จากข่าวที่เกี่ยวกับข้อมูลหลุด รั่ว โดนแฮก ในหลายองค์กร อุบัติขึ้นอย่างต่อเนื่องในระยะสัปดาห์ที่ผ่านมา เรามาศึกษาข้อมูลในแต่ละเคส เพื่อเข้าใจการหลุดรั่วของข้อมูล ตาม GDPR/PDPA กันนะครับ
สายการบินในประเทศไทยแห่งหนึ่งถูกโจมตีด้านความปลอดภัยทางไซเบอร์
การโจมตีดังกล่าวทำให้มีข้อมูลส่วนบุคคลที่ถูกเข้าถึง โดยไม่ชอบด้วยกฎหมาย และข้อมูลที่หลุดรั่วประกอบด้วย ชื่อ นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ หมายเลขโทรศัพท์ ข้อมูลหนังสือเดินทาง ประวัติการเดินทาง ข้อมูลบัตรเครดิตบางส่วน และข้อมูลการแพ้อาหาร ซึ่งเหตุการณ์ดังกล่าว ขัดต่อ กฎหมาย PDPA มาตรา 37 ซึ่งท้ายที่สุด DPO และบริษัทต้องทำการ แถลงเหตุการณ์ และปัญหาที่เกิดขึ้น พร้อมการประกาศการชดเชย
องค์กรค้าปลีกใหญ่แนวหน้าของประเทศออกมายอมรับว่ามีการถูกแฮกเกอร์ ขโมยข้อมูล
เมื่อไม่กี่สัปดาห์ก่อน องค์กรดังกล่าวออกมายอมรับแล้วว่ามีการแฮกจริง ซึ่งข้อมูลที่แฮกเกอร์ ได้ไปก็ยังคงเป็น ชื่อ นามสกุล หมายเลขโทรศัพท์ อีเมล ที่อยู่ของลูกค้า ซึ่งข้อมูลดังกล่าวหากองค์กรยิ่งมีการเก็บไว้เป็นจำนวนมาก จะส่งผลให้เกิดความเสี่ยงในการจัดเก็บข้อมูล ยิ่งมีข้อมูลจำนวนมากจะส่งผลให้ต้องใช้ระบบความปลอดภัยทางไซเบอร์ที่มากขึ้นกว่าปกติ แต่การหลุดรั่วของข้อมูลนั้นยังคง ขัดต่อ กฎหมาย PDPA มาตรา 37 ซึ่งได้กล่าวเรื่อง Cyber Security และการหลุดรั่วของข้อมูล ซึ่งบริษัทจำเป็นต้องแจ้งภายใน 72 ชั่วโมงนับจากที่ข้อมูลหลุดรั่ว ซึ่งในกรณีนี้ก็ไม่ได้มีการดำเนินการดังกล่าวเช่นเดียวกัน
กระทรวงใหญ่ระดับประเทศถูกแฮกข้อมูลกว่า 16 ล้านข้อมูล
กระทรวงใหญ่ของระเทศไทย กลายเป็นข่าวสำคัญจากการที่ข้อมูลถูกแฮกกว่า 16 ล้านข้อมูล โดยข้อมูลที่ถูกแฮกไปนั้นเป็นข้อมูลในกลุ่มข้อมูลอ่อนไหว (ตามมาตรา 24) ได้แก่ ประวัติคนไข้ ทำให้มี ชื่อ นามสกุล เบอร์โทรศัพท์ สิทธิในการรักษา ประวัติการนัดคนไข้ ข้อมูลการแอดมิท ตารางเวรของแพทย์ โดยข้อมูลดังกล่าวต้องถูกรักษาอย่างดี นอกจากนั้นองค์กรภาครัฐเองก็ต้องมีการดำเนินการป้องกันข้อมูลอย่างดีที่สุด เพื่อไม่ให้ข้อมูลถูกแฮกหรือหลุดรั่ว
สุดท้ายแล้ว หากกล่าว ถึง PDPA/GDPR แล้วนั้นไม่ได้มีเพียงแค่การทำสัญญา หรือ Consent เท่านั้น
แต่รวมถึงการทำงานของ DPO, Digital Security ของบริษัท และการจัดการการป้องกันข้อมูล ตลอดจน การจัดเก็บข้อมูลและการจำแนกข้อมูลต่าง ๆ ล้วนแล้วแต่เป็นสิ่งสำคัญของ PDPA/GDPR
Comments