CIPP-E 試験問題 111
EU 非加盟国のデータ保護レベルの適切性を確認する調査結果を採用する権限を持つ機関はどれですか?
CIPP-E 試験問題 112
ターニャは、GDPRデータ管理者であるCurtains Inc.のデータ保護責任者です。彼女は同社に対し、保存中のすべての個人データを暗号化することを推奨しています。彼女はGDPRのどの原則に従っているのでしょうか?
CIPP-E 試験問題 113
シナリオ
次の質問に答えるには、以下を使用してください。
ジェーン・スタンは、マルタに拠点を置く企業でデータ保護責任者(DPO)として新たな役割を担っています。同社は、オンラインプラットフォームを通じて誰でも仮想通貨を売買できるサービスを提供しています。同社は顧客の個人データを、マルタ(EU)にある専用データセンターで保管・処理しています。
暗号通貨の取引を希望する人は、プラットフォーム上でオンラインアカウントを開設する必要があります。その後、マネーロンダリングの防止と適用される金融規制の遵守を目的としたKYCデューデリジェンス手続きに合格する必要があります。
欧州以外の顧客は、プラットフォーム上でアカウントを承認してもらうために、別のページの太字で書かれたチェックボックスにチェックを入れた免責事項を読んで、GDPR のすべての権利を放棄する必要もあります。
顧客も同様に、プラットフォームの利用規約に同意する必要があります。利用規約にはプライバシーポリシーのセクションも含まれており、例えば「GDPRを遵守するために、サイバーセキュリティ評価者は企業とデータ処理契約を締結する必要があるか?」といった記載があります。
次の質問に答えるには、以下を使用してください。
ジェーン・スタンは、マルタに拠点を置く企業でデータ保護責任者(DPO)として新たな役割を担っています。同社は、オンラインプラットフォームを通じて誰でも仮想通貨を売買できるサービスを提供しています。同社は顧客の個人データを、マルタ(EU)にある専用データセンターで保管・処理しています。
暗号通貨の取引を希望する人は、プラットフォーム上でオンラインアカウントを開設する必要があります。その後、マネーロンダリングの防止と適用される金融規制の遵守を目的としたKYCデューデリジェンス手続きに合格する必要があります。
欧州以外の顧客は、プラットフォーム上でアカウントを承認してもらうために、別のページの太字で書かれたチェックボックスにチェックを入れた免責事項を読んで、GDPR のすべての権利を放棄する必要もあります。
顧客も同様に、プラットフォームの利用規約に同意する必要があります。利用規約にはプライバシーポリシーのセクションも含まれており、例えば「GDPRを遵守するために、サイバーセキュリティ評価者は企業とデータ処理契約を締結する必要があるか?」といった記載があります。
CIPP-E 試験問題 114
シナリオ
次の質問に答えるには、以下を使用してください。
ハビエルさんは、フィットネスクラブEVERFITの会員です。この会社は多くのEU加盟国に支店を持っていますが、GDPRの目的上、主要な事業所はフランスにあります。ハビエルさんは、北アイルランド(英国の一部)のニューリーに住んでおり、国境を越えてアイルランドのダンドークに通勤しています。2年前、出張中に、ハビエルさんはドイツのフランクフルトにあるEVERFITの支店でトレーニング中に写真を撮られました。当時、ハビエルさんは、写真は宣伝目的にのみ使用されると説明され、写真に写ることに同意しました。それ以来、その写真はクラブの英国版パンフレットに使用され、英国版ウェブサイトのランディングページにも掲載されています。しかし、このフィットネスクラブは最近、EU加盟国にあるクラブの様々な支店で会員に対する不当な扱いが蔓延したため、評判が悪くなっています。その結果、ハビエルさんは、自分の写真がフィットネスクラブと公に関連付けられることに不快感を覚えるようになりました。
この件について話し合うため、地元支店の支店長との面談予約を何度も試みたものの、うまくいかなかったハビエルはEVETFITに手紙を送り、ウェブサイトとすべての販促資料から自分の写真を削除するよう要請した。数ヶ月が経過しても、要請に対する返答がなかったハビエルは、この件について強い不安を抱くようになった。他の手段を用いてEVETFITに何度も連絡を取ろうとしたが、それでもうまくいかなかったため、彼はEVETFITに対して訴訟を起こすことを決意した。
ハビエルは、この件について英国情報コミッショナー事務局(ICO、英国の監督機関)に苦情を申し立てました。ICOは、GDPR第56条(3)に基づき、CNIL(EVERFITの主要拠点の監督機関)にこの件を通知しました。EVERFITは英国に拠点を有しているにもかかわらず、CNILはGDPR第60条に基づき、この件を処理することを決定しました。CNILは、協力手続きに基づき、ICOと連携しました。監督機関間で決定に至る上での問題点を考慮し、欧州データ保護会議が関与し、一貫性メカニズムに基づき、拘束力のある決定を下しました。
さらに、ハビエルさんは、パンフレットとウェブサイトから自分の写真を削除するという要求をEVERFITが受け入れなかったことによる損害についてEVERFITを訴えている。
協力メカニズムの下で、主導機関(CNIL)は、この問題についての見解を形成した後、何をすべきでしょうか?
次の質問に答えるには、以下を使用してください。
ハビエルさんは、フィットネスクラブEVERFITの会員です。この会社は多くのEU加盟国に支店を持っていますが、GDPRの目的上、主要な事業所はフランスにあります。ハビエルさんは、北アイルランド(英国の一部)のニューリーに住んでおり、国境を越えてアイルランドのダンドークに通勤しています。2年前、出張中に、ハビエルさんはドイツのフランクフルトにあるEVERFITの支店でトレーニング中に写真を撮られました。当時、ハビエルさんは、写真は宣伝目的にのみ使用されると説明され、写真に写ることに同意しました。それ以来、その写真はクラブの英国版パンフレットに使用され、英国版ウェブサイトのランディングページにも掲載されています。しかし、このフィットネスクラブは最近、EU加盟国にあるクラブの様々な支店で会員に対する不当な扱いが蔓延したため、評判が悪くなっています。その結果、ハビエルさんは、自分の写真がフィットネスクラブと公に関連付けられることに不快感を覚えるようになりました。
この件について話し合うため、地元支店の支店長との面談予約を何度も試みたものの、うまくいかなかったハビエルはEVETFITに手紙を送り、ウェブサイトとすべての販促資料から自分の写真を削除するよう要請した。数ヶ月が経過しても、要請に対する返答がなかったハビエルは、この件について強い不安を抱くようになった。他の手段を用いてEVETFITに何度も連絡を取ろうとしたが、それでもうまくいかなかったため、彼はEVETFITに対して訴訟を起こすことを決意した。
ハビエルは、この件について英国情報コミッショナー事務局(ICO、英国の監督機関)に苦情を申し立てました。ICOは、GDPR第56条(3)に基づき、CNIL(EVERFITの主要拠点の監督機関)にこの件を通知しました。EVERFITは英国に拠点を有しているにもかかわらず、CNILはGDPR第60条に基づき、この件を処理することを決定しました。CNILは、協力手続きに基づき、ICOと連携しました。監督機関間で決定に至る上での問題点を考慮し、欧州データ保護会議が関与し、一貫性メカニズムに基づき、拘束力のある決定を下しました。
さらに、ハビエルさんは、パンフレットとウェブサイトから自分の写真を削除するという要求をEVERFITが受け入れなかったことによる損害についてEVERFITを訴えている。
協力メカニズムの下で、主導機関(CNIL)は、この問題についての見解を形成した後、何をすべきでしょうか?
CIPP-E 試験問題 115
シナリオ
次の質問に答えるには、以下を使用してください。
ジョーは2000年、米国バーモント州の自宅からグミベア・カンパニーを設立しました。現在、同社は数十億ドル規模のキャンディ会社に成長し、全大陸で事業を展開しています。同社のITサーバーはすべてバーモント州に設置されています。
今年、ジョーは息子のベンを会社に迎え入れ、わずか5年で総売上高を3倍にするという大規模なマーケティング戦略「プロジェクト・ビッグ」の責任者に任命しました。ベンは一流大学でコンピュータソフトウェアの博士号を取得しています。ベンは父親の会社に入社することを決めましたが、同時に「ベン・ノウズ・ベスト」という新しいグローバルオンラインデートサイト会社の立ち上げにも密かに取り組んでいます。
ベンは、グミベア・カンパニーが何百万人もの顧客を抱えていることを認識しており、その多くが理想のパートナーを見つけることに興味を持っているかもしれないと考えています。プロジェクト・ビッグでは、ベンは同社のオンライン・ウェブポータルを再設計し、EUおよびその他の地域の顧客に、顧客維持のために追加の個人情報の提供を求めます。プロジェクト・ベンは、顧客の哲学的信条、政治的意見、婚姻状況に関するデータの収集を開始します。
顧客が独身の場合、ベンはその顧客の個人データをすべてベン・ノウズ・ベストの別のデータベースにコピーします。ベンは、顧客一人ひとりに情報提供前にチェックボックスにチェックを入れるよう明確に同意を求めているため、何も悪いことはしていないと考えています。プロジェクト・ビッグは重要なプロジェクトであるため、ベンの支援のため、コンピューターサイエンスを専攻する大学1年生のサムも採用しています。
ベンが声をかけると、サムはベン・ノウズ・ベストのデータベースを見つける。サムは10人の友人とスプリング・ビーク号でアイルランドへ行く予定なので、アイルランド在住の顧客情報をすべてコピーして、アイルランド滞在中に友人と連絡が取れるようにする。
ジョーは、親友の娘でアメリカのロースクールを卒業したばかりのアリスを、会社の新しい法務顧問として採用しました。アリスはGDPRについて聞いていたので、調べてみました。そしてジョーに近づき、EU域内の事業所から米国への社内データ転送のための法的メカニズムを整備することが会社にとって重要であるため、会社全員が遵守すべき拘束的企業準則(BCR)を起草したと伝えました。
ジョーはアリスの素晴らしい仕事ぶりに感銘を受け、彼女が米国連邦裁判所で会社に対して提起された大規模な訴訟の処理も担当することになると伝えます。訴訟に備えるため、アリスは会社のIT部門に指示し、EUを含む全世界の営業チームのコンピューターのハードドライブのコピーを作成し、すべてアリスに送ってもらいます。そうすれば、アリスは全員の情報を確認できるからです。アリスは、自分が第一段階のレビューを担当してくれたことで、ジョーはきっと喜ぶだろうと考えます。なぜなら、そうでなければ外部の法律事務所に支払うはずだった多額の費用を節約できるからです。
差し迫った訴訟に備える中で、アリスが会社の IT 部門に指示したことは、会社がまず何を行わなかったため、GDPR の第 5 条に違反しましたか?
次の質問に答えるには、以下を使用してください。
ジョーは2000年、米国バーモント州の自宅からグミベア・カンパニーを設立しました。現在、同社は数十億ドル規模のキャンディ会社に成長し、全大陸で事業を展開しています。同社のITサーバーはすべてバーモント州に設置されています。
今年、ジョーは息子のベンを会社に迎え入れ、わずか5年で総売上高を3倍にするという大規模なマーケティング戦略「プロジェクト・ビッグ」の責任者に任命しました。ベンは一流大学でコンピュータソフトウェアの博士号を取得しています。ベンは父親の会社に入社することを決めましたが、同時に「ベン・ノウズ・ベスト」という新しいグローバルオンラインデートサイト会社の立ち上げにも密かに取り組んでいます。
ベンは、グミベア・カンパニーが何百万人もの顧客を抱えていることを認識しており、その多くが理想のパートナーを見つけることに興味を持っているかもしれないと考えています。プロジェクト・ビッグでは、ベンは同社のオンライン・ウェブポータルを再設計し、EUおよびその他の地域の顧客に、顧客維持のために追加の個人情報の提供を求めます。プロジェクト・ベンは、顧客の哲学的信条、政治的意見、婚姻状況に関するデータの収集を開始します。
顧客が独身の場合、ベンはその顧客の個人データをすべてベン・ノウズ・ベストの別のデータベースにコピーします。ベンは、顧客一人ひとりに情報提供前にチェックボックスにチェックを入れるよう明確に同意を求めているため、何も悪いことはしていないと考えています。プロジェクト・ビッグは重要なプロジェクトであるため、ベンの支援のため、コンピューターサイエンスを専攻する大学1年生のサムも採用しています。
ベンが声をかけると、サムはベン・ノウズ・ベストのデータベースを見つける。サムは10人の友人とスプリング・ビーク号でアイルランドへ行く予定なので、アイルランド在住の顧客情報をすべてコピーして、アイルランド滞在中に友人と連絡が取れるようにする。
ジョーは、親友の娘でアメリカのロースクールを卒業したばかりのアリスを、会社の新しい法務顧問として採用しました。アリスはGDPRについて聞いていたので、調べてみました。そしてジョーに近づき、EU域内の事業所から米国への社内データ転送のための法的メカニズムを整備することが会社にとって重要であるため、会社全員が遵守すべき拘束的企業準則(BCR)を起草したと伝えました。
ジョーはアリスの素晴らしい仕事ぶりに感銘を受け、彼女が米国連邦裁判所で会社に対して提起された大規模な訴訟の処理も担当することになると伝えます。訴訟に備えるため、アリスは会社のIT部門に指示し、EUを含む全世界の営業チームのコンピューターのハードドライブのコピーを作成し、すべてアリスに送ってもらいます。そうすれば、アリスは全員の情報を確認できるからです。アリスは、自分が第一段階のレビューを担当してくれたことで、ジョーはきっと喜ぶだろうと考えます。なぜなら、そうでなければ外部の法律事務所に支払うはずだった多額の費用を節約できるからです。
差し迫った訴訟に備える中で、アリスが会社の IT 部門に指示したことは、会社がまず何を行わなかったため、GDPR の第 5 条に違反しましたか?