新问题 133
X 公司委托 Y 提供商处理其工资单数据。Y 提供商将这些加密数据存储在其服务器上。Y 提供商的 IT 部门发现有人设法入侵了系统并从服务器上获取了数据副本。在这种情况下，Y 提供商有义务通知谁？

新问题 134
情景
请用下面的文字回答下一个问题：
WonderkKids 提供在线托儿预订服务。Wonderkids 总部设在法国，但其网站是通过瑞士的一家公司托管的。作为其服务的一部分，Wonderkids 会将提供给他们的所有个人数据传递给通过其系统预订的托儿服务提供商。网站上收集的个人数据类型包括预订儿童看护服务者的姓名、地址和联系方式，以及被看护儿童的信息，包括姓名、年龄、性别和健康信息。Wonderkids 网站的隐私声明如下：
"出于日程安排、健康和安全考虑，WonderkKids 会将您通过本网站披露给我们的信息提供给您的托儿机构。我们也可能将您和您孩子的个人信息用于我们自己的合法商业目的，我们雇用了一家位于瑞士的第三方网站托管公司来存储数据。任何存储在瑞士设备上的数据都符合欧盟委员会的规定，保证您和您孩子的个人信息得到充分的保护。我们只与我们认为能为您带来真正价值的企业共享您和您孩子的个人信息。您向我们提供任何个人数据，即表示您同意将其传输给关联企业并向您发送促销信息。
"我们保留您和您孩子的个人信息的期限不超过 28 天，届时将对数据进行去个性化处理，除非您的个人信息在 28 天后被用于合法商业目的，在这种情况下，您的个人信息可被保留长达 2 年"。
"我们是在征得您同意的情况下处理您和您孩子的个人信息的。如果您选择不向我们提供某些信息，您可能无法使用我们的服务。您有权：要求访问您和您孩子的个人信息；更正或删除您或您孩子的个人信息；有权更正或删除您和/或您孩子的个人信息；反对处理您和您孩子的个人信息。您还有权就我们的数据处理活动向监管机构投诉。未经预订儿童看护服务的人事先同意，WonderKids 可以通过电子邮件发送哪些直接营销信息？

新问题 135
一家跨国公司正在任命一名强制性数据保护官。除了考虑 GDPR 第 37 (1) 条规定的规则外，该公司还必须采取以下哪些行动，以确保在其开展业务的所有欧盟司法管辖区遵守规定？

新问题 136
情景
请用下面的文字回答下一个问题：
健身公司 Vigotron 最近开发了一款名为 "M-Health "的新应用程序，该公司希望在其网站上推广这款免费下载的应用程序。Vigotron 公司的营销经理要求他的助理艾米丽创建一个网页，介绍这款应用程序并明确使用条款。艾米丽是 Vigotron 的新员工，她对这项任务感到非常兴奋。在之前的工作中，她上过一堂数据保护课，虽然细节有点模糊，但她意识到在某些情况下，Vigotron 需要征得用户对使用应用程序的同意。艾米丽草拟了以下草案，在将其发送给 Vigotron 的法律部门之前，尽量涵盖了所有内容。
注册表
Vigotron 的全新 M-Health 应用程序可让您轻松监控各种与健康有关的活动，包括饮食、运动和睡眠模式。M-Health 依靠您的智能手机设置（以及您可能已经拥有的其他第三方应用程序）来收集有关所有这些重要生活方式的数据，并为您提供必要的信息，以提高您的生活质量。(请点击此处阅读 M-Health 所提供服务的完整介绍）。Vigotron 重视您的隐私。M-Health 应用程序允许您决定哪些信息存储在其中，哪些应用程序可以访问您的数据。您可以将健康应用中存储的数据备份到 Vigotron 的云服务提供商 Stratculous。(点击此处了解有关 Stratculous 的更多信息。）Vigotron 绝不会交易、出租或出售从 M-Health 应用程序中收集到的个人信息。此外，未经客户同意，我们不会将客户的姓名、电子邮件地址或从应用程序中收集的任何其他信息提供给任何第三方，除非是法院命令、传票指示或为了执行制造商的合法权利或保护其业务或财产。
我们很高兴为您免费提供 M-Health 应用程序。如果您想下载和使用该应用程序，请首先填写本注册表。(请注意，M-Health 应用程序仅限于 16 岁或以上的成年人使用，除非未成年人使用该应用程序已获得父母同意）。姓名
姓氏：
出生年份
电子邮件：
实际地址（可选*）：
健康状况：
*如果您有兴趣接收我们认为您可能感兴趣的有关我们产品和服务的时事通讯，请注明您的实际地址。如果您后来决定不希望收到这些新闻简报，您可以通过发送电子邮件至 [email protected] 或致函本页底部所列地址取消订阅。
条款和条件
1.管辖权。[...]
2.适用法律。[...]
3.责任限制。[...]
同意书
通过填写本注册表，您证明您已年满 16 周岁，并同意威刚为使用 M-Health 应用程序而处理您的个人数据。尽管您有权选择退出任何广告或营销，但您同意 Vigotron 可以通过电子邮件或其他电子方式与您联系或向您提供任何必要的通知、协议或其他有关服务的信息。您还同意，本公司可自动发送电子邮件，就可能影响您健康的 M-Health 应用程序的任何问题发出警报。
根据 GDPR，Vigotron 的年龄政策可能会遇到什么问题？

新问题 137
情景
请用下面的文字回答下一个问题：
ProStorage 是一家跨国云存储供应商，总部位于荷兰。其首席执行官露丝-布朗（Ruth Brown）制定了双管齐下的发展战略：1）扩大 ProStorage 的全球客户群；2）提高 ProStorage 的市场份额。露丝-布朗（Ruth Brown）制定了双管齐下的发展战略：1）扩大 ProStorage 的全球客户群；2）通过高效团队的入职增加 ProStorage 的销售队伍。最近，由于露丝的健康状况，她的工作时间以及出差会见潜在客户的能力受到了限制，这使得这一战略的实施变得更加复杂。由于无法联系到露丝的家人，医院联系了ProStorage，并与露丝的参谋长取得了联系，参谋长与人力资源主管玛丽协调，根据露丝开始工作时提出的要求，向医生提供了相关信息：为了支持露丝招聘更多销售代表的战略目标，人力资源团队致力于改进流程，确保新员工的招聘、面试、录用和入职工作高效进行。为了帮助实现这一目标，玛丽确定了两家供应商，一家是德国的 HRYourWay 公司，另一家是澳大利亚的 InstaHR 公司。她决定让这两家供应商通过 ProStorage 的供应商风险审查流程，这样她就可以与 Ruth 一起做出最终决定。作为审查流程的一部分，负责维护 ProStorage 隐私计划（包括维护控制器 BCR 和进行供应商风险评估）的 Jackie 对两家供应商都进行了审查，但只完成了 InstaHR 的转移影响评估。经过她的审查，这两家公司都拥有更成熟的隐私计划，并提供了第三方证明，而 HRYourWay 则是一家小供应商，只有极少的数据保护业务。
因此，她推荐了 InstaHR。
ProStorage 的营销团队还致力于实现公司的战略目标，重点关注需要扩大市场份额的行业。为此，团队选择了与金融行业客户有着深厚关系的美国公司 UpFinance 作为合作伙伴。在ProStorage的尽职调查过程中，隐私团队的Jackie在转让影响评估中注意到，UpFinance实施了多项数据保护措施，包括端到端加密，加密密钥由客户持有。
值得注意的是，UpFinance 在其 7 年的业务中没有收到任何政府要求。尽管如此，Jackie 还是建议，合同应要求 UpFinance 在收到政府关于 UpFinance 代其处理个人数据的请求时，在披露这些数据之前通知 ProStorage。
ProStorage 最有可能依靠哪种传输机制将露丝的医疗信息传输到医院？

新问题 138
情景
请用下面的文字回答下一个问题：
WonderkKids 提供在线托儿预订服务。Wonderkids 总部设在法国，但其网站是通过瑞士的一家公司托管的。作为其服务的一部分，Wonderkids 会将提供给他们的所有个人数据传递给通过其系统预订的托儿服务提供商。网站上收集的个人数据类型包括预订儿童看护服务者的姓名、地址和联系方式，以及被看护儿童的信息，包括姓名、年龄、性别和健康信息。Wonderkids 网站的隐私声明如下：
"出于日程安排、健康和安全考虑，WonderkKids 会将您通过本网站披露给我们的信息提供给您的托儿机构。我们也可能将您和您孩子的个人信息用于我们自己的合法商业目的，我们雇用了一家位于瑞士的第三方网站托管公司来存储数据。任何存储在瑞士设备上的数据都符合欧盟委员会的规定，保证您和您孩子的个人信息得到充分的保护。我们只与我们认为能为您带来真正价值的企业共享您和您孩子的个人信息。您向我们提供任何个人数据，即表示您同意将其传输给关联企业并向您发送促销信息。
"我们保留您和您孩子的个人信息的期限不超过 28 天，届时将对数据进行去个性化处理，除非您的个人信息在 28 天后被用于合法商业目的，在这种情况下，您的个人信息可被保留长达 2 年"。
"我们是在征得您同意的情况下处理您和您孩子的个人信息的。如果您选择不向我们提供某些信息，您可能无法使用我们的服务。您有权：要求访问您和您孩子的个人信息；更正或删除您或您孩子的个人信息；有权更正或删除您和/或您孩子的个人信息；反对处理您和您孩子的个人信息。您还有权就我们的数据处理活动向监管机构投诉。WonderKids 和托管服务提供商之间的合同必须包含哪些内容？

新问题 139
哪个欧盟机构有权主动提出新的数据保护立法？

新问题 140
根据 GDPR，谁最不可能被允许在数据当事人不知情或未经其同意的情况下收集、使用和披露其敏感医疗信息？

新问题 141
数据控制者或处理者在任命数据保护官后有什么义务？

新问题 142

新问题 143
情景
请用下面的文字回答下一个问题：
安娜和弗兰克都在格兰切斯特大学工作。安娜是一名负责数据保护的律师，而弗兰克则是工程系的一名讲师。大学保存着多种类型的记录：
* 学生档案，包括姓名、学号、家庭住址、大学前信息、大学出勤和成绩记录、特殊教育需求详情和财务信息。
* 教职员工档案，包括自传材料（如课程表、专业联系档案、学生评价及其他相关教学档案）。
* 校友记录，包括出生地、出生年份、入学日期和学位授予情况。
以前的学生通过格兰切斯特的校友门户网站注册后，可获得这些记录。
* 教育部的记录，显示某些人口群体（如第一代学生）的平均进展情况。这些记录不包含姓名或身份证号码。
* 根据其安全政策，大学对所有传输和静止的个人数据记录进行加密。
为了改进教学，弗兰克希望调查他的工程专业学生的表现与教育部的期望之间的关系。他参加了 Anna 举办的数据保护培训课程，知道为达到目的，不应使用超出必要范围的个人数据。他创建了一个程序，只导出一些学生数据：以前就读的学校、最初取得的成绩、目前取得的成绩和首次就读的大学。他希望保留学生个人层面的记录。
考虑到安娜接受的培训，弗兰克通过算法将学生编号转换成不同的参考编号。他每次都使用相同的算法，这样就能随时间更新每条记录。
Anna 的任务之一是按照 GDPR 的要求完成处理活动记录。在收到电子邮件提醒后，按照 GDPR 的要求。在收到电子邮件提醒后，弗兰克将其绩效数据库告知安娜。
安向弗兰克解释说，除了尽量减少个人数据外，大学还必须检查现有数据的新用途是否允许。她还怀疑，根据 GDPR 的规定，在进行数据处理之前可能需要进行风险分析。安娜安排在做了一些额外的研究后与弗兰克进一步讨论这个问题。
弗兰克希望能在业余时间研究他的分析结果，因此他把分析结果转移到了家里的笔记本电脑上（这台电脑没有加密）。不幸的是，当弗兰克把笔记本电脑带进大学时，却在火车上弄丢了。弗兰克当天必须去见安娜，讨论兼容处理问题。他知道自己需要报告安全事件，因此决定同时告诉安娜自己丢失笔记本电脑的事情。
安娜会发现，在这种情况下不需要进行风险分析，只要？

新问题 144
情景
请用下面的文字回答下一个问题：
2000 年，乔在美国佛蒙特州的家中创办了小熊软糖公司。如今，它已成为一家市值数十亿美元的糖果公司，业务遍及各大洲。公司所有的 IT 服务器都位于佛蒙特州。今年，乔聘请儿子本加入公司，负责 "大项目"。"大项目 "是一项重大营销战略，旨在短短 5 年内将总收入翻三番。本毕业于一所顶尖大学，拥有计算机软件博士学位。本决定加入父亲的公司，但同时也在秘密筹建一家新的全球在线约会网站公司，名为 "本知道最好"。
本知道小熊软糖公司拥有数百万客户，相信他们中的许多人也可能有兴趣找到自己的完美伴侣。为了实施 "大项目"，本重新设计了公司的在线门户网站，并要求欧盟和其他地区的客户提供更多个人信息，以便继续成为公司的客户。本项目开始收集客户的哲学信仰、政治观点和婚姻状况等数据。
如果某个客户表明自己是单身，Ben 就会将该客户的所有个人数据复制到 Ben Knows Best 的单独数据库中。本认为自己并没有做错什么，因为他明确要求每位顾客在接受自己的信息前勾选一个方框，以示同意。由于 "大项目 "是一个重要的项目，公司还聘请了一位学习计算机科学的大一学生萨姆来帮助本。
Ben 打电话给 Sam，Sam 发现了 Ben Knows Best 数据库。山姆计划在春喙节期间和他的 10 个朋友一起去爱尔兰，因此他复制了所有居住在爱尔兰的人的客户信息，这样他和他的朋友们在爱尔兰时就可以联系到这些人。
乔还聘请了他最好朋友的女儿、刚从美国法学院毕业的爱丽丝担任公司的新总法律顾问。Alice 听说过 GDPR，因此做了一些相关研究。爱丽丝找到乔，告诉他她已经起草了《具有约束力的公司规则》，供公司每个人遵守，因为公司必须建立一个法律机制，以便在内部将数据从公司在欧盟的业务转移到美国。
乔认为爱丽丝的工作非常出色，并告诉她，她还将负责处理美国联邦法院对公司提起的一起重大诉讼。为了准备这场诉讼，爱丽丝指示公司的 IT 部门将包括欧盟在内的整个全球销售团队的计算机硬盘复制一份，并将所有内容发送给她，以便她审查每个人的信息。爱丽丝相信，乔会很高兴她做了第一级审查，因为这将为公司节省一大笔原本要支付给外部律师事务所的费用。
本从客户那里收集的额外数据给公司带来了几个潜在问题，其中最有可能需要解决的是什么？

新问题 145
情景
请用下面的文字回答下一个问题：
TripBliss Inc.是一家旅游服务公司，在过去几年中收入大幅下降。他们的新任经理奥利弗怀疑，部分原因是公司的网站过时了。在做了一些调查后，他会见了一家新兴 IT 公司 Techiva 的销售代表，希望他们能为 TripBliss Inc.
在谈判过程中，Techiva 代表介绍了一项通过详细问卷收集更多客户信息的计划，该计划可用于根据客户对特定旅行目的地的偏好进行定制。
TripBliss 公司可以选择任何数量的数据类别--年龄、收入、种族--以帮助他们最好地实现目标。奥利弗很喜欢这个想法，但也希望能有一些方法来衡量这种方法的成功程度，尤其是问卷调查将要求客户明确同意收集他们的数据。Techiva 代表建议他们也运行一个程序来分析新网站的流量，以便更好地了解客户的使用情况。他解释说，他计划在客户设备上放置一些 cookies。通过这些 cookies，公司可以收集 IP 地址和其他信息，如客户来自哪些网站、在 TripBliss Inc.所有这些信息都将编入日志文件，Techiva 将通过专门程序对其进行分析。TripBliss Inc. 将收到汇总的统计数据，以帮助他们评估网站的有效性。Oliver 热情地邀请 Techiva 提供这些服务。
Techiva 将项目的分析部分分配给长期客户经理 Leon Santos。按照标准做法，莱昂被授予 TripBliss Inc. 网站的管理员权限，可以授权访问从该网站收集的日志文件。然而，不幸的是，TripBliss Inc.为了报复公司对他的不公平待遇，莱昂向他的朋友、业余黑客弗雷德求助。他们一起想出了以下计划：弗雷德将黑进 Techiva 的系统，并把他们的日志文件拷贝到 U 盘上。
尽管莱昂最初打算将 U 盘寄给媒体和数据保护机构，以谴责 Techiva 公司，但他经历了一场良心危机，最终重新考虑了自己的计划。他决定安全擦除 U 盘中的所有数据，并通知经理必须重新考虑公司的访问控制系统。
如果 TripBliss Inc. 决定不向监管机构报告该事件，他们的最佳辩护理由是什么？

新问题 146
在 "Planet 49 "案中，欧盟法院（CJEU）关于 cookie 问题的判决是什么？

新问题 147
如果处理者就其代表控制者进行处理的目的和方式做出独立决定，会有什么后果？

新问题 148
由于在线公司提供的服务种类繁多，其隐私保护措施也不尽相同。如果一一解释会让人无法理解这些政策，那么如何才能最好地消除这种顾虑呢？

新问题 149
情景
请用下面的文字回答下一个问题：
一家位于香港的玩具制造商刚刚聘用了你。该公司销售各种玩偶、动作人偶和毛绒玩具，这些产品在全球各种零售店都能买到。虽然该制造商在香港以外没有办事处，事实上也没有在香港以外雇用任何员工，但它已签订了许多本地分销合同。该公司生产的玩具在欧洲、美国和亚洲所有流行的玩具店都能买到。
现在，该公司希望推出一系列新的联网玩具，这些玩具可以与儿童对话和互动。该公司首席执行官将这些玩具称为下一件大事，因为它们提供了更多的可能性：这些人偶可以回答儿童提出的各种问题，如数学计算或天气等。每个人偶都配有麦克风和扬声器，可以通过蓝牙与任何智能手机或平板电脑连接。半径 10 米内的任何移动设备也可以通过蓝牙与玩具连接。这些人偶还可以与其他人偶（来自同一制造商）关联，并进行互动，以增强游戏体验。
当孩子向玩具提问时，请求会被发送到云端进行分析，答案会在云端服务器上生成并发送回玩具。答案通过玩具的集成扬声器发出，使玩具看起来好像真的在回答孩子的问题。玩具的包装上没有提供有关如何工作的技术细节，也没有提到这项功能需要互联网连接。为此所需的数据处理工作已外包给位于南非的一个数据中心。但是，贵公司尚未修订其面向消费者的隐私政策以说明这一点。
与此同时，该公司还计划推出一系列新的游戏系统，消费者可以通过这些系统扮演他们在游戏过程中获得的角色。该系统将捆绑一个包含近场通信（NFC）阅读器的入口。该设备将读取动作人物身上的 RFID 标签，使人物在屏幕上栩栩如生。每个角色都有自己的特征和能力，但也可以通过完成游戏目标获得额外的特征和能力。标签中存储的唯一信息与人物的能力有关。在游戏过程中很容易切换角色，也可以将人物带到家庭以外的地方，但人物的能力保持不变。
根据 GDPR 第 32 条的要求（与处理的安全性有关），公司应采取哪种做法？

新问题 150
哪个词最恰当地描述了欧洲的数据保护模式？

新问题 151
GDPR 第 5(1)(b)条规定，个人数据必须 "为特定、明确和合法的目的而收集，并且不得以与这些目的不符的方式进一步处理"。根据第 5(1)(b)条，成员国对 "不符合 "一词的解释会产生什么影响？

新问题 152
ABCD 公司的一名员工刚刚发现一个存储有客户数据记录（包括姓名、地址和详细联系信息）的记忆棒不翼而飞。记忆棒上的数据是未加密的明文数据。目前还不能确定记忆棒发生了什么事，但很可能是在员工出差期间丢失的。公司该怎么办？

新问题 153
如果雇员向其雇主提出查阅其个人资料的要求，该如何处理？

新问题 154
根据欧洲数据保护委员会的说法，以下哪个概念或做法不是根据欧盟数据保护法中有关个人数据处理的原则提出的？

新问题 155
请阅读以下步骤：
* 发现哪些员工正在访问云服务，以及通过哪些设备和应用程序访问云服务
* 锁定这些应用程序和设备中的数据
* 监控和分析应用程序和设备的合规性
* 管理应用程序生命周期
* 监测数据分享
组织应执行这些步骤来完成以下哪项工作？

新问题 156
在以下哪种情况下，《一般数据保护条例》不适用于个人数据的处理？