Free Consultant
EU database right and data protection กับการอนุญาโตตุลาการ
การปกป้องข้อมูลในสหภาพยุโรปนั้นเป็นไปตามระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป หรือ The General Data Protection Regulation (GDPR) เป็นกฎระเบียบของสหภาพยุโรปที่ออกมาคุ้มครองประชาชนในกลุ่มสหภาพยุโรป ทั้งนี้เนื่องมาจากในโลกยุคดิจิตอลนี้ ความเป็นส่วนตัวและข้อมูลส่วนบุคคลถูกล่วงละเมิดได้ง่ายและมากขึ้น โดย GDPR นี้เป็นการคุ้มครองข้อมูลของประชาชนที่อาศัยอยู่ในสหภาพยุโรปเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลนั้นจะเป็นถูกเก็บเป็นความลับ เช่น ข้อมูลส่วนตัวของพลเมืองสหภาพยุโรป (Personal Data) จะต้องถูกจัดเก็บและนำไปใช้งานอย่างถูกกฎหมาย อย่างโปร่งใสโดยมีวัตถุประสงค์การใช้งานที่ชัดเจนและเฉพาะเจาะจง
ความสำคัญของกฎหมายฉบับนี้การขอรับความยินยอมจากเจ้าของข้อมูลในการที่จะเก็บข้อมูลส่วนบุคคล โดยจะต้องขออนุญาตเจ้าของข้อมูลก่อนที่จะนำข้อมูลนั้นไปใช้ และเจ้าของข้อมูลนั้นก็สามารถมั่นใจได้ว่าข้อมูลที่ให้ไปนั้นจะถูกเก็บเป็นความลับ นอกเหนือไปจากนี้ GDPR ยังทำให้ประชากรใน EU รับรู้ถึงข้อมูลที่ได้จัดเก็บมากยิ่งขึ้น สามารถป้องกันไม่ให้ข้อมูลนั้นถูกนำไปใช้นอกเหนือจากวัตถุประสงค์ อีกทั้งเจ้าของข้อมูลยังรู้ได้ว่า ข้อมูลที่ถูกจัดเก็บนั้นถูกนำไปใช้ทำอะไร ซึ่งกฎหมายนี้มีผลกระทบต่อการเปลี่ยนแปลงข้อตกลงของบริษัทต่าง ๆ ในการจัดเก็บข้อมูล ซึ่งไม่ใช่เพียงแค่บริษัทในทางไอทีเท่านั้น แต่รวมถึงบริษัทที่มีการเก็บข้อมูลของบุคคล เช่น บริษัทขายประกัน ธนาคาร โรงแรม หรือบริการด้านสุขภาพต่าง ๆ อีกด้วย
คำสั่งบังคับใช้กฎหมายนี้เป็นการคุ้มครองข้อมูลและกฎอื่น ๆ ที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล กฎหมายนี้มีผลบังคับใช้แล้วเมื่อวันที่ 25 พฤษภาคม 2018 โดยมีผลบังคับในประเทศในเครือสหภาพยุโรปทั้งหมด โดยมีการนิยามข้อมูลข้ามพรมแดนอย่างชัดเจน ซึ่งหมายความว่า GDPR นี้บังคับใช้ทุกหน่วยงานที่มีการเก็บข้อมูลและประมวลผลข้อมูลส่วนบุคคลที่อยู่ในกลุ่มประเทศสหภาพยุโรปทั้งหมด ไม่ว่าหน่วยงานนั้นจะตั้งอยู่ที่ไหนก็ตาม ดังนั้น GDPR จะใช้บังคับกับการควบคุมข้อมูลและประมวลผลข้อมูลในกลุ่ม EU ไม่ว่าการเก็บข้อมูลหรือการประมวลผลนั้นจะทำนอกเหนือประเทศกลุ่ม EU ก็ตาม
หากเกิดการรั่วไหลของข้อมูลหรือข้อมูลเกิดความเสียหายนั้น องค์กรที่ไม่ปฏิบัติตามข้อกำหนดจะต้องถูกปรับเป็นจำนวนเงินถึง 20 ล้านยูโร หรือ 2%-4% ของรายได้ต่อปีขึ้นอยู่กับว่าวงเงินใดสูงกว่า[1] ซึ่งการละเมิดข้อมูลดังกล่าวนี้เช่น การไม่บันทึกข้อมูลอย่างเป็นระบบ หรือการไม่แจ้งเจ้าของข้อมูลเมื่อเกิดเหตุรั่วไหล เป็นต้น
การคุ้มครองภายใต้ GDPR
ความโปร่งใสและการเข้าถึงข้อมูล
การประมวลผลข้อมูลส่วนบุคคลใด ๆ ควรถูกกฎหมายและยุติธรรมและมีความโปร่งใสต่อบุคคลธรรมดาที่ถูกเก็บรวบรวมข้อมูล ซึ่งหลักการของความโปร่งใสกำหนดให้ข้อมูลและการสื่อสารใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลเหล่านั้นสามารถเข้าถึงได้ง่ายและเข้าใจง่าย และใช้ภาษาที่ชัดเจนและเข้าใจง่ายตามข้อ (39) ทั้งนี้เจ้าของข้อมูลมีสิทธิ์ที่ได้รับรู้ว่า ข้อมูลของตนนั้นมีการประมวลผลหรือไม่ ที่ไหน อย่างไร และมีวัตถุประสงค์อย่างไร อีกทั้งเมื่อมีการร้องขอผู้ควบคุมจะต้องจัดเตรียมสำเนาของข้อมูลส่วนบุคคลที่กำลังดำเนินการ สำหรับสำเนาเพิ่มเติมใด ๆ ที่เจ้าของข้อมูลร้องขอในรูปแบบอิเล็กโทรนิกส์[2]
นอกเหนือไปจากนี้ เจ้าของข้อมูลมีสิทธิที่จะมีข้อมูลส่วนบุคคลที่เกี่ยวข้องที่ผู้ให้ข้อมูลได้ให้ความยินยอมไป และมี ‘สิทธิที่จะถูกลืม’ หรือ ‘right to be forgotten’ รวมไปถึงโดยเฉพาะอย่างยิ่ง เจ้าของข้อมูลควรมีสิทธิที่จะลบข้อมูลส่วนบุคคลของตนและไม่ได้รับการประมวลผลอีกต่อไปอีกด้วยหรือที่เรียกว่า ‘the right to erasure’
สิทธิที่จะได้รับแจ้งเมื่อข้อมูลถูกล่วงละเมิด หรือ Breach Notification
ตามข้อ (85) และ (86) ของ GDPR นั้น ทันทีที่ผู้ควบคุมข้อมูลทราบว่ามีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ผู้ควบคุมควรแจ้งการละเมิดข้อมูลส่วนบุคคลไปยังหน่วยงานกำกับดูแลโดยไม่ชักช้า และหากเป็นไปได้ ไม่เกิน 72 ชั่วโมงหลังจากรับทราบ เว้นแต่ ผู้ควบคุมสามารถแสดงให้เห็นตามหลักความรับผิดชอบว่าการละเมิดข้อมูลส่วนบุคคลไม่น่าจะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา ซึ่งการละเมิดข้อมูลส่วนบุคคลนั้นได้แก่ การสูญเสียการควบคุมข้อมูลส่วนบุคคล หรือการจำกัดสิทธิ์ การเลือกปฏิบัติ การโจรกรรมข้อมูลประจำตัว หรือการฉ้อโกง การสูญเสียทางการเงิน การเปลี่ยนนามแฝงโดยไม่ได้รับอนุญาต ความเสียหายต่อชื่อเสียง การสูญเสียความลับของข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดยความลับของมืออาชีพ หรือความเสียเปรียบทางเศรษฐกิจหรือสังคมที่สำคัญอื่น ๆ ต่อบุคคลธรรมดาที่เกี่ยวข้อง เป็นต้น ทั้งนี้ ผู้ควบคุมควรบอกกล่าวกับเจ้าของข้อมูลส่วนบุคคลเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลโดยไม่ชักช้า โดยที่การละเมิดข้อมูลส่วนบุคคลนั้นมีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดาเพื่อให้บุคคลนั้นดำเนินการตามความจำเป็น
สิทธิอื่น ๆ
ผู้ให้ข้อมูลมีสิทธิที่จะได้รับข้อมูลเกี่ยวกับตนเองหรือ Data Portability ตามข้อ (73) ในรูปแบบที่สามารถใช้งานได้ รวมไปถึงสิทธิที่จะได้รับการคุ้มครองตั้งแต่ต้น ซึ่งเป็นการกำหนดให้มีการวางระบบเพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ต้น ไม่ใช่เพิ่มเติมขึ้นภายหลัง โดยต้องมีการคำนึงประสิทธิภาพและให้เป็นไปตามข้อกำหนดและการรักษาข้อมูลส่วนบุคคล โดยต้องเป็นการเก็บข้อมูลเท่าที่จำเป็นในการใช้งานเท่านั้น อีกทั้งยังมีการจัดตั้ง Data Protection Authorities (DPA) เพื่อควบคุมข้อมูลด้วย
ข่าว/บทความที่เกี่ยวข้อง
GDPR และการอนุญาโตตุลาการ
GDPR นั้นครอบคลุมผู้ดูแลข้อมูลทั้งหมดที่มีสถานประกอบการในสหภาพยุโรปหรือที่กำหนดเป้าหมายเจ้าของข้อมูลในสหภาพยุโรป รวมถึงคู่กรณี ที่ปรึกษา สถาบันอนุญาโตตุลาการ สมาชิกของคณะอนุญาโตตุลาการ ผู้เชี่ยวชาญ และผู้ขาย ซึ่งแต่ละคนมีความรับผิดต่อการปฏิบัติตาม GDPR นอกจากนี้ คำจำกัดความที่กว้างโดยเจตนาของสิ่งที่ประกอบขึ้นเป็นทั้งข้อมูลส่วนบุคคลและการประมวลผลข้อมูล หมายความว่ากิจกรรมอนุญาโตตุลาการทั้งหมดที่เกี่ยวข้องกับข้อมูลที่ระบุตัวบุคคลหรือสามารถระบุตัวบุคคลได้นั้นมีแนวโน้มที่จะถูกควบคุมโดย GDPR ทั้งนี้รวมถึงรวมถึงหลักฐาน เช่น อีเมล สัญญา ห้องปฏิบัติการ สมุดบันทึก บันทึกการก่อสร้าง คำให้การของพยาน รายงานของผู้เชี่ยวชาญ และรวมไปถึงคำชี้ขาดอนุญาโตตุลาการเองด้วย
ทั้งนี้ เนื่องมาจาก GDPR ห้ามมิให้ประมวลผลข้อมูลส่วนบุคคลและการถ่ายโอนข้อมูลออกนอกสหภาพยุโรป รวมทั้งในระหว่างการอนุญาโตตุลาการ ยกเว้นภายใต้เงื่อนไขที่จำกัดบางประการ เมื่ออนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคล จะต้องดำเนินการในลักษณะที่ถูกต้องตามกฎหมาย ยุติธรรมและโปร่งใส ต้องมีการลดข้อมูลให้น้อยที่สุดและมีมาตรการรักษาความปลอดภัยทางไซเบอร์ที่เพียงพอ และการเก็บรักษาข้อมูลจะถูกจำกัด GDPR ยังให้สิทธิ์ที่สำคัญอื่น ๆ แก่เจ้าของข้อมูล ซึ่งรวมถึงใครก็ตามที่สามารถระบุตัวตนได้จากเอกสารหรือหลักฐาน รวมถึงสิทธิ์ในข้อมูลที่โปร่งใส ซึ่งอาจรวมถึงประกาศเกี่ยวกับความเป็นส่วนตัวของข้อมูล และในการตรวจสอบและแก้ไขข้อมูลและอื่น ๆ
อย่างไรก็ดี สถาบันอนุญาโตตุลาการได้ปรับปรุงในช่วงที่ผ่านมา โดยรวมไปถึงการปรับปรุงคำปรึกษาและแก้ไขปัญหาการปกป้องข้อมูลตั้งแต่แรก
คู่พิพาทของกระบวนการอนุญาโตตุลาการระหว่างประเทศ ทนายความ สมาชิกของคณะอนุญาโตตุลาการ และสถาบันอนุญาโตตุลาการ มีภาระหน้าที่ในการปกป้องข้อมูลจำนวนมาก ซึ่งอาจแข่งขันและทับซ้อนกัน ทำให้เกิดกรอบการปฏิบัติตามข้อกำหนดที่ซับซ้อน โดยเฉพาะอย่างยิ่งในข้อพิพาทที่มักเกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก เช่น การก่อสร้างขนาดใหญ่ ข้อพิพาทด้านเทคโนโลยีและข้อมูลดิจิทัล
ดังนั้น ศาลและสถาบันอนุญาโตตุลาการ จะต้องรับรองการปฏิบัติตาม GDPR ตามที่ดำเนินการในเขตอำนาจศาลแต่ละแห่ง และปกป้องสิทธิการเข้าถึงโดยสมบูรณ์ตามคำร้องขอจากบุคคลในข้อมูลส่วนบุคคลที่มีอยู่และสิทธิ์ของเจ้าของข้อมูล
GDPR ยังก่อให้เกิดความท้าทายสำหรับสถาบันอนุญาโตตุลาการที่เก็บฐานข้อมูลเกี่ยวกับคดีและอนุญาโตตุลาการ อาจเป็นไปได้ว่าอนุญาโตตุลาการที่ถูกคัดค้านอาจขอเข้าถึงข้อมูลของสถาบันหลังจากการคัดค้าน หรืออาจขอดูข้อมูลของบริษัทของคู่ความเพื่อยืนยันถึงเหตุผลในการถูกกัดค้านได้
ดังนั้น การอนุญาโตตุลาการจึงต้องนำ GDPR ไปใช้กับกรอบกฎหมายพื้นฐานที่ควบคุมอนุญาโตตุลาการทางการค้าอย่างรอบคอบ และการแต่งตั้งผู้มีอำนาจเพื่อให้มีคุณสมบัติเป็นผู้ควบคุมข้อมูล เช่น เป็นผู้กำหนดวัตถุประสงค์ และวิธีการประมวลผลข้อมูลส่วนบุคคล ซึ่ง GDPR นี้ก่อให้เกิดภาระหน้าที่ในการกำกับดูแลข้อมูลจำนวนมากภายใต้ GDPR ซึ่งรวมถึงแต่ไม่จำกัดเพียง:
- แจ้งเจ้าของข้อมูลที่เกี่ยวข้องเกี่ยวกับการประมวลผล (ผ่านเอกสาร เช่น ประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายความเป็นส่วนตัว – มาตรา 12-14 ของ GDPR)
- ความสามารถในการจัดการคำขอสำหรับการใช้สิทธิ์ของเจ้าของข้อมูล (มาตรา 15-22 ของ GDPR)
- ควบคุมความสัมพันธ์กับโปรเซสเซอร์ที่พวกเขาอาจใช้อย่างเหมาะสม (เช่น ผู้ให้บริการคลาวด์ นักแปล นักบัญชี ฯลฯ – มาตรา 28 ของ GDPR)
- การเก็บบันทึกกิจกรรมการประมวลผล (มาตรา 30 ของ GDPR); และ
- การใช้มาตรการที่เหมาะสมสำหรับการรับรองความปลอดภัยของข้อมูลส่วนบุคคลที่ประมวลผล (มาตรา 32 ของ GDPR) เป็นต้น
ดังนั้น อนุญาโตตุลาการและสถาบันอนุญาโตตุลาการควรพิจารณาทำข้อตกลงร่วมกันเพื่อควบคุมประเด็นว่าจะมีการปกป้องข้อมูลภายในศาลอย่างไร ข้อตกลงนี้สามารถใช้เป็นหลักฐานเชิงเอกสารและพิสูจน์ว่าเป็นไปตามข้อกำหนดของ GDPR และจะช่วยให้อนุญาโตตุลาการที่ทำหน้าที่เป็นผู้ควบคุมสามารถแสดงให้เห็นถึงการปฏิบัติตามหลักการของ GDPR ข้อตกลงควรมีการควบคุมขั้นต่ำในด้านต่างๆ เช่น:
- ข้อมูลส่วนบุคคลใดที่จะถูกรวบรวมและประมวลผล
- ประเภทของข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล;
- เพื่อวัตถุประสงค์ใดและด้วยเหตุผลทางกฎหมายใดภายใต้ GDPR ซึ่งข้อมูลจะได้รับการประมวลผล
- ระยะเวลาการเก็บรักษาและขอบเขตของการประมวลผล
- หน้าที่ความรับผิดชอบหลักของอนุญาโตตุลาการและสถาบันในฐานะผู้ควบคุมจะเป็นอย่างไร
ในเดือนมีนาคม 2020 เนติบัณฑิตยสภาระหว่างประเทศ (International Bar Association (IBA) และสภาระหว่างประเทศเพื่อการอนุญาโตตุลาการทางการค้า ( International Council for Commercial Arbitration ICCA) ได้ออก ร่างแผนงาน ICCA-IBA สู่การคุ้มครองข้อมูลในอนุญาโตตุลาการระหว่างประเทศ the Draft ICCA-IBA Roadmap to Data Protection in International Arbitration ซึ่งเวอร์ชั่นสุดท้ายจะถูกเผยแพร่อย่างเป็นทางการในเดือนกันยายน ซึ่งRoadmap นี้เน้นหลักการคุ้มครองข้อมูลทั่วไป และการปฏิบัติตามการคุ้มครองข้อมูลในการอนุญาโตตุลาการระหว่างประเทศภายใต้หลักการคุ้มครองข้อมูลทั่วไปมากกว่าที่จะกล่าวถึงกฎหมายของเขตอำนาจศาลเฉพาะ ซึ่งจุดมุ่งหมายของแผนงานนี้คือการช่วยให้อนุญาโตตุลาการสามารถระบุและแก้ไขปัญหาการปกป้องข้อมูลได้อย่างมีประสิทธิภาพในบริบทของกระบวนการอนุญาโตตุลาการโดยเป็นไปตามข้อกำหนดของ GDPR
ที่มา:
- https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf
- https://www.natlawreview.com/article/data-protection-obligations-international-arbitration
- https://www.garrigues.com/en_GB/new/protecting-personal-data-under-gdpr-arbitration
- http://arbitrationblog.kluwerarbitration.com/2019/09/07/gdpr-issues-in-commercial-arbitration-and-how-to-mitigate-them/
- http://arbitrationblog.kluwerarbitration.com/2020/02/19/how-do-you-deal-with-data-protection-and-cybersecurity-issues-in-a-procedural-order/
- https://core.ac.uk/download/pdf/216957864.pdf
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679#d1e6408-1-1
- https://digital-strategy.ec.europa.eu/en/policies/protection-databases
- https://europa.eu/youreurope/business/running-business/intellectual-property/database-protection/index_en.htm
- https://ilaw.or.th/node/4800
