人の身元を確認する方法ではないのはどれですか?

シナリオ
次の質問に答えるには、以下を使用してください。
ジョーダンは、米国カリフォルニア州に拠点を置くフィットネストラッカーの新興企業に、最初の情報プライバシーおよびセキュリティ責任者として入社したばかりです。同社は事業を急速に拡大していますが、フィットネストラッカーを自社で販売していません。代わりに、すべての主要国でサードパーティの小売業者の流通ネットワークに依存しています。店舗がないにもかかわらず、同社は EU で 78% の市場シェアを誇っています。同社には、会社と製品を紹介する Web サイトと、顧客が自分の情報にアクセスできるメンバー セクションがあります。登録プロセスの一部として電子メール アドレスと住所のみを入力すると、サイトをユーザーの地域と国に合わせてカスタマイズできます。また、フィットネスのヒント、栄養に関するアドバイス、ユーザーの行動と好みに基づいたパートナー企業の製品スポットライトを特集したニュースレターが毎月すべてのメンバーに送信されます。
ジョーダン氏は、一般データ保護規則 (GDPR) は同社には適用されないと述べている。同社は EU に拠点を置いておらず、同地域に処理業者もいないという。さらに、同社は EU でマーケティング活動も消費者への直接販売も行っていないため、EU で「商品やサービスの提供」は行っていない。ジョーダン氏は、製品を購入することを自らの意思で選択したのは顧客であり、同社からの「提供」はないと主張している。
フィットネストラッカーには、睡眠追跡、GPS追跡、心拍数モニタリング、ワイヤレス同期、カロリー計算、歩数追跡などの高度な機能が組み込まれています。睡眠レベル、心拍数などのデータを収集するには、時計をスマートフォンまたはコンピューターとペアリングする必要があります。デバイスからのすべての情報は、処理するために会社のサーバーに送信され、その後、結果がスマートフォンまたはコンピューターに送信されます。ジョーダンは、同社が銀行情報や社会保障情報を収集していないため、個人情報は含まれていないと主張しています。
同社が GDPR で規定されている個人情報を収集していないというジョーダンの主張が不正確なのはなぜですか?

保持期間が終了したときにデータに適用する適切なアクションではないのはどれですか?

シナリオ
次の質問に答えるには、以下を使用してください。
ヘルスケア顧客を専門とするコンサルティング会社のコンプライアンス監査員であるチャックは、顧客のオフィスに出向き、顧客の業務のオンサイトレビューを行う必要がありました。空港に到着後、彼は顧客のオフィスへの往復ができるようにフィンリーモーターズから車を借りました。レンタカー契約書にはチャックの電子署名がされており、氏名、住所、運転免許証、車のメーカー/モデル、請求料金、レンタル取引の詳細が記載されていました。2 日目の夜、チャックは夕食に向かう途中、交差点で停止していないところを赤信号カメラに捕まりました。チャックは週末に違反について何も言わずにレンタカー会社に車を返却し、フィンリーモーターズは最終領収書のコピーをファイルに保存されている住所に電子メールで送信しました。
地元の警察は、その後、赤信号カメラの映像を確認しました。車の登録所有者はフィンリー モーターズであるため、違反と罰金を通知する通知が同社に送られました。この通知には、ナンバー プレートの番号、発生日時、運転手の写真、およびさらなる調査のための違反のビデオ クリップへの Web ポータル リンクが含まれていました。ただし、フィンリー モーターズは当時車を運転していなかったため、違反の責任はなく、さらなる調査のために事件を AMP ペイメント リソースに転送しました。AMP ペイメント リソースは、車を引き取ったときに署名したレンタル契約に基づいてチャックが運転手であると特定し、違反に関する書面でチャックに直接連絡して罰金を徴収しました。
AMP Payment Resources の Web ポータルで事件を確認した後、チャックは個人のクレジットカードを使用して罰金を支払いました。2 週間後、フィンリー モーターズはチャックに、今後のレンタル料金が 10% 割引になるというプロモーションのメールを送りました。
AMP 支払いリソース Web ポータルを通じて違反情報へのアクセスを許可する前に、チャックの身元を認証する最も強力な方法は何ですか?

データ抽出に関して、データの移植性に関してプライバシー技術者が考慮すべきでないのは次のうちどれですか?