โอ้ยยย...กฎหมาย ง่ายๆหน่อยได้ไหมนะ 22: มาลอก(ศึกษาเปรียบเทียบ)กฎหมายคุ้มครองข้อมูลยุโรปกันเถอะ

มีอะไรใหม่ใน กฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป EU General Data Protection Regulation 2016

1.       เป็นครั้งแรกที่ EU มีกฎหมายรวมกฎคุ้มครองข้อมูลต่างๆที่กระจัดกระจายมาอยู่ในกฎหมายเดียว (General Regulation)

2.       กฎหมายคุ้มครองข้อมูลระดับ Regulation ของ EU มีผลผูกมัดรัฐสมาชิกสหภาพยุโรป โดยไม่ต้องรอให้รัฐไปออกกฎหมายภายในเพิ่มอีก หากรัฐมีกฎหมายภายในเดิมที่เกี่ยวข้องทับซ้อน ก็ให้ใช้ Regulation ของ EU แทน   ซึ่งต่างจาก Directive 95/46/EC ที่เป็นเพียงกรอบแนวทางให้รัฐนำไปออกกฎหมายภายในอีกต่อหนึ่ง

3.       เมื่อมีผลระดับบังคับเหนือสมาชิกทั้งหมดแบบ Supra National ก็ย่อมหมายความว่า คุ้มครองพลเมืองยุโรปในเขตสหภาพหรือข้อมูลคนยุโรปที่ส่งออกไปนอกสหภาพ ย่อมต้องได้รับการคุ้มครองตามมาตรฐานนี้

4.       การสร้างกฎหมายลักษณะนี้ทำให้คู่ค้า หรือรัฐเจ้าของสัญชาติผู้ให้บริการทั้งหลายที่มีการส่งข้อมูล เข้า-ออก ข้ามพรมแดน สหภาพยุโรปทั้งหมด ต้องสร้างมาตรการยืนยันมาตรฐานการคุ้มครองสิทธิ   - ผลที่เกิดแล้วคือ สหรัฐต้องเซ็นข้อตกลง Privacy Shield กับยุโรป  และคาดว่าประเทศ/ภูมิภาคอื่นๆ ที่อยากจะเข้าสู่ตลาดสหภาพยุโรป ก็ต้องทำในลักษณะเดียวกับสหรัฐ หรือมาขอเข้าร่วมภาคยานุวัติ Regulation แบบกรณี Cybercrime Convention ที่มีอุรุกวัยและอีกหลายประเทศเข้าร่วม  หรือเอาแบบไทย ก็คือ ศึกษากฎหมายเปรียบเทียบ(ลอก)มาให้ได้มาตรฐาน

5.       เพิ่มสิทธิของผู้ทรงสิทธิในข้อมูลข่าวสารส่วนบุคคล ตามแนวคำพิพากษาของศาลในคดีช่วงก่อนหน้านี้ อาทิ

-          สิทธิในการลบข้อมูล/สิทธิที่จะถูกลืม Right to Erasure, Right to be Forgotten สำหรับข้อมูลที่ไม่ตรงความจริง ล้าสมัยไปแล้ว  ทั้งที่อยู่ในการควบคุมของรัฐหรือเอกชน

-          สิทธิในการยื่นแบบฟอร์มขอเก็บข้อมูลตนให้อยู่ในไฟล์เดียว

-          กำหนดระยะเวลาที่ผู้ควบคุมข้อมูลต้องตอบคำร้องภายใน 20 วัน

-          Data Protection by Design ประชาชนออกแบบข้อตกลง หรือยื่นคำร้องให้มีการปกป้องข้อมูลต่างๆเพิ่มเติมได้

-          Data Protection by Default ประชาชนได้รับสิทธิเป็นแพ็คเกจทันที ถ้าไม่เลือกที่จะออกจากการคุ้มครองที่ “แน่นหนาไว้ก่อน”  คือ Opt-Out

-          สิทธิในการเรียกร้องค่าสินไหมชดเชยเมื่อข้อมูลสูญหาย ถูกทำลาย หรือรั่วไหล

6.       กำหนดหน้าที่ของ ผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล ให้ชัดเจนแน่นหนาขึ้น อาทิ

-          หน้าที่เกิดทันทีเมื่อข้อมูลมา “ผ่าน” การควบคุมของตน หากมีการรั่วไหล ณ จุดใด องค์กรที่ดูแลระบบส่วนนั้นต้องรับผิดชอบทันที ต่างจากระบบเดิมที่บอกว่า ความรับผิดจะเกิดเมื่อ “ข้อมูลรั่วไหลจนสามารถบ่งชี้ย้อนไปได้ว่าข้อมูลเป็นของบุคคลใด” 

-          หน้าที่ในการแจ้งรายละเอียดการเก็บข้อมูลแก่ผู้ทรงสิทธิทันที ไม่ต้องรอให้ผู้ใช้ Opt-In เข้ามาแบบเก่า เช่น Cookies

-          การปรับปรุงมาตรฐานให้สอดคล้องกัน หากในองค์กรเดียวทำทั้งควบคุมข้อมูล ประมวลข้อมูล โดยเฉพาะกรณีมีการส่งข้อมูลภายในองค์กรเดียวข้ามพรมแดน

7.       การเพิ่มมาตรการรักษาความมั่นคงปลอดภัยให้รัดกุมขึ้น เช่น สิทธิในการร้องขอให้มีการ Encryption ข้อมูลโดยผู้ใช้ หรือผู้ให้บริการอาจอ้างต่อหน่วยงานรัฐที่ต้องการสอดส่องว่า จำเป็นต้องรักษาความเป็น “นิรนาม” ของเจ้าของข้อมูล

8.       การส่งต่อข้อมูลข้ามองค์กร/ข้ามพรมแดนถูกควบคุมเข้มงวดขึ้น โดยกำหนดหน้าที่ของผู้ควบคุมข้อมูลในการพิจารณาคำร้องขอจากผู้ประมวลผลว่า บุคคลที่สามที่ร้องขอข้อมูลจะมีมาตรการคุ้มครองสิทธิได้ดีตามมาตรฐานหรือไม่ ทั้งในกรณีส่งกันภายในรัฐ ภายในสหภาพยุโรป หรือส่งออกไปนอกสหภาพยุโรป  และอาจตัดสินใจไม่ส่งต่อข้อมูล  

9.       การสร้างระบบตรวจตราให้มีประสิทธิภาพมากขึ้น เช่น การสถาปนาหน่วยงานตรวจตราการคุ้มครองข้อมูลส่วนบุคคลที่มีความชำนาญการ โดยพยายามให้มี Data Protection Authority/Agency ทั้งในระดับรัฐ และส่วนกลางระดับสหภาพยุโรป  (อาจต้องไปดูว่า คณะทำงานเดิม Article 29 Working Party of EU จะย้ายไปผนวกกับหน่วยงานไหน หรือมีสถานะใดต่อไป)

10.   การทำให้มาตรการเยียวยาสิทธิของผู้ทรงสิทธิเป็นรูปธรรม เช่น การขอให้ลบ ขอให้แก้ไข ขอให้รายงานการปรับปรุง รวมไปถึงการเพิ่มโทษปรับต่อผู้ควบคุม/ประมวลข้อมูลสูงถึง 20 ล้านยูโร หรือ 4% ของผลประกอบการทั่วโลกในปีงบประมาณก่อนหน้า

11.   การเพิ่มช่องทางเยียวยา เช่น ฟ้องที่เดียวบีบผู้ประกอบการที่ให้บริการในหลายรัฐได้ หรือผู้ทรงสิทธิหลายคนที่โดนละเมิดสิทธิจากผู้ให้บริการเดียวกันสามารถร่วมกันฟ้องเป็นคดีร่วมกันได้แบบ Class Action

*สหภาพยุโรปให้เวลารัฐสมาชิก ผู้ประกอบการ ผู้ควบคุม แปรผลข้อมูล ทั้งในสหภาพยุโรปและนอกภูมิภาค ปรับตัวได้ 2 ปี   โดยกฎหมายจะมีผลและนำไปสู่การบังคับผลได้ในชั้นศาลตั้งแต่วันที่ 25 พฤษภาคม พ.ศ.2561

การเมืองของกฎหมาย 100: พัฒนาชีวิตแรงงานอิสระด้วยการประกันรายได้พื้นฐาน

การพัฒนาสิทธิแรงงานรับจ้างอิสระ (Freelancer) ต้องยึดโยงกับหลักกฎหมายสำคัญเรื่องการประกันสิทธิของแรงงานอันมีสิทธิมนุษยชนเป็นพื้นฐาน (Human Rights-Based Approach – HRBA) ไว้ เพื่อเป็นรากฐานทางกฎหมายในการอ้างสิทธิและเสนอให้ภาครัฐสร้างมาตรการบังคับตามสิทธิอย่างเป็นรูปธรรม ตั้งแต่การประกันรายได้รูปแบบ

กฎหมายกับเทคโนโลยี 26: มาตรการคุ้มครองข้อมูลส่วนบุคคลจากการเก็บและประมวลผลของบรรษัทเอกชนโดยมิชอบ

การคุ้มครองข้อมูลส่วนบุคคลของปัจเจกชนจากการเก็บข้อมูลและประมวลผลโดยบรรษัทเอกชนจำต้องปกป้องคุ้มครองสิทธิของเจ้าของข้อมูลตามมาตรฐานที่กำหนดหน้าที่ของผู้ควบคุมระบบตามกฎหมายด้วย เนื่องจากบุคคลหรือกลุ่มองค์กรเหล่านี้ทำหน้าที่ในการคุ้มครองสิทธิเจ้าของข้อมูลในหลายรูปแบบ อาทิ การให้ความรู้เกี่ยวกับสภาพปั

การเมืองของกฎหมาย 99: ความเสี่ยงจากวิถีชีวิตของผู้คนที่เกี่ยวข้องกับเศรษฐกิจด้านอาหารและสุขภาพ

บุคคลแต่ละคนย่อมมีทุนที่แตกต่างกันไปทั้ง ทุนความรู้ ทุนทางเศรษฐกิจ ทำให้การตัดสินใจนั้นตั้งอยู่บนข้อจำกัดของแต่ละคนไม่ว่าจะเป็นการไม่รู้เท่าทันเทคโนโลยี ขาดความรู้ทางการเงิน ไปจนถึงขาดการตระหนักรู้ถึงผลกระทบต่อสุขภาพตนเองและผู้อื่นในระยะยาว ยิ่งไปกว่านั้นรัฐไทยยังมีนโยบายที่มิได้วางอยู่บนพื้นฐานข

การเมืองของกฎหมาย 98: พลเมืองเน็ตกับการพัฒนาอย่างยั่งยืน

บทบัญญัติกฎหมายที่ใช้เป็นรากฐานในการอ้างสิทธิในการมีส่วนร่วมของประชาชนเพื่อผลักดันให้เกิดการพัฒนาอย่างยั่งยืนนั้น จะพบว่ารัฐไทยได้วางบรรทัดฐานทางกฎหมายที่รับสิทธิของประชาชนในการรวมกลุ่มกันเพื่อแสดงออกในประเด็นทรัพยากรธรรมชาติและสิ่งแวดล้อม โดยเริ่มต้นจากหลักการพื้นฐานสำคัญที่เชื่อมโยงเรื่องสิทธิม

กฎหมายกับเทคโนโลยี 25: รู้ทันพิศวาสอาชญากรรม

เทคโนโลยีด้านการสื่อสารที่เข้ามามีอิทธิพลแทบจะทุกมิติของชีวิต ส่งผลให้พฤติกรรมด้านการปฏิสัมพันธ์ของประชาชนเปลี่ยนแปลงไปตามความก้าวหน้าของเทคโนโลยี มีประชาชนจำนวนมากที่ใช้เทคโนโลยีในการหา “คู่” หรือแสวง “รัก” ซึ่งเพิ่มความเสี่ยงให้เกิดการกระทำความผิดที่เรียกว่า Romance Scam หรือ “พิศวาสอาชญากรรม”