[Q139-Q163] CIPP-E 认证考试题库 [Sep-2024]

Q139. 情景
请用下面的文字回答下一个问题：
一家位于香港的玩具制造商刚刚聘用了你。该公司销售各种玩偶、动作人偶和毛绒玩具，这些产品在全球各种零售店都能买到。虽然该制造商在香港以外没有办事处，事实上也没有在香港以外雇用任何员工，但它已签订了许多本地分销合同。该公司生产的玩具在欧洲、美国和亚洲所有流行的玩具店都能买到。
现在，该公司希望推出一系列新的联网玩具，这些玩具可以与儿童对话和互动。该公司首席执行官将这些玩具称为下一件大事，因为它们提供了更多的可能性：这些人偶可以回答儿童提出的各种问题，如数学计算或天气等。每个人偶都配有麦克风和扬声器，可以通过蓝牙与任何智能手机或平板电脑连接。半径 10 米内的任何移动设备也可以通过蓝牙与玩具连接。这些人偶还可以与其他人偶（来自同一制造商）关联，并进行互动，以增强游戏体验。
当孩子向玩具提问时，请求会被发送到云端进行分析，答案会在云端服务器上生成并发送回玩具。答案通过玩具的集成扬声器发出，使玩具看起来好像真的在回答孩子的问题。玩具的包装上没有提供有关如何工作的技术细节，也没有提到这项功能需要互联网连接。为此所需的数据处理工作已外包给位于南非的一个数据中心。但是，贵公司尚未修订面向消费者的隐私政策以说明这一点。
与此同时，该公司还计划推出一系列新的游戏系统，消费者可以通过这些系统扮演他们在游戏过程中获得的角色。该系统将捆绑一个包含近场通信（NFC）阅读器的入口。该设备将读取动作人物身上的 RFID 标签，使人物在屏幕上栩栩如生。每个角色都有自己的特征和能力，但也可以通过完成游戏目标获得额外的特征和能力。标签中存储的唯一信息与人物的能力有关。在游戏过程中很容易切换角色，也可以将人物带到家庭以外的地方，但人物的能力保持不变。
根据 GDPR 第 32 条的要求（与处理的安全性有关），公司应采取哪种做法？

Q140. 情景
请用下面的文字回答下一个问题：
WonderkKids 提供在线托儿预订服务。Wonderkids 总部设在法国，但其网站是通过瑞士的一家公司托管的。作为其服务的一部分，Wonderkids 会将提供给他们的所有个人数据传递给通过其系统预订的托儿服务提供商。网站上收集的个人数据类型包括预订儿童看护服务者的姓名、地址和联系方式，以及被看护儿童的信息，包括姓名、年龄、性别和健康信息。Wonderkids 网站的隐私声明如下：
"出于日程安排、健康和安全考虑，WonderkKids 会将您通过本网站披露给我们的信息提供给您的托儿机构。我们也可能将您和您孩子的个人信息用于我们自己的合法商业目的，我们雇用了一家位于瑞士的第三方网站托管公司来存储数据。任何存储在瑞士设备上的数据都符合欧盟委员会的规定，保证您和您孩子的个人信息得到充分的保护。我们只与我们认为能为您带来真正价值的企业共享您和您孩子的个人信息。您向我们提供任何个人数据，即表示您同意将其传输给关联企业并向您发送促销信息。
"我们保留您和您孩子的个人信息的期限不超过 28 天，届时将对数据进行去个性化处理，除非您的个人信息在 28 天后被用于合法商业目的，在这种情况下，您的个人信息可被保留长达 2 年"。
"我们是在征得您同意的情况下处理您和您孩子的个人信息的。如果您选择不向我们提供某些信息，您可能无法使用我们的服务。您有权：要求访问您和您孩子的个人信息；更正或删除您或您孩子的个人信息；有权更正或删除您和/或您孩子的个人信息；反对处理您和您孩子的个人信息。您还有权就我们的数据处理活动向监管机构投诉。Wonderkids 必须在隐私声明中提供哪些补充信息？

Q141. WP29 指南举例说明，在以下哪种情况下，允许针对多项处理操作进行单一数据保护影响评估？

Q142. 情景
请用下面的文字回答下一个问题：
乔是加拿大一家提供 DNA 分析的公司 Who-R-U 的新任隐私经理。该公司总部位于蒙特利尔，所有员工都在蒙特利尔工作。该公司只向加拿大人提供服务：其网站使用英语和法语，只接受加拿大货币，并阻止来自加拿大以外的互联网流量（尽管这一解决方案并不能阻止所有非加拿大流量）。该公司还拒绝处理要求将 DNA 报告发送到加拿大境外的订单，并退回显示非加拿大退货地址的订单。
Who-R-U 公司总裁鲍勃认为，欧盟对该产品很感兴趣，公司正在探索一系列扩大客户群的计划。
第一个计划被称为 "We-Track-U"，将使用一个应用程序来收集其现有加拿大客户群的信息。扩展后，加拿大客户在国外旅行时也可以使用该应用程序。他建议公司使用这款应用程序收集位置信息。如果该计划前景良好，鲍勃建议使用推送通知和短信来鼓励现有客户预先注册欧盟版本的服务。鲍勃将这一工作计划称为 "We-Text-U"。一旦公司收集到足够多的预注册用户，就会开发针对欧盟的内容和服务。
另一项计划名为 "终身客户"。其目的是通过该公司的应用程序提供附加服务，如与其他应用程序和医疗服务提供商存储和共享 DNA 信息。该公司的合同规定，它可以无限期保留客户的 DNA，并将其用于提供新服务和向客户推销。合同还规定，客户同意不撤回直接营销同意书。营销总监保罗建议，公司应充分利用这些条款，而且可以绕过客户撤销同意的尝试，因为合同会使其无效。
最终计划是在欧盟建立品牌形象。公司已经开始了这一进程。公司正在购买德国一座大楼的冠名权，该大楼将配备几间办公室，供 Who-R-U 的管理人员在国际旅行时使用。办公室不包括任何技术或基础设施，而只是一个房间，里面有一张桌子和几把椅子。
在最近一次有关命名权交易的旅行中，鲍勃的笔记本电脑被盗。笔记本电脑里有 5000 名 Who-R-U 客户的未加密 DNA 报告，这些客户都是加那利a的居民。报告内容包括客户姓名、出生日期、民族、种族背景、亲属姓名、性别，有时还包括健康信息。
Who-R-U 无需将笔记本电脑失窃事件通知德国当地的 DPA，原因是？

Q143. 以下哪项不是例外情况之一？

Q144. 最初由第 29 条工作组倡导的哪种隐私通知因其在特定数据收集点提供处理信息的方式而被普遍推荐给基于 Al 的技术？

Q145. 以下哪项最有可能触发 GDPR 的治外法权效力（如 GDPR 条款所规定的）？
3?

Q146. 根据欧洲数据保护委员会的规定，数据主体应了解任何正在运行的视频监控。根据欧盟数据保护法，零售店经营者应如何确保数据主体获得用于此目的所需的信息？

Q147. 许多企业将员工的照片印在大楼通行证上，以便保安人员识别。尽管根据 GDPR，面部图像可能属于生物识别数据。为什么会允许这种做法？

Q148. 欧洲人权法院（ECHR）和欧洲联盟法院（CJEU）在作用和职能方面有什么重要区别？

Q149. 某公司所在的国家不被欧盟（EU）认为具有足够的数据保护水平。如果该公司根据标准合同条款从欧洲经济区 (EEA) 的另一家机构导入个人数据，以下哪项是该公司的义务？

Q150. 情景
请用下面的文字回答下一个问题：
ABC 连锁酒店和 XYZ 旅行社都是总部设在美国的跨国公司。它们使用一个基于互联网的通用平台来收集和共享彼此的客户数据，以便整合营销工作。此外，它们还就数据的存储、预订和确认方式以及谁有权访问存储的数据达成了一致。
欧盟居民 Mike 过去曾通过 XYZ 旅行社预订旅行行程，入住 ABC 连锁酒店。XYZ 旅行社提供一项奖励计划，允许客户注册以积累积分，这些积分日后可兑换免费旅行。Mike 已签署协议成为奖励计划会员。
现在，迈克想知道公司掌握了他的哪些个人信息。他发送了一封电子邮件，要求查阅他的数据，以行使他认为的数据主体权利。
ABC 连锁酒店和 XYZ 旅行社在这种关系中扮演什么角色？

Q151. 根据 GDPR 第 21 条，控制者必须在数据主体提出要求时停止剖析，除非它能证明有令人信服的合法理由优先于个人利益。在《个人自动决策和剖析指导原则》中，WP 29 指出，控制者需要做到以下所有事项，以证明其拥有此类合法理由，除了？

Q152. 关于同意的问题，GDPR 允许成员国在哪些方面做出选择？

Q153. 在大多数处理者必须保存的有关其数据处理活动的记录中，下列哪项不必须包括在内？

Q154. 情景
请用下面的文字回答下一个问题：
T-Craze 是一家总部设在德国的专业 T 恤公司，曾成功地将产品销往德国大城市。然而，最近 T-Craze 与另一家总部设在德国、面向更广泛欧洲市场销售产品的公司合并后，T-Craze 重新调整了营销策略，以面向更广泛的受众销售产品。这些努力包括重新设计其标识，以反映最近的合并，以及改进其网站，以便通过使用 cookie 来获取更多关于访问者的信息。
T-Craze 还在欧洲各地开设了多个办事处，以帮助拓展业务。德国继续作为 T-Craze 总部和主要产品设计办公室的所在地，而法国分公司则负责所有市场营销和销售活动。法国分公司最近聘请了菲律宾一家著名的营销公司 Right Target 来开展其最新的营销活动。经过深入研究，Right Target 确定，T-Craze 在 18 至 22 岁的顾客中最为成功。因此，它的第一次营销活动以欧洲几个国家首都的大学生为目标，在一个季度内为 T-Craze 带来了近 40% 的新客户。Right Target 还为 T-Craze 开展了后续活动，但收效甚微。
最近两次营销活动覆盖了更广泛的人口群体，导致了无数的退订请求，其中包括西班牙的大量退订请求。事实上，西班牙数据保护机构收到了职业生涯中期的投资银行家索菲亚的投诉。索菲亚在退订了代表 T-Craze 的 "正确目标 "发送的营销信息后，仍然收到了营销信息，这让她非常不满。
以下哪个是 T-Craze 的主要监管机构？

Q155. X 公司委托 Y 提供商处理其工资单数据。
提供商 Y 将这些加密数据存储在其服务器上。提供商 Y 的 IT 部门发现有人设法入侵了系统并从服务器上获取了数据副本。在这种情况下，Y 提供商有义务通知谁？

Q156. 情景
请用下面的文字回答下一个问题：
2000 年，乔在美国佛蒙特州的家中创办了小熊软糖公司。
如今，它已成为一家市值数十亿美元的糖果公司，业务遍及各大洲。公司所有的 IT 服务器都位于佛蒙特州。今年，乔聘请儿子本加入公司，负责 "大项目"。"大项目 "是一项重大营销战略，旨在短短 5 年内将总收入翻三番。本毕业于一所顶尖大学，拥有计算机软件博士学位。本决定加入父亲的公司，但同时也在秘密筹建一家新的全球在线约会网站公司，名为 "本知道最好"。
本知道小熊软糖公司拥有数百万客户，相信他们中的许多人也可能有兴趣找到自己的完美伴侣。为了实施 "大项目"，本重新设计了公司的在线门户网站，并要求欧盟和其他地区的客户提供更多个人信息，以便继续成为公司的客户。本项目开始收集客户的哲学信仰、政治观点和婚姻状况等数据。
如果某个客户表明自己是单身，Ben 就会将该客户的所有个人数据复制到 Ben Knows Best 的单独数据库中。本认为自己并没有做错什么，因为他明确要求每位顾客在接受自己的信息前勾选一个方框，以示同意。由于 "大项目 "是一个重要的项目，公司还聘请了一位学习计算机科学的大一学生萨姆来帮助本。
Ben 打电话给 Sam，Sam 发现了 Ben Knows Best 数据库。山姆计划在春喙节期间和他的 10 个朋友一起去爱尔兰，因此他复制了所有居住在爱尔兰的人的客户信息，这样他和他的朋友们在爱尔兰时就可以联系到这些人。
乔还聘请了他最好朋友的女儿、刚从美国法学院毕业的爱丽丝担任公司的新总法律顾问。Alice 听说过 GDPR，因此做了一些相关研究。爱丽丝找到乔，告诉他她已经起草了《具有约束力的公司规则》，供公司每个人遵守，因为公司必须建立一个法律机制，以便在内部将数据从公司在欧盟的业务转移到美国。
乔认为爱丽丝的工作非常出色，并告诉她，她还将负责处理美国联邦法院对公司提起的一起重大诉讼。为了准备这场诉讼，爱丽丝指示公司的 IT 部门将包括欧盟在内的整个全球销售团队的计算机硬盘复制一份，并将所有内容发送给她，以便她审查每个人的信息。爱丽丝相信，乔会很高兴她做了一级审查，因为这将为公司节省一大笔钱，而这笔钱本来是要付给外部律师事务所的。
在为公司即将面临的诉讼做准备时，爱丽丝向公司 IT 部门发出的指令违反了《信息权保护条例》第 5 条，因为公司没有首先做什么？

Q157. 欧洲数据保护法如何处理为执法目的保留通信流量数据的问题？

Q158. 在 "Planet 49 "案中，欧盟法院（CJEU）关于 cookie 问题的主要判决是什么？

Q159. 情景
请用下面的文字回答下一个问题：
杰克在一家跨国制药公司的爱尔兰办事处担任药物警戒操作专员，负责与 COVID-19 相关的临床试验。作为入职培训的一部分，杰克接受了隐私培训。他被明确告知，虽然他在工作过程中需要处理机密的患者数据，但在任何情况下，他都不得将这些数据用于执行工作相关任务以外的任何其他用途。
工作几个月后，杰克在电话中与一名病人发生争执。出于愤怒，他后来在社交媒体网站上发布了病人的姓名和病历信息，以及诋毁性的评论。此事被他的药物监督主管发现后，杰克立即被解雇。杰克立即被解雇，杰克的律师致函公司，称解雇是不相称的处罚，如果杰克在 14 天内不复职，他的公司将别无选择，只能对公司提起法律诉讼。这封信附有杰克的数据访问请求，要求获得 "所有个人数据 "的副本，包括杰克发送/接收的内部电子邮件，或可直接或间接识别杰克身份的内容。关于这些电子邮件，杰克列出了需要访问其收件箱的六名管理团队成员。
公司应该如何回应杰克的 "被遗忘 "请求？

Q160. 控制者和处理者之间关于以控制者名义进行的处理的书面协议必须包括哪些内容？

Q161. 除欧盟委员会外，在满足所有必要条件的前提下，谁可以采用标准合同条款？

Q162. GDPR 现在如何定义 "处理"？

Q163. 如果一家跨国公司希望对所有在职和潜在员工（包括那些在欧洲的员工）进行背景调查，该公司必须遵守哪些关键规定？