กลับไปหน้าบทความ

อ่าน 7 นาที

หลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศ (International Safe Harbor Privacy Principles)

หลักการ คุ้มครองความเป็นส่วนตัวระหว่างประเทศ หรือ หลักการคุ้มครองความเป็นส่วนตัว Safe Harbour เป็นหลักการที่พัฒนาขึ้นระหว่างปี 1998 ถึง 2000 เพื่อป้องกันไม่ให้องค์กรเอกชนภายใน...

หลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศ (International Safe Harbor Privacy Principles)

หลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศหรือหลักการคุ้มครองความเป็นส่วนตัว Safe Harbourเป็นหลักการที่พัฒนาขึ้นระหว่างปี 1998 ถึง 2000 เพื่อป้องกันไม่ให้องค์กรเอกชนภายในสหภาพยุโรปหรือสหรัฐอเมริกาที่จัดเก็บข้อมูลลูกค้าเปิดเผยหรือสูญเสียข้อมูลส่วนบุคคล โดยไม่ได้ตั้งใจ หลักการ เหล่านี้ถูกยกเลิกเมื่อวันที่ 6 ตุลาคม 2015 โดยศาลยุติธรรมแห่งยุโรป (ECJ) ซึ่งทำให้บริษัทในสหรัฐอเมริกาบางแห่งสามารถปฏิบัติตามกฎหมายคุ้มครองความเป็นส่วนตัวที่คุ้มครองพลเมืองของสหภาพยุโรปและ สวิต เซอร์แลนด์ ได้ [ 1 ]บริษัทในสหรัฐอเมริกาที่จัดเก็บข้อมูลลูกค้าสามารถรับรองตนเองได้ว่าปฏิบัติตามหลักการ 7 ข้อ เพื่อให้สอดคล้องกับคำสั่งคุ้มครองข้อมูล ของสหภาพยุโรป และข้อกำหนดของสวิตเซอร์แลนด์กระทรวงพาณิชย์ของสหรัฐอเมริกาได้พัฒนากรอบการทำงานด้านความเป็นส่วนตัวร่วมกับทั้งสหภาพยุโรปและคณะกรรมาธิการคุ้มครองข้อมูลและสารสนเทศของรัฐบาลกลางสวิตเซอร์แลนด์[ 2 ]

ในบริบทของการตัดสินใจชุดหนึ่งเกี่ยวกับความเพียงพอของการคุ้มครองข้อมูลส่วนบุคคลที่ถ่ายโอนไปยังประเทศอื่น[ 3 ]คณะกรรมาธิการยุโรปได้ตัดสินใจในปี 2000 ว่าหลักการของสหรัฐอเมริกาเป็นไปตามคำสั่งของสหภาพยุโรป[ 4 ]ซึ่งเรียกว่า การ ตัดสินใจSafe Harbor [ 5 ]อย่างไรก็ตาม หลังจากที่ลูกค้าร้องเรียนว่า ข้อมูล Facebook ของเขา ไม่ได้รับการคุ้มครองอย่างเพียงพอ ศาลยุโรปได้ประกาศในเดือนตุลาคม 2015 ว่าการตัดสินใจ Safe Harbor เป็นโมฆะ ส่งผลให้คณะกรรมาธิการต้องเจรจากับหน่วยงานของสหรัฐอเมริกาเพิ่มเติมเพื่อ "กรอบการทำงานที่ปรับปรุงใหม่และมั่นคงสำหรับการไหลเวียนของข้อมูลข้ามมหาสมุทรแอตแลนติก" [ 6 ]

คณะกรรมาธิการยุโรปและสหรัฐอเมริกาตกลงที่จะจัดตั้งกรอบการทำงานใหม่สำหรับการไหลเวียนของข้อมูลข้ามมหาสมุทรแอตแลนติกเมื่อวันที่ 2 กุมภาพันธ์ 2559 ซึ่งรู้จักกันในชื่อ " EU–US Privacy Shield " [ 7 ]ซึ่งตามมาด้วยกรอบการทำงานSwiss-US Privacy Shield อย่างใกล้ชิด

ประวัติความเป็นมา

ในปี พ.ศ. 2523 OECDได้ออกคำแนะนำสำหรับการคุ้มครองข้อมูลส่วนบุคคลในรูปแบบของหลักการแปดประการ ซึ่งไม่มีผลผูกพัน และในปี พ.ศ. 2538 สหภาพยุโรป (EU) ได้ออกกฎหมายเพื่อคุ้มครอง ความเป็นส่วนตัวของข้อมูล ส่วนบุคคล ในรูปแบบของคำสั่งคุ้มครองข้อมูลซึ่งมีผลผูกพันมากกว่า[ 8 ]

ตามคำสั่งคุ้มครองข้อมูล บริษัทที่ดำเนินงานในสหภาพยุโรปไม่ได้รับอนุญาตให้ส่งข้อมูลส่วนบุคคลไปยัง "ประเทศที่สาม" นอกเขตเศรษฐกิจยุโรปเว้นแต่จะรับประกันระดับการคุ้มครองที่เพียงพอ "เจ้าของข้อมูลยินยอมให้มีการโอนย้าย" หรือ "หากกฎข้อบังคับขององค์กรที่มีผลผูกพันหรือข้อกำหนดสัญญามาตรฐานได้รับอนุญาต" [ 8 ] [ 9 ]ข้อหลังนี้หมายความว่าการคุ้มครองความเป็นส่วนตัวสามารถเกิดขึ้นได้ในระดับองค์กร ซึ่งองค์กรข้ามชาติจัดทำและบันทึกการควบคุมภายในเกี่ยวกับข้อมูลส่วนบุคคล หรือสามารถเกิดขึ้นได้ในระดับประเทศ หากกฎหมายของประเทศนั้นถือว่าให้การคุ้มครองที่เท่าเทียมกับสหภาพยุโรป

หลักการคุ้มครองความเป็นส่วนตัว Safe Harbor ได้รับการพัฒนาขึ้นระหว่างปี 1998 ถึง 2000 ผู้มีบทบาทสำคัญคือคณะทำงานมาตรา 29 ซึ่งในขณะนั้นมีหน่วยงานคุ้มครองข้อมูลของอิตาลีเป็นประธาน ประธานคือศาสตราจารย์ Stefano Rodotà หนึ่งในผู้ริเริ่มกรอบการคุ้มครองความเป็นส่วนตัวในยุโรป โดยได้รับความช่วยเหลือจากเลขาธิการหน่วยงานคุ้มครองข้อมูลของอิตาลี นาย Giovanni Buttarelli ซึ่งต่อมาได้รับการแต่งตั้งเป็นผู้กำกับดูแลการคุ้มครองข้อมูลของยุโรป (EDPS) หลักการ Safe Harbor ถูกออกแบบมาเพื่อป้องกันไม่ให้องค์กรเอกชนภายในสหภาพยุโรปหรือสหรัฐอเมริกาที่จัดเก็บข้อมูลลูกค้าเปิดเผยหรือสูญเสียข้อมูลส่วนบุคคลโดยไม่ได้ตั้งใจ บริษัทในสหรัฐอเมริกาสามารถเลือกเข้าร่วมโครงการและได้รับการรับรองหากปฏิบัติตามหลักการเจ็ดข้อและคำถามและคำตอบที่พบบ่อย 15 ข้อตามคำสั่ง[ 10 ]ในเดือนกรกฎาคม 2000 คณะกรรมาธิการยุโรป (EC) ได้ตัดสินใจว่าบริษัทในสหรัฐอเมริกาที่ปฏิบัติตามหลักการและลงทะเบียนการรับรองว่าตรงตามข้อกำหนดของสหภาพยุโรป ซึ่งเรียกว่า "โครงการ Safe Harbor" ได้รับอนุญาตให้ถ่ายโอนข้อมูลจากสหภาพยุโรปไปยังสหรัฐอเมริกา นี่เรียกว่าการตัดสินใจSafe Harbor [ 11 ]

เมื่อวันที่ 6 ตุลาคม 2558 ศาลยุติธรรมแห่งยุโรปได้เพิกถอนมติ Safe Harbor ของคณะกรรมาธิการยุโรป เนื่องจาก "กฎหมายที่อนุญาตให้หน่วยงานของรัฐสามารถเข้าถึงเนื้อหาของการสื่อสารทางอิเล็กทรอนิกส์โดยทั่วไปนั้น ถือเป็นการละเมิดสาระสำคัญของสิทธิขั้นพื้นฐานในการเคารพความเป็นส่วนตัว " [เน้นข้อความในต้นฉบับ] [ 1 ] : 2–3

ตามที่คณะกรรมาธิการยุโรประบุ ข้อ ตกลง EU–US Privacy Shieldที่ตกลงกันเมื่อวันที่ 2 กุมภาพันธ์ 2016 นั้น "สะท้อนถึงข้อกำหนดที่ศาลยุติธรรมแห่งยุโรปกำหนดไว้ในคำพิพากษาเมื่อวันที่ 6 ตุลาคม 2015 ซึ่งประกาศว่ากรอบ Safe Harbor เดิมเป็นโมฆะ ข้อตกลงใหม่นี้จะกำหนดภาระผูกพันที่เข้มงวดมากขึ้นสำหรับบริษัทในสหรัฐอเมริกาในการปกป้องข้อมูลส่วนบุคคลของชาวยุโรป และการตรวจสอบและการบังคับใช้ที่เข้มงวดมากขึ้นโดยกระทรวงพาณิชย์และคณะกรรมาธิการการค้าของรัฐบาลกลาง สหรัฐฯ รวมถึงผ่านความร่วมมือที่เพิ่มขึ้นกับหน่วยงานคุ้มครองข้อมูลของยุโรป ข้อตกลงใหม่นี้รวมถึงพันธสัญญาของสหรัฐฯ ที่ว่าความเป็นไปได้ภายใต้กฎหมายของสหรัฐฯ สำหรับหน่วยงานของรัฐในการเข้าถึงข้อมูลส่วนบุคคลที่ถ่ายโอนภายใต้ข้อตกลงใหม่นี้จะต้องอยู่ภายใต้เงื่อนไข ข้อจำกัด และการกำกับดูแลที่ชัดเจน เพื่อป้องกันการเข้าถึงโดยทั่วไป ชาวยุโรปจะมีโอกาสที่จะสอบถามหรือร้องเรียนในบริบทนี้กับผู้ตรวจการแผ่นดินคนใหม่โดยเฉพาะ" [ 12 ]

หลักการ

หลักการเจ็ดประการจากปี 2000 ได้แก่: [ 11 ]

  • ประกาศ – บุคคลต้องได้รับแจ้งว่าข้อมูลของพวกเขากำลังถูกเก็บรวบรวมและจะนำไปใช้อย่างไร องค์กรต้องให้ข้อมูลเกี่ยวกับวิธีการที่บุคคลสามารถติดต่อองค์กรเพื่อสอบถามหรือร้องเรียนได้
  • สิทธิในการเลือก – บุคคลต้องมีสิทธิ์ที่จะปฏิเสธการเก็บรวบรวมและการส่งต่อข้อมูลไปยังบุคคลที่สาม
  • การส่งต่อข้อมูล – การส่งต่อข้อมูลไปยังบุคคลที่สามจะเกิดขึ้นได้เฉพาะกับองค์กรที่ปฏิบัติตามหลักการคุ้มครองข้อมูลที่เหมาะสมเท่านั้น
  • ความปลอดภัย – ต้องใช้ความพยายามอย่างเหมาะสมเพื่อป้องกันการสูญหายของข้อมูลที่รวบรวมไว้
  • ความถูกต้องสมบูรณ์ของข้อมูล – ข้อมูลต้องมีความเกี่ยวข้องและเชื่อถือได้สำหรับวัตถุประสงค์ที่เก็บรวบรวมมา
  • การเข้าถึง – บุคคลต้องสามารถเข้าถึงข้อมูลที่จัดเก็บไว้เกี่ยวกับตนเอง และแก้ไขหรือลบข้อมูลนั้นได้ หากข้อมูลนั้นไม่ถูกต้อง
  • การบังคับใช้ – ต้องมีวิธีการบังคับใช้กฎเหล่านี้อย่างมีประสิทธิภาพ

ขอบเขต การรับรอง และการบังคับใช้

เฉพาะองค์กรในสหรัฐอเมริกาที่อยู่ภายใต้การกำกับดูแลของคณะกรรมการการค้าแห่งสหรัฐอเมริกาหรือกระทรวงคมนาคม เท่านั้น ที่สามารถเข้าร่วมในโครงการสมัครใจนี้ได้ ซึ่งไม่รวมถึงสถาบันการเงินหลายแห่ง (เช่น ธนาคาร บริษัทลงทุน สหกรณ์เครดิต และสถาบันออมทรัพย์และสินเชื่อ ) ผู้ให้บริการโทรคมนาคม(รวมถึงผู้ให้บริการอินเทอร์เน็ต ) สมาคมแรงงาน องค์กรไม่แสวงหาผลกำไรสหกรณ์การเกษตรและผู้แปรรูปเนื้อสัตว์นักข่าว และบริษัทประกันภัยส่วนใหญ่[ 13 ]แม้ว่าอาจจะรวมถึงธนาคารเพื่อการลงทุน[ 14 ]

หลังจากเลือกเข้าร่วมแล้ว องค์กรจะต้องมีการฝึกอบรมพนักงานที่เหมาะสมและมีกลไกการระงับข้อพิพาทที่มีประสิทธิภาพ และต้องรับรองตนเองเป็นลายลักษณ์อักษรทุกๆ สิบสองเดือนว่าตกลงที่จะปฏิบัติตามหลักการของกรอบงาน EU–US Safe Harbor Framework ซึ่งรวมถึงการแจ้งให้ทราบ การเลือก การเข้าถึง และการบังคับใช้[ 15 ]องค์กรสามารถทำการประเมินตนเองเพื่อตรวจสอบว่าปฏิบัติตามหลักการหรือไม่ หรือจ้างบุคคลที่สามให้ทำการประเมิน บริษัทต่างๆ จ่ายค่าธรรมเนียมการลงทะเบียนปีละ 100 ดอลลาร์สหรัฐ ยกเว้นการลงทะเบียนครั้งแรก (200 ดอลลาร์สหรัฐ) [ 16 ]

รัฐบาลสหรัฐฯ ไม่ได้ควบคุม Safe Harbor ซึ่งเป็นการกำกับดูแลตนเองผ่านสมาชิกภาคเอกชนและหน่วยงานระงับข้อพิพาทที่พวกเขาเลือก คณะกรรมการการค้าของรัฐบาลกลาง "จัดการ" ระบบภายใต้การกำกับดูแลของกระทรวงพาณิชย์ของสหรัฐฯ[ 17 ]เพื่อให้เป็นไปตามข้อผูกพัน ผู้ฝ่าฝืนอาจถูกลงโทษภายใต้พระราชบัญญัติคณะกรรมการการค้าของรัฐบาลกลางโดยคำสั่งทางปกครองและค่าปรับทางแพ่งสูงสุดถึง 16,000 ดอลลาร์ต่อวันสำหรับการฝ่าฝืน หากองค์กรใดไม่ปฏิบัติตามกรอบการทำงาน องค์กรนั้นจะต้องแจ้งให้กระทรวงพาณิชย์ทราบโดยทันที มิฉะนั้นอาจถูกดำเนินคดีภายใต้พระราชบัญญัติการให้ข้อมูลเท็จ[ 15 ]

ในคดีปี 2011คณะกรรมการการค้าของรัฐบาลกลางได้รับคำสั่งยินยอมจากผู้ค้าปลีกออนไลน์ในแคลิฟอร์เนียซึ่งขายสินค้าเฉพาะให้กับลูกค้าในสหราชอาณาจักร เท่านั้น ในบรรดาการปฏิบัติที่หลอกลวงที่ถูกกล่าวหาหลายประการนั้น รวมถึงการอ้างว่าตนเองได้รับการรับรองภายใต้ Safe Harbor ทั้งที่ความจริงแล้วไม่ได้ทำเช่นนั้น บริษัทดังกล่าวถูกห้ามไม่ให้ใช้การปฏิบัติที่หลอกลวงดังกล่าวในอนาคต[ 18 ]

การวิจารณ์และการประเมิน

การประเมินของสหภาพยุโรป

โครงการรับรองตนเองตามหลักการ Safe Harbor ระหว่างสหภาพยุโรปและสหรัฐอเมริกา ถูกวิพากษ์วิจารณ์ในเรื่องการปฏิบัติตามและการบังคับใช้ในการประเมินภายนอกของสหภาพยุโรป 3 ครั้ง:

  • การตรวจสอบในปี 2545 โดยสหภาพยุโรปพบว่า "องค์กรจำนวนมากที่รับรองตนเองว่าปฏิบัติตาม Safe Harbor ดูเหมือนจะไม่ปฏิบัติตามระดับความโปร่งใส ที่คาดหวังไว้ เกี่ยวกับความมุ่งมั่นโดยรวมหรือเกี่ยวกับเนื้อหาของนโยบายความเป็นส่วนตัว" และ " กลไก การแก้ไขข้อพิพาท ไม่ได้ ระบุเจตนาที่จะบังคับใช้กฎ Safe Harbor ต่อสาธารณะทั้งหมด และไม่ได้มีแนวปฏิบัติด้านความเป็นส่วนตัวที่ใช้บังคับกับตนเองทั้งหมด" [ 19 ]
  • การตรวจสอบโดยสหภาพยุโรปในปี พ.ศ. 2547: [ 20 ]
  • ในปี 2551 บริษัทที่ปรึกษาของออสเตรเลียชื่อ Galexia ได้ออกรายงานวิจารณ์อย่างรุนแรง โดยพบว่า "ความสามารถของสหรัฐฯ ในการปกป้องความเป็นส่วนตัวผ่านการกำกับดูแลตนเองซึ่งได้รับการสนับสนุนจากการกำกับดูแลของหน่วยงานกำกับดูแลนั้น เป็นที่น่าสงสัย" รายงานดังกล่าวระบุว่า ข้อกล่าวอ้างพื้นฐานนั้นไม่ถูกต้อง โดยมีเพียง 1,109 องค์กรจากทั้งหมด 1,597 องค์กรที่บันทึกไว้โดยกระทรวงพาณิชย์ของสหรัฐฯ (DOC) เมื่อวันที่ 17 ตุลาคม 2551 เท่านั้นที่ยังคงอยู่ในฐานข้อมูล หลังจากที่ได้ลบองค์กรที่ซ้ำซ้อน ซ้ำซ้อนมาก และองค์กรที่ "ไม่เป็นปัจจุบัน" ออกไปแล้ว มีเพียง 348 องค์กรเท่านั้นที่ตรงตามข้อกำหนดขั้นพื้นฐานที่สุดสำหรับการปฏิบัติตามกฎระเบียบ และในจำนวนนี้ มีเพียง 54 องค์กรเท่านั้นที่ขยายการเป็นสมาชิก Safe Harbor ไปยังข้อมูลทุกประเภท (ข้อมูลแบบแมนนวล ข้อมูลออฟไลน์ ข้อมูลออนไลน์ และข้อมูลทรัพยากรบุคคล) ส่วนอีก 206 องค์กรนั้น อ้างว่าเป็นสมาชิกมานานหลายปีโดยไม่มีข้อบ่งชี้ใดๆ ว่าอยู่ภายใต้การบังคับใช้กฎหมายของสหรัฐฯ ผู้ตรวจสอบวิจารณ์ว่า “ เครื่องหมายรับรอง Safe Harbor” ของ DOC ที่เสนอให้บริษัทต่างๆ ใช้เป็น “สัญลักษณ์แสดงให้เห็นถึงการรับรองตนเองขององค์กรว่าจะปฏิบัติตามข้อกำหนด” นั้นทำให้เข้าใจผิด เพราะไม่มีคำว่า “รับรองตนเอง” อยู่ในนั้น มีเพียง 900 องค์กรเท่านั้นที่ให้ลิงก์ไปยังนโยบายความเป็นส่วนตัว ของตน และสำหรับ 421 องค์กรนั้น เอกสารไม่สามารถเข้าถึงได้ นโยบายจำนวนมากมีความยาวเพียงหนึ่งถึงสามประโยค และ “แทบไม่มีข้อมูลใดๆ” หลายรายการดูเหมือนจะสับสนระหว่างการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวกับการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และแสดงให้เห็นถึง “การขาดความเข้าใจเกี่ยวกับโครงการ Safe Harbor” รายชื่อผู้ให้บริการระงับข้อพิพาทของบริษัทต่างๆ นั้นสร้างความสับสน และพบปัญหาเกี่ยวกับความเป็นอิสระและความคุ้มค่า หลายองค์กรไม่ได้ระบุอย่างชัดเจนว่าพวกเขาจะให้ความร่วมมือหรืออธิบายให้ลูกค้าทราบว่าพวกเขาสามารถเลือกคณะกรรมการระงับข้อพิพาทที่จัดตั้งขึ้นโดยหน่วยงานคุ้มครองข้อมูลของสหภาพยุโรปได้
Galexia แนะนำให้สหภาพยุโรปเจรจาข้อตกลง Safe Harbor ใหม่ ให้คำเตือนแก่ผู้บริโภคในสหภาพยุโรป และพิจารณาทบทวนรายการทั้งหมดอย่างครอบคลุม พวกเขาแนะนำให้สหรัฐอเมริกาตรวจสอบองค์กรหลายร้อยแห่งที่ทำการกล่าวอ้างเท็จแก้ไขคำแถลงเกี่ยวกับจำนวนผู้เข้าร่วม ยกเลิกการใช้เครื่องหมายรับรอง Safe Harbor ตรวจสอบการใช้โลโก้ของกระทรวงโดยไม่ได้รับอนุญาตและทำให้เข้าใจผิด และระงับสมาชิกภาพขององค์กรโดยอัตโนมัติหากไม่ต่ออายุการรับรอง Safe Harbor [ 21 ]

ขอบเขตของกฎหมาย Patriot Act

ในเดือนมิถุนายน พ.ศ. 2554 กอร์ดอน เฟรเซอร์กรรมการผู้จัดการของMicrosoft UK กล่าวว่า " ข้อมูลบนคลาวด์ไม่ว่าจะอยู่ที่ใดในโลก ก็ไม่ได้รับการคุ้มครองจากกฎหมาย Patriot Act " [ 22 ]

เนเธอร์แลนด์ได้ตัดผู้ให้บริการคลาวด์ของสหรัฐฯ ออกจากสัญญาของรัฐบาลเนเธอร์แลนด์ทันที และยังพิจารณาที่จะห้ามสัญญาคลาวด์ที่ให้บริการโดย Microsoft และ Google อีกด้วย บริษัทสาขาของComputer Sciences Corporation (CSC) ซึ่งตั้งอยู่ในสหรัฐอเมริกา ดำเนินการบันทึกสุขภาพอิเล็กทรอนิกส์ของระบบบริการสุขภาพแห่งชาติของเนเธอร์แลนด์ และเตือนว่า หาก CSC ไม่สามารถรับรองได้ว่าจะไม่ตกอยู่ภายใต้กฎหมาย Patriot Act บริษัทจะยุติสัญญา[ 23 ]

หนึ่งปีต่อมาในปี 2012 เอกสารวิจัยทางกฎหมายสนับสนุนแนวคิดที่ว่ากฎหมาย Patriot Act อนุญาตให้หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ หลีกเลี่ยงกฎหมายความเป็นส่วนตัวของยุโรปได้[ 23 ]

ข้อร้องเรียนของประชาชนเกี่ยวกับความปลอดภัยของข้อมูลบน Facebook

ในเดือนตุลาคม พ.ศ. 2558 ศาลยุโรป (ECJ) ตอบสนองต่อการส่งเรื่องจากศาลสูงแห่งไอร์แลนด์ที่เกี่ยวข้องกับคำร้องเรียนจากพลเมืองชาวออสเตรียMaximillian Schremsเกี่ยวกับ การประมวลผลข้อมูลส่วนบุคคลของเขาโดย Facebookจากบริษัทสาขาในไอร์แลนด์ไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกา Schrems ร้องเรียนว่า "จากการเปิดเผยในปี พ.ศ. 2556 โดยEdward Snowdenเกี่ยวกับกิจกรรมของหน่วยข่าวกรองของสหรัฐอเมริกา (โดยเฉพาะอย่างยิ่งสำนักงานความมั่นคงแห่งชาติ ) กฎหมายและแนวปฏิบัติของสหรัฐอเมริกาไม่ได้ให้การคุ้มครองที่เพียงพอต่อการสอดแนมโดยหน่วยงานของรัฐ" ศาลยุโรป (ECJ) ตัดสินว่าหลักการ Safe Harbor เป็นโมฆะ เนื่องจากไม่ได้กำหนดให้ องค์กร ทั้งหมดที่มีสิทธิ์ทำงานกับข้อมูลที่เกี่ยวข้องกับความเป็นส่วนตัวของสหภาพยุโรปต้องปฏิบัติตาม จึงให้การรับประกันที่ไม่เพียงพอ หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาสามารถใช้ข้อมูลส่วนบุคคลภายใต้กฎหมายของสหรัฐอเมริกาได้ แต่ไม่จำเป็นต้องเลือกเข้าร่วม ศาลตัดสินว่าบริษัทที่เลือกเข้าร่วม "ต้องเพิกเฉยต่อกฎการคุ้มครองที่กำหนดไว้โดยโครงการนั้นโดยไม่มีข้อจำกัด หากกฎเหล่านั้นขัดแย้งกับความมั่นคงของชาติ ผลประโยชน์สาธารณะ และข้อกำหนดในการบังคับใช้กฎหมาย" [ 1 ]

ตามกฎของสหภาพยุโรปสำหรับการส่งเรื่องไปยังศาลยุโรปเพื่อขอคำวินิจฉัยเบื้องต้นคณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์จึงต้อง "ตรวจสอบกรณีของนาย Schrems 'ด้วยความรอบคอบ' และ ... ตัดสินใจว่า ... ควรระงับการถ่ายโอนข้อมูลส่วนบุคคลของผู้สมัครสมาชิก Facebook ในยุโรปไปยังสหรัฐอเมริกาหรือไม่" [ 1 ]หน่วยงานกำกับดูแลของสหภาพยุโรปกล่าวว่า หากศาลยุโรปและสหรัฐอเมริกาไม่เจรจาระบบใหม่ภายในสามเดือน ธุรกิจต่างๆ อาจเผชิญกับการดำเนินการจากหน่วยงานกำกับดูแลความเป็นส่วนตัวของยุโรป เมื่อวันที่ 29 ตุลาคม 2558 ข้อตกลง "Safe Harbor 2.0" ฉบับใหม่ดูเหมือนจะใกล้เสร็จสมบูรณ์[ 24 ]อย่างไรก็ตาม คณะกรรมาธิการ Jourova คาดว่าสหรัฐอเมริกาจะดำเนินการต่อไป[ 25 ]องค์กรพัฒนาเอกชนของอเมริกาได้ขยายความสำคัญของการตัดสินใจอย่างรวดเร็ว[ 26 ]

การตอบสนองต่อข้อตกลงคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐอเมริกา

Jan Philipp Albrecht สมาชิกสภา ผู้แทนราษฎร ยุโรปชาวเยอรมันและMax Schrems นักรณรงค์ ได้วิพากษ์วิจารณ์คำตัดสินใหม่ โดย Schrems คาดการณ์ว่าคณะกรรมาธิการอาจจะ "เดินทางไปกลับลักเซมเบิร์ก" (ซึ่งเป็นที่ตั้งของศาลยุติธรรมแห่งยุโรป) [ 27 ] Vera Jourova กรรมาธิการด้านผู้บริโภคของสหภาพยุโรป แสดงความมั่นใจว่าจะบรรลุข้อตกลงได้ภายในสิ้นเดือนกุมภาพันธ์[ 28 ]ชาวยุโรปจำนวนมากเรียกร้องกลไกสำหรับพลเมืองยุโรปแต่ละคนในการยื่นเรื่องร้องเรียนเกี่ยวกับการใช้ข้อมูลของตน รวมถึงโครงการความโปร่งใสเพื่อให้แน่ใจว่าข้อมูลของพลเมืองยุโรปจะไม่ตกไปอยู่ในมือของหน่วยงานข่าวกรองของสหรัฐฯ[ 29 ]คณะทำงานมาตรา 29ได้รับข้อเรียกร้องนี้ และระบุว่าจะเลื่อนออกไปอีกหนึ่งเดือนจนถึงเดือนมีนาคม 2016 เพื่อตัดสินใจเกี่ยวกับผลที่ตามมาของข้อเสนอใหม่ของกรรมาธิการ Jourova [ 30 ] Paul Nemitz ผู้อำนวยการคณะกรรมาธิการยุโรปด้านสิทธิขั้นพื้นฐาน กล่าวในการประชุมที่บรัสเซลส์ในเดือนมกราคมว่าคณะกรรมาธิการจะตัดสินใจเกี่ยวกับ "ความเพียงพอ" ของการคุ้มครองข้อมูลอย่างไร[ 31 ] หนังสือพิมพ์ The Economistคาดการณ์ว่า "เมื่อคณะกรรมาธิการได้ออก 'การตัดสินใจเรื่องความเพียงพอ' ที่เข้มงวดขึ้นแล้ว ศาลยุโรปจะล้มล้างได้ยากขึ้น" [ 32 ]โจ แมคนามี นักเคลื่อนไหวเพื่อความเป็นส่วนตัว สรุปสถานการณ์โดยสังเกตว่าคณะกรรมาธิการได้ประกาศข้อตกลงก่อนกำหนด จึงทำให้สูญเสียสิทธิ์ในการเจรจา[ 33 ]ในขณะเดียวกัน การท้าทายทางศาลครั้งแรกในเยอรมนีได้เริ่มต้นขึ้นแล้ว: ในเดือนกุมภาพันธ์ 2016 หน่วยงานคุ้มครองข้อมูล ของฮัมบูร์กกำลังเตรียมที่จะปรับบริษัทสามแห่งฐานใช้ Safe Harbor เป็นพื้นฐานทางกฎหมายสำหรับการถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก และอีกสองบริษัทอยู่ระหว่างการสอบสวน[ 34 ]จากอีกด้านหนึ่ง ดูเหมือนว่าปฏิกิริยาจะเกิดขึ้นในไม่ช้า[ 35 ]

เมื่อวันที่ 25 มีนาคม 2021 คณะกรรมาธิการยุโรปและรัฐมนตรีว่าการกระทรวงพาณิชย์ของสหรัฐฯ รายงานว่ามีการ "เจรจาอย่างเข้มข้น" [ 36 ]การหารือยังคงดำเนินต่อไปในการประชุมสุดยอด EU-USที่กรุงบรัสเซลส์ในเดือนมิถุนายน 2021 [ 37 ]

ดูเพิ่มเติม

อ่านเพิ่มเติม

  • Farrell, Henry (ฤดูใบไม้ผลิ 2003). "การสร้างรากฐานระหว่างประเทศของอีคอมเมิร์ซ—ข้อตกลง Safe Harbor ระหว่างสหภาพยุโรปและสหรัฐอเมริกา" องค์กรระหว่างประเทศ57 (2): 277– 306. doi : 10.1017/S0020818303572022 . S2CID 154976969 . 
  • เว็บไซต์อย่างเป็นทางการของข้อตกลง Safe Harbor Arrangement ในสหรัฐอเมริกา
  • "เอกสารกรอบความร่วมมือด้านการคุ้มครองสิทธิพลเมืองระหว่างสหรัฐฯ และสหภาพยุโรป"รัฐบาลสหรัฐฯ เก็บถาวรจากต้นฉบับเมื่อวันที่ 5 เมษายน 2558
  • รายชื่อเขตปลอดภัยระหว่างสหรัฐฯ และสหภาพยุโรป , คณะกรรมการการค้าแห่งสหรัฐฯ, ไม่ระบุวันที่, สืบค้นเมื่อ 30 ตุลาคม 2558
  • โครงการข้อมูลเปิดที่รวบรวมรายชื่อบริษัทที่ได้รับการคุ้มครองตามหลักเกณฑ์ Safe Harbor จากเว็บไซต์ของ FTC รวมถึงข้อมูลที่ล้าสมัยซึ่งจะถูกเขียนทับในเว็บไซต์ของ FTC ทำให้สามารถติดตามการเปลี่ยนแปลงของการยื่นเอกสารได้ตลอดเวลา
ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=International_Safe_Harbor_Privacy_Principles&oldid=1360080074 "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ หลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศ (International Safe Harbor Privacy Principles)

หลักการ คุ้มครองความเป็นส่วนตัวระหว่างประเทศ หรือ หลักการคุ้มครองความเป็นส่วนตัว Safe Harbour เป็นหลักการที่พัฒนาขึ้นระหว่างปี 1998 ถึง 2000 เพื่อป้องกันไม่ให้องค์กรเอกชนภายใน...

ประวัติความเป็นมา

ในปี พ.ศ. 2523 OECD ได้ออกคำแนะนำสำหรับการคุ้มครอง ข้อมูลส่วนบุคคล ในรูปแบบของหลักการแปดประการ ซึ่งไม่มีผลผูกพัน และในปี พ.ศ.

หลักการ

หลักการเจ็ดประการจากปี 2000 ได้แก่: [ 11 ]

ขอบเขต การรับรอง และการบังคับใช้

เฉพาะองค์กรในสหรัฐอเมริกาที่อยู่ภายใต้การกำกับดูแลของ คณะกรรมการการค้าแห่งสหรัฐอเมริกา หรือ กระทรวงคมนาคม เท่านั้น ที่สามารถเข้าร่วมในโครงการสมัครใจนี้ได้ ซึ่งไม่รวมถึงสถาบันการเงินหลายแห่ง (เช่น ธนาคาร บริษัทลงทุน สหกรณ์เครดิต และ สถาบันออมทรัพย์และสินเชื่อ...