シナリオ
次の質問に答えるには、以下を使用してください。
ジョーは、DNA鑑定サービスを提供するカナダ企業Who-RUの新しいプライバシーマネージャーです。本社はモントリオールにあり、従業員全員がそこに勤務しています。同社はカナダ人のみにサービスを提供しています。ウェブサイトは英語とフランス語で提供され、カナダの通貨のみを受け付け、カナダ国外からのインターネットトラフィックをブロックしています（ただし、この対策でカナダ国外からのトラフィックをすべてブロックできるわけではありません）。また、DNAレポートをカナダ国外に送付するよう要求する注文は処理せず、カナダ国外の返送先住所が記載されている注文は返品されます。
Who-RU の社長ボブ氏は、EU でこの製品に対する関心が非常に高いと考えており、同社は顧客基盤を拡大するためのさまざまな計画を検討しています。
最初の計画は、共同でWe-Track-Uと名付けられ、アプリを用いて既存のカナダの顧客基盤に関する情報を収集します。この拡張により、カナダの顧客は海外旅行中にアプリを使用できるようになります。ボブは、このアプリを用いて位置情報の収集を行うことを提案します。この計画が有望であれば、ボブはプッシュ通知とテキストメッセージを用いて既存顧客にEU版サービスの事前登録を促すことを提案します。ボブはこの作業計画をWe-Text-Uと呼んでいます。十分な事前登録数を集めた後、EU向けのコンテンツとサービスを開発する予定です。
もう一つのプランは「Customer for Life」と呼ばれる。これは、同社のアプリを通じて、DNA情報の保存や、他のアプリや医療機関との共有といった追加サービスを提供するという構想だ。同社の契約書には、顧客のDNAを無期限に保管し、新サービスの提供や顧客へのマーケティングに活用できることが明記されている。また、顧客はダイレクトマーケティングへの同意を撤回しないことに同意する、と明記されている。マーケティングディレクターのポール氏は、同社がこれらの条項を最大限に活用し、契約によって同意が無効となるため、顧客が同意を撤回しようとしても回避できると提案している。
最終計画は、EUにおけるブランドプレゼンスの構築です。同社はすでにこのプロセスに着手しており、ドイツにあるビルの命名権を購入する手続きを進めています。このビルには、Who-RUの幹部が海外旅行中に利用できるオフィススペースがいくつか設けられる予定です。このオフィスにはテクノロジーやインフラ設備は一切なく、机と椅子がいくつか置かれただけのシンプルな部屋です。
命名権契約に関する最近の出張中、ボブのノートパソコンが盗まれました。ノートパソコンには、カナダ在住のWHO-RU顧客5,000人の暗号化されていないDNAレポートが保存されていました。レポートには、顧客名、生年月日、民族、人種的背景、親族名、性別、そして時折健康情報も含まれていました。
Who-RU が We-Track-U パイロット計画を採用した場合、なぜそれが GDPR の地域的適用範囲の対象となる可能性があるのでしょうか?

米国企業のウェブサイトではウィジェットを販売しています。以下の要素のうち、それ自体ではGDPRの対象とならないものはどれですか？

「不当な遅延なく」という規定が遵守されていると仮定した場合、データアクセス要求に応じる期限はどれくらいですか?

ある組織は、COVID-19のモニタリングの一環として体温チェックを実施しています。体温は手動で測定されており、個人の個人データの登録、記録、その他の処理は行われていません。
この慣行が GDPR の対象にならない理由を最もよく説明しているのは次のうちどれですか?

欧州データ保護委員会 (EDPB) は、転送ツールが欧州連合 (EU) レベルに準拠した個人データ保護レベルを効果的に提供しているかどうかの再評価をいつ推奨しますか?