เกิดอะไรขึ้นตั้งแต่เปิดตัว GDPR

เมื่อวันที่ 25 ^{พฤษภาคม} 2018 เกือบสิบเดือนที่ผ่านมากฎระเบียบคุ้มครองข้อมูลทั่วไปยุโรปเข้ามาบังคับ หลังจากโฆษณาเกินจริงที่เกิดจากการแนะนำ คุณอาจสงสัยว่ากฎระเบียบใหม่มีผลใดๆ หรือไม่ อันที่จริง มีหลายอย่างเกิดขึ้น มีการกำหนดค่าปรับและคำเตือน และมีการฟ้องร้องดำเนินคดีหลายครั้ง

เพื่อให้คุณเห็นภาพรวมว่าปัญหาด้านการปกป้องข้อมูลถูกละเมิดที่ใด เราได้รวบรวมค่าปรับ ข้อควรระวัง และคดีความที่รอดำเนินการตาม GDPR

ค่าปรับที่กำหนดบนพื้นฐานของ GDPR

กรณีที่ 1: การโจรกรรมข้อมูลผู้ใช้ – เยอรมนี

แพลตฟอร์มแชท “Knuddels” ถูกแฮ็กและรหัสผ่าน นามแฝง และที่อยู่อีเมลถูกขโมย เนื่องจากข้อมูลนี้ถูกเก็บไว้โดยไม่มีการเข้ารหัส การจัดเก็บข้อมูลที่ไม่ได้เข้ารหัสเป็นการป้องกันข้อมูลส่วนบุคคลที่ไม่เพียงพอ สิ่งนี้ละเมิดหลักการของ ความเป็นส่วนตัวโดยค่าเริ่มต้นและความเป็นส่วนตัวตามการออกแบบที่ กำหนดโดย GDPR

ค่าปรับในกรณีนี้เป็นจำนวนเงิน 20,000 ยูโร
ที่มา: การ ขโมยข้อมูลผู้ใช้ – เยอรมนี (เยอรมัน)

กรณีที่ 2: การเผยแพร่ข้อมูลด้านสุขภาพ – เยอรมนี

อาจเป็นเพราะความผิดพลาดโดยไม่ตั้งใจ ข้อมูลสุขภาพส่วนบุคคลจึงสามารถเข้าถึงได้ทางออนไลน์ (กรณีนี้ไม่มีการเปิดเผยรายละเอียดเพิ่มเติม) ในกรณีนี้ หลักการของ ความเป็นส่วนตัวโดยปริยายและความเป็นส่วนตัวโดยการออกแบบ ก็ถูกละเมิดเช่นกันเนื่องจากมีการใช้มาตรการป้องกันที่ไม่เพียงพอ

ค่าปรับที่นี่มีจำนวน 80,000 ยูโร
ที่มา: การ เผยแพร่ข้อมูลด้านสุขภาพ – ภาษาเยอรมัน (G erman)

กรณีที่ 3: การอนุมัติผู้ใช้ที่หายไป/ผิดพลาดของ Google – ฝรั่งเศส

Google มีค่าปรับสูงสุดจนถึงปัจจุบัน คดีนี้ถูกฟ้องในวันที่ GDPR มีผลบังคับใช้ ในกรณีนี้ ค่าปรับขึ้นอยู่กับการละเมิด หน้าที่ในการให้ข้อมูลและความโปร่งใส และการขาดพื้นฐานทางกฎหมายในการใช้โฆษณาที่ปรับให้เหมาะกับแต่ละบุคคล

ในกรณีนี้ ค่าปรับจะถูกปรับเป็นจำนวนเงิน 50,000,000 ยูโร
Quelle: Google ไม่ได้รับการอนุมัติผู้ใช้
การสื่อสารอย่างเป็นทางการของ CNIL (หน่วยงานคุ้มครองข้อมูลของฝรั่งเศส)

โดยรวมแล้ว มีการปรับ 41 ค่าปรับที่มีจำนวนเงินตั้งแต่ 15,000 ถึง 100,000 ยูโรในเยอรมนี ตั้งแต่ GDPR มีผลบังคับใช้ ค่าปรับมีเหตุผลหลายประการ:

• โรงแรมใช้มาตรการทางเทคนิคและองค์กรที่ไม่เพียงพอ ซึ่งไม่สามารถตัดความเป็นไปได้ที่บัตรเครดิตหรือข้อมูลลูกค้าอื่นๆ จากระบบการจองของโรงแรมอาจถูกเปิดเผยในกรณีที่มีการโจมตีของแฮ็กเกอร์ที่ขู่กรรโชก
• การเผยแพร่ข้อมูลด้านสุขภาพ บนอินเทอร์เน็ตเนื่องจากกลไกการควบคุมภายในไม่เพียงพอ
• ข้อผิดพลาดของมนุษย์: การเปิดเผยข้อมูลสุขภาพ ให้กับผู้ป่วยที่ไม่ถูกต้อง โดยโรงพยาบาล
• การบันทึกการ โทรออกและ เรียก เข้าทั้งหมดไปยังหน่วยดับเพลิงของรัฐเบรเมิน
• การเปิดเผยใบแจ้งยอดบัญชี แก่บุคคลที่ไม่ได้รับอนุญาตโดยใช้ธนาคารออนไลน์
• อีเมลโฆษณาที่ยอมรับไม่ได้ ,
• สำเนาข้อมูลลูกค้าโดยไม่ได้รับอนุญาต ระหว่างการโจมตีของแฮ็กเกอร์บนเว็บช็อป
• การ ใช้ Dashcam โดยไม่ได้รับอนุญาต ,
• รายชื่อการส่งอีเมลแบบเปิด ,
• การเฝ้าระวังวิดีโอโดยไม่ได้รับอนุญาต ของลูกค้าและพนักงาน

ในยุโรป ค่าปรับ ทั้งหมด 91 ถูกปรับ ตั้งแต่ GDPR มีผลบังคับใช้

ข้อควรระวังและการตัดสินตั้งแต่ GDPR มีผลบังคับใช้

กรณีที่ 1: เว็บไซต์ที่ไม่มีการเข้ารหัส

ศาลแขวงวอร์ซบูร์กห้ามทนายความใช้เว็บไซต์ของเธอโดยไม่มีการเข้ารหัส และไม่มีการประกาศการคุ้มครองข้อมูลที่เพียงพอภายใต้การคุกคามของค่าปรับ 250,000 ยูโร
ที่มา: เว็บไซต์ที่ไม่มีการเข้ารหัส (เยอรมัน)

กรณีที่ 2: การใช้กลุ่มเป้าหมายที่กำหนดเองของ Facebook

สำนักงานคุ้มครองข้อมูลแห่งรัฐบาวาเรียห้ามไม่ให้ร้านค้าออนไลน์ใช้ "Facebook Custom Audience" คำตัดสินได้รับการยืนยันโดย "Verwaltungsgericht" และ "Verwaltungsgerichtshof" เหตุผลที่ระบุในที่นี้คือการใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากผู้เข้าชม

ที่มา: การ ใช้ Facebook Custom Audience (ภาษาเยอรมัน)

อยู่ระหว่างการพิจารณาคดีเนื่องจาก GDPR

• Instagram (เบลเยียม): เหตุผล: ข้อมูลไม่เพียงพอและถูกบังคับ ขาดหายไป หรือได้รับความยินยอมไม่เพียงพอ
• WhatsApp (ฮัมบูร์ก): เหตุผล: ข้อมูลไม่เพียงพอและถูกบังคับ ขาดหายไป หรือได้รับความยินยอมไม่เพียงพอ
• Facebook (ออสเตรีย): เหตุผล: ข้อมูลไม่เพียงพอและถูกบังคับ ขาดหายไป หรือได้รับความยินยอมไม่เพียงพอ
• ออสเตรีย: ธนาคารออสเตรีย เรียกเก็บเงิน 30 ยูโรสำหรับการดึงข้อมูลส่วนบุคคลของลูกค้าที่เก็บไว้สำหรับลูกค้ารายนั้น ศาลมีคำพิพากษาให้โจทก์เห็นชอบ ครั้นแล้วธนาคารได้ยื่นอุทธรณ์คำวินิจฉัยดังกล่าวต่อศาลชั้นต้น คือ ศาลปกครองสหพันธรัฐ เหตุผลในการตัดสินของศาลที่นี่คือการปฏิเสธที่จะให้สิทธิ์ในการเปิดเผยข้อมูลส่วนบุคคลที่เก็บไว้โดยไม่เสียค่าใช้จ่าย
• ศาลยุติธรรมแห่งยุโรป: การดำเนินการต่อต้านการใช้ US-EU Privacy Shield (เช่น Facebook) เนื่องจาก NSA สามารถสกัดการถ่ายโอนไปยังสหรัฐอเมริกาได้ตามกฎหมายของสหรัฐอเมริกา
• สหราชอาณาจักรและไอร์แลนด์: Google และ IAB ถูกฟ้องในข้อหาเสนอราคาแบบเรียลไทม์ (RTB) ในโฆษณา ตามที่โจทก์กล่าว ระบบ RTB แบ่งปันจุดข้อมูลส่วนบุคคลหลายแสนล้านจุดทุกวันกับระบบอื่นโดยไม่ได้รับความยินยอมจากผู้ใช้ แม้แต่ข้อมูลที่ละเอียดอ่อน เช่น “การล่วงละเมิด การร่วมประเวณีระหว่างพี่น้อง หรือสถานะเอชไอวี” ก็ยังถูกแชร์ ตามที่โจทก์กล่าว IAB ทราบล่วงหน้าว่าระบบของตนไม่สอดคล้องกับ GDPR ในทางกลับกัน Google พยายามที่จะส่งต่อภาระหน้าที่ไปยังเว็บไซต์ที่แสดงโฆษณาเพื่อขอความยินยอมจากผู้ใช้

ที่มา:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

นับตั้งแต่ GDPR มีผลบังคับใช้ มีรายงานการ รั่วไหลของข้อมูลมากกว่า 59,000 รายการ ไปยังหน่วยงานคุ้มครองข้อมูลของยุโรป ประเทศที่มีรายงานการรั่วไหลของข้อมูลสูงสุด ได้แก่ เนเธอร์แลนด์ ข้อมูลรั่วไหล 15,400 ข้อมูลเยอรมนี 12,600 รายการ และบริเตนใหญ่ 10,600 รายการ ไซปรัสที่มีรายงาน 35 ฉบับ ไอซ์แลนด์ 25 ฉบับ และลิกเตนสไตน์ 15 ฉบับเป็นประเทศที่มีข้อมูลรั่วไหลน้อยที่สุด

สำนักงานกำกับดูแลการปกป้องข้อมูลแห่งรัฐบาวาเรีย (BayLDA) ได้ตรวจสอบเว็บไซต์ของบริษัทที่มีการเข้าถึงสูง 40 แห่งเพื่อตรวจสอบว่าสอดคล้องกับ GDPR หรือไม่เกี่ยวกับความยินยอมและเอกสารของผู้ใช้ ไม่มีเว็บไซต์ของบริษัทใดใน 40 แห่งที่ใช้กระบวนการขอความยินยอมจากผู้ใช้และข้อมูลผู้ใช้ที่ถูกต้อง ที่นี่ก็มีการคุกคามของการฟ้องร้องและข้อควรระวังเช่นกัน

อย่างที่คุณเห็นมีหลายอย่างเกิดขึ้นในด้านการปกป้องข้อมูลในช่วงสิบเดือนที่ผ่านมา ระเบียบว่าด้วยการคุ้มครองข้อมูลใหม่ให้พื้นฐานทางกฎหมายที่สำคัญสำหรับผู้ใช้ในการปกป้องข้อมูลส่วนบุคคลของพวกเขา ดังนั้น บริษัทต่างๆ จึงได้รับการร้องขอและแนะนำอย่างดีให้ ปฏิบัติตามข้อกำหนดในการปกป้องข้อมูลใหม่

โปรดทราบว่า GDPR และข้อกำหนดใหม่ยังมีผลบังคับใช้กับบริษัทสวิสที่ให้บริการและผลิตภัณฑ์ของตนแก่พลเมืองสหภาพยุโรปด้วย