Questionmark Perception
Dez 04 2021 |
Conectado como : candidado
Alterar o tamanho da letra

Introdução

Introdução

Este é o exame simulado EXIN Privacy & Data Protection Practitioner (PDPP.PR). As regras e regulamentos do exame do EXIN se aplicam a este exame.

Este exame consiste de 40 questões de múltipla escolha. Cada questão de múltipla escolha possui um certo número de alternativas de resposta, entre as quais apenas uma resposta é a correta.

O número máximo de pontos que pode ser obtido neste exame é 40. Cada resposta correta vale 1 ponto. Você precisa de 26 pontos ou mais para passar no exame.

O tempo permitido para este exame é de 120 minutos.

Você é autorizado a utilizar o GDPR durante todo este exame. Por favor clique no link para abrir-la. Caso você feche o documento, utilize o botão Navegador (Navigator) para retornar à introdução (ponto final antes da questão 1) e clique no link novamente.

Boa Sorte!





Copyright © EXIN Holding B.V. 2020. All rights reserved.
EXIN® is a registered trademark.

Pergunta

1  de 40
Uma empresa implementa uma política de privacidade, que ajuda a demonstrar a conformidade com o GDPR. É recomendável que essa política seja publicamente acessível por várias razões.

Qual é a principal razão para disponibilizar publicamente a política de privacidade?

Pergunta

2  de 40
De acordo com o GDPR, qual informação não constitui uma parte obrigatória de uma política de privacidade?

Pergunta

3  de 40
O GDPR adota os princípios de privacidade desde a concepção (by design) e por padrão (by default). A aplicação desses princípios inclui a implementação de medidas técnicas e organizacionais.

Por que as medidas organizacionais são necessárias?

Pergunta

4  de 40
Uma empresa está elaborando um projeto para criar um novo serviço gratuito para os consumidores.

De acordo com a privacidade desde a concepção (by design), qual é o momento mais desejável para a discussão da proteção de dados?

Pergunta

5  de 40
A montagem de um Sistema de Gestão de Proteção de Dados (SGPD) é realizada em fases. A primeira fase do desenvolvimento de um SGPD é chamada de Preparação para Proteção de Dados e Privacidade. Uma etapa desta fase consiste em realizar auditorias e avaliações de dados iniciais.

Por que essas auditorias e avaliações de dados devem ser realizadas na fase de Preparação para Proteção de Dados e Privacidade da montagem de um SGPD?

Pergunta

6  de 40
Uma organização deseja se adequar ao GDPR. Ela está desenvolvendo um Sistema de Gestão de Proteção de Dados (SGPD). A construção do SGPD está na primeira fase: Preparação para Proteção de Dados e Privacidade.

O Data Protection Officer (DPO) esboçou uma estrutura de governança, estabeleceu fluxos de dados, criou um inventário de dados pessoais e estabeleceu todos os três elementos do programa de proteção de dados e privacidade (etapa 7).

Qual é a última etapa da primeira fase da montagem de um SGPD?

Pergunta

7  de 40
Uma empresa deseja desenvolver um Sistema de Gestão de Proteção de Dados (SGPD). A primeira fase do desenvolvimento de um SGPD consiste na Preparação para Proteção de Dados e Privacidade.

Que etapa não pertence a essa primeira fase?

Pergunta

8  de 40
Uma empresa deseja montar um Sistema de Gestão de Proteção de Dados (SGPD). A segunda fase do desenvolvimento de um SGPD é chamada Organização da Proteção de Dados e Privacidade. Uma das etapas da fase 2 tem o seguinte objetivo:

integrar o pensamento sobre a proteção de dados e privacidade a toda a empresa e a todas as suas funções.

Qual etapa da fase 2 tem este objetivo?

Pergunta

9  de 40
Um Data Protection Officer (DPO) percebe a importância de manter uma comunicação regular com todos os outros indivíduos indicados que sejam responsáveis pela proteção de dados e privacidade. Esse grupo de indivíduos deve trabalhar no sentido de um resultado para toda a organização, em relação à proteção de dados e privacidade.

Que resultado beneficia mais a organização?

Pergunta

10  de 40
Se uma organização quiser desenvolver, implementar e gerenciar um Sistema de Gestão de Proteção de Dados (SGPD), isso é feito em várias fases. A implementação do SGPD tem cinco fases, a saber: preparação, organização, implementação do desenvolvimento, governança e avaliação e melhoria.

As fases de implementação de um SGPD podem ser comparadas a quê?

Pergunta

11  de 40
Um elemento central do GDPR é o fato de que uma organização deve demonstrar a conformidade. A implementação de um Sistema de Gestão de Proteção de Dados (SGPD) pode ajudar a demonstrar a conformidade.

Qual fase da implementação de um SGPD demonstra melhor a conformidade com o GDPR?

Pergunta

12  de 40
Um Data Protection Officer (DPO) desenvolve e implementa um Sistema de Gestão de Proteção de Dados e Privacidade (SGPD). A implementação está na fase 3: Desenvolvimento e Implementação da Proteção de Dados e Privacidade.

O que deve ser realizado primeiro na fase 3?

Pergunta

13  de 40
Um plano de resposta à violação de dados pessoais descreve as seguintes ações:

- Um provedor externo responde à violação, fornece serviços de relações públicas e auxilia na minimização do dano.
- O Data Protection Officer (DPO) solicita suporte da autoridade supervisora.
- O processador notifica os parceiros de negócios e os titulares dos dados sobre a violação de dados e solicita seu suporte.

Quem tem a maior probabilidade de minimizar o impacto para terceiros e os titulares dos dados?

Pergunta

14  de 40
Três instituições de saúde estão trabalhando em conjunto no desenvolvimento de um aplicativo de celular para monitoramento de pacientes. O time médico insere seus dados pessoais e qualificações no aplicativo e os pacientes adicionam seus dados pessoais, incluindo dados médicos.

As instituições de saúde indicam um único Data Protection Officer (DPO). Para executar uma versão piloto, eles precisam colocar o aplicativo nas lojas de aplicativos. Após sua introdução nas lojas de aplicativos, a segurança do novo aplicativo é testada. Como precaução de segurança, a descrição declara que o aplicativo está na fase piloto. Apenas alguns poucos titulares dos dados baixam o aplicativo para testar, mas eles o utilizam de verdade e inserem dados reais.

O teste mostra que o aplicativo não é nem um pouco seguro. Ele pode ser facilmente atacado por hackers. Um hacker poderia alterar os dados de saúde dos pacientes, além de coletar e usar os dados de modos não autorizados.

De acordo com o GDPR, o que o DPO deve fazer?

Pergunta

15  de 40
A conformidade com o GDPR pode ser auxiliada pela implementação de um regime de gerenciamento de incidentes sistemático.

Qual seria uma descrição de um processo de gerenciamento de incidentes eficaz?

Pergunta

16  de 40
O CEO pediu que o time de privacidade avalie a organização em termos de desempenho de proteção de dados e privacidade. Um benchmark (referência comparativa) seria um modo adequado de determinar objetivamente como está o desempenho da organização.

O que o benchmark de privacidade não cobre?

Pergunta

17  de 40
Uma organização deseja usar inteligência artificial (IA) e algoritmos de aprendizagem profunda no departamento de recursos humanos (RH) para examinar as relações de emprego, criar perfis de qualificações de funcionários e definir bônus para objetivos individuais.

O que deve ser feito inicialmente e antes da implementação deste novo tipo de processamento de dados pessoais?

Pergunta

18  de 40
De acordo com o GDPR, qual atividade é sempre uma responsabilidade do controlador?

Pergunta

19  de 40
Um hospital terceiriza a impressão das faturas dos pacientes a uma gráfica. A gráfica também imprime faturas para outras organizações.

Devido a um erro, os nomes e endereços foram misturados durante a separação na gráfica e algumas faturas foram enviadas aos pacientes errados.

O hospital tinha analisado cuidadosamente seus próprios processos. O hospital tinha um processo de verificação robusto em vigor e acordos contratuais com a gráfica.

Por que o hospital será responsabilizado pela autoridade supervisora?

Pergunta

20  de 40
Quando um controlador e um processador assinam um contrato para o processamento de dados pessoais, ambos têm responsabilidades específicas. Algumas dessas responsabilidades são estipuladas pelo GDPR e outras podem ser dispostas no contrato.

De acordo com o GDPR, quando o processador sempre precisa de uma autorização por escrito do controlador?

Pergunta

21  de 40
Quem tem a obrigação legal de manter os registros das atividades de processamento?

Pergunta

22  de 40
Uma organização norte-americana situada na Área Econômica Europeia (AEE) processa dados pessoais de pessoas físicas. Ela processa dados étnicos em larga escala.

De acordo com o GDPR, uma organização deve indicar um Data Protection Officer (DPO) em três casos específicos.

Neste caso, por qual motivo é obrigatório que a organização indique um DPO?

Pergunta

23  de 40
Um Data Protection Officer (DPO) trabalha para o Ministério dos Transportes, que é um departamento nacional.

Um novo projeto é anunciado para monitorar o comportamento das pessoas ao dirigir nas rodovias nacionais. O Ministério deseja usar um sistema inteligente de análise de vídeo para discriminar os carros e automaticamente reconhecer os números das placas.

O secretário de Estado tem pressa para iniciar o projeto e expressa a preocupação de que as questões de privacidade possam provocar atrasos indesejáveis.

O que o DPO deve fazer?

Pergunta

24  de 40
Os Data Protection Officers (DPOs) são limitados por sigilo ou confidencialidade em relação ao desempenho de suas tarefas.

Em relação a qual parte o DPO está isento desse sigilo ou confidencialidade para buscar orientação?

Pergunta

25  de 40
Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é uma ferramenta para identificar riscos à proteção de dados, em especial aqueles que provavelmente terão um grande efeito sobre os direitos e as liberdades de pessoas físicas.

Por que a DPIA pode ser vista como parte do gerenciamento de riscos mais amplo de uma organização?

Pergunta

26  de 40
De acordo com o GDPR, o que deve sempre fazer parte de uma DPIA?

Pergunta

27  de 40
Uma organização desenvolve um novo produto para detectar funcionários com desempenho inferior. Ela pesquisa seu histórico na internet e analisa seu comportamento no trabalho usando inteligência artificial (IA).

Embora os engenheiros de software não compreendam totalmente o algoritmo, a gerência decide demitir os funcionários incluídos na faixa de 10% mais inferior.

O Data Protection Officer (DPO) está preocupado com o impacto desse produto e informa a diretoria que é necessária uma Avaliação de Impacto sobre a Proteção de Dados (DPIA).

Qual opção não faz parte do motivo pelo qual uma DPIA é obrigatória?

Pergunta

28  de 40
O que não é considerado um resultado de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA)?

Pergunta

29  de 40
O GDPR detalha o que deve estar contido no resultado de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA), no mínimo.

O que não é obrigatório em uma DPIA?

Pergunta

30  de 40
Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) mostra que o processamento pretendido envolve a coleta de mais dados sobre clientes individuais que o necessário para obter o objetivo desejado.

De acordo com o GDPR, qual é a resposta mais apropriada?

Pergunta

31  de 40
O que é melhor fazer primeiro, antes de iniciar uma Avaliação de Impacto sobre a Proteção de Dados (DPIA)?

Pergunta

32  de 40
Uma empresa realiza uma Avaliação de Impacto sobre a Proteção de Dados (DPIA).

Por que o mapeamento dos dados é útil em uma DPIA?

Pergunta

33  de 40
Um especialista em privacidade é contratado por uma organização. Ela deseja terceirizar parte de suas atividades de processamento dos dados. O especialista realiza uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) do processamento que envolve um processador de dados.

Uma das principais etapas de uma DPIA requer que o controlador forneça todas as informações e não requer o envolvimento do processador.

Que etapa é essa?

Pergunta

34  de 40
Uma grande empresa está tendo dificuldades financeiras. A diretoria quer que os funcionários trabalhem com mais eficiência.

A diretoria inicia uma experiência, na qual as atividades dos funcionários na internet são monitoradas. Os dados são analisados para verificar onde é possível obter maior eficiência. As pessoas classificadas como ineficientes poderão ser demitidas.

Por que uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) deve ser realizada antes de utilizar o novo procedimento?

Pergunta

35  de 40
Uma organização pretende tomar decisões automatizadas sobre seus clientes, com base na definição de perfis.

Que parte da Avaliação de Impacto sobre a Proteção de Dados (DPIA) requer uma atenção extra?

Pergunta

36  de 40
O GDPR declara que as organizações devem buscar modos de prevenir violações de dados pessoais. Portanto, é importante reconhecer rapidamente incidentes que possam ser classificados como violações de dados pessoais.

De acordo com o GDPR, que incidente não constitui uma violação de dados pessoais?

Pergunta

37  de 40
Em que situação o relato de uma violação de dados pessoais à autoridade supervisora é necessário?

Pergunta

38  de 40
O chefe do departamento de Recursos Humanos (RH) perdeu um pendrive contendo as informações pessoais de 35 funcionários. O pendrive é protegido por criptografia robusta. O departamento de RH também tem essas informações pessoais armazenadas em um dispositivo de cópia de segurança.

De acordo com o GDPR, é obrigatório relatar essa violação de dados pessoais à autoridade supervisora?

Pergunta

39  de 40
De acordo com o GDPR, em que situação uma violação de dados pessoais deve ser relatada aos titulares dos dados afetados?

Pergunta

40  de 40
No processo de resposta a incidentes para melhor prática, são definidas as fases de Preparação, Resposta e Acompanhamento. Em cada fase, a documentação é essencial.

Na fase de Resposta, é importante reunir e preservar as evidências para mostrar por que um incidente ocorreu e por que a organização não foi capaz de prevenir o incidente.

O que deve ser reunido e preservado?