シナリオ
次の質問に答えるには、以下を使用してください。
アンナとフランクは二人ともグランチェスター大学で働いています。アンナはデータ保護を担当する弁護士で、フランクは工学部の講師です。大学はさまざまな種類の記録を保管しています。
* 名前、学生番号、自宅の住所、大学入学前の情報、大学への出席と成績の記録、特別な教育ニーズの詳細、および財務情報を含む学生の記録。
* 自伝的資料を含むスタッフの記録 (カリキュラム、専門家の連絡先ファイル、学生の評価、その他の関連する教育ファイルなど)。
* 出身地、誕生年、入学日、学位授与日などの卒業生の記録。
これらの記録は、元学生がグランチェスターの同窓会ポータルを通じて登録すると利用できるようになります。
* 教育省の記録。特定の人口統計グループ (第一世代の学生など) が平均してどのように進歩すると予想されるかを示しています。これらの記録には名前や識別番号は含まれません。
* セキュリティ ポリシーに基づき、大学は転送中および保存中のすべての個人データ記録を暗号化します。
フランクは授業を改善するために、工学部の学生が教育省の期待と比べてどのような成績を収めているかを調査したいと考えています。彼はアンナのデータ保護トレーニング コースの 1 つに参加しており、目標を達成するために必要以上に個人データを使用すべきではないことを知っています。彼は、以前に通っていた学校、最初に取得した成績、現在取得している成績、初めて出席した大学など、一部の学生データのみをエクスポートするプログラムを作成します。彼は、個々の生徒レベルで記録を保持したいと考えています。
アンナの訓練を念頭に置き、フランクはアルゴリズムを使って生徒番号を実行し、異なる参照番号に変換します。彼は、時間の経過とともに各レコードを更新できるように、毎回同じアルゴリズムを使用します。
Anna のタスクの 1 つは、GDPR の要求に従って、処理アクティビティの記録を完了することです。GDPR の要求に従って、電子メールによるリマインダーを受信した後。リマインダーの電子メールを受け取った後、フランクはアンナに自分のパフォーマンス データベースについて知らせます。
アンはフランクに、大学は個人データを最小限に抑えるだけでなく、既存のデータの新たな使用が許可されているかどうかを確認する必要があると説明します。彼女はまた、GDPR に基づいて、データ処理を行う前にリスク分析を実行する必要があるのではないかとも考えています。アンナは追加の調査を行った後、この件についてフランクとさらに話し合う予定です。
フランクは、空いた時間に分析に取り組みたいと考え、分析を自宅のラップトップ (暗号化されていない) に転送します。残念なことに、フランクはノートパソコンを大学に持ち込んだ際、電車の中で紛失してしまいました。フランクはその日、互換性のある処理について話し合うためにアンナに会わなければなりません。彼はセキュリティ インシデントを報告する必要があることを知っているため、同時にラップトップを紛失したことをアンナに伝えることにしました。
アンナが処理活動の記録に含める必要がない大学の記録はどれですか?

GDPR によれば、仮名個人データはどのように定義されていますか?

GDPR の第 32 条でカバーされるセキュリティのドメインは 3 つあり、管理者と処理者の両方に適用されます。これらには、以下を除くすべてが含まれます?

ある小学校では、生徒の出席状況を追跡するために顔認識を使用することを計画しています。この処理の法的根拠となるものは次のうちどれですか?

DPIA を実施した管理者が監督当局に相談する必要がある可能性が最も高いのはどのような場合ですか?