fbpx

PDPA Cases: เจ็บหนักแบบ British Airways หรือไม่? เมื่อ Bangkok Airways พบข้อมูลส่วนบุคคลถูกละเมิด

PDPA Airways Breach Cases

“สายการบิน” เป็นอีกหนึ่งธุรกิจที่มีความเสี่ยงจากการถูกฟ้องร้องจากหน่วยงานกำกับดูแลและเจ้าของข้อมูล เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR และ PDPA ถูกคลอดออกมาบังคับใช้ เนื่องจากธุรกิจประเภทนี้ประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการแก่ลูกค้า แถมยังมีข้อมูลส่วนบุคคลของลูกค้าเก็บรักษาวนเวียนอยู่เป็นจำนวนมากและดึงถูกออกมาใช้งานบ่อย (ในการให้บริการแทบทุกครั้ง) หากระบบจัดการ/คุ้มครองข้อมูลไม่มั่นคงปลอดภัยก็อาจเกิดความผิดพลาด จนเป็นช่องโหว่ของเหตุการณ์ละเมิดที่ส่งผลให้องค์กรเจ็บตัวจากกฎหมายได้

ช่วงสาระแน่ >> PDPA Thailand ชวนส่องเปรียบเทียบ 2 เคสตัวอย่างสายการบินที่มีประเด็นการละเมิดด้านข้อมูลส่วนบุคคล คือ British Airways และ Bangkok Airways ไว้เป็นอุทาหรณ์ …

British Airways ผู้เคยเจ็บจากกฎหมายอย่าง GDPR มาก่อนกาล

จากบทความ เจ็บหนัก! เผยเคสถูกปรับจาก กฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่คุณเองคงไม่อยากโดน สายการบิน British Airways เป็นหนึ่งในเคสตัวอย่างที่ถูก (ตั้งใจ) สั่งปรับจาก หน่วยงานกำกับดูแลด้านข้อมูลของสหราชอาณาจักร (ICO) เป็นเงินสูงถึง 230.3 ล้านดอลลาร์สหรัฐ หรือประมาณ 7,218 ล้านบาท โดยทาง ICO ระบุว่าสายการบินแห่งนี้ “ล้มเหลวในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะข้อมูลทางการการเงินของลูกค้ามากกว่า 400,000 คน” ภายใต้บังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR)

ขณะเกิดเหตุละเมิด สหราชอาณาจักรยังไม่ทันแยกตัวเองออกจากสหภาพยุโรป
เมื่อดูตามไทม์ไลน์แล้ว สายการบินสัญชาติอังกฤษจึงเข้าข่ายโดนกฎหมาย GDPR ไปเต็ม ๆ นั่นเอง

การสอบสวนพบว่าสายการบินมีการประมวลผลของมูลส่วนบุคคลเป็นจำนวนมากโดยปราศจากมาตรการคุ้มครองข้อมูลที่เพียงพอ แถมภายหลังการโจมตีทางไซเบอร์ในปี 2018 บริษัทยังไม่สามารถตรวจสอบพบปัญหาดังกล่าวเป็นเวลานานกว่า 2 เดือน ซึ่งหน่วยงานกำกับดูแลเล็งเห็นว่า British Airways ควรมีความสามารถในการระบุจุดอ่อนของระบบรักษาความมั่นคงปลอดภัยทางไซเบอร์ของตนเอง และดำเนินการแก้ไขปัญหาดังกล่าวด้วยมาตรการต่าง ๆ ได้อย่างทันท่วงที

ความล้มเหลวในการคุ้มครองข้อมูลในครั้งนี้ก่อให้เกิดความกังวลแก่เจ้าของข้อมูลและไม่สามารถยอมรับได้ จนท้ายที่สุด British Airways จึงถูกปรับเป็นเงินประมาณ 27 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 91 ล้านบาท โดยพิจารณาจากคำให้การจากตัวแทนสายการบินและปัจจัยด้านผลกระทบทางเศรษฐกิจอันเนื่องมาจากการระบาดของ COVID-19 เข้ามาคำนวณ … ค่าปรับจริงถูกลงมาก แต่ก็ยังคงเจ็บอยู่ดีจริงไหมครับ?

GDPR เป็นกฎหมายที่บังคับให้ธุรกิจหันมาใส่ใจเกี่ยวกับมาตรการต่าง ๆ ในการคุ้มครองข้อมูลส่วนบุคคล ยิ่งมีการประมวลผลข้อมูลส่วนบุคคลมากเท่าไหร่ ยิ่งต้องให้ความสำคัญมากขึ้นเท่านั้น บวกกับยังกดดันให้ประเทศในภูมิภาคอื่น ๆ เริ่มคลอดกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาเพื่อดีลธุรกิจกับสหภาพยุโรป เพราะผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลแต่ละแห่งที่ส่งต่อข้อมูลระหว่างกันต้อง “ศีลเสมอกัน” คุ้มครองข้อมูลส่วนบุคคลในมาตรฐานเดียวกันจึงจะเกิดความปลอดภัยทั้งระบบตามที่กฎหมายกำหนด เมืองไทยจึงจำเป็นต้องมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ออกมารองรับ!

Bangkok Airways ทำบุญมาดี ยังไม่โดน PDPA เต็มรูปแบบ

เวลาประมาณ 5 โมงเย็นของวันที่ 26 สิงหาคม 2564 สายการบิน Bangkok Airways ได้ออกมาชี้แจงผ่านเฟซบุ๊กเพจ ถึงกรณีตรวจสอบพบความผิดปกติในระบบเครือข่ายของบริษัท การบินกรุงเทพ จำกัด (มหาชน) อันเนื่องมาจากการถูกโจมตีด้านความปลอดภัยทางไซเบอร์ เมื่อวันที่ 23 สิงหาคม 2564 ส่งผลให้มีการเข้าถึงระบบสารสนเทศของบริษัทฯ โดยไม่ได้รับอนุญาต เบื้องต้นพบว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่ ชื่อ-นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ ช่องทางการติดต่อสื่อสาร ประวัติการเดินทาง รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษ (Special Categories of Personal Data) ประเภทข้อมูลหนังสือเดินทาง บัตรเครดิต อาหารพิเศษ และอาจมีข้อมูลอื่น ๆ ตกอยู่ในความเสี่ยง เพื่อให้ลูกค้ารับทราบและดำเนินการป้องกันแก้ไขได้อย่างทันท่วงที

*ปัจจุบันยังไม่พบประกาศชี้แจ้งความคืบหน้าในการสืบสวน หรือโพสต์ชี้แจงรายละเอียดของความเสียหายจากการละเมิดจากสายการบินเพิ่มเติม

โชคดีของทางสายการบิน Bangkok Airways เพราะเหตุการณ์ละเมิดในครั้งนี้เกิดขึ้นในช่วงที่มีการยกเว้นบังคับใช้ PDPA อันเนื่องมากจากการประกาศพระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ 2) พ.ศ.2564 ลงในพระราชกิจจานุเบกษา ซึ่งมีเนื้อหาสรุปง่าย ๆ ก็คือ ยกเว้นโทษสำหรับองค์กรและให้เวลาในการเตรียมตัวสำหรับทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพิ่มขึ้นอีก 1 ปี เพราะความยากลำบากจากการระบาดของโควิด-19 โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 เป็นต้นไป

อีกหนึ่งประเด็นที่น่าสังเกตคือ สายการบินไม่ปกปิดเหตุการณ์และรีบดำเนินการสอบสวนและแจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบอย่างรวดเร็วภายใน 72 ชั่วโมงภายหลังทราบเหตุการละเมิด (ดูตามข้อความในประกาศและวันที่ประกาศ) ซึ่งตรงตามแนวทางปฏิบัติที่ถูกบัญญัติไว้ใน พระราชบัญญัติคุ้มครองข้อมูลลส่วนบุคคล

และเพราะเหตุผลทั้งสองประการนี้เอง

>> Bangkok Airways ไม่น่าโดนโทษใด ๆ จาก PDPA ของไทย ไม่ว่าจะเป็นทางปกครอง แพ่ง หรืออาญา <<

อย่างไรก็ตาม บริษัทฯ ยังคงมีความเสี่ยงที่จะถูกฟ้องร้องดำเนินคดีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศเป็นกรณี ๆ ไป ยกตัวอย่างเช่น คุณจะแน่ใจได้อย่างไรว่า ข้อมูลส่วนบุคคลที่ได้รับผลกระทบนั้นไม่ใช่ข้อมูลของประชากรในสหภาพยุโรป? หากมีผู้ที่นำข้อมูลนั้นไปโฆษณาหรือสร้างความเสียหายแก่บุคคลขณะอยู่ในพื้นที่ของสหภาพฯ (เคยใช้บริการ/ให้ข้อมูลแก่สายการบินแต่บินกลับภูมิลำเนาแล้ว) จะกลายเป็นว่าบุคคลนั้นอยู่ในอาณาเขตของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และสามารถใช้อำนาจตามกฎหมายดำเนินการฟ้องร้องทางสายการบินได้นั่นเอง

คำตอบสำหรับเหตุละเมิดนี้ก็คือ Bangkok Airways อาจจะไม่เจ็บหนัก แต่อาจจะโดนฟ้องเจ็บ ๆ คัน ๆ บ้างเป็นบางครั้งในอนาคต

สรุปบทลงโทษ (ที่คุณเองก็ไม่อยากโดน)

สายการบินทั้งสองแห่งต่างประสบกับการละเมิดข้อมูลส่วนบุคคลในระบบของบริษัท ฯ

  • British Airways โชคร้ายที่โดนปรับหนักหน่อยเพราะอยู่ในสหภาพยุโรปที่มีกฎหมาย GDPR บังคับใช้โดยตรง
  • Bangkok Airways โชคดีที่ PDPA ยกเว้นบังคับใช้ แต่อาจโดนฟ้องจากผู้เสียหายในต่างประเทศ

องค์กรหลายแห่งคงรู้สึกวูบวาบ ร้อน ๆ หนาว ๆ ไปตามกัน ลองพิจารณาดูว่าคุณมีความเสี่ยงมากน้อยเพียงใด เพราะแม้ไม่ได้เป็นสายการบิน ก็ยังมีอีกหลายธุรกิจที่รวบรวม/ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก ซึ่งควรมีความระมัดระวังเป็นพิเศษ เพราะอาจตกเป็นเป้าการโจมตีหรือเกิดอุบัติเหตุ และเสี่ยงได้รับโทษคล้ายเคสข้างต้นเช่นกัน

แบบนี้คงต้องลุกขึ้นมาดำเนินการให้สอดคล้องตาม PDPA ที่กำลังจะบังคับใช้เต็มฉบับในวันที่ 1 มิถุนายน 2565 นี้แล้วครับ (หรือหากองค์กรทำตาม PDPA แล้วก็อย่าลืมตรวจสอบให้แน่ใจว่าทุกอย่างเข้าที่สอดคล้องตามกฎหมาย)

ข้อมูลอ้างอิงจาก:

Information Commissioner’s Office. (2019). Intention to fine British Airways £183.39m under GDPR for data breach. Retrieved 2021, September 21, from https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

Information Commissioner’s Office. (2020). ICO fines British Airways £20m for data breach affecting more than 400,000 customers. Retrieved 2021, September 21, from https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers

Bangkok Airways. (2564). บางกอกแอร์เวย์ส ชี้แจงกรณีตรวจสอบพบความผิดปกติในระบบเครือข่ายของบริษัทฯ. สืบค้น 21 กันยายน 2564, จาก https://www.facebook.com/FlyBangkokAir/posts/4677176115627817

X

Leke Kremi Symlink shell Instagram Türk takipçi al haberler antalya ko cuce Wso shell download Etkileşim Özelliği Olan Instagram ucuz Takipçiler Antalya ilaçlama firmaları