หน่วยงานกำกับดูแลด้านการปกป้องข้อมูลของไอร์แลนด์ (DPC) สั่งปรับ TikTok เป็นเงิน 345 ล้านยูโร หรือประมาณ 1.3 หมื่นล้านบาท โดยระบุสาเหตุว่าบริษัทไม่สามารถปฏิบัติตามข้อกำหนด GDPR ในด้านการจัดการข้อมูลของกลุ่มผู้ใช้งานที่เป็นเด็ก
ในแถลงการณ์ของ DPC บอกว่า หน่วยงานตรวจสอบข้อมูลของ TikTok ช่วง 31 กรกฎาคม ถึง 31 ธันวาคม 2020 พบปัญหาหลายอย่างของผู้ใช้งานเด็ก ได้แก่ โปรไฟล์ถูกตั้งค่าสาธารณะเป็นค่าเริ่มต้น, ฟีเจอร์ Family Pairing ไม่มีขั้นตอนตรวจสอบความเป็น Family ที่รัดกุม และไม่เปิดเผยรายละเอียดคำเตือนมากพอเมื่อผู้ใช้งานโพสต์วิดีโอ
ทั้งนี้ TikTok ได้ปรับนโยบายจำกัดการมองเห็น ในกลุ่มผู้ใช้งานเด็กมาตั้งแต่ปี 2021
วันก่อนมีผู้ใช้งานนาม PC_enjoyer โพสต์ใน X (Twitter เดิม) ว่าได้รับอีเมล์จากทาง Ubisoft ว่าบัญชี Ubisoft ของเขาถูกระงับเนื่องจากไม่มีการใช้งาน และจะถูกลบถาวร หลังจากได้รับอีเมล์ 30 วัน โดยมีลิงก์ให้เข้าไปยืนยันตัวตนเพื่อยกเลิกการลบบัญชี
ตอนแรกเหล่าผู้ใช้งานมองว่าเป็นการสแกม แต่ต่อมาทาง Ubisoft Support ออกมายืนยันผ่าน X ว่าอีเมล์ดังกล่าวเป็นอีเมล์จริง และอธิบายเพิ่มเติมกับ PC Gamer ว่า Ubisoft ทำตามข้อกำหนดของ GDPR (General Data Protection Regulation หรือ ระเบียบการคุ้มครองข้อมูลทั่วไปของผู้ใช้งาน) ในมาตรา 5.1.e ว่าด้วยการจำกัดระยะเวลาการเก็บข้อมูลผู้ใช้งาน
กรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งไอร์แลนด์ (Ireland’s Data Protection Commission - DPC) สั่งปรับ Meta เจ้าของเฟซบุ๊กฐานส่งข้อมูลผู้ใช้ที่อยู่ในสหภาพยุโรปไปยังสหรัฐฯ ตั้งแต่ช่วงกลางปี 2020 เป็นต้นมา
ที่ผ่านมา Meta ต่อสู้ว่าการส่งข้อมูลไปยังสหรัฐฯ นั้นอาศัยฐานสัญญาการให้บริการ และในความเป็นจริงก็มีธุรกิจนับพันที่ส่งข้อมูลข้ามทวีปไปมา แต่ Meta กลับถูกเล่นงานอยู่รายเดียว ทาง Meta ยืนยันว่าจะยื่นอุทธรณ์ต่อคำตัดสินนี้
GPDP หน่วยงานคุ้มครองความเป็นส่วนตัวของประเทศอิตาลี สั่งแบนการใช้งาน ChatGPT ในประเทศอิตาลีแล้ว ด้วยข้อหาเก็บข้อมูลผู้ใช้งานในอิตาลีเพื่อไปเทรนโมเดล โดยไม่เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนตัว GDPR ของยุโรป
GPDP จึงสั่งให้แบนการใช้งาน ChatGPT ก่อนชั่วคราว แล้วจะเข้าสอบสวนวิธีการเก็บข้อมูลของ OpenAI ต่อไปว่าถูกต้องแค่ไหน นอกจากนี้ยังมีประเด็นที่ GPDP ต้องการตรวจสอบด้วยว่า OpenAI มีวิธีตรวจสอบอายุของผู้ใช้งานว่าเกิน 13 ปีจริงๆ ได้อย่างไร
GPDP ยังยกกรณี ChatGPT มีบั๊กแสดงข้อมูลของบุคคลอื่น ซึ่งทาง OpenAI ชี้แจงว่าเป็นบั๊กของ Redis ฐานข้อมูลที่ใช้งาน
Facebook อัพเดตเมนูตั้งค่าใหม่เกี่ยวกับการยินยอมให้ใช้คุกกี้ในยุโรป เพื่อให้สอดคล้องกับกฎคุ้มครองข้อมูลส่วนตัวยุโรปหรือ GDPR สร้างเมนูการตั้งค่าใหม่บน Facebook และ Instagram โดยผู้ใช้งานในยุโรปสามารถเข้ามาควบคุมการยอมรับคุกกี้ของตัวเองได้ตลอดเวลา
คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ ซึ่งเป็นหน่วยงานบังคับใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคของสหภาพยุโรปหรือ GDPR เริ่มการสอบสวน TikTok เกี่ยวกับการจัดการข้อมูลของเด็กและจากการถูกกล่าวหาว่า TikTok ถ่ายโอนข้อมูลผู้ใช้ไปยังประเทศจีน
By: mk 
on 7 September 2021 - 10:12
Tags:
สำนักงานกรรมาธิการข้อมูลข่าวสาร (Information Commissioner’s Office - ICO) ของสหราชอาณาจักร ออกมาเรียกร้องให้แก้ปัญหา "หน้าจอยอมรับคุกกี้" (cookie consent pop-up) ของเว็บไซต์ที่บดบังหน้าจอ และทำให้ประสบการณ์ใช้งานของผู้ใช้แย่ลง
หน้าจอยอมรับคุกกี้ เกิดจากกฎหมายคุ้มครองข้อมูลส่วนตัว GDPR ของยุโรป ที่มีผลบังคับใช้ในเดือนพฤษภาคม 2018 ซึ่งกำหนดว่าผู้ให้บริการเว็บไซต์ต้องขอความยินยอม (consent) จากผู้ใช้ ก่อนตามรอยผู้ใช้ด้วยคุกกี้
ปัญหาในมุมกลับคือ เมื่อเว็บไซต์เกือบทุกแห่งต้องถามความยินยอมผ่านป๊อปอัพจนน่ารำคาญ ผู้ใช้จำนวนมากจึงไม่สนใจอ่านและกด I Agree เพื่อปิดหน้าจอยอมรับคุกกี้โดยเร็ว ผิดวัตถุประสงค์ของ GDPR ไปแทน
By: sunnywalker 
on 3 September 2021 - 13:05
Tags:
WhatsApp โดนตัดสินปรับ 260 ล้านเหรียญ โดยหน่วยงานกำกับดูแลของไอร์แลนด์ ระบุว่า WhatsApp ไม่ระบุให้ชัดว่านำข้อมูลส่วนบุคคลไปใช้งานอย่างไรบ้าง ซึ่งกฎหมายความเป็นส่วนตัวของสหภาพยุโรประบุว่าต้องระบุให้ชัดเจน
France Digitale สมาคมสตาร์ตอัพของฝรั่งเศส ยื่นฟ้องแอปเปิลต่อคณะกรรมการด้านข้อมูลข่าวสารของฝรั่งเศส (Commission Nationale de L’informatique et des Libertés หรือ CNIL) ว่า iOS 14 ละเมิดความเป็นส่วนตัวของผู้ใช้ แอบเก็บข้อมูลสำหรับโฆษณาโดยไม่ขอความยินยอมก่อน ซึ่งผิดกฎ GDPR ของยุโรป
คำฟ้องของ France Digitale ระบุว่าค่าดีฟอลต์ของ iOS 14 คืออนุญาตให้แอปเปิลเก็บข้อมูลส่วนตัวของผู้ใช้ เพื่อเครือข่ายโฆษณาของแอปเปิลเอง ซึ่งผิดกฎ GDPR ที่ระบุว่าผู้ใช้ต้องเป็นฝ่ายอนุญาตด้วยตัวเองก่อน นอกจากนี้ แอปเปิลยังไม่ระบุว่าเก็บข้อมูลใดบ้าง และมีพาร์ทเนอร์ของแอปเปิลรายใดเข้าถึงข้อมูลนี้ได้บ้าง (เท่าที่ผมเข้าใจคือหน้า Settings > Privacy > Apple Advertising)
DLA Piper บริษัทกฎหมายเผยตัวเลขคดีปรับตามกฎหมายคุ้มครองความเป็นส่วนตัวใหม่ของยุโรปหรือ GDPR ว่าตั้งแต่ 28 มกราคม 2020 เป็นต้นมา สหภาพยุโรปได้ออกบทลงโทษทางการเงินประมาณ 158.5 ล้านยูโร หรือประมาณ 192 ล้านดอลลาร์ ซึ่งเพิ่มขึ้น 39% จากช่วง 20 เดือนก่อนหน้าที่ Piper จัดทำในรายงาน และมีการละเมิดข้อมูลส่วนบุคคล 121,165 ครั้ง เพิ่มขึ้น 19% ภายในระยะเวลา 12 เดือน
ใกล้เข้ามาทุกทีกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลจะต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้นอีกด้วย
ในยุค "data is the new oil” ข้อมูลลูกค้ากลายเป็นปัจจัยสำคัญที่ช่วยขับเคลื่อนธุรกิจ การเก็บข้อมูลลูกค้ากลายเป็นสิ่งที่หลีกเลี่ยงไม่ได้ ในขณะที่ลูกค้าเองก็มีความตื่นตัวเรื่องความเป็นส่วนตัวมากขึ้น
ในปีที่ผ่านมา มีกฎหมายที่ผ่านการพิจารณาโดยสภานิติบัญญัติแห่งชาติ (สนช.) คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act หรือ PDPA) ซึ่งพุ่งเป้าไปที่การเก็บและรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้าที่องค์กรนำมาเก็บไว้ โดยจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้
ปัญหาคือประเทศไทยไม่มีเคยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลลักษณะนี้มาก่อน องค์กรต่าง ๆ ควรปรับตัวเพื่อปฏิบัติตามกฎหมายฉบับนี้ได้อย่างไร บทความนี้มีคำตอบให้
โรงเรียนในประเทศโปแลนด์ถูกทางการสั่งปรับเป็นเงิน 20,000 zloty (หน่วยเงินของโปแลนด์ คิดเป็นเงินไทยราว 166,000 บาท) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรปหรือ GDPR หลังจากทางโรงเรียนประมวลผลข้อมูลลายนิ้วมือของนักเรียนเพื่อตรวจสอบการจ่ายเงินค่าอาหารกลางวัน
Jan Nowak ประธานของ UODO หน่วยงานด้านการปกป้องข้อมูลส่วนตัวในโปแลนด์ระบุว่าทางโรงเรียนได้ประมวลผลลายนิ้วมือของเด็กนับร้อยคนโดยไม่มีมาตรฐานตามกฎหมาย ซึ่งโรงเรียนมีทางเลือกมากมายในการจัดการอาหารของโรงเรียนที่ไม่จำเป็นต้องใช้ลายนิ้วมือ
By: sunnywalker on 9 October 2019 - 16:47
Tags:
Topics:
Sundar Pichai ซีอีโอกูเกิล ให้สัมภาษณ์ Nikkei Asian Review พูดถึงประเด็นน่าสนใจหลายอย่างทั้งเรื่องหัวเว่ย ความเป็นส่วนตัวของข้อมูล, GDPR รวมถึงการสอบสวนเรื่องการผูกขาดทราฟิก
By: nutmos 
on 31 August 2019 - 15:54
Tags:
Data Protection Authority หรือ DPA ของประเทศสวีเดนได้สั่งปรับตามกฎหมาย GDPR เป็นครั้งแรกในประเทศ โดยผู้ที่โดนปรับเป็นโรงเรียนมัธยมแห่งหนึ่งในเมือง Skellefteå
โรงเรียนมัธยมแห่งนี้ทำโครงการทดลองเช็คชื่อนักเรียน 22 คนเป็นระยะเวลา 3 สัปดาห์ด้วยการใช้เทคโนโลยีจำแนกใบหน้า ทดแทนการขานชื่อแบบเดิม โดยพบว่าทางโรงเรียนได้ประมวลผลข้อมูลอย่างไม่ถูกต้องตามกฎหมาย ซึ่งก่อนที่จะเปิดตัวโครงการนี้ ทางโรงเรียนไม่ได้ขอคำปรึกษาจาก DPA รวมถึงไม่ได้ประเมินผลกระทบของโครงการอย่างถูกต้องด้วย
ศาลยุติธรรมยุโรปหรือ The Court of Justice of the European Union (CJEU) ชี้ เว็บไซต์ที่ฝังปุ่มโชว์จำนวนไลค์จากโซเชียลมีเดียไว้ ต้องขอความยินยอมจากผู้ใช้งานก่อน เพราะถือว่าเป็นการถ่ายข้อมูลไลค์จากที่หนึ่งไปยังหน่วยงานภายนอก
CJEU ทำหน้าที่ตีความกฎหมายและทำให้แน่ใจว่า กฎหมายมีการนำไปใช้ในทางเดียวกันทุกประเทศในสหภาพยุโรป
ปลั๊กอินยอดไลค์ในเว็บไซต์ถือเป็นอีกหนึ่งช่องทางในการโปรโมทเว็บไซต์ หรือสินค้าขอตัวเองว่าได้รับความนิยมขนาดไหนในโซเชียลมีเดีย แต่เรื่องมันเกิดขึ้นจากการที่ผู้บริโภคชาวเยอรมันฟ้องร้องเว็บไซต์ Fashion ID ผู้ค้าปลีกแฟชั่นออนไลน์ฐานการละเมิดกฎการคุ้มครองข้อมูลส่วนบุคคลผ่านการใช้ปุ่มปลั๊กอินยอดไลค์บนเว็บไซต์ โดยศาลชี้ว่ากรณีนี้ เป็นการรับผิดชอบร่วมกันระหว่างโซเชียลมีเดียและเว็บไซต์นั้นๆ
คณะกรรมาธิการด้านข้อมูลของสหราชอาณาจักรหรือ ICO กำลังเตรียมสั่งปรับ Marriott เชนโรงแรมขนาดใหญ่เป็นเงินจำนวน 99 ล้านปอนด์ ฐานไม่รักษาความปลอดภัยของข้อมูลลูกค้าอย่างเพียงพอ จนส่งผลให้ข้อมูลลูกค้าของบริษัทหลุดเป็นจำนวนมาก
ย้อนกลับไปเมื่อปีที่แล้ว Marriott ได้ประกาศว่าฐานข้อมูลของโรงแรมเครือ Starwood ถูกแฮก ทำให้มีผู้เข้าถึงโดยไม่ได้รับอนุญาตมาตั้งแต่ปี 2014 แต่เพิ่งจะถูกค้นพบเมื่อปีที่แล้ว ผลกระทบจากการถูกแฮกครั้งนี้คือข้อมูลสำคัญของลูกค้าโรงแรมรั่วไหลออกไปถึง 383 ล้านคน
By: nismod 
on 8 July 2019 - 18:52
Tags:
ต่อเนื่องจากกรณีที่ British Airways ทำข้อมูลสำคัญและข้อมูลบัตรเครดิตลูกค้าหลุดเมื่อปีที่แล้ว ล่าสุดคณะกรรมาธิการด้านข้อมูลของสหราชอาณาจักร (Information Commissioner Office) สั่งปรับ British Airways เป็นเงินกว่า 183 ล้านปอนด์ ซึ่งสูงที่สุดที่ ICO เคยปรับมา
TikTok กำลังถูกคณะกรรมการข้อมูลอังกฤษสืบสวนถึงวิธีการที่บริษัทนำข้อมูลผู้เยาว์ไปใช้ หลังก่อนหน้านี้ TikTok ถูก FTC ของอเมริกาสั่งปรับ 5.7 ล้านดอลลาร์ ข้อหาเก็บข้อมูลส่วนตัวของเด็ก
ปฏิเสธไม่ได้ว่า การมีปุ่มไลค์ปุ่มแชร์ของโซเชียลมีเดียทุกประเภทสามารถทำให้ผู้ใช้งานเสพติดการใช้งานได้ และในอีกทางหนึ่งก็เป็นการเปิดโอกาสให้โซเชียลรู้ข้อมูล เช่น ผู้ใช้ได้กดถูกใจสิ่งนี้ไว้
ล่าสุด สำนักงานข้อมูลอังกฤษหรือ ICO เสนอให้ Facebook และแพลตฟอร์มออนไลน์หยุดใช้ Nudge Technique หรือกลยุทธ์ที่ทำให้ผู้ใช้มอบข้อมูลส่วนตัวให้แบบไม่ได้ตั้งใจแก่ผู้ใช้อายุต่ำกว่า 18 ปี เช่น กดปุ่ม Yes เพื่อให้บริษัทเข้าถึงข้อมูลโดยเน้นปุ่ม Yes ใหญ่กว่าปุ่มอื่น รวมถึงฟังก์ชั่นปุ่มไลค์บนโซเชียลที่ทำให้ผู้ใช้แอคทีฟบนโซเชียลตลอด ทำให้บริการออนไลน์สามารถรวบรวมข้อมูลส่วนบุคคลได้มากขึ้น
เมื่อวันพฤหัสบดี สำนักข่าวของนอร์เวย์ NRK ออกมารายงานปัญหาว่าพบ Nokia 7 Plus จำนวนหนึ่งที่ขายในประเทศนอร์เวย์ส่งข้อมูลส่วนตัวไปยังเซิร์ฟเวอร์ในจีน รายงานกล่าวว่าข้อมูลส่วนตัวของอุปกรณ์ ทั้ง MAC Address ของไวไฟที่อุปกรณ์เชื่อมต่อ พิกัดจีพีเอส ไอดีของสถานีฐานที่อุปกรณ์เชื่อมต่อ ไอดีของผู้ใช้เครือข่าย 4G หมายเลขซิมการ์ด และซีเรียลนัมเบอร์ถูกส่งไปยังเซิร์ฟเวอร์ในจีนที่มีชื่อโดเมนว่า vnet.cn ซึ่งเป็นของ China Telecom โดยไม่มีการเข้ารหัส ซึ่งเป็นปกติสำหรับมือถือที่ตั้งใจวางขายในตลาดจีน
Opera ออกอัพเดตเบราว์เซอร์ Opera Touch ใหม่พร้อมระบบบล็อคหน้าจอแจ้งเตือนคุกกี้บน iOS ด้วย หลังจากที่ก่อนหน้านี้ Opera Touch บน Android ได้ฟีเจอร์นี้ไปแล้ว
Opera ระบุว่า ตั้งแต่เปิดตัวกฎด้านความเป็นส่วนตัวของข้อมูล GDPR ของยุโรปนั้น ทำให้เว็บไซต์เลือกแสดงหน้าจอแจ้งเตือนคุกกี้ แต่หน้าจอเหล่านี้บางทีก็น่ารำคาญไม่แพ้โฆษณา ทำให้ Opera เพิ่มตัวเลือกนี้ให้ผู้ใช้เลือกได้ว่าอยากจะให้หน้าจอเหล่านี้แสดงหรือไม่ ซึ่งหากเปิดใช้งานแล้วจะทำให้การเข้าเว็บสมูทขึ้น ผู้ใช้โฟกัสกับคอนเทนต์ได้ดีขึ้น ไม่ต้องมากดปิดหน้าจอแจ้งเตือนนี้ทุกครั้งที่เข้าเว็บไซต์
Commission Nationale de l'Informatique et des Libertés (CNIL) หน่วยงาน้านการคุ้มครองข้อมูลของฝรั่งเศส สั่งปรับกูเกิลเป็นเงิน 50 ล้านยูโร (1.8 พันล้านบาท) เนื่องจากทำผิดกฎ GDPR
CNIL ระบุว่าได้รับคำร้องเรียนจากกลุ่ม None Of Your Business (“NOYB”) และ La Quadrature du Net (“LQDN”) ว่ากูเกิลทำผิดกฎ GDPR สองเรื่อง
ข้อหาแรกคือ GDPR กำหนดให้บริษัทต้องประกาศให้ผู้ใช้ทราบว่าจะนำข้อมูลไปจัดเก็บและประมวลผลอย่างไรบ้างเพื่อแสดงโฆษณาให้ตรงตามผู้ใช้แต่ละคน แต่ประกาศของกูเกิลกระจัดกระจายอยู่ตามที่ต่างๆ ทำให้ค้นหาได้ยากและมีขั้นตอนมากมาย จึงถือว่าไม่เป็นไปตาม GDPR เรื่องความโปร่งใสในการนำข้อมูลไปใช้งาน
C'T Magazin แมกกาซีนด้านเทคโนโลยีของเยอรมนีรายงานว่าชาวเยอรมันที่ใช้นามแฝงว่า Martin Schneider ได้ยื่นเรื่องขอข้อมูลส่วนตัวจาก Amazon ตามกฎ GDPR ที่สามารถร้องขอข้อมูลส่วนตัวของตัวเองได้จากผู้ให้บริการและเจ้าของผลิตภัณฑ์ ปรากฎว่าสิ่งที่ Amazon ส่งให้ Schneider กลับเป็นเสียงบันทึกจากการใช้งาน Alexa ปัญหาคือตัวเขาเองไม่มี Echo และไม่ได้ใช้งาน Alexa
เว็บแชต Knuddels.de ถูกตัดสินปรับ 20,000 ยูโรหลังจากถูกแฮกเมื่อเดือนกันยายนที่ผ่าน ทำให้ข้อมูลผู้ใช้หลุดไป 330,000 ราย และถูกนำไปเผยแพร่ แต่จุดที่เป็นความผิดคือเก็บรหัสผ่านโดยไม่ได้แฮช
คำตัดสินของกรรมการข้อมูลส่วนบุคคล (Landesbeauftragte für Datenschutz und Informationsfreiheit - LfDI) ระบุว่า การเก็บรหัสผ่านโดยไม่เข้ารหัส เป็นการละเมิดมาตรา 32 ของ GDPR ที่ระบุว่าผู้ให้บริการต้องเตรียมการป้องกันจากความเสี่ยงที่ข้อมูลจะถูกเปิดเผยโดยไม่ได้รับอนุญาต
