1) O processamento de dados pessoais pode ser atribuído a outra empresa, caso o controlador assim defina como ideal. No entanto, o
acordo só pode ser firmado caso exista um contrato assinado entre as partes.
Dentre as cláusulas deste contrato descritas nas alternativas abaixo, qual representa uma
responsabilidade exclusiva do Controlador?
Implementar e garantir medidas técnicas e organizacionais apropriadas para o processamento de dados, afim de
atender plenamente os requisitos do GDPR
Disponibilizar todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no General Data Protection Regulation (GDPR), permitir e contribuir para auditorias, incluindo inspeções. Processar os dados pessoais apenas de acordo com as instruções documentadas, inclusive em relação a transferência de
dados pessoais para um terceiro país ou uma organização internacional Garantir que as pessoas autorizadas a processar os dados pessoais estejam comprometidas com a confidencialidade ou
estejam sujeitas a uma obrigação estatutária de confidencialidade apropriada.
2) Após a exploração de uma violação de segurança em um sistema, constatou-se que diversos dados pessoais foram acessados por
pessoas não autorizadas. Qual a primeira ação a ser tomada pelo controlador antes de notificar a autoridade supervisora? A) Avisar a polícia a respeito da invasão do sistema
B) Verificar a possibilidade de dados de caráter sensível terem sido acessados C) Avisar todos os titulares dos dados sobre a violação e informar quais são as consequências possíveis D) Avaliar o risco aos direitos e liberdade de pessoas singulares através de uma AIPD (Avaliação de Impacto sobre a Proteção de
Dados).
3) Marque a alternativa que descreve corretamente uma responsabilidade das autoridades supervisoras em países da Área Econômica
Europeia. A) A autoridade supervisora é responsável por supervisionar o processamento dos dados dos titulares que tenham
residência em um país pertencente a Área Econômica Europeia (AEE) B) A autoridade supervisora é responsável por supervisionar o processamento dos dados que são controlados por um controlador dentro de um país da Área Econômica Europeia (AEE) C) A autoridade supervisora é responsável por fazer pesquisas sobre possíveis violações de segurança de informações
empresariais.
4) A proteção de dados deste a concepção (by design) é um requisito importante do Gerenal Data Protection Regulation (GDPR)
sempre que for possível e relevante. Aponte qual dos aspectos do processamento de dados abaixo está relacionada a esta afirmação. A) A integração ao processamento de salvaguardas (medidas/controles) necessárias para proteger os direitos dos
titulares dos dados B) A garantia de que somente os dados necessários para a finalidade possam sofrer processamento C) A definição dos aspectos da base de dados D) O direito à restrição do processamento, que pode ser exercido pelo titular dos dados.
5) A implementação dos 7 princípios de proteção dos dados deste a concepção (by design) pode ser implementada por qual das partes
interessadas descritas abaixo?
A) Processador B) Autoridade supervisora C) Data Protection Officer (DPO) D) Titular dos dados.
6) O General Data Protection Regulation (GDPR) estabelece alguns requisitos técnicos que são importantes para garantir a qualidade
dos dados. Dentre eles está a obrigação de prover uma segurança adequada, que inclui os aspectos de proteção contra o processamento ilegal ou não autorizado. Das alternativas abaixo, qual corresponde a um segundo requisito técnico importante? A) Garantir a atualização dos dados, bem como a correção ou exclusão dos dados incorretos. B) Verificar a coleta dos dados pessoais para saber se esta é relevante, adequada e limitada ao que é necessário para as
finalidades C) Garantir o processamento legal dos dados, bem como a imparcialidade e a transparência diante do titular D) Garantir que os dados coletados não sejam utilizados para fins não especificados nas finalidades.
7) De acordo com o General Data Protection Regulation (GDPR), qual das opções descritas abaixo representa uma violação dos
dados? A) Após o mal funcionamento de um servidor de dados pessoais que o deixou inutilizável, o processador restaura dados
pessoais recentes armazenados em uma mídia de backup B) Um processador deixa seu computador exposto em um local onde seus colegas possam ter acesso a ele C) Um processador exclui dados pessoais após a expiração de seu contrato com o controlador D) O processador deleta todos os dados pessoais mediante orientação do controlador, após o fim do processamento dos dados.
8) Qual das opções abaixo descreve um modo de processamento conflitante com o princípio de limitação das finalidades? A) Ocasião onde é necessário processar os dados para cumprir uma obrigação legal B) Ocasião onde é necessário processar os dados para proteger um interesse vital do titular C) Ocasião em que o processamento é efetuado mediante consentimento inequívoco do titular dos dados D) Ocasião em que os dados pessoais processados por uma organização são adquiridos por outra empresa.
9) Uma organização multinacional possui filiais ou escritórios situados em, ao menos, 8 países pertencentes à União Europeia. No tocante aos assuntos relacionados à violação de dados, qual autoridade supervisora deverá exercer liderança? A) A autoridade no Estado-Membro que tiver maior influência na UE. B) A autoridade no Estado-Membro onde o General Data Protection Regulation (GDPR) estiver totalmente implementado C) A autoridade no Estado-Membro onde o maior estabelecimento da empresa estiver situado D) A autoridade no Estado-Membro onde o principal estabelecimento da empresa estiver situado.
10) O processamento dos dados pessoais é permitido pelo GDPR desde que as finalidades sejam permitidas pela lei. Considerando isto, aponte qual base legítima abaixo é aplicável para o caso em que um contador deseja entrar com um requerimento de
devolução do imposto de renda para um vizinho. A) O processamento é permitido se o titular dos dados der seu consentimento B) O processamento não é permitido, pois o contador não tem a aptidão necessária para efetuar tal procedimento C) O processamento é permitido neste caso, pois configura-se como uma atividade simplesmente pessoal ou doméstica D) O processamento é permitido, pois controlador precisa cumprir uma obrigação legal.
11) Qual das alternativas abaixo relaciona corretamente os termos "privacidade" e "proteção de dados"?
A) Privacidade inclui o direito à proteção de dados pessoais. B) Os termos são completamente diferentes entre si C) Privacidade e proteção de dados são termos sinônimos.
12) Um colaborador da área administrativa de uma clínica oftalmológica precisa enviar aos médicos uma relação contendo todas as
consultas marcadas para o dia seguinte. No entanto, ele acaba enviando a relação para uma lista de contatos diferente e todos os pacientes com consultas marcadas recebem o conteúdo. A notificação já foi enviada à Autoridade de Proteção de Dados (DPA).
De acordo com o GDPR, quais outras partes interessadas precisam ser informadas do ocorrido? A) O representante do controlador presente na clínica B) Os pacientes que tenham informações contidas na relação enviada C) Os médicos e o Data Protection Officer (DPO) D) O gerente da clínica e o Data Protection Officer (DPO).
13) Sabemos que a notificação de violação de dados feita pelo controlador à autoridade supervisora deve, entre outras coisas, conter
informações sobre a natureza da violação dos dados, as consequências adjacentes desta violação e informações sobre outras partes
envolvidas que podem fornecer mais informações do caso.
Considerando isto, julgue a alternativa que descreve outra informação relevante que o controlador deve acrescentar ao conteúdo da
notificação. A) Informações importantes sobre como acessar os dados pessoais que foram violados B) O nome e o contato dos titulares dos quais os dados podem ter sido violados C) Medidas sugeridas para diminuir o impacto negativo proveniente da violação dos dados D) A informação de que as devidas notificações prévias às autoridades locais foram enviadas.
14) Visando a conformidade com o General Data Protection Regulation (GDPR), qual das alternativas abaixo apresenta uma atividade
que deve ser sempre realizada pelo processador? A) Deletar os dados pessoais após o término de um contrato de processamento B) Cumprir os códigos de conduta e certificações aprovadas, mesmo que o controlador repasse informações conflitantes
C) Elaborar um contrato com os titulares dos dados a serem processados.
15) "Dados que revelem direta ou indiretamente as origens raciais ou étnicas de uma pessoa, suas visões políticas/filosóficas/religiosas,
afiliação sindical e dados relacionados à saúde e orientação sexual."
Qual é a categoria de dados pessoais descrita acima? A) Dados pessoais pseudonimizados B) Dados pessoais indiretos C) Dados pessoais sensíveis D) Dados pessoais irrevogáveis.
16) Qual das alternativas abaixo representa um exemplo de processamento de dados pessoais? A) O ato de desenhar o retrato de um réu em uma delegacia B) Colecionar fotos de celebridades para uso próprio C) Criar um backup contendo dados biométricos a fim de garantir a segurança dos dados.
17) De acordo com o General Data Protection Regulation (GDPR), aponte qual das opções abaixo representa uma violação de dados
pessoais. A) Dados pessoais que são processados com ausência de um contrato compulsório B) Dados pessoais processados por uma pessoa diferente do controlador, processador ou, possivelmente,
subprocessador C) A atividade de um servidor que apresenta vulnerabilidades dentro da rede do processador D) Dados corporativos obtidos de forma ilegal oriundos de um sistema de RH.
18) É sabido que as atividades online das pessoas são utilizados pelos profissionais de marketing para muitos fins.
Qual das opções representa o modo mais eficiente de uso dessas informações de comportamento on-line? A) Perfis de comportamento online criados a partir do vínculo de tags aos usuários de mídias sociais. Estes perfis são utilizados
para promoção de um produto B) Perfis de comportamento online criados a partir do vínculo de tags aos visitantes de páginas da web, de modo que
esses perfis possam ser oferecidos e usados em campanhas de publicidade direcionada C) Através da análise de registros de um servidor web para observação da quantidade de vendas de produtos, a fim de maximizar
as campanhas para promover estes produtos.
19) A respeito da "minimização de dados", é correto afirmar que: A) Os dados devem ser processados com a segurança apropriada B) Os dados pessoais devem estar sempre atualizados e exatos C) Os dados pessoais devem ser adequados e limitados ao que for necessário para a finalidade do processamento D) Os dados pessoais devem ser processados legamente, de forma imparcial e transparente diante do titular dos dados.
20) Como uma autoridade supervisora deve responder a uma notificação de violação de dados, segundo do GPDR? A) Registrando a violação em um registro público de operações de processamento de dados B) Auxiliando o controlador na implementação de medidas para minimizar as consequências da violação de dados C) Informando aos titulares dos dados sobre a violação, desde que isso possa resultar em um impacto negativo D) Investigando aspectos de conformidade com os requisitos de segurança do GPDR, no tocante à proteção dos dados.
21) "Uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outras
partes, determina os objetivos e os meios de processamento de dados pessoais."
A qual parte interessada a descrição acima se refere? A) Ao subcontratante B) À autoridade supervisora C) Ao processador D) Ao controlador.
22) De acordo com o General Data Protection Regulation (GDPR), se faz necessário um contrato com os processador para formalizar e
definir aspectos da proteção dos dados pessoais. No conteúdo deste contrato, devem estar explícitas algumas cláusulas específicas.
Quais cláusulas, dentre as possíveis, podem ser aplicadas? A) Uma cláusula declarando que o processamento deve ocorrer unicamente de acordo com as instruções do controlador
e uma cláusula impondo uma obrigação de confidencialidade ao processador B) Uma cláusula detalhando as medidas tecnológicas exatas adotadas para proteger os dados pessoais e uma cláusula que dá ao controlador o direito de auditoria C) Uma cláusula que obriga o processador a dizer ao controlador em que países os dados serão processados e uma cláusula
declarando que o processador deve realizar auditorias D) Uma cláusula estipulando as condições para o envolvimento de quaisquer subprocessadores e uma cláusula responsabilizando o processador pela não conformidade.
23) Quando violações de dados podem estar sujeitas à penalidade administrativa máxima? A) Quando ocorrer negligência na observação de códigos de conduta aprovados B) Quando processadores de dados externos estiverem envolvidos C) Quando ocorrerem em outros países da UE D) Quando ocorrem transferências para países fora da EEA.
24) Assinale abaixo a PRINCIPAL atribuição (finalidade) de um cookie. A) Exibir anúncios direcionados para os interesses do usuário, usando informações do navegador B) Identificar usuários, registrar as preferências dos usuários e salvar informações para login no site C) Redirecionar o usuário para outro servidor da web que possa conter um código malicioso prejudicial D) Salvar o histórico do navegador, permitindo que o usuário volte com facilidade a uma página da web encontrada anteriormente.
25) Uma determinada empresa responsável por processar dados pessoais precisa trocar o provedor de uma aplicativo, de modo que a
nova estrutura esteja na nuvem. Antes de efetuar esta mudança, qual aspecto precisa ser analisado para garantir a conformidade com o
GDPR? A) Verificar se os controles são adequados para proteger os dados
B) Verificar se algum regulamento relacionado à proteção de dados foi alterado C) Verificar se os dados que foram coletados ainda não relevantes e adequados D) Analisar a capacidade do processador em suprir os requisitos de segurança.
26) As empresas devem possuir controles que lhe permitam demonstrar plena conformidade com o General Data Protection Regulation
(GDPR).
De acordo com o GDPR, aponte a opção que NÃO representa um item obrigatório. A) Manutenção de um controle que contenha as notificações enviadas à autoridade supervisora, em relação ao
processamento dos dados pessoais B) Manutenção de um controle que relacione as violações de dados juntamente com as características relevantes, bem com as
notificações C) Um controle de processamento contendo metas e justificativas legais D) Controle de processadores, incluindo os dados pessoais fornecidos e o período pelo qual estes dados podem ser retidos.
27) Qual é o prazo que o controlador deve notificar a autoridade de supervisão em caso de violação de dados pessoais que implica em
risco para os direitos e liberdades das pessoas singulares? A) 72 horas B) 85 horas C) 24 horas D) 36 horas.
28) Após aparecer em uma foto publicada por um vizinho em uma rede social, uma pessoa relatou que não se sentiu confortável e
deseja que a foto seja retirada da rede.
De acordo com o GDPR, essa pessoa possui o direito de exclusão da foto da mídia social por parte do vizinho? A) Sim B) Não.
29) Qual das alternativas abaixo descreve a finalidade do Gerenciamento de Ciclo de Vida dos Dados (DLM) no cumprimento do
GDPR? A) Garantir que os dados pessoais estão corretos e atualizados mediante um gerenciamento eficaz B) Garantir um nível apropriado de proteção de dados durante alguns estágios do ciclo de vida dos dados C) Garantir o processamento de dados em conformidade com o GDPR durante toda a sua vida útil D) Garantir que os dados sejam tratados apenas pelas partes autorizadas.
30) O dono de um estabelecimento deseja utilizar uma tecnologia que detecta o sinal WiFi específico do smartphone dos visitante, afim
de estimar quantos visitantes entram em sua loja diariamente. O dono do estabelecimento não tem como identificar o proprietário do
smartphone a partir do sinal, porém, o provedor de serviço de conexão móvel é capaz de identificar o proprietário através do cruzamento de informações complementares. De acordo com o GDPR, o dono do estabelecimento pode utilizar esta tecnologia? A) Sim B) Não.
31) Qual tipo de transferência de dados é permitido fora da Área Econômica Europeia? A) As que são direcionadas por Regras Corporativas Compulsórias B) As que se baseiam nas leis do país envolvido C) As que são realizadas internamente por uma corporação ou ONG D) As que dependem do cumprimento às regras da Organização Mundial do Comércio.
32) Após cadastrar-se num site de promoções, uma pessoa recebe e-mails com ofertas desde então. No entanto, ela deseja que a
empresa cesse o envio dos e-mails publicitários e, além disso, exclua todos os seus dados pessoais.
Qual aspecto abaixo define o direito reivindicado pelo titular dos dados? A) O direito à retificação da informação B) O direito à restrição do processamento de seus dados C) O direito à retirada de autorização de processamento D) O direito à exclusão / apagamento.
33) O relatório de Avaliação de Impacto sobre a Proteção de Dados (AIPD) consiste em vários tópicos. Um dos tópicos contém a
seguinte questão: "A qualidade dos dados é garantida, ou seja, os dados são atualizados, corretos e completos?"
A que tópico a questão acima pertence? A) Segurança dos dados B) A coleta dos dados C) Utilização dos dados D) Tipo do projeto.
34) O artigo 33 do General Data Protection Regulation (GDPR) declara que o controlador tem a obrigação de notificar uma violação de
dados pessoais à autoridade supervisora sem demora justificada, no máximo 72 horas depois de ter conhecimento do ocorrido.
Caso o controlador não cumpra esta obrigação, qual é a multa máxima prevista? A) O montante maior entre € 10 milhões e 2% do faturamento anual B) O montante maior entre € 20 milhões e 4% do faturamento anual C) O montante mínimo de € 120 mil até € 500 mil D) O montante mínimo de € 350 mil até 820 mil.
35) Qual das opções abaixo descreve corretamente o direito à portabilidade dos dados, que é reivindicado pelo titular dos dados? A) O titular dos dados tem o direito de solicitar a transferência dos seus dados pessoais para outro controlador B) O controlador possui poder para transferir os dados pessoais do titular dos dados para outra empresa C) O titular tem o direito de corrigir seus dados diretamente no banco de dados do controlador D) A autoridade supervisora deve autorizar a transferência dos dados entre as organizações.
36) No ato do pagamento de uma compra, o cartão de crédito utilizado é clonado. A tarja magnética do cartão contém diversos dados
do titular do cartão, como seu nome, endereço, número da conta e senha, e esses dados foram furtados.
Sabendo disso, em qual categoria essa violação de dados enquadra-se? A) Material B) Verbal C) Ciberespaço / não-material.
37) Qual das opções abaixo demonstra a principal diferença entre a diretiva 95/46/CE e o General Data Protection Regulation (GDPR)? A) A diretiva 95/46/CE é aplicável ao processamentos de dados sobre os residentes da Área Econômica Europeia. Já o GDPR age em âmbitos mais restritos B) A diretiva 95/46/CE é uma orientação, enquanto o GDPR é obrigatório para todos os países membros da Área
Econômica Europeia C) O General Data Protection Regulation (GDPR) é aplicável a todas as pessoas e empresas que processam dados pessoais
dentros dos países pertencentes à Área Econômica Europeia, enquanto a diretiva 95/46/CE é mais limitada neste sentido D) O GDPR é uma orientação, enquanto a diretiva 95/46/CE é obrigatória para todos os países membros da Área Econômica
Europeia.
38) De acordo com o General Data Protection Regulation (GDPR), qual é a definição de privacidade? A) É o direito ao respeito pela vida privada de uma pessoa, em seu âmbito familiar e de sua correpondência B) Um cenário onde uma pessoa não possa ser espionada pelo governo ou incomodadas por outras pessoas C) O direito que uma pessoa pode exercer para proteger sua integridade mental e física D) O direito fundamental à proteção de dados pessoais, independentemente do modo como estes foram obtidos.
39) Melhorar a viabilidade de um projeto é um dos objetivos de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). De que
forma isto é possível? A) Uma AIPD documenta o caso (business case) e os benefícios do projeto junto às partes interessadas. B) Uma AIPD fornece a evidência do orçamento total necessário para o projeto C) Uma AIPD examina os requisitos técnicos para um projeto bem-sucedido. D) Uma AIPD pesquisa possíveis problemas para que possam ser mitigados antecipadamente.
40) Uma empresa multinacional com sede em Bruxelas (Bélgica) deseja compartilhar dados pessoais dos seus colaboradores com suas
filiais situadas dentro e fora da Área Econômica Europeia. A) Uma decisão de adequação decretada pela Comissão Europeia ou pelo Supervisor Europeu de Proteção de Dado B) Regras Corporativas Compulsórias aprovadas pelas autoridades supervisoras em todos os países da UE onde a
empresa tiver uma filial C) Regras Corporativas Compulsórias aprovadas pelo Supervisor Europeu de Proteção de Dados.
|
