DPO Quiz Clone - PDPA Thailand

DPO Quiz แบบทดสอบความรู้เบื้องต้นเกี่ยวกับบทบาทและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
(Data Protection Officer : DPO)

Copy - DPO Quiz

ได้ทดลองทดสอบความรู้เบื้องต้นเกี่ยวกับบทบาทและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)

โดยที่แบบทดสอบนี้มีจำนวน 20 ข้อในรูปแบบอปรนัย ซึ่งผู้ทดสอบสามารถที่จะทดสอบและทราบผลทันที โดยทดสอบกี่ครั้งก็ได้ กรณีที่ท่านประสงค์ต้องการทราบรายละเอียดของคำตอบว่าผิดข้อใดบ้าง ท่านสามารถระบุ ชื่อ-สกุล และอีเมลของท่าน เพื่อให้ทางระบบส่งคำตอบให้กับท่าน

ข้อมูลของท่าน ทาง PDPA Thailand และ DBC ขอนำไปเสนอสินค้าและบริการของเราแก่ท่านตามความต้องการของท่าน ในบางกรณีเราจำเป็นต้องใช้ข้อมูลส่วนบุคคลของท่าน
เพื่อติดต่อในการนำเสนอสินค้าและบริการ รวมไปถึงเนื้อหาบทความที่ท่านให้ความสนใจ ทั้งนี้ หากท่านยินยอมให้เราเข้าถึงข้อมูลของท่านเพื่อจุดประสงค์ข้างต้น
โปรดทำเครื่องหมายเพื่อให้ความยินยอมในการใช้ข้อมูลของท่าน

1 / 20

เจ้าของข้อมูลต้องการใช้สิทธิในการเคลื่อนหรือโอนย้ายข้อมูล ข้อใดต่อไปนี้ไม่ใช่ข้อกำหนดสำหรับองค์กรในการดำเนินการตามคำขอนี้ภายใต้ PDPA?

เจ้าของข้อมูลต้องระบุเหตุผลที่ถูกต้องสำหรับการร้องขอการเคลื่อนย้าย

ข้อมูลจะต้องถูกจัดเตรียมให้กับเจ้าของข้อมูลหรือส่งไปยังองค์กรอื่นเมื่อมีการร้องขอ

ข้อมูลจะต้องอยู่ในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไป และเครื่องสามารถอ่านได้

ความยินยอมของเจ้าของข้อมูลถือเป็นพื้นฐานทางกฎหมายสำหรับการประมวลผล

2 / 20

เจ้าของข้อมูลเชื่อว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้อง และขอให้มีการแก้ไข องค์กรควรทำอะไรภายใต้ PDPA?

ตรวจสอบความถูกต้องและอัปเดตหากจำเป็น

ลบข้อมูลออกทันที

เพิกเฉยต่อคำขอ เนื่องจาก PDPA ไม่ครอบคลุมความถูกต้องของข้อมูล

อัปเดตข้อมูลเฉพาะเมื่อได้รับความยินยอมเท่านั้น

3 / 20

บริษัท e commerce แบ่งปันข้อมูลลูกค้ากับพันธมิตรทางธุรกิจเป็นประจำเพื่อวัตถุประสงค์ทางการตลาด ลูกค้าขอให้ลบข้อมูลของตน สิทธิข้อใดที่เกี่ยวข้องกับคำขอนี้

สิทธิที่จะถูกลืม (Right to be forgotten)

สิทธิคัดค้าน (Right to Object)

สิทธิระงับการใช้ข้อมูล (Right to Data Restriction)

สิทธิการโอนข้อมูล

4 / 20

บริษัทหลักทรัพย์ต้องการโอนเปิดเผยข้อมูลลูกค้ากับบริษัทที่ตรวจสอบด้านการฉ้อโกง บริษัทหลักทรัพย์ใช้ฐานข้อใดในการเปิดเผยข้อมูล

ฐานปฏิบัติตามกฎหมาย

ฐานผลประโยชน์โดยชอบด้วยกฎหมาย

ฐานสัญญา

ฐานประโยชน์สาธารณะ

5 / 20

ร้านเบเกอรี่ขนาดเล็กประมวลผลข้อมูลลูกค้าสำหรับคำสั่งซื้อและเสนอโปรแกรมสะสมคะแนนแบบปั๊ม พวกเขาจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากพวกเขาจะประมวลผลข้อมูลสำหรับคำสั่งซื้อเท่านั้น

ต้องแต่งตั้ง เนื่องจากพวกเขามีโปรแกรมสะสมคะแนน

ไม่ต้องแต่งตั้ง เนื่องจากเป็นร้านเบเกอรี่เล็กๆ

ต้องแต่งตั้ง เนื่องจากพวกเขาประมวลผลข้อมูลส่วนบุคคล

6 / 20

บริษัทแห่งหนึ่งประสบกับการละเมิดข้อมูลแต่ไม่ได้รายงานต่อหน่วยงานกำกับดูแล โดยคิดว่าไม่มีนัยสำคัญ ต่อมาพบว่าการละเมิดมีผลกระทบสำคัญมากกว่าที่คิดไว้ในตอนแรก บริษัทควรทำอย่างไรตาม PDPA?

รายงานการละเมิดต่อหน่วยงานกำกับดูแลทันที

รอการเปิดเผยรายงานการละเมิดข้อมูลประจำปีครั้งถัดไปก็ได้

เก็บการละเมิดไว้เป็น log ก็เพียงพอไม่ต้องรายงานเพราะ PDPA ถือว่าไม่มีเจตนาทุจริต

ไม่จำเป็นต้องรายงานหากในตอนแรกถือว่าไม่มีนัยสำคัญ

7 / 20

บริษัทข้ามชาติต้องการถ่ายโอนข้อมูลพนักงานไปยังบริษัทสาขาในประเทศที่ไม่มีกฎระเบียบที่ทัดเทียบประเทศไทย กลไก PDPA ที่เหมาะสมที่สุดเพื่อให้แน่ใจว่าการถ่ายโอนข้อมูลระหว่างประเทศถูกต้องตามกฎหมายคืออะไร

ความยินยอมจากเจ้าของข้อมูล

กฎเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรที่มีผลผูกพัน (BCR) ที่ได้รับการรับรอง จาก สำนักงานคุ้มครองข้อมูล ส่วนบุคคล

การประเมินผลประโยชน์ที่ชอบด้วยกฎหมาย

การเคลื่อนย้ายข้อมูล

8 / 20

นักพัฒนา application บนมือถือและอุปกรณ์เคลื่อนที่รายหนึ่งต้องการรวบรวมข้อมูล ตำแหน่ง GPS ของผู้ใช้เพื่อการนำเสนอเนื้อหาแบบเฉพาะบุคคล (personalized content) ผู้ใช้ยอมรับกับเงื่อนไขนี้ตอนสมัครใช้ application แต่ว่าต่อมาบริษัทต้องการใช้ข้อมูลชุดเดียวกันสำหรับการโฆษณาแบบกำหนดเป้าหมาย หลักการ PDPA ข้อใดที่บริษัทอาจละเมิด?

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

การเคลื่อนย้ายข้อมูล

หลักความรับผิดชอบในการกระทำ (Accountability)

9 / 20

สิทธิในการโอนย้ายข้อมูลสามารถใช้กับข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยฐานทางกฎหมายข้อใดได้บ้าง?

ฐานอำนาจรัฐและฐานความยินยอม

ฐานความยินยอมและฐานสัญญา

ฐานผลประโยชน์โดยชอบธรรมและฐานอำนาจรัฐ

ฐานอำนาจรัฐและฐานสัญญา

10 / 20

เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอให้ระงับการประมวลผลข้อมูลส่วนบุคคลของตน องค์กรจำเป็นต้องปฏิบัติตามคำขอนี้ภายใต้ PDPA ภายใต้สถานการณ์ใด?

ต้องปฏิบัติตามหากไม่ต้องการข้อมูลอีกต่อไป

ในระหว่างช่วงเวลาที่องค์กรกำลังประเมินคำขอ

ต้องปฏิบัติตามเสมอโดยไม่มีข้อยกเว้น

เมื่อความยินยอมของเจ้าของข้อมูลถูกเพิกถอน

11 / 20

เจ้าของข้อมูลขอสำเนาข้อมูลส่วนบุคคลของตน เวลาสูงสุดสำหรับองค์กรในการตอบสนองต่อคำขอนี้ภายใต้ PDPA คือเท่าใด?

30 วัน

15 วัน

45 วัน

60 วัน

12 / 20

องค์กรประสบกับการละเมิดข้อมูล แต่พวกเขาไม่แน่ใจว่าจำเป็นต้องรายงานไปยังหน่วยงานกำกับดูแลหรือไม่ ตามหลักการ PDPA ข้อใดที่เน้นความสำคัญของการจัดทำเอกสารและการประเมินการละเมิดเพื่อพิจารณาว่าควรรายงานหรือไม่

ความปลอดภัยของการประมวลผล

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักความรับผิดชอบในการกระทำ (Accountability)

13 / 20

เจ้าของข้อมูลร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตน แต่องค์กรมีฐานข้อมูลขนาดใหญ่ที่มีบันทึกนับล้านรายการ ขีดจำกัดเวลาสูงสุดสำหรับองค์กรในการตอบสนองภายใต้ PDPA คือกี่วัน ภายใต้กฎหมายฉบับปัจจุบัน?

45 วัน

90 วัน

60 วัน

30 วัน

14 / 20

การประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์นั้น ราชการประกาศมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลว่าจะต้องครอบคลุมส่วนประกอบต่างๆ ของระบบสารสนเทศ ในข้อใด

ถูกทุกข้อ

ระบบเครือข่ายซอฟแวร์และแอปพลิเคชั่น (Software and Application System)

เครื่องคอมพิวเตอร์ลูกข่าย (Clients)

เครื่องคอมพิวเตอร์แม่ข่าย (Servers)

15 / 20

สถาบันการเงินขนาดใหญ่ประมวลผลข้อมูลส่วนบุคคลสำหรับบริการทางธนาคารและมีการเก็บรวบรวมข้อมูลลูกค้าเกี่ยวกับการใช้งานบัตรเครดิต ขอถามว่าสถาบันการเงินมีความจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 และกฎหมายลูก หรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นสถาบันการเงิน ได้รับข้อยกเว้น

ไม่ต้องแต่งตั้ง เพราะสถาบันการเงินประมวลผลข้อมูลสำหรับบริการทางธนาคาร สามารถทำได้โดยชอบธรรม

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลส่วนบุคคล

ต้องแต่งตั้ง เพราะสถาบันการเงินมีการเก็บรวบรวมข้อมูลลูกค้าเกี่ยวกับการใช้งานบัตรเครดิต

16 / 20

การประมวลผลในข้อใดไม่ได้รับการยกเว้นจาก PDPA?

เพื่อวัตถุประสงค์ในการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิต

เพื่อกิจกรรมในครอบครัวเท่านั้น

เป็นประโยชน์สาธารณะเท่านั้น

เพื่อประโยชน์ของการจัดซื้อจัดจ้างของศาล

17 / 20

การดำเนินการข้อใดที่ไม่ใช่ การดำเนินการอย่างเหมาะสมตามระดับความเสี่ยง ในประกาศมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล ในส่วนของการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล

การลงทะเบียน และการถอนสิทธิผู้ใช้งาน (User registration and de-registration)

การจัดวิธีการตรวจสอบย้อนหลัง (Audit Trails)

การใช้การเจาะระบบ (Penetration Test)

การควบคุมการเข้าถึงข้อมูลส่วนบุคคล (Access Control)

18 / 20

บริษัทเอกชนรายหนึ่งค้นพบการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลบัตรเครดิตของลูกค้า บริษัทเอกชนรายนี้ต้องดำเนินการทันทีเพื่อควบคุมการละเมิดและปกป้องบุคคลที่ได้รับผลกระทบ กำหนดเวลาในการรายงานการละเมิดนี้ต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือเมื่อใด

ภายใน 30 วันนับจากวันที่ตรวจพบการละเมิด

ภายใน 7 วันหลังจากค้นพบการละเมิด

ภายใน 72 ชั่วโมงหลังจากทราบเหตุละเมิด

ไม่จำเป็นต้องรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลทางการเงิน

19 / 20

บริษัท e-commerce ขนาดเล็กประสบปัญหาการละเมิดข้อมูลที่เปิดเผยชื่อลูกค้า ข้อมูลที่อยู่ และอีเมล บริษัทกำลังถกเถียงว่าต้องรายงานเรื่องนี้ต่อหน่วยงานกำกับดูแลหรือไม่? อยากถามว่าบริษัทต้องใช้เกณฑ์ในการรายงานการละเมิดภายใต้ PDPA ข้อใด?

ไม่จำเป็นต้องรายงานการละเมิดที่ส่งผลกระทบต่อบุคคลน้อยกว่า 100 คน

ควรรายงานเฉพาะการละเมิดที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนเท่านั้น

การละเมิดใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจะต้องได้รับการรายงาน

จะต้องรายงานเหตุการณ์ละเมิดหากมีแนวโน้มว่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

20 / 20

ผู้ให้บริการด้านการแพทย์ส่งเวชระเบียนให้กับคนไข้ผิดโดยไม่ได้ตั้งใจ ขอถามว่า PDPA เน้นความสำคัญของเรื่องใดเพื่อป้องกันการละเมิดข้อมูลดังกล่าว

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

มาตรการรักษาความปลอดภัยของการประมวลผล (Data Security)

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

กรุณากรอก E-mail เพื่อแสดงผลคำตอบที่ ผิด

Your score is