NO.134 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
Jack은 다국적 제약회사의 아일랜드 지사에서 약물감시 운영 전문가로 근무하며 코로나19 관련 임상시험에 참여했습니다. 잭은 온보딩 과정의 일환으로 개인정보 보호 교육을 받았으며, 업무 과정에서 기밀 환자 데이터를 처리해야 하지만 어떠한 경우에도 업무 수행 이외의 목적으로 이 데이터를 사용할 수 없다는 사실을 명시적으로 통보받았습니다(이 내용은 교육을 마친 후 잭이 서명한 개인정보 보호정책에도 명시되어 있습니다).
근무한 지 몇 달 후, 잭은 한 환자와 전화로 말다툼을 벌였습니다. 화가 난 그는 나중에 소셜 미디어 웹사이트에 환자의 이름과 병명 정보를 비방하는 댓글과 함께 게시했습니다. 이 사실이 그의 약물감시 감독관에게 발각되었습니다. 잭은 즉시 해고되었고 잭의 변호사는 해고는 불균형적인 제재이며 14일 이내에 잭이 복직하지 않으면 회사를 상대로 법적 소송을 시작할 수밖에 없다는 내용의 서한을 회사에 보냈습니다. 이 서신에는 '잭이 주고받은 내부 이메일 또는 내용에서 잭을 직간접적으로 식별할 수 있는 이메일을 포함한 모든 개인 데이터'의 사본을 요청하는 데이터 액세스 요청서가 첨부되었으며, 잭은 해당 이메일과 관련하여 받은 편지함에 액세스 권한이 필요한 경영진 6명의 이름을 열거했습니다.
회사는 IT 시스템에 대한 초기 검색을 실시하여 많은 양의 정보를 반환했습니다. 그런 다음 Jack에게 연락하여 필요한 정보를 더 구체적으로 알려달라고 요청하여 표적 검색을 수행했습니다. Jack은 정보 요청자의 범위를 좁히지 않겠다는 답변을 보냈습니다.
GDPR 제82조("보상 및 책임에 대한 권리-")에 따라 데이터 유출로 인한 피해는 어느 당사자에게 책임이 있나요?

NO.135

NO.136 암호화되지 않은 개인 데이터의 도난과 관련된 침입을 감지한 후, 침해된 회사는 GDPR 요건에 따라 누구에게 먼저 통지해야 하나요?

NO.137 직원이 고용주에게 자신에 관한 개인 데이터에 대한 액세스 요청을 하면 어떻게 되나요?

NO.138 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
피트니스 회사인 Vigotron은 최근 M-Health라는 새로운 앱을 개발하여 웹사이트에서 무료로 다운로드할 수 있도록 판매하려고 합니다. 비고트론의 마케팅 관리자는 비서인 에밀리에게 앱을 설명하고 사용 약관을 명시하는 웹페이지를 만들어 달라고 요청합니다. 비고트론에 새로 입사한 에밀리는 이 작업에 기대가 큽니다. 이전 직장에서 데이터 보호 수업을 들었던 그녀는 세부 사항은 약간 흐릿하지만, Vigotron이 경우에 따라 앱 사용에 대한 사용자 동의를 얻어야 한다는 것을 알고 있습니다. 에밀리는 다음 초안을 스케치하며 가능한 한 많은 내용을 포함하려고 노력한 후 Vigotron의 법무팀에 보냅니다.
등록 양식
비고트론의 새로운 M-Health 앱을 사용하면 식단, 운동, 수면 패턴 등 다양한 건강 관련 활동을 쉽게 모니터링할 수 있습니다. M-Health는 스마트폰 설정(이미 사용 중인 다른 타사 앱과 함께)을 사용하여 이러한 모든 중요한 라이프스타일 요소에 대한 데이터를 수집하고 삶의 질을 향상하는 데 필요한 정보를 제공합니다. (M-Health가 제공하는 서비스에 대한 자세한 설명을 보려면 여기를 클릭하세요.) 비고트론은 귀하의 개인정보를 소중히 여깁니다. M-헬스 앱을 사용하면 어떤 정보가 저장되고 어떤 앱이 데이터에 액세스할 수 있는지 결정할 수 있습니다. 기기가 비밀번호로 잠겨 있으면 모든 건강 및 피트니스 데이터가 비밀번호로 암호화됩니다. 건강 앱에 저장된 데이터는 Vigotron의 클라우드 제공업체인 Stratculous에 백업할 수 있습니다. (스트라튤러스에 대한 자세한 내용은 여기를 참조하세요.) Vigotron은 M-Health 앱에서 수집한 개인 정보를 거래, 대여 또는 판매하지 않습니다. 또한 법원의 명령, 소환장의 지시 또는 제조업체의 법적 권리를 집행하거나 비즈니스 또는 재산을 보호하기 위한 경우를 제외하고는 고객의 동의 없이 고객의 이름, 이메일 주소 또는 앱에서 수집한 기타 정보를 제삼자에게 제공하지 않습니다.
M-Health 앱을 무료로 제공하게 되어 기쁩니다. 앱을 다운로드하여 사용하려면 먼저 이 등록 양식을 작성해 주시기 바랍니다. (미성년자가 사용하려는 경우 부모의 동의가 없는 한, M-Health 앱은 만 16세 이상의 성인으로 사용이 제한됩니다.) 이름:
성:
출생 연도:
이메일:
실제 주소(선택 사항*):
건강 상태:
*회원님이 관심을 가질 만한 제품 및 서비스에 대한 뉴스레터 수신에 관심이 있으시면 실제 주소를 알려주시기 바랍니다. 나중에 뉴스레터 수신을 원하지 않는 경우 [email protected] 으로 이메일을 보내 구독을 취소하거나 이 페이지 하단에 나와 있는 주소로 요청을 담은 편지를 보내면 됩니다.
이용 약관
1. 관할권. [...]
2. 적용 법률. [...]
3. 책임의 제한. [...]
동의
이 등록 양식을 작성함으로써 귀하는 귀하가 만 16세 이상이며, M-Health 앱을 사용하기 위한 목적으로 Vigotron이 귀하의 개인 데이터를 처리하는 데 동의함을 증명합니다. 귀하는 광고 또는 마케팅을 거부할 권리가 있지만, 비고트론이 이메일 또는 기타 전자적 수단을 통해 귀하에게 연락하거나 서비스와 관련하여 필요한 통지, 계약 또는 기타 정보를 제공할 수 있음에 동의합니다. 또한 귀하는 회사가 귀하의 건강에 영향을 미칠 수 있는 M-Health 앱의 문제에 관한 알림을 자동 이메일로 전송할 수 있음에 동의합니다.
에밀리는 검토를 위해 초안을 샘에게 보냅니다. 다음 중 샘이 에밀리의 동의 조항에서 가장 큰 문제점으로 지적할 가능성이 가장 높은 것은 무엇인가요?

NO.139 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
ABC 호텔 체인과 XYZ 여행사는 미국에 본사를 둔 다국적 기업입니다. 이들은 마케팅 활동을 통합하기 위해 인터넷 기반의 공통 플랫폼을 사용하여 고객 데이터를 수집하고 서로 공유합니다. 또한 저장할 데이터, 예약 예약 및 확인 방법, 저장된 데이터에 액세스할 수 있는 사람에 대해 동의합니다.
유럽 연합 거주자인 Mike는 과거에 XYZ 여행사를 통해 ABC 호텔 체인 지점에서 숙박하는 여행 일정을 예약한 적이 있습니다. XYZ 여행사는 고객이 가입하여 나중에 무료 여행에 사용할 수 있는 포인트를 적립할 수 있는 리워드 프로그램을 제공합니다. Mike는 리워드 프로그램 회원이 되기 위해 계약서에 서명했습니다.
이제 Mike는 회사가 자신에 대해 어떤 개인 정보를 보유하고 있는지 알고 싶어합니다. 그는 자신의 데이터 주체 권리를 행사하기 위해 자신의 데이터에 대한 액세스 권한을 요청하는 이메일을 보냅니다.
마이크가 요청에 대한 응답을 받아야 하는 기간은 언제인가요?

NO.140 개인 기기 가져오기(BYOD) 프로그램을 운영하는 기업에게 가장 큰 도전 과제가 될 GDPR 요건은 무엇인가요?

NO.141 다음 단계를 읽어보세요:
* 어떤 직원이 어떤 디바이스와 앱에서 클라우드 서비스에 액세스하는지 파악하세요.
* 해당 앱과 디바이스의 데이터를 잠급니다.
* 규정 준수를 위한 앱 및 디바이스 모니터링 및 분석
* 애플리케이션 수명 주기 관리
* 데이터 공유 모니터링
다음 중 조직이 수행해야 하는 단계는 무엇인가요?

NO.142 데이터 처리자를 고용할 때 데이터 컨트롤러가 보안 침해 발생 시 책임을 피하기 위해 의존할 수 없는 조치에는 어떤 것이 있나요?

NO.143 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
ProStorage는 네덜란드에 본사를 둔 다국적 클라우드 스토리지 제공업체입니다. CEO. Ruth Brown은 성장을 위한 두 가지 전략, 즉 1) ProStorage의 글로벌 고객 기반을 확장하고 2) 효과적인 팀을 효율적으로 온보딩하여 ProStorage의 영업 인력을 늘리는 전략을 개발했습니다. 이 전략을 실행하는 데는 최근 루스의 건강 문제로 인해 근무 시간이 제한되고 잠재 고객을 만나기 위해 출장할 수 없게 되면서 어려움이 있었습니다. 프로스토리지의 인사 부서와 루스의 최고 참모는 이제 루스의 일정을 관리하고 그녀가 모든 의료 약속을 지킬 수 있도록 협력하고 있습니다. 후자는 루스가 지난번 인도 여행에서 응급 상황을 겪고 뉴델리에 입원한 후 특히 중요해졌습니다. 루스의 가족과 연락이 닿지 않자 병원에서는 프로스토리지에 연락해 최고 참모와 연결할 수 있었고, 인사 책임자인 Mary와 협력하여 의사에게 정보를 제공하고 루스의 요청에 따라 병원에 입원하도록 했습니다: 더 많은 영업 담당자를 채용하려는 Ruth의 전략적 목표를 지원하기 위해 인사팀은 신규 직원을 효율적으로 소싱, 면접, 채용 및 온보딩할 수 있도록 프로세스를 개선하는 데 주력하고 있습니다. 이를 위해 Mary는 독일에 본사를 둔 HRYourWay와 호주에 본사를 둔 InstaHR이라는 두 공급업체를 선정했습니다. 그녀는 두 공급업체 모두 ProStorage의 공급업체 위험 검토 프로세스를 거쳐 최종 결정을 내릴 수 있도록 Ruth와 협력하기로 결정했습니다. 검토 프로세스의 일환으로 ProStorage의 개인정보 보호 프로그램 유지 관리(컨트롤러 BCR 유지 관리 및 공급업체 위험 평가 수행 포함)를 담당하는 Jackie는 두 공급업체를 모두 검토했지만 InstaHR에 대해서만 이전 영향 평가를 완료했습니다. 두 업체를 모두 검토한 결과, InstaHR은 보다 확립된 개인정보 보호 프로그램을 자랑하고 제3자 증명서를 제공한 반면 HRYourWay는 데이터 보호 운영을 최소화하는 소규모 공급업체였기 때문입니다.
그래서 그녀는 InstaHR을 추천했습니다.
또한 ProStorage의 마케팅 팀은 시장 점유율 확대가 필요한 산업에 집중하여 회사의 전략적 목표를 달성하기 위해 노력했습니다. 이를 위해 마케팅 팀은 금융 업계 고객과 긴밀한 관계를 맺고 있는 미국 기업 UpFinance를 파트너로 선정했습니다. 프로스토리지의 실사 과정에서 개인정보 보호팀의 Jackie는 이전 영향 평가에서 UpFinance가 엔드투엔드 암호화와 고객이 보유한 암호화 키를 포함한 여러 데이터 보호 조치를 구현한다는 점에 주목했습니다.
특히 업파이낸스는 7년간 사업을 운영하면서 정부의 요청을 받은 적이 없습니다. 그럼에도 불구하고 Jackie는 계약서에 UpFinance가 데이터를 공개하기 전에 UpFinance가 대신 처리하는 개인 데이터에 대한 정부 요청을 받으면 ProStorage에 통보하도록 요구할 것을 권고했습니다.
잭키가 추천하는 추가 조치가 UpFinance를 사용하는 데 충분한 이유는 무엇인가요?

NO.144 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
이탈리아에 본사를 둔 BHealthy는 자외선 차단제에 중점을 둔 새로운 천연 제품 라인을 출시할 준비를 하고 있습니다. 제품 출시 전 마지막 단계는 새로운 자외선 차단제 라인을 유럽 전역에서 얼마나 광범위하게 마케팅할지 결정하기 위한 조사를 수행하는 것입니다. 이를 위해 BHealthy는 천연 제품 가격 책정 전문 회사인 Natural Insight와 협력했습니다. BHealthy는 이름, 위치, 이전 구매 내역 등 기존 고객 정보를 Natural Insight와 공유하기로 결정했습니다. Natural Insight는 이 정보를 사용하여 알고리즘을 훈련시켜 BHealthy가 새로운 자외선 차단제를 판매할 수 있는 가격대를 결정하는 데 도움을 줄 계획입니다.
고객 명단을 공유하기 전에 BHealthy는 내추럴 인사이트의 보안 관행을 검토한 결과 연락처 정보를 보호하기에 충분한 보안 조치를 갖추고 있다는 결론을 내렸습니다. 또한 내추럴 인사이트와의 데이터 처리 계약 조건에 따라 BHealthy는 기술적 및 조직적 조치를 지속적으로 이행해야 합니다. 또한 계약서에는 서비스 제공 이외의 목적으로 BHealthy가 제공한 데이터를 사용하는 것에 대한 제한이 명시되어 있으며, 여기에는 내추럴 인사이트의 머신러닝 알고리즘을 지속적으로 개선하기 위한 데이터 사용이 포함됩니다.
내추럴 인사이트가 알고리즘 개선을 위해 BHealthy의 데이터를 사용하는 것은 어떤 경우에 데이터 처리자 활동으로 간주되나요?

NO.145 유럽인권재판소(ECHR)와 유럽사법재판소(CJEU)의 역할 및 기능과 관련하여 중요한 차이점은 무엇인가요?

NO.146 하위 프로세서를 고용하는 프로세서의 의무는 무엇인가요?

NO.147 플래닛 49 CJEU 판결은 어디에 적용되나요?

NO.148 시나리오
다음 질문에 답하려면 다음을 사용해 주세요:
는 미국, 아시아, 유럽(독일, 이탈리아, 프랑스, 포르투갈 포함) 전역에 지사를 두고 있는 다국적 기업으로, 시카고에 본사를 두고 있습니다. 작년에 이 회사는 피싱 공격의 피해자가 되어 상당한 규모의 데이터 유출을 겪었습니다. 경영진은 총책임자, 개인정보 보호팀, 정보 보안팀과 협력하여 추가적인 보안 조치를 채택하기로 결의했습니다. 여기에는 인식 교육 프로그램, 사이버 보안 감사, 보안 스캔이라는 새로운 소프트웨어 도구를 사용하여 직원들의 컴퓨터를 스캔하여 공급업체에서 더 이상 지원하지 않아 보안 업데이트를 받지 못하는 소프트웨어가 있는지 확인하는 것이 포함되었습니다. 하지만 이 소프트웨어는 직원 컴퓨터 모니터링 등 다른 기능도 제공합니다.
이러한 조치가 직원들에게 잠재적으로 영향을 미칠 수 있기 때문에, 빌딩 블록의 개인정보 보호팀은 모든 직원에게 정보 보안을 강화하고 향후 데이터 유출을 방지하기 위한 일련의 이니셔티브를 시행할 것임을 알리는 일반 공지를 발표하기로 결정했습니다.
이러한 조치를 시행한 후 서버 성능이 저하되었습니다. 총괄 관리자는 보안 팀에 SecurityScan을 사용하여 직원의 컴퓨터 활동과 위치를 모니터링하는 방법을 지시했습니다.
이러한 활동 중에 정보 보안 팀은 이탈리아의 한 직원이 매일 영화 비디오 라이브러리에 접속하고, 독일의 다른 직원이 승인 없이 원격으로 작업하는 것을 발견했습니다.
보안팀은 이러한 사건을 개인정보 보호팀과 총괄 관리자에게 보고했습니다. 보안팀은 보고서에서 이탈리아에서 온 직원이 서버 성능 저하의 원인이라고 결론지었습니다.
회사의 보안 및 개인정보 보호정책에 따라 직원이 회사 컴퓨터에 소프트웨어를 설치하거나 허가 없이 원격으로 작업하는 것이 금지되어 있기 때문에 이러한 침해의 심각성으로 인해 회사는 두 직원에게 징계 조치를 적용하기로 결정했습니다.
GDPR을 준수하기 위해 빌딩 블록은 보안 스캔 조치를 구현하기 전에 첫 번째 단계로 무엇을 했어야 했나요?

NO.149 DPIA를 수행한 컨트롤러는 어떤 경우에 감독 기관과 협의해야 할 가능성이 가장 높습니까?

NO.150 한 주택 소유주가 현관문과 현관을 촬영하는 동작 감지 감시 시스템을 설치했습니다. 이 카메라는 공공장소는 촬영하지 않고 집주인의 소유인 구역만 촬영합니다. 이 시스템은 주택 소유주의 국가 법률에 따라 당국에 신고되었으며, 해당 구역이 비디오 모니터링되고 있음을 나타내는 플래카드가 숙소에 들어갈 때 보입니다. 감시 카메라 시스템으로 녹화된 비디오 이미지 처리와 관련하여 주택 소유주가 가정용 면제에 의존할 수 없는 이유는 무엇인가요?

NO.151 다음 중 GDPR의 '원스톱 쇼핑' 메커니즘에 대한 정확한 설명은 어느 것인가요?