DPO Quiz - PDPA Thailand

DPO Quiz แบบทดสอบประเมินตนเอง เกี่ยวกับบทบาทและหน้าที่ของ DPO

ชวนทำแบบทดสอบประเมินตนเอง ท่านมีความรู้เกี่ยวกับบทบาทและหน้าที่ของ DPO ตามกฎหมาย PDPA อย่างไร?

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) ร่วมจัดทำ DPO Quiz แบบทดสอบเพื่อใช้วัดและประเมินความรู้ความเข้าใจเกี่ยวกับบทบาทและหน้าที่ของ DPO (Data Protection Office หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ตามกฎหมาย PDPA

หากท่านได้รับมอบหมายให้เป็น DPO หรือมีความสนใจและประสงค์จะเป็น DPO ขององค์กร เช็กให้ชัวร์ ว่าท่านรู้จริงหรือไม่? ด้วย DPO Quiz แบบทดสอบประเมินตนเองแบบปรนัย จำนวน 20 ข้อ ทดสอบและทราบผลสอบทันที แถมยังทดสอบได้มากกว่า 1 ครั้ง

ทั้งนี้ PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอความยินยอมจากท่านในการให้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของท่าน โปรดทำเครื่องหมายเพื่อให้ความยินยอมในการใช้ข้อมูลที่จะเก็บรวบรวมและใช้ในการจัดทำ DPO Quiz แบบทดสอบ เพื่อนำไปจัดทำข้อมูลเกี่ยวกับ DPO หรือการให้คำปรึกษาและบริการ PDPA และ DPO ครบวงจร โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลต่อไป

PDPA Thailand และ DBC Group (บริษัท ดีบีซี กรุ๊ป จำกัด) มีความประสงค์ขอเก็บรวบรวม

และใช้ข้อมูลส่วนบุคคลของท่าน ในการร่วมทำ DPO Quiz นี้

ได้แก่ IP Address, การเลือกคำตอบ และผลคะแนนการทดสอบ เพื่อนำไปพัฒนาสินค้าและ

บริการเกี่ยวกับ PDPA โดยทีมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัท

โปรดทำเครื่องหมายเพื่อให้ความยินยอม

1 / 20

องค์กรได้รับคำร้องขอเข้าถึงข้อมูลส่วนบุคคล จากอดีตพนักงานที่ลาออกจากบริษัทเมื่อห้าปีที่แล้ว ภาระผูกพันขององค์กร ภายใต้ PDPA เกี่ยวกับการเก็บรักษาข้อมูลอดีตพนักงานคืออะไร?

ข้อมูลควรถูกลบทันทีเมื่อมีการร้องขอ

ข้อมูลควรได้รับการเก็บรักษาไว้อย่างไม่มีกำหนดเพื่อวัตถุประสงค์ทางกฎหมายที่อาจเกิดขึ้น

ข้อมูลควรถูกเก็บรักษาไว้นานเท่าที่จำเป็น โดยมีฐานกฎหมายรองรับ

ง)ข้อมูลสามารถเก็บรักษาไว้ตามที่องค์กรเห็นสมควร

2 / 20

ลูกจ้างขอให้บริษัทนายจ้างลบข้อมูลประวัติเลขบัญชีธนาคารของตนเองเพราะไม่ต้องการให้นายจ้างบันทึกไว้ บริษัทจะต้องดำเนินการอย่างไร?

ดำเนินการลบ เพราะเจ้าของข้อมูลมีคำสั่งให้ลบ

ปฏิเสธคำขอ เพราะข้อมูลยังจำเป็นในการปฏิบัติตามสัญญา

ดำเนินการลบ เพราะกฎหมายกำหนดให้ลบทุกกรณี

ปฏิเสธคำขอ เพราะเลขบัญชีธนาคารไม่ใช่ข้อมูลส่วนบุคคล

3 / 20

กรมการกงสุล ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ถูกกำหนดให้ต้องมี

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

4 / 20

เจ้าของข้อมูลร้องขอการเข้าถึงข้อมูลส่วนบุคคลของตน องค์กรจะต้องตอบสนองการใช้สิทธิภายในกี่วัน?

30 วัน

45 วัน

60 วัน

15 วัน

5 / 20

ผู้ควบคุมข้อมูลจะประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิจัย โดยกำลังพิจารณาใช้เทคนิคข้อมูลแฝง (Pseudonymized Data) เพื่อปกป้องข้อมูล สิ่งนี้เกี่ยวข้องกับข้อใด

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

6 / 20

ธนาคารออมสิน ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือไม่

ไม่ต้องแต่งตั้ง เนื่องจากเป็นหน่วยงานรัฐที่ได้รับการยกเว้น

ไม่ต้องแต่งตั้ง เนื่องจากไม่ได้ประมวลผลข้อมูลส่วนบุคคลแบบอ่อนไหว

ต้องแต่งตั้ง เนื่องจากประมวลผลข้อมูลอย่างสม่ำเสมอ และจำนวนมาก

7 / 20

การประมวลผลข้อมูลส่วนบุคคลในข้อใดไม่ได้รับการยกเว้นจาก PDPA?

บิดาถ่ายรูปบุตรแล้วส่งให้ภรรยาทางไลน์

หน่วยงานรัฐเก็บข้อมูลส่วนบุคคลเพื่อทำตามกฎหมายป้องกันและปราบปรามการฟอกเงิน

สำนักข่าวรายงานข่าวประจำวันที่มีข้อมูลส่วนบุคคลตามจริยธรรมของการประกอบวิชาชีพ

สำนักงานศาลดำเนินการจัดซื้อจัดจ้างโดยมีการใช้ข้อมูลส่วนบุคคลของคู่สัญญา

8 / 20

บริษัทแพลตฟอร์มดิจิทัลให้บริการบนมือถือและอุปกรณ์เคลื่อนที่ ต้องการรวบรวมข้อมูลตำแหน่ง GPS ของผู้ใช้งานเพื่อการพัฒนาปรับปรุงการให้บริการ แต่ว่าต่อมาบริษัทต้องการใช้ข้อมูลชุดเดียวกันสำหรับการโฆษณาแบบกำหนดเป้าหมายโดยไม่ขอความยินยอม บริษัทอาจละเมิดหลักการ PDPA?

หลักการเคลื่อนย้ายข้อมูล (Data Flow)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

หลักความรับผิดชอบในการกระทำ (Accountability)

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

9 / 20

เจ้าของข้อมูลส่วนบุคคลทำเรื่องขอเข้าถึงข้อมูลส่วนบุคคล แต่ขอข้อมูลส่วนบุคคลซึ่งปรกติองค์กรไม่ได้ใช้เลย องค์กรควรพิจารณาหลักการ PDPA ข้อใดเพื่อลดคำขอเหล่านี้ในอนาคต?

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความปลอดภัยของข้อมูล (Data Security)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

10 / 20

บริษัทค้าปลีกออนไลน์รายหนึ่งค้นพบการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูลบัตรเครดิตของลูกค้า บริษัทรายนี้ต้องดำเนินการทันทีเพื่อควบคุมการละเมิดและปกป้องบุคคลที่ได้รับผลกระทบ กำหนดเวลาในการรายงานการละเมิดนี้ต่อหน่วยงานกำกับดูแลภายใต้ PDPA คือเมื่อใด

ภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด

ภายใน 7 วันนับแต่ค้นพบการละเมิด

ภายใน 30 วันนับแต่วันที่ตรวจพบการละเมิด

ไม่จำเป็นต้องรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลทางการเงิน

11 / 20

องค์กรประสบกับการละเมิดข้อมูลส่วนบุคคล แต่พวกเขาไม่แน่ใจว่าจำเป็นต้องรายงานไปยังหน่วยงานกำกับดูแลหรือไม่ ตามหลักการ PDPA ข้อใดที่เน้นความสำคัญของการประเมินการละเมิดเพื่อพิจารณาว่าควรรายงานหรือไม่

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักความรับผิดชอบในการกระทำ (Accountability)

ความปลอดภัยของการประมวลผล

การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น (Privacy by Design and Privacy by Default)

12 / 20

โรงพยาบาลเอกชนแห่งหนึ่งพบเหตุการละเมิดข้อมูลแต่ไม่ได้รายงานต่อหน่วยงานกำกับดูแล โดยคิดว่าไม่มีนัยสำคัญ ต่อมาพบว่าการละเมิดมีผลกระทบสำคัญมากกว่าที่คิดไว้ในตอนแรก บริษัทควรทำอย่างไรตาม PDPA?

บันทึกการละเมิดไว้เป็นรายงานก็เพียงพอ ไม่ต้องรายงานเพราะ PDPA ถือว่าไม่มีเจตนาทุจริต

รายงานการละเมิดต่อหน่วยงานกำกับดูแลทันที

รอการเปิดเผยรายงานการละเมิดข้อมูลประจำปีครั้งถัดไปก็ได้

ไม่จำเป็นต้องรายงานหากในตอนแรกถือว่าไม่มีนัยสำคัญ

13 / 20

ร้านค้าเช่าหนังสือขนาดเล็กในอำเภอแห่งหนึ่งมีบัตรสมาชิกสะสมคะแนนแบบปั๊มรูป ร้านค้าจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากร้านค้าประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากร้านค้าได้รับยกเว้นตามกฎหมาย PDPA

ต้องแต่งตั้ง เนื่องจากร้านค้ามีบัตรสมาชิกสะสมคะแนน

ไม่ต้องแต่งตั้ง เนื่องจากร้านค้าไม่ได้ประมวลผลข้อมูลอย่างสม่ำเสมอ

14 / 20

สถาบันการเงินแห่งหนึ่งมีสาขาให้บริการทั่วประเทศ ประมวลผลข้อมูลส่วนบุคคลสำหรับบริการทางธนาคารและการใช้งานบัตรเครดิตของลูกค้า สถาบันการเงินมีความจำเป็นต้องแต่งตั้ง DPO ตามมาตรา 41 หรือไม่

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลส่วนบุคคล

ไม่ต้องแต่งตั้ง เนื่องจากเป็นสถาบันการเงิน ได้รับยกเว้นตาม PDPA

ต้องแต่งตั้ง เนื่องจากสถาบันการเงินประมวลผลข้อมูลอย่างสม่ำเสมอและจำนวนมาก

ไม่ต้องแต่งตั้ง เพราะสถาบันการเงินประมวลผลข้อมูลสำหรับบริการทางการเงิน สามารถทำได้โดยชอบตามกฎหมายเกี่ยวกับธุรกิจสถาบันการเงิน

15 / 20

ผู้ให้บริการด้านการแพทย์ส่งเวชระเบียนให้กับคนไข้ผิดโดยไม่ได้ตั้งใจ ขอถามว่า PDPA เน้นความสำคัญของเรื่องใดเพื่อป้องกันการละเมิดข้อมูลดังกล่าว

หลักการเก็บข้อมูลอย่างจำกัด (Data Minimization)

หลักการเก็บข้อมูลอย่างถูกต้อง (Data Accuracy)

หลักความลับและความถูกต้อง (Confidentiality and Integrity)

หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

16 / 20

ข้อใดที่นายจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลปฏิบัติถูกตามหลักการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล?

นายจ้างแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยแก่ผู้สมัครงานก่อนขอความยินยอม

นายจ้างสามารถตรวจข้อมูลประวัติอาชญากรรมได้โดยไม่ต้องขอความยินยอมเพราะถือเป็นความจำเป็นในการทำสัญญาและประโยชน์โดยชอบธรรมของนายจ้าง

นายจ้างมีสิทธิให้ลูกจ้างทุกคนยินยอมเปิดเผยข้อมูลประวัติครอบครัวเพื่อนำไปทำการตลาดได้

นายจ้างสามารถขอความยินยอมให้ลูกจ้างเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่าง ๆ ที่จะมีในอนาคตของนายจ้างได้

17 / 20

ลูกค้าของบริษัท e-commerce มีการเปลี่ยนแปลงที่อยู่ จึงแจ้งกับบริษัทให้แก้ไขข้อมูลของตน สิทธิข้อใดที่เกี่ยวข้องกับคำขอนี้

สิทธิคัดค้าน (Right to Object)

สิทธิระงับการใช้ข้อมูล (Right to Data Restriction)

สิทธิแก้ไข (Right to Rectification)

สิทธิการโอนย้ายข้อมูล (Right to Data Portability)

18 / 20

องค์กรที่ตั้งอยู่นอกประเทศไทย จะต้องปฏิบัติตาม PDPA ในกรณีใด

ในกรณีที่องค์กรมีผู้ถือหุ้นสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอสินค้าให้แก่คนสัญชาติจีนที่อาศัยอยู่ในประเทศไทย

ในกรณีที่องค์กรเฝ้าติดตามพฤติกรรมของคนสัญชาติไทยที่อาศัยอยู่ในต่างประเทศ

ในกรณีที่องค์กรเสนอบริการที่ต้องชำระเงินเท่านั้นแก่คนสัญชาติไทยที่อยู่ต่างประเทศ

19 / 20

ห้างสรรพสินค้าขนาดใหญ่ มีการใช้กล้องวงจรปิดในพื้นที่ common area เช่น ทางเข้า หน้าร้านค้า อาคารจอดรถ ห้างสรรพสินค้าต้องใช้ฐานทางกฎหมายและเหตุผลข้อใดในการเก็บรวบรวมข้อมูลส่วนบุคคล

ฐานสัญญา เพราะผู้ที่มาใช้บริการผูกพันทางสัญญาและต้องยอมรับเงื่อนไขของห้างสรรพสินค้า

ฐานความยินยอม เพราะกฎหมายบังคับให้ห้างสรรพสินค้าขอความยินยอมผู้มาใช้บริการ

ฐานประโยชน์โดยชอบด้วยกฎหมาย เพราะห้างสรรพสินค้าทำไปเพื่อรักษาความปลอดภัย

ฐานประโยชน์สาธารณะ เพราะห้างสรรพสินค้าถือว่าเป็นอาคารสาธารณะประเภทหนึ่ง

20 / 20

บริษัทการเงินแห่งหนึ่งเกิดไฟฟ้าขัดข้อง ทำให้ลูกค้าไม่สามารถเข้าถึงข้อมูลส่วนบุคคลของตนเองได้ กรณีนี้เป็นการละเมิดข้อมูลส่วนบุคคลหลักการใด

หลักธำรงไว้ซึ่งความลับ

หลักความถูกต้องครบถ้วน

หลักความพร้อมใช้งาน

หลักความแน่นอนชัดเจน