#PDPACase | กรณีศึกษา การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล ใน EU
ขณะที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่มีการประกาศใช้ในบ้านเรา มีสาระสำคัญที่ การให้ความคุ้มครองในเรื่องของข้อมูลส่วนบุคคล ที่สามารถนำไประบุตัวบุคคลได้ เพื่อไม่ให้เจ้าของข้อมูลถูกละเมิดความเป็นส่วนตัว
สหภาพยุโรป (EU) ก็มีกฎหมาย GDPR หรือ General Data Protection Regulation ซึ่งได้ถูกประกาศใช้มาตั้งแต่ปี 2561 ที่ผ่านมา ทำให้เกิดกรณีศึกษาความล้มเหลวในการดูแลความปลอดภัยของข้อมูลส่วนบุคคล และบทลงโทษทางกฎหมายให้เห็นอยู่หลายเคส เช่น
👉 British Airways
เมื่อเดือนมิถุนายน 2561 ที่ผ่านมา เว็บไซต์ของสายการบินถูกเปลี่ยนเส้นทางไปสู่หน้าเพจหลอกขโมยข้อมูลของมิจฉาชีพ ทำให้ข้อมูลส่วนบุคคลของลูกค้าที่ซื้อตั๋วเครื่องบินผ่านทางเว็บไซต์ราว 500,000 ราย ตกไปอยู่ในมือแฮ็กเกอร์ ทางสายการบินถูกลงโทษจาก ICO เป็นจำนวนเงิน 204.6 ล้านยูโร (ประมาณ 8,184 ล้านบาท)
👉 Marriott International Hotel
ถูกแฮกเกอร์เปิดเผยข้อมูลส่วนบุคคลของลูกค้ากว่า 300 ล้านราย ในจำนวนนี้มีกว่า 30 ล้านราย ที่เป็นประชากรของสหภาพยุโรป ทำให้ถูกลงโทษปรับถึง 110.3 ล้านยูโร (4,412 ล้านบาท)
ยักษ์ใหญ่แห่งวงการดิจิทัลอย่าง Google ก็ไม่รอด ถูกทางการฝรั่งเศสสั่งปรับเงินจำนวน 50 ล้านยูโร (ประมาณ 200 ล้านบาท) เพราะผู้ใช้งานไม่สามารถเข้าถึงรายงานประมวลผลข้อมูลผู้บริโภคได้โดยง่าย ยิ่งไปกว่านั้น Google ยังมีความผิดที่ไม่ขอความยินยอมจากผู้บริโภค ในการนำขอข้อมูลมาใช้ทำแคมเปญโฆษณาแบบ targeting ซึ่งผิดกฎหมาย GDPR
👉 Austrian Post
หน่วยงานไปรษณีย์ของออสเตรียถูกสั่งปรับ 18.5 ล้านยูโร (ประมาณ 740 ล้านบาท) โทษฐานขายข้อมูลผู้บริโภคโดยมิชอบ ซึ่งเป็นการละเมิดข้อบังคับ GDPR เมื่อช่วงต้นปี 2562 ที่ผ่านมา
👉 Deutsche Wohnen SE
เคสนี้ถูกจัดว่าเป็นกรณีละเมิด GDPR ครั้งใหญ่ที่สุดของวงการอสังหาริมทรัพย์ เพราะกระทำผิด มีการเก็บข้อมูลเซนซิทีฟของผู้บริโภคนานเกินความจำเป็น โดยไม่มีเหตุผลที่ชอบธรรมตามกฎหมาย ถูกทางการปรับเป็นเงินถึง 14.5 ล้านยูโร (ประมาณ 580 ล้านบาท)
👉 1&1 Telecom GmbH
ถูกปรับ 9.5 ล้านยูโร (ประมาณ 380 ล้านบาท) จากการที่ศูนย์คอลเซนเตอร์ของบริษัทไม่มีมาตการป้องกันรักษาข้อมูลลูกค้าที่ดีพอ ทั้งทางเทคนิคและนโยบายองค์กร โดยทางการพบว่า คนที่โทรไปติดต่อคอลเซนเตอร์ของบริษัทสามารถดีงข้อมูลลูกค้าออกมาได้ เพียงแค่ใส่ชื่อกับวันดือนปีเกิด จึงถือเป็นความผิดขององค์กรที่ไม่มีมาตรการพิสูจน์ตัวตนและป้องกันข้อมูลที่เข้มงวดตามกฎหมาย GDPR
จากเคสตัวอย่างที่ยกมานี้ จะเห็นได้ว่าบางเคสมีการถูกปรับจากเรื่องเพียงเล็กน้อยที่มีการมองข้าม เช่น มาตการป้องกันรักษาข้อมูลลูกค้า หรือ การเก็บข้อมูลนานเกินความจำเป็น ฉะนั้นผู้ประกอบการ องค์กร หรือหน่วยงาน จำเป็นต้องมีมาตรการในการระมัดระวังดูแลปกป้องข้อมูลส่วนบุคคลอย่างเข้มงวด เพื่อป้องกันการถูกล่วงละเมิด ส่งผลเสียหายต่อเจ้าของข้อมูล ไม่ว่าเจ้าของข้อมูลนั้นจะเป็นลูกค้า พนักงาน หรือหุ้นส่วนธุรกิจก็ตาม
