DPO Quiz - PDPA Thailand

DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO

ชวนทำแบบทดสอบประเมินตนเอง ท่านมีความรู้เกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA อย่างไร?

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) ร่วมจัดทำ DPO Quiz แบบทดสอบเพื่อใช้วัดและประเมินความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO (Data Protection Office หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ตามกฎหมาย PDPA

หากท่านได้รับมอบหมายให้เป็น DPO หรือมีความสนใจและประสงค์จะเป็น DPO ขององค์กร เช็กให้ชัวร์ ว่าท่านรู้จริงหรือไม่? ด้วย DPO Quiz แบบทดสอบประเมินตนเองแบบปรนัย จำนวน 20 ข้อ ทดสอบและทราบผลสอบทันที แถมยังทดสอบได้มากกว่า 1 ครั้ง

ทั้งนี้ PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอความยินยอมจากท่านในการให้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่าน โปรดทำเครื่องหมายเพื่อให้ความยินยอมในการใช้ข้อมูลที่จะเก็บรวบรวมและใช้ในการจัดทำ DPO Quiz แบบทดสอบ เพื่อนำไปจัดทำข้อมูลเกี่ยวกับ DPO หรือการให้คำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลต่อไป

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอเก็บรวบรวม

และใช้ข้อมูลส่วนบุคคลของท่าน ในการร่วมทำ DPO Quiz นี้

ได้แก่ IP Address, การเลือกคำตอบ และผลคะแนนการทดสอบ เพื่อนำไปพัฒนาสินค้าและ

บริการเกี่ยวกับ PDPA โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

โปรดทำเครื่องหมายเพื่อให้ความยินยอม

1 / 20

องค์กรได้รับคำร้องขอเข้าถึงข้อมูลส่วนบุคคล จากอดีตพนักงานที่ลาออกจากบริษัทเมื่อห้าปีที่แล้ว ภาระผูกพันขององค์กร ภายใต้ PDPA เกี่ยวกับการเก็บรักษาข้อมูลอดีตพนักงานคืออะไร?

ข้อมูลควรถูกลบทันทีเมื่อมีการร้องขอ

ข้อมูลควรได้รับการเก็บรักษาไว้อย่างไม่มีกำหนดเพื่อวัตถุประสงค์ทางกฎหมายที่อาจเกิดขึ้น

ข้อมูลควรถูกเก็บรักษาไว้นานเท่าที่จำเป็น โดยมีฐานกฎหมายรองรับ

ง)ข้อมูลสามารถเก็บรักษาไว้ตามที่องค์กรเห็นสมควร

2 / 20

บริษัทขนส่งสินค้าแห่งหนึ่งประสบปัญหาการละเมิดข้อมูลที่เปิดเผยชื่อลูกค้า ข้อมูลที่อยู่ และอีเมล ภายใต้ PDPA บริษัทต้องใช้เกณฑ์ใดในการรายงานการละเมิดดังกล่าวต่อหน่วยงานกำกับดูแล

การละเมิดใดข้อมูลส่วนบุคคลจะต้องได้รายงานเสมอ ไม่ว่าจะมีความเสี่ยงหรือไม่ก็ตาม

ควรรายงานเฉพาะการละเมิดที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน (Sensitive Data) เท่านั้น

จะต้องรายงานการละเมิดหากมีแนวโน้มว่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

ไม่จำเป็นต้องรายงานการละเมิดที่ส่งผลกระทบต่อบุคคลน้อยกว่า 100 คน

3 / 20

โรงพยาบาลเอกชนแห่งหนึ่งพบเหตุการละเมิดข้อมูลแต่ไม่ได้รายงานต่อหน่วยงานกำกับดูแล โดยคิดว่าไม่มีนัยสำคัญ ต่อมาพบว่าการละเมิดมีผลกระทบสำคัญมากกว่าที่คิดไว้ในตอนแรก บริษัทควรทำอย่างไรตาม PDPA?

บันทึกการละเมิดไว้เป็นรายงานก็เพียงพอ ไม่ต้องรายงานเพราะ PDPA ถือว่าไม่มีเจตนาทุจริต

รายงานการละเมิดต่อหน่วยงานกำกับดูแลทันที

รอการเปิดเผยรายงานการละเมิดข้อมูลประจำปีครั้งถัดไปก็ได้

ไม่จำเป็นต้องรายงานหากในตอนแรกถือว่าไม่มีนัยสำคัญ

4 / 20

องค์กรประสบกับการละเมิดข้อมูลส่วนบุคคล แต่พวกเขาไม่แน่ใจว่าจำเป็นต้องรายงานไปยังหน่วยงานกำกับดูแลหรือไม่ ตามหลักการ PDPA ข้อใดที่เน้นความสำคัญของการประเมินการละเมิดเพื่อพิจารณาว่าควรรายงานหรือไม่

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักความรับผิดชอบในการกระทำ (Accountability)

ความปลอดภัยของการประมวลผล

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

5 / 20

ธนาคารออมสิน ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

6 / 20

บริษัทการเงินแห่งหนึ่งเกิดไฟฟ้าขัดข้อง ทำให้ลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคลของตนเองได้ กรณีนี้เป็นการละเมิดข้อมูลส่วนบุคคลหลักการใด

หลักธำรงไว้ซึ่งความลับ

หลักความถูกต้องครบถ้วน

หลักความพร้อมใช้งาน

หลักความแน่นอนชัดเจน

7 / 20

ห้างสรรพสินค้าขนาดใหญ่ มีการใช้กล้องวงจรปิดในพื้นที่ common area เช่น ทางเข้า หน้าร้านค้า อาคารจอดรถ ห้างสรรพสินค้าต้องใช้ฐานทางกฎหมายและเหตุผลข้อใดในการเก็บรวบรวมข้อมูลส่วนบุคคล

ฐานสัญญา เพราะผู้ที่มาใช้บริการผูกพันทางสัญญาและต้องยอมรับเงื่อนไขของห้างสรรพสินค้า

ฐานความยินยอม เพราะกฎหมายบังคับให้ห้างสรรพสินค้าขอความยินยอมผู้มาใช้บริการ

ฐานประโยชน์โดยชอบด้วยกฎหมาย เพราะห้างสรรพสินค้าทำไปเพื่อรักษาความปลอดภัย

ฐานประโยชน์สาธารณะ เพราะห้างสรรพสินค้าถือว่าเป็นอาคารสาธารณะประเภทหนึ่ง

8 / 20

กรมการกงสุล ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ถูกกำหนดให้ต้องมี

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

9 / 20

สถาบันการเงินแห่งหนึ่งมีสาขาให้บริการทั่วประเทศ ประมวลผลข้อมูลส่วนบุคคลสำหรับบริการทางธนาคารและการใช้งานบัตรเครดิตของลูกค้า สถาบันการเงินมีความจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากเป็นสถาบันการเงิน ได้รับยกเว้นตาม PDPA

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลอย่างสม่ำเสมอและจำนวนมาก

ไม่ต้องแต่งตั้ง เพราะสถาบันการเงินประมวลผลข้อมูลสำหรับบริการทางการเงิน สามารถทำได้โดยชอบตามกฎหมายเกี่ยวกับธุรกิจสถาบันการเงิน

10 / 20

องค์กรที่ตั้งอยู่นอกประเทศไทย จะต้องปฏิบัติตาม PDPA ในกรณีใด

ในกรณีที่องค์กรมีผู้ถือหุ้นสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอสินค้าให้แก่คนสัญชาติจีนที่อาศัยอยู่ในประเทศไทย

ในกรณีที่องค์กรเฝ้าติดตามพฤติกรรมของคนสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอบริการที่ต้องชำระเงินเท่านั้นแก่คนสัญชาติไทยที่อยู่ต่างประเทศ

11 / 20

บริษัทค้าปลีกออนไลน์รายหนึ่งค้นพบการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลบัตรเครดิตของลูกค้า บริษัทรายนี้ต้องดำเนินการทันทีเพื่อควบคุมการละเมิดและปกป้องบุคคลที่ได้รับผลกระทบ กำหนดเวลาในการรายงานการละเมิดนี้ต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือเมื่อใด

ภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด

ภายใน 7 วันนับแต่ค้นพบการละเมิด

ภายใน 30 วันนับแต่วันที่ตรวจพบการละเมิด

ไม่จำเป็นต้องรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลทางการเงิน

12 / 20

ผู้ให้บริการด้านการแพทย์ส่งเวชระเบียนให้กับคนไข้ผิดโดยไม่ได้ตั้งใจ ขอถามว่า PDPA เน้นความสำคัญของเรื่องใดเพื่อป้องกันการละเมิดข้อมูลดังกล่าว

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความลับและความถูกต้อง (Confidentiality and Integrity)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

13 / 20

ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล บริษัทจะต้องรายงานต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือ หน่วยงานใด

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล

คณะกรรมการผู้เชี่ยวชาญ

14 / 20

ลูกจ้างขอให้บริษัทนายจ้างลบข้อมูลประวัติเลขบัญชีธนาคารของตนเองเพราะไม่ต้องการให้นายจ้างบันทึกไว้ บริษัทจะต้องดำเนินการอย่างไร?

ดำเนินการลบ เพราะเจ้าของข้อมูลมีคำสั่งให้ลบ

ปฏิเสธคำขอ เพราะข้อมูลยังจำเป็นในการปฏิบัติตามสัญญา

ดำเนินการลบ เพราะกฎหมายกำหนดให้ลบทุกกรณี

ปฏิเสธคำขอ เพราะเลขบัญชีธนาคารไม่ใช่ข้อมูลส่วนบุคคล

15 / 20

เจ้าของข้อมูลส่วนบุคคลทำเรื่องขอเข้าถึงข้อมูลส่วนบุคคล แต่ขอข้อมูลส่วนบุคคลซึ่งปรกติองค์กรไม่ได้ใช้เลย องค์กรควรพิจารณาหลักการ PDPA ข้อใดเพื่อลดคำขอเหล่านี้ในอนาคต?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความปลอดภัยของข้อมูล (Data Security)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

16 / 20

บริษัท e-commerce แห่งหนึ่งได้เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดโดยไม่ได้รับความยินยอมจากลูกค้า บริษัทละเมิดหลักการ ข้อใดของ PDPA?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการความถูกต้องตามกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness & Transparency)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

17 / 20

เจ้าของข้อมูลร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตน แต่ข้อมูลบางส่วนเกี่ยวข้องกับบุคคลที่สาม องค์กรควรตอบสนองต่อคำขอนี้ภายใต้ PDPA อย่างไร

ตอบรับคำขอ โดยจะต้องให้ข้อมูลทั้งหมด

ตอบรับคำขอ โดยจะให้เฉพาะข้อมูลที่เกี่ยวข้องกับเจ้าของข้อมูลเท่านั้น

ปฏิเสธคำขอ เพราะมีข้อมูลของบุคคลที่สาม

ง)ปฏิเสธคำขอ เพราะให้ข้อมูลติดต่อของบุคคลที่สามแก่เจ้าของข้อมูล

18 / 20

ผู้ควบคุมข้อมูลจะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิจัย โดยกำลังพิจารณาใช้เทคนิคข้อมูลแฝง (Pseudonymized Data) เพื่อปกป้องข้อมูล สิ่งนี้เกี่ยวข้องกับข้อใด

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

19 / 20

เจ้าของข้อมูลร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตน องค์กรจะต้องตอบสนองการใช้สิทธิภายในกี่วัน?

30 วัน

45 วัน

60 วัน

15 วัน

20 / 20

ข้อใดที่นายจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติถูกตามหลักการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล?

นายจ้างแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยแก่ผู้สมัครงานก่อนขอความยินยอม

นายจ้างสามารถตรวจข้อมูลประวัติอาชญากรรมได้โดยไม่ต้องขอความยินยอมเพราะถือเป็นความจำเป็นในการทำสัญญาและประโยชน์โดยชอบธรรมของนายจ้าง

นายจ้างมีสิทธิให้ลูกจ้างทุกคนยินยอมเปิดเผยข้อมูลประวัติครอบครัวเพื่อนำไปทำการตลาดได้

นายจ้างสามารถขอความยินยอมให้ลูกจ้างเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่าง ๆ ที่จะมีในอนาคตของนายจ้างได้

Your score is