โอ้ยยย...กฎหมาย ง่ายๆหน่อยได้ไหมนะ 24: ไปดูสหรัฐกับสหภาพยุโรปเขาจับมือกันคุ้มครองข้อมูลส่วนบุคคล

ประเด็นสำคัญของ EU-US Privacy Shield 2016

1.       ข้อตกลงระหว่างสหภาพยุโรปและสหรัฐอเมริกาในการให้หลักประกันแก่ผู้ทรงสิทธิในข้อมูลส่วนบุคคลมั่นใจว่า ข้อมูลของตนจะได้รับการคุ้มครองในเขตอำนาจของทั้งสองฝ่าย และผู้ประกอบการที่มาลงทะเบียนภายใต้ระบบมาตรฐานนี้   โดยลงนามรับรองระหว่างกันตั้งแต่ 12 กรกฎาคม 2559

2.       สหรัฐเปิดให้ผู้ประกอบการมาลงทะเบียนได้ตั้งแต่ 1 สิงหาคม 2559 มีเวลาปรับตัวจนถึง 25 พฤษภาคม 2561 หาไม่แล้วจะเข้าสู่ตลาดของสหภาพยุโรปไม่ได้ เพราะขัดกับ EU General Data Protection Regulation

3.       ข้อตกลง EU-US Privacy Shield จึงเป็นผลลัพธ์โดยตรงของการประกาศใช้ EU General Data Protection Regulation  ข้อตกลงทั้งสองจึงมีภาวะนำในการกำหนดมาตรฐานคุ้มครองข้อมูลส่วนบุคคลของประชาคมโลก เพราะเป็นกฎหมายของตลาดดิจิตัลโลกเสรีที่กินพื้นที่กว้างครอบคลุมพลเมืองเน็ตเยอะ

4.       มีการเพิ่มสิทธิของผู้ทรงสิทธิในข้อมูลส่วนบุคคล โดยเฉพาะสิทธิในการได้รับข้อมูลและแจ้งข่าวสาร อาทิ ข้อมูลอะไรที่จะถูกเก็บ ถูกประมวลผล ส่งข้ามแดน ผู้ประกอบการได้ขึ้นทะเบียนรับรองแล้ว นโยบายของผู้ประกอบการ ช่องทางในการติดต่อผู้ประกอบการ วิธีการร้องเรียนหน่วยงานตรวจสอบเยียวยาสิทธิ

5.       กำหนดข้อจำกัดในการประมวลผลจากข้อมูลให้รัดกุมยิ่งขึ้น เช่น วัตถุประสงค์ ขอบเขต และเพิ่มสิทธิของผู้ทรงสิทธิในการปฏิเสธการส่งข้อมูลต่อไปยังองค์กรอื่น หรือส่งข้ามแดน หากไม่ตรงกับความยินยอมขั้นต้น   หากผู้ควบคุมประมวลผลข้อมูลฝ่าฝืนจะต้องรับผิดจากการละเมิดดังกล่าวด้วย

6.       การกำหนดขอบเขตในการประมวลผลให้ถูกต้อง เที่ยงตรง และทันสถานการณ์เสมอ  และตรงวัตถุประสงค์มากที่สุด การจัดเก็บข้อมูลให้เป็นไปเท่าที่จำเป็น และต้องลบข้อมูลออกเมื่อเกินกว่าความจำเป็นแล้ว

7.       สร้างมาตรการป้องกันภัยพิบัติทั้งจากภัยในเชิงกายภาพ และการล่วงละเมิดบุกรุกคุกคามระบบทุกรูปแบบ และมีกระบวนการประเมินความเสี่ยงเพื่อระวังภัยล่วงหน้า

8.       ให้สิทธิแก่ผู้ทรงสิทธิในการเข้าถึงข้อมูลที่เกี่ยวข้องกับตน เพื่อตรวจสอบความถูกต้อง ทันสมัย และมีสิทธิในการร้องให้ผู้ประกอบการแก้ไข และผู้ประกอบการต้องแจ้งถึงความก้าวหน้าในการแก้ไขข้อมูลให้สอดคล้องกับความจริง หากปฏิเสธก็ต้องแจ้งเหตุผลให้ทราบด้วย

9.       การจัดตั้งกลไกให้หน้าที่การตรวจตราผู้ประกอบการทั้งหลายที่มาลงทะเบียนปฏิบัติตามข้อตกลง รวมถึงให้ข้อมูลข่าวสารต่างๆ (Data Protection Authority – DPA) ทั้งที่มีในแต่ละประเทศสมาชิกสหภาพยุโรป และที่มีในสหรัฐและมีคณะทำงานร่วมสองฝ่ายในการรับเรื่องเพื่อพิจารณา (Panel)

10.   การสร้างช่องทางเยียวยาให้กับผู้ทรงสิทธิที่ถูกละเมิดหรือไม่ได้รับการคุ้มครองสิทธิขึ้น โดยอาจร้องเรียนไปยังผู้ตรวจการสิทธิ (Data Protection Ombudsman) หากความเสียหายเกิดจากการละเมิดของหน่วยงานรัฐของสหรัฐ

11.   ออกแบบกระบวนการพิจารณาเพื่อวินิจฉัยข้อพิพาทและเยียวยาความเสียหายทางเลือก (Alternative Dispute Resolution - ADR)