Uma multinacional tem escritórios e unidades de produção em vários estados membros da Área Econômica Europeia (AEE). A autoridade supervisora principal deve ser identificada após uma violação de dados pessoais.
O que determina o estado membro da autoridade principal? O grau de influência dos estados membros na AEE A localização da sede da empresa O tamanho dos estabelecimentos da multinacional O estado de implementação do GDPR nos estados membros.
O GDPR estabelece os atributos mínimos de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA).
Qual é um desses atributos mínimos? Uma decisão de adequação da Comissão Europeia sobre a transferência internacional de dados Um mecanismo de cooperação com a autoridade supervisora para garantir a conformidade Uma avaliação da adequação das políticas para abordar as exigências do GDPR Uma avaliação da necessidade e da proporcionalidade do processamento.
Muitas vezes, privacidade e segurança da informação são vistas como questões separadas.
Por que isso está errado? A privacidade não pode ser garantida sem a identificação, implementação e monitoramento de medidas de segurança da informação adequadas. Os regulamentos identificam medidas de segurança da informação específicas que devem ser adotadas antes que a manipulação de dados pessoais seja permitida. A autoridade supervisora espera que os papéis de Data Protection Officer (DPO) e encarregado de segurança da informação sejam integrados.
O GDPR requer a proteção de dados desde a concepção (by design) e por padrão (by default), sempre que relevante e possível.
Como isso é traduzido na prática? Os titulares dos dados têm o direito de se opor ao processamento e de solicitar a restrição do processamento. As salvaguardas necessárias para proteger os direitos dos titulares dos dados são integradas ao processamento. A especificação da arquitetura da base de dados é realizada de acordo com as regras descritas no GDPR.
A autoridade supervisora deve ser consultada antes do processamento de dados, sempre que uma organização determinar que o processamento de dados pessoais acarreta um alto risco para o titular dos dados.
Qual seria uma obrigação legal da autoridade supervisora em reação a uma consulta desse tipo? Avaliar a legitimidade das operações, aconselhar sobre medidas de mitigação e proibir ou aprovar o processamento Detalhar um plano para conscientizar os funcionários e os titulares dos dados envolvidos sobre os riscos do processamento Fornecer modelos de contratos juridicamente vinculantes entre o controlador e os processadores de dados pretendidos.
Uma pessoa que trabalha para um sindicato levou a minuta de um informativo aos membros para casa para finalizá-la ali. O pen drive contendo a minuta e a lista de contatos foi perdido e não estava protegido por senha. Nada parece ter acontecido com os dados.
De acordo com o GDPR, quem deve ser informado sobre esta violação de dados pessoais? A autoridade supervisora e todos os titulares dos dados afetados Apenas a autoridade supervisora Ninguém.
Um controlador pode terceirizar o processamento de dados pessoais para outra empresa, desde que exista um contrato por escrito entre esses parceiros.
Qual cláusula desse contrato representa uma responsabilidade do controlador? Garantir que as pessoas autorizadas a processar os dados pessoais estejam comprometidas com a confidencialidade ou estejam sujeitas a uma obrigação estatutária de confidencialidade apropriada. Confirmar se os processadores fornecem garantias suficientes de medidas técnicas e organizacionais apropriadas, de modo que o processamento satisfaça os requisitos do GDPR. Disponibilizar para o processador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no GDPR, além de permitir e contribuir para auditorias, incluindo inspeções. Processar os dados pessoais apenas de acordo com as instruções documentadas, incluindo as transferências de dados pessoais para um país terceiro, dentro ou fora da Área Econômica Europeia (AEE), ou uma organização internacional.
Quando um controlador terceiriza o processamento de dados pessoais para um processador, as partes estabelecem um contrato por escrito. Esse contrato define o assunto e a duração do
processamento, a natureza e a finalidade do processamento e o tipo de dados pessoais necessários e as categorias de titulares dos dados.
Que outro aspecto deve ser sempre governado por esse contrato? A responsabilidade do processador A obrigação de notificar de violações de dados pessoais A obrigação de cooperação com a autoridade supervisora por parte dos processadores As obrigações e os direitos do controlador.
Uma empresa deseja usar o comportamento de busca na internet de seus clientes para anúncios dirigidos.
O que isso tem a ver com a proteção de dados? As regras corporativas vinculantes (BCR) proíbem o uso do comportamento de buscas na internet. A coleta e uso do comportamento de busca na internet constituem um processamento de dados pessoais. O comportamento de buscas na internet consiste em transferência de dados pessoais para fora da Área Econômica Europeia (AEE).
De acordo com o GDPR, qual é a definição de processamento de dados pessoais? Qualquer operação que possa ser realizada em dados pessoais Qualquer operação que possa ser realizada em dados pessoais, exceto exclusão e destruição Apenas operações nas quais os dados sejam compartilhados ou transferidos de qualquer modo Apenas operações nas quais os dados pessoais sejam usados para as finalidades para as quais foram coletados.
Uma pessoa recebe regularmente ofertas de uma loja onde ela fez compras cinco anos atrás. Ele quer que a empresa pare de enviar ofertas e exclua seus dados pessoais.
Que aspecto dos direitos de um titular de dados no GDPR requer o cumprimento por parte da empresa? O direito ao apagamento O direito à retificação O direito à restrição do processamento O direito à retirada de consentimento.
O que significa o direito à portabilidade de dados? O controlador tem o direito de transferir os dados pessoais do titular dos dados. O titular dos dados tem o direito de transferir os dados pessoais referentes a si próprio. A autoridade supervisora deve autorizar a transferência de dados pessoais.
O controlador de uma plataforma de mídia social é informado que houve uma violação de dados pessoais. A violação dos dados pessoais mostrou a um hacker apenas os últimos três caracteres digitados por um titular dos dados em uma janela de bate-papo.
Que tipo de violação de dados é essa? Uma violação de dados que não tem probabilidade de produzir um risco para os direitos e liberdades de pessoas físicas Uma violação de dados que pode provocar dano físico, material ou não material a pessoas físicas Uma violação de dados que tem probabilidade de produzir um alto risco para os direitos e liberdades de pessoas físicas.
Regras corporativas vinculantes (BCR) constituem um meio para facilitar a carga administrativa das organizações no cumprimento do GDPR.
Como as BCR ajudam as organizações? As BCR permitem que as organizações tenham contratos de apoio com todas as partes envolvidas no exterior. As BCR permitem que as organizações deixem terceiros fora da Área Econômica Europeia (AEE) processarem os dados pessoais. As BCR evitam a necessidade de abordar separadamente cada autoridade supervisora na AEE.
Os controladores devem dispor de um procedimento para notificar a autoridade supervisora sobre violações de dados pessoais. Um governo local é um controlador.
De acordo com o GDPR, o que deve ser descrito em seu procedimento? A diretoria deve ser notificada imediatamente. A violação deve ser relatada dentro de um mês. O Data Protection Officer (DPO) deve ser consultado. O titular dos dados deve ser sempre notificado.
Qual é o objetivo da Gestão do Ciclo de Vida do Dado (GCVD/DLM)? Garantir que o controlador e o processador estejam cientes de suas tarefas em relação ao GDPR Garantir que os dados pessoais sejam processados em conformidade com o GDPR durante toda sua vida útil Garantir que as empresas não tirem proveito dos dados fornecidos a elas por seus consumidores.
Qual é a principal finalidade de um cookie de sessão? Exibir anúncios direcionados para os interesses do usuário, usando informações do navegador Identificar usuários, registrar as preferências dos usuários e salvar informações para login no site Redirecionar o usuário para outro servidor da web que possa conter um código malicioso prejudicial Salvar o histórico do navegador, permitindo que o usuário volte com facilidade a uma página da web encontrada anteriormente.
De acordo com o GDPR, qual situação é considerada como uma violação de dados pessoais? Um processador exclui dados pessoais após a expiração de seu contrato com o controlador. Um processador deixa seu computador exposto e desbloqueado no ambiente do escritório. Após uma falha do disco rígido, um processador restaura os dados pessoais a partir de um backup recente. Após o processamento, um processador exclui dados pessoais conforme as instruções do controlador.
Um controlador tem sua sede na Área Econômica Europeia (AEE). Ele terceirizou o processamento de dados pessoais sensíveis para um processador situado fora da AEE, sem consultar a autoridade supervisora antes. Essa transgressão foi descoberta e a empresa foi multada pela autoridade supervisora. Seis meses depois, a autoridade supervisora descobre que o controlador é culpado da mesma transgressão, mas para uma operação de processamento diferente e com outro processador.
Qual é a multa máxima que a autoridade supervisora pode impor neste caso? Nada, porque a empresa já foi multada por essa transgressão € 10.000.000 ou 2% do volume de negócios global da empresa, o que for maior € 20.000.000 ou 4% do volume de negócios global da empresa, o que for maior.
Dados pessoais devem ser coletados para finalidades especificadas, explícitas e legítimas e não devem ser processados adicionalmente de um modo incompatível com essas finalidades.
Que princípio do processamento de dados é descrito aqui? Exatidão Minimização de dados Equidade e transparência Limitação de finalidade.
Uma empresa oferece um aplicativo de música e pede que seus usuários assinem um contrato de licença de usuário final (EULA). Além do EULA, a empresa pergunta se pode processar as
preferências musicais do usuário para sugerir um conteúdo mais adequado a seu gosto.
Qual base legítima para processamento de dados pessoais do GDPR é aplicável? Cumprimento de uma obrigação legal Consentimento explícito do titular dos dados Atividade puramente pessoal ou doméstica.
De acordo com os sete princípios da proteção de dados desde a concepção (by design), a proteção de dados deve ser proativa e não reativa.
Qual é o objetivo desse princípio? Demonstrar uma fase de projeto de soma positiva Garantir a gestão do ciclo de vida do início ao fim Manter os usuários informados sobre atualizações dos produtos Prevenir a ocorrência de infrações da privacidade.
A palavra “privacidade” não é mencionada no GDPR.
Como a privacidade está relacionada à proteção de dados? A proteção de dados é o conjunto de regras e regulamentos relativos ao processamento de dados pessoais. A privacidade é o resultado da proteção de dados. Privacidade é o direito a ser protegido de uma interferência em assuntos pessoais. A proteção de dados constitui um modo para implementar essa proteção. Privacidade é o direito de manter assuntos pessoais em segredo. Proteção de dados é o direito de manter os dados pessoais em segredo. Os termos privacidade e proteção de dados são intercambiáveis. Não há uma diferença real no significado.
O GDPR está relacionado à proteção de dados pessoais.
Qual é a definição de dados pessoais? Qualquer informação relativa a uma pessoa física que seja ou possa ser identificada Qualquer informação que um cidadão europeu queira proteger Dados que revelem direta ou indiretamente as origens raciais ou étnicas de uma pessoa, suas visões religiosas e dados relacionados à saúde, vida sexual e orientação sexual Dados que estejam sendo preservados por meio da garantia de confidencialidade, integridade e disponibilidade de informações.
Um sistema contendo dados pessoais foi invadido e foi constatado que pessoas não autorizadas tiveram acesso a dados pessoais.
De acordo com o GDPR, o que o controlador deve fazer antes de notificar a autoridade supervisora? Determinar se dados pessoais de caráter sensível foram ou possam ter sido acessados Conduzir uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) para determinar os riscos às pessoas físicas Notificar os titulares dos dados envolvidos sobre a violação de dados pessoais e suas possíveis consequências Notificar a polícia e relatar o acesso não autorizado ao(s) sistema(s).
O GDPR faz referência à definição de privacidade fornecida pela Convenção Europeia de Direitos Humanos.
Qual é o direito fundamental ao qual o GDPR se refere? O direito de não ser observado ou incomodado pelo governo ou pessoas não convidadas O direito ao respeito pela vida privada e familiar de uma pessoa, seu lar e sua correspondência O direito de ser protegido contra uma intrusão não solicitada em um computador ou rede.
Um papel na proteção de dados pode ser definido como:
Uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processe dados pessoais no interesse do controlador.
Que papel na proteção de dados é definido aqui? Titular dos dados Processador Autoridade supervisora Terceiro.
Quando um controlador pode transferir dados para fora da Área Econômica Europeia (AEE)? Sempre, desde que o controlador tenha uma presença legal na AEE. Nunca, porque é ilegal transferir dados pessoais para fora da AEE. Quando estiver transferindo para um país ou uma organização aprovados com antecedência.
De acordo com o GDPR, qual é uma responsabilidade da autoridade supervisora? Agir no interesse de vários estados membros da Área Econômica Europeia (AEE) Conduzir uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) Contribuir para a aplicação consistente do GDPR Estabelecer alianças com grupos interessados da indústria de TI.
De acordo com o GDPR, o que a autoridade supervisora deve fazer em resposta a uma notificação de violação de dados pessoais? Auxiliar a lidar com a violação de dados e a implementar medidas para mitigar suas consequências Investigar se a proteção de dados pessoais estava em conformidade com os requisitos de segurança do GDPR Disponibilizar publicamente os detalhes dos titulares dos dados no registro de operações de processamento de dados Relatar a violação de dados aos titulares dos dados, se for determinado que a violação possa ter um impacto negativo.
Um papel na proteção de dados pode ser definido como:
Uma autoridade pública independente, estabelecida por um Estado Membro conforme o Artigo 51 do GDPR.
Que papel na proteção de dados é definido aqui? Controlador Processador Autoridade supervisora Terceiro.
Uma empresa inicia um novo projeto que processará informações pessoais sensíveis. A empresa decide realizar uma Avaliação de Impacto sobre a Proteção de Dados (DPIA).
Quando a empresa deve conduzir o primeiro DPIA para esse novo projeto? O mais cedo possível no processo, antes do processamento ou da coleta de qualquer dado. No fim do projeto, quando todas as informações e os dados estiverem processados. Após a ocorrência de um incidente de segurança que provoque uma violação de dados pessoais.
Em 27 de abril de 2016, o Parlamento Europeu e o Conselho da Europa aprovaram o Regulamento (EU) 2016/679, conhecido como GDPR.
A regulamentação antiga é revogada pela introdução do GDPR.
Que diretiva está sendo revogada, de acordo com o Artigo 94 do GDPR? Diretiva 2002/58/EC relativa ao processamento de dados pessoais e proteção da privacidade no setor de comunicação eletrônica Diretiva 95/46/EC sobre a proteção de indivíduos em relação ao processamento de dados pessoais e livre movimentação desses dados Diretiva (UE) 2016/680 sobre a proteção de pessoas físicas em relação ao processamento de dados pessoais pelas autoridades competentes.
Dados pessoais podem ser transferidos para fora da Área Econômica Europeia (AEE).
De acordo com o GDPR, que transferências para fora da AEE são sempre legais? Transferências baseadas nas leis do país não pertencente à AEE envolvido Transferências sujeitas às regras da Organização Mundial do Comércio (OMC) Transferências governadas por regras corporativas vinculantes (BCR) aprovadas Transferências dentro de uma corporação ou organização global.
De acordo com o GDPR, o que sempre constitui uma violação de dados pessoais? Dados corporativos obtidos ilegalmente junto a um sistema de gerenciamento de recursos humanos. Dados pessoais processados por uma pessoa diferente do controlador, processador ou subprocessador. Dados pessoais processados sem um contrato juridicamente vinculante para o controlador. Uso de servidores e sistemas vulneráveis na rede interna do processador.
Uma empresa que processa dados pessoais está mudando para outro provedor em nuvem.
O que precisa ser verificado antes da mudança para garantir a conformidade com o GDPR? Se os regulamentos sobre proteção de dados foram alterados Se os dados coletados ainda são adequados e relevantes Se o processador é capaz de satisfazer os requisitos de segurança.
De acordo com o GDPR, quais dados pessoais são considerados como uma categoria especial de dados pessoais? Detalhes do cartão de crédito Número do passaporte Número do CPF Associação sindical.
O GDPR refere-se aos princípios de proporcionalidade e subsidiariedade.
Qual é o significado de proporcionalidade neste contexto? Dados pessoais só podem ser processados de acordo com a especificação da finalidade. Dados pessoais não podem ser reutilizados sem um consentimento explícito e informado. Dados pessoais só podem ser processados quando não houver outros meios para alcançar a finalidade. Dados pessoais devem ser adequados, relevantes e não excessivos em relação às finalidades.
Um site na mídia social solicitou espontaneamente a utilização da fotografia de uma de suas usuárias como banner temporário, mas eles não chegaram a firmar um contrato. A usuária consentiu com a utilização da foto para essa finalidade. Na metade da campanha, a usuária muda de ideia.
De acordo com o GDPR, a usuária tem o direito de exigir que sua fotografia seja removida? Sim, devido ao direito ao apagamento. Sim, devido ao direito à retificação. Não, devido às condições do consentimento. Não, devido ao direito a acesso.
Uma organização de serviço social está projetando uma nova base de dados para registrar seus clientes e suas necessidades de cuidados médicos. Ela deseja pedir a permissão da autoridade supervisora para processar esses dados.
De qual informação a autoridade supervisora precisa para tomar uma decisão? Consentimento dos clientes para o processamento pretendido de seus dados pessoais Dados sobre os clientes e a quantidade e tipo de cuidados necessários e fornecidos Resultados de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) e avaliação de risco.
|
