2025年GDPR培训模拟试题解析与答案.docxVIP

2025年GDPR培训模拟试题解析与答案

一、单项选择题

1.根据GDPR规定，数据控制者因数据泄露可能造成数据主体权利受损时，需向监管机构履行通知义务的最长时限是？

A.24小时

B.48小时

C.72小时

D.96小时

答案：C

解析：GDPR第33条明确规定，数据控制者在意识到数据泄露后，若可能对数据主体的权利和自由造成高风险，应在不迟于72小时内通知监管机构；若延迟通知，需说明合理理由。

2.以下哪项不属于GDPR规定的数据主体核心权利？

A.访问权（RightofAccess）

B.遗忘权（RighttoErasure）

C.数据可携带权（RighttoDataPortability）

D.数据修改权（RighttoModification）

答案：D

解析：GDPR第15-21条规定的数据主体权利包括访问权、更正权（非修改权）、删除权（遗忘权）、限制处理权、数据可携带权和反对权。“数据修改权”并非GDPR法定术语。

3.企业作为数据控制者，若需将个人数据从欧盟境内传输至第三国，最常见的合法依据是？

A.数据主体明确同意

B.签署欧盟认可的标准合同条款（SCCs）

C.第三国被欧盟认定为具有充分保护水平

D.传输为履行公共利益任务所必需

答案：B

解析：GDPR第46条规定，跨境数据传输的合法依据包括第三国充分性认定、标准合同条款（SCCs）、约束性公司规则（BCRs）等。实践中，企业最常采用签署SCCs的方式。

4.GDPR对“敏感个人数据”的定义不包括以下哪类信息？

A.种族或民族出身

B.政治观点

C.健康数据

D.普通通信记录

答案：D

解析：GDPR第9条规定，敏感个人数据包括种族/民族、政治观点、宗教/哲学信仰、工会成员身份、基因数据、生物识别数据、健康数据、性生活或性取向。普通通信记录（如邮件内容）若未涉及上述类别，不属于敏感数据。

5.数据控制者未按GDPR要求进行数据保护影响评估（DPIA），可能面临的最高罚款是？

A.100万欧元或全球年营业额2%（取其高）

B.200万欧元或全球年营业额4%（取其高）

C.500万欧元或全球年营业额5%（取其高）

D.无直接罚款，仅需补正

答案：A

解析：GDPR第83条规定，未履行DPIA、未指定数据保护官（DPO）等一般违规行为，最高罚款为100万欧元或上一财年全球营业额的2%（以较高者为准）。

6.以下哪类企业无需强制指定数据保护官（DPO）？

A.欧盟成员国政府机构（除法院外）

B.核心业务为大规模处理敏感数据的企业

C.年处理10万人以上个人数据的电商平台

D.仅偶尔处理员工考勤数据的小型企业

答案：D

解析：GDPR第37条规定，需强制指定DPO的情形包括：公共机构（除法院）、核心业务为大规模处理敏感数据或犯罪记录数据的控制者/处理者。仅偶尔处理非敏感数据的小型企业无需强制指定。

7.数据主体行使“数据可携带权”时，控制者需提供的数据格式应满足？

A.任意机器可读格式

B.控制者自行定义的专有格式

C.常用、结构化、机器可读的标准格式（如CSV、JSON）

D.仅纸质文档形式

答案：C

解析：GDPR第20条规定，数据可携带权要求控制者以“常用、结构化、机器可读的格式”提供数据，以便数据主体轻松传输至其他控制者。

8.GDPR中“数据处理”的定义不包括以下哪项行为？

A.收集、记录个人数据

B.销毁不再需要的个人数据

C.对数据进行统计分析

D.仅存储未进行任何操作的数据

答案：D

解析：GDPR第4条定义“数据处理”为通过自动化或非自动化方式对个人数据进行的任何操作，包括收集、记录、组织、结构化、存储、调整/修改、检索、咨询、使用、披露（传输、传播等）、排列/组合、限制、删除或销毁。仅存储未操作的数据不属于“处理”。

9.企业因合并导致数据控制者变更时，新控制者需履行的首要义务是？

A.立即删除原控制者持有的所有个人数据

B.向数据主体告知控制者变更的信息

C.重新获得所有数据主体的同意

D.无需额外操作，自动继承原控制者权利

答案：B

解析：GDPR第13条要求，控制者变更时，新控制者需向数据主体告知新控制者的身份、联系方式、数据处理目的等关键信息，确保数据主体知情权。

10.以下哪种情形可作为数据处理的“合法利益”基础？

A.保险公司为评估客户信用风险，处理其医疗记录

B.超市为优化促销策略，处理会员消费记录

C.社交媒体平台为防止用户欺诈，处理用户位置数据

D.广告公司为精准推送广告，处理用户浏览记录

答案：C

解析：GDPR第6(1)(f)条规定“合法利益”需满足：控制者利益或第三方利益超过数据主体权益，且数据主体无特殊情形