‘อูเบอร์’ ถูกปรับ 290 ล้านยูโร!
ประเด็นการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องที่ในต่างประเทศโดยเฉพาะอย่างยิ่งในสหภาพยุโรปให้ความสำคัญมาก โดยมีการกำหนดข้อบังคับว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR (General Data Protection Regulation)
เพื่อกำกับดูแลให้องค์กรต่างๆ ไม่ว่าจะในหรือนอกสหภาพยุโรปที่มีข้อมูลของบุคคลในสหภาพยุโรปจะต้องดูแลรักษาข้อมูลให้มีความปลอดภัย และนี่จึงเป็นเหตุผลว่าทำไมบริษัทต่างๆ มักจะต้องใช้มาตรการเพิ่มเติมเมื่อมีการเก็บข้อมูลส่วนบุคคลของชาวยุโรปไว้นอกสหภาพยุโรป
ล่าสุดมีกรณีของ “อูเบอร์ (Uber)” ที่ถูกหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์หรือ AP (The Dutch Data Protection Authority) เริ่มการสอบสวนหลังจากคนขับรถชาวฝรั่งเศสกว่า 170 คนยื่นเรื่องร้องเรียนกับกลุ่มสิทธิมนุษยชนของฝรั่งเศส (LDH) ซึ่งต่อมาได้ยื่นเรื่องร้องเรียนต่อกับหน่วยงานเฝ้าระวังความเป็นส่วนตัวของฝรั่งเศส
โดยมีการอ้างว่าอูเบอร์ไม่ได้ใช้ Standard Contractual Clauses (SCC) เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลของผู้ใช้งานที่จัดเก็บไว้ในเซิร์ฟเวอร์ของสหรัฐอเมริกามีระดับการป้องกันที่เทียบเท่ากับข้อมูลในสหภาพยุโรป
โดยระบุว่าข้อมูลส่วนบุคคลที่ละเอียดอ่อน ได้แก่ รายละเอียดบัญชี ใบอนุญาตขับขี่ ข้อมูลสถานที่ รูปภาพ รายละเอียดการชำระเงิน บัตรประจำตัวประชาชน รวมไปถึง บันทึกทางอาญาและทางการแพทย์ของผู้ขับขี่ ข้อมูลเหล่านี้ถูกโอนไปยังสำนักงานใหญ่ของอูเบอร์ที่สหรัฐอเมริกาเป็นเวลานานกว่า 2 ปีแล้วโดยไม่มีการป้องกันที่เพียงพอและเหมาะสม ทำให้ขณะนี้ อูเบอร์ กำลังเผชิญกับค่าปรับ GDPR จำนวนมากถึง 290 ล้านยูโร หรือ 324 ล้านดอลลาร์
นอกจากนี้ AP ยังอ้างถึงความกังวลที่ได้นำไปสู่การโต้เถียงทางกฎหมายระหว่างสหภาพยุโรปและสหรัฐอเมริกามานานหลายปีโดยเฉพาะอย่างยิ่ง เรื่องสิทธิมนุษยชนของพลเมืองยุโรปอาจถูกคุกคามหากข้อมูลถูกจัดเก็บไว้ที่สหรัฐโดยไม่มีการป้องกัน
เนื่องจากข้อมูลส่วนบุคคลเหล่านี้อาจสามารถเข้าถึงและสอบถามโดยหน่วยงานบังคับใช้กฎหมายและหน่วยข่าวกรองที่สหรัฐฯ และข้อกังวลนี้เองที่ทำให้ศาลยุติธรรมแห่งยุโรปประกาศว่าการคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐฯ (EU-US Privacy Shield) ไม่ถูกต้องในปี 2563
อย่างไรก็ตามมีการต่อต้านคำตัดสินของ AP โดยองค์กรไม่แสวงผลกำไรอย่าง สมาคมอุตสาหกรรมคอมพิวเตอร์และการสื่อสาร (CCIA Europe) ซึ่งมี อูเบอร์ เป็นสมาชิกได้โต้แย้งว่า ระหว่างปี 2564-2565 เป็นช่วงที่เกิดความไม่แน่นอนอย่างมากหลังจากข้อตกลง Privacy Shield ถูกตัดสินว่าผิดกฎหมาย บริษัทในยุโรปและอเมริกาถูกทิ้งไว้โดยไม่มีแนวทางปฏิบัติที่ชัดเจนเพราะมีความขัดแย้งระหว่างหน่วยงานคุ้มครองข้อมูลของสหภาพยุโรปและคณะกรรมาธิการยุโรป
ดังนั้น ค่าปรับย้อนหลังใดๆ โดยหน่วยงานคุ้มครองข้อมูลเป็นเรื่องที่น่ากังวลเนื่องจากหน่วยงานเหล่านี้ไม่สามารถให้คำแนะนำใดๆ ได้เลยในช่วงเวลาที่มีความไม่แน่นอนทางกฎหมายอย่างมีนัยสำคัญและไม่มีกรอบทางกฎหมายที่ชัดเจน
หากเรามองย้อนกลับมาที่ประเทศไทยที่มีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) และมีการบังคับใช้จริงในปี 2565
เมื่อไม่นานมานี้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้เรียกให้บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด หรือ JIB ที่จำหน่ายคอมพิวเตอร์และอุปกรณ์ไอทีต่างๆ เข้ามาชี้แจงเพราะมีการรั่วไหลของข้อมูลการซื้อสินค้าและข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก ถือเป็นการละเมิด PDPA และในที่สุดถูกสั่งปรับเป็นจำนวนเงิน 7 ล้านบาท
หากเปรียบเทียบค่าปรับในกรณีของ อูเบอร์ และ JIB แล้ว จะเห็นได้ว่าจำนวนเงินค่อนข้างห่างกันมากพอสมควร เราต้องยอมรับว่า ในต่างประเทศมีการบังคับใช้กฎหมายนี้อย่างจริงจังมาก ทำให้องค์กรต่างๆ ที่มีข้อมูลเหล่านี้ จำเป็นต้องให้ระมัดระวังในการเก็บรักษาข้อมูลส่วนบุคคลให้มีความปลอดภัยอยู่เสมอๆ
ดังนั้นถึงเวลาแล้วที่องค์กรในประเทศไทยทั้งภาครัฐและเอกชนควรตระหนักถึงความสำคัญในเรื่องนี้เพื่อหลีกเลี่ยงปัญหาที่อาจเกิดขึ้นจากการรั่วไหลและการละเมิดข้อมูลในรูปแบบต่างๆ ซึ่งจะนำมาสู่ความเสียหายทั้งชื่อเสียงและทางด้านการเงินครับ