DPO Quiz - PDPA Thailand

DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO

ชวนทำแบบทดสอบประเมินตนเอง ท่านมีความรู้เกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA อย่างไร?

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) ร่วมจัดทำ DPO Quiz แบบทดสอบเพื่อใช้วัดและประเมินความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO (Data Protection Office หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ตามกฎหมาย PDPA

หากท่านได้รับมอบหมายให้เป็น DPO หรือมีความสนใจและประสงค์จะเป็น DPO ขององค์กร เช็กให้ชัวร์ ว่าท่านรู้จริงหรือไม่? ด้วย DPO Quiz แบบทดสอบประเมินตนเองแบบปรนัย จำนวน 20 ข้อ ทดสอบและทราบผลสอบทันที แถมยังทดสอบได้มากกว่า 1 ครั้ง

ทั้งนี้ PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอความยินยอมจากท่านในการให้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่าน โปรดทำเครื่องหมายเพื่อให้ความยินยอมในการใช้ข้อมูลที่จะเก็บรวบรวมและใช้ในการจัดทำ DPO Quiz แบบทดสอบ เพื่อนำไปจัดทำข้อมูลเกี่ยวกับ DPO หรือการให้คำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลต่อไป

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอเก็บรวบรวม

และใช้ข้อมูลส่วนบุคคลของท่าน ในการร่วมทำ DPO Quiz นี้

ได้แก่ IP Address, การเลือกคำตอบ และผลคะแนนการทดสอบ เพื่อนำไปพัฒนาสินค้าและ

บริการเกี่ยวกับ PDPA โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

โปรดทำเครื่องหมายเพื่อให้ความยินยอม

1 / 20

มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลว่าไม่จำต้องครอบคลุมหลักการใด

หลักธำรงไว้ซึ่งความลับ

หลักความถูกต้องครบถ้วน

หลักความพร้อมใช้งาน

หลักความแน่นอนชัดเจน

2 / 20

กรมการกงสุล ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ถูกกำหนดให้ต้องมี

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

3 / 20

ผู้ให้บริการด้านการแพทย์ส่งเวชระเบียนให้กับคนไข้ผิดโดยไม่ได้ตั้งใจ ขอถามว่า PDPA เน้นความสำคัญของเรื่องใดเพื่อป้องกันการละเมิดข้อมูลดังกล่าว

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความลับและความถูกต้อง (Confidentiality and Integrity)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

4 / 20

ห้างสรรพสินค้าขนาดใหญ่ มีการใช้กล้องวงจรปิดในพื้นที่ common area เช่น ทางเข้า หน้าร้านค้า อาคารจอดรถ ห้างสรรพสินค้าต้องใช้ฐานทางกฎหมายและเหตุผลข้อใดในการเก็บรวบรวมข้อมูลส่วนบุคคล

ฐานสัญญา เพราะผู้ที่มาใช้บริการผูกพันทางสัญญาและต้องยอมรับเงื่อนไขของห้างสรรพสินค้า

ฐานความยินยอม เพราะกฎหมายบังคับให้ห้างสรรพสินค้าขอความยินยอมผู้มาใช้บริการ

ฐานประโยชน์โดยชอบด้วยกฎหมาย เพราะห้างสรรพสินค้าทำไปเพื่อรักษาความปลอดภัย

ฐานประโยชน์สาธารณะ เพราะห้างสรรพสินค้าถือว่าเป็นอาคารสาธารณะประเภทหนึ่ง

5 / 20

องค์กรที่ตั้งอยู่นอกประเทศไทย จะต้องปฏิบัติตาม PDPA ในกรณีใด

ในกรณีที่องค์กรมีผู้ถือหุ้นสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอสินค้าให้แก่คนสัญชาติจีนที่อาศัยอยู่ในประเทศไทย

ในกรณีที่องค์กรเฝ้าติดตามพฤติกรรมของคนสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอบริการที่ต้องชำระเงินเท่านั้นแก่คนสัญชาติไทยที่อยู่ต่างประเทศ

6 / 20

เจ้าของข้อมูลร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตน องค์กรจะต้องตอบสนองการใช้สิทธิภายในกี่วัน?

30 วัน

45 วัน

60 วัน

15 วัน

7 / 20

สถาบันการเงินแห่งหนึ่งมีสาขาให้บริการทั่วประเทศ ประมวลผลข้อมูลส่วนบุคคลสำหรับบริการทางธนาคารและการใช้งานบัตรเครดิตของลูกค้า สถาบันการเงินมีความจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากเป็นสถาบันการเงิน ได้รับยกเว้นตาม PDPA

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลอย่างสม่ำเสมอและจำนวนมาก

ไม่ต้องแต่งตั้ง เพราะสถาบันการเงินประมวลผลข้อมูลสำหรับบริการทางการเงิน สามารถทำได้โดยชอบตามกฎหมายเกี่ยวกับธุรกิจสถาบันการเงิน

8 / 20

องค์กรประสบกับการละเมิดข้อมูลส่วนบุคคล แต่พวกเขาไม่แน่ใจว่าจำเป็นต้องรายงานไปยังหน่วยงานกำกับดูแลหรือไม่ ตามหลักการ PDPA ข้อใดที่เน้นความสำคัญของการประเมินการละเมิดเพื่อพิจารณาว่าควรรายงานหรือไม่

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักความรับผิดชอบในการกระทำ (Accountability)

ความปลอดภัยของการประมวลผล

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

9 / 20

บริษัทการเงินแห่งหนึ่งเกิดไฟฟ้าขัดข้อง ทำให้ลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคลของตนเองได้ กรณีนี้เป็นการละเมิดข้อมูลส่วนบุคคลหลักการใด

หลักธำรงไว้ซึ่งความลับ

หลักความถูกต้องครบถ้วน

หลักความพร้อมใช้งาน

หลักความแน่นอนชัดเจน

10 / 20

องค์กรที่ได้รับการยกเว้นไม่ต้องปฏิบัติตาม PDPA มาตรา 4 ยังคงต้องปฏิบัติหน้าที่ในข้อใด

จัดให้มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูล

จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย

จัดให้มีมาตรการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

จัดให้มีมาตรการการแจ้งประกาศความเป็นส่วนตัว

11 / 20

เจ้าของข้อมูลส่วนบุคคลทำเรื่องขอเข้าถึงข้อมูลส่วนบุคคล แต่ขอข้อมูลส่วนบุคคลซึ่งปรกติองค์กรไม่ได้ใช้เลย องค์กรควรพิจารณาหลักการ PDPA ข้อใดเพื่อลดคำขอเหล่านี้ในอนาคต?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความปลอดภัยของข้อมูล (Data Security)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

12 / 20

คลินิกทันตกรรมขนาดเล็กในจังหวัดปทุมธานีประมวลผลข้อมูลสุขภาพของผู้ใช้บริการ คลินิกจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากคลินิกประมวลผลข้อมูลอ่อนไหว (Sensitive Data)

ไม่ต้องแต่งตั้ง เนื่องจากเป็นคลินิกขนาดเล็ก จึงได้รับการยกเว้น

ต้องแต่งตั้ง เนื่องจากคลินิกประมวลผลอย่างเป็นระบบ สม่ำเสมอ และจำนวนมาก

ไม่ต้องแต่งตั้ง เนื่องจากคลินิกประมวลผลข้อมูลเพื่อวัตถุประสงค์ด้านการดูแลสุขภาพ

13 / 20

บริษัท e-commerce แห่งหนึ่งได้เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดโดยไม่ได้รับความยินยอมจากลูกค้า บริษัทละเมิดหลักการ ข้อใดของ PDPA?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการความถูกต้องตามกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness & Transparency)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

14 / 20

ธนาคารออมสิน ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

15 / 20

ผู้ควบคุมข้อมูลจะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิจัย โดยกำลังพิจารณาใช้เทคนิคข้อมูลแฝง (Pseudonymized Data) เพื่อปกป้องข้อมูล สิ่งนี้เกี่ยวข้องกับข้อใด

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

16 / 20

องค์กรได้รับคำร้องขอเข้าถึงข้อมูลส่วนบุคคล จากอดีตพนักงานที่ลาออกจากบริษัทเมื่อห้าปีที่แล้ว ภาระผูกพันขององค์กร ภายใต้ PDPA เกี่ยวกับการเก็บรักษาข้อมูลอดีตพนักงานคืออะไร?

ข้อมูลควรถูกลบทันทีเมื่อมีการร้องขอ

ข้อมูลควรได้รับการเก็บรักษาไว้อย่างไม่มีกำหนดเพื่อวัตถุประสงค์ทางกฎหมายที่อาจเกิดขึ้น

ข้อมูลควรถูกเก็บรักษาไว้นานเท่าที่จำเป็น โดยมีฐานกฎหมายรองรับ

ง)ข้อมูลสามารถเก็บรักษาไว้ตามที่องค์กรเห็นสมควร

17 / 20

บริษัทแพลตฟอร์มดิจิทัลให้บริการบนมือถือและอุปกรณ์เคลื่อนที่ ต้องการรวบรวมข้อมูลตำแหน่ง GPS ของผู้ใช้งานเพื่อการพัฒนาปรับปรุงการให้บริการ แต่ว่าต่อมาบริษัทต้องการใช้ข้อมูลชุดเดียวกันสำหรับการโฆษณาแบบกำหนดเป้าหมายโดยไม่ขอความยินยอม บริษัทอาจละเมิดหลักการ PDPA?

หลักการเคลื่อนย้ายข้อมูล (Data Flow)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

18 / 20

บริษัทขนส่งสินค้าแห่งหนึ่งประสบปัญหาการละเมิดข้อมูลที่เปิดเผยชื่อลูกค้า ข้อมูลที่อยู่ และอีเมล ภายใต้ PDPA บริษัทต้องใช้เกณฑ์ใดในการรายงานการละเมิดดังกล่าวต่อหน่วยงานกำกับดูแล

การละเมิดใดข้อมูลส่วนบุคคลจะต้องได้รายงานเสมอ ไม่ว่าจะมีความเสี่ยงหรือไม่ก็ตาม

ควรรายงานเฉพาะการละเมิดที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน (Sensitive Data) เท่านั้น

จะต้องรายงานการละเมิดหากมีแนวโน้มว่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

ไม่จำเป็นต้องรายงานการละเมิดที่ส่งผลกระทบต่อบุคคลน้อยกว่า 100 คน

19 / 20

บริษัทค้าปลีกออนไลน์รายหนึ่งค้นพบการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลบัตรเครดิตของลูกค้า บริษัทรายนี้ต้องดำเนินการทันทีเพื่อควบคุมการละเมิดและปกป้องบุคคลที่ได้รับผลกระทบ กำหนดเวลาในการรายงานการละเมิดนี้ต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือเมื่อใด

ภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด

ภายใน 7 วันนับแต่ค้นพบการละเมิด

ภายใน 30 วันนับแต่วันที่ตรวจพบการละเมิด

ไม่จำเป็นต้องรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลทางการเงิน

20 / 20

ลูกจ้างขอให้บริษัทนายจ้างลบข้อมูลประวัติเลขบัญชีธนาคารของตนเองเพราะไม่ต้องการให้นายจ้างบันทึกไว้ บริษัทจะต้องดำเนินการอย่างไร?

ดำเนินการลบ เพราะเจ้าของข้อมูลมีคำสั่งให้ลบ

ปฏิเสธคำขอ เพราะข้อมูลยังจำเป็นในการปฏิบัติตามสัญญา

ดำเนินการลบ เพราะกฎหมายกำหนดให้ลบทุกกรณี

ปฏิเสธคำขอ เพราะเลขบัญชีธนาคารไม่ใช่ข้อมูลส่วนบุคคล