5 เคสที่ถูกปรับสูงสุดฐานละเมิด GDPR 

GDPR

#PDPAKnowledge | 5 เคสที่ถูกปรับสูงสุด ฐานละเมิด GDPR 

ปัจจุบันทั่วโลกต่างให้ความสนใจเรื่องสิทธิส่วนบุคคลของพลเมืองกันมากขึ้น เห็นได้จากการที่บริษัทยักษ์ใหญ่หลายแห่งถูกตัดสินให้มีความผิดฐานละเมิดข้อมูลส่วนบุคคล เนื่องจากไม่ปฎิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในทวีปยุโรป อย่าง GDPR ซึ่งมีอัตราโทษสูง ดังเคส 5 อันดับ บริษัทที่ถูกสั่งปรับเป็นจำนวนเงินสูงที่สุดในโลก ในปีที่ผ่านมา จากการจัดอันดับโดยเว็บไซต์ enforcement tracker 

1. Meta – 687 ล้านเหรียญยูโร (25,000 ล้านบาท)

นับเป็นปีที่หนักหนาของ Meta ก็ว่าได้ เพราะในปี 2022 นี้ ธุรกิจในเครือของ Meta ถูกคณะกรรมการคุ้มครองข้อมูลของประเทศไอร์แลนด์ สั่งปรับถึง 3 ครั้ง เป็นจำนวนเงินรวมกันมากกว่า 687 ล้านเหรียญยูโร ตีเป็นเงินไทยสูงถึง 25,000 ล้านบาท จากฐานความผิดดังต่อไปนี้

  • Instagram ละเมิดกฎหมายเกี่ยวกับการประมวลผลข้อมูลของเด็กอายุระหว่าง 13 ถึง 17 ปี ด้วยการเปิดเผยหมายเลขโทรศัพท์ และที่อยู่อีเมลของเด็กที่มีการเปิดบัญชีธุรกิจ หรือบัญชีสำหรับครีเอเตอร์ โดยถูกสั่งปรับเป็นจำนวนเงิน 405 ล้านเหรียญยูโร ตีเป็นเงินไทยกว่า 14,000 ล้านบาท 
  • Facebook ละเมิดกฎหมาย GDPR โดยการใช้หลักการคุ้มครองข้อมูลส่วนบุคคลโดยค่าเริ่มต้น (Data Protection by Design and Default) เป็นผลให้ผู้คุกคามสามารถดูดข้อมูลส่วนบุคคลของผู้ใช้จำนวนมหาศาลไปได้ ซึ่งถูกปรับเป็นเงินสูงถึง 265 ล้านเหรียญยูโร ตีเป็นเงินไทยถึงกว่า 9 พันล้านบาทเลยทีเดียว 
  • Facebook ถูกสั่งปรับฐานล้มเหลวในการวางมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล จนทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลเป็นจำนวนมากในช่วงเวลาระหว่าง 7 มิถุนายน 2018 ถึง 4 ธันวาคม 2018 โดยถูกสั่งปรับเป็นเงินจำนวน 17 ล้านเหรียญยูโร ตีเป็นเงินไทยกว่า 600 ล้านบาท

2. Clearview AI – 69 ล้านเหรียญยูโร (2,500 ล้านบาท)

การถูกสั่งปรับของ Clearview AI ซึ่งเป็นบริษัทเกี่ยวกับเทคโนโลยีจดจำใบหน้าของสหรัฐ ถือเป็นอีกหนึ่งคดีใหญ่ที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคลในปี 2022 โดย Clearview AI ถูกหน่วยงานกำกับดูแลความเป็นส่วนตัวของประเทศในสหภาพยุโรป ถึง 3 ประเทศ ได้แก่ ฝรั่งเศส กรีก และ อิตาลี รวมไปถึงประเทศสหราชอาณาจักร โดยสั่งปรับเป็นจำนวนเงินกว่า 69 ล้านเหรียญยูโร ตีเป็นเงินไทยสูงถึง 2,500 ล้านบาท หลังจากได้มีการจัดเก็บภาพถ่ายเซลฟี่ และรูปภาพจากอินเทอร์เน็ต เพื่อรวบรวมไว้ในฐานข้อมูลสำหรับการจดจำใบหน้า แต่กลับมีการนำไปใช้ในทางมิชอบ และได้มีการนำข้อมูลไปขายยังบุคคลที่ 3 จนได้รับคำร้องเรียนจำนวนมากจากพลเมืองของประเทศในสหภาพยุโรป อย่างไรก็ตาม CEO ของ Clearview AI ได้ออกมาเปิดเผยว่า บริษัทไม่ได้มีการบริหารงาน หรือมีลูกค้าในสหภาพยุโรป ดังนั้นจึงไม่ถือว่าผิดกฎหมาย GDPR 

3. Google LLC – 10 ล้านเหรียญยูโร ( ≈ 300 ล้านบาท)

ในปี 2022 บริษัท Google เองก็ไม่รอดพ้นจากการถูกปรับฐานละเมิดกฎหมาย GDPR โดยในเดือนพฤษภาคมที่ผ่านมา สำนักงานคุ้มครองข้อมูลของสเปน ได้ตัดสินให้ Google มีความผิดฐาน เปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลที่ 3 เพื่อนำไปใช้ประโยชน์ในทางมิชอบ และปิดกั้นไม่ให้เข้าถึงสิทธิ์การร้องเรียนการละเมิดข้อมูลส่วนบุคคล ซึ่งในครั้งนี้ Google ถูกสั่งปรับสูงถึง 10 ล้านเหรียญยูโร ตีเป็นเงินไทยกว่า 300 ล้านบาทเลยทีเดียว

4. REWE International AG – 8 ล้านเหรียญยูโร ( ≈ 290 ล้านบาท)

REWE International AG บริษัทค้าปลีกอาหารสัญชาติออสเตรีย เป็นอีกหนี่งบริษัทที่ถูกตัดสินให้มีความผิดฐานละเมิดกฎหมาย GDPR หลังจาก jö Bonus Club ซึ่งเป็นบริษัทในเครือไม่มีการแจ้งถึงวัตถุประสงค์ในการจัดเก็บข้อมูล จนทำให้เกิดผลกระทบกับลูกค้ากว่า 2 ล้านราย โดยหน่วยงานที่มีอำนาจคุ้มครองข้อมูลส่วนบุคคลได้มีการสั่งปรับบริษัทดังกล่าวสูงถึง 8 ล้านเหรียญยูโร หรือกว่า 290 ล้านบาทไทย

5. Cosmote Mobile Telecommunications S.A. – 6 ล้านเหรียญยูโร ( ≈ 220 ล้านบาท)

Cosmote Mobile Telecommunications S.A. บริษัทธุรกิจโทรคมนาคมของกรีซ ถูกสั่ง HDPA ตัดสินให้มีความผิดฐานละเมิดกฎหมาย GDPR และต้องจ่ายค่าปรับสูงถึง 6 ล้านเหรียญยูโร เป็นเงินไทยกว่า 220 ล้านบาท หลังจากการเกิดการรั่วไหลของข้อมูลการโทรของผู้ใช้งาน ในช่วงระยะเวลาระหว่าง 1 กันยายน 2020 ถึง 5 กันยายน 2020 ซึ่งส่งผลกระทบต่อผู้ใช้งานกว่า 10 ล้านรายเลยทีเดียว

และนี่คือ 5 เหตุการณ์ การสั่งปรับที่มีมูลค่าสูงที่สุดในโลก ซึ่งจะสังเกตได้ว่า เหตุการณ์ที่เกิดขึ้นทั้งหมดนั้นอยู่ภายใต้กฎหมาย GDPR ของสหภาพยุโรปแทบทั้งสิ้น แสดงให้เห็นถึงความเข้มงวดของการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ภายใต้ประเทศที่อยู่ในสหภาพยุโรป ขณะที่ในบ้านเราก็มีความคาดหวังว่า อนาคตเมื่อมีผู้คนตระหนักถึงสิทธิส่วนบุคคลมากขึ้น และมีการนำกฎหมายมาใช้อย่างจริงจัง คงจะไม่มีการนำข้อมูลส่วนบุคคลไปใช้ในทางมิชอบอีก

ที่มา –