Facebook อาจถูกปรับถึง 52,500 ล้านบาทในยุโรป หากพบว่าละเมิด GDPR

หน่วยงานเฝ้าระวังด้าน Privacy ของสหภาพยุโรปหรือ EU อาจสั่งปรับ Facebook เป็นจำนวนเงินสูงสุดถึง 52,500 ล้านบาทสำหรับเหตุ Data Breach ที่เกิดขึ้นเมื่อสุดสัปดาห์ที่ผ่านมา ส่งผลให้บัญชีผู้ใช้กว่า 50 ล้านคนถูกแฮ็ก ในกรณีที่หน่วยงานเห็นว่า Facebook ละเมิดกฏหมาย GDPR

Data Protection Commission (DPC) ของประเทศไอร์แลนด์ ซึ่งเป็นหน่วยงานกำกับดูแลอันดับต้นๆ ของ Facebook ในยุโรป ออกมาเปิดเผยเมื่อวันเสาร์ที่ผ่านมา ระบุว่าขณะนี้กำลังร้องขอข้อมูลเพิ่มเติมจาก Facebook เกี่ยวกับเหตุการณ์ Data Breach ที่เกิดขึ้น ว่าส่งผลกระทบต่อผู้ที่อาศัยอยู่ใน EU มากน้อยแค่ไหน นอกจากนี้หน่วยงานดังกล่าวยังแสดงความกังวลอีกว่า เหตุการณ์ถูกค้นพบเมื่อวันอังคารที่ผ่านมา ซึ่งกระทบต่อผู้ใช้หลายล้านคน แต่จนถึงตอนนี้ Facebook ยังไม่สามารถบอกรายละเอียดและความเสี่ยงที่ผู้ใช้ได้รับได้

โฆษกของ Facebook ออกแถลงการณ์ในวันอาทิตย์ที่ผ่านมา ระบุว่าทางบริษัทฯ พยายามตอบคำถามของ DPC และรายงานสถานการณ์ที่เกิดขึ้นล่าสุดเป็นระยะๆ ซึ่งทางมาร์ก ซักเคอร์เบิร์ก CEO ของ Facebook ก็ได้ยืนยันว่า Facebook เอาจริงเอาจังกับการแก้ปัญหาครั้งนี้เป็นอย่างมาก และพยายามตัดสินใจเกี่ยวกับรายละเอียดต่างๆ รวมไปถึงผลกระทบที่เกิดขึ้นจากเหตุการณ์นี้

เหตุการณ์ Data Breach นี้ยังถือว่าเป็นบททดสอบแรกสำหรับหน่วยงานกำกับดูแลที่ต้องบังคับใช้ GDPR กับหนึ่งในบริษัทที่ใหญ่ที่สุดในโลกอีกด้วย ถึงแม้ว่าก่อนหน้านี้จะมีเหตุการณ์ Data Breach ของสายการบิน British Airways ที่แฮ็กเกอร์แอบดักฟังข้อมูลการเงินของลูกค้าที่ทำการจองตั๋วเครื่องบิน แต่เมื่อเทียบสเกลของเหตุการณ์ที่เกิดขึ้นแล้ว Facebook นับว่าใหญ่กว่าอย่างเทียบไม่ติด

คำถามสำคัญสำหรับหน่วยงานกำกับดูแลตอนนี้คือ Facebook มีการลงทุนด้านความมั่นคงปลอดภัยเพียงพอที่จะหลีกเลี่ยงเหตุ Data Breach หรือไม่ เนื่องจาก GDPR ระบุไว้ว่า บริษัทที่ไม่มีการคุ้มครองความเสี่ยงของข้อมูลผู้ใช้ที่ดีเพียงพอ จะต้องโทษปรับสสูงสุด 20 ล้านยูโร (ประมาณ 750 ล้านบาท) หรือ 4% ของรายได้ต่อปีที่ได้จากการทำธุรกิจทั่วโลก ซึ่งในกรณีของ Facebook อาจโดนปรับสูงสุดถึง 52,500 ล้านบาท อย่างไรก็ตาม คำว่า “ดีเพียงพอ” ในตัวบทกฎหมายนั้นก็ยังไม่เคยถูกนิยามมาก่อน คงต้องรอดูว่าเมื่อถูกฟ้องแล้ว ศาลจะพิจารณาอย่างไร

นอกจากนี้ GDPR ยังระบุอีกว่า บริษัทจะต้องแจ้งเหตุที่เกิดกับทางหน่วยงานกำกับดูแลที่เกี่ยวข้องภายใน 72 ชั่วโมงหลังทราบเรื่อง มิเช่นนั้นอาจถูกปรับอีก 2% ซึ่ง Facebook รายงานเหตุการณ์นี้ในช่วงเย็นวันพฤหัสบดี จึงถือว่าผ่านเงื่อนไขที่กฎหมายกำหนด เพียงแต่ยังขาดรายละเอียดเกี่ยวกับเหตุการณ์ไปหน่อย ซึ่งไม่ใช่เรื่องแปลกอะไร เนื่องจากการรายงานครั้งแรกมักเป็นการแจ้งเหตุที่เกิดขึ้น ส่วนรายละเอียดมักตามมาภายหลังหลังจากที่เริ่มกระบวนการสืบสวนหาข้อเท็จจริงแล้ว

ทั้งนี้ หน่วยงานกำกับดูแลของ EU บอกเสมอว่า ตัวเลขค่าปรับ 4% ของรายได้ต่อปีที่ได้จากการทำธุรกิจทั่วโลกถูกตั้งไว้เพื่อใช้ประเมินความเสี่ยงขององค์กรเท่านั้น ทางหน่วยงานกำกับดูแลไม่เคยมีความคิดที่จะลงโทษด้วยการปรับเงินสูงสุดแต่อย่างใด

ที่มา: https://www.wsj.com/articles/facebook-faces-potential-1-63-billion-fine-in-europe-over-data-breach-1538330906?mod=e2fb