British Airways face over Data Breach

บริติชแอร์เวย์ถูกปรับ 183 ล้านปอนด์ แรงกระเพื่อมแรกของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

นายนักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท nForce Secure

 

กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้ถูกมองเป็นแค่เสือกระดาษหรือเป็นเรื่องไกลตัวอีกต่อไป เพราะเมื่อวันที่ 9 กรกฎาคม 2562 ที่ผ่านมา สายการบินบริติชแอร์เวย์ (British Airways – BA) ถูกสั่งปรับเป็นมูลค่าสูงถึง หนึ่งร้อยแปดสิบสามล้านปอนด์ (£183 million) คิดเป็นเงินไทยประมาณ เจ็ดพันล้านบาท ในกรณีเหตุการณ์ละเมิดข้อมูลของลูกค้าในปี 2561 นับเป็น 1.5% ของรายได้ทั้งปีในปี 2561 ของสายการบินบริติชแอร์เวย์ (ประมาณ £13.0 billion) ถือเป็นค่าปรับที่สูงที่สุดในตอนนี้ภายใต้กฎหมาย GDPR (General Data Protection Regulation) ของสหภาพยุโรป

และล่าสุดวันนี้ The Information Commissioner’s Office (ICO) ของสหราชอาณาจักร (UK) หน่วยงานเดียวกันกับที่สั่งปรับสายการบินบริติชแอร์เวย์ได้ออกประกาศภายใต้กฎหมายเดียวกันให้ปรับ เครือโรงแรม Marriott เป็นมูลค่าสูงถึง เก้าสิบเก้าจุดสองล้านปอนด์ (£99.2 million) คิดเป็นเงินไทยประมาณ สามพันแปดร้อยล้านบาท ในกรณีข้อมูลลูกค้ากว่าห้าร้อยล้านรายทั่วโลกถูกละเมิด

อย่างที่ทราบกันว่ากฎหมาย GDPR เป็นกฎหมายของสหภาพยุโรปว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้วันที่ 25 พฤษภาคม พ.ศ. 2561 ที่ผ่านมา โดยให้ความคุ้มครองแก่เจ้าของข้อมูลส่วนบุคคลที่เป็นพลเมืองหรือผู้พำนักในสหภาพยุโรป ที่สำคัญกฎหมายฉบับนี้มีสิทธิการบังคับใช้นอกอาณาเขต (Extraterritorial Applicability) หมายความว่าการบังคับใช้กฎหมายนี้มีผลต่อสถานประกอบการที่อยู่นอกสหภาพยุโรปด้วยหากสถานประกอบการนั้น ๆ มีการเก็บหรือประมวลผลข้อมูลของพลเมืองยุโรป โดยมีบทลงโทษปรับสูงสุดถึง ยี่สิบล้านยูโร (€20 million) หรือ 4% ของผลประกอบการรายปี ขึ้นอยู่กับว่ามูลค่าใดจะสูงกว่า

ประเทศไทยในฐานะที่ประกาศตัวว่าเป็นศูนย์กลางการท่องเที่ยว (Touring Hub), สุขภาพ (Medical Hub) เพื่อดึงดูดนักท่องเที่ยวจากทั่วโลกรวมถึงคนยุโรปด้วยนั้นย่อมต้องตกอยู่ภายใต้การบังคับใช้ของกฎหมาย GDPR เช่นกัน

แน่นอนว่าคำสั่งปรับครั้งนี้ทำให้สถานประกอบการในไทย ไม่ว่าจะเป็น สายการบิน, โรงแรม, โรงพยาบาล ฯลฯ  ที่มีการเสนอสินค้าหรือบริการให้กับพลเมืองของยุโรป ต้องหันกลับมาให้ความสำคัญกับการรักษาความปลอดภัยให้กับความเป็นส่วนตัวของข้อมูลส่วนบุคคลที่ตัวเองเก็บไว้ว่าดีเพียงพอหรือไม่ เพราะหากข้อมูลเหล่านั้นถูกละเมิด ความเสียหายที่เกิดขึ้นไม่เพียงแต่จะเป็นตัวเงินมูลค่ามหาศาลแล้ว ยังรวมไปถึงภาพลักษณ์, ความน่าเชื่อถือที่เป็นสิ่งที่ประเมินเป็นมูลค่าไม่ได้.