DPO Quiz - PDPA Thailand

DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO

ชวนทำแบบทดสอบประเมินตนเอง ท่านมีความรู้เกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA อย่างไร?

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) ร่วมจัดทำ DPO Quiz แบบทดสอบเพื่อใช้วัดและประเมินความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO (Data Protection Office หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ตามกฎหมาย PDPA

หากท่านได้รับมอบหมายให้เป็น DPO หรือมีความสนใจและประสงค์จะเป็น DPO ขององค์กร เช็กให้ชัวร์ ว่าท่านรู้จริงหรือไม่? ด้วย DPO Quiz แบบทดสอบประเมินตนเองแบบปรนัย จำนวน 20 ข้อ ทดสอบและทราบผลสอบทันที แถมยังทดสอบได้มากกว่า 1 ครั้ง

ทั้งนี้ PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอความยินยอมจากท่านในการให้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่าน โปรดทำเครื่องหมายเพื่อให้ความยินยอมในการใช้ข้อมูลที่จะเก็บรวบรวมและใช้ในการจัดทำ DPO Quiz แบบทดสอบ เพื่อนำไปจัดทำข้อมูลเกี่ยวกับ DPO หรือการให้คำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลต่อไป

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอเก็บรวบรวม

และใช้ข้อมูลส่วนบุคคลของท่าน ในการร่วมทำ DPO Quiz นี้

ได้แก่ IP Address, การเลือกคำตอบ และผลคะแนนการทดสอบ เพื่อนำไปพัฒนาสินค้าและ

บริการเกี่ยวกับ PDPA โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

โปรดทำเครื่องหมายเพื่อให้ความยินยอม

1 / 20

คลินิกทันตกรรมขนาดเล็กในจังหวัดปทุมธานีประมวลผลข้อมูลสุขภาพของผู้ใช้บริการ คลินิกจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากคลินิกประมวลผลข้อมูลอ่อนไหว (Sensitive Data)

ไม่ต้องแต่งตั้ง เนื่องจากเป็นคลินิกขนาดเล็ก จึงได้รับการยกเว้น

ต้องแต่งตั้ง เนื่องจากคลินิกประมวลผลอย่างเป็นระบบ สม่ำเสมอ และจำนวนมาก

ไม่ต้องแต่งตั้ง เนื่องจากคลินิกประมวลผลข้อมูลเพื่อวัตถุประสงค์ด้านการดูแลสุขภาพ

2 / 20

องค์กรที่ได้รับการยกเว้นไม่ต้องปฏิบัติตาม PDPA มาตรา 4 ยังคงต้องปฏิบัติหน้าที่ในข้อใด

จัดให้มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูล

จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย

จัดให้มีมาตรการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

จัดให้มีมาตรการการแจ้งประกาศความเป็นส่วนตัว

3 / 20

บริษัทค้าปลีกออนไลน์รายหนึ่งค้นพบการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลบัตรเครดิตของลูกค้า บริษัทรายนี้ต้องดำเนินการทันทีเพื่อควบคุมการละเมิดและปกป้องบุคคลที่ได้รับผลกระทบ กำหนดเวลาในการรายงานการละเมิดนี้ต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือเมื่อใด

ภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด

ภายใน 7 วันนับแต่ค้นพบการละเมิด

ภายใน 30 วันนับแต่วันที่ตรวจพบการละเมิด

ไม่จำเป็นต้องรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลทางการเงิน

4 / 20

ลูกจ้างขอให้บริษัทนายจ้างลบข้อมูลประวัติเลขบัญชีธนาคารของตนเองเพราะไม่ต้องการให้นายจ้างบันทึกไว้ บริษัทจะต้องดำเนินการอย่างไร?

ดำเนินการลบ เพราะเจ้าของข้อมูลมีคำสั่งให้ลบ

ปฏิเสธคำขอ เพราะข้อมูลยังจำเป็นในการปฏิบัติตามสัญญา

ดำเนินการลบ เพราะกฎหมายกำหนดให้ลบทุกกรณี

ปฏิเสธคำขอ เพราะเลขบัญชีธนาคารไม่ใช่ข้อมูลส่วนบุคคล

5 / 20

ร้านค้าเช่าหนังสือขนาดเล็กในอำเภอแห่งหนึ่งมีบัตรสมาชิกสะสมคะแนนแบบปั๊มรูป ร้านค้าจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากร้านค้าประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากร้านค้าได้รับยกเว้นตามกฎหมาย PDPA

ต้องแต่งตั้ง เนื่องจากร้านค้ามีบัตรสมาชิกสะสมคะแนน

ไม่ต้องแต่งตั้ง เนื่องจากร้านค้าไม่ได้ประมวลผลข้อมูลอย่างสม่ำเสมอ

6 / 20

ธนาคารออมสิน ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

7 / 20

ผู้ให้บริการด้านการแพทย์ส่งเวชระเบียนให้กับคนไข้ผิดโดยไม่ได้ตั้งใจ ขอถามว่า PDPA เน้นความสำคัญของเรื่องใดเพื่อป้องกันการละเมิดข้อมูลดังกล่าว

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความลับและความถูกต้อง (Confidentiality and Integrity)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

8 / 20

ห้างสรรพสินค้าขนาดใหญ่ มีการใช้กล้องวงจรปิดในพื้นที่ common area เช่น ทางเข้า หน้าร้านค้า อาคารจอดรถ ห้างสรรพสินค้าต้องใช้ฐานทางกฎหมายและเหตุผลข้อใดในการเก็บรวบรวมข้อมูลส่วนบุคคล

ฐานสัญญา เพราะผู้ที่มาใช้บริการผูกพันทางสัญญาและต้องยอมรับเงื่อนไขของห้างสรรพสินค้า

ฐานความยินยอม เพราะกฎหมายบังคับให้ห้างสรรพสินค้าขอความยินยอมผู้มาใช้บริการ

ฐานประโยชน์โดยชอบด้วยกฎหมาย เพราะห้างสรรพสินค้าทำไปเพื่อรักษาความปลอดภัย

ฐานประโยชน์สาธารณะ เพราะห้างสรรพสินค้าถือว่าเป็นอาคารสาธารณะประเภทหนึ่ง

9 / 20

ผู้ควบคุมข้อมูลจะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิจัย โดยกำลังพิจารณาใช้เทคนิคข้อมูลแฝง (Pseudonymized Data) เพื่อปกป้องข้อมูล สิ่งนี้เกี่ยวข้องกับข้อใด

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

10 / 20

ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล บริษัทจะต้องรายงานต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือ หน่วยงานใด

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการผู้เชี่ยวชาญ

11 / 20

ข้อใดที่นายจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติถูกตามหลักการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล?

นายจ้างแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยแก่ผู้สมัครงานก่อนขอความยินยอม

นายจ้างสามารถตรวจข้อมูลประวัติอาชญากรรมได้โดยไม่ต้องขอความยินยอมเพราะถือเป็นความจำเป็นในการทำสัญญาและประโยชน์โดยชอบธรรมของนายจ้าง

นายจ้างมีสิทธิให้ลูกจ้างทุกคนยินยอมเปิดเผยข้อมูลประวัติครอบครัวเพื่อนำไปทำการตลาดได้

นายจ้างสามารถขอความยินยอมให้ลูกจ้างเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่าง ๆ ที่จะมีในอนาคตของนายจ้างได้

12 / 20

องค์กรประสบกับการละเมิดข้อมูลส่วนบุคคล แต่พวกเขาไม่แน่ใจว่าจำเป็นต้องรายงานไปยังหน่วยงานกำกับดูแลหรือไม่ ตามหลักการ PDPA ข้อใดที่เน้นความสำคัญของการประเมินการละเมิดเพื่อพิจารณาว่าควรรายงานหรือไม่

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักความรับผิดชอบในการกระทำ (Accountability)

ความปลอดภัยของการประมวลผล

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

13 / 20

โรงพยาบาลเอกชนแห่งหนึ่งพบเหตุการละเมิดข้อมูลแต่ไม่ได้รายงานต่อหน่วยงานกำกับดูแล โดยคิดว่าไม่มีนัยสำคัญ ต่อมาพบว่าการละเมิดมีผลกระทบสำคัญมากกว่าที่คิดไว้ในตอนแรก บริษัทควรทำอย่างไรตาม PDPA?

บันทึกการละเมิดไว้เป็นรายงานก็เพียงพอ ไม่ต้องรายงานเพราะ PDPA ถือว่าไม่มีเจตนาทุจริต

รายงานการละเมิดต่อหน่วยงานกำกับดูแลทันที

รอการเปิดเผยรายงานการละเมิดข้อมูลประจำปีครั้งถัดไปก็ได้

ไม่จำเป็นต้องรายงานหากในตอนแรกถือว่าไม่มีนัยสำคัญ

14 / 20

เจ้าของข้อมูลร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตน แต่ข้อมูลบางส่วนเกี่ยวข้องกับบุคคลที่สาม องค์กรควรตอบสนองต่อคำขอนี้ภายใต้ PDPA อย่างไร

ตอบรับคำขอ โดยจะต้องให้ข้อมูลทั้งหมด

ตอบรับคำขอ โดยจะให้เฉพาะข้อมูลที่เกี่ยวข้องกับเจ้าของข้อมูลเท่านั้น

ปฏิเสธคำขอ เพราะมีข้อมูลของบุคคลที่สาม

ง)ปฏิเสธคำขอ เพราะให้ข้อมูลติดต่อของบุคคลที่สามแก่เจ้าของข้อมูล

15 / 20

บริษัทแพลตฟอร์มดิจิทัลให้บริการบนมือถือและอุปกรณ์เคลื่อนที่ ต้องการรวบรวมข้อมูลตำแหน่ง GPS ของผู้ใช้งานเพื่อการพัฒนาปรับปรุงการให้บริการ แต่ว่าต่อมาบริษัทต้องการใช้ข้อมูลชุดเดียวกันสำหรับการโฆษณาแบบกำหนดเป้าหมายโดยไม่ขอความยินยอม บริษัทอาจละเมิดหลักการ PDPA?

หลักการเคลื่อนย้ายข้อมูล (Data Flow)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

16 / 20

บริษัทการเงินแห่งหนึ่งเกิดไฟฟ้าขัดข้อง ทำให้ลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคลของตนเองได้ กรณีนี้เป็นการละเมิดข้อมูลส่วนบุคคลหลักการใด

หลักธำรงไว้ซึ่งความลับ

หลักความถูกต้องครบถ้วน

หลักความพร้อมใช้งาน

หลักความแน่นอนชัดเจน

17 / 20

เจ้าของข้อมูลส่วนบุคคลทำเรื่องขอเข้าถึงข้อมูลส่วนบุคคล แต่ขอข้อมูลส่วนบุคคลซึ่งปรกติองค์กรไม่ได้ใช้เลย องค์กรควรพิจารณาหลักการ PDPA ข้อใดเพื่อลดคำขอเหล่านี้ในอนาคต?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความปลอดภัยของข้อมูล (Data Security)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

18 / 20

บริษัทขนส่งสินค้าแห่งหนึ่งประสบปัญหาการละเมิดข้อมูลที่เปิดเผยชื่อลูกค้า ข้อมูลที่อยู่ และอีเมล ภายใต้ PDPA บริษัทต้องใช้เกณฑ์ใดในการรายงานการละเมิดดังกล่าวต่อหน่วยงานกำกับดูแล

การละเมิดใดข้อมูลส่วนบุคคลจะต้องได้รายงานเสมอ ไม่ว่าจะมีความเสี่ยงหรือไม่ก็ตาม

ควรรายงานเฉพาะการละเมิดที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน (Sensitive Data) เท่านั้น

จะต้องรายงานการละเมิดหากมีแนวโน้มว่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

ไม่จำเป็นต้องรายงานการละเมิดที่ส่งผลกระทบต่อบุคคลน้อยกว่า 100 คน

19 / 20

บริษัท e-commerce แห่งหนึ่งได้เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดโดยไม่ได้รับความยินยอมจากลูกค้า บริษัทละเมิดหลักการ ข้อใดของ PDPA?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการความถูกต้องตามกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness & Transparency)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

20 / 20

องค์กรที่ตั้งอยู่นอกประเทศไทย จะต้องปฏิบัติตาม PDPA ในกรณีใด

ในกรณีที่องค์กรมีผู้ถือหุ้นสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอสินค้าให้แก่คนสัญชาติจีนที่อาศัยอยู่ในประเทศไทย

ในกรณีที่องค์กรเฝ้าติดตามพฤติกรรมของคนสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอบริการที่ต้องชำระเงินเท่านั้นแก่คนสัญชาติไทยที่อยู่ต่างประเทศ

Your score is

DPOinActionรุ่น19 1200x300