Q139. シナリオ
次の質問にお答えください：
あなたは香港に本社を置く玩具メーカーに採用されたばかりだ。同社は人形、アクションフィギュア、ぬいぐるみなど幅広い商品を販売しており、国際的に様々な小売店で販売されている。このメーカーは香港以外に事務所を持たず、実際、香港以外ではスタッフを雇用していないが、現地で多くの販売契約を結んでいる。同社が製造する玩具は、ヨーロッパ、アメリカ、アジア全域の人気玩具店で販売されている。
同社は現在、コネクテッド・トイの新シリーズを発売しようとしている。同社のCEOは、この玩具が提供する可能性の増加により、次の大きなものになると宣伝している：フィギュアは、数学的な計算や天気など、さまざまなテーマで子どもたちの質問に答えることができる。各フィギュアにはマイクとスピーカーが搭載され、ブルートゥースでスマートフォンやタブレットに接続できる。半径10メートル以内のモバイル機器であれば、Bluetoothで接続することができる。また、フィギュアは他のフィギュア（同じメーカーのもの）と関連付けることができ、相互に作用し合うことで、より充実した遊びを体験することができる。
子供がおもちゃに質問すると、そのリクエストはクラウドに送られて分析され、クラウドサーバーで答えが生成されてフィギュアに返される。答えはフィギュアに内蔵されたスピーカーから発せられ、あたかもおもちゃが子どものQUESTIONに答えているかのように見える。玩具のパッケージには、この仕組みに関する技術的な詳細は記載されておらず、この機能がインターネット接続を必要とすることも言及されていない。このために必要なデータ処理は、南アフリカにあるデータセンターに委託されています。しかし、貴社はこのことを示すために、消費者向けのプライバシーポリシーをまだ改訂していません。
これと並行して、同社は、消費者がゲームをプレイする過程で獲得したキャラクターをプレイできる新しいゲーム・システムの導入を計画している。このシステムには、近距離無線通信（NFC）リーダーを含むポータルがバンドルされる。このデバイスがアクション・フィギュアのRFIDタグを読み取り、フィギュアがスクリーン上で動き出す。各キャラクターにはそれぞれ固有の特徴や能力があるが、ゲーム目標を達成することで追加能力を獲得することも可能である。タグに保存されているのは、フィギュアの能力に関する情報だけである。ゲーム中にキャラクターを切り替えるのは簡単で、フィギュアを家の外の場所に持っていっても、キャラクターの能力はそのまま維持される。
GDPR第32条（処理の安全性関連）の要件に照らして、企業はどのような慣行を導入すべきでしょうか？

Q140. シナリオ
次の質問にお答えください：
ワンダーキッズは保育のオンライン予約サービスを提供している。ワンダーキッズはフランスを拠点としていますが、スイスの会社を通じてウェブサイトをホストしています。サービスの一環として、ワンダーキッズは、提供されたすべての個人データを、同社のシステムを通じて予約された保育提供者に渡します。ウェブサイト上で収集される個人データの種類には、保育を予約する人の氏名、住所、連絡先の詳細のほか、氏名、年齢、性別、健康情報など、保育を受ける子どもに関する情報が含まれます。ワンダーキッズのウェブサイト上のプライバシー・ステートメントには、以下のように記載されている：
"ワンダーキッズは、本ウェブサイトを通じてお客様が当社に開示した情報を、スケジュール管理および安全衛生上の理由から、お客様の保育提供者に提供します。当社はまた、当社自身の合法的な事業目的のために、お客様とお子様の個人情報を使用することがあります。スイスにある設備に保存されたデータは、お客様とお子様の個人情報に対する適切な保護措置を保証するための欧州委員会の規定に適合しています。当社は、お客様およびお子様の個人情報を、お客様にとって真の付加価値があると当社が判断した企業とのみ共有します。当社に個人情報を提供することにより、お客様は、提携企業への個人情報の転送、およびプロモーションオファーの送付に同意したものとみなされます。"
「ただし、お客様の個人情報が正当な事業目的のために28日を超えて使用される場合は、最長2年間保持されることがあります。
"当社は、お客様の同意のもと、お客様およびお子様の個人情報を取り扱います。特定の情報を当社に提供しないことを選択された場合、当社のサービスをご利用いただけない場合があります。お客様は、以下の権利を有します：お客様およびお客様のお子様の個人情報へのアクセスを要求する権利、お客様およびお客様のお子様の個人情報を修正または消去する権利、お客様および/またはお客様のお子様の個人情報の修正または消去の権利、お客様およびお客様のお子様の個人情報の処理に異議を唱える権利。また、当社のデータ処理活動について監督当局に苦情を申し立てる権利もあります。"ワンダーキッズがプライバシーステートメントで提供しなければならない追加情報は何ですか？

Q141. WP29 のガイダンスで例として挙げられている、複数の処理業務に対応するために単一のデータ保護影響アセスメントを実施することが許容されるケースはどれか。

Q142. シナリオ
次の質問にお答えください：
ジョーは、DNA鑑定を提供するカナダの企業、Who-R-Uの新しいプライバシー・マネージャーだ。同社はモントリオールに本社を置き、従業員もすべてモントリオールにいる。同社のウェブサイトは英語とフランス語で、カナダの通貨しか受け付けず、カナダ国外からのインターネット・トラフィックをブロックしている（ただし、このソリューションはカナダ国外からのトラフィックをすべて防ぐわけではない）。また、DNA鑑定書のカナダ国外への送付を希望する注文の処理を拒否し、カナダ以外の返送先住所が記載された注文は返品する。
Who-R-Uの社長であるボブは、EUではこの製品に多くの関心が寄せられていると考えており、同社は顧客ベースを拡大するためにさまざまなプランを模索している。
最初の計画は、「We-Track-U」と呼ばれるもので、アプリを使って現在のカナダの顧客ベースの情報を収集する。この拡大により、カナダの顧客は海外旅行中でもアプリを使用できるようになる。彼は、このアプリを使って位置情報を収集することを提案する。この計画が有望であれば、ボブはプッシュ通知とテキストメッセージを使って、既存顧客にEU版のサービスへの事前登録を促すことを提案する。ボブはこの作業計画を「We-Text-U」と呼んでいる。事前登録が十分に集まれば、EUに特化したコンテンツやサービスを開発する。
もうひとつのプランは、カスタマー・フォー・ライフと呼ばれるものだ。これは、同社のアプリを通じて、DNA情報の保存や他のアプリや医療プロバイダーとの共有といった追加サービスを提供するというものだ。同社の契約書には、顧客のDNAを無期限に保管し、新たなサービスの提供や顧客へのマーケティングに使用することができると書かれている。また、顧客はダイレクトマーケティングの同意を撤回しないことに同意するとも書かれている。マーケティング・ディレクターのポールは、同社はこれらの条項を十分に活用すべきであり、契約は無効であるため、顧客が同意を撤回しようとするのを回避できると提案している。
最終的な計画は、EUでブランドの存在感を高めることだ。同社はすでにこのプロセスに着手している。ドイツにあるビルの命名権を購入し、Who-R-Uのエグゼクティブが海外出張の際に利用できるオフィスを数室用意する計画だ。オフィスには技術やインフラは含まれず、机と椅子があるだけの部屋だ。
ネーミングライツ契約に関する最近の出張で、ボブのノートパソコンが盗まれた。そのノートパソコンには5,000人のWho-R-U顧客の暗号化されていないDNAレポートが入っていた。
Who-R-Uは、ノートパソコンの盗難についてドイツのDPAに通知する必要はないのか？

Q143. GDPRの第9条は、バイオメトリックデータの処理の一般的禁止に対する例外を挙げている。

Q144. もともと第29条作業部会によって提唱されたプライバシー通知は、データ収集の特定の時点における処理情報を提供する方法であるため、アル・ベースの技術に対して一般的に推奨されているのはどのようなものだろうか？

Q145. 次のうち、GDPRの域外適用を最も誘発しそうなものはどれか。
3?

Q146. 欧州データ保護委員会によると、データ対象者はビデオ監視が行われていることを認識すべきです。小売店の経営者は、EUデータ保護法に基づいて、データ主体がそのような目的に必要な情報を受け取ることをどのように保証すべきでしょうか？

Q147. 多くの企業は、従業員が警備員によって識別されるように、従業員の写真を建物のパスに印刷している。これは、顔画像がGDPRの下でバイオメトリクス・データに該当する可能性があるという事実にもかかわらずである。なぜこのような行為が許されるのだろうか？

Q148. 欧州人権裁判所（ECHR）と欧州連合司法裁判所（CJEU）の役割と機能に関する重要な違いは何ですか？

Q149. ある企業は、欧州連合（EU）が適切なレベルのデータ保護を行っていないと考えている国に所在している。標準的な契約条項に基づき、欧州経済地域（EEA）内の他の組織から個人データを輸入する場合、会社の義務は次のうちどれでしょうか？

Q150. シナリオ
次の質問にお答えください：
ABCホテルチェーンとXYZ旅行会社は、米国に本社を置く多国籍企業である。両社は、マーケティング活動を統合するために、インターネットベースの共通プラットフォームを使用して、顧客データを収集し、互いに共有している。さらに、保存されるデータ、予約と確認の方法、保存されたデータへのアクセス権者についても合意している。
EU在住のMikeは、過去にXYZ Travel Agencyを通じてABC Hotel Chainの宿泊施設を予約したことがある。XYZ Travel Agencyは、顧客が登録してポイントを貯め、後で無料旅行と交換できる特典プログラムを提供している。マイクはリワード・プログラムの会員になるための同意書にサインした。
マイクは、同社が自分についてどのような個人情報を保有しているのかを知りたがっている。彼は、データ主体の権利を行使するために、自分のデータへのアクセスを要求する電子メールを送った。
この関係におけるABCホテルチェーンとXYZ旅行社の役割は？

Q151. GDPRの第21条に基づき、管理者はデータ主体から要求があった場合、個人の利益に優先する説得力のある正当な理由を証明できない限り、プロファイリングを中止しなければなりません。自動化された個人の意思決定およびプロファイリングに関するガイドラインの中で、WP 29は、管理者がそのような正当な根拠があることを証明するために以下のすべてを行う必要があるとしています。

Q152. 同意の問題に関して、GDPRは加盟国にある程度の選択を認めている。

Q153. データ処理活動に関して、処理者が保持しなければならない記録のうち、次のどれに含まれないか？

Q154. シナリオ
次の質問にお答えください：
ドイツに本社を置く特殊Tシャツ会社T-Crazeは、ドイツの大都市への販売に成功していた。しかし、ヨーロッパのより広範な市場に販売していたドイツに本社を置く別の会社と最近合併した後、T-Crazeはより多くの人々に販売するためにマーケティング活動を刷新した。この取り組みには、最近の合併を反映したロゴの全面的な再設計や、クッキーを使用して訪問者の情報をより多く取得するためのウェブサイトの改善などが含まれた。
T-Crazeはまた、事業拡大のため、ヨーロッパ各地に事務所を開設しました。ドイツは引き続きT-Crazeの本社と主要な製品設計事務所を置く一方、フランスの関連会社はすべてのマーケティングと販売活動を担当するようになった。フランスの関連会社は最近、フィリピンを拠点とする有名なマーケティング会社Right Targetに最新のマーケティングキャンペーンを依頼した。徹底的な調査の結果、Right TargetはT-Crazeが最も成功するのは18歳から22歳の顧客であると判断した。そのため、最初のキャンペーンでは、ヨーロッパの複数の都市で大学生をターゲットとし、1四半期で約40%の新規顧客を獲得しました。ライトターゲットはその後もT-クレイズのキャンペーンを行ったが、成功率はかなり低かった。
過去2回のキャンペーンでは、より幅広い層を対象としていたため、スペインでの多数の配信停止要求を含め、数え切れないほどの配信停止要求があった。実際、スペインのデータ保護当局は、投資銀行の中堅社員であるソフィアから苦情を受けた。ソフィアは、T-Crazeに代わってRight Targetからこのような通信の配信停止を行ったにもかかわらず、マーケティング通信を受信して憤慨していた。
T-Crazeの主管監督官庁は次のうちどれですか？

Q155. X社は給与データの処理をY社に委託している。
プロバイダーYはこの暗号化されたデータをサーバーに保存している。プロバイダーYのIT部門は、何者かがシステムに侵入し、サーバーからデータのコピーを持ち出したことを発見した。このシナリオでは、プロバイダーYは誰に通知する義務があるか？

Q156. シナリオ
次の質問にお答えください：
ジョーは2000年、アメリカ・バーモント州の自宅でグミ・ベア・カンパニーを立ち上げた。
今日、同社は数十億ドル規模のキャンディ会社として、すべての大陸で事業を展開している。同社のITサーバーはすべてバーモントにある。今年、ジョーは息子のベンを入社させ、プロジェクト・ビッグの責任者に任命する。プロジェクト・ビッグとは、わずか5年で総売上高を3倍にするという大規模なマーケティング戦略である。ベンは一流大学でコンピューター・ソフトウェアの博士号を取得。ベンは父の会社に入社することを決めたが、密かにBen Knows Bestという新しい世界的オンライン・デーティング・ウェブサイト会社の立ち上げにも取り組んでいる。
ベンは、グミ・ベア・カンパニーには何百万人もの顧客がいることを認識しており、その多くが自分にぴったりの相手を見つけることにも興味を持っているかもしれないと考えている。プロジェクト・ビッグのために、ベンは会社のオンライン・ウェブ・ポータルを再設計し、欧州連合やその他の地域の顧客が顧客であり続けるために、追加の個人情報を提供することを要求する。プロジェクト・ベンは、顧客の哲学的信条、政治的意見、配偶者の有無に関するデータの収集を開始する。
顧客が独身であることを確認すると、ベンはその顧客の個人データをすべて、Ben Knows Best用の別のデータベースにコピーする。ベンは、情報を受け入れる前にチェックボックスにチェックを入れるよう各顧客に明示的に同意を求めているため、間違ったことはしていないと考えている。プロジェクト・ビッグは重要なプロジェクトなので、会社はベンを助けるためにコンピューターサイエンスを勉強しているサムという大学1年生も雇う。
ベンが声をかけると、サムはBen Knows Bestのデータベースに行き当たる。サムは春休みに友人10人とアイルランドに行く予定なので、アイルランドに住んでいる人々の顧客情報をすべてコピーし、アイルランドにいるときに友人たちと連絡を取れるようにした。
ジョーはまた、親友の娘でアメリカのロースクールを卒業したばかりのアリスを、会社の新しい顧問弁護士として雇う。アリスはGDPRについて聞いていたので、それについて調べてみる。アリスはジョーに近づき、EUにある会社の事業所から米国に社内でデータを転送するための法的メカニズムを整備することが会社にとって重要であるため、会社の全員が従うべき拘束力のある企業規則を起草したと伝える。
アリスは会社のIT部門に、EUを含む全世界の営業チームのコンピュータのハードディスクをコピーし、すべてを彼女に送り、彼女が全員の情報をレビューできるようにするよう指示した。アリスは、自分が第一レベルのレビューをしてくれたことで、ジョーが喜んでくれると信じている。
差し迫った訴訟の準備において、アリスが会社のIT部門に行った指示はGDPR第5条に違反した。

Q157. 法執行を目的とした通信トラフィックデータの保持は、欧州データ保護法ではどのように扱われているのか？

Q158. プラネット49事件において、クッキーの問題に関する欧州連合司法裁判所（CJEU）の主な判断はどのようなものでしたか？

Q159. シナリオ
次の質問にお答えください：
ジャックは、多国籍製薬会社のアイルランド支社で、COVID-19に関連する臨床試験のファーマコビジランス・オペレーション・スペシャリストとして働いていた。新入社員研修の一環として、ジャックは個人情報保護に関する研修を受け、業務上、患者の機密データを処理する必要があるが、いかなる場合においても、業務に関連すること以外の目的でこのデータを使用してはならないことを明確に知らされた。
入社して数カ月後、ジャックは電話で患者と口論になった。怒りに駆られたジャックはその後、その患者の名前と心臓の情報を、中傷的なコメントとともにソーシャルメディアのウェブサイトに投稿した。これがファーマコビジランスの上司に発覚。ジャックは即刻解雇された。ジャックの弁護士は会社に書簡を送り、解雇は不釣り合いな制裁であり、もしジャックが14日以内に復職しなければ、彼の事務所は会社に対して法的手続きを開始する以外に選択肢はないと述べた。この書簡には、ジャックからのデータ・アクセス要求が添付されており、「ジャックが送受信した、または内容からジャックが直接的または間接的に特定できる社内メールを含むすべての個人データ」のコピーを要求していた。電子メールに関連して、ジャックは受信トレイへのアクセスが要求された経営陣の6人のメンバーをリストアップした。
ジャックの忘れ去られたいという要求に、会社はどう対応すべきか？

Q160. 管理者に代わって行われる処理に関して、管理者と処理者の間で交わされる書面による合意には何が含まれなければなりませんか？

Q161. 欧州委員会のほかに、必要な条件がすべて満たされているとして、標準的な契約条項を採用できるのは誰か。

Q162. GDPRは現在、「処理」をどのように定義しているのか？

Q163. ある多国籍企業が、ヨーロッパを拠点とする従業員も含め、現在働いている従業員および将来的に働く可能性のある従業員全員に対して身元調査を実施したいと考えた場合、その企業はどのような主要規定に従わなければならないだろうか？