问题 88
GDPR 要求控制者向数据主体提供有关其数据处理的详细信息。如果控制者直接从数据主体处获取数据，在法律上无需提供以下哪项信息？

问题 89
情景
请用下面的文字回答下一个问题：
Jason 是 ABC 保险公司的长期客户，几个月前他遭遇了一场小车祸。
虽然没有人受伤，但杰森一直被一家名为 Erbium Insurance 的公司的短信和电话所困扰，该公司表示可以帮助他获得人身伤害赔偿。杰森听说过保险公司向第三方出售客户资料的事情，他相信 Erbium 一定是从 ABC 公司那里得到了他的信息。
Jason 还收到了 ABC 公司越来越多的营销信息，试图向他推销他们的全套保险政策。
Jason 对此感到不安，他开始在互联网上寻找比价网站，并震惊地发现其他保险公司的费率比 ABC 便宜得多，尽管他已经是这家公司多年的忠实客户。当 ABC 保险公司的保单到期续保时，他决定转投 Xentron 保险公司。
为了激活他的新保险单，Jason 需要向 Xentron 提供有关他的无索赔奖金、车辆和驾驶历史的信息。在研究了 GDPR 赋予他的权利后，他写信要求 ABC 将他的信息直接转给 Xentron。他还借此机会要求 ABC 停止将其个人资料用于营销目的。
ABC 公司向 Jason 提供了 PDF 和 XML（可扩展标记语言）版本的无索赔证明，但告诉 Jason 由于技术上不可行，无法将其数据直接传输给 Xentron 公司。ABC 公司还解释说，杰森的合同中包含一项条款，规定杰森同意将其数据用于营销目的；据 ABC 公司称，杰森现在改变主意为时已晚。当杰森回忆起合同的措辞时，他感到非常愤怒，因为合同中充斥着法律术语，非常令人困惑。
在此期间，杰森仍然接到 Erbium 保险公司的骚扰电话。他写信给 Erbium，询问向他们提供他的详细资料的机构名称。他警告 Erbium，他计划向数据保护机构投诉，因为他认为他们公司非法使用了他的数据。他在信中表示，他不希望他们以任何方式使用他的数据。
Erbium 公司的复函证实了 Jason 的猜测。Erbium 是 ABC 的全资子公司，他们在 Jason 提交事故索赔后不久就从 ABC 收到了 Jason 的事故信息。
Erbium 公司向 Jason 保证没有违反 GDPR，因为 Jason 的合同中包含一条规定，即他同意出于商业目的与 ABC 的附属公司共享他的信息。
杰森对美国广播公司对待他的方式非常反感，他写信给他们，坚持要求从计算机系统中删除他的所有信息。
哪项陈述准确概括了 ABC 公司对 Jason 的数据可移植性请求应承担的义务？

问题 90
数据控制者任命了一名数据保护官。以下哪种情况不会导致违反 GDPR 第 37 至 39 条？

问题 91
以下哪项是监督机构的调查权之一？

问题 92
情景
请用下面的文字回答下一个问题：
WonderkKids 提供在线托儿预订服务。Wonderkids 总部设在法国，但其网站是通过瑞士的一家公司托管的。作为其服务的一部分，Wonderkids 会将提供给他们的所有个人数据传递给通过其系统预订的托儿服务提供商。网站上收集的个人数据类型包括预订儿童看护服务者的姓名、地址和联系方式，以及被看护儿童的信息，包括姓名、年龄、性别和健康信息。Wonderkids 网站的隐私声明如下：
"出于日程安排、健康和安全考虑，WonderkKids 会将您通过本网站披露给我们的信息提供给您的托儿机构。我们也可能将您和您孩子的个人信息用于我们自己的合法商业目的，我们雇用了一家位于瑞士的第三方网站托管公司来存储数据。任何存储在瑞士设备上的数据都符合欧盟委员会的规定，保证您和您孩子的个人信息得到充分的保护。我们只与我们认为能为您带来真正价值的企业共享您和您孩子的个人信息。您向我们提供任何个人数据，即表示您同意将其传输给关联企业并向您发送促销信息。
"我们保留您和您孩子的个人信息的期限不超过 28 天，届时将对数据进行去个性化处理，除非您的个人信息在 28 天后被用于合法商业目的，在这种情况下，您的个人信息可被保留长达 2 年"。
"我们是在征得您同意的情况下处理您和您孩子的个人信息的。如果您选择不向我们提供某些信息，您可能无法使用我们的服务。您有权：要求访问您和您孩子的个人信息；更正或删除您或您孩子的个人信息；有权更正或删除您和/或您孩子的个人信息；反对处理您和您孩子的个人信息。您还有权就我们的数据处理活动向监管机构投诉。WonderKids 和托管服务提供商之间的合同必须包含哪些内容？

问题 93
Bioface 是一家总部设在美国的公司。它在欧盟没有服务器、人员或资产。通过从社交媒体和其他网络服务（如报纸和博客）收集照片，该公司利用机器学习开发了一种面部识别算法。该算法根据算法和现有数据，识别出照片中不在其数据集中的个人。该服务收集欧盟境内数据主体的照片，并在出示其照片时识别他们的身份。Bioface向美国和加拿大的政府机构和公司提供服务，但不向欧盟的政府机构和公司提供服务。Bioface 不向个人提供服务。
为什么 Bioface 受《一般数据保护条例》的地域范围管辖？

问题 94
在 2016 年的指导意见中，英国信息专员办公室（ICO）重申了使用 "分层通知 "向数据主体提供哪些信息的重要性？

问题 95
GDPR 中新增的哪种机制现在允许根据第 42 条向第三国转移个人数据？

问题 96
情景
请用下面的文字回答下一个问题：
Building Block Inc. 是一家跨国公司，总部位于芝加哥，在美国、亚洲和欧洲（包括德国、意大利、法国和葡萄牙）均设有办事处。去年，该公司遭到网络钓鱼攻击，导致重大数据泄露。执行董事会与总经理、隐私办公室和信息安全团队协调，决定采取额外的安全措施。这些措施包括培训意识计划、网络安全审计，以及使用一种名为 SecurityScan 的新软件工具，它可以扫描员工的电脑，查看他们是否安装了供应商不再支持的软件，从而无法获得安全更新。不过，该软件还提供其他功能，包括监控员工的电脑。
由于这些措施可能会对员工造成影响，Building Block 隐私办公室决定向所有员工发布一份一般性通知，说明公司将实施一系列措施，以加强信息安全，防止今后发生数据泄露事件。
实施这些措施后，服务器性能有所下降。总经理指导安全团队如何使用 SecurityScan 监控员工的电脑活动及其位置。
在这些活动中，信息安全小组发现一名来自意大利的员工每天都在连接电影视频库，另一名来自德国的员工在未经授权的情况下远程工作。安全小组向隐私办公室和总经理报告了这些事件。在报告中，小组得出结论认为，服务器性能下降的原因是来自意大利的那名员工。
鉴于这些侵权行为的严重性，公司决定对这两名员工采取纪律处分措施，因为公司的安全和隐私政策禁止员工在公司的电脑上安装软件，也禁止员工在未经授权的情况下远程工作。
对于来自意大利的员工，Building Block 最合适的处理方式是什么？

问题 97
哪个机构有权通过调查结果，确认非欧盟国家的数据保护水平是否充分？

问题 98
以下哪个国家在 1973 年率先实施了国家数据保护法？

问题 99
某小学计划使用面部识别技术跟踪学生出勤情况。以下哪项可以为这一处理提供合法依据？

问题 100
在考虑《欧洲人权公约》第 8 条规定的隐私权时，哪种说法是正确的？

问题 101
哪句话最恰当地概括了《信息权保护条例》第 5 条明确要求的 "公平"、"合法 "和 "透明 "的概念？

问题 102
欧洲数据保护指令 95/46/EC 的目的是什么？

问题 103
为使个人数据成为假名，数据控制者必须做些什么？

问题 104
根据 GDPR，如何定义假名个人数据？

问题 105
情景
请用下面的文字回答下一个问题：
安娜和弗兰克都在格兰切斯特大学工作。安娜是一名负责数据保护的律师，而弗兰克则是工程系的一名讲师。大学保存着多种类型的记录：
学生档案，包括姓名、学号、家庭住址、大学前信息、大学出勤和成绩记录、特殊教育需求详情以及财务信息。
教职员工档案，包括自传材料（如课程表、专业联系档案、学生评价和其他相关教 学档案）。
校友记录，包括出生地、出生年份、入学日期和学位授予情况。以前的学生通过格兰切斯特的校友门户网站注册后，可以获得这些记录。教育部记录，显示某些人口群体（如第一代学生）的平均学习进度。这些记录不包含姓名或身份证号码。
根据其安全政策，大学对所有传输和静止的个人数据记录进行加密。
为了改进教学，弗兰克希望调查他的工程专业学生的表现与教育部的期望之间的关系。他参加了 Anna 举办的数据保护培训课程，知道为达到目的，不应使用超出必要范围的个人数据。他创建了一个程序，只导出一些学生数据：以前就读的学校、最初取得的成绩、目前取得的成绩以及首次就读的大学。他希望保留学生个人层面的记录。考虑到安娜接受的培训，弗兰克通过算法将学生编号转换成不同的参考编号。他每次都使用相同的算法，以便随着时间的推移更新每条记录。
Anna 的任务之一是按照 GDPR 的要求完成处理活动记录。在收到电子邮件提醒后，按照 GDPR 的要求。在收到电子邮件提醒后，弗兰克将其绩效数据库告知安娜。
安向弗兰克解释说，除了尽量减少个人数据外，大学还必须检查现有数据的新用途是否允许。她还怀疑，根据 GDPR 的规定，在进行数据处理之前可能需要进行风险分析。安娜安排在做了一些额外的研究后与弗兰克进一步讨论这个问题。
弗兰克希望能在业余时间研究他的分析结果，因此他把分析结果转移到了家里的笔记本电脑上（这台电脑没有加密）。不幸的是，当弗兰克把笔记本电脑带进大学时，却在火车上弄丢了。弗兰克当天必须去见安娜，讨论兼容处理问题。他知道自己需要报告安全事件，因此决定同时告诉安娜自己丢失笔记本电脑的事情。
安娜会发现，在这种情况下不需要进行风险分析，只要？

问题 106
在什么情况下，"软性接受 "规则可能适用于直接营销？