2025年GDPR培训数据保护与合规测试试卷及答案.docxVIP

2025年GDPR培训:数据保护与合规测试试卷及答案

一、单项选择题

1.根据GDPR规定，数据控制者对个人数据处理活动承担主要责任。以下哪项不属于数据控制者的核心义务？

A.制定并实施数据保护政策

B.向数据主体提供处理活动的透明度信息

C.为数据处理者的违规行为承担连带责任

D.开展数据保护影响评估（DPIA）

答案：C

解析：数据控制者需对自身处理活动负责，但仅在数据处理者未履行合同义务时承担连带责任（GDPR第28条），而非直接承担所有违规责任。

2.数据主体行使“被遗忘权”（RighttoErasure）时，以下哪种情形不属于GDPR规定的可执行范围？

A.个人数据已无必要用于收集目的

B.数据主体撤回了最初的同意且无其他合法处理依据

C.数据控制者因技术故障导致数据错误存储

D.数据处理基于公共利益且存在更高优先的公共利益需求

答案：D

解析：GDPR第17条明确，若处理基于公共利益且公共利益优先于数据主体权益，数据控制者可拒绝被遗忘权请求。

3.GDPR对“敏感个人数据”的定义不包括以下哪类信息？

A.种族或民族出身

B.政治观点

C.电子邮箱地址

D.健康数据

答案：C

解析：GDPR第9条规定，敏感数据包括种族、政治观点、健康等，电子邮箱地址属于普通个人数据（GDPR第4条）。

4.数据控制者向第三方传输个人数据时，若接收方所在国未被欧盟认定为“充分保护水平”，必须采用的合规机制是？

A.仅需获得数据主体书面同意

B.签订欧盟标准合同条款（SCCs）

C.由接收方自行声明保护措施

D.向欧盟数据保护委员会（EDPB）备案

答案：B

解析：GDPR第46条规定，跨境传输需通过SCCs、约束性公司规则（BCRs）等机制确保等效保护，其中SCCs为最常见方式。

5.数据泄露事件发生后，数据控制者向监管机构报告的最长时限是？

A.24小时

B.48小时

C.72小时

D.7天

答案：C

解析：GDPR第33条要求，若数据泄露可能对数据主体权利造成高风险，控制者应在知悉后72小时内报告监管机构。

6.以下哪项是GDPR对“数据保护官（DPO）”的强制任命条件？

A.处理活动涉及大规模监控（如公共区域摄像头）

B.企业年营收超过2000万欧元

C.员工人数超过250人

D.仅处理匿名化数据

答案：A

解析：GDPR第37条规定，当处理活动涉及大规模监控（如公共空间监控、系统性跟踪）时，必须任命DPO。

7.数据主体行使“数据可携带权”（RighttoDataPortability）时，数据控制者需提供的个人数据格式应满足？

A.任意电子格式

B.结构化、通用且机器可读的格式

C.仅PDF或Word文档

D.数据控制者自定义的专有格式

答案：B

解析：GDPR第20条明确，数据可携带权要求数据以结构化、通用且机器可读的格式提供，便于数据主体转移至其他控制者。

8.GDPR规定的最高行政罚款额度为？

A.2000万欧元或企业全球年营收的2%（取较高值）

B.4000万欧元或企业全球年营收的4%（取较高值）

C.1000万欧元或企业全球年营收的1%（取较高值）

D.5000万欧元或企业全球年营收的5%（取较高值）

答案：B

解析：GDPR第83条规定，最严重违规（如侵犯数据主体核心权利）的罚款为4000万欧元或全球年营收的4%（取较高值）。

9.以下哪种情形可作为GDPR下“合法处理个人数据”的依据？

A.数据控制者认为处理符合自身商业利益

B.数据主体未明确反对处理

C.处理是履行数据主体与控制者签订的合同所必需

D.数据已被匿名化处理

答案：C

解析：GDPR第6条规定，合法处理依据包括合同履行（第6(1)(b)款）、数据主体同意（第6(1)(a)款）等，匿名化数据不属于个人数据（GDPR第4条）。

10.数据控制者在收集儿童个人数据时，需特别满足的合规要求是？

A.仅需获得儿童本人同意

B.需获得儿童父母或监护人的同意（欧盟多数成员国规定年龄为16岁以下）

C.无需额外同意，因儿童数据属于普通个人数据

D.需向监管机构提前备案收集目的

答案：B

解析：GDPR第8条规定，处理16岁以下儿童个人数据需获得父母或监护人同意（成员国可降低至13岁）。

二、多项选择题

11.GDPR规定的数据主体核心权利包括以下哪些？

A.访问权（RightofAccess）

B.修正权（RighttoRectification）

C.限制处理权（RighttoRestriction）

D.反对权（RighttoObject）

答案：ABCD

解析：GDPR第15-21条明确规定了数据主体的访问、修正、限制处理