2025年GDPR合规培训试题及答案解析.docxVIP

2025年GDPR合规培训试题及答案解析

一、单项选择题（共10题，每题3分，共30分）

1.根据GDPR规定，以下哪类主体必须遵守GDPR要求？

A.仅在欧盟境内设立的企业

B.在欧盟境内设立的企业，或虽未设立但向欧盟境内数据主体提供商品/服务、监控其行为的企业

C.全球年营收超过1000万欧元的跨国企业

D.仅处理欧盟公民医疗数据的非欧盟企业

答案：B

解析：GDPR第3条明确适用范围包括两类主体：一是在欧盟境内设立的实体（无论数据处理是否发生在欧盟）；二是未在欧盟设立但向欧盟数据主体提供商品/服务（无论是否收费）、或监控其行为的实体（第3(2)条）。

2.数据主体行使“被遗忘权”（RighttoErasure）时，数据控制者必须删除数据的情形不包括？

A.数据已无必要实现原收集目的

B.数据主体撤回同意且无其他合法处理依据

C.数据主体因儿童身份要求删除（针对儿童个人数据）

D.数据控制者认为删除会影响公共利益

答案：D

解析：GDPR第17条规定，数据控制者需删除数据的情形包括：数据不再必要、同意撤回且无其他依据、儿童要求删除等。但公共利益（如科学研究、公共健康）属于例外情形（第17(3)条），此时可不删除。

3.数据控制者（Controller）与数据处理者（Processor）的核心区别是？

A.控制者制定处理目的和方式，处理者仅按控制者指令处理

B.控制者需承担法律责任，处理者无需担责

C.控制者处理个人数据，处理者处理匿名化数据

D.控制者需进行数据保护影响评估（DPIA），处理者无需

答案：A

解析：GDPR第4(7)条定义控制者为“单独或共同决定个人数据处理目的和方式的自然人/法人”；第4(8)条定义处理者为“代表控制者处理个人数据的自然人/法人”（仅按控制者指令操作）。

4.数据泄露事件发生后，数据控制者向监管机构（如欧盟数据保护委员会）报告的最长时限是？

A.24小时

B.48小时

C.72小时

D.10个工作日

答案：C

解析：GDPR第33(2)条规定，若数据泄露可能对数据主体权利和自由造成高风险，控制者应在“知悉泄露后72小时内”报告监管机构，无正当理由不得延迟。

5.以下哪项不属于数据主体的法定权利？

A.访问权（RightofAccess）

B.修正权（RighttoRectification）

C.限制处理权（RighttoRestriction）

D.要求数据控制者公开所有处理记录的权利

答案：D

解析：GDPR第15-22条规定数据主体权利包括访问、修正、删除、限制处理、数据可携带等，但未要求控制者公开所有处理记录（仅需提供与主体相关的处理信息）。

6.GDPR对“个人数据”的定义核心是？

A.任何与已识别或可识别的自然人相关的信息

B.仅包括姓名、身份证号等直接标识符

C.不包括通过技术手段匿名化的数据

D.仅适用于电子形式存储的数据

答案：A

解析：GDPR第4(1)条定义“个人数据”为“与已识别或可识别的自然人（数据主体）相关的任何信息”，包括间接标识符（如IP地址、位置数据），且不限于电子形式（第2条）。

7.数据控制者进行数据跨境传输（从欧盟到第三国）时，必须满足的条件是？

A.第三国被欧盟委员会认定为“充分保护水平”

B.采用欧盟认可的标准合同条款（SCCs）

C.通过约束性公司规则（BCRs）

D.以上任意一种

答案：D

解析：GDPR第44-49条规定跨境传输的合法途径包括：第三国获“充分性认定”（第45条）、使用SCCs（第46(2)(c)条）、BCRs（第47条）、数据主体明确同意（第49(1)(a)条）等。

8.以下哪种情形可作为数据处理的合法依据？

A.数据控制者认为处理符合自身商业利益

B.数据主体未明确反对（默认同意）

C.处理是履行与数据主体签订的合同所必需

D.处理目的与原始收集目的存在合理关联但未告知

答案：C

解析：GDPR第6(1)条规定合法依据包括：数据主体同意（需明确、可撤回）、履行合同必需（第6(1)(b)）、控制者或第三方的重大利益（第6(1)(f)，需平衡主体权益）等。默认同意不合法（第7(2)条）。

9.数据保护影响评估（DPIA）的触发条件不包括？

A.处理涉及大规模特殊类别数据（如健康、种族）

B.采用自动化决策（如AI评分系统）

C.处理普通个人数据且风险较低

D.系统性监控公共场所（如大规模摄像头部署）

答案：C

解析：GDPR第35(3)条规定需开展DPIA的情形包括：高风险处理（如特殊类别数据、自动化决策、系统性监控）；低风险处理无需（第35(1)条）。

10.GDPR对违规行为的最高罚款额度是？

A.2000万欧元或