fbpx

PDPA Cases: เจ็บหนักแบบ British Airways หรือไม่? เมื่อ Bangkok Airways พบข้อมูลส่วนบุคคลถูกละเมิด

“สายการบิน” เป็นอีกหนึ่งธุรกิจที่มีความเสี่ยงจากการถูกฟ้องร้องจากหน่วยงานกำกับดูแลและเจ้าของข้อมูล เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR และ PDPA ถูกคลอดออกมาบังคับใช้ เนื่องจากธุรกิจประเภทนี้ประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการแก่ลูกค้า แถมยังมีข้อมูลส่วนบุคคลของลูกค้าเก็บรักษาวนเวียนอยู่เป็นจำนวนมากและดึงถูกออกมาใช้งานบ่อย (ในการให้บริการแทบทุกครั้ง) หากระบบจัดการ/คุ้มครองข้อมูลไม่มั่นคงปลอดภัยก็อาจเกิดความผิดพลาด จนเป็นช่องโหว่ของเหตุการณ์ละเมิดที่ส่งผลให้องค์กรเจ็บตัวจากกฎหมายได้

ช่วงสาระแน่ >> PDPA Thailand ชวนส่องเปรียบเทียบ 2 เคสตัวอย่างสายการบินที่มีประเด็นการละเมิดด้านข้อมูลส่วนบุคคล คือ British Airways และ Bangkok Airways ไว้เป็นอุทาหรณ์ 

British Airways ผู้เคยเจ็บจากกฎหมายอย่าง GDPR มาก่อนกาล

จากบทความ เจ็บหนัก! เผยเคสถูกปรับจาก กฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่คุณเองคงไม่อยากโดน สายการบิน British Airways เป็นหนึ่งในเคสตัวอย่างที่ถูก (ตั้งใจ) สั่งปรับจาก หน่วยงานกำกับดูแลด้านข้อมูลของสหราชอาณาจักร (ICO) เป็นเงินสูงถึง 230.3 ล้านดอลลาร์สหรัฐ หรือประมาณ 7,218 ล้านบาท โดยทาง ICO ระบุว่าสายการบินแห่งนี้ “ล้มเหลวในการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะข้อมูลทางการการเงินของลูกค้ามากกว่า 400,000 คน” ภายใต้บังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR)

ขณะเกิดเหตุละเมิด สหราชอาณาจักรยังไม่ทันแยกตัวเองออกจากสหภาพยุโรป
เมื่อดูตามไทม์ไลน์แล้ว สายการบินสัญชาติอังกฤษจึงเข้าข่ายโดนกฎหมาย GDPR ไปเต็ม ๆ นั่นเอง

การสอบสวนพบว่าสายการบินมีการประมวลผลของมูลส่วนบุคคลเป็นจำนวนมากโดยปราศจากมาตรการคุ้มครองข้อมูลที่เพียงพอ แถมภายหลังการโจมตีทางไซเบอร์ในปี 2018 บริษัทยังไม่สามารถตรวจสอบพบปัญหาดังกล่าวเป็นเวลานานกว่า 2 เดือน ซึ่งหน่วยงานกำกับดูแลเล็งเห็นว่า British Airways ควรมีความสามารถในการระบุจุดอ่อนของระบบรักษาความมั่นคงปลอดภัยทางไซเบอร์ของตนเอง และดำเนินการแก้ไขปัญหาดังกล่าวด้วยมาตรการต่าง ๆ ได้อย่างทันท่วงที

ความล้มเหลวในการคุ้มครองข้อมูลในครั้งนี้ก่อให้เกิดความกังวลแก่เจ้าของข้อมูลและไม่สามารถยอมรับได้ จนท้ายที่สุด British Airways จึงถูกปรับเป็นเงินประมาณ 27 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 91 ล้านบาท โดยพิจารณาจากคำให้การจากตัวแทนสายการบินและปัจจัยด้านผลกระทบทางเศรษฐกิจอันเนื่องมาจากการระบาดของ COVID-19 เข้ามาคำนวณ ค่าปรับจริงถูกลงมาก แต่ก็ยังคงเจ็บอยู่ดีจริงไหมครับ?

 

GDPR เป็นกฎหมายที่บังคับให้ธุรกิจหันมาใส่ใจเกี่ยวกับมาตรการต่าง ๆ ในการคุ้มครองข้อมูลส่วนบุคคล ยิ่งมีการประมวลผลข้อมูลส่วนบุคคลมากเท่าไหร่ ยิ่งต้องให้ความสำคัญมากขึ้นเท่านั้น บวกกับยังกดดันให้ประเทศในภูมิภาคอื่น ๆ เริ่มคลอดกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาเพื่อดีลธุรกิจกับสหภาพยุโรป เพราะผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลแต่ละแห่งที่ส่งต่อข้อมูลระหว่างกันต้อง “ศีลเสมอกัน” คุ้มครองข้อมูลส่วนบุคคลในมาตรฐานเดียวกันจึงจะเกิดความปลอดภัยทั้งระบบตามที่กฎหมายกำหนด เมืองไทยจึงจำเป็นต้องมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ออกมารองรับ!

Bangkok Airways ทำบุญมาดี ยังไม่โดน PDPA เต็มรูปแบบ

เวลาประมาณ 5 โมงเย็นของวันที่ 26 สิงหาคม 2564 สายการบิน Bangkok Airways ได้ออกมาชี้แจงผ่านเฟซบุ๊กเพจ ถึงกรณีตรวจสอบพบความผิดปกติในระบบเครือข่ายของบริษัท การบินกรุงเทพ จำกัด (มหาชน) อันเนื่องมาจากการถูกโจมตีด้านความปลอดภัยทางไซเบอร์ เมื่อวันที่ 23 สิงหาคม 2564 ส่งผลให้มีการเข้าถึงระบบสารสนเทศของบริษัทฯ โดยไม่ได้รับอนุญาต เบื้องต้นพบว่าข้อมูลส่วนบุคคลทั่วไป ได้แก่ ชื่อ-นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ ช่องทางการติดต่อสื่อสาร ประวัติการเดินทาง รวมถึงข้อมูลส่วนบุคคลประเภทพิเศษ (Special Categories of Personal Data) ประเภทข้อมูลหนังสือเดินทาง บัตรเครดิต อาหารพิเศษ และอาจมีข้อมูลอื่น ๆ ตกอยู่ในความเสี่ยง เพื่อให้ลูกค้ารับทราบและดำเนินการป้องกันแก้ไขได้อย่างทันท่วงที

*ปัจจุบันยังไม่พบประกาศชี้แจ้งความคืบหน้าในการสืบสวน หรือโพสต์ชี้แจงรายละเอียดของความเสียหายจากการละเมิดจากสายการบินเพิ่มเติม

โชคดีของทางสายการบิน Bangkok Airways เพราะเหตุการณ์ละเมิดในครั้งนี้เกิดขึ้นในช่วงที่มีการยกเว้นบังคับใช้ PDPA อันเนื่องมากจากการประกาศพระราชกฤษฎีกา กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (ฉบับที่ 2) พ.ศ.2564 ลงในพระราชกิจจานุเบกษา ซึ่งมีเนื้อหาสรุปง่าย ๆ ก็คือ ยกเว้นโทษสำหรับองค์กรและให้เวลาในการเตรียมตัวสำหรับทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพิ่มขึ้นอีก 1 ปี เพราะความยากลำบากจากการระบาดของโควิด-19 โดย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะถูกบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 เป็นต้นไป

อีกหนึ่งประเด็นที่น่าสังเกตคือ สายการบินไม่ปกปิดเหตุการณ์และรีบดำเนินการสอบสวนและแจ้งให้เจ้าของข้อมูลส่วนบุคคล ทราบอย่างรวดเร็วภายใน 72 ชั่วโมงภายหลังทราบเหตุการละเมิด (ดูตามข้อความในประกาศและวันที่ประกาศ) ซึ่งตรงตามแนวทางปฏิบัติที่ถูกบัญญัติไว้ใน พระราชบัญญัติคุ้มครองข้อมูลลส่วนบุคคล

และเพราะเหตุผลทั้งสองประการนี้เอง

>> Bangkok Airways ไม่น่าโดนโทษใด ๆ จาก PDPA ของไทย ไม่ว่าจะเป็นทางปกครอง แพ่ง หรืออาญา <<

อย่างไรก็ตาม บริษัทฯ ยังคงมีความเสี่ยงที่จะถูกฟ้องร้องดำเนินคดีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศเป็นกรณี ๆ ไป ยกตัวอย่างเช่น คุณจะแน่ใจได้อย่างไรว่า ข้อมูลส่วนบุคคลที่ได้รับผลกระทบนั้นไม่ใช่ข้อมูลของประชากรในสหภาพยุโรป? หากมีผู้ที่นำข้อมูลนั้นไปโฆษณาหรือสร้างความเสียหายแก่บุคคลขณะอยู่ในพื้นที่ของสหภาพฯ (เคยใช้บริการ/ให้ข้อมูลแก่สายการบินแต่บินกลับภูมิลำเนาแล้ว) จะกลายเป็นว่าบุคคลนั้นอยู่ในอาณาเขตของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และสามารถใช้อำนาจตามกฎหมายดำเนินการฟ้องร้องทางสายการบินได้นั่นเอง

คำตอบสำหรับเหตุละเมิดนี้ก็คือ Bangkok Airways อาจจะไม่เจ็บหนัก แต่อาจจะโดนฟ้องเจ็บ ๆ คัน ๆ บ้างเป็นบางครั้งในอนาคต

สรุปบทลงโทษ (ที่คุณเองก็ไม่อยากโดน)

สายการบินทั้งสองแห่งต่างประสบกับการละเมิดข้อมูลส่วนบุคคลในระบบของบริษัท ฯ

  • British Airways โชคร้ายที่โดนปรับหนักหน่อยเพราะอยู่ในสหภาพยุโรปที่มีกฎหมาย GDPR บังคับใช้โดยตรง
  • Bangkok Airways โชคดีที่ PDPA ยกเว้นบังคับใช้ แต่อาจโดนฟ้องจากผู้เสียหายในต่างประเทศ

องค์กรหลายแห่งคงรู้สึกวูบวาบ ร้อน ๆ หนาว ๆ ไปตามกัน ลองพิจารณาดูว่าคุณมีความเสี่ยงมากน้อยเพียงใด เพราะแม้ไม่ได้เป็นสายการบิน ก็ยังมีอีกหลายธุรกิจที่รวบรวม/ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก ซึ่งควรมีความระมัดระวังเป็นพิเศษ เพราะอาจตกเป็นเป้าการโจมตีหรือเกิดอุบัติเหตุ และเสี่ยงได้รับโทษคล้ายเคสข้างต้นเช่นกัน

แบบนี้คงต้องลุกขึ้นมาดำเนินการให้สอดคล้องตาม PDPA ที่กำลังจะบังคับใช้เต็มฉบับในวันที่ 1 มิถุนายน 2565 นี้แล้วครับ (หรือหากองค์กรทำตาม PDPA แล้วก็อย่าลืมตรวจสอบให้แน่ใจว่าทุกอย่างเข้าที่สอดคล้องตามกฎหมาย)

 

ข้อมูลอ้างอิงจาก:

Information Commissioner’s Office. (2019). Intention to fine British Airways £183.39m under GDPR for data breach. Retrieved 2021, September 21, from https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

Information Commissioner’s Office. (2020). ICO fines British Airways £20m for data breach affecting more than 400,000 customers. Retrieved 2021, September 21, from https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers

Bangkok Airways. (2564). บางกอกแอร์เวย์ส ชี้แจงกรณีตรวจสอบพบความผิดปกติในระบบเครือข่ายของบริษัทฯ. สืบค้น 21 กันยายน 2564, จาก https://www.facebook.com/FlyBangkokAir/posts/4677176115627817