8 Case Study เรื่องการหลุดรั่วของข้อมูลส่วนบุคคลที่องค์กรถูกสั่งปรับสูงสุดในต่างประเทศ

ในช่วงสัปดาห์ที่ผ่านมา มีข่าวเกี่ยวกับการหลุดรั่วของข้อมูลส่วนบุคคลให้เห็นอยู่หลายกรณีที่อาจส่งผลกระทบต่อความเชื่อมั่นขององค์กร และความวิตกกังวลของประชาชนว่า ข้อมูลส่วนบุคคลของเขา จะถูกนำไปใช้หาประโยชน์อะไรในทางที่ไม่ชอบด้วยกฎหมาย โดยเหตุการณ์ตามข่าว หลายต่อหลายข่าว จะเกี่ยวข้องการที่ข้อมูลส่วนบุคคล ถูกแฮกออกไปจากระบบ

ยังถือว่าเป็นโชคดีของผู้ประกอบการไทย ที่ปัจจุบัน แม้กฎหมาย PDPA จะมีการประกาศใช้บังคับแล้ว แต่ได้มีการเลื่อนการบังคับใช้ออกไปบางส่วน โดยเฉพาะในส่วนของการคุ้มครองข้อมูลส่วนบุคคล, สิทธิของเจ้าของข้อมูลส่วนบุคคล, การร้องเรียนเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล และในส่วนของความรับผิดและกำหนดโทษต่าง ๆ ตามกฎหมาย ออกไปก่อน

แล้วการหลุดรั่วของข้อมูลส่วนบุคคล มันเกิดขึ้นได้จากการ “ถูกแฮก” ข้อมูลเพียงกรณีเดียวหรือเปล่า ?

และถ้าหากเกิดการหลุดรั่วของข้อมูลส่วนบุคคลขึ้นในต่างประเทศ โดยเฉพาะในประเทศภาคพื้นยุโรปที่มีการประกาศใช้บังคับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ชื่อ GDPR (General Data Protection Regulation) ล่ะ ผู้ประกอบการในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” จะได้รับผลกระทบอย่างไร ?

8 กรณีศึกษา ที่เกิดการหลุดรั่วของข้อมูลส่วนบุคคล และละเมิดข้อมูลส่วนบุคคลในต่างประเทศ 

นี่ คือ 8 กรณีศึกษา ที่เกิดการหลุดรั่วของข้อมูลส่วนบุคคล และละเมิดข้อมูลส่วนบุคคลในต่างประเทศ ส่งผลให้กิจการเหล่านั้น ถูกสั่งปรับเป็นมูลค่ามหาศาล และติดอันดับ 8 กิจการที่ถูกสั่งปรับสูงสุดจากการฝ่าฝืนกฎหมาย GDPR ครับ 

1.AMAZON (885.9 ล้านเหรียญสหรัฐ)

E-Commerce ยักษ์ใหญ่ของสหรัฐ ถูกสั่งปรับเป็นเงินมูลค่าสูงถึง 885.9 ล้านเหรียญสหรัฐ ฐานฝ่าฝืนความเป็นส่วนตัวของลูกค้าผู้ใช้บริการ โดย AMAZON ได้เก็บข้อมูลส่วนบุคคลของลูกค้าไว้โดยไม่ได้แจ้งวัตถุประสงค์ และได้มีการนำข้อมูลส่วนบุคคลดังกล่าวไปวิเคราะห์พฤติกรรมการใช้งานของลูกค้าเพื่อยิงโฆษณา หาประโยชน์ทางการตลาด สร้างรายได้ให้แก่กิจการของตนเอง ซึ่งถือเป็นค่าปรับที่สูงที่สุดในปัจจุบัน อันเป็นผลมาจากการฝ่าฝืนบทบัญญัติของ GDPR 

2.WhatsApp (267.2 ล้านเหรียญสหรัฐ)

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไอร์แลนด์ ได้สั่งปรับ WhatsApp โทษฐานที่ได้มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยปราศจากการปกป้องข้อมูลของผู้ใช้ และไม่สามารถปฏิบัติตามข้อกำหนดด้านความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลดังกล่าว 

3.Google (59.3 ล้านเหรียญสหรัฐ)

หน่วยงานกำกับดูแลข้อมูลของฝรั่งเศส ได้พิจารณาแล้วเห็นว่า Google ได้มีการปฏิบัติผิดหน้าที่ของ “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่ได้มีการจัดทำนโยบายการใช้งานข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยไม่เอื้อให้ผู้ใช้งานแพลตฟอร์มสามารถเข้าถึงรายงานประมวลผลข้อมูลผู้บริโภค (consumer data processing statement) ได้โดยง่าย มีการใช้ภาษาที่กำกวม ยากต่อความเข้าใจ และยังได้มีการนำข้อมูลส่วนบุคคลของผู้ใช้บริการไปใช้ในการทำแคมเปญโฆษณาโดยไม่ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

4.H&M (41.8 ล้านเหรียญสหรัฐ)

แบรนด์เสื้อผ้าชื่อดัง ได้ถูกสั่งปรับ เนื่องจากบริษัทได้มีการเก็บข้อมูลส่วนบุคคลของพนักงานเป็นจำนวนมาก ทั้งที่เกี่ยวข้องกับการทำงานและไม่เกี่ยวข้องกับการทำงาน เช่น ปัญหาในครอบครัว, ความเชื่อทางศาสนา และอาการป่วยต่าง ๆ โดยไม่ได้รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล อันเป็นการละเมิดความเป็นส่วนตัวของพนักงาน และในเวลาต่อมา ระบบการจัดเก็บข้อมูลเกิดปัญหา ทำให้พนักงานสามารถเข้าถึงข้อมูลทั้งของตนเองและพนักงานคนอื่นได้

5.TIM Telecom (33.0 ล้านเหรียญสหรัฐ)

หน่วยงานกำกับดูแลข้อมูลส่วนบุคคลในประเทศอิตาลี (Italian Data Protection Authority) ได้สั่งปรับผู้ให้บริการโทรคมนาคมรายใหญ่เจ้านี้ เนื่องจากมีการฝ่าฝืนบทบัญญัติของ GDPR โดยได้มีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลของผู้บริโภคผู้ใช้บริการ และบุคคลอื่น ๆ ที่ไม่ใช่ลูกค้า กว่าล้านรายการ แล้วได้ใช้ข้อมูลดังกล่าวในการติดต่อเจ้าของข้อมูลส่วนบุคคล หลายครั้ง เพื่อประโยชน์ในการดำเนินกลยุทธ์ทางการตลาด โดยปราศจากความยินยอม และมีการเก็บข้อมูลส่วนบุคคลไว้เป็นระยะเวลาเกินกว่าความจำเป็น 

6.British Airways (26.2 ล้านเหรียญสหรัฐ)

สายการบิน British Airways ถูกหน่วยงานกำกับดูแลด้านข้อมูลของสหราชอาณาจักร (ICO) สั่งปรับเป็นเงินสูงถึง 7,218 ล้านบาท โดย ICO ระบุว่าทางสายการบิน “การจัดการด้านความมั่นคงปลอดภัยของข้อมูลที่หละหลวม” เป็นเหตุให้ถูกแฮกเกอร์ลักลอบเจาะระบบเว็บไซต์ ba.com และแอปพลิเคชันของสายการบิน และทำการจารกรรมเอาข้อมูลส่วนบุคคลของลูกค้ากว่า 5 แสนราย อาทิ ข้อมูลส่วนตัว ข้อมูลบัตรเครดิตของลูกค้า และข้อมูลสำคัญต่าง ๆ ที่ได้มีการเก็บบันทึกเอาไว้ ไปโดยไม่ชอบ

7.Marriott International (24.2 ล้านเหรียญสหรัฐ)

เชนโรงแรมชื่อดังแห่งสหราชอาณาจักร ได้ถูกคณะกรรมาธิการด้านข้อมูลส่วนบุคคลของสหราชอาณาจักรหรือ ICO สั่งปรับเนื่องจาก เมื่อหลายปีก่อน บริษัทได้ประกาศเข้าซื้อโรงแรมในเครือ Starwood และได้ทำการควบรวมกิจการ โดยในขณะนั้น ไม่ได้มีการทำ Due Diligence อย่างละเอียด และไม่พบเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล ซึ่งส่งผลกระทบต่อประชาชนกรในกลุ่มประเทศในสหภาพยุโรป ราว 30 ล้านคน 

8.WIND TRE (19.8M ล้านเหรียญสหรัฐ)

ผู้ให้บริการโทรศัพท์เคลื่อนที่ของประเทศอิตาลี ถูกคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศอิตาลีสั่งปรับ เนื่องจากมีการนำข้อมูลส่วนบุคคลของลูกค้าไปใช้ในการทำกิจกรรมทางการตลาดโดยตรงถึงลูกค้า โดยปราศจากความยินยอม และไม่ชอบด้วยกฎหมาย (Unlawful Direct Marketing Activities) อีกทั้งไม่ยินยอมเปิดสิทธิให้แก่เจ้าของข้อมูลส่วนบุคคลยกเลิกการติดตามข่าวสาร (unsubscribe) ของบริษัทได้

สรุป

จะเห็นได้ว่า เหตุการณ์การละเมิดข้อมูลส่วนบุคคลทั้ง 8 กรณีที่กล่าวมา ไม่ได้เกิดขึ้นจากการที่ข้อมูลส่วนบุคคล “ถูกแฮก” เท่านั้น  เรื่องนี้ จึงเป็นอุทาหรณ์อย่างหนึ่ง เกี่ยวกับเรื่องของการคุ้มครองข้อมูลส่วนบุคคลว่า การหลุดรั่วของข้อมูลส่วนบุคคล และการละเมิดข้อมูลส่วนบุคคล สามารถเกิดขึ้นได้ในหลากหลายกรณี ทั้งในกรณีที่เราละเลยในการให้ความคุ้มครองข้อมูลส่วนบุคคล หรือแม้กระทั่งกรณีที่เราพยายามป้องกันข้อมูลส่วนบุคคลไม่ให้รั่วไหลอย่างดีแล้ว แต่ก็ยังเกิดเหตุการณ์หลุดรั่วของข้อมูลส่วนบุคคลได้ 

แต่ไม่ว่า การหลุดรั่วของข้อมูลส่วนบุคคลหรือการละเมิดข้อมูลส่วนบุคคลขึ้น ไม่ว่าจะด้วยสาเหตุอะไร ย่อมส่งผลให้องค์กรในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” เกิดความเสี่ยงที่จะได้รับโทษตามที่กฎหมายกำหนด และที่สำคัญ คือ สูญเสียความน่าเชื่อถือในการประกอบกิจการ ซึ่งประเด็นหลังนี้ เป็นเรื่องสำคัญที่หากองค์กรสูญเสีย “ความน่าเชื่อถือ” ไปแล้ว…. ยากที่จะประเมินความเสียหายที่ส่งผลกระทบต่อแบรนด์ได้

เราเห็นเหตุการณ์การหลุดรั่วของข้อมูลส่วนบุคคลทั้งในต่างประเทศและในประเทศหลากหลายกรณีแล้ว คงถึงเวลาที่เราจะต้องหันมาให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลอย่างจริงจังแล้วครับ เพราะมัน เป็นเรื่องใกล้ตัวกว่าที่เราคาดคิดมากนักครับ