第 134 号 情景
请用下面的文字回答下一个问题：
杰克在一家跨国制药公司的爱尔兰办事处担任药物警戒操作专员，负责与 COVID-19 相关的临床试验。作为入职培训的一部分，杰克接受了隐私培训。他被明确告知，虽然他在工作过程中需要处理机密的患者数据，但在任何情况下，他都不得将这些数据用于执行工作相关任务以外的任何其他用途。
工作几个月后，杰克在电话中与一名病人发生争执。出于愤怒，他后来在社交媒体网站上发布了病人的姓名和病历信息，以及诋毁性的评论。此事被他的药物监督主管发现后，杰克立即被解雇。杰克立即被解雇，杰克的律师致函公司，称解雇是不相称的处罚，如果杰克在 14 天内不复职，他的公司将别无选择，只能对公司提起法律诉讼。这封信附有 Jack 提出的数据访问请求，要求获得 "所有个人数据，包括 Jack 发送/接收的内部电子邮件，或从邮件内容可直接或间接识别出 Jack 的个人数据"。
该公司对其 IT 系统进行了初步搜索，得到了大量信息。随后，他们联系了杰克，要 求他更具体地说明需要哪些信息，以便进行有针对性的搜索。
根据 GDPR 第 82 条（"赔偿权和责任--），哪一方应对数据泄露造成的损害负责？

第 135 号

第 136 号 在发现涉及未加密个人数据被盗的入侵事件后，根据 GDPR 的要求，被入侵公司应首先通知谁？

第 137 号 如果雇员向其雇主提出查阅其个人资料的要求，该如何处理？

编号 138 情景
请用下面的文字回答下一个问题：
健身公司 Vigotron 最近开发了一款名为 "M-Health "的新应用程序，该公司希望在其网站上推广这款免费下载的应用程序。Vigotron 公司的营销经理要求他的助理艾米丽创建一个网页，介绍这款应用程序并明确使用条款。艾米丽是 Vigotron 的新员工，她对这项任务感到非常兴奋。在之前的工作中，她上过一堂数据保护课，虽然细节有点模糊，但她意识到在某些情况下，Vigotron 需要征得用户对使用应用程序的同意。艾米丽草拟了以下草案，在将其发送给 Vigotron 的法律部门之前，尽量涵盖了所有内容。
注册表
Vigotron 的全新 M-Health 应用程序可让您轻松监控各种与健康有关的活动，包括饮食、运动和睡眠模式。M-Health 依靠您的智能手机设置（以及您可能已经拥有的其他第三方应用程序）来收集有关所有这些重要生活方式的数据，并为您提供必要的信息，以提高您的生活质量。(请点击此处阅读 M-Health 所提供服务的完整介绍）。Vigotron 重视您的隐私。M-Health 应用程序允许您决定哪些信息存储在其中，哪些应用程序可以访问您的数据。您可以将健康应用中存储的数据备份到 Vigotron 的云服务提供商 Stratculous。(点击此处了解有关 Stratculous 的更多信息。）Vigotron 绝不会交易、出租或出售从 M-Health 应用程序中收集到的个人信息。此外，未经客户同意，我们不会将客户的姓名、电子邮件地址或从应用程序中收集的任何其他信息提供给任何第三方，除非是法院命令、传票指示或为了执行制造商的合法权利或保护其业务或财产。
我们很高兴为您免费提供 M-Health 应用程序。如果您想下载和使用该应用程序，请首先填写本注册表。(请注意，M-Health 应用程序仅限于 16 岁或以上的成年人使用，除非未成年人使用该应用程序已获得父母同意）。姓名
姓氏：
出生年份
电子邮件：
实际地址（可选*）：
健康状况：
*如果您有兴趣接收我们认为您可能感兴趣的有关我们产品和服务的时事通讯，请注明您的实际地址。如果您后来决定不希望收到这些新闻简报，您可以通过发送电子邮件至 [email protected] 或致函本页底部所列地址取消订阅。
条款和条件
1.管辖权。[...]
2.适用法律。[...]
3.责任限制。[...]
同意书
通过填写本注册表，您证明您已年满 16 周岁，并同意威刚为使用 M-Health 应用程序而处理您的个人数据。尽管您有权选择退出任何广告或营销，但您同意 Vigotron 可以通过电子邮件或其他电子方式与您联系或向您提供任何必要的通知、协议或其他有关服务的信息。您还同意，本公司可自动发送电子邮件，就可能影响您健康的 M-Health 应用程序的任何问题发出警报。
艾米丽将草案送交萨姆审阅。萨姆最有可能指出艾米丽的同意条款存在以下哪个最大问题？

第 139 号 情景
请用下面的文字回答下一个问题：
ABC 连锁酒店和 XYZ 旅行社都是总部设在美国的跨国公司。它们使用基于互联网的通用平台来收集和共享彼此的客户数据，以便整合营销工作。此外，它们还就数据的存储、预订和确认方式以及谁有权访问存储的数据达成了一致。
欧盟居民 Mike 过去曾通过 XYZ 旅行社预订旅行行程，入住 ABC 连锁酒店。XYZ 旅行社提供一项奖励计划，允许客户注册以积累积分，这些积分日后可兑换免费旅行。Mike 已签署协议成为奖励计划会员。
现在，迈克想知道公司掌握了他的哪些个人信息。他发送了一封电子邮件，要求查阅他的数据，以行使他认为的数据主体权利。
Mike 应该在多长时间内收到对其请求的答复？

第 140 号 对于实施自带设备 (BYOD) 计划的组织而言，哪项 GDPR 要求会带来最大的挑战？

第 141 号 请阅读以下步骤：
* 发现哪些员工正在访问云服务，以及通过哪些设备和应用程序访问云服务
* 锁定这些应用程序和设备中的数据
* 监控和分析应用程序和设备的合规性
* 管理应用程序生命周期
* 监测数据分享
组织应执行这些步骤来完成以下哪项工作？

第 142 号 在雇用数据处理者时，数据控制者不能依靠哪些行动来避免在发生安全漏洞时的责任？

第 143 号 情景
请用下面的文字回答下一个问题：
ProStorage 是一家跨国云存储供应商，总部位于荷兰。其首席执行官露丝-布朗（Ruth Brown）制定了双管齐下的发展战略：1）扩大 ProStorage 的全球客户群；2）提高 ProStorage 的市场份额。露丝-布朗（Ruth Brown）制定了双管齐下的发展战略：1）扩大 ProStorage 的全球客户群；2）通过高效团队的入职增加 ProStorage 的销售队伍。最近，由于露丝的健康状况，她的工作时间以及出差会见潜在客户的能力受到了限制，这使得这一战略的实施变得更加复杂。由于无法联系到露丝的家人，医院联系了ProStorage，并与露丝的参谋长取得了联系，参谋长与人力资源主管玛丽协调，根据露丝开始工作时提出的要求，向医生提供了相关信息：为了支持露丝招聘更多销售代表的战略目标，人力资源团队致力于改进流程，确保新员工的招聘、面试、录用和入职工作高效进行。为了帮助实现这一目标，玛丽确定了两家供应商，一家是德国的 HRYourWay 公司，另一家是澳大利亚的 InstaHR 公司。她决定让这两家供应商通过 ProStorage 的供应商风险审查流程，这样她就可以与 Ruth 一起做出最终决定。作为审查流程的一部分，负责维护 ProStorage 隐私计划（包括维护控制器 BCR 和进行供应商风险评估）的 Jackie 对两家供应商都进行了审查，但只完成了 InstaHR 的转移影响评估。经过她的审查，这两家公司都拥有更成熟的隐私计划，并提供了第三方证明，而 HRYourWay 则是一家小供应商，只有极少的数据保护业务。
因此，她推荐了 InstaHR。
ProStorage 的营销团队还致力于实现公司的战略目标，重点关注需要扩大市场份额的行业。为此，团队选择了与金融行业客户有着深厚关系的美国公司 UpFinance 作为合作伙伴。在ProStorage的尽职调查过程中，隐私团队的Jackie在转让影响评估中注意到，UpFinance实施了多项数据保护措施，包括端到端加密，加密密钥由客户持有。
值得注意的是，UpFinance 在其 7 年的业务中没有收到任何政府要求。尽管如此，Jackie 还是建议，合同应要求 UpFinance 在收到政府关于 UpFinance 代其处理个人数据的请求时，在披露这些数据之前通知 ProStorage。
为什么杰基建议的额外措施就足以支持使用 UpFinance？

第 144 号 情景
请用下面的文字回答下一个问题：
总部设在意大利的 BHealthy 公司准备推出一系列新的天然产品，重点是防晒霜。产品上市前的最后一步是 BHealthy 开展研究，以决定如何在欧洲广泛推广其新的防晒产品系列。为此，BHealthy 与 Natural Insight 公司合作，该公司专门负责确定天然产品的定价。BHealthy 决定与 Natural Insight 分享其现有客户信息--姓名、地点和以往的购买记录。Natural Insight 打算利用这些信息来训练其算法，帮助确定 BHealthy 可以销售其新防晒霜的价位。
在共享客户名单之前，BHealthy 对 Natural Insight 的安全措施进行了审查，并得出结论：该公司有足够的安全措施来保护联系信息。此外，BHealthy 与 Natural Insight 的数据处理合同条款要求继续实施技术和组织措施。合同中还规定了对 BHealthy 所提供数据的使用限制，不得将其用于提供服务之外的任何目的，其中包括将数据用于继续改进 Natural Insight 的机器学习算法。
在哪种情况下，Natural Insight 将 BHealthy 的数据用于改进其算法会被视为数据处理者活动？

第 145 号 欧洲人权法院（ECHR）和欧洲联盟法院（CJEU）在作用和职能方面有什么重要区别？

第 146 号 雇用子处理人的处理人有哪些义务？

第 147 号 欧盟法院第 49 号行星判决适用于？

第 148 号 情景
请用下面的文字回答下一个问题：
Building Block Inc. 是一家跨国公司，总部位于芝加哥，在美国、亚洲和欧洲（包括德国、意大利、法国和葡萄牙）均设有办事处。去年，该公司遭到网络钓鱼攻击，导致重大数据泄露。执行董事会与总经理、隐私办公室和信息安全团队协调，决定采取额外的安全措施。这些措施包括培训意识计划、网络安全审计，以及使用一种名为 SecurityScan 的新软件工具，它可以扫描员工的电脑，查看他们是否安装了供应商不再支持的软件，从而无法获得安全更新。不过，该软件还提供其他功能，包括监控员工的电脑。
由于这些措施可能会对员工造成影响，Building Block 隐私办公室决定向所有员工发布一份一般性通知，说明公司将实施一系列措施，以加强信息安全，防止今后发生数据泄露事件。
实施这些措施后，服务器性能有所下降。总经理指导安全团队如何使用 SecurityScan 监控员工的电脑活动及其位置。
在这些活动中，信息安全小组发现一名来自意大利的员工每天都在连接电影视频库，另一名来自德国的员工在未经授权的情况下远程工作。
安全团队向隐私办公室和总经理报告了这些事件。小组在报告中认为，服务器性能下降的原因是来自意大利的员工。
鉴于这些侵权行为的严重性，公司决定对这两名员工采取纪律处分措施，因为公司的安全和隐私政策禁止员工在公司的电脑上安装软件，也禁止员工在未经授权的情况下远程工作。
为了遵守 GDPR，在实施 SecurityScan 措施之前，Building Block 首先应该做些什么？

第 149 号 在哪种情况下，进行了 DPIA 的控制者最有可能需要咨询监管机构？

编号 150 一位房主安装了一个移动侦测监控系统，用于拍摄他的前门和入口。摄像头不拍摄任何公共区域，只拍摄属于房主财产的区域。根据房主所在国的法律，该系统已向当局申报，而且在进入该房产时，可以看到一个标牌，上面标明该区域正受到视频监控。 为什么房主在处理监控摄像系统记录的视频图像时不能依赖家庭豁免？

第 151 号 关于 GDPR 的 "一站式服务 "机制，以下哪项表述是准确的？