การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล: กรณีศึกษา Booking.com

การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล: กรณีศึกษา Booking.com

10 ธ.ค.63 สำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลของประเทศเนเธอร์แลนด์ มีคำสั่งปรับ booking.com เป็นเงินจำนวน 475,000 ยูโร

HIGHLIGHTS 

§ เหตุการละเมิดข้อมูลส่วนบุคคล (data breaches)

§ การตอบสนองต่อเหตุการละเมิดข้อมูลส่วนบุคคลช้ากว่าระยะเวลาที่กฎหมายกำหนด

          คำสั่งปรับ booking.com ดังกล่าว เนื่องจากบริษัทแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลไปยัง สำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลของประเทศเนเธอร์แลนด์หรือ Dutch Data Protection Authority (Dutch DPA) ช้าเกินกว่าระยะเวลาที่กฎหมายกำหนด

       เหตุการณ์ละเมิดข้อมูลส่วนบุคคลในครั้งนี้ อาชญากรสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า booking.com จำนวนมากกว่า 4,000 รายและเข้าถึงข้อมูลบัตรเครดิตของลูกค้าอีกกว่า 300 ราย

            เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อช่วงเดือนธันวาคม 2561 โดยมีผู้ไม่ประสงค์ดีใช้วิธีการเจาะเข้าไปในโทรศัพท์ของโรงแรมต่าง ๆ มากกว่า 40  แห่งในประเทศ​สหรัฐอาหรับเอมิเรตส์ (UAE) ทำให้ได้มาซึ่งรายละเอียดของการ log-in เข้าสู่ระบบของเว็บไซต์ booking.com และใช้การเข้ารหัสดังกล่าวเข้าถึงข้อมูลส่วนบุคคลของลูกค้าที่ได้สำรองห้องพักของโรงแรมต่าง ๆ ในประเทศ UAE ผ่านบริการของเว็บไซต์ booking.com จำนวน 4,109 ราย

ข้อมูลของลูกค้าที่ถูกเข้าถึงประกอบด้วย ชื่อ ที่อยู่ เบอร์โทรศัพท์ และรายละเอียดเกี่ยวกับการสำรองห้องพัก และจากการเข้าถึงข้อมูลดังกล่าวข้างต้นทำให้อาชญากรสามารถเข้าถึงข้อมูลบัตรเครดิตของลูกค้า booking.com อีกจำนวน 283 ราย โดยในจำนวนดังกล่าวมีทั้งหมด 97 รายที่อาชญากรสามารถเข้าถึงรหัสความปลอดภัยของบัตรเครดิต (รหัส cvv) ได้ด้วย

            จากการสอบสวนถึงเหตุการละเมิดข้อมูลส่วนบุคคลในครั้งนี้  Dutch DPA  กล่าวว่าเหตุการละเมิดข้อมูลส่วนบุคคลในครั้งนี้อาชญากรมีเจตนาที่ชัดเจนที่มุ่งหวังต่อการขโมยเงินของกลุ่มผู้เสียหาย แม้ในกรณีนี้อาชญากรอาจจะไม่สามารถเข้าถึงข้อมูลบัตรเครดิตของลูกค้าได้ แต่การที่ข้อมูลส่วนบุคคลที่เกี่ยวกับชื่อ ที่อยู่ เบอร์โทรศัพท์ และรายละเอียดการสำรองห้องพักของผู้เสียหายถูกเอาไปหรือถูกเข้าถึงก็เพียงพอแล้วที่ที่อาชญากรจะนำไปใช้เพื่อการหลอกหลวงหรือโจรกรรมทรัพย์สินผ่านช่องทางอิเล็กทรอนิกส์ได้ เช่น ผ่านการทำ email phishing หรือ web  phishing เป็นต้น

            Booking.com ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลครั้งนี้เมื่อวันที่ 13 มกราคม 2562 แต่กลับไม่ดำเนินการแจ้งถึงเหตุการณ์ไปยัง Dutch DPA แต่อย่างใดจนเวลาล่วงเลยไปถึงช่วงวันที่ 4 กุมภาพันธ์​2562 booking.com จึงได้แจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลและมาตรการเยียวยาความเสียของบริษัทไปยังลูกค้าที่เป็นผู้เสียหาย

และในวันที่ 7 กุมภาพันธ์ 2562 booking.com จึงดำเนินการแจ้งเหตุดังกล่าวไปยัง Dutch DPA ​ ซึ่งถือว่าช้าไปกว่าเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ General Data Protection Regulation (GDPR) Article 33 ซึ่งกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงต่อความเสียหายของสิทธิและเสรีภาพขั้นพื้นฐานของบุคคลไปยัง DPA ภายใน 72 ชั่วโมงนับแต่รู้หรือควรจะรู้ถึงเหตุการละเมิดข้อมูลส่วนบุคคล   

             หากกรณีนี้เกิดขึ้นในประเทศไทยหลังวันที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 มีผลบังใช้ ผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรดำเนินการอย่างไร

            การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล หรือ data breach notification ถือเป็นหน้าที่ตามกฎหมายที่สำคัญของผู้ควบคุมข้อมูลส่วนบุคคลในทุก ๆ ประเทศ โดยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ได้วางหลักในเรื่องการตอบสนองต่อเหตุการละเมิดข้อมูลส่วนบุคคลไว้ในทิศทางเดียวกันกับ GDPR

กล่าวคือ หากเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น ผู้ประการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลนับแต่ทราบถึงเหตุการณ์ดังกล่าวโดยไม่ชักช้าและภายใน 72 ชั่วโมงนับแต่ทราบเหตุดังกล่าว ทั้งนี้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ กำหนดกรณีการแจ้ง (สำหรับกรณีที่ต้องแจ้ง) ถึงเหตุการละเมิดข้อมูลส่วนบุคคลไว้เป็น 2 กรณีคือ

(1)   หากเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลผู้ควบคุมข้อมูล ต้องแจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ และ(2)   หากเป็นเหตุการละเมิดข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งถึงเหตุการณ์ดังกล่าวไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลพร้อมทั้งแนวทางการเยียวยาภายใน 72 ชั่วโมงนับแต่ทราบเหตุ

ทั้งนี้ กฎหมายไม่ได้จำกัดเฉพาะสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลเท่านั้น แต่เป็นการชั่งน้ำหนักต่อสิทธิและเสรีภาพอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคลด้วย

โดยรายละเอียด หลักเกณฑ์ วิธีการถึงข้อยกเว้นของการแจ้งถึงเหตุการละเมิดข้อมูลส่วนบุคคลในประเทศไทยยังคงต้องความชัดเจนจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศขึ้นมาอีกครั้งหนึ่ง แต่เพื่อเป็นแนวทางในการปฏิบัติก่อนที่จะมีประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลฯผู้เขียนขอนำรายละเอียดการแจ้งตาม GDPR มาเป็นแนวทางในการปฏิบัติแก่ผู้ประกอบการดังนี้

  • อธิบายถึงลักษณะของเหตุการณ์ที่เกิดขึ้นเช่นประมาณตัวเลขของเจ้าของข้อมูลที่เกี่ยวข้องหรือได้รับผลกระทบและปริมาณข้อมูลส่วนบุคคลที่ถูกละเมิด
  • แจ้งรายละเอียดช่องทางการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO และช่องทางการติดต่ออื่น ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลที่สามารถทำให้ผู้เสียหายหรือเจ้าของข้อมูลส่วนบุคคลสามารถติดต่อสอบถามข้อมูลเพิ่มเติมเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ๆ ได้
  • ระบุถึงผลกระทบที่อาจจะเป็นไปได้จากเหตุการละเมิดข้อมูลส่วนบุคคล
  • ระบุถึงมาตรการหรือข้อเสนอในการแก้ปัญหาของเหตุการณ์ละเมิดข้อมูลส่วนบุคคล พร้อมทั้งมาตรการในการเยียวยาความเสียหายที่เกิดขึ้นจากเหตุการละเมิดข้อมูลส่วนบุคคล

ในยุคของเทคโนโลยีสารสนเทศและการสื่อสาร แม้จะมีการมาตรการด้านความมั่นคงปลอดภัยที่ดีเหตุการละเมิดข้อมูลส่วนบุคคลไม่ว่าจะจากการโจมตีหรือข้อผิดพลาดทางเทคนิคก็มีโอกาสเกิดขึ้นได้เสมอ การรายงานหรือแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างรวดเร็วภายใต้เงื่อนไขและกรอบระยะเวลาที่กฎหมายกำหนด เพื่อที่สำนักงานจะได้ดำเนินการตอบสนองต่อเหตุการณ์ดังกล่าวอย่างทันท่วงที จึงเป็นเรื่องสำคัญยิ่งที่จะสามารถช่วยป้องกันและลดโอกาสเกิดความเสียหายแก่ผู้บริโภคที่อาจจะเกิดขึ้นจากเหตุการละเมิดข้อมูลส่วนบุคคลได้.

บทความโดย ศุภวัชร์ มาลานนท์

Certified Information Privacy Professional/ Europe

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

ชิโนภาส อุดมผล

Optimum Solution Defined (OSD)