ある民間企業は、フランス、ポーランド、イギリス、そして本社所在地であるドイツに拠点を有しています。同社は世界中でサービスを提供しています。サービスの大部分はドイツで設計され、他の拠点でサポートされています。しかし、サービスの一つであるSaaS（Software as a Service）アプリケーションは、ポーランドの拠点で定義・実装され、他の拠点でもサポートされています。
SaaS サービスの主たる監督機関は何ですか?

2018 年に改正された次の条約 108+ の原則のうち、GDPR の原則と一致しないものはどれですか。

ノートブックやハードコピー ファイルに含まれる情報など、物理的な形で存在する個人データにはどのような状況で GDPR が適用されますか?

シナリオ
次の質問に答えるには、以下を使用してください。
あなたは香港に拠点を置く玩具メーカーに採用されました。同社は、人形、アクションフィギュア、ぬいぐるみなど幅広い商品を販売しており、世界中の様々な小売店で販売されています。
同社は香港以外にオフィスを持たず、実際には香港以外で従業員を雇用していませんが、複数の現地販売契約を締結しています。同社が製造する玩具は、ヨーロッパ、アメリカ、アジアのあらゆる有名玩具店で販売されています。同社の収益の大部分は海外販売によるものです。
同社は現在、子供たちと会話したり交流したりできるコネクテッドトイの新シリーズを発売したいと考えています。同社のCEOは、これらのおもちゃがもたらす可能性の拡大を理由に、次なる大ヒット作になると宣伝しています。人形は、数学の計算や天気など、様々なテーマについて子供たちの質問に答えることができます。各人形にはマイクとスピーカーが搭載されており、Bluetooth経由でスマートフォンやタブレットに接続できます。半径10メートル以内にあるあらゆるモバイルデバイスも、Bluetooth経由でおもちゃに接続できます。また、人形は（同じメーカーの）他の人形と連携して相互に作用し、より充実した遊び体験を提供することができます。
お子様がおもちゃに質問をすると、そのリクエストはクラウドに送信され、分析されます。クラウドサーバー上で回答が生成され、人形に返されます。回答は人形に内蔵されたスピーカーから聞こえるため、まるでおもちゃが実際にお子様の質問に答えているかのように聞こえます。おもちゃのパッケージには、この機能の仕組みに関する技術的な詳細は記載されておらず、インターネット接続が必要であることも記載されていません。この機能に必要なデータ処理は、南アフリカにあるデータセンターに委託されています。しかしながら、貴社は消費者向けのプライバシーポリシーを改訂し、この点について明示していません。
同社は同時に、ゲームプレイ中に獲得したキャラクターを操作できる新たなゲームシステムの導入も計画している。このシステムには、近距離無線通信（NFC ）リーダーを搭載したポータルが同梱される。このデバイスがアクションフィギュアのRFIDタグを読み取り、画面上でフィギュアが動き出す。各キャラクターにはそれぞれ固有の特徴や能力があり、ゲーム目標を達成することで追加の能力を獲得することもできる。タグに保存される情報は、フィギュアの能力に関する情報のみ。ゲーム中にキャラクターを簡単に切り替えることができ、フィギュアを家の外に持ち出してもキャラクターの能力はそのまま維持される。
この会社が GDPR に準拠する義務があるのはなぜですか?

ダイレクトマーケティングに関して「ソフトオプトイン」ルールが適用される状況はどのような場合ですか?