놀라운 결과를위한 공인 정보 프라이버시 전문가 CIPP-E 연습 문제 [Q88-Q106]-Exams Labs Braindumps

8월 30, 2023 CIPP-E, IAPP 0 댓글

놀라운 결과를 위한 공인 정보 보호 전문가 CIPP-E 연습 문제 [Q88-Q106] 응시하기

4.5/5 - (4 투표)

공인 정보 보호 전문가 CIPP-E 시험에 응시하여 놀라운 결과를 얻으세요.

IAPP CIPP-E시험덤프는 좋은 점수를 얻기 위해 필수적입니다.

질문 88
GDPR에 따라 컨트롤러는 데이터 주체에게 데이터 처리에 대한 자세한 정보를 제공해야 합니다. a. 컨트롤러가 데이터 주체로부터 직접 데이터를 획득하는 경우 다음 중 법적으로 제공하지 않아도 되는 정보 항목은 무엇인가요?

수신자 또는 수신자의 카테고리입니다.

관련 개인 데이터의 범주.

액세스, 삭제, 제한 및 이동 권한.

감독 기관에 불만을 제기할 수 있는 권리.

질문 89
시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
ABC 보험의 오랜 고객인 Jason은 몇 달 전 경미한 교통사고를 당했습니다.
아무도 다치지는 않았지만, 제이슨은 개인 상해에 대한 보상을 받을 수 있도록 도와주겠다는 Erbium Insurance라는 회사로부터 문자와 전화를 받고 괴로워하고 있습니다. 제이슨은 보험 회사가 고객의 데이터를 제3자에게 판매한다는 이야기를 들었고, Erbium이 ABC로부터 자신의 정보를 입수한 것이 틀림없다고 확신합니다.
제이슨은 또한 ABC로부터 더 많은 양의 마케팅 정보를 받고 있으며, 보험 상품 전체를 판매하려고 노력하고 있습니다.
이에 당황한 제이슨은 인터넷에서 가격 비교 사이트를 살펴보다가 수년간 충성 고객이었음에도 불구하고 다른 보험사가 ABC보다 훨씬 저렴한 보험료를 제공한다는 사실에 충격을 받았습니다. ABC 보험의 갱신 시기가 다가오자 그는 젠트론 보험으로 전환하기로 결심합니다.
새 보험을 활성화하려면 제이슨은 무클레임 보너스, 차량 및 운전 기록에 대한 정보를 Xentron에 제공해야 합니다. GDPR에 따른 자신의 권리를 조사한 후, 그는 ABC에 자신의 정보를 젠트론에 직접 전송해 달라고 요청하는 편지를 씁니다. 또한 이 기회에 ABC에 마케팅 목적으로 자신의 개인 데이터를 사용하는 것을 중단해 달라고 요청합니다.
ABC는 제이슨에게 PDF 및 XML(확장 가능한 마크업 언어) 버전의 무클레임 인증서를 제공하지만 기술적으로 불가능하기 때문에 제이슨의 데이터를 직접 Xentron으로 전송할 수 없다고 말합니다. 또한 ABC는 제이슨의 계약서에 제이슨이 자신의 데이터를 마케팅 목적으로 사용할 수 있다는 데 동의하는 조항이 포함되어 있다고 설명하며, 제이슨이 이에 대한 생각을 바꾸기에는 너무 늦었다고 말합니다. 법률 전문 용어로 가득 차 있고 매우 혼란스러운 계약서 문구를 떠올리면 제이슨은 화가 납니다.
그 와중에도 제이슨은 어비움 보험으로부터 원치 않는 전화를 계속 받습니다. 그는 Erbium에 편지를 보내 자신의 정보를 제공한 기관의 이름을 알려달라고 요청합니다. 그는 회사가 자신의 데이터를 불법적으로 사용하고 있다고 생각하기 때문에 데이터 보호 기관에 불만을 제기할 계획이라고 Erbium에 경고합니다. 그는 편지에서 자신의 데이터가 어떤 식으로든 사용되는 것을 원하지 않는다고 말합니다.
Erbium의 답변서에서 제이슨의 의혹이 확인되었습니다. Erbium은 ABC의 전액 출자 자회사로, 제이슨이 사고 청구서를 제출한 직후 ABC로부터 제이슨의 사고에 대한 정보를 받았습니다.
Erbium은 Jason의 계약에 비즈니스 목적으로 ABC의 계열사와 정보를 공유하는 데 동의하는 조항이 포함되어 있으므로 GDPR을 위반한 사실이 없음을 확신합니다.
제이슨은 ABC가 자신을 대하는 방식에 혐오감을 느끼고 컴퓨터 시스템에서 자신의 모든 정보를 지워달라고 주장하며 편지를 보냅니다.
다음 중 제이슨의 데이터 이동성 요청에 대한 ABC의 의무를 정확하게 요약한 것은?

합법적으로 기술적으로 불가능할 경우 ABC는 제이슨의 데이터를 젠트론으로 전송할 의무가 없습니다.

공익을 위한 업무 수행을 위해 개인 데이터를 처리하는 경우에는 데이터 이동권이 적용되지 않으므로 ABC는 Jason의 데이터를 Xentron으로 전송할 필요가 없습니다.

이 의무는 개인 데이터가 자동화된 수단으로 처리되고 고객과의 계약 이행에 필요한 모든 경우에 적용되므로 ABC는 Jason의 데이터를 Xentron으로 이전할 의무를 준수하지 않았습니다.

ABC는 요청 시 모든 고객 데이터를 다른 보험사로 이전할 수 있도록 일반적으로 사용되고 기계 판독이 가능하며 상호 운용 가능한 형식을 개발해야 할 의무가 있기 때문에 제이슨의 데이터를 Xentron으로 이전할 의무를 준수하지 않았습니다.

질문 90
데이터 관리자는 데이터 보호 책임자를 임명합니다. 다음 중 GDPR 제37조부터 제39조까지를 위반하지 않는 조건은 무엇인가요?

데이터 보호 책임자가 ISO 27001 심사원 인증이 없는 경우.

데이터 처리자가 데이터 보호 책임자를 지정한 경우.

데이터 보호 책임자가 마케팅 예산도 관리하는 경우.

데이터 보호 책임자가 데이터 관리자로부터 지시를 받은 경우.

질문 91
다음 중 감독 당국의 조사 권한 중 하나는 무엇인가요?

컨트롤러 또는 처리자에게 GDPR 위반 혐의에 대해 알리기 위해.

컨트롤러 또는 처리자가 승인된 데이터 보호 인증 메커니즘을 채택하도록 요구합니다.

컨트롤러 또는 처리자가 자신에 대한 보상 결정과 관련하여 사법적 구제 조치를 받을 권리가 있는지 여부를 결정합니다.

데이터 관리자에게 모든 새로운 처리 활동에 대한 서면 통지를 제공하도록 요구합니다.

질문 92
시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
원더키즈는 보육 서비스를 위한 온라인 예약 서비스를 제공합니다. 원더키즈는 프랑스에 본사를 두고 있지만 스위스에 있는 회사를 통해 웹사이트를 호스팅합니다. 원더키즈는 서비스의 일부로 제공된 모든 개인 데이터를 시스템을 통해 예약한 보육 제공자에게 전달합니다. 웹사이트에서 수집되는 개인 데이터 유형에는 보육을 예약하는 사람의 이름, 주소 및 연락처, 이름, 나이, 성별 및 건강 정보 등 돌봄 대상 아동에 대한 정보가 포함됩니다. 원더키즈 웹사이트의 개인정보 처리방침에는 다음과 같은 내용이 명시되어 있습니다:
"원더키즈는 귀하가 본 웹사이트를 통해 당사에 공개하는 정보를 일정 및 건강 및 안전상의 이유로 귀하의 보육 제공자에게 제공합니다. 또한 당사는 당사의 합법적인 사업 목적을 위해 귀하와 자녀의 개인정보를 사용할 수 있으며 스위스에 위치한 제3자 웹사이트 호스팅 회사를 고용하여 데이터를 저장합니다. 스위스에 위치한 장비에 저장된 모든 데이터는 귀하와 자녀의 개인정보를 위한 적절한 안전장치를 보장하기 위한 유럽위원회 규정을 충족합니다. 당사는 귀하와 귀하의 자녀의 개인정보를 귀하에게 실질적인 가치를 제공하는 것으로 판단되는 비즈니스와만 공유합니다. 당사에 개인정보를 제공함으로써 귀하는 해당 정보를 제휴 사업자에게 전송하고 프로모션 제안을 보내는 데 동의하는 것입니다."
"당사는 귀하와 귀하의 자녀의 개인정보를 28일 이내로 보유할 수 있으며, 이 경우 개인정보가 최대 2년까지 보유될 수 있는 28일을 초과하여 합법적인 사업 목적으로 사용되는 경우를 제외하고는 개인정보가 비개인화됩니다."
"당사는 귀하의 동의 하에 귀하와 귀하의 자녀의 개인정보를 처리하고 있습니다. 특정 정보를 당사에 제공하지 않기로 선택한 경우, 당사의 서비스를 이용하지 못할 수 있습니다. 회원님에게는 다음과 같은 권리가 있습니다: 회원님 및 자녀의 개인정보에 대한 액세스 요청, 회원님 및 자녀의 개인정보를 수정 또는 삭제할 권리, 회원님 및 자녀의 개인정보 처리에 이의를 제기할 권리, 회원님 및 자녀의 개인정보 처리에 반대할 권리. 또한 귀하는 당사의 데이터 처리 활동에 대해 감독 기관에 불만을 제기할 권리가 있습니다." 원더키즈와 호스팅 서비스 제공업체 간의 계약에는 어떤 내용이 포함되어야 하나요?

데이터 보호를 위한 기술적 및 조직적 조치를 구현해야 합니다.

컨트롤러 간 모델 계약 조항.

데이터 주체에 대한 감사 권한.

비공개 동의서.

질문 93
Bioface는 미국에 본사를 둔 회사입니다. 유럽 연합에는 서버, 인력, 자산이 없습니다. 소셜 미디어와 신문, 블로그 등 기타 웹 기반 서비스에서 사진을 수집하여 머신 러닝을 통해 얼굴 인식 알고리즘을 개발합니다. 이 알고리즘은 알고리즘과 기존 데이터를 기반으로 데이터 세트에 없는 사진 속 개인을 식별합니다. 이 서비스는 유럽연합 내 데이터 주체의 사진을 수집하며, 사진을 제시하면 개인을 식별합니다. Bioface는 미국과 캐나다의 정부 기관 및 기업에는 서비스를 제공하지만 유럽 연합의 기업에는 서비스를 제공하지 않습니다. Bioface는 개인에게는 서비스를 제공하지 않습니다.
바이오페이스가 일반 데이터 보호 규정의 지역적 범위를 적용받는 이유는 무엇인가요?

유럽 연합 웹사이트의 데이터를 수집하며, 이는 유럽 연합 내 사업장을 구성합니다.

유럽 연합의 데이터 주체를 식별하여 유럽 연합에서 서비스를 제공합니다.

피험자로부터 데이터를 수집하여 자동 처리에 사용합니다.

유럽 연합 내 데이터 주체의 행동을 모니터링합니다.

질문 94
2016년 가이드라인에서 영국 정보 위원회(ICO)는 정보 주체에게 무엇을 제공하기 위해 '계층화된 통지'를 사용하는 것이 중요하다는 점을 재확인했습니다.

개인정보처리방침에는 간략한 정보와 함께 자세한 내용을 확인할 수 있는 링크가 포함되어 있습니다.

웹사이트에서 쿠키 사용을 거부할 경우 발생할 수 있는 결과를 설명하는 개인정보 처리방침입니다.

개인 데이터가 제3자에게 전송될 때 사용되는 보안 조치에 대한 설명입니다.

회원국에서 서면 동의가 필요한 경우 이를 제공할 수 있는 효율적인 수단입니다.

질문 95
GDPR에 새로 도입된 제42조에 따라 제3국으로의 개인 데이터 전송 가능성을 허용하는 메커니즘은 무엇인가요?

승인된 인증.

구속력 있는 기업 규칙.

법 집행 기관의 요청.

표준 계약 조항.

질문 96
시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
는 미국, 아시아, 유럽(독일, 이탈리아, 프랑스, 포르투갈 포함) 전역에 지사를 두고 있는 다국적 기업으로, 시카고에 본사를 두고 있습니다. 작년에 이 회사는 피싱 공격의 피해자가 되어 상당한 규모의 데이터 유출을 겪었습니다. 경영진은 총책임자, 개인정보 보호팀, 정보 보안팀과 협력하여 추가적인 보안 조치를 채택하기로 결의했습니다. 여기에는 인식 교육 프로그램, 사이버 보안 감사, 보안 스캔이라는 새로운 소프트웨어 도구를 사용하여 직원들의 컴퓨터를 스캔하여 공급업체에서 더 이상 지원하지 않아 보안 업데이트를 받지 못하는 소프트웨어가 있는지 확인하는 것이 포함되었습니다. 하지만 이 소프트웨어는 직원 컴퓨터 모니터링 등 다른 기능도 제공합니다.
이러한 조치가 직원들에게 잠재적으로 영향을 미칠 수 있기 때문에, 빌딩 블록의 개인정보 보호팀은 모든 직원에게 정보 보안을 강화하고 향후 데이터 유출을 방지하기 위한 일련의 이니셔티브를 시행할 것임을 알리는 일반 공지를 발표하기로 결정했습니다.
이러한 조치를 시행한 후 서버 성능이 저하되었습니다. 총괄 관리자는 보안 팀에 SecurityScan을 사용하여 직원의 컴퓨터 활동과 위치를 모니터링하는 방법을 지시했습니다.
이러한 활동 중에 정보 보안팀은 이탈리아의 한 직원이 매일 영화 비디오 라이브러리에 접속하고, 독일의 다른 직원이 승인 없이 원격으로 작업하는 것을 발견했습니다. 보안팀은 이러한 사건을 개인정보 보호팀과 총책임자에게 보고했습니다. 보안팀은 보고서에서 이탈리아 출신 직원이 서버 성능 저하의 원인이라고 결론지었습니다.
회사의 보안 및 개인정보 보호정책에 따라 직원이 회사 컴퓨터에 소프트웨어를 설치하거나 허가 없이 원격으로 작업하는 것이 금지되어 있기 때문에 이러한 침해의 심각성으로 인해 회사는 두 직원에게 징계 조치를 적용하기로 결정했습니다.
빌딩 블록이 이탈리아에서 온 직원의 상황을 처리할 수 있는 가장 적절한 방법은 무엇인가요?

이 상황에는 GDPR이 적용되지 않으므로 회사는 이탈리아 노동법에 따라 승인된 모든 징계 조치를 적용할 수 있습니다.

해당 직원은 서버 성능과 데이터에 심각한 위험을 초래했으므로 회사는 이 직원에게 공정 해고를 포함한 징계 조치를 적용할 수 있습니다.

해당 직원은 보안 조치가 모니터링과 같은 다른 목적으로 사용될 것이라는 사실을 알지 못했기 때문에 회사는 이 직원에게 징계 조치를 적용하는 데 어려움을 겪을 수 있습니다.

이는 심각한 위반이지만 해당 직원이 새로운 보안 조치로 인한 결과에 대해 적절하게 고지받지 못했기 때문에 회사는 일부 징계 조치를 적용할 수 있지만 해고는 적용하지 않을 수 있습니다.

질문 97
비유럽연합 국가의 데이터 보호 수준의 적정성을 확인하는 조사 결과를 채택할 권한이 있는 기관은 어디인가요?

유럽 의회

유럽 위원회

제29조 워킹 파티

유럽 위원회

질문 98
다음 중 1973년 데이터 보호를 위한 국내법을 최초로 시행한 국가는 어디입니까?

프랑스

스웨덴

독일

영국

질문 99
한 초등학교에서 얼굴 인식을 사용하여 학생 출석을 추적할 계획입니다. 다음 중 이 처리에 대한 법적 근거를 제공할 수 있는 것은 무엇인가요?

학교는 각 카메라 근처에 안내문을 부착합니다.

학교는 학생의 명시적인 동의를 얻습니다.

학교가 추구하는 정당한 이익을 위해 처리가 필요합니다.

주법에 따라 얼굴 인식을 통해 출석을 확인해야 합니다.

질문 100
유럽인권협약(ECHR) 제8조에 따른 프라이버시 권리를 고려할 때 옳은 설명은 어느 것인가요?

개인 정보 보호에 대한 권리는 절대적인 권리입니다.

프라이버시 권리는 유럽인권협약에 따른 다른 권리와 균형을 이루어야 합니다.

유럽인권협약 제10조에 따른 표현의 자유에 대한 권리는 항상 개인정보 보호에 대한 권리보다 우선합니다.

프라이버시 권리는 의견을 제시하고 간섭 없이 아이디어를 받고 전달할 수 있는 권리를 보호합니다.

질문 101
다음 중 GDPR 제5조에서 명시적으로 요구하는 '공정성', '적법성', '투명성'의 개념을 가장 잘 요약한 문장은 무엇인가요?

공정성과 투명성은 데이터를 수집하기 전에 주요 정보를 전달하는 것을 의미하며, 적법성은 정부 규정을 준수하는 것을 의미합니다.

공정성은 개인으로부터 수집하는 데이터의 양을 제한하는 것을 의미하며, 합법성은 국가의 기업 가이드라인 승인을 의미하고, 투명성은 데이터 수집 전 주요 정보에 대한 커뮤니케이션과 관련된 것만 의미합니다.

공정성은 개인 데이터의 보안을 의미하며, 적법성과 투명성은 조례를 분석하여 조례가 일관되게 시행되도록 하는 것을 의미합니다.

공정성은 다양한 주체로부터 데이터를 수집하는 것을 의미하고, 적법성은 법적 규칙이 통일되어야 한다는 것을 의미하며, 투명성은 개인이 자신의 데이터에 액세스할 수 있도록 하는 것을 의미합니다.

질문 102
유럽 데이터 보호 지침 95/46/EC의 목적은 무엇인가요?

모든 회원국에서 유럽 인권 협약의 이행이 조화를 이루도록 합니다.

개인정보 보호 및 개인 데이터의 국경 간 흐름에 관한 OECD 가이드라인을 이행합니다.

유럽연합 역외로의 개인 데이터 전송을 완전히 차단합니다.

개인의 기본권 보호와 한 회원국에서 다른 회원국으로의 자유로운 데이터 이동을 더욱 조화롭게 조화시키기 위해서입니다.

질문 103
데이터 컨트롤러가 개인 데이터를 익명화하려면 어떻게 해야 하나요?

데이터를 데이터 주체와 연결할 수 있는 모든 정보를 별도로 보관합니다.

무단 액세스 또는 수정을 방지하기 위해 데이터를 암호화합니다.

모든 간접 데이터 식별자를 제거하고 안전하게 폐기하세요.

연구 목적으로만 집계된 형태로만 데이터를 사용합니다.

질문 104
GDPR에 따르면 가명 개인 데이터는 어떻게 정의되나요?

별도로 보관된 추가 정보를 사용하지 않고는 더 이상 특정 데이터 주체에 귀속시킬 수 없는 데이터.

더 이상 특정 데이터 주체에 귀속될 수 없는 데이터로, 데이터를 재식별할 가능성이 없는 데이터입니다.

데이터 주체를 더 이상 식별할 수 없도록 익명으로 처리된 데이터.

암호화되었거나 기타 기술적 보호 조치가 적용된 데이터.

질문 105
시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
안나와 프랭크는 모두 그랜체스터 대학교에서 근무하고 있습니다. Anna는 데이터 보호를 담당하는 변호사로, Frank는 엔지니어링 부서의 강사로 일하고 있습니다. 대학에서는 여러 유형의 기록을 관리합니다:
이름, 학생 번호, 집 주소, 대학 입학 전 정보, 대학 출석 및 성적 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
자서전 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
출생지, 생년월일, 입학일, 학위 수여일 등 졸업생 기록. 이러한 기록은 그랜체스터의 동문 포털을 통해 등록한 후 이전 학생이 이용할 수 있습니다. 교육부 기록으로, 특정 인구 통계 그룹(예: 1세대 학생)이 평균적으로 어떻게 발전할 것으로 예상할 수 있는지를 보여줍니다. 이러한 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
대학은 보안 정책에 따라 전송 중이거나 미사용 중인 모든 개인 데이터 기록을 암호화합니다.
Frank는 자신의 강의를 개선하기 위해 교육부의 기대치와 관련하여 공대생들의 성과를 조사하고자 합니다. 그는 Anna의 데이터 보호 교육 과정에 참석했으며, 자신의 목표를 달성하기 위해 필요 이상의 개인 데이터를 사용하지 않아야 한다는 것을 알고 있습니다. 그는 이전에 다녔던 학교, 원래 받은 성적, 현재 받은 성적, 처음 다닌 대학 등 일부 학생 데이터만 내보내는 프로그램을 만듭니다. 그는 개별 학생 수준에서 기록을 유지하고자 합니다. Frank는 Anna의 교육을 염두에 두고 알고리즘을 통해 학생 번호를 다른 참조 번호로 변환합니다. 그는 시간이 지남에 따라 각 기록을 업데이트할 수 있도록 매번 동일한 알고리즘을 사용합니다.
Anna의 업무 중 하나는 GDPR에서 요구하는 대로 처리 활동 기록을 작성하는 것입니다. GDPR에서 요구하는 대로 이메일 알림을 받은 후. 이메일 알림을 받은 후 Frank는 Anna에게 자신의 성과 데이터베이스에 대해 알려줍니다.
Ann은 Frank에게 개인 데이터를 최소화하는 것뿐만 아니라 기존 데이터의 새로운 사용이 허용되는지 대학이 확인해야 한다고 설명합니다. 또한 GDPR에 따라 데이터 처리 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. Anna는 몇 가지 추가 조사를 마친 후 Frank와 이 문제에 대해 더 논의하기로 합니다.
프랭크는 남는 시간에 분석 작업을 하고 싶어 집에서 사용하는 노트북(암호화되지 않은)으로 데이터를 전송합니다. 안타깝게도 프랭크는 노트북을 대학으로 가져가던 중 기차에서 노트북을 잃어버립니다. 프랭크는 그날 안나를 만나 호환 처리에 대해 논의해야 합니다. 그는 보안 사고를 보고해야 한다는 것을 알고 있기 때문에 노트북 분실 사실을 동시에 Anna에게 말하기로 결심합니다.
Anna는 이 상황에서 위험 분석이 필요하지 않다는 것을 알게 될까요?

데이터 주체는 더 이상 Frank의 현재 학생이 아닙니다.

처리는 데이터 주체의 권리에 부정적인 영향을 미치지 않습니다.

Frank가 처리를 위해 사용하는 알고리즘은 기술적으로 안전합니다.

데이터 주체는 원래 처리에 대한 명확한 동의를 제공했습니다.

질문 106
직접 마케팅과 관련하여 '소프트 옵트인' 규칙이 적용되는 상황은 무엇인가요?

개인이 마케팅에 동의하지 않은 경우.

제품 구매에 대한 문의를 통해 개인의 세부 정보를 얻은 경우.

구매한 마케팅 목록에서 개인의 세부 정보를 얻은 경우.

개인이 자신에게 전송된 마케팅 이메일의 수신을 거부할 수 있는 기능을 제공합니다.