Case Study

ข้อมูลส่วนบุคคล ของผู้เยาว์ ไม่ใช่เรื่องเล็กน้อย เพราะยังถูกจัดให้เป็น ข้อมูลส่วนบุคคล ที่ได้รับการคุ้มครองจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติ ขณะที่ PDPA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ก็มีการบัญญัติให้ข้อมูลส่วนบุคคลของผู้เยาว์ เป็นข้อมูลที่ต้องได้รับการคุ้มครองดูแล เช่นเดียวกับข้อมูลส่วนบุคคลประเภทอื่นๆ ดังนั้นธุรกิจที่ให้บริการผ่านแอปพลิเคชั่นต้องระวัง หากเก็บรวบรวม ใช้หรือเผยแพร่ไม่ถูกต้อง อาจโดนฟ้องเหมือนแอปฯ TikTok และสังเวยค่าปรับหลัก 500 ล้านบาท แม้กฎหมาย PDPA ไม่ปรับรุนแรงเทียบเท่ากฎหมาย GDPR ทว่าอาจถูกสั่งให้ระงับการบริการได้ ภาพรวมเหตุการณ์ ICO อังกฤษฟ้องร้อง TikTok สำนักงานคณะกรรมาธิการด้านข้อมูลข่าวสาร (ICO) แห่งสหราชอาณาจักร สั่งปรับ TikTok กว่า 12.7 ล้านปอนด์ จากกรณีที่แอปพลิเคชั่นดังกล่าวอนุญาติให้เด็กในอังกฤษ อายุต่ำกว่า 13 ปี จำนวน 1.4 ล้านคน สร้างบัญชีและใช้งานแพลตฟอร์มได้ โดยที่ไม่ขอความยินยอมจากพ่อแม่หรือผู้ดูแล พร้อมตำหนิเจ้าของแอปพลิเคชั่นที่ไม่ตรวจสอบอายุของผู้ใช้งานอย่างเคร่งครัด ไม่กระตือรือร้นในการนำเยาวชนออกจากแพลตฟอร์ม พร้อมตั้งข้อสังเกตว่า อาจมีการประมวลผลข้อมูลของเด็กเยาวชน ฝั่ง TikTok ตอบโต้  ICO ระบุว่า แพลตฟอร์มใช้ความพยายามอย่างมากในการป้องกันไม่ให้เด็กเยาวชนเข้าใช้งานแพลตฟอร์ม […]

กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ พร้อมกับกฎหมายลำดับรองที่ประกาศออกมาแล้ว หากเกิดข้อพิพาท หรือเกิดการละเมิดข้อมูลส่วนบุคคล เจ้าของข้อมูลต้องทำอย่างไร? t-reg สรุปขั้นตอนและสาระสำคัญจาก ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน อ้างอิงจากประกาศฉบับล่าสุดจาก คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เผยแพร่เมื่อวันที่ 11 กรกฎาคม 2565 ที่ผ่านมา เพื่อให้ทุกท่านเห็นภาพร่วมกัน เราขอยกสถานการณ์ตัวอย่าง การผ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย PDPA Situation บริษัท กขค จำกัด ประกอบกิจการประกันภัย ทำการรวบรวมข้อมูลส่วนบุคคล ชื่อ เพศสภาพ ที่อยู่ ข้อมูลด้านสุขภาพของผู้ใช้บริการจำนวนหนึ่ง โดยได้ยื่นขอความยินยอมในการรวบรวมข้อมูลส่วนบุคคล เพื่อใช้ข้อมูลประกอบการทำโครงการประกันเท่านั้น ทว่าบริษัท กขค ได้ทำการส่งต่อข้อมูลที่รวบรวมไว้ ให้กับบริษัท abc ซึ่งเป็นบริษัทการตลาด เพื่อใช้ประมวลผลทำแคมเปญการตลาด โดยโทรเสนอขายกรรมธรรม์แก่เจ้าของข้อมูลส่วนบุคคล บริษัท กขค ส่งต่อข้อมูลส่วนบุคคลที่รวบรวมไว้ให้กับบุคคลที่สาม โดยไมผ่านการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ต่อมาบริษัท abc ถูกแฮกเกอร์ แฮกฐานข้อมูล ทำให้ข้อมูลถูกส่วนบุคคลรั่วไหลสู่ภายนอก

Consent คือ พื้นฐานของกฎหมาย GDPR กฎหมาย PDPA และกฎหมายคุ้มครองข้อมูลอื่น ๆ  ซึ่งดูเป็นเรื่องที่ไม่ซับซ้อนเท่ากับขั้นตอนอื่น ๆ ตามข้อบังคับของกฎหมาย GDPR ทว่าความง่ายของ Consent ทำให้หลายครั้ง เรื่องนี้ก็กลายเป็นเรื่องที่หลายบริษัทมองข้าม และเริ่มกลายเป็นจุดอ่อนของหลายๆ บริษัท ไม่เว้นแม้แต่บริษัทเทคโนโลยีขนาดใหญ่อย่าง Amazon H&M หรือ Marriott ต่างก็ตกหลุมพรางของ Consent จนทำให้ถูกฟ้องร้อง ถูกสั่งปรับและทำให้สูญเสียรายได้ และสูญเสียความน่าเชื่อถือไปอย่างมหาศาล ในบทความนี้เราจะหยิบยกกรณีของ Google LLC บริษัทเทคโนโลยีชื่อดัง ซึ่งถือว่าเป็นบริษัทแรกที่ถูก GDPR สั่งปรับด้วยจำนวนเงินมูลค่ามหาศาล เนื่องจากการละเมิดการขอความยินยอม บทความนี้เราจะมาทำความเข้าใจเรื่อง Consent หรือ การยื่นขอความยินยอม ได้กลายมาเป็นสาเหตุของการฟ้องร้องบริษัทใหญ่ระดับโลกได้อย่างไร Consent สำคัญแค่ไหนกับการทำธุรกิจ องค์กรไทยควรจัดการ Consent อย่างไร เรารวบรวมไว้ในบทความนี้แล้ว Step One: Consent คืออะไร ก่อนจะทำความเข้าใจกรณีการฟ้องร้องระหว่าง หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) และ Google LLC  ในบทความนี้

ไม่น่าเชื่อว่า Data Breach จะทำให้กิจการโรงแรมระดับโลก สัญชาติอังกฤษอย่าง Marriott International ต้องจำนนต่อค่าปรับจำนวนกว่า 18.4 ล้านยูโร ที่ ICO สั่งปรับในปี 2020 ที่มาของค่าปรับจำนวนมหาศาลนี้ มาจากกรณีการรั่วไหลของข้อมูลลูกค้ากว่า 300 ล้านราย ในปี 2014 ขณะที่ Marriott ได้ออกมายอมรับว่าโดนแฮ็กข้อมูลจริงในปี 2018 ซึ่งต่อมาได้กลายเป็นประเด็นร้อนที่หลายคนสงสัยว่า เพราะเหตุใด Marriott จึงเพิกเฉยต่อการรั่วไหลของข้อมูลสำคัญ และทิ้งระยะเวลายาวนานขนาดนี้ อีกหนึ่งความเคลือบแคลงใจคือ ข้อมูลที่รั่วไหลไปนั้น เป็นจำนวนข้อมูลลูกค้ากว่า 300 ล้านราย รายละเอียดของข้อมูลที่รั่วไหลไปนั้น มีทั้งชื่อ ที่อยู่ หมายเลขพาสปอร์ต อีเมล ข้อมูลการเดินทาง ฯ ของแขกผู้เข้าพัก กว่า 7 ล้านรายชื่อเป็นข้อมูลที่เชื่อมโยงกับประชากรชาวอังกฤษอีกด้วย ด้วยจำนวนข้อมูลสำคัญรั่วไหลไปจำนวนมากขนาดนี้ เหตุใด marriott จึงไม่รีบดำเนินการหรือแจ้งเหตุการละเมิดข้อมูลให้ทันท่วงที? t-reg จะพาผู้อ่านทุกท่านไปทำความเข้าใจกรณีนี้ ผ่านการทำความเข้าใจ การละเมิดข้อมูล หรือ Data

กรรมการข้อมูลส่วนบุคคลของประเทศลักเซมเบิร์ก (Commission Nationale pour la Protection des Données หรือ CNPD) เอาผิดกับ Amazon บริษัท E-Commerce รายใหญ่ ฐานใช้ข้อมูลส่วนบุคคลของลูกค้าเพื่อการติดตามพฤติกรรม วิเคราะห์ทางการตลาด และการทำการตลาดแบบเฉพาะเจาะจง การกระทำดังกล่าวละเมิดกฏหมาย GDPR กฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหภาพยุโรป สาเหตุของการฟ้องร้อง มาจากการร้องทุกข์ของ La Quadrature du Net ซึ่งเป็นองค์กรในประเทศฝรั่งเศส มีหน้าที่เป็นตัวแทนพลเมือง ดูแล ปกป้องการนำข้อมูลส่วนบุคคลของประชากรชาวยุโรป CNPD เข้ามาสืบสวนเรื่องนี้ และส่งเรื่องไปให้ศาลพิจารณา หลังการพิจารณาของศาล ได้มีคำสั่งปรับ Amazon เป็นเงินมูลค่ากว่า 746 ล้านยูโร หรือราว 2.9 หมื่นล้านบาท ในเดือนกรกฎาคม 2564 ทาง Amazon ออกมาโต้แย้ง โดยกล่าวถึงกรณีนี้ว่า การบังคับใช้และตีความ GDPR ที่เกี่ยวเนื่องกับการใช้โฆษณาในรูปแบบออนไลน์เป็นการตีความที่ยังอาจจะไม่มีมาตรฐานที่ชัดเจนให้ผู้ประกอบการปฏิบัติตาม และการฟ้องร้องครั้งนี้ก็กำหนดค่าปรับที่สูงมาก Amazon เห็นว่าค่าปรับไม่ได้สัดส่วนและเหมาะสม

Grindr แอพลิเคชั่นหาคู่ของชาวสีรุ้ง ถูกเจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ยื่นฟ้องร้อง ฐานขายข้อมูลส่วนตัวของผู้ใช้แอปให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม กรณีของ Grindr ถูก GDPR สั่งปรับเป็นจำนวนเงิน 7.16 ล้านเหรียญ หรือราว 239 ล้านบาท ทว่าในปี 2020 Grindr เคยถูกศาลฟ้องร้อง ในกรณีเปิดเผยข้อมูลส่วนตัวของผู้ที่ใช้แอปให้กับบริษัทโฆษณาหลายแห่งมา ครั้งหนึ่งแล้ว Grindr ยังยืนยันว่านโยบายคุมครองข้อมูลส่วนบุคคลของแอปพลิเคชั่น อยู่ภายใต้มาตรฐานของ GDPR กรณีนี้ GDPR ดำเนินการอย่างไร แล้วต้องร่างนโยบายคุ้มครองข้อมูลส่วนบุคคลอย่างไรให้สอดคล้องกับกฎหมาย ติดตามได้ในบทความนี้ General Data Protection Regulation คือใคร? ทำไมสั่งฟ้ององค์กรอื่นได้ ก่อนจะไปวิเคราะห์กรณีของ Grindr เราขอพาทุกท่านไปทำความรู้จักกับ GDPR ที่ย่อมาจาก General Data Protection Regulation หรือที่รู้จักในชื่อ กฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป สาระสำคัญของกฎหมาย มุ่งให้การคุ้มครองพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สรุปสั้น ๆ ก็คือ GDPR ให้สิทธิ

ราวเดือนตุลาคม ปี 2563 สำนักข่าว BBC รายงานข่าวใหญ่ของวงการธุรกิจเสื้อผ้า กรณี H&M ถูก หน่วยงานด้านการปกป้องข้อมูลของเมืองฮัมบูร์ก (Data Protection Authority of Hamburg – HmbBfDI) สั่งปรับกว่า 35.3 ล้านยูโร (1,300 ล้านบาท) จากกรณีนี้ทางแบรนด์เสื้อผ้าสัญชาติสวีเดนออกมาขอโทษพนักงานกว่าร้อยคน และให้การยินยอมจ่ายค่าปรับตามจำนวน ซึ่งถือเป็นเคสที่มีค่าปรับสูงเป็นอันดับสอง จาก 5 เคสที่เคยถูกสั่งปรับสูงสุด นับตั้งแต่มีกฎหมาย GDPR กรณีนี้เกิดขึ้นได้อย่างไร? H&M ต้องรับผิดชอบยังไงบ้าง? หากเกิดกรณีนี้ในเมืองไทย องค์กรต้องปฏิบัติอย่างไร เพื่อหลีกเลี่ยงการถูกฟ้องร้อง หาคำตอบได้ในบทความนี้ เกิดอะไรขึ้นกับ H&M? ในวันที่ 1 ตุลาคม ปี 2020 HmbBfDI ได้แจ้งข้อหากับบริษัท Hennes & Mauritz หรือ H&M ฐานละเมิดกฎระเบียบของ GDPR ความว่า H&M