มีอะไรใหม่ใน กฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป EU General Data Protection Regulation 2016
1. เป็นครั้งแรกที่ EU มีกฎหมายรวมกฎคุ้มครองข้อมูลต่างๆที่กระจัดกระจายมาอยู่ในกฎหมายเดียว (General Regulation)
2. กฎหมายคุ้มครองข้อมูลระดับ Regulation ของ EU มีผลผูกมัดรัฐสมาชิกสหภาพยุโรป โดยไม่ต้องรอให้รัฐไปออกกฎหมายภายในเพิ่มอีก หากรัฐมีกฎหมายภายในเดิมที่เกี่ยวข้องทับซ้อน ก็ให้ใช้ Regulation ของ EU แทน ซึ่งต่างจาก Directive 95/46/EC ที่เป็นเพียงกรอบแนวทางให้รัฐนำไปออกกฎหมายภายในอีกต่อหนึ่ง
3. เมื่อมีผลระดับบังคับเหนือสมาชิกทั้งหมดแบบ Supra National ก็ย่อมหมายความว่า คุ้มครองพลเมืองยุโรปในเขตสหภาพหรือข้อมูลคนยุโรปที่ส่งออกไปนอกสหภาพ ย่อมต้องได้รับการคุ้มครองตามมาตรฐานนี้
4. การสร้างกฎหมายลักษณะนี้ทำให้คู่ค้า หรือรัฐเจ้าของสัญชาติผู้ให้บริการทั้งหลายที่มีการส่งข้อมูล เข้า-ออก ข้ามพรมแดน สหภาพยุโรปทั้งหมด ต้องสร้างมาตรการยืนยันมาตรฐานการคุ้มครองสิทธิ - ผลที่เกิดแล้วคือ สหรัฐต้องเซ็นข้อตกลง Privacy Shield กับยุโรป และคาดว่าประเทศ/ภูมิภาคอื่นๆ ที่อยากจะเข้าสู่ตลาดสหภาพยุโรป ก็ต้องทำในลักษณะเดียวกับสหรัฐ หรือมาขอเข้าร่วมภาคยานุวัติ Regulation แบบกรณี Cybercrime Convention ที่มีอุรุกวัยและอีกหลายประเทศเข้าร่วม หรือเอาแบบไทย ก็คือ ศึกษากฎหมายเปรียบเทียบ(ลอก)มาให้ได้มาตรฐาน
5. เพิ่มสิทธิของผู้ทรงสิทธิในข้อมูลข่าวสารส่วนบุคคล ตามแนวคำพิพากษาของศาลในคดีช่วงก่อนหน้านี้ อาทิ
- สิทธิในการลบข้อมูล/สิทธิที่จะถูกลืม Right to Erasure, Right to be Forgotten สำหรับข้อมูลที่ไม่ตรงความจริง ล้าสมัยไปแล้ว ทั้งที่อยู่ในการควบคุมของรัฐหรือเอกชน
- สิทธิในการยื่นแบบฟอร์มขอเก็บข้อมูลตนให้อยู่ในไฟล์เดียว
- กำหนดระยะเวลาที่ผู้ควบคุมข้อมูลต้องตอบคำร้องภายใน 20 วัน
- Data Protection by Design ประชาชนออกแบบข้อตกลง หรือยื่นคำร้องให้มีการปกป้องข้อมูลต่างๆเพิ่มเติมได้
- Data Protection by Default ประชาชนได้รับสิทธิเป็นแพ็คเกจทันที ถ้าไม่เลือกที่จะออกจากการคุ้มครองที่ “แน่นหนาไว้ก่อน” คือ Opt-Out
- สิทธิในการเรียกร้องค่าสินไหมชดเชยเมื่อข้อมูลสูญหาย ถูกทำลาย หรือรั่วไหล
6. กำหนดหน้าที่ของ ผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล ให้ชัดเจนแน่นหนาขึ้น อาทิ
- หน้าที่เกิดทันทีเมื่อข้อมูลมา “ผ่าน” การควบคุมของตน หากมีการรั่วไหล ณ จุดใด องค์กรที่ดูแลระบบส่วนนั้นต้องรับผิดชอบทันที ต่างจากระบบเดิมที่บอกว่า ความรับผิดจะเกิดเมื่อ “ข้อมูลรั่วไหลจนสามารถบ่งชี้ย้อนไปได้ว่าข้อมูลเป็นของบุคคลใด”
- หน้าที่ในการแจ้งรายละเอียดการเก็บข้อมูลแก่ผู้ทรงสิทธิทันที ไม่ต้องรอให้ผู้ใช้ Opt-In เข้ามาแบบเก่า เช่น Cookies
- การปรับปรุงมาตรฐานให้สอดคล้องกัน หากในองค์กรเดียวทำทั้งควบคุมข้อมูล ประมวลข้อมูล โดยเฉพาะกรณีมีการส่งข้อมูลภายในองค์กรเดียวข้ามพรมแดน
7. การเพิ่มมาตรการรักษาความมั่นคงปลอดภัยให้รัดกุมขึ้น เช่น สิทธิในการร้องขอให้มีการ Encryption ข้อมูลโดยผู้ใช้ หรือผู้ให้บริการอาจอ้างต่อหน่วยงานรัฐที่ต้องการสอดส่องว่า จำเป็นต้องรักษาความเป็น “นิรนาม” ของเจ้าของข้อมูล
8. การส่งต่อข้อมูลข้ามองค์กร/ข้ามพรมแดนถูกควบคุมเข้มงวดขึ้น โดยกำหนดหน้าที่ของผู้ควบคุมข้อมูลในการพิจารณาคำร้องขอจากผู้ประมวลผลว่า บุคคลที่สามที่ร้องขอข้อมูลจะมีมาตรการคุ้มครองสิทธิได้ดีตามมาตรฐานหรือไม่ ทั้งในกรณีส่งกันภายในรัฐ ภายในสหภาพยุโรป หรือส่งออกไปนอกสหภาพยุโรป และอาจตัดสินใจไม่ส่งต่อข้อมูล
9. การสร้างระบบตรวจตราให้มีประสิทธิภาพมากขึ้น เช่น การสถาปนาหน่วยงานตรวจตราการคุ้มครองข้อมูลส่วนบุคคลที่มีความชำนาญการ โดยพยายามให้มี Data Protection Authority/Agency ทั้งในระดับรัฐ และส่วนกลางระดับสหภาพยุโรป (อาจต้องไปดูว่า คณะทำงานเดิม Article 29 Working Party of EU จะย้ายไปผนวกกับหน่วยงานไหน หรือมีสถานะใดต่อไป)
10. การทำให้มาตรการเยียวยาสิทธิของผู้ทรงสิทธิเป็นรูปธรรม เช่น การขอให้ลบ ขอให้แก้ไข ขอให้รายงานการปรับปรุง รวมไปถึงการเพิ่มโทษปรับต่อผู้ควบคุม/ประมวลข้อมูลสูงถึง 20 ล้านยูโร หรือ 4% ของผลประกอบการทั่วโลกในปีงบประมาณก่อนหน้า
11. การเพิ่มช่องทางเยียวยา เช่น ฟ้องที่เดียวบีบผู้ประกอบการที่ให้บริการในหลายรัฐได้ หรือผู้ทรงสิทธิหลายคนที่โดนละเมิดสิทธิจากผู้ให้บริการเดียวกันสามารถร่วมกันฟ้องเป็นคดีร่วมกันได้แบบ Class Action
*สหภาพยุโรปให้เวลารัฐสมาชิก ผู้ประกอบการ ผู้ควบคุม แปรผลข้อมูล ทั้งในสหภาพยุโรปและนอกภูมิภาค ปรับตัวได้ 2 ปี โดยกฎหมายจะมีผลและนำไปสู่การบังคับผลได้ในชั้นศาลตั้งแต่วันที่ 25 พฤษภาคม พ.ศ.2561