6 กรณีศึกษา เจอปรับหนัก! ละเมิดข้อมูลส่วนบุคคล
ขณะที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่มีการประกาศใช้ในบ้านเรา มีสาระสำคัญที่ การให้ความคุ้มครองในเรื่องของข้อมูลส่วนบุคคล ที่สามารถนำไประบุตัวบุคคลได้ เพื่อไม่ให้เจ้าของข้อมูลถูกละเมิดความเป็นส่วนตัว โดยสหภาพยุโรป (EU) ก็มีกฎหมาย GDPR หรือ General Data Protection Regulation ซึ่งได้ถูกประกาศใช้มาตั้งแต่ปี 2561 ที่ผ่านมา ทำให้เกิดกรณีศึกษาความล้มเหลวในการดูแลความปลอดภัยของข้อมูลส่วนบุคคล ทำให้เกิดการ ละเมิดข้อมูลส่วนบุคคล และมีบทลงโทษทางกฎหมายให้เห็นอยู่หลายเคส ได้แก่
เหตุการณ์ละเมิดข้อมูลส่วนบุคคล จากเพจหลอกลวงที่แอบอ้างเป็น British Airways
เมื่อเดือนมิถุนายน 2561 ที่ผ่านมา เว็บไซต์ของสายการบินถูกเปลี่ยนเส้นทางไปสู่หน้าเพจหลอกขโมยข้อมูลของมิจฉาชีพ ทำให้เกิดการ ละเมิดข้อมูลส่วนบุคคล ของลูกค้าที่ซื้อตั๋วเครื่องบินผ่านทางเว็บไซต์ราว 500,000 ราย ตกไปอยู่ในมือแฮ็กเกอร์ ทางสายการบินถูกลงโทษจาก ICO เป็นจำนวนเงิน 204.6 ล้านยูโร (ประมาณ 8,184 ล้านบาท)
ละเมิดข้อมูลส่วนบุคคล ของ Marriott International Hotel โดยแฮ็กเกอร์
ถูกแฮกเกอร์เปิดเผยข้อมูลส่วนบุคคลของลูกค้ากว่า 300 ล้านราย ในจำนวนนี้มีกว่า 30 ล้านราย ที่เป็นประชากรของสหภาพยุโรป ทำให้ถูกลงโทษปรับถึง 110.3 ล้านยูโร (4,412 ล้านบาท)
เหตุการณ์ ละเมิดข้อมูลส่วนบุคคล ของ Google
ยักษ์ใหญ่แห่งวงการดิจิทัลอย่าง Google ก็ไม่รอด ถูกทางการฝรั่งเศสสั่งปรับเงินจำนวน 50 ล้านยูโร (ประมาณ 200 ล้านบาท) เพราะผู้ใช้งานไม่สามารถเข้าถึงรายงานประมวลผลข้อมูลผู้บริโภคได้โดยง่าย ยิ่งไปกว่านั้น Google ยังมีความผิดที่ไม่ขอความยินยอมจากผู้บริโภค ในการนำขอข้อมูลมาใช้ทำแคมเปญโฆษณาแบบ targeting ซึ่งผิดกฎหมาย GDPR
Austrian Post
หน่วยงานไปรษณีย์ของออสเตรียถูกสั่งปรับ 18.5 ล้านยูโร (ประมาณ 740 ล้านบาท) โทษฐานขายข้อมูลผู้บริโภคโดยมิชอบ ซึ่งเป็นการละเมิดข้อบังคับ GDPR เมื่อช่วงต้นปี 2562 ที่ผ่านมา
Deutsche Wohnen SE
เคสนี้ถูกจัดว่าเป็นกรณีละเมิด GDPR ครั้งใหญ่ที่สุดของวงการอสังหาริมทรัพย์ เพราะกระทำผิด มีการเก็บข้อมูลเซนซิทีฟของผู้บริโภคนานเกินความจำเป็น โดยไม่มีเหตุผลที่ชอบธรรมตามกฎหมาย ถูกทางการปรับเป็นเงินถึง 14.5 ล้านยูโร (ประมาณ 580 ล้านบาท)
1&1 Telecom GmbH
ถูกปรับ 9.5 ล้านยูโร (ประมาณ 380 ล้านบาท) จากการที่ศูนย์คอลเซนเตอร์ของบริษัทไม่มีมาตการป้องกันรักษาข้อมูลลูกค้าที่ดีพอ ทั้งทางเทคนิคและนโยบายองค์กร โดยทางการพบว่า คนที่โทรไปติดต่อคอลเซนเตอร์ของบริษัทสามารถดีงข้อมูลลูกค้าออกมาได้ เพียงแค่ใส่ชื่อกับวันดือนปีเกิด จึงถือเป็นความผิดขององค์กรที่ไม่มีมาตรการพิสูจน์ตัวตนและป้องกันข้อมูลที่เข้มงวดตามกฎหมาย GDPR
จากเคสตัวอย่างที่ยกมานี้ จะเห็นได้ว่าบางเคสมีการถูกปรับจากเรื่องเพียงเล็กน้อยที่มีการมองข้าม เช่น มาตการป้องกันรักษาข้อมูลลูกค้า หรือ การเก็บข้อมูลนานเกินความจำเป็น ฉะนั้นผู้ประกอบการ องค์กร หรือหน่วยงาน จำเป็นต้องมีมาตรการในการระมัดระวังดูแลปกป้องข้อมูลส่วนบุคคลอย่างเข้มงวด เพื่อป้องกันการถูกล่วงละเมิด ส่งผลเสียหายต่อเจ้าของข้อมูล ไม่ว่าเจ้าของข้อมูลนั้นจะเป็นลูกค้า พนักงาน หรือหุ้นส่วนธุรกิจก็ตาม
ที่มา : SCB ไทยพาณิชย์