CIPP-E 試験問題 26
管理者または処理者として拘束力のある企業ルール (BCR) を使用する国際組織の適切なコンプライアンスを最もよく表す文はどれですか?
CIPP-E 試験問題 27
シナリオ
次の質問に答えるには、以下を使用してください。
従業員の急速な拡大に伴い、A 社は給与計算業務を B 社にアウトソーシングすることにしました。B 社は、相当数の顧客ベースを持ち、業界で確固たる評価を得ている確立された給与サービス プロバイダーです。
B 社の A 社向け給与計算ソリューションは、A 社の各工場に設置された生体認証入力システムを介して取得された勤怠データの収集に依存しています。B 社自体は生体認証データを保持しませんが、関連データは B 社の英国のサーバーにアップロードされ、給与計算サービスの提供に使用されます。B 社のライブ システムには、A 社の各従業員に関する次の情報が含まれます。
名前
住所
生年月日
給与番号
国民保険番号
傷病手当金の受給権
出産/育児手当の受給資格
休日の権利
年金および給付金の拠出
労働組合への寄付
ジェニーは A 社のコンプライアンス責任者です。
彼女はまず、A 社が新しい勤怠管理システムに関連してデータ保護の影響評価を実行する必要があるかどうかを検討しますが、これが必要かどうかはわかりません。
ただし、ジェニーは、GDPR の下では、B 社が給与計算サービスを提供する目的でのみ勤怠勤怠データを使用すること、およびデータを保護するために適切な技術的および組織的セキュリティ対策を適用することを要求する正式な書面による契約が必要であることを知っています。 。ジェニーは、B 社にデータ保護担当者からアドバイスを受けるよう提案します。同社には DPO はありませんが、契約を最終的に締結するために、条項を完全に適用することに同意しています。A社は契約を締結します。
数週間後、B 社はまだ A 社との契約を結んでいますが、給与計算サービスの機能を強化することを目的とした別のプロジェクトに着手し、C 社に支援を依頼しました。会社 C は、会社 B 用の新しいデータベースを作成するために、会社 B のライブ システムからすべての個人データを抽出することに同意します。
このデータベースは、C 社の米国サーバーでホストされるテスト環境に保存されます。データは IT テストの目的でのみ使用されるため、両社はサービス契約にデータ処理条項を含めないことに同意します。
残念なことに、C 社の米国サーバーは時代遅れの IT セキュリティ システムによってのみ保護されており、C 社がプロジェクトに取り組み始めた直後にサイバー セキュリティ インシデントに見舞われました。その結果、A 社の従業員に関するデータは、C 社の Web サイトにアクセスしたすべてのユーザーに表示されます。A 社は、ジェニーがその後の調査に関連して監督当局から手紙を受け取るまで、このことに気づきませんでした。ジェニーは侵害に気づくとすぐに、影響を受けるすべての従業員に通知します。
GDPR では、企業が適切な技術的および組織的対策を実施する能力を十分に保証することが求められています。B 社がこの要件を満たす最も現実的な方法は何でしょうか?
次の質問に答えるには、以下を使用してください。
従業員の急速な拡大に伴い、A 社は給与計算業務を B 社にアウトソーシングすることにしました。B 社は、相当数の顧客ベースを持ち、業界で確固たる評価を得ている確立された給与サービス プロバイダーです。
B 社の A 社向け給与計算ソリューションは、A 社の各工場に設置された生体認証入力システムを介して取得された勤怠データの収集に依存しています。B 社自体は生体認証データを保持しませんが、関連データは B 社の英国のサーバーにアップロードされ、給与計算サービスの提供に使用されます。B 社のライブ システムには、A 社の各従業員に関する次の情報が含まれます。
名前
住所
生年月日
給与番号
国民保険番号
傷病手当金の受給権
出産/育児手当の受給資格
休日の権利
年金および給付金の拠出
労働組合への寄付
ジェニーは A 社のコンプライアンス責任者です。
彼女はまず、A 社が新しい勤怠管理システムに関連してデータ保護の影響評価を実行する必要があるかどうかを検討しますが、これが必要かどうかはわかりません。
ただし、ジェニーは、GDPR の下では、B 社が給与計算サービスを提供する目的でのみ勤怠勤怠データを使用すること、およびデータを保護するために適切な技術的および組織的セキュリティ対策を適用することを要求する正式な書面による契約が必要であることを知っています。 。ジェニーは、B 社にデータ保護担当者からアドバイスを受けるよう提案します。同社には DPO はありませんが、契約を最終的に締結するために、条項を完全に適用することに同意しています。A社は契約を締結します。
数週間後、B 社はまだ A 社との契約を結んでいますが、給与計算サービスの機能を強化することを目的とした別のプロジェクトに着手し、C 社に支援を依頼しました。会社 C は、会社 B 用の新しいデータベースを作成するために、会社 B のライブ システムからすべての個人データを抽出することに同意します。
このデータベースは、C 社の米国サーバーでホストされるテスト環境に保存されます。データは IT テストの目的でのみ使用されるため、両社はサービス契約にデータ処理条項を含めないことに同意します。
残念なことに、C 社の米国サーバーは時代遅れの IT セキュリティ システムによってのみ保護されており、C 社がプロジェクトに取り組み始めた直後にサイバー セキュリティ インシデントに見舞われました。その結果、A 社の従業員に関するデータは、C 社の Web サイトにアクセスしたすべてのユーザーに表示されます。A 社は、ジェニーがその後の調査に関連して監督当局から手紙を受け取るまで、このことに気づきませんでした。ジェニーは侵害に気づくとすぐに、影響を受けるすべての従業員に通知します。
GDPR では、企業が適切な技術的および組織的対策を実施する能力を十分に保証することが求められています。B 社がこの要件を満たす最も現実的な方法は何でしょうか?
CIPP-E 試験問題 28
ある小学校では、生徒の出席状況を追跡するために顔認識を使用することを計画しています。この処理の法的根拠となるものは次のうちどれですか?
CIPP-E 試験問題 29
シナリオ
次の質問に答えるには、以下を使用してください。
Joe は、DNA 分析を提供するカナダの企業 Who-RU の新しいプライバシー マネージャーです。同社はモントリオールに本社を置き、従業員全員がモントリオールに居住しています。同社はカナダ人のみにサービスを提供しています。Web サイトは英語とフランス語で、カナダの通貨のみを受け入れ、カナダ国外からのインターネット トラフィックをブロックしています (ただし、このソリューションはカナダ以外のすべてのトラフィックを阻止するわけではありません)。また、カナダ国外への DNA 報告書の送付を求める注文の処理も拒否し、カナダ国外の返送先住所が記載された注文は返品します。
Who-RU の社長であるボブ氏は、EU ではこの製品に対する関心が高く、同社は顧客ベースを拡大するためのさまざまな計画を検討していると考えています。
最初の計画は総称して We-Track-U と呼ばれ、アプリを使用して現在のカナダの顧客ベースに関する情報を収集します。この拡張により、カナダの顧客は海外旅行中にアプリを使用できるようになります。彼は、会社がこのアプリを使用して位置情報を収集することを提案しました。この計画が有望であれば、ボブはプッシュ通知とテキスト メッセージを使用して、既存の顧客に EU バージョンのサービスへの事前登録を促すことを提案します。ボブはこの作業計画を We-Text-U と呼びます。同社は十分な事前登録を集めたら、EU 固有のコンテンツとサービスを開発する予定です。
もう 1 つのプランは Customer for Life と呼ばれます。その考えは、同社のアプリを通じて、DNA情報の保存や他のアプリケーションや医療提供者との共有などの追加サービスを提供することだ。同社の契約には、顧客のDNAを無期限に保持し、それを利用して新しいサービスを提供し、顧客にマーケティングできると書かれている。また、顧客はダイレクトマーケティングの同意を撤回しないことに同意するとも述べている。マーケティングディレクターのポールは、会社がこれらの条項を最大限に活用すべきであり、契約が無効であるという理由で顧客が同意を撤回しようとする試みを回避できると提案しています。
最終的な計画は、EU 内でブランドの存在感を高めることです。同社はすでにこのプロセスを開始しています。同社はドイツにある建物の命名権を購入する手続きを進めており、この建物には Who-RU 幹部が海外旅行中に使用できるいくつかのオフィスが付属することになる。オフィスにはテクノロジーやインフラストラクチャは含まれていません。むしろ、机と椅子がいくつかあるだけの部屋です。
命名権契約に関する最近の旅行中、ボブのラップトップが盗まれました。このラップトップには、5,000 人の Who-RU 顧客に関する暗号化されていない DNA レポートが保存されており、その全員がカナダ在住です。レポートには、顧客の名前、生年月日、民族、人種的背景、親族の名前、性別、および場合によっては健康情報が含まれます。
Who-RU はラップトップの盗難について地元のドイツの DPA に通知する必要がないのはなぜですか?
次の質問に答えるには、以下を使用してください。
Joe は、DNA 分析を提供するカナダの企業 Who-RU の新しいプライバシー マネージャーです。同社はモントリオールに本社を置き、従業員全員がモントリオールに居住しています。同社はカナダ人のみにサービスを提供しています。Web サイトは英語とフランス語で、カナダの通貨のみを受け入れ、カナダ国外からのインターネット トラフィックをブロックしています (ただし、このソリューションはカナダ以外のすべてのトラフィックを阻止するわけではありません)。また、カナダ国外への DNA 報告書の送付を求める注文の処理も拒否し、カナダ国外の返送先住所が記載された注文は返品します。
Who-RU の社長であるボブ氏は、EU ではこの製品に対する関心が高く、同社は顧客ベースを拡大するためのさまざまな計画を検討していると考えています。
最初の計画は総称して We-Track-U と呼ばれ、アプリを使用して現在のカナダの顧客ベースに関する情報を収集します。この拡張により、カナダの顧客は海外旅行中にアプリを使用できるようになります。彼は、会社がこのアプリを使用して位置情報を収集することを提案しました。この計画が有望であれば、ボブはプッシュ通知とテキスト メッセージを使用して、既存の顧客に EU バージョンのサービスへの事前登録を促すことを提案します。ボブはこの作業計画を We-Text-U と呼びます。同社は十分な事前登録を集めたら、EU 固有のコンテンツとサービスを開発する予定です。
もう 1 つのプランは Customer for Life と呼ばれます。その考えは、同社のアプリを通じて、DNA情報の保存や他のアプリケーションや医療提供者との共有などの追加サービスを提供することだ。同社の契約には、顧客のDNAを無期限に保持し、それを利用して新しいサービスを提供し、顧客にマーケティングできると書かれている。また、顧客はダイレクトマーケティングの同意を撤回しないことに同意するとも述べている。マーケティングディレクターのポールは、会社がこれらの条項を最大限に活用すべきであり、契約が無効であるという理由で顧客が同意を撤回しようとする試みを回避できると提案しています。
最終的な計画は、EU 内でブランドの存在感を高めることです。同社はすでにこのプロセスを開始しています。同社はドイツにある建物の命名権を購入する手続きを進めており、この建物には Who-RU 幹部が海外旅行中に使用できるいくつかのオフィスが付属することになる。オフィスにはテクノロジーやインフラストラクチャは含まれていません。むしろ、机と椅子がいくつかあるだけの部屋です。
命名権契約に関する最近の旅行中、ボブのラップトップが盗まれました。このラップトップには、5,000 人の Who-RU 顧客に関する暗号化されていない DNA レポートが保存されており、その全員がカナダ在住です。レポートには、顧客の名前、生年月日、民族、人種的背景、親族の名前、性別、および場合によっては健康情報が含まれます。
Who-RU はラップトップの盗難について地元のドイツの DPA に通知する必要がないのはなぜですか?
CIPP-E 試験問題 30
主任監督当局 (LSA) の主な関心事はプライバシーのどの分野ですか?