両方のベンダーをレビューしましたが、転送影響評価を完了したのは InstaHR のみでした。彼女がレビューした結果、両社はより確立されたプライバシー プログラムを誇り、サードパーティの証明書を提供していましたが、HRYourWay は最小限のデータ保護運用を行う小規模ベンダーでした。
そこで彼女はInstaHRを勧めました。
ProStorage のマーケティング チームはまた、市場シェアを拡大する必要がある業界に焦点を当て、会社の戦略目標を達成するために取り組みました。これを支援するために、チームは金融業界の顧客と深いつながりを持つ米国に本拠を置く企業である UpFinance をパートナーとして選択しました。ProStorage のデリジェンス プロセス中、プライバシー チームの Jackie 氏は、移転影響評価の中で、UpFinance が顧客が保有する暗号化キーを使用して、エンドツーエンドの暗号化を含むいくつかのデータ保護措置を実装していると指摘しました。
特に、UpFinance は 7 年間の事業を通じて政府からの要請を一度も受けていません。それでもジャッキー氏は、UpFinanceが個人データを政府から要求された場合、UpFinanceが個人データを開示する前にProStorageに通知することを契約で義務付けることを推奨した。
InstaHR を使用するために Jackie が推奨する転送メカニズムは何ですか?