ประเด็นสำคัญของ EU-US Privacy Shield 2016
1. ข้อตกลงระหว่างสหภาพยุโรปและสหรัฐอเมริกาในการให้หลักประกันแก่ผู้ทรงสิทธิในข้อมูลส่วนบุคคลมั่นใจว่า ข้อมูลของตนจะได้รับการคุ้มครองในเขตอำนาจของทั้งสองฝ่าย และผู้ประกอบการที่มาลงทะเบียนภายใต้ระบบมาตรฐานนี้ โดยลงนามรับรองระหว่างกันตั้งแต่ 12 กรกฎาคม 2559
2. สหรัฐเปิดให้ผู้ประกอบการมาลงทะเบียนได้ตั้งแต่ 1 สิงหาคม 2559 มีเวลาปรับตัวจนถึง 25 พฤษภาคม 2561 หาไม่แล้วจะเข้าสู่ตลาดของสหภาพยุโรปไม่ได้ เพราะขัดกับ EU General Data Protection Regulation
3. ข้อตกลง EU-US Privacy Shield จึงเป็นผลลัพธ์โดยตรงของการประกาศใช้ EU General Data Protection Regulation ข้อตกลงทั้งสองจึงมีภาวะนำในการกำหนดมาตรฐานคุ้มครองข้อมูลส่วนบุคคลของประชาคมโลก เพราะเป็นกฎหมายของตลาดดิจิตัลโลกเสรีที่กินพื้นที่กว้างครอบคลุมพลเมืองเน็ตเยอะ
4. มีการเพิ่มสิทธิของผู้ทรงสิทธิในข้อมูลส่วนบุคคล โดยเฉพาะสิทธิในการได้รับข้อมูลและแจ้งข่าวสาร อาทิ ข้อมูลอะไรที่จะถูกเก็บ ถูกประมวลผล ส่งข้ามแดน ผู้ประกอบการได้ขึ้นทะเบียนรับรองแล้ว นโยบายของผู้ประกอบการ ช่องทางในการติดต่อผู้ประกอบการ วิธีการร้องเรียนหน่วยงานตรวจสอบเยียวยาสิทธิ
5. กำหนดข้อจำกัดในการประมวลผลจากข้อมูลให้รัดกุมยิ่งขึ้น เช่น วัตถุประสงค์ ขอบเขต และเพิ่มสิทธิของผู้ทรงสิทธิในการปฏิเสธการส่งข้อมูลต่อไปยังองค์กรอื่น หรือส่งข้ามแดน หากไม่ตรงกับความยินยอมขั้นต้น หากผู้ควบคุมประมวลผลข้อมูลฝ่าฝืนจะต้องรับผิดจากการละเมิดดังกล่าวด้วย
6. การกำหนดขอบเขตในการประมวลผลให้ถูกต้อง เที่ยงตรง และทันสถานการณ์เสมอ และตรงวัตถุประสงค์มากที่สุด การจัดเก็บข้อมูลให้เป็นไปเท่าที่จำเป็น และต้องลบข้อมูลออกเมื่อเกินกว่าความจำเป็นแล้ว
7. สร้างมาตรการป้องกันภัยพิบัติทั้งจากภัยในเชิงกายภาพ และการล่วงละเมิดบุกรุกคุกคามระบบทุกรูปแบบ และมีกระบวนการประเมินความเสี่ยงเพื่อระวังภัยล่วงหน้า
8. ให้สิทธิแก่ผู้ทรงสิทธิในการเข้าถึงข้อมูลที่เกี่ยวข้องกับตน เพื่อตรวจสอบความถูกต้อง ทันสมัย และมีสิทธิในการร้องให้ผู้ประกอบการแก้ไข และผู้ประกอบการต้องแจ้งถึงความก้าวหน้าในการแก้ไขข้อมูลให้สอดคล้องกับความจริง หากปฏิเสธก็ต้องแจ้งเหตุผลให้ทราบด้วย
9. การจัดตั้งกลไกให้หน้าที่การตรวจตราผู้ประกอบการทั้งหลายที่มาลงทะเบียนปฏิบัติตามข้อตกลง รวมถึงให้ข้อมูลข่าวสารต่างๆ (Data Protection Authority – DPA) ทั้งที่มีในแต่ละประเทศสมาชิกสหภาพยุโรป และที่มีในสหรัฐและมีคณะทำงานร่วมสองฝ่ายในการรับเรื่องเพื่อพิจารณา (Panel)
10. การสร้างช่องทางเยียวยาให้กับผู้ทรงสิทธิที่ถูกละเมิดหรือไม่ได้รับการคุ้มครองสิทธิขึ้น โดยอาจร้องเรียนไปยังผู้ตรวจการสิทธิ (Data Protection Ombudsman) หากความเสียหายเกิดจากการละเมิดของหน่วยงานรัฐของสหรัฐ
11. ออกแบบกระบวนการพิจารณาเพื่อวินิจฉัยข้อพิพาทและเยียวยาความเสียหายทางเลือก (Alternative Dispute Resolution - ADR)