DPO Quiz - PDPA Thailand

DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO

ชวนทำแบบทดสอบประเมินตนเอง ท่านมีความรู้เกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA อย่างไร?

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) ร่วมจัดทำ DPO Quiz แบบทดสอบเพื่อใช้วัดและประเมินความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO (Data Protection Office หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ตามกฎหมาย PDPA

หากท่านได้รับมอบหมายให้เป็น DPO หรือมีความสนใจและประสงค์จะเป็น DPO ขององค์กร เช็กให้ชัวร์ ว่าท่านรู้จริงหรือไม่? ด้วย DPO Quiz แบบทดสอบประเมินตนเองแบบปรนัย จำนวน 20 ข้อ ทดสอบและทราบผลสอบทันที แถมยังทดสอบได้มากกว่า 1 ครั้ง

ทั้งนี้ PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอความยินยอมจากท่านในการให้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่าน โปรดทำเครื่องหมายเพื่อให้ความยินยอมในการใช้ข้อมูลที่จะเก็บรวบรวมและใช้ในการจัดทำ DPO Quiz แบบทดสอบ เพื่อนำไปจัดทำข้อมูลเกี่ยวกับ DPO หรือการให้คำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลต่อไป

1 / 20

โรงพยาบาลของรัฐในภูมิภาคประมวลผลข้อมูลสุขภาพและข้อมูลทางการแพทย์ของผู้ป่วย พวกเขาจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เพราะโรงพยาบาลประมวลผลข้อมูลด้านสุขภาพซึ่งเป็นข้อมูลอ่อนไหว

ไม่ต้องแต่งตั้ง เนื่องจากโรงพยาบาลเป็นส่วนราชการ จึงได้รับการยกเว้น

ต้องแต่งตั้ง เนื่องจากโรงพยาบาลเป็นองค์กรขนาดใหญ่

ไม่ต้องแต่งตั้ง เพราะโรงพยาบาลประมวลผลข้อมูลเพื่อวัตถุประสงค์ด้านการดูแลสุขภาพ ตาม พรบ สาธารณสุข

2 / 20

ผู้ควบคุมข้อมูลจะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิจัย พวกเขากำลังพิจารณาใช้เทคนิคข้อมูลแฝง (Pseudonymized Data) เพื่อปกป้องข้อมูล สิ่งนี้เกี่ยวข้องกับข้อใด

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

3 / 20

เจ้าของข้อมูลต้องการใช้สิทธิในการเคลื่อนหรือโอนย้ายข้อมูล ข้อใดต่อไปนี้ไม่ใช่ข้อกำหนดสำหรับองค์กรในการดำเนินการตามคำขอนี้ภายใต้ PDPA?

ข้อมูลจะต้องอยู่ในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไป และเครื่องสามารถอ่านได้

เจ้าของข้อมูลต้องระบุเหตุผลที่ถูกต้องสำหรับการร้องขอการเคลื่อนย้าย

ความยินยอมของเจ้าของข้อมูลถือเป็นพื้นฐานทางกฎหมายสำหรับการประมวลผล

ข้อมูลจะต้องถูกจัดเตรียมให้กับเจ้าของข้อมูลหรือส่งไปยังองค์กรอื่นเมื่อมีการร้องขอ

4 / 20

ร้านหนังสือออนไลน์ขนาดเล็กรวบรวมข้อมูลลูกค้าเพื่อดำเนินการตามคำสั่งซื้อและส่งจดหมายข่าวเป็นครั้งคราว พวกเขาจำเป็นต้องแต่งตั้ง DPO ตาม PDPA Article 41(2)หรือไม่

ใช่ เนื่องจากพวกเขาเก็บรวบรวมข้อมูลส่วนบุคคล

ไม่ เนื่องจากเป็นองค์กรขนาดเล็ก

ใช่ หากพวกเขาประมวลผลข้อมูลที่ละเอียดอ่อน

ไม่ เนื่องจากจะประมวลผลข้อมูลเพื่อดำเนินการตามคำสั่งซื้อเท่านั้น

5 / 20

บริษัท e-commerce แห่งหนึ่งได้เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดโดยไม่ได้รับความยินยอมจากลูกค้าอย่างชัดเจน เจ้าของข้อมูลจึงขอให้ลบข้อมูลของตนทันที บริษัทละเมิดหลักการ ข้อใดของ PDPA?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการความถูกต้องตามกฎหมาย ความเป็นธรรม และความโปร่งใส

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

6 / 20

สิทธิในการโอนย้ายข้อมูลสามารถใช้กับข้อมูลส่วนบุคคลที่เก็บรวบรวมโดยฐานทางกฎหมายข้อใดได้บ้าง?

ฐานความยินยอมและฐานสัญญา

ฐานอำนาจรัฐและฐานความยินยอม

ฐานผลประโยชน์โดยชอบธรรมและฐานอำนาจรัฐ

ฐานอำนาจรัฐและฐานสัญญา

7 / 20

บริษัทเอกชนรายหนึ่งค้นพบการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลบัตรเครดิตของลูกค้า บริษัทเอกชนรายนี้ต้องดำเนินการทันทีเพื่อควบคุมการละเมิดและปกป้องบุคคลที่ได้รับผลกระทบ กำหนดเวลาในการรายงานการละเมิดนี้ต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือเมื่อใด

ภายใน 72 ชั่วโมงหลังจากทราบเหตุละเมิด

ภายใน 7 วันหลังจากค้นพบการละเมิด

ภายใน 30 วันนับจากวันที่ตรวจพบการละเมิด

ไม่จำเป็นต้องรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลทางการเงิน

8 / 20

ข้อใดถูกต้องตามหลักการคุ้มครองข้อมูลส่วนบุคคล?

ผู้เยาว์อายุ 18 จะไปทำงาน part time โดยบริษัทมีการขอความยินยอมให้เปิดเผยข้อมูลเพื่อส่งบริษัทประกันชีวิต ผู้เยาว์จำเป็นต้องให้ผู้ปกครองลงนามด้วย

ผู้พิการแม้ศาลไม่ได้สั่งให้เป็นบุคคลไร้ความสามารถก็จะต้องหาผู้พิทักษ์มาลงนามให้ความยินยอมแทน

บริษัททำวิจัยด้านจิตวิทยาเด็กจะทำ focus group กับเด็กอายุ 11 ขวบ ต้องขอความยินยอมทั้งจากผู้ปกครองเด็กเท่านั้นเพราะเป็นเรื่องยากเกินเด็กจะเข้าใจ

ผิดทุกข้อ

9 / 20

บริษัทแห่งหนึ่งประสบกับการละเมิดข้อมูลแต่ไม่ได้รายงานต่อหน่วยงานกำกับดูแล โดยคิดว่าไม่มีนัยสำคัญ ต่อมาพบว่าการละเมิดมีผลกระทบสำคัญมากกว่าที่คิดไว้ในตอนแรก บริษัทควรทำอย่างไรตาม PDPA?

เก็บการละเมิดไว้เป็น log ก็เพียงพอไม่ต้องรายงานเพราะ PDPA ถือว่าไม่มีเจตนาทุจริต

รายงานการละเมิดต่อหน่วยงานกำกับดูแลทันที

รอการเปิดเผยรายงานการละเมิดข้อมูลประจำปีครั้งถัดไปก็ได้

ไม่จำเป็นต้องรายงานหากในตอนแรกถือว่าไม่มีนัยสำคัญ

10 / 20

บริษัทหลักทรัพย์ต้องการโอนเปิดเผยข้อมูลลูกค้ากับบริษัทที่ตรวจสอบด้านการฉ้อโกง บริษัทหลักทรัพย์ใช้ฐานข้อใดในการเปิดเผยข้อมูล

ฐานสัญญา

ฐานปฏิบัติตามกฎหมาย

ฐานผลประโยชน์โดยชอบด้วยกฎหมาย

ฐานประโยชน์สาธารณะ

11 / 20

องค์กรได้รับคำร้องขอเข้าถึงข้อมูลส่วนบุคคล จากอดีตพนักงานที่ลาออกจากบริษัทเมื่อสามปีที่แล้ว ภาระผูกพันขององค์กร ภายใต้ PDPA เกี่ยวกับการเก็บรักษาข้อมูลอดีตพนักงานคืออะไร?

ข้อมูลควรถูกลบทันทีเมื่อมีการร้องขอ

ข้อมูลควรได้รับการเก็บรักษาไว้อย่างไม่มีกำหนดเพื่อวัตถุประสงค์ทางกฎหมายที่อาจเกิดขึ้น

ข้อมูลควรถูกเก็บรักษาไว้นานเท่าที่จำเป็น โดยมีฐานรองรับ

ข้อมูลสามารถเก็บรักษาไว้ตามที่องค์กรเห็นสมควร

12 / 20

การดำเนินการข้อใดที่ไม่ใช่ การดำเนินการอย่างเหมาะสมตามระดับความเสี่ยง ในประกาศมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล ในส่วนของการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ หรือเปิดเผยข้อมูลส่วนบุคคล

การควบคุมการเข้าถึงข้อมูลส่วนบุคคล (Access Control)

การลงทะเบียน และการถอนสิทธิผู้ใช้งาน (User registration and de-registration)

การใช้การเจาะระบบ (Penetration Test)

การจัดวิธีการตรวจสอบย้อนหลัง (Audit Trails)

13 / 20

เมื่อเจ้าของข้อมูลส่วนบุคคลร้องขอให้ระงับการประมวลผลข้อมูลส่วนบุคคลของตน องค์กรจำเป็นต้องปฏิบัติตามคำขอนี้ภายใต้ PDPA ภายใต้สถานการณ์ใด?

ต้องปฏิบัติตามเสมอโดยไม่มีข้อยกเว้น

ต้องปฏิบัติตามหากไม่ต้องการข้อมูลอีกต่อไป

ในระหว่างช่วงเวลาที่องค์กรกำลังประเมินคำขอ

เมื่อความยินยอมของเจ้าของข้อมูลถูกเพิกถอน

14 / 20

องค์กรประสบกับการละเมิดข้อมูล แต่พวกเขาไม่แน่ใจว่าจำเป็นต้องรายงานไปยังหน่วยงานกำกับดูแลหรือไม่ ตามหลักการ PDPA ข้อใดที่เน้นความสำคัญของการจัดทำเอกสารและการประเมินการละเมิดเพื่อพิจารณาว่าควรรายงานหรือไม่

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักความรับผิดชอบในการกระทำ (Accountability)

ความปลอดภัยของการประมวลผล

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

15 / 20

บริษัท e-commerce ขนาดเล็กประสบปัญหาการละเมิดข้อมูลที่เปิดเผยชื่อลูกค้า ข้อมูลที่อยู่ และอีเมล บริษัทกำลังถกเถียงว่าต้องรายงานเรื่องนี้ต่อหน่วยงานกำกับดูแลหรือไม่? อยากถามว่าบริษัทต้องใช้เกณฑ์ในการรายงานการละเมิดภายใต้ PDPA ข้อใด?

การละเมิดใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจะต้องได้รับการรายงาน

ควรรายงานเฉพาะการละเมิดที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนเท่านั้น

จะต้องรายงานเหตุการณ์ละเมิดหากมีแนวโน้มว่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล

ไม่จำเป็นต้องรายงานการละเมิดที่ส่งผลกระทบต่อบุคคลน้อยกว่า 100 คน

16 / 20

การประมวลผลในข้อใดไม่ได้รับการยกเว้นจาก PDPA?

เพื่อกิจกรรมในครอบครัวเท่านั้น

เป็นประโยชน์สาธารณะเท่านั้น

เพื่อวัตถุประสงค์ในการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิต

เพื่อประโยชน์ของการจัดซื้อจัดจ้างของศาล

17 / 20

การประมวลผลข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์นั้น ราชการประกาศมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลว่าจะต้องครอบคลุมส่วนประกอบต่างๆ ของระบบสารสนเทศ ในข้อใด

เครื่องคอมพิวเตอร์แม่ข่าย (Servers)

เครื่องคอมพิวเตอร์ลูกข่าย (Clients)

ระบบเครือข่ายซอฟแวร์และแอปพลิเคชั่น (Software and Application System)

ถูกทุกข้อ

18 / 20

โรงแรมขนาดใหญ่จำนวน 100 ห้อง มีการใช้กล้องวงจรปิดในพื้นที่ common area เช่น ล๊อบบี้ ตรงทางเดิน ขอถามว่าโรงแรมใช้ฐานทางกฎหมายและเหตุผลข้อใดในการเก็บรวบรวมข้อมูลส่วนบุคคล

ฐานสัญญา เพราะแขกที่มาพักผูกพันทางสัญญาและต้องยอมรับเงื่อนไขโรงแรม

ฐานปฏิบัติตามกฎหมาย เพราะ พรบ โรงแรมกำหนดให้โรงแรมขนาดใหญ่ต้องมีกล้องวงจรปิด

ฐานผลประโยชน์โดยชอบด้วยกฎหมาย เพราะโรงแรมมีความชอบธรรมเพื่อวัตถุประสงค์ด้านความปลอดภัย

ฐานประโยชน์สาธารณะ เพราะโรงแรมถือว่าเป็นอาคารสาธรณะประเภทหนึ่ง

19 / 20

สถาบันการเงินขนาดใหญ่ประมวลผลข้อมูลส่วนบุคคลสำหรับบริการทางธนาคารและมีการเก็บรวบรวมข้อมูลลูกค้าเกี่ยวกับการใช้งานบัตรเครดิต ขอถามว่าสถาบันการเงินมีความจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 และกฎหมายลูก หรือไม่

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากเป็นสถาบันการเงิน ได้รับข้อยกเว้น

ต้องแต่งตั้ง เพราะสถาบันการเงินมีการเก็บรวบรวมข้อมูลลูกค้าเกี่ยวกับการใช้งานบัตรเครดิต

ไม่ต้องแต่งตั้ง เพราะสถาบันการเงินประมวลผลข้อมูลสำหรับบริการทางธนาคาร สามารถทำได้โดยชอบธรรม

20 / 20

ร้านเบเกอรี่ขนาดเล็กประมวลผลข้อมูลลูกค้าสำหรับคำสั่งซื้อและเสนอโปรแกรมสะสมคะแนนแบบปั๊ม พวกเขาจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากพวกเขาประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากเป็นร้านเบเกอรี่เล็กๆ

ต้องแต่งตั้ง เนื่องจากพวกเขามีโปรแกรมสะสมคะแนน

ไม่ต้องแต่งตั้ง เนื่องจากพวกเขาจะประมวลผลข้อมูลสำหรับคำสั่งซื้อเท่านั้น

Your score is