[BAYCOMS] คณะกรรมการคุ้มครองข้อมูลไอร์แลนด์สั่งปรับบริษัท Meta กว่า 100 ล้านดอลลาร์สหรัฐข้อหาละเมิด GDPR คณะกรรมการคุ้มครองข้อมูลแห่งไอร์แลนด์ (DPC) ได้สั่งปรับบริษัท Meta Platforms Ireland Limited (MPIL) เป็นจ

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

10 ต.ค. เวลา 02:00 • วิทยาศาสตร์ & เทคโนโลยี

คณะกรรมการคุ้มครองข้อมูลไอร์แลนด์สั่งปรับบริษัท Meta กว่า 100 ล้านดอลลาร์สหรัฐข้อหาละเมิด GDPR

คณะกรรมการคุ้มครองข้อมูลแห่งไอร์แลนด์ (DPC) ได้สั่งปรับบริษัท Meta Platforms Ireland Limited (MPIL) เป็นจำนวน 91 ล้านยูโร (ประมาณ 100 ล้านดอลลาร์สหรัฐ) เนื่องจากบริษัทได้ทำการจัดเก็บรหัสผ่านของผู้ใช้โซเชียลมีเดียหลายร้อยล้านรายในรูปแบบ "Plain Text" หรือ "ข้อความธรรมดา"

ซึ่งหมายถึงการเก็บข้อมูลโดยไม่มีการเข้ารหัสหรือป้องกัน ทำให้ข้อมูลนั้นเสี่ยงต่อการถูกเข้าถึงหรือถูกใช้ในทางที่ผิด ซึ่งเป็นการละเมิดกฎข้อบังคับว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation หรือ GDPR)

โดยมีการบันทึกว่า MPIL ได้ละเมิดข้อกำหนดของ GDPR หลายประการ ดังนี้:

1) ไม่ได้ทำการแจ้งให้ DPC ทราบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลในการจัดเก็บรหัสผ่านของผู้ใช้ในรูปแบบข้อความธรรมดา (Plain Text)

2) ไม่ได้บันทึกการละเมิดข้อมูลส่วนบุคคลที่เกี่ยวกับการจัดเก็บรหัสผ่านในรูปแบบข้อความธรรมดาอย่างถูกต้อง

3) ไม่มีมาตรการในการบังคับใช้หรือมีเทคโนโลยีที่มีประสิทธิภาพเกี่ยวกับการป้องกันการละเมิดข้อมูลส่วนบุคคล เพื่อให้แน่ใจว่ารหัสผ่านของผู้ใช้งาน (User) ได้รับการรักษาความปลอดภัยอย่างเหมาะสมจากการเข้าถึงข้อมูลส่วนบุคคลหรือรหัสผ่านที่ไม่ได้รับอนุญาต

4) ไม่มีมาตรการในการบังคับใช้หรือมีเทคโนโลยีที่เหมาะสมเพื่อใช้ในการจัดการกับความเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคล รวมถึงความสามารถในการรับประกันความลับของรหัสผ่านของผู้ใช้อย่างต่อเนื่อง

Graham Doyle รองคณะกรรมการของ DPC ให้ความเห็นว่า “การเก็บรหัสผ่านของผู้ใช้ในรูปแบบข้อความธรรมดา (Plaintext) เป็นสิ่งที่ไม่ควรทำ เนื่องจากมีความเสี่ยงที่ข้อมูลเหล่านี้อาจถูกเข้าถึงและนำไปใช้ในทางที่ไม่เหมาะสม สิ่งที่ต้องคำนึงถึงคือ รหัสผ่านที่ถูกพิจารณาในเคสนี้เป็นข้อมูลที่มีความละเอียดอ่อนมาก เพราะสามารถให้สิทธิ์ในการเข้าถึงบัญชีโซเชียลมีเดียของผู้ใช้ได้"

ตัดสินของ DPC ครั้งนี้ได้เน้นย้ำให้องค์กรต่าง ๆ ตระหนักถึงการรักษาความปลอดภัยและความลับของข้อมูลตามกฏหมาย GDPR ซึ่งกำหนดให้ผู้ควบคุมข้อมูล (Data Controller) จำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคล โดยพิจารณาปัจจัยต่าง ๆ เช่น ความเสี่ยงที่อาจเกิดขึ้นกับผู้ใช้ รวมถึงวิธีการประมวลผลและการจัดเก็บข้อมูล

เพื่อรักษาความปลอดภัย Data Controller ควรประเมินความเสี่ยงที่อาจเกิดขึ้นในกระบวนการจัดเก็บข้อมูลและดำเนินการตามมาตรการเพื่อบรรเทาความเสี่ยงที่อาจจะเกิดขึ้น การตัดสินใจครั้งนี้เน้นย้ำถึงความจำเป็นในการใช้มาตรการดังกล่าว โดยเฉพาะในกรณีของการจัดเก็บรหัสผ่านผู้ใช้ ซึ่งเป็นข้อมูลที่อ่อนไหวและอาจนำไปสู่การละเมิดสิทธิ์ของผู้ใช้งานได้

นอกจากนี้ ตามกฏหมาย GDPR ยังบังคับให้ผู้ควบคุมข้อมูลต้องรายงานเหตุการณ์การละเมิดข้อมูลส่วนบุคคลอย่างถูกต้อง และแจ้งต่อหน่วยงานที่ดูแลคุ้มครองข้อมูลโดยทันทีเมื่อพบการละเมิด การแจ้งอย่างรวดเร็วนี้เป็นการป้องกันความเสียหายที่อาจเกิดขึ้นทั้งในแง่กฎหมายและชื่อเสียงขององค์กร การตัดสินของ DPC แสดงให้เห็นถึงความจำเป็นที่ทุกองค์กรควรให้ความสำคัญกับมาตรการรักษาความปลอดภัยข้อมูลของผู้ใช้เพื่อป้องกันการละเมิดที่อาจเกิดขึ้นได้ในอนาคต

Ref : https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS

Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :

Bay Computing Public Co., Ltd

Tel: 02-115-9956

Email: info@baycoms.com

Website: www.baycoms.com

#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #GDPR

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

คณะกรรมการคุ้มครองข้อมูลไอร์แลนด์สั่งปรับบริษัท Meta กว่า 100 ล้านดอลลาร์สหรัฐข้อหาละเมิด GDPR

ดาวน์โหลดแอปพลิเคชัน