พรบ.นี้มีผลกับทุกองค์กรทั่วโลกที่เก็บข้อมูลของคนไทย จึงไม่มีองค์กรไหนสามารถทำเพิกเฉยกับมันได้ กับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือที่เรียกกันว่า PDPA ( Personal Data Protection Act )  ที่กำลังจะมีผลบังคับใช้เต็มรูปแบบวันที่ 27 พ.ค.2563 นี้แล้ว คือ อีก 3 เดือนเท่านั้น เริ่มตอนนี้ก็ยังทันนะคะ

โดยบทความนี้จะช่วยท่านผู้บริหารและ CEO ให้เข้าใจผลของการมีพรบ.นี้มากขึ้น และเราได้เตรียม Roadmap การเตรียมพร้อมขององค์กรท่านมาไว้ให้ด้วย หากท่านยังไม่แน่ใจว่าการมีกฎหมายนี้อาจสร้างความเสี่ยงให้บริษัทได้มากแค่ไหน ลองดูกรณีศึกษาจากต่างประเทศที่มีการใช้กฎหมายนี้มาก่อนเราที่มีการปรับมาแล้วหลากหลายรูปแบบ

Facebook ทำรายได้ มากถึง 5.5 หมื่นล้านดอลลาร์สหรัฐ ในปี 2018 แต่โดนปรับจาก FTC กรณีละเมิดสิทธิ์ไปประมาณ  5 พันกว่าล้านดอลลาร์สหรัฐ หรือ คิดเป็นประมาณ 10% ของรายได้ทั้งหมด จากกรณีแชร์ข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 50 ล้านคนให้บริษัท Cambridge Analytica วิเคราะห์ความคิดเห็นของประชาชนด้านการเมือง โดยที่ไม่ได้ขอความยินยอมจากผู้ใช้งาน ว่ากันว่าคดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์โลกเลยทีเดียว

Google ทำรายได้  1แสนสามหมื่นล้านดอลลาร์สหรัฐ ในปี 2018 แต่ก็โดนปรับไปประมาณ 300 ล้านดอลลาร์สหรัฐ หรือคิดเป็นประมาณ 1.5% ของรายได้   โดย Google มีโดนหลายเคสมาก แต่ที่โด่งดังคือการประมวลผลข้อมูลของผู้เยาว์เพื่อทำการขายโฆษณาแบบเจาะจง ( Re-targeting Ad )  โดยไม่ได้ขอคำยินยอมจากผู้ปกครอง และอีกเคสที่ดังมาก เพราะยอดค่าปรับสูงที่สุดในประวัติศาสตร์ของ GDPR เลย คือ กรณีทำ Consent แบบแอบซ่อน ไม่ชัดเจนตอนที่รับสมัครสมาชิก Google account ต้องให้ผู้ใช้งานกดหลายขั้นตอน และมีการนำข้อมูลไปทำ Personalized Advertisement

British Airways ทำรายได้  1 หมื่นสามพันล้านปอนด์ ในปี 2018 แต่ก็โดนปรับจากไป 204 ล้านปอนด์  หรือ คิดเป็นประมาณ 1% ของรายได้จากกรณีถูกเจาะระบบข้อมูลทำให้ข้อมูลลูกค้ากว่า 500,000 คนถูกขโมยไปจากการแฮกเวบไซต์ คล้ายๆ Phishing ข้อมูลที่ถูกขโมยได้แก่ ชื่อ ที่อยู่ อีเมล และข้อมูลการชำระเงิน คดีนี้เป็นคดีละเมิดสิทธิ์ข้อมูลส่วนบุคคลที่มีค่าปรับสูงที่สุดในประวัติศาสตร์ ICO เลยทีเดียว

Marriott International เครือโรงแรม W, Westin, Le Meridien และ Sheraton  ถูกปรับจาก GDPR  99.2  ล้านปอนด์ เนื่องจากข้อมูลส่วนบุคคล รวมถึงรายละเอียดบัตรเครดิต หมายเลขพาสปอร์ต และวันเดือนปีเกิดของลูกค้ากว่า 339 ล้านคนถูกแฮ๊คไป

ส่วนประเทศในเอเชียอย่างสิงคโปร์ที่ถึงแม้จะมีการบังคับใช้กฎหมายเรื่องนี้มานานกว่า 10  ปีแล้ว ก็มีการเพิ่มความเข้มงวดมากยิ่งขึ้นในปีที่ผ่านมา เนื่องจากมีเหตุการณ์ที่ระบบ IT ของ SingHealth ถูกแฮ็ค ส่งผลให้ข้อมูลผู้เข้ารับการรักษาในโรงพยาบาลและคลีนิคในเครือ 1,500,000 คนถูกขโมยออกไป ข้อมูลได้แก่ ชื่อ ที่อยู่ เพศ สัญชาติ วันเกิด และหมายเลขบัตรประจำตัวประชาชน นอกจากนี้ ข้อมูลการจ่ายยาผู้ป่วยนอกอีกประมาณ 160,000 รายก็ได้ถูกขโมยออกไปด้วย หนึ่งในนั้นคือข้อมูลของ Lee Hsien Loong นายกรัฐมันตรีคนปัจจุบันของสิงคโปร์  ค่าปรับจากคดีนี้สูงถึง 1 ล้านดอลลาร์สิงคโปร์ ทำให้ในปี 2019 มียอดการปรับรวมสูงถึง 1.54 ล้านดอลลาร์สิงคโปร์ สูงสุดในประวัติกาลของสิงคโปร์และก็สูงกว่า 3 ปีก่อน (2016-2018) รวมกันถึงเกือบ 5 เท่า  โดยในกว่า 100 องค์กรที่โดนปรับมาจากทุกอุตสาหกรรม โดยเฉพาะค้าปลีก, การเงิน, วิชาชีพเฉพาะทาง เช่น แพทย์ ส่วนใหญ่มาจากการมีระบบปกป้องข้อมูลที่ไม่ถูกต้องตามมาตรฐาน  และ ที่น่าแปลกใจคือ องค์กรการกุศลมีถึง 10 แห่งที่มีความผิดและโดนปรับรวมกันมากถึง