หลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศ (International Safe Harbor Privacy Principles)
หลักการคุ้มครองความเป็นส่วนตัวระหว่างประเทศหรือหลักการคุ้มครองความเป็นส่วนตัว Safe Harbourเป็นหลักการที่พัฒนาขึ้นระหว่างปี 1998 ถึง 2000 เพื่อป้องกันไม่ให้องค์กรเอกชนภายในสหภาพยุโรปหรือสหรัฐอเมริกาที่จัดเก็บข้อมูลลูกค้าเปิดเผยหรือสูญเสียข้อมูลส่วนบุคคล โดยไม่ได้ตั้งใจ หลักการ เหล่านี้ถูกยกเลิกเมื่อวันที่ 6 ตุลาคม 2015 โดยศาลยุติธรรมแห่งยุโรป (ECJ) ซึ่งทำให้บริษัทในสหรัฐอเมริกาบางแห่งสามารถปฏิบัติตามกฎหมายคุ้มครองความเป็นส่วนตัวที่คุ้มครองพลเมืองของสหภาพยุโรปและ สวิต เซอร์แลนด์ ได้ [ 1 ]บริษัทในสหรัฐอเมริกาที่จัดเก็บข้อมูลลูกค้าสามารถรับรองตนเองได้ว่าปฏิบัติตามหลักการ 7 ข้อ เพื่อให้สอดคล้องกับคำสั่งคุ้มครองข้อมูล ของสหภาพยุโรป และข้อกำหนดของสวิตเซอร์แลนด์กระทรวงพาณิชย์ของสหรัฐอเมริกาได้พัฒนากรอบการทำงานด้านความเป็นส่วนตัวร่วมกับทั้งสหภาพยุโรปและคณะกรรมาธิการคุ้มครองข้อมูลและสารสนเทศของรัฐบาลกลางสวิตเซอร์แลนด์[ 2 ]
ในบริบทของการตัดสินใจชุดหนึ่งเกี่ยวกับความเพียงพอของการคุ้มครองข้อมูลส่วนบุคคลที่ถ่ายโอนไปยังประเทศอื่น[ 3 ]คณะกรรมาธิการยุโรปได้ตัดสินใจในปี 2000 ว่าหลักการของสหรัฐอเมริกาเป็นไปตามคำสั่งของสหภาพยุโรป[ 4 ]ซึ่งเรียกว่า การ ตัดสินใจSafe Harbor [ 5 ]อย่างไรก็ตาม หลังจากที่ลูกค้าร้องเรียนว่า ข้อมูล Facebook ของเขา ไม่ได้รับการคุ้มครองอย่างเพียงพอ ศาลยุโรปได้ประกาศในเดือนตุลาคม 2015 ว่าการตัดสินใจ Safe Harbor เป็นโมฆะ ส่งผลให้คณะกรรมาธิการต้องเจรจากับหน่วยงานของสหรัฐอเมริกาเพิ่มเติมเพื่อ "กรอบการทำงานที่ปรับปรุงใหม่และมั่นคงสำหรับการไหลเวียนของข้อมูลข้ามมหาสมุทรแอตแลนติก" [ 6 ]
คณะกรรมาธิการยุโรปและสหรัฐอเมริกาตกลงที่จะจัดตั้งกรอบการทำงานใหม่สำหรับการไหลเวียนของข้อมูลข้ามมหาสมุทรแอตแลนติกเมื่อวันที่ 2 กุมภาพันธ์ 2559 ซึ่งรู้จักกันในชื่อ " EU–US Privacy Shield " [ 7 ]ซึ่งตามมาด้วยกรอบการทำงานSwiss-US Privacy Shield อย่างใกล้ชิด
ประวัติความเป็นมา
ในปี พ.ศ. 2523 OECDได้ออกคำแนะนำสำหรับการคุ้มครองข้อมูลส่วนบุคคลในรูปแบบของหลักการแปดประการ ซึ่งไม่มีผลผูกพัน และในปี พ.ศ. 2538 สหภาพยุโรป (EU) ได้ออกกฎหมายเพื่อคุ้มครอง ความเป็นส่วนตัวของข้อมูล ส่วนบุคคล ในรูปแบบของคำสั่งคุ้มครองข้อมูลซึ่งมีผลผูกพันมากกว่า[ 8 ]
ตามคำสั่งคุ้มครองข้อมูล บริษัทที่ดำเนินงานในสหภาพยุโรปไม่ได้รับอนุญาตให้ส่งข้อมูลส่วนบุคคลไปยัง "ประเทศที่สาม" นอกเขตเศรษฐกิจยุโรปเว้นแต่จะรับประกันระดับการคุ้มครองที่เพียงพอ "เจ้าของข้อมูลยินยอมให้มีการโอนย้าย" หรือ "หากกฎข้อบังคับขององค์กรที่มีผลผูกพันหรือข้อกำหนดสัญญามาตรฐานได้รับอนุญาต" [ 8 ] [ 9 ]ข้อหลังนี้หมายความว่าการคุ้มครองความเป็นส่วนตัวสามารถเกิดขึ้นได้ในระดับองค์กร ซึ่งองค์กรข้ามชาติจัดทำและบันทึกการควบคุมภายในเกี่ยวกับข้อมูลส่วนบุคคล หรือสามารถเกิดขึ้นได้ในระดับประเทศ หากกฎหมายของประเทศนั้นถือว่าให้การคุ้มครองที่เท่าเทียมกับสหภาพยุโรป
หลักการคุ้มครองความเป็นส่วนตัว Safe Harbor ได้รับการพัฒนาขึ้นระหว่างปี 1998 ถึง 2000 ผู้มีบทบาทสำคัญคือคณะทำงานมาตรา 29 ซึ่งในขณะนั้นมีหน่วยงานคุ้มครองข้อมูลของอิตาลีเป็นประธาน ประธานคือศาสตราจารย์ Stefano Rodotà หนึ่งในผู้ริเริ่มกรอบการคุ้มครองความเป็นส่วนตัวในยุโรป โดยได้รับความช่วยเหลือจากเลขาธิการหน่วยงานคุ้มครองข้อมูลของอิตาลี นาย Giovanni Buttarelli ซึ่งต่อมาได้รับการแต่งตั้งเป็นผู้กำกับดูแลการคุ้มครองข้อมูลของยุโรป (EDPS) หลักการ Safe Harbor ถูกออกแบบมาเพื่อป้องกันไม่ให้องค์กรเอกชนภายในสหภาพยุโรปหรือสหรัฐอเมริกาที่จัดเก็บข้อมูลลูกค้าเปิดเผยหรือสูญเสียข้อมูลส่วนบุคคลโดยไม่ได้ตั้งใจ บริษัทในสหรัฐอเมริกาสามารถเลือกเข้าร่วมโครงการและได้รับการรับรองหากปฏิบัติตามหลักการเจ็ดข้อและคำถามและคำตอบที่พบบ่อย 15 ข้อตามคำสั่ง[ 10 ]ในเดือนกรกฎาคม 2000 คณะกรรมาธิการยุโรป (EC) ได้ตัดสินใจว่าบริษัทในสหรัฐอเมริกาที่ปฏิบัติตามหลักการและลงทะเบียนการรับรองว่าตรงตามข้อกำหนดของสหภาพยุโรป ซึ่งเรียกว่า "โครงการ Safe Harbor" ได้รับอนุญาตให้ถ่ายโอนข้อมูลจากสหภาพยุโรปไปยังสหรัฐอเมริกา นี่เรียกว่าการตัดสินใจSafe Harbor [ 11 ]
เมื่อวันที่ 6 ตุลาคม 2558 ศาลยุติธรรมแห่งยุโรปได้เพิกถอนมติ Safe Harbor ของคณะกรรมาธิการยุโรป เนื่องจาก "กฎหมายที่อนุญาตให้หน่วยงานของรัฐสามารถเข้าถึงเนื้อหาของการสื่อสารทางอิเล็กทรอนิกส์โดยทั่วไปนั้น ถือเป็นการละเมิดสาระสำคัญของสิทธิขั้นพื้นฐานในการเคารพความเป็นส่วนตัว " [เน้นข้อความในต้นฉบับ] [ 1 ] : 2–3
ตามที่คณะกรรมาธิการยุโรประบุ ข้อ ตกลง EU–US Privacy Shieldที่ตกลงกันเมื่อวันที่ 2 กุมภาพันธ์ 2016 นั้น "สะท้อนถึงข้อกำหนดที่ศาลยุติธรรมแห่งยุโรปกำหนดไว้ในคำพิพากษาเมื่อวันที่ 6 ตุลาคม 2015 ซึ่งประกาศว่ากรอบ Safe Harbor เดิมเป็นโมฆะ ข้อตกลงใหม่นี้จะกำหนดภาระผูกพันที่เข้มงวดมากขึ้นสำหรับบริษัทในสหรัฐอเมริกาในการปกป้องข้อมูลส่วนบุคคลของชาวยุโรป และการตรวจสอบและการบังคับใช้ที่เข้มงวดมากขึ้นโดยกระทรวงพาณิชย์และคณะกรรมาธิการการค้าของรัฐบาลกลาง สหรัฐฯ รวมถึงผ่านความร่วมมือที่เพิ่มขึ้นกับหน่วยงานคุ้มครองข้อมูลของยุโรป ข้อตกลงใหม่นี้รวมถึงพันธสัญญาของสหรัฐฯ ที่ว่าความเป็นไปได้ภายใต้กฎหมายของสหรัฐฯ สำหรับหน่วยงานของรัฐในการเข้าถึงข้อมูลส่วนบุคคลที่ถ่ายโอนภายใต้ข้อตกลงใหม่นี้จะต้องอยู่ภายใต้เงื่อนไข ข้อจำกัด และการกำกับดูแลที่ชัดเจน เพื่อป้องกันการเข้าถึงโดยทั่วไป ชาวยุโรปจะมีโอกาสที่จะสอบถามหรือร้องเรียนในบริบทนี้กับผู้ตรวจการแผ่นดินคนใหม่โดยเฉพาะ" [ 12 ]
หลักการ
หลักการเจ็ดประการจากปี 2000 ได้แก่: [ 11 ]
- ประกาศ – บุคคลต้องได้รับแจ้งว่าข้อมูลของพวกเขากำลังถูกเก็บรวบรวมและจะนำไปใช้อย่างไร องค์กรต้องให้ข้อมูลเกี่ยวกับวิธีการที่บุคคลสามารถติดต่อองค์กรเพื่อสอบถามหรือร้องเรียนได้
- สิทธิในการเลือก – บุคคลต้องมีสิทธิ์ที่จะปฏิเสธการเก็บรวบรวมและการส่งต่อข้อมูลไปยังบุคคลที่สาม
- การส่งต่อข้อมูล – การส่งต่อข้อมูลไปยังบุคคลที่สามจะเกิดขึ้นได้เฉพาะกับองค์กรที่ปฏิบัติตามหลักการคุ้มครองข้อมูลที่เหมาะสมเท่านั้น
- ความปลอดภัย – ต้องใช้ความพยายามอย่างเหมาะสมเพื่อป้องกันการสูญหายของข้อมูลที่รวบรวมไว้
- ความถูกต้องสมบูรณ์ของข้อมูล – ข้อมูลต้องมีความเกี่ยวข้องและเชื่อถือได้สำหรับวัตถุประสงค์ที่เก็บรวบรวมมา
- การเข้าถึง – บุคคลต้องสามารถเข้าถึงข้อมูลที่จัดเก็บไว้เกี่ยวกับตนเอง และแก้ไขหรือลบข้อมูลนั้นได้ หากข้อมูลนั้นไม่ถูกต้อง
- การบังคับใช้ – ต้องมีวิธีการบังคับใช้กฎเหล่านี้อย่างมีประสิทธิภาพ
ขอบเขต การรับรอง และการบังคับใช้
เฉพาะองค์กรในสหรัฐอเมริกาที่อยู่ภายใต้การกำกับดูแลของคณะกรรมการการค้าแห่งสหรัฐอเมริกาหรือกระทรวงคมนาคม เท่านั้น ที่สามารถเข้าร่วมในโครงการสมัครใจนี้ได้ ซึ่งไม่รวมถึงสถาบันการเงินหลายแห่ง (เช่น ธนาคาร บริษัทลงทุน สหกรณ์เครดิต และสถาบันออมทรัพย์และสินเชื่อ ) ผู้ให้บริการโทรคมนาคม(รวมถึงผู้ให้บริการอินเทอร์เน็ต ) สมาคมแรงงาน องค์กรไม่แสวงหาผลกำไรสหกรณ์การเกษตรและผู้แปรรูปเนื้อสัตว์นักข่าว และบริษัทประกันภัยส่วนใหญ่[ 13 ]แม้ว่าอาจจะรวมถึงธนาคารเพื่อการลงทุน[ 14 ]
หลังจากเลือกเข้าร่วมแล้ว องค์กรจะต้องมีการฝึกอบรมพนักงานที่เหมาะสมและมีกลไกการระงับข้อพิพาทที่มีประสิทธิภาพ และต้องรับรองตนเองเป็นลายลักษณ์อักษรทุกๆ สิบสองเดือนว่าตกลงที่จะปฏิบัติตามหลักการของกรอบงาน EU–US Safe Harbor Framework ซึ่งรวมถึงการแจ้งให้ทราบ การเลือก การเข้าถึง และการบังคับใช้[ 15 ]องค์กรสามารถทำการประเมินตนเองเพื่อตรวจสอบว่าปฏิบัติตามหลักการหรือไม่ หรือจ้างบุคคลที่สามให้ทำการประเมิน บริษัทต่างๆ จ่ายค่าธรรมเนียมการลงทะเบียนปีละ 100 ดอลลาร์สหรัฐ ยกเว้นการลงทะเบียนครั้งแรก (200 ดอลลาร์สหรัฐ) [ 16 ]
รัฐบาลสหรัฐฯ ไม่ได้ควบคุม Safe Harbor ซึ่งเป็นการกำกับดูแลตนเองผ่านสมาชิกภาคเอกชนและหน่วยงานระงับข้อพิพาทที่พวกเขาเลือก คณะกรรมการการค้าของรัฐบาลกลาง "จัดการ" ระบบภายใต้การกำกับดูแลของกระทรวงพาณิชย์ของสหรัฐฯ[ 17 ]เพื่อให้เป็นไปตามข้อผูกพัน ผู้ฝ่าฝืนอาจถูกลงโทษภายใต้พระราชบัญญัติคณะกรรมการการค้าของรัฐบาลกลางโดยคำสั่งทางปกครองและค่าปรับทางแพ่งสูงสุดถึง 16,000 ดอลลาร์ต่อวันสำหรับการฝ่าฝืน หากองค์กรใดไม่ปฏิบัติตามกรอบการทำงาน องค์กรนั้นจะต้องแจ้งให้กระทรวงพาณิชย์ทราบโดยทันที มิฉะนั้นอาจถูกดำเนินคดีภายใต้พระราชบัญญัติการให้ข้อมูลเท็จ[ 15 ]
ในคดีปี 2011คณะกรรมการการค้าของรัฐบาลกลางได้รับคำสั่งยินยอมจากผู้ค้าปลีกออนไลน์ในแคลิฟอร์เนียซึ่งขายสินค้าเฉพาะให้กับลูกค้าในสหราชอาณาจักร เท่านั้น ในบรรดาการปฏิบัติที่หลอกลวงที่ถูกกล่าวหาหลายประการนั้น รวมถึงการอ้างว่าตนเองได้รับการรับรองภายใต้ Safe Harbor ทั้งที่ความจริงแล้วไม่ได้ทำเช่นนั้น บริษัทดังกล่าวถูกห้ามไม่ให้ใช้การปฏิบัติที่หลอกลวงดังกล่าวในอนาคต[ 18 ]
การวิจารณ์และการประเมิน
การประเมินของสหภาพยุโรป
โครงการรับรองตนเองตามหลักการ Safe Harbor ระหว่างสหภาพยุโรปและสหรัฐอเมริกา ถูกวิพากษ์วิจารณ์ในเรื่องการปฏิบัติตามและการบังคับใช้ในการประเมินภายนอกของสหภาพยุโรป 3 ครั้ง:
- การตรวจสอบในปี 2545 โดยสหภาพยุโรปพบว่า "องค์กรจำนวนมากที่รับรองตนเองว่าปฏิบัติตาม Safe Harbor ดูเหมือนจะไม่ปฏิบัติตามระดับความโปร่งใส ที่คาดหวังไว้ เกี่ยวกับความมุ่งมั่นโดยรวมหรือเกี่ยวกับเนื้อหาของนโยบายความเป็นส่วนตัว" และ " กลไก การแก้ไขข้อพิพาท ไม่ได้ ระบุเจตนาที่จะบังคับใช้กฎ Safe Harbor ต่อสาธารณะทั้งหมด และไม่ได้มีแนวปฏิบัติด้านความเป็นส่วนตัวที่ใช้บังคับกับตนเองทั้งหมด" [ 19 ]
- การตรวจสอบโดยสหภาพยุโรปในปี พ.ศ. 2547: [ 20 ]
- ในปี 2551 บริษัทที่ปรึกษาของออสเตรเลียชื่อ Galexia ได้ออกรายงานวิจารณ์อย่างรุนแรง โดยพบว่า "ความสามารถของสหรัฐฯ ในการปกป้องความเป็นส่วนตัวผ่านการกำกับดูแลตนเองซึ่งได้รับการสนับสนุนจากการกำกับดูแลของหน่วยงานกำกับดูแลนั้น เป็นที่น่าสงสัย" รายงานดังกล่าวระบุว่า ข้อกล่าวอ้างพื้นฐานนั้นไม่ถูกต้อง โดยมีเพียง 1,109 องค์กรจากทั้งหมด 1,597 องค์กรที่บันทึกไว้โดยกระทรวงพาณิชย์ของสหรัฐฯ (DOC) เมื่อวันที่ 17 ตุลาคม 2551 เท่านั้นที่ยังคงอยู่ในฐานข้อมูล หลังจากที่ได้ลบองค์กรที่ซ้ำซ้อน ซ้ำซ้อนมาก และองค์กรที่ "ไม่เป็นปัจจุบัน" ออกไปแล้ว มีเพียง 348 องค์กรเท่านั้นที่ตรงตามข้อกำหนดขั้นพื้นฐานที่สุดสำหรับการปฏิบัติตามกฎระเบียบ และในจำนวนนี้ มีเพียง 54 องค์กรเท่านั้นที่ขยายการเป็นสมาชิก Safe Harbor ไปยังข้อมูลทุกประเภท (ข้อมูลแบบแมนนวล ข้อมูลออฟไลน์ ข้อมูลออนไลน์ และข้อมูลทรัพยากรบุคคล) ส่วนอีก 206 องค์กรนั้น อ้างว่าเป็นสมาชิกมานานหลายปีโดยไม่มีข้อบ่งชี้ใดๆ ว่าอยู่ภายใต้การบังคับใช้กฎหมายของสหรัฐฯ ผู้ตรวจสอบวิจารณ์ว่า “ เครื่องหมายรับรอง Safe Harbor” ของ DOC ที่เสนอให้บริษัทต่างๆ ใช้เป็น “สัญลักษณ์แสดงให้เห็นถึงการรับรองตนเองขององค์กรว่าจะปฏิบัติตามข้อกำหนด” นั้นทำให้เข้าใจผิด เพราะไม่มีคำว่า “รับรองตนเอง” อยู่ในนั้น มีเพียง 900 องค์กรเท่านั้นที่ให้ลิงก์ไปยังนโยบายความเป็นส่วนตัว ของตน และสำหรับ 421 องค์กรนั้น เอกสารไม่สามารถเข้าถึงได้ นโยบายจำนวนมากมีความยาวเพียงหนึ่งถึงสามประโยค และ “แทบไม่มีข้อมูลใดๆ” หลายรายการดูเหมือนจะสับสนระหว่างการปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวกับการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และแสดงให้เห็นถึง “การขาดความเข้าใจเกี่ยวกับโครงการ Safe Harbor” รายชื่อผู้ให้บริการระงับข้อพิพาทของบริษัทต่างๆ นั้นสร้างความสับสน และพบปัญหาเกี่ยวกับความเป็นอิสระและความคุ้มค่า หลายองค์กรไม่ได้ระบุอย่างชัดเจนว่าพวกเขาจะให้ความร่วมมือหรืออธิบายให้ลูกค้าทราบว่าพวกเขาสามารถเลือกคณะกรรมการระงับข้อพิพาทที่จัดตั้งขึ้นโดยหน่วยงานคุ้มครองข้อมูลของสหภาพยุโรปได้
- Galexia แนะนำให้สหภาพยุโรปเจรจาข้อตกลง Safe Harbor ใหม่ ให้คำเตือนแก่ผู้บริโภคในสหภาพยุโรป และพิจารณาทบทวนรายการทั้งหมดอย่างครอบคลุม พวกเขาแนะนำให้สหรัฐอเมริกาตรวจสอบองค์กรหลายร้อยแห่งที่ทำการกล่าวอ้างเท็จแก้ไขคำแถลงเกี่ยวกับจำนวนผู้เข้าร่วม ยกเลิกการใช้เครื่องหมายรับรอง Safe Harbor ตรวจสอบการใช้โลโก้ของกระทรวงโดยไม่ได้รับอนุญาตและทำให้เข้าใจผิด และระงับสมาชิกภาพขององค์กรโดยอัตโนมัติหากไม่ต่ออายุการรับรอง Safe Harbor [ 21 ]
ขอบเขตของกฎหมาย Patriot Act
ในเดือนมิถุนายน พ.ศ. 2554 กอร์ดอน เฟรเซอร์กรรมการผู้จัดการของMicrosoft UK กล่าวว่า " ข้อมูลบนคลาวด์ไม่ว่าจะอยู่ที่ใดในโลก ก็ไม่ได้รับการคุ้มครองจากกฎหมาย Patriot Act " [ 22 ]
เนเธอร์แลนด์ได้ตัดผู้ให้บริการคลาวด์ของสหรัฐฯ ออกจากสัญญาของรัฐบาลเนเธอร์แลนด์ทันที และยังพิจารณาที่จะห้ามสัญญาคลาวด์ที่ให้บริการโดย Microsoft และ Google อีกด้วย บริษัทสาขาของComputer Sciences Corporation (CSC) ซึ่งตั้งอยู่ในสหรัฐอเมริกา ดำเนินการบันทึกสุขภาพอิเล็กทรอนิกส์ของระบบบริการสุขภาพแห่งชาติของเนเธอร์แลนด์ และเตือนว่า หาก CSC ไม่สามารถรับรองได้ว่าจะไม่ตกอยู่ภายใต้กฎหมาย Patriot Act บริษัทจะยุติสัญญา[ 23 ]
หนึ่งปีต่อมาในปี 2012 เอกสารวิจัยทางกฎหมายสนับสนุนแนวคิดที่ว่ากฎหมาย Patriot Act อนุญาตให้หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ หลีกเลี่ยงกฎหมายความเป็นส่วนตัวของยุโรปได้[ 23 ]
ข้อร้องเรียนของประชาชนเกี่ยวกับความปลอดภัยของข้อมูลบน Facebook
ในเดือนตุลาคม พ.ศ. 2558 ศาลยุโรป (ECJ) ตอบสนองต่อการส่งเรื่องจากศาลสูงแห่งไอร์แลนด์ที่เกี่ยวข้องกับคำร้องเรียนจากพลเมืองชาวออสเตรียMaximillian Schremsเกี่ยวกับ การประมวลผลข้อมูลส่วนบุคคลของเขาโดย Facebookจากบริษัทสาขาในไอร์แลนด์ไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกา Schrems ร้องเรียนว่า "จากการเปิดเผยในปี พ.ศ. 2556 โดยEdward Snowdenเกี่ยวกับกิจกรรมของหน่วยข่าวกรองของสหรัฐอเมริกา (โดยเฉพาะอย่างยิ่งสำนักงานความมั่นคงแห่งชาติ ) กฎหมายและแนวปฏิบัติของสหรัฐอเมริกาไม่ได้ให้การคุ้มครองที่เพียงพอต่อการสอดแนมโดยหน่วยงานของรัฐ" ศาลยุโรป (ECJ) ตัดสินว่าหลักการ Safe Harbor เป็นโมฆะ เนื่องจากไม่ได้กำหนดให้ องค์กร ทั้งหมดที่มีสิทธิ์ทำงานกับข้อมูลที่เกี่ยวข้องกับความเป็นส่วนตัวของสหภาพยุโรปต้องปฏิบัติตาม จึงให้การรับประกันที่ไม่เพียงพอ หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาสามารถใช้ข้อมูลส่วนบุคคลภายใต้กฎหมายของสหรัฐอเมริกาได้ แต่ไม่จำเป็นต้องเลือกเข้าร่วม ศาลตัดสินว่าบริษัทที่เลือกเข้าร่วม "ต้องเพิกเฉยต่อกฎการคุ้มครองที่กำหนดไว้โดยโครงการนั้นโดยไม่มีข้อจำกัด หากกฎเหล่านั้นขัดแย้งกับความมั่นคงของชาติ ผลประโยชน์สาธารณะ และข้อกำหนดในการบังคับใช้กฎหมาย" [ 1 ]
ตามกฎของสหภาพยุโรปสำหรับการส่งเรื่องไปยังศาลยุโรปเพื่อขอคำวินิจฉัยเบื้องต้นคณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์จึงต้อง "ตรวจสอบกรณีของนาย Schrems 'ด้วยความรอบคอบ' และ ... ตัดสินใจว่า ... ควรระงับการถ่ายโอนข้อมูลส่วนบุคคลของผู้สมัครสมาชิก Facebook ในยุโรปไปยังสหรัฐอเมริกาหรือไม่" [ 1 ]หน่วยงานกำกับดูแลของสหภาพยุโรปกล่าวว่า หากศาลยุโรปและสหรัฐอเมริกาไม่เจรจาระบบใหม่ภายในสามเดือน ธุรกิจต่างๆ อาจเผชิญกับการดำเนินการจากหน่วยงานกำกับดูแลความเป็นส่วนตัวของยุโรป เมื่อวันที่ 29 ตุลาคม 2558 ข้อตกลง "Safe Harbor 2.0" ฉบับใหม่ดูเหมือนจะใกล้เสร็จสมบูรณ์[ 24 ]อย่างไรก็ตาม คณะกรรมาธิการ Jourova คาดว่าสหรัฐอเมริกาจะดำเนินการต่อไป[ 25 ]องค์กรพัฒนาเอกชนของอเมริกาได้ขยายความสำคัญของการตัดสินใจอย่างรวดเร็ว[ 26 ]
การตอบสนองต่อข้อตกลงคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐอเมริกา
Jan Philipp Albrecht สมาชิกสภา ผู้แทนราษฎร ยุโรปชาวเยอรมันและMax Schrems นักรณรงค์ ได้วิพากษ์วิจารณ์คำตัดสินใหม่ โดย Schrems คาดการณ์ว่าคณะกรรมาธิการอาจจะ "เดินทางไปกลับลักเซมเบิร์ก" (ซึ่งเป็นที่ตั้งของศาลยุติธรรมแห่งยุโรป) [ 27 ] Vera Jourova กรรมาธิการด้านผู้บริโภคของสหภาพยุโรป แสดงความมั่นใจว่าจะบรรลุข้อตกลงได้ภายในสิ้นเดือนกุมภาพันธ์[ 28 ]ชาวยุโรปจำนวนมากเรียกร้องกลไกสำหรับพลเมืองยุโรปแต่ละคนในการยื่นเรื่องร้องเรียนเกี่ยวกับการใช้ข้อมูลของตน รวมถึงโครงการความโปร่งใสเพื่อให้แน่ใจว่าข้อมูลของพลเมืองยุโรปจะไม่ตกไปอยู่ในมือของหน่วยงานข่าวกรองของสหรัฐฯ[ 29 ]คณะทำงานมาตรา 29ได้รับข้อเรียกร้องนี้ และระบุว่าจะเลื่อนออกไปอีกหนึ่งเดือนจนถึงเดือนมีนาคม 2016 เพื่อตัดสินใจเกี่ยวกับผลที่ตามมาของข้อเสนอใหม่ของกรรมาธิการ Jourova [ 30 ] Paul Nemitz ผู้อำนวยการคณะกรรมาธิการยุโรปด้านสิทธิขั้นพื้นฐาน กล่าวในการประชุมที่บรัสเซลส์ในเดือนมกราคมว่าคณะกรรมาธิการจะตัดสินใจเกี่ยวกับ "ความเพียงพอ" ของการคุ้มครองข้อมูลอย่างไร[ 31 ] หนังสือพิมพ์ The Economistคาดการณ์ว่า "เมื่อคณะกรรมาธิการได้ออก 'การตัดสินใจเรื่องความเพียงพอ' ที่เข้มงวดขึ้นแล้ว ศาลยุโรปจะล้มล้างได้ยากขึ้น" [ 32 ]โจ แมคนามี นักเคลื่อนไหวเพื่อความเป็นส่วนตัว สรุปสถานการณ์โดยสังเกตว่าคณะกรรมาธิการได้ประกาศข้อตกลงก่อนกำหนด จึงทำให้สูญเสียสิทธิ์ในการเจรจา[ 33 ]ในขณะเดียวกัน การท้าทายทางศาลครั้งแรกในเยอรมนีได้เริ่มต้นขึ้นแล้ว: ในเดือนกุมภาพันธ์ 2016 หน่วยงานคุ้มครองข้อมูล ของฮัมบูร์กกำลังเตรียมที่จะปรับบริษัทสามแห่งฐานใช้ Safe Harbor เป็นพื้นฐานทางกฎหมายสำหรับการถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก และอีกสองบริษัทอยู่ระหว่างการสอบสวน[ 34 ]จากอีกด้านหนึ่ง ดูเหมือนว่าปฏิกิริยาจะเกิดขึ้นในไม่ช้า[ 35 ]
เมื่อวันที่ 25 มีนาคม 2021 คณะกรรมาธิการยุโรปและรัฐมนตรีว่าการกระทรวงพาณิชย์ของสหรัฐฯ รายงานว่ามีการ "เจรจาอย่างเข้มข้น" [ 36 ]การหารือยังคงดำเนินต่อไปในการประชุมสุดยอด EU-USที่กรุงบรัสเซลส์ในเดือนมิถุนายน 2021 [ 37 ]
ดูเพิ่มเติม
- กฎระเบียบขององค์กรที่มีผลผูกพัน
- พระราชบัญญัติคุ้มครองความเป็นส่วนตัวในการสื่อสารทางอิเล็กทรอนิกส์
- หลักการปฏิบัติข้อมูลที่เป็นธรรม (Fair Information Practice Principles หรือ FIPPs) ของสหรัฐอเมริกา
- ระเบียบการคุ้มครองข้อมูลทั่วไป
- ความเสี่ยงด้านไอที
- ความเป็นส่วนตัว
- ท่าเรือที่ปลอดภัย
- พระราชบัญญัติการสื่อสารที่จัดเก็บไว้
- การประเมินผลกระทบด้านความเป็นส่วนตัว
- กรอบการคุ้มครองข้อมูลส่วนบุคคลข้ามมหาสมุทรแอตแลนติก
อ่านเพิ่มเติม
ลิงก์ภายนอก
- เว็บไซต์อย่างเป็นทางการของข้อตกลง Safe Harbor Arrangement ในสหรัฐอเมริกา
- "เอกสารกรอบความร่วมมือด้านการคุ้มครองสิทธิพลเมืองระหว่างสหรัฐฯ และสหภาพยุโรป"รัฐบาลสหรัฐฯ เก็บถาวรจากต้นฉบับเมื่อวันที่ 5 เมษายน 2558
- รายชื่อเขตปลอดภัยระหว่างสหรัฐฯ และสหภาพยุโรป , คณะกรรมการการค้าแห่งสหรัฐฯ, ไม่ระบุวันที่, สืบค้นเมื่อ 30 ตุลาคม 2558
- โครงการข้อมูลเปิดที่รวบรวมรายชื่อบริษัทที่ได้รับการคุ้มครองตามหลักเกณฑ์ Safe Harbor จากเว็บไซต์ของ FTC รวมถึงข้อมูลที่ล้าสมัยซึ่งจะถูกเขียนทับในเว็บไซต์ของ FTC ทำให้สามารถติดตามการเปลี่ยนแปลงของการยื่นเอกสารได้ตลอดเวลา