ความเป็นส่วนตัวของข้อมูล: ค่าใช้จ่ายในการทำให้ผิดพลาด

เผยแพร่แล้ว: 2022-10-12

เมื่อกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของยุโรปมีผลบังคับใช้ในเดือนพฤษภาคม 2018 ได้จัดตั้งรากฐานสำหรับกฎหมายความเป็นส่วนตัวของข้อมูลรุ่นใหม่ที่ให้การคุ้มครองผู้บริโภคมากขึ้น หลักการหลัก เช่น ความยินยอมที่ชัดเจน การลดขนาดข้อมูล การจำกัดวัตถุประสงค์ และสิทธิ์ในการคัดค้านได้กำหนดแนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับข้อมูลที่เป็นลายลักษณ์อักษรไว้ในกฎหมายอย่างมีประสิทธิภาพ

ตั้งแต่นั้นมา กฎหมายความเป็นส่วนตัวแบบ GDPR ก็ถูกนำมาใช้ทั่วโลก CCPA ของแคลิฟอร์เนียเป็นผู้กำหนดทิศทางในสหรัฐอเมริกา โดยมีรัฐอื่นๆ ตามมาอีกมากมาย (โคโลราโด คอนเนตทิคัต ยูทาห์ และเวอร์จิเนีย) หรืออยู่ในขั้นตอนต่อไปนี้ (มิชิแกน นิวเจอร์ซีย์ โอไฮโอ และเพนซิลเวเนีย) ทั่วโลก เรายังได้เห็นการเปิดตัว LGPD ในบราซิลและ PIPL ในประเทศจีน ซึ่งหมายถึงเพียงสองชื่อเท่านั้น

ความท้าทายที่ผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลเผชิญอยู่ในขณะนี้คือความคลุมเครือ นั่นคือ ข้อสำคัญในร่างกฎหมายใหม่เหล่านี้หมายความว่าอย่างไร บ่อยครั้ง พวกเขาจำเป็นต้องได้รับการทดสอบในศาลยุติธรรมเพื่อชี้แจงเจตนาที่แท้จริงของพวกเขาและสร้างแบบอย่างทางกฎหมาย ขณะนี้กำลังเกิดขึ้นในยุโรป และผู้ปฏิบัติงานที่อื่นสามารถเรียนรู้จากกรณีเหล่านี้และนำสิ่งที่ค้นพบไปใช้ก่อนที่จะตกเป็นเหยื่อในประเทศของตน

ยุโรปกำลังปราบปรามความเป็นส่วนตัวของข้อมูล

หน่วยงานกำกับดูแลของยุโรปได้แยกฟันออกอย่างแน่นอนในปี 2565

Clearview AI บริษัทจดจำใบหน้าถูกปรับ 20 ล้านยูโร โดยหน่วยงานปกป้องข้อมูลของอิตาลีและอีก 9 ล้านยูโร โดยสำนักงานกรรมาธิการข้อมูลของสหราชอาณาจักร (ICO) สำหรับการประมวลผลข้อมูลส่วนบุคคลไบโอเมตริกซ์และตำแหน่งทางภูมิศาสตร์ที่ผิดกฎหมาย

หน่วยงานกำกับดูแลของไอร์แลนด์ได้กำหนด € 17m บน Meta (Facebook) สำหรับความล้มเหลวในการจัดทำมาตรการทางเทคนิคและองค์กรที่เหมาะสม

ในสเปน Google ถูกปรับ 10 ล้านยูโร จากการบังคับให้ผู้ใช้ยอมรับการโอนคำขอลบเนื้อหาไปยังบุคคลที่สาม

ล่าสุด อันเป็นผลมาจากความล้มเหลวในการปกป้องความเป็นส่วนตัวของเด็ก ๆ ในขณะที่ใช้แพลตฟอร์ม TikTok อาจต้องเสียค่าปรับ 27 ล้านปอนด์ หลังจากการละเมิดกฎหมายคุ้มครองข้อมูลของสหราชอาณาจักร

หัวข้อทั่วไปที่ดำเนินการผ่านกรณีเหล่านี้คือหลักการสำคัญของ "ความถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส" ซึ่งหมายความว่าธุรกิจต่างๆ จะต้องมีความชัดเจนกับบุคคลเกี่ยวกับวิธีการประมวลผลข้อมูลส่วนบุคคลของพวกเขา และต้องมีการกำหนดพื้นฐานทางกฎหมายที่เหมาะสมสำหรับการดำเนินการดังกล่าว

ในสหราชอาณาจักร การบังคับใช้ในปี 2565 มุ่งเน้นไปที่การส่งข้อความทางการตลาดโดยไม่ได้รับอนุญาตเป็นส่วนใหญ่ กฎหมายความเป็นส่วนตัวของข้อมูลใหม่ เช่น GDPR กำหนดให้มีพื้นฐานทางกฎหมาย—โดยทั่วไปคือความยินยอมหรือผลประโยชน์ที่ชอบด้วยกฎหมาย—สำหรับการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกิจกรรมทางการตลาด

กรณีล่าสุด* แสดงว่าข้อกำหนดนี้ยังไม่เข้าใจอย่างชัดเจน (หรือถูกเพิกเฉยโดยเจตนา!):

  • Finance Giant Ltd ( 60,000 ปอนด์ ): กระตุ้นให้มีการส่งข้อความการตลาดทางตรงที่ไม่พึงประสงค์ซึ่งได้รับการยืนยันแล้วจำนวน 505,759 ข้อความ
  • Bizfella Limited ( 30,000 ปอนด์ ): ยุยงให้ส่งข้อความ SMS การตลาดทางตรงที่ไม่พึงประสงค์ 224,550 ข้อความ
  • H&L Business Consulting Limited ( 80,000 ปอนด์ ): ยุยงให้ส่งข้อความ SMS ที่ไม่พึงประสงค์ 451,705 ข้อความเพื่อวัตถุประสงค์ทางการตลาดทางตรง

*ผู้อ่านสามารถรับข้อความทั้งหมดสำหรับการตัดสินทั้งหมดได้จากเว็บไซต์ของ ICO และยังสามารถลงทะเบียนเพื่อรับจดหมายข่าว "การดำเนินการบังคับใช้" ของ ICO ได้อีกด้วย

ผู้บริโภคต้องการทราบว่าข้อมูลของพวกเขาถูกนำไปใช้อย่างไร

ประเด็นสำคัญที่ดำเนินการผ่านกรณีเหล่านี้ทั้งหมด (และอื่น ๆ ) คือประเด็นเหล่านี้เริ่มปรากฏให้เห็นจากการร้องเรียนของผู้บริโภค ขณะนี้ผู้บริโภคมีความเข้าใจในสิทธิ์ความเป็นส่วนตัวของข้อมูลมากขึ้น และพร้อมที่จะใช้สิทธิ์เหล่านี้หากพวกเขาเชื่อว่าข้อมูลส่วนบุคคลของพวกเขาถูกใช้ในทางที่ผิด

เมื่อจัดการข้อมูลผู้บริโภค สิ่งสำคัญที่ต้องจำไว้คือ:

  • ความยินยอมที่ถูกต้องกำหนดว่าบุคคลควรได้รับทางเลือกและการควบคุมที่แท้จริง
  • บุคคลควรได้รับแจ้งอย่างชัดเจนว่าพวกเขาจะได้รับข้อความทางการตลาด
  • ความยินยอมควรแยกออกจากนโยบายความเป็นส่วนตัวและ/หรือข้อกำหนดและเงื่อนไขอื่นๆ ของผู้ส่ง
  • ความยินยอมทางอ้อมอาจใช้ได้ก็ต่อเมื่อมีความชัดเจนและเฉพาะเจาะจงเพียงพอเท่านั้น
  • จะต้องมีวิธีการง่ายๆ ที่บุคคลจะปฏิเสธการใช้รายละเอียดการติดต่อของตน

ธุรกิจบางแห่งตกอยู่ในหลุมพรางความเป็นส่วนตัวอื่นๆ

หลังจากการโยกย้ายไปยังระบบ CRM ใหม่ Reed Online ได้กำหนดเวลาอีเมลทางการตลาดให้กับลูกค้าที่เคยยกเลิกการสมัคร/ระงับโดยไม่ได้ตั้งใจ

Tuckers Solicitors ประสบกับการโจมตีของแรนซัมแวร์ ส่งผลให้เกิดการละเมิดข้อมูลส่วนบุคคล ICO ตัดสินว่าความล้มเหลวของบริษัทในการใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมทำให้พวกเขาเสี่ยงต่อการถูกโจมตี

สำนักงานคณะรัฐมนตรีของรัฐบาลสหราชอาณาจักรเปิดเผยที่อยู่ทางไปรษณีย์ของผู้รับเกียรตินิยมวันปีใหม่ปี 2020 ทางออนไลน์ ซึ่งเป็นความล้มเหลวในการป้องกันการเปิดเผยข้อมูลของผู้คนโดยไม่ได้รับอนุญาต

เหตุการณ์ความเป็นส่วนตัวของข้อมูลจำนวนมากไม่ได้พาดหัวข่าว

ในขณะที่การละเมิดที่มีรายละเอียดสูงทำให้หัวข้อข่าว หลายเหตุการณ์ที่เกิดขึ้นในโลกีย์มากขึ้น

ICO เผยแพร่รายงานการรักษาความปลอดภัยของข้อมูลรายไตรมาส โดยมีปัญหาล่าสุดที่ “ไม่ใช่ทางไซเบอร์” (กล่าวคือ เกิดขึ้นเอง) ได้แก่:

  • ข้อมูลถูกส่งไปยังผู้รับที่ไม่ถูกต้อง ( 22 เปอร์เซ็นต์ )
  • การเข้าถึงโดยไม่ได้รับอนุญาต ( 14 เปอร์เซ็นต์ )
  • ข้อมูลที่โพสต์หรือแฟกซ์ไปยังผู้รับที่ไม่ถูกต้อง ( 13 เปอร์เซ็นต์ )
  • สูญหาย/ถูกขโมยเอกสารหรือข้อมูลที่เหลืออยู่ในสถานที่ที่ไม่ปลอดภัย ( ร้อยละ 8 )
  • ล้มเหลวในการ redact ( 6 เปอร์เซ็นต์ )

แนวโน้มเหล่านี้ส่วนใหญ่ชี้ไปที่ข้อผิดพลาดของมนุษย์และ/หรือการฝึกอบรมที่ไม่เพียงพอ และนำเสนอข้อโต้แย้งที่น่าสนใจเพื่อสนับสนุนการใช้แนวทางปฏิบัติ "ความเป็นส่วนตัวโดยการออกแบบ" ซึ่งกระบวนการที่มีประสิทธิภาพลดโอกาสในการไม่ปฏิบัติตามข้อกำหนด

เรายังไม่เห็นค่าปรับ "4 เปอร์เซ็นต์ของรายได้ทั่วโลก" จริงๆ ที่สามารถเรียกเก็บได้ในเชิงทฤษฎี แม้ว่าจะไม่ได้บอกว่าสิ่งนี้จะไม่เกิดขึ้น ค่าปรับบริติชแอร์เวย์ (BA) ตามที่เสนอนั้นใกล้เข้ามาแล้วก่อนที่จะถูกปรับลดลงเนื่องจากปัจจัยบรรเทาต่างๆ ซึ่งรวมถึงผลกระทบของวิกฤตโควิด-19 ที่มีต่อการเงินของ BA แม้ว่าจะไม่มีธุรกิจใดต้องการจัดการกับการละเมิดความเป็นส่วนตัว แต่ก็มีปัจจัยบรรเทาที่จะได้รับการพิจารณาหากเกิดขึ้น ได้แก่:

  • ไม่ว่าจะเป็นการละเมิดครั้งแรก
  • ความรุนแรงของการละเมิด
  • ไม่ว่าจะจงใจหรือบังเอิญ
  • การแจ้งเตือนเชิงรุกไปยังหน่วยงานกำกับดูแล
  • การดำเนินการเพื่อลดผลกระทบต่อเจ้าของข้อมูล

หน่วยงานกำกับดูแลโดยทั่วไปจะผ่อนปรนมากขึ้นกับธุรกิจที่โปร่งใสเกี่ยวกับสิ่งที่ผิดพลาด ให้ความร่วมมือในการให้ความช่วยเหลือในการสอบสวน และดำเนินการอย่างรวดเร็วเพื่อกำหนดมาตรการที่จะป้องกันไม่ให้เกิดขึ้นอีก

นี่เป็นเพียงจุดเริ่มต้น…

มีอะไรอีกมากมายที่จะพูดในหัวข้อนี้ ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับกฎหมายความเป็นส่วนตัวของข้อมูลทั่วโลกหรือไม่ ดู คำแนะนำเกี่ยวกับกฎหมายความเป็นส่วนตัวสากลและการปฏิบัติตามข้อกำหนด ของเรา

ดาวน์โหลดคู่มือ