10 บริษัทเทคโนโลยีที่ถูกปรับสูงสุดภายใต้ GDPR

การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR กับบริษัทเทคโนโลยียักษ์ใหญ่ยังคงเป็นประเด็นถกเถียง บทความนี้ได้รวบรวมรายชื่อ 10 บริษัทเทคโนโลยีที่ถูกปรับเป็นจำนวนเงินสูงสุดนับตั้งแต่ GDPR เริ่มบังคับใช้ในเดือนพฤษภาคม 2018 Meta เจ้าของ Facebook, Instagram และ WhatsApp เป็นบริษัทที่ถูกปรับมากที่สุด ทั้งในแง่ของการถูกปรับเป็นจำนวนเงินสูงสุด (€1.2 พันล้านยูโร หรือประมาณ $1.31 พันล้านดอลลาร์สหรัฐ) และจำนวนครั้งที่ถูกปรับ (6 ครั้งหรือมากกว่า ขึ้นอยู่กับว่านับแยกตามแพลตฟอร์มหรือไม่)

หมายเหตุ: รายการนี้รวมเฉพาะค่าปรับที่ออกให้กับบริษัทเทคโนโลยีภายใต้ GDPR เท่านั้น ในช่วงไม่กี่ปีที่ผ่านมา มีการลงโทษที่สำคัญบางประการที่ออกให้กับบริษัทเทคโนโลยีขนาดใหญ่ผ่านทาง ePrivacy Directive ซึ่งเป็นกฎหมายที่เก่ากว่าของสหภาพยุโรป แต่จะไม่รวมอยู่ในรายการนี้

10 บริษัทเทคโนโลยีที่ถูกปรับสูงสุดภายใต้ GDPR

1. Meta (Facebook): ถูกปรับ €1.2 พันล้านยูโร (~$1.31 พันล้านดอลลาร์สหรัฐ) ในเดือนพฤษภาคม 2023 โดย Irish Data Protection Commission (DPC) เนื่องจากละเมิดกฎเกี่ยวกับการถ่ายโอนข้อมูลส่วนบุคคลของผู้ใช้ Facebook ออกนอกสหภาพยุโรป
2. Amazon: ถูกปรับ €746 ล้านยูโร (~$815 ล้านดอลลาร์สหรัฐ) ในเดือนกรกฎาคม 2021 โดย Luxembourg’s National Commission for Data Protection (CNPD) หลังจากมีการร้องเรียนว่าการใช้ข้อมูลส่วนบุคคลเพื่อการกำหนดเป้าหมายโฆษณาไม่ได้อยู่บนพื้นฐานของความยินยอม
3. Meta (Instagram): ถูกปรับ €405 ล้านยูโร (~$443 ล้านดอลลาร์สหรัฐ) ในเดือนกันยายน 2021 โดย DPC ของไอร์แลนด์เนื่องจากความล้มเหลวในการจัดการข้อมูลของผู้เยาว์
4. Meta (Instagram and Facebook): ถูกปรับรวม €390 ล้านยูโร (~$426 ล้านดอลลาร์สหรัฐ) ในเดือนมกราคม 2023 โดย DPC ของไอร์แลนด์เนื่องจากไม่มีพื้นฐานทางกฎหมายที่ถูกต้องในการประมวลผลข้อมูลผู้ใช้เพื่อการกำหนดเป้าหมายโฆษณา
5. ByteDance (TikTok): ถูกปรับ €345 ล้านยูโร (~$377 ล้านดอลลาร์สหรัฐ) ในเดือนกันยายน 2023 โดย DPC ของไอร์แลนด์เนื่องจากความล้มเหลวในการจัดการข้อมูลของผู้เยาว์
6. Meta (Facebook and Instagram): ถูกปรับ €265 ล้านยูโร (~$290 ล้านดอลลาร์สหรัฐ) ในเดือนพฤศจิกายน 2022 โดย DPC ของไอร์แลนด์เนื่องจากการละเมิดการคุ้มครองข้อมูลโดยค่าเริ่มต้นและการออกแบบ หลังจากคุณสมบัติบางอย่างของแพลตฟอร์ม รวมถึงเครื่องมือ importer รายชื่อติดต่อและเครื่องมือค้นหา ทำให้ข้อมูลส่วนบุคคลของผู้ใช้หลายร้อยล้านคนสามารถค้นพบได้โดยผู้ใช้รายอื่นทั้งหมด
7. Meta (WhatsApp): ถูกปรับ €225 ล้านยูโร (~$246 ล้านดอลลาร์สหรัฐ) ในเดือนกันยายน 2021 โดย DPC ของไอร์แลนด์เนื่องจากละเมิดข้อผูกพันด้านความโปร่งใสของ GDPR และไม่สามารถชี้แจงให้ผู้ใช้ทราบอย่างชัดเจนว่ามีการประมวลผลข้อมูลของพวกเขาอย่างไร
8. Alphabet/Google (Android): ถูกปรับ €50 ล้านยูโร (~$55 ล้านดอลลาร์สหรัฐ) ในเดือนมกราคม 2019 โดย France’s National Commission on Informatics and Liberty (CNIL) เนื่องจากความโปร่งใสและความยินยอมที่ล้มเหลวเกี่ยวกับแพลตฟอร์มมือถือ Android
9. Meta (Facebook): ถูกปรับ €17 ล้านยูโร (~$18.5 ล้านดอลลาร์สหรัฐ) ในเดือนมีนาคม 2022 โดย DPC ของไอร์แลนด์เนื่องจากการละเมิดความปลอดภัยหลายครั้งซึ่งคิดว่าส่งผลกระทบต่อผู้ใช้มากถึง 30 ล้านคน
10. ByteDance (TikTok): ถูกปรับประมาณ €14.8 ล้านยูโร (~$16 ล้านดอลลาร์สหรัฐ) ในเดือนเมษายน 2023 โดย Information Commissioner’s Office (ICO) ของสหราชอาณาจักรในอีกกรณีหนึ่งที่เกี่ยวข้องกับการคุ้มครองผู้เยาว์ (หมายเหตุ: แม้ว่าสหราชอาณาจักรจะไม่ได้อยู่ในสหภาพยุโรปแล้ว แต่กฎการคุ้มครองข้อมูลของสหราชอาณาจักรยังคงอิงตาม GDPR)

บริษัทที่ไม่ใช่เทคโนโลยีขนาดใหญ่แต่ควรค่าแก่การกล่าวถึง**

• Criteo: บริษัทโฆษณาออนไลน์ขนาดใหญ่ ถูกปรับเบื้องต้น €60 ล้านยูโร (~$65 ล้านดอลลาร์สหรัฐ) ในเดือนสิงหาคม 2022 โดย CNIL ของฝรั่งเศสสำหรับการละเมิด GDPR หลายประการ แต่ในเดือนมิถุนายน 2023 ระดับการลงโทษลดลงเหลือ €40 ล้านยูโร (~$44 ล้านดอลลาร์สหรัฐ) หลังจากที่บริษัทได้ทำการชี้แจง การบังคับใช้เกิดขึ้นหลังจากมีการร้องเรียนว่า Criteo ไม่มีคำยินยอมจากผู้ใช้สำหรับการติดตามและสร้างโปรไฟล์เพื่อการกำหนดเป้าหมายโฆษณา
• Clearview AI: สตาร์ทอัพระบบ AI ของสหรัฐอเมริกา ถูกปรับสูงสุดที่เป็นไปได้ (€20 ล้านยูโร หรือประมาณ $22 ล้านดอลลาร์สหรัฐ โดยพิจารณาจากรายได้) ถึง 3 ครั้งในปี 2022 โดยหน่วยงานคุ้มครองข้อมูลในอิตาลี กรีซ และฝรั่งเศส การลงโทษดังกล่าวเกิดขึ้นเนื่องจากการประมวลผลข้อมูลที่ผิดกฎหมาย อันเป็นผลมาจากกลยุทธ์ในการดึงรูปเซลฟี่จากอินเทอร์เน็ตเพื่อฝึกอบรมเครื่องมือ AI จดจำใบหน้า ในปีเดียวกัน ICO ของสหราชอาณาจักรยังได้ลงโทษบริษัทด้วยการลงโทษที่น้อยกว่าสำหรับการละเมิด GDPR ดังนั้นกิจกรรมของสตาร์ทอัพที่เป็นที่ถกเถียงนี้จึงดึงดูดการบังคับใช้เป็นอย่างมาก

สรุป

การบังคับใช้ GDPR กับบริษัทเทคโนโลยียักษ์ใหญ่แสดงให้เห็นถึงความมุ่งมั่นของสหภาพยุโรปในการปกป้องข้อมูลส่วนบุคคลของพลเมือง อย่างไรก็ตาม ค่าปรับที่สูงเหล่านี้ยังเป็นเครื่องเตือนใจว่าบริษัทเทคโนโลยียังคงต้องปรับปรุงการปฏิบัติตาม GDPR เพื่อให้แน่ใจว่าข้อมูลของผู้ใช้ได้รับการ