การยอมรับแนวคิดของความเป็นส่วนตัว (Privacy) เกิดขึ้นมานาน เช่น ในพระคัมภีร์ไบเบิลได้มีเนื้อความบางส่วนที่กล่าวถึงความเป็นส่วนตัว หรือในกฎหมายของชาวยิว (Jewish law) ชนชาติกรีก (Classical Greece) หรือจีน (ancient China) ก็ได้ยอมรับแนวคิดของความเป็นส่วนตัวไว้เช่นกัน แต่แนวคิดที่เป็นรูปธรรมเกี่ยวกับความเป็นส่วนตัวที่มีการอ้างอิงถึงอย่างแพร่หลาย คือ แนวคิดความเป็นส่วนตัวในประเทศสหรัฐฯ โดยปรากฎในบทความทางวิชาการของทนายความ Samuel D. Warren และผู้พิพากษา Louis D. Brandeis ในปี ค.ศ. 1890 ซึ่งได้อธิบายว่า ความเป็นส่วนตัว หมายถึง สิทธิที่จะอยู่โดยลำพัง (the right to be let alone) โดยถือเป็นแนวคิดทางกฎหมายในช่วงแรกเริ่ม
แต่ต่อมาเมื่อเกิดพัฒนาการทางเทคโนโลยีสารสนเทศที่ทำให้การเก็บรักษา การประมวลผล การเผยแพร่หรือกระจายข้อมูลโดยง่าย สะดวก และรวดเร็ว แนวคิดที่ว่าความเป็นส่วนตัวตามความหมายเดิมคือสิทธิที่จะอยู่โดยลำพังไม่เพียงพอ เพราะการละเมิดความเป็นส่วนตัวสามารถทำได้โดยง่ายและรวดเร็วขึ้น ดังนั้น จึงได้มีความพยายามบัญญัติความหมายของคำว่าความเป็นส่วนตัวให้สอดคล้องกับวัฒนธรรม สังคมและเศรษฐกิจยุคใหม่ โดยได้ขยายขอบเขตของแนวคิดความเป็นส่วนตัวให้ครอบคลุมถึงการคุ้มครองข้อมูลส่วนบุคคล (Information Privacy) ความเป็นส่วนตัวในชีวิตร่างกาย (Bodily Privacy) ความเป็นส่วนตัวในการติดต่อสื่อสาร (Communication Privacy) และความเป็นส่วนตัวในเคหสถาน (Territorial Privacy)
พัฒนาการของการคุ้มครองข้อมูลส่วนบุคคล
ความก้าวหน้าในวิทยาการคอมพิวเตอร์และเทคโนโลยีสารสนเทศในช่วงทศวรรษที่ 1970 นำมาซึ่งความสะดวกสบายและความเจริญทั้งทางด้านเศรษฐกิจและสังคม จนกลายเป็นสังคมข้อมูลข่าวสาร (Information Society) แต่อย่างไรก็ตามพัฒนาการด้านเทคโนโลยีดังกล่าวก็ก่อให้เกิดผลในทางลบ เช่น การก่อให้เกิดผลกระทบการใช้ข้อมูลส่วนบุคคลโดยมิชอบ โดยเฉพาะในประเด็นความกังวลเกี่ยวกับการเก็บรักษา การประมวลผล และการเผยแพร่หรือกระจายข้อมูลดังกล่าวโดยมิชอบ เนื่องจากข้อมูลส่วนบุคคลกลายเป็นสิ่งที่มีมูลค่าและมีแนวโน้มเป็นสินค้า (Community) ที่มีการซื้อขายแลกเปลี่ยนกัน
อย่างไรก็ตาม แม้ว่า “ความเป็นส่วนตัว” จะมีหลายประการ แต่ความเป็นส่วนตัวที่นานาประเทศต่างให้ความสำคัญอย่างมากอันเนื่องจากพัฒนาการทาง เทคโนโลยีสารสนเทศที่ก้าวหน้าไปอย่างรวดเร็ว คือ “ความเป็นส่วนตัวในข้อมูลส่วนบุคคล” ทั้งนี้ เพราะพัฒนาการล้ำยุคของคอมพิวเตอร์ส่งผลให้การติดต่อสื่อสารและการเผยแพร่ข้อมูลต่าง ๆ สามารถเคลื่อนย้ายและเชื่อมโยงกันได้โดยไม่จำกัดเวลาและสถานที่อีกต่อไป ทำให้การประมวลผล จัดเก็บ หรือเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว ในทางกลับกันจึงอาจมีการนำประโยชน์ของเทคโนโลยีเหล่านี้ไปใช้โดยละเมิดต่อบุคคลอื่น
ความสนใจในสิทธิส่วนบุคคลเพิ่มมากขึ้นในราวทศวรรษที่ 1960-1970 พร้อม ๆ กับความก้าวหน้าด้านวิทยาการทางเทคโนโลยีสารสนเทศ ในหลายประเทศได้มีการบัญญัติรองรับสิทธิดังกล่าวในกฎหมายรัฐธรรมนูญ กฎหมายฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคลคือกฎหมายของแคว้น Hesse ของเยอรมันนีในปี ค.ศ. 1970 ต่อมาติดตามโดยกฎหมายของประเทศสวีเดน (1973) สหรัฐอเมริกา (1974) เยอร์มันนี (1977) และฝรั่งเศส (1978) ในเวทีระหว่างประเทศนั้น มีเอกสารสองฉบับที่เกี่ยวข้องคือการประมวลข้อมูลส่วนบุคคลโดยอัตโนมัติของสภายุโรปและอนุสัญญาว่าด้วยการคุ้มครองบุคคลเกี่ยวกับแนวปฏิบัติควบคุมการคุ้มครองสิทธิส่วนบุคคลและการไหลเวียนของข้อมูลส่วนบุคคลข้ามพรมแดนขององค์กรความร่วมมือและพัฒนาทางด้านเศรษฐกิจ ซึ่งได้ระบุหลักเกณฑ์ครอบคลุมการจัดการข้อมูลอิเล็กทรอนิกส์ หลักเกณฑ์กลายเป็นหัวใจสหคัญของกฎหมายในหลาย ๆ ประเทศในเวลาต่อมา กล่าวคือหลักเกณฑ์ดังกล่าวอธิบายข้อมูลส่วนบุคคลในฐานะที่เป็นข้อมูลที่ได้รับความคุ้มครองในทุกขั้นตอนตั้งแต่การเก็บรวบรวมไปจนกระทั่งการเก็บรักษาและการเผยแพร่หรือกระจาย นอกจากนี้ ยังรับรองสิทธิของบุคคลในการเข้าถึงและแก้ไขข้อมูลของตนเองไว้ด้วย
หัวใจสำคัญของกฎยุโรปคือความสามารถในการบังคับใช้ได้ กล่าวคือ สหภาพยุโรปกังวลว่าเจ้าของข้อมูลมีสิทธิอย่างชัดเจนตามกฎหมาย แม้ว่าประเทศสมาชิกจะมีคณะกรรมการความเป็นส่วนตัวหรือหน่วยงานที่บังคับใช้กฎหมายความเป็นส่วนตัว กฎหมายนี้จะทำให้ประเทศที่ติดต่อธุรกิจกับประเทศในสหภาพยุโรปในระดับเดียวกันกับสหภาพยุโรป Directive กำหนดพันธกรณีของประเทศสมาชิกเพื่อประกันข้อมูลส่วนบุคคลของประชาชนสหภาพยุโรปที่ครอบคลุมตามกฎหมายหากถูกส่งออกนอกประเทศและมีการประมวลผลในประเทศนอกยุโรป ข้อกำหนดนี้ส่งผลให้เกิดแรงกดดันนอกยุโรปด้วยในการผ่านกฎหมายความเป็นส่วนตัว ประเทศนอกยุโรปที่ปฏิเสธยอมรับกฎหมายความเป็นส่วนตัวอาจไม่สามารถดำเนินกิจกรรมยางประเภทเกี่ยวกับการไหลเวียนข้อมูลภายในสหภาพยุโรป โดยเฉพาะข้อมูลที่มีความอ่อนไหว
Directive ด้านกิจการโทรคมนาคมกำหนดพันธกรณีที่กว้างขวางกับผู้ประกอบกิจการโทรคมนาคมและผู้ให้บริการโทรคมนาคมเพื่อประกันความเป็นส่วนตัวของการสื่อสารของผู้ใช้บริการโทรคมนาคม กฎเกณฑ์ใหม่เหล่านี้จะครอบคลุมตั้งแต่การเข้าถึงใบเรียกเก็บเงิน กิจกรรมการตลาด เทคโนโลยีระบุตัวผู้ใช้บริการต้องรวมทางเลือกสำหรับผู้ที่ต้องการปกปิด ข้อมูลที่จัดเก็บในการส่งการสื่อสารต้องทำลายเมื่อการสื่อสารจบลง
สิทธิความเป็นส่วนตัวเป็นกฎหมายสาขาที่มีการพัฒนาค่อนข้างมากในยุโรป ประเทศสมาชิกสหภาพยุโรปทุกประเทศเป็นภาคีสมาชิกอนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน (the European Convention on Human Rights: ECHR) มาตรา 8 ของ ECHR กำหนดสิทธิในการเคารพชีวิตส่วนบุคคลและครอบครัว บ้านและการติดต่อภายใต้ข้อจำกัด ศาลยุโรปสิทธิมนุษยชน (the European Court of Human Rights) ตีความมาตรานี้กว้างมาก ในปี ค.ศ. 1981 อนุสัญญาคุ้มครองปัจเจกชนเกี่ยวกับการประมวลผลอัตโนมัติของข้อมูลส่วนบุคคลที่เจรจากับสภายุโรป อนุสัญญากำหนดประเทศสมาชิกยกร่างกฎหมายเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติ
สิทธิส่วนบุคคลในประเทศที่พัฒนาแล้วในยุโรป ประเทศสมาชิกสหภาพยุโรปเป็นภาคีสมาชิกอนุสัญญาสิทธิมนุษยชนยุโรป (European Convention on Human Rights: ECHR) ซึ่งในอนุสัญญาสิทธิมนุษยชนยุโรป มาตรา 8 กำหนดว่าสิทธิในการเคารพชีวิตครอบครัวและส่วนตัว ที่บ้านและการติดต่อของบุคคลหนึ่งอยู่ภายใต้ข้อจำกัดบางประการ ศาลมนุษยชนแห่งยุโรปตีความมาตรานี้ค่อนข้างกว้าง ในปี ค.ศ. 1981 อนุสัญญาคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติที่เจรจากับสภาแห่งยุโรป อนุสัญญานี้ผูกพันประเทศสมาชิกในการออกกฎหมายเกี่ยวกับการกระมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติที่หลายประเทศได้ดำเนินการอย่างถูกต้อง
เพื่อให้เข้าใจกฎหมายจำเป็นต้องเข้าใจมุมมองของสหรัฐฯและสหภาพยุโรปเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคลและสิทธิความเป็นส่วนตัวแตกต่างกัน สหรัฐฯ มองว่าแนวทางรายสาขาในแต่ละกฎหมาย โดยอิงการรวมของกฎหมาย กฎ และการกำกับดูแลตนเองมากกว่ากฎของรัฐบาล ในยุครัฐบาลคลินตัน ได้ออกแนวทางสำหรับการพาณิชย์อิเล็กทรอนิกส์ระดับโลกที่ปล่อยให้ภาคเอกชนนำและบริษัทอาจดำเนินการกำกับดูแลตนเองในเรื่องที่เกิดจากเทคโนโลยีอินเทอร์เน็ต ปัจจุบันนี้ สหรัฐฯ ไม่มีกฎสิทธิส่วนตัวเพียงอันเดียวโดยเปรียบเทียบกฎหมายสหภาพยุโรป กฎหมายสิทธิส่วนตัวในสหรัฐฯมีแนวโน้มในการยอมรับหลักเท่าที่จำเป็นในกฎหมายที่เกิดขึ้นในบางสาขาและสภาพการณ์อุตสาหกรรมที่ต้องการ เช่น กฎหมายคุ้มครองวิดีโอ (Video Protection Act of 1988) กฎหมายการแข่งขันและการคุ้มครองผู้บริโภคในกิจการเคเบิ้ลทีวี (Cable Television Consumer Protection and Competition Act of 1992) และกฎหมายรายงานเครดิตที่เป็นธรรม (Fair Credit Reporting Act) ดังนั้น ในบางสาขาอาจสร้างความพึงพอใจกฎหมายของสหภาพยุโรปอย่างน้อยบางส่วน
เหตุผลเบื้องหลังของแนวทางดังกล่าวเกี่ยวกับนโยบายเศรษฐกิจเสรีนิยมของสหรัฐฯที่คุณค่าทางสังคมที่แตกต่างกัน บทบัญญัติแปรครั้งที่หนึ่งได้ประกันสิทธิในการพูด (Right to free speech) ที่เกี่ยวพันกับสิทธิส่วนบุคคล ในขณะที่เสรีภาพในการพูดเป็นสิทธิชัดเจนที่รับรองโดยรัฐธรรมนูญสหรัฐฯ สิทธิส่วนตัวเป็นสิทธิที่รับรองโดยรัฐธรรมนูญโดยนัยที่ตีความโดยศาลสูงสุดของสหรัฐฯ เพราะไม่มีบทบัญญัติใดในรัฐธรรมนูญระบุถึงสิทธิส่วนตัวไว้ แต่สหภาพยุโรปกลับมีแนวคิดและทัศนะคติแตกต่างกัน เพราะยุโรปคุ้นเคยกับอันตรายที่เกิดจากการใช้ข้อมูลส่วนบุคคลจากประสบการณ์ในช่วงสงครามโลกครั้งที่สองและยุคคอมมิวนิสต์ จึงค่อนข้างกังวลในการใช้ข้อมูลส่วนบุคคลโดยมิได้มีการตรวจสอบ ช่วงสงครามโลกครั้งที่สองและยุคสงครามเย็นยุโรปมีการเปิดเผยเชื้อชาติและเผ่าพันธุ์นำไปสู่การประณามอย่างลับ ๆ และยึดที่ส่งเพื่อนและเพื่อบ้านในการทำงาน ยุโรปมีประสบการณ์โดยตรงจากสิทธิส่วนบุคคลและการปล่อยข้อมูลส่วนบุคคลแตกต่างจากสหรัฐฯ ในยุคคอมพิวเตอร์ คุ้มครองข้อมูลส่วนบุคคลสูงมากไม่ไว้วางใจฐานข้อมูลของบริษัทเอกชนและรัฐบาลในยุโรปตัดสินใจที่จะคุ้มครองข้อมูลส่วนบุคคลจากการใช้โดยมิชอบนับตั้งแต่สงครามโลกครั้งที่สองเป็นต้นมา
ในปี ค.ศ. 1980 มีความพยายามสร้างระบบการคุ้มครองข้อมูลส่วนบุคคลให้ครอบคลุมทั่วยุโรป องค์การความร่วมมือและพัฒนาทางเศรษฐกิจ (Organization for Economic Cooperation and Development: OECD) ได้ออกข้อเสนอแนะของสภาว่าด้วยแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการไหลเวียนข้อมูลส่วนบุคคลข้ามพรมแดน (Recommendations of the Council Concerning Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data) โดยปรากฏ 7 หลักการ ดังนี้
• การแจ้ง เจ้าของข้อมูลจะต้องแจ้งหากข้อมูลถูกจัดเก็บรวบรวม
• วัตถุประสงค์ ข้อมูลควรจะต้องใช้เพื่อวัตถุประสงค์ที่ระบุไว้และไม่ใช้เพื่อวัตถุประสงค์อื่น
• เนื้อหา ข้อมูลควรจะไม่มีการเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
• ความปลอดภัย ข้อมูลที่เก็บรวบรวมจะเก็บรักษาจากการใช้โดยมิชอบที่อาจเกิดขึ้น
• การเข้าถึง เจ้าของข้อมูลควรได้รับการเข้าถึงข้อมูลของตนและแก้ไขให้ถูกต้องได้
• ความรับผิดชอบ เจ้าของข้อมูลควรมีวิธีการที่จะเรียกร้องให้ผู้เก็บรวบรวมข้อมูลรับผิดชอบตามหลักการข้างต้น
แนวปฏิบัติ ของ OECD ดังกล่าวไม่ได้ผูกพัน กฎหมายข้อมูลความเป็นส่วนตัวยังคงมีความแตกต่างกันในแต่ละประเทศทั่วยุโรป ในขณะที่สหรัฐฯได้รับหลักปฏิบัติของ OECD แต่ก็มิได้อนุวัติการทางกฎหายแต่ประการใด อย่างไรก็ตามหลักการทั้งเจ็ดได้ถูกบรรจุใน Directive ของสหภาพยุโรป คณะกรรมาธิการสหภาพยุโรปตระหนักว่ากฎหมายของประเทศสมาชิกอาจกีดกันการไหลเวียนของข้อมูลภายในสหภาพยุโรปจึงได้ปรับประสานให้กฎระเบียบการคุ้มครองข้อมูลส่วนบุคคลเป็นหนึ่งเดียวกัน โดยการเสนอร่าง Directive ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
กฎหมายคุ้มครองสิทธิในยุคแรก
ความหมายตาม EU Directive “ข้อมูลส่วนบุคคล (Personal Information)” หมายถึง “ข้อความ (Information) ใด ๆ ที่เกี่ยวกับบุคคลธรรมดา (Natural Person) อันระบุตัว (Identified) หรืออาจระบุตัว (Identifiable) บุคคลนั้นได้ ซึ่งบุคคลที่อาจถูกระบุตัวได้ไม่ว่าโดยตรงหรือโดยอ้อมนี้อาจทำได้โดยการอ้างอิงจากหมายเลขเฉพาะของบุคคล (Identification Number) หรือจากปัจจัยอื่น ๆ ที่มีลักษณะเฉพาะในทางร่างกาย จิตใจ ฐานะทางเศรษฐกิจ เอกลักษณ์ทางวัฒนธรรมและสังคมของบุคคลนั้นเป็นต้น”
ภายใต้แนวทางการคุ้มครองตาม (The EU Directive 95/46/EC) คณะกรรมาธิการ (European Commission) แห่งประชาคมเศรษฐกิจยุโรป (European Economic Community) ได้มีข้อเสนอแนะ (Recommendation) เกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับอนุสัญญาของคณะมนตรีแห่งยุโรป (Commission Recommendation : Relating to the Council of Europe Convention for the Protection of individuals with regard to Automatic Processing of Personal Data) ทั้งนี้ เพื่อประกันสิทธิขั้นพื้นฐานของประชาชน ดังนั้น สหภาพยุโรปจึงได้กำหนดให้ประเทศสมาชิกให้ความคุ้มครองข้อมูลส่วนบุคคลในระดับที่เทียบเท่ากันในยุโรป โดยใช้อนุสัญญาของคณะมนตรีแห่งยุโรปเป็นแนวทางในการยกร่างกฎหมาย ทั้งนี้ เพื่อให้กฎหมายอยู่ในลักษณะเป็นเอกรูปทั่วทั้งยุโรป
Directive ของสหภาพยุโรปได้กำหนดให้รัฐสมาชิกอนุญาตให้มีการประมวลผลข้อมูลส่วนบุคคลภายใต้หลักทั่วไป ดังนี้
(1) ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล
(2) การประมวลผลจะทำได้เท่าที่จำเป็นในการทำนิติกรรมสัญญาใด ๆ ของผู้เป็นเจ้าของข้อมูลเท่านั้น
(3) การประมวลผลจะต้องอยู่ภายใต้กรอบของกฎหมาย
(4) การประมวลผลจะต้องกระทำเพื่อปกป้องผลประโยชน์สำคัญของผู้เป็นเจ้าของข้อมูล
(5) การประมวลผลจำเป็นที่จะต้องกระทำเพื่อผลประโยชน์ของสาธารณะ หรือในการดำเนินงานของหน่วยงานของรัฐที่ได้รับมอบหมายให้เป็นผู้ควบคุมข้อมูล หรือเปิดเผยข้อมูลต่อบุคคลที่สาม
(6) การประมวลผลที่จำเป็นและอยู่ภายใต้กรอบของกฎหมายจะต้องไม่กระทบต่อผลประโยชน์ หรือสิทธิขั้นพื้นฐานของผู้เป็นเจ้าของข้อมูล
นอกจากหลักเกณฑ์ทั่วไปข้างต้น Directive ของสหภาพยุโรปยังได้ให้ความสำคัญเกี่ยวกับความลับและความมั่นคง รวมถึงข้อยกเว้นในการเปิดเผยข้อมูลกรณีที่มิได้นำข้อมูลไปใช้ประโยชน์สาธารณะ แต่นำไปใช้เพื่อประโยชน์ส่วนตัว และกำหนดเกี่ยวกับเรื่องความเสียหายที่เกิดขึ้นต่อ ผู้เป็นเจ้าของข้อมูล เมื่อมีการประมวลผลโดยไม่ชอบด้วยกฎหมาย และการเปิดเผยข้อมูลจะต้องไม่ละเมิดต่อความมั่นคงของรัฐ
โดยทั่วไป Directive มีวัตถุประสงค์หลักสองประการคือ (1) การคุ้มครองข้อมูลส่วนบุคคลโดยประเทศสมาชิกของสหภาพยุโรป และ (2) การปกป้องของข้อจำกัดเกี่ยวกับการไหลเวียนของข้อมูลส่วนบุคคลระหว่างประเทศสมาชิกด้วยเหตุผลการคุ้มครองสิทธิส่วยบุคคล อีกนัยหนึ่ง การจัดตั้งกรอบการกำกับดูแลที่ชัดเจนที่กำหนดมาตรฐานขั้นต่ำเป็นหนึ่งเดียวของการคุ้มครองข้อมูลทั่วสหภาพยุโรป Directive มีวัตถุประสงค์เพื่อประกันในระดับสูงของการคุ้มครองการเป็นสิทธิส่วนบุคคลของแต่ละคนในหมู่ประเทศสมาชิกและการเคลื่อนย้ายข้อมูลส่วนบุคคลโดยอิสระภายในสหภาพยุโรป เพื่อให้สอดคล้องกับวัตถุประสงค์ดังกล่าว Directive ได้รวมพันธกรณีสำหรับผู้ประมวลผลข้อมูลที่ควคบุมการประมวลผลข้อมูลส่วนบุคคล และการปบังคับสิทธิส่วนบุคคลที่ถูกประมวลผลข้อมูลของตน โดยกำหนดหลักการพื้นฐานดังต่อไปนี้
ทั้งนี้ มีหลักการครอบคลุมสี่ความกังวลหลักดังนี้ (1) คุณภาพของข้อมูล (2) การประมวลผลโดยชอบด้วยกฎหมาย (3) สิทธิของเจ้าของข้อมูล และ (4) ความปลอดภัยของข้อมูล โดยในหลักการแรกมีองค์ประกอบหรือเงื่อนไขบังงคับห้าประการคือ
• ความเป็นธรรมและความชอบด้วยกฎหมาย กล่าวคือข้อมูลส่วนบุคคลต้องประมวลผลโดยเป็นธรรมและชอบด้วยกฎหมาย
• ข้อจำกัดในวัตถุประสงค์กล่าวคือข้อมูลส่วนบุคคลต้อจัดเก็บรวบรวมโดยมีวัตถุประสงค์ที่เฉพาะเจาะจง ชัดเจนและขอบด้วยกฎหมายและไม่มีการประมวลผลในทางที่ไม่สอดคล้องกับวัตถุประสงค์ดังกล่าว
• ความเกี่ยวข้องกล่าวคือต้องจัดเก็บหรือทำการประมวลผลข้อมูลส่วนบุคคลต้องเพียงพอ เกี่ยวข้องและไม่มากเกินไปตามวัตถุประสงค์
• ความถูกต้องกล่าวคือข้อมูลส่วนบุคคลต้องถูกต้องและหากจำเป็นต้องปรับปรุงใหทันสมัย ในทุกขั้นตอนอย่างสมเหตุสมผลเพื่อประกันว่าข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์ที่จัดเก็บหรือประมวลไว้จะถูกลบหรือแก้ไขให้ถูกต้อง
• ระยะเวลากล่าวคือข้อมูลส่วนบุคคลต้องเก็บรักษาไว้ในรูปที่อนุญาตให้ระบุตัวเจ้าของข้อมูลไม่นานเกินกว่าความจำเป็นสำหรับวัตถุประสงค์ในการจัดเก็บข้อมูลหรือประมวลผล
หลักการที่สองเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมายมีข้อกำหนดหกประการคือ
• ความยินยอม ข้อมูลส่วนบุคคลอาจได้รับการประมวลผลหากเจ้าของข้อมูลได้ให้ความยินยอมอย่างชัดแจ้ง
• สัญญา ข้อมูลส่วนบุคคลอาจได้รับการประมวลผลหากการประมวลผลจำเป็นเพื่อดำเนินการตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญาหรือเพื่อดำเนินการร้องขอให้เจ้าของข้อมูลทำสัญญา
• พันธกรณีตามกฎหมาย ข้อมูลส่วนบุคคลอาจได้รับการประมวลผลหากการประมวลผลจำเป็นต่อการปฏิบัติการตามพันธกรณีของกฎหมายที่กำกับดูแลผู้ควบคุม
• ผลประโยชน์ที่สำคัญ ข้อมูลส่วนบุคคลอาจได้รับการประมวลหากการประมวลผลจำเป็นเพื่อคุ้มครองผลประโยชน์ของเจ้าของข้อมูล
• ผลประโยชน์สาธารณะ/พนักงานเจ้าหน้าที่ ข้อมูลส่วนบุคคลอาจได้รับการประมวลผลหากการประมวลผลจำเป็นสำหรับการดำเนินงานเพื่อประโยชน์สาธารณะหรือในการใช้อำนาจของพนักงานเจ้าหน้าที่ที่ให้ไว้ต่อผู้ควคบุมข้อมูลหรือต่อบุคคลที่สามที่ข้อมูลได้รับการเปิดเผย
• ผลประโยชน์โดยชอบด้วยกฎหมาย ข้อมูลส่วนบุคคลอาจได้รับการประมวลผหากการประมวลผลจำเป็นเพื่อวัตถุประสงค์โดยชอบด้วยกฎหมายโดยผุ้ควคบุมข้อมูลหรือบุคคลที่สามที่ข้อมูลได้รับการเปิดเผย เว้นแต่ผลประโยชน์ดังกล่าวเหนือกว่าผลประโยชน์หรือสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลที่ได้รับความคุ้มครองตามมาตรา 1(1).
หลักการประการที่สาม เกี่ยวกับสิทธิของเจ้าของข้อมูล บุคคลที่ข้อมูลส่วนบุคคลได้รับการจัดเก็บและส่งต่อ หลักการนี้ประกันสิทธิสามประการคือ
• สิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลทุกคนมีสิทธิได้รับการยืนยันจากผู้ควบคุมข้อมูลว่าข้อมูลที่เกี่ยวข้องกับตนเองได้รับการประมวลผลและข้อมูลที่ประมวลผลแล้วตรงตามวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลที่เกี่ยวข้อง และผู้รับหรือประเภทของผู้รับข้อมูลที่มีการเปิดเผย
• สิทธิในการแก้ไขหรือปกปิดข้อมูล เจ้าของข้อมูลทุกรายมีสิทธิในการแก้ไข ลบ และปกปิดข้อมูลโดยผู้ควคบุมข้อมูลในการประมวลผลที่ไมาสอดคล้องกับบทบัญยติของ Directive โดยเฉพาะอย่างยื่งลักษณะที่ไม่สมบูรณ์หรือถูกต้องของข้อมูล
• สิทธิในการคัดค้าน เจ้าของข้อมูลทุกรายมีสิทธิในการคัดค้านไม่ว่าในเวลาใดโดยเหตุผลชอบด้วยกฎหมายเกี่ยวกับสถานภาพในการประมวลผลข้อมูลที่เกี่ยวกับตน
หลักการประการสุดท้ายเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล Directive กำหนดให้ประเทศสมาชิกดำเนินมาตรการด้านเทคนิคและการจัดการที่เหมาะสมเพื่อคุ้มครองข้อมูลส่วนบุคคลต่อการที่ทำลายโดยบังเอิญหรือไม่ชอบด้วยกฎหมายหรือสูญเสียโดยบังเอิญและการแก้ไขเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงข้อมูลดังกล่าวโดยไม่ได้รับอนุญาต ระดับของความผลอดภัยของข้อมูลที่เหมาะสมจะกำหนดโดยการชั่งน้ำหนักระหว่างลักษณะของข้อมูลกับความเสี่ยงเกี่ยวกับการประมวลผลข้อมูล
Directive กำหนดกลไกเฉพาะหลายกลไกเพื่อช่วยในการดำเนินการตามหลักสิทธิส่วนบุคคล โดยกำหนดให้ประเทศสมาชิกยกร่างกฎหมายตามหลักสี่ประการของ Directive นอกจากนี้ประเทสสมาชิกต้องจัดตั้งหน่วยงานของรัฐเพื่อควบคุมและบังคับใช้กฎหมาย หน่วยงานกำกับดูแลต้องมีความเป็นอิสระและมีอำนาจในการไต่สวนสืบสอบ มีอำนาจในการกำกับดูแลอย่างมีประสิทธิภาพในการประมวลผลและอำนาจในการฟ้องร้องดำเนินคดีต่อศาลหากมีการละเมิดกฎหมาย
Directive อนุญาตให้เจ้าของสิทธิสามารถบังคับใช้กฎหมายได้ โดยสามารถร้องขอต่อศาลเพื่อให้เยียวยากรณีมีการละเมิดกฎหมายข้อมูลส่วนบุคคลและมีสิทธิในการเรียกร้องค่าเสียหาย โทษในการฝ่าฝืนกฎหมายดังกล่าวอาจเป็นค่าปรับเชิงลงโทษ นอกจากนี้ Directive ยังส่งเสริมให้กำหนดประมวลปกิบัติของการกำกับดูแลตนเองของภาคเอกชน หน่วยงานกำกับดูแลของรัฐของประเทศสมาชิกอาจประกาศความเห็ละกำหนดให้สมาคมทางการค้าและองคืกรอื่นให้ปฏิบัติตามกฎหมายและ Directive และ Directive ยังมีหน่วยงานกำกับดูแลการปฏิบัติตามในระดับระหว่างประเทศเพื่อกำกับดูแลประเทศสมาชิก เช่น คณะกรรมาธิการสหภาพยุโรป คณะกรรมการของตัวแทนสหภาพยุโรป และคณะทำงานที่ปรึกษาขององค์กรคุ้มครองข้อมูลส่วนบุคคล โดยองค์กรเหล่านี้จะรับผิดชอบในการติดตามตรวจสอบประเทศสมาชิก เสนอแนะมาตรการในการปฏิบัติตาม และดำเนินการในระดับของการคุ้มครองในสหภาพยุโรปและในประเทศอื่น
ข้อมูลส่วนบุคคลให้คำจำกัดความว่า ข้อมูลใดที่เกี่ยวกับบุคคลธรรมดาที่ระบุตัวได้หรือสามารถระบุตัวได้ บุคคลที่สามารถระบุตัวได้เป็นบุคคลที่สามารถระบุตัวได้ไม่ว่าโดยตรงหรือโดยอ้อม โดยเฉพาะการอ้างอิงเลขหมายประจำตัวหรือมีปัจจัยหนึ่งหรือมากกว่าหนึ่งเฉพาะต่อการระบุทางร่างกาย สุขภาพจิต สติปัญญา เศรษฐกิจ วัฒนธรรม หรือสังคม (มาตรา 2a) นิยามนี้ค่อนข้างกว้างข้อมูลที่เป็นข้อมูลส่วนบุคคลที่บุคคลหนึ่งสามารถเชื่อมโยงไปยังบุคคล แม้ว่าบุคคลที่ยึดถือข้อมูลไม่สามารถเชื่อมโยงได้ ตัวอย่างของข้อมูลส่วนบุคคล เช่น สถานที่อยู่ เลขหมายบัตรเครดิต รายการธนาคาร ประวัติอาชญากรรม เป็นต้น
สำหรับนิยาม การประมวลผล หมายความว่า การดำเนินการหรือกลุ่มของการดำเนินการที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลไม่ว่าจะอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม การบันทึก การจัดเรียง การดัดแปลงหรือปรับปรุง การเรียกเก็บ การให้คำปรึกษาหารือ การใช้ การเปิดเผยโดยการส่ง กระจาย หรือวิธีการอื่นได้ การจัดเรียงหรือรวบรวม การจัดกลุ่ม การลบทิ้งหรือทำลาย (มาตรา 2b)
ความรับผิดชอบของการปฏิบัติการดังกล่าวอิงกับผู้ควบคุมข้อมูล หมายความว่าบุคคลธรรมดาหรือนิติบุคคล หน่วยงานรัฐ หรือองค์กรอื่นใดไม่ว่าลำพังหรือร่วมกันกับผู้อื่นตัดสินใจวัตถุประสงค์และวิธีการของการประมวลผลข้อมูลส่วนบุคคล (มาตรา 2d)
กฎการคุ้มครองข้อมูลส่วนบุคคลไม่ใช้บังคับเฉพาะผู้ควบคุมข้อมูลที่อยู่ในยุโรปเท่านั้น แต่ยังใช้บังคับกับผู้ควบคุมข้อมูลที่ใช้อุปกรณ์ในสหภาพยุโรปเพื่อประมวลผลข้อมูล (มาตรา 4) ผู้ควบคุมข้อมูลนอกสหภาพยุโรปที่ทำการประมวลผลข้อมูลในสหภาพยุโรปจะต้องปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล ในหลักการแล้ว กิจการค้าออน์ไลน์กับประชาชนในสหภาพยุโรปจะต้องประมวลผลข้อมูลส่วนบุคคลและใช้อุปกรณ์ในยุโรปประมวลผล ดังนั้น ผู้ประกอบการเว็บไซต์จะต้องปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล แต่ Directive ดังกล่าวเขียนก่อนยุคอินเทอร์เน็ตจะรุ่งเรืองจึงมีเนื้อหาครอบคลุมน้อย
ความโปร่งใส
เจ้าของข้อมูลมีสิทธิที่จะได้รับแจ้งหากข้อมูลส่วนบุคคลจะถูกประมวลผล ผู้ควบคุมข้อมูลต้องให้ชื่อและที่อยู่ติดต่อ วัตถุประสงค์ของการประมวลผล ผู้รับข้อมูลและข้อมูลต่าง ๆ ที่กำหนดเพื่อประกันว่าการประมวลผลข้อมูลมีความเป็นธรรม (มาตรา 10 และ 11)
ข้อมูลอาจจะต้องประมวลภายใต้สถานการณ์ดังต่อไปนี้เท่านั้น (มาตรา 7)
• หากเจ้าของข้อมูลให้ความยินยอม
• หากการประมวลผลมีความจำเป็นเพื่อดำเนินการหรือเข้าเป็นคู่สัญญา
• หากการประมวลผลจำเป็นเพื่อปฏิบัติตามพันธกรณีตามกฎหมาย
• หากการประมวลผลจำเป็นเพื่อปกป้องผลประโยชน์ที่สำคัญของเจ้าของข้อมูล
• การประมวลผลมีความสำคัญสำหรับการดำเนินการงานที่ทำเพื่อประโยชน์สาธารณะหรือในการใช้อำนาจปกครองที่ให้ไว้แก่ผู้ควบคุมข้อมูลหรือบุคคลที่สามที่มีการเปิดเผยข้อมูล
• การเปิดเผยมีความสำคัญเพื่อวัตถุประสงค์ชอบด้วยกฎหมายที่ดำเนินการโดยผู้ควบคุมข้อมูลหรือโดยบุคคลที่สามที่มีการเปิดเผยข้อมูล เว้นแต่ผลประโยชน์ดังกล่าวถูกหักล้างโดยผลประโยชน์สิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลที่ประมวลผลทั้งหมดเกี่ยววับตัวเอง เจ้าของข้อมูลมีสิทธิเรียกร้องให้แก้ไข ลบทิ้ง หรือกีดกันข้อมูลที่ไม่สมบูรณ์ ไม่ถูกต้อง หรือไม่ได้มีการประมวลผลตามกฎการคุ้มครองข้อมูลส่วนบุคคล (มาตรา 12)
ข้อมูลส่วนบุคคลอาจประมวลผลเพียงเพื่อให้เพียงพอ เกี่ยวข้องและไม่มากเกินไปตามวัตถุประสงค์ที่จัดเก็บข้อมูลและหรือประมวลผลต่อไป ข้อมูลต้องถูกต้องและปรับปรุงให้ทันสมัยเสมอในทุกขั้นตอนที่สมเหตุสมผลเพื่อประกันว่าข้อมูลที่ไม่ถูกต้องหรือไม่สมบูรณ์คำนึงวัตถุประสงค์ที่จัดเก็บหรือประมวลผลต่อไปจะมีการลบทิ้งหรือแก้ไขให้ถูกต้อง ข้อมูลไม่ควรเก็บในรูปที่สามารถระบุตัวเจ้าของข้อมูลได้นานเกินความจำเป็นเพื่อวัตถุประสงค์ของข้อมูลจัดเก็บหรือเพื่อประมวลผลข้อมูลต่อไป ประเทศสมาชิกจะต้องออกมาตรการป้องกันที่เหมาะสมเกี่ยวข้อมูลส่วนบุคคลที่เก็บรักษาไว้นานเพื่อการใช้ทางประวัติศาสตร์ สถิติ หรือทางวิทยาศาสตร์ (มาตรา 6)
หากข้อมูลส่วนบุคคลที่อ่อนไหว เช่น ความเชื่อทางศาสนา ทางการเมือง สุขภาพ เพศ เชื้อชาติ สมาชิกขององค์กรจะถูกประมวลผล อาจต้องมีข้อจำกัดที่เข้มข้นขึ้น (มาตรา 8)
เจ้าของข้อมูลอาจคัดค้านการประมวลผลข้อมูลส่วนบุคคลเวลาใดก็ได้เพื่อวัตถุประสงค์ของการทำการตลาดทางตรง (มาตรา 14)
การตัดสินใจที่ส่งผลทางกฎหมายหรือเจ้าของข้อมูลอาจไม่อิงเพียงการประมวลข้อมูลโดยอัตโนมัติ (มาตรา 15) รูปแบบของการอุทธรณ์ต้องมีหากมีการประมวลผลข้อมูลส่วนบุคคลโดยอัตโนมัติ ประเทศสมาชิกต้องจัดตั้งองค์การกำกับดูแล องค์กรกำกับดูแลอิสระจะตรวจสอบระดับของการคุ้มครองข้อมูลส่วนบุคคลในประเทศสมาชิก โดยให้คำปรึกษาแก่ประเทศสมาชิกเกี่ยวกับมาตรการทางปกครองและการเริ่มกระบวนการทางกฎหมายหากกฎข้อมูลส่วนบุคคลถูกละเมิด (มาตรา 28) บุคคลแต่ละคนอาจร้องเรียนการละเมิดข้อมูลส่วนบุคคลแก่หน่วยงานหรือศาลได้
ผู้ควบคุมข้อมูลต้องแจ้งหน่วยงานกำกับก่อนที่จะเริ่มประมวลผลข้อมูล การแจ้งข้อมูลมีข้อมูลดังต่อไปนี้ (มาตรา 19)
• ชื่อและที่อยู่ของผู้ควบคุมและตัวแทน (ถ้ามี)
• วัตถุประสงค์ของการประมวลผล
• รายละเอียดของประเภทเจ้าของข้อมูลและข้อมูลหรือประเภทของข้อมูลที่เกี่ยวข้อง
• ผู้รับหรือประเภทของผู้รับที่ข้อมูลต้องเปิดเผย
• การโอนย้ายข้อมูลไปยังประเทศที่สาม
• รายละเอียดของมาตรการเพื่อประกันความปลอดภัยของข้อมูล
ข้อมูลจะต้องเก็บรักษาไว้ในงานจดทะเบียนของรัฐ
ประเทศที่สามที่ใช้หมายถึงประเทศนอกสหภาพยุโรป ข้อมูลส่วนบุคคลอาจโอนไปยังประเทศที่สามหากประเทศเช่นว่านั้นให้ความคุ้มครองข้อมูลที่เพียงพอ ข้อยกเว้นหากผู้ควบคุมข้อมูลสามารถประกันว่าผู้รับข้อมูลจะปฏิบัติตามกฎการคุ้มครองข้อมูล
คณะกรรมาธิการสหภาพยุโรปจัดตั้งคณะทำงานว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการประมวลผลข้อมูลส่วยบุคคลหรือนิยมเรียกว่าคณะทำงานตามมาตรา 29 ซึ่งทำหน้าที่ให้คำปรึกษาเกี่ยวกับระดับของการคุ้มครองในสหภาพยุโรปและประเทศที่สาม คณะทำงานดังกล่าวได้เจรจากับผู้แทนของสหรัฐฯเกี่ยวกับมาตรการปกป้องข้อมูล (Safe Harbor Principles) แต่ก็ได้รับการวิจารณ์ว่ามาตรการดังกล่าวมีพันธกรณีน้อยกว่าสำหรับผู้ควบคุมข้อมูลและอนุญาตให้ยกเว้นสิทธิดังกล่าวได้ตามสัญญา
ข้อมูลข่าวสารส่วนบุคคล (Personal Information ) นับเป็นคำที่มีความหมายกว้าง และหลากหลายในกฎหมายระหว่างประเทศและกฎหมายคุ้มครองข้อมูลข่าวสารส่วนบุคคลของต่างประเทศก็มีการให้คำนิยามที่แตกต่างกันไป
การโอนข้อมูลไปยังประเทศที่สาม
ประเทศที่สามเป็นคำที่ใช้ในกฎหมายสหภาพยุโรปในการระบุประเทศนอกสหภาพยุโรป ข้อมูลส่วนบุคคลอาจโอนไปยังประเทศที่สามหากประเทศนั้นให้การคุ้มครองที่เพียงพอ แต่มีข้อยกเว้นบางประการ เช่น หากผู้ควบคุมข้อมูลสามารถประกันว่าผู้รับข้อมูลปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมาธิการสหภาพยุโรปจัดตั้งคณะทำงานการคุ้มครองปัจเจกชนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่นิยมเรียกว่าคณะกรรมการมาตรา 29 คณะกรรมการฯ ให้คำปรึกษาระดับการคุ้มครองในสหภาพยุโรปและประเทศที่สาม ทั้งนี้ คณะกรรมการฯได้เจรจากับประเทศสหรัฐฯเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ผลการเจรจาได้หลักข้อยกเว้นในกรณีที่ไม่ได้ให้ความคุ้มครองที่เพียงพอเพราะอาจให้การคุ้มครองที่น้อยกว่าสำหรับผู้ควบคุมข้อมูลและอนุญาตให้สละสิทธิบางประการตามสัญญาได้
กฎเกณฑ์ที่ออกโดย The Council of Europe และ OECD ได้ส่งผลอย่างมากต่อการยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศต่างๆ ทั่วโลก กล่าวคือ มีเกือบ 30 ประเทศที่ลงนามใน COE Convention และมีอีกหลายประเทศที่กำลังดำเนินการเพื่อเข้าร่วมลงนาม ในขณะที่ OECD Guidelines ก็ได้รับการยอมรับอย่างกว้างขวางโดยมีหลายประเทศได้นำเอา หลักการใน Guidelines ดังกล่าวไปบัญญัติเป็นกฎหมายภายใน ทั้งนี้ รวมถึงประเทศที่มิได้เป็นสมาชิกของ OECD ด้วย
ในปี ค.ศ. 1995 และ 1997 สหภาพยุโรปได้ออกหลักเกณฑ์สองฉบับ ฉบับหนึ่งเรียกว่า “Directive 95/46/EC” และอีกฉบับหนึ่งเรียกว่า “ The Telecommunication Directive” ทั้งนี้ เพื่อผลักดันให้กฎหมายในหมู่ประเทศสมาชิกมีความสอดคล้องกันในการให้หลักประกันที่ดีเพียงพอต่อการคุ้มครองความเป็นส่วนตัวของพลเมืองของสหภาพยุโรป และเพื่อทำให้การ ไหลเวียนของข้อมูลส่วนบุคคลภายในประเทศสมาชิกเป็นไปโดยเสรีปราศจากข้อจำกัดที่เกิดจากความแตกต่างกันของกฎหมายหรือกฎเกณฑ์ต่างๆ
กฎระเบียบเฉพาะสาขาโทรคมนาคม
ในวันที่ 1 ธันวาคม ค.ศ. 1997 ประธานสภายุโรป (the President of the European Council) ได้ลงนามใน EU Directive on the Processing of Personal Data and the Protection of Privacy in the Telecommunications Sector กล่าวคือ Directive กำกับตามประเภทของข้อมูลที่ผู้ประกอบกิจการโทรคมนาคมเก็บรวบรวมจากผู้ใช้บริการและลูกค้าของตนและอาจขยายการคุ้มครองไปยังผู้ใช้บริการที่เป้นบุคคลธรรมดาและนิติบุคคล Directive นี้มีผลกระทบต่อการทำตลาดผ่านระบบโทรศัพท์
การยอมรับกฎหมายคุ้มครองข้อมูลโทรคมนาคมดำเนินการหลายปี ข้อเสนอ Directive ยื่นในปี ค.ศ. 1990 ในเวลาเดียวกับ Directive การคุ้มครองสิทธิส่วนบุคคลกรณีทั่วไป ท่าทีร่วมในปี ค.ศ. 1996 ได้มีการแก้ไขและท้ายที่สุด Directive กลายเป็นกระบวนการเจรจาต่อรองเพราะสภายุโรปไม่ยอมรับบทบัญญัติที่แก้ไขทั้งหมดที่แก้ไขโดยรัฐสภายุโรป ประเด็นสำคัญคือประเทศสมาชิกควรมีดุลพินิจในการเรียกเก็บเงินจากผู้ใช้บริการที่ไม่ประสงค์จะอยู่ในบัญชีรายชื่อ
คณะกรรมการประสานงานได้ยอมรับร่างกฎหมายในวันที่ 4 พฤศจิกายน ค.ศ. 1997 และได้รับการยอมรับจากสภาโทรคมนาคมในวันที่ 1 ธันวาคมและส่งต่อมายังรัฐสภายุโรป เพื่อลงมติรับร่างดังกล่าว ประเทศสมาชิกมีระยะเวลาเพียงสิบเดือนในการอนุวัติการตามกฎหมายดังกล่าวก่อนวันที่ 24 ตุลาคม ค.ศ. 1998 แต่ก็มีการขยายระยะเวลาในการปฏิบัติตามไปอีกสองปีในเรื่องความเชื่อมั่นในการสื่อสาร
ขอบเขตของ Directive ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลในบริการโทรคมนาคมสาธารณะในโครงข่ายสาธารณะ แต่ก็ให้ความสำคัญกับเทคโนโลยี ISDN และโครงข่ายโทรศัพท์เคลื่อนที่ระบบดิจิตอล Directive บังคับใช้กับทุกประเภทของบริการดังกล่าว และโครงข่ายโทรคมนาคมสาธารณะไม่ได้หมายความเฉพาะระบบส่งสัญญาณ (transmission) แต่ยังรวมถึงอุปกรณ์ชุมสายที่ใช้ไม่ว่าทั้งหมดหรือบางส่วนเพื่อให้บริการโทรคมนาคมแก่ประชาชนทั่วไป Directive ไม่ได้ใช้บังคับแก่กิจกรรมที่อยู่นอกกฎหมายสหภาพยุโรป เช่น ความปลอดภัยสาธารณะ การทหาร ความมั่นคงประเทศ และกฎหมายอาญา รวมทั้งการใช้บังคับกับโครงข่ายส่วนบุคคลที่ปิด
Directive มุ่งประสงค์ที่จะปกป้องทั้งสิทธิส่วนบุคคลของบุคคลธรรมดาและผลประโยชน์โดยชอบดด้วยกฎหมายของนิติบุคคล แม้ว่า Directive นี้จะเสริม Data Protection Directive ประเทศสมาชิกไม่ผูกพันในการขยายการใช้บังคับการบังคับใช้บทบัญญัติการคุ้มครองข้อมูลไปยังผลประโยชน์โดยชอบด้วยกฎหมายของนิติบุคคล แต่ Directive ไม่ได้ให้คำจำกัดความว่าอะไรหมายความถึงประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) โดยปล่อยให้ประเทศสมาชิกตีความกันเอง เพื่อประกันความเชื่อมั่นในการสื่อสาร ประเทศสมาชิกต้องห้ามมิให้มีการฟัง การดักฟังหรือบันทึกการสื่อสารโดยปราศจากการอนุญาตโดยชอบด้วยกฎหมาย
นิตินโยบายยุคดิจิทัล
ในเดือนมิถุนายน ค.ศ. 2002 สหภาพยุโรปได้ผ่านกฎหมายใหม่ (ในรูปที่เรียกว่า Directive) ที่กำหนดมาตรฐานทางกฎหมายเกี่ยวกับการจัดการข้อมูลส่วนบุคคลและการคุ้มครองสิทธิส่วนบุคคลในกิจการโทรคมนาคม วัตถุประสงค์ของกฎหมายฉบับนี้คือการปรับปรุงกฎหมายของประเทศสมาชิกในสภาพยุโรปให้สอดคล้องเท่าทันพัฒนาการด้านเทคโนโลยีในกิจการโทรคมนาคมและบริการสื่อสารทางอิเล็กทรอนิกส์และยกระดับการคุ้มครองสิทธิส่วนบุคคลให้เท่าเทียมกับการคุ้มครองข้อมูลส่วนบุคคลโดยไม่คำนึงถึงเทคโนโลยีที่ใช้ในการให้บริการ
เหตุผลและปัจจัยสำคัญที่ทำให้ข้อมูลต่างๆ ถูกทำให้อยู่ในรูปดิจิทัล (Digital format) มากขึ้น มีดังต่อไปนี้
• การสร้าง ส่ง หรือเก็บข้อมูลสามารถทำได้ง่ายและสะดวกกว่าการทำให้อยู่ในรูปแบบปกติ
• การเก็บข้อมูลในรูปของอิเล็กทรอนิกส์ทำให้เกิดการลดต้นทุนทางธุรกิจในการสร้าง ส่ง หรือเก็บข้อมูล โดยเฉพาะอย่างยิ่ง เมื่อเกิดการพัฒนาการของเทคโนโลยีเครือข่ายคอมพิวเตอร์ เช่น อินเทอร์เน็ต หรือไปรษณีย์อิเล็กทรอนิกส์
• เมื่อสังคมก้าวเข้าสู่ยุคสังคมสารสนเทศทำให้ข้อมูลที่อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์มีมูลค่าในตัวเอง สามารถซื้อขายได้หรือทำธุรกรรมใดๆ ได้
• คุณสมบัติของระบบคอมพิวเตอร์และเครือข่ายที่เอื้ออำนวยให้เกิดการใช้มากขึ้น เช่น ความสามารถในการสำรองข้อมูล (back-up) ของบางโปรแกรม เพื่อป้องกันกรณีข้อมูลสูญหายหรือถูกทำลาย
กฎหมายใหม่ของสหภาพยุโรปได้วางนโยบายใหม่และทำให้เกิดความชัดเจนหลายนโยบาย อาทิ ในเรื่องสแปมหรือข้อความการตลาดที่ไม่พึงประสงค์ (spamming) กฎหมายใหม่ยอมรับแนวทางสิทธิในการเลือก (opt-in) ที่หมายความว่าผู้ใช้บริการต้องได้รับอนุญาตก่อนล่วงหน้าในการส่งข้อความที่ไม่พึงประสงค์ไม่ว่าจะทางอีเมล์ โทรสารหรือระบบเรียกอัตโนมัติเพื่อวัตถุประสงค์ทำการตลาด อย่างไรก็ตาม กฎหมายใหม่อนุญาตให้ผู้ให้บริการสามารถใช้ชื่ออีเมล์ที่เก็บรวบรวมจากลูกค้าที่เกิดจากการขายเพื่อทำการตลาดในทำนองเดียวกับสินค้าหรือบริการประเภทอื่นตามหลัก opt-out กฎหมายใหม่ได้ยอมรับหลักสิทธิในการเลือกสำหรับการใช้ข้อมูลทราฟฟิค เช่น รูปแบบที่แสดงข้อมูลการใช้บริการของบริการสื่อสารเพื่อวัตถุประสงค์ของการทำการตลาดบริการสื่อสารอิเล็กทรอนิกส์หรือการให้บริการเสริม
ในกรณีที่เกี่ยวกับคุกกี้ (Cookies) กฎหมายใหม่ยอมรับแนวทาง opt-out ระบุว่าคุกกี้ไม่สามารถใช้หากผู้ใช้บริการไม่ได้ให้ข้อมูลที่ถูกต้องและชัดเจนและโอกาสในการปฏิเสธ ในการรวมข้อมูลส่วนบุคคลในรายนามสาธารณะ เช่น สถานที่อยู่ เลขหมายโทรศัพท์ และชื่ออีเมล์ กฎหมายใหม่ใช้แนวทาง opt-out โดยอ้างว่าผู้ใช้บริการต้องได้รับการแจ้งเกี่ยวกับการใช้รายนามที่เปิดเผยต่อสาธารณะทุกประการและต้องไม่จัดเก็บเงินสำหรับสิทธิในการปฏิเสธไม่เปิดเผยต่อสาธารณะ
กฎหมายใหม่ได้ยอมรับหลักการเกี่ยวกับการรวบรวมและใช้ข้อมูลสถานที่นอกเหนือจากข้อมูลทราฟฟิค การห้ามการรวบรวมหรือใช้ข้อมูลสถานที่นอกเหนือจากข้อมูลทราฟฟิคโดยไม่มีการอนุญาตไว้ก่อนล่วงหน้าของเจ้าของโทรศัพท์และกำหนดว่าผู้ใช้บริการต้องสามารถเพิกถอนความยินยอมสำหรับการเก็บรวบรวมและการดำเนินการข้อมูลสถานที่ด้วยวิธีอื่นไม่ว่าเวลาใด
ประเด็นหลักที่ถกเถียงกันเกี่ยวกับกฎหมายใหม่คือประเด็นว่ารัฐบาลสามารถกำหนดให้ผู้ให้บริการกักเก็บข้อมูลทราฟฟิคได้หรือไม่ เฉพาะข้อมูลการใช้งาน ไม่ได้หมายความถึงเนื้อหาของบทสนทนา ที่เกี่ยวกับการสื่อสารของผู้ใช้บริการเพราะอาจสามารถทำได้หากได้รับการร้องขอเพื่อวัตถุประสงค์ในการบังคับใช้กฎหมายและกิจการความมั่นคงของชาติ กฎหมายใหม่ระบุให้ประเทศสมาชิกอาจกำหนดหลักเกณฑ์การกักเก็บข้อมูลได้โดยกฎหมายภายในประเทศ อย่างไรก็ตาม คำตัดสินของสภาสหภาพยุโรปที่อนุญาตให้กักเก็บข้อมูลได้ แต่กฎหมายใหม่ทำให้เกิดความชัดเจนขึ้นว่าประเทศสมาชิกมีอำนาจในการออกกฎหมายกักเก็บข้อมูลได้ โดยมีหลักเกณฑ์กำหนดว่าต้องมีมาตรการที่จำเป็น เหมาะสม และได้สัดส่วนกับสภาพสังคมประชาธิปไตย นอกจากนี้ การเปิดเผยข้อมูลดังกล่าวต้องเป็นกรณีเฉพาะตามอำนาจของเจ้าหน้าที่อิสระตามหลักเกณฑ์ที่สอดคล้องกับการคุ้มครองสิทธิมนุษยชน คำนำมีความชัดเจนว่าการดักฟังการสื่อสารทางอิเล็กทรอนิกส์และการเข้าถึงข้อมูลทราฟฟิคจะต้องอยู่ภายใต้การปกป้องที่เพียงพอตามอนุสัญญายุโรปว่าด้วยสิทธิมนุษยชนที่ตีความตามหลักเกณฑ์ของศาลยุโรปสิทธิมนุษยชน
กฎหมายใหม่ว่าด้วยสิทธิส่วนบุคคลในบริการสื่อสารทางอิเล็กทรอนิกส์ต้องอ่านควบคู่กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลฉบับปี ค.ศ. 1995 กล่าวคือกฎหมายใหม่ได้แปลงกฎหมายฉบับปี ค.ศ. 1995 ให้กลายเป็นหลักเกณฑ์เฉพาะในกิจการสื่อสารทางอิเล็กทรอนิกส์ นิยามและหลักการพื้นฐานของกฎหมายฉบับปี ค.ศ. 1006 ใช้บังคับกับกิจการสื่อสารทางอิเล็กทรอนิกส์ ตัวอย่างเช่น คำว่า ประมวลผลนิยามไว้ในกฎหมายฉบับปี ค.ศ. 1995 องค์ประกอบที่สำคัญของการคุ้มครองข้อมูลส่วนบุคคลในกฎหมายฉบับปี ค.ศ. 1995 รวมถึงหลักคุณภาพของข้อมูล องค์ประกอบสำคัญของการแจ้ง และสิทธิในการเข้าถึงข้อมูลก็ใช้บังคับกับกิจการสื่อสารทางอิเล็กทรอนิกส์ด้วย อนึ่ง ประเทศสมาชิกแต่ละประเทศต้องผ่านกฎหมายอนุวัตรการตามภายในวันที่ 31 ตุลาคม 2003
บทบัญญัติที่สำคัญของกฎหมายใหม่
การรักษาความปลอดภัยและความลับของการสื่อสาร (Security and Confidentiality of Communications)
ตามมาตรา 4 ผู้ให้บริการสื่อสารอิเล็กทรอนิกส์สาธารณะต้องมีมาตรการทางเทคนิคและในองค์กรที่เหมาะสมเพื่อปกป้องความปลอดภัยของบริการ ตามมาตรา 5 ประเทศสมาชิกต้องออกกฎหมายอนุวัติการเพื่อประกันความลับของการสื่อสาร กฎหมายใหม่ขยายภาระของการเก็บรักษาความลับเกี่ยวกับข้อมูลทราฟฟิค กฎหมายดังกล่าวห้ามการฟัง การดักฟัง การเก็บ หรือการแทรกแซงหรือตรวจสอบการสื่อสารวิธีการอื่นใดโดยปราศจากความยินยอมของผู้ใช้บริการที่เกี่ยวข้องหรือตามอำนาจหน้าที่ทางกฎหมายที่จำกัดตามที่อนุญาตในมาตรา 15
การลบข้อมูลทราฟฟิคโดยอัตโนมัติ (Automatic Erasure of Traffic Data)
หลักการโดยทั่วไปตามกฎหมายใหม่เหมือนกับหลักการตามกฎหมาย Directive 97/66/EC ข้อมูลทราฟฟิคต้องถูกลบหรือทำให้ไม่มีชื่อระบุตัวบุคคลได้ หากไม่มีความจำเป็นต้องใช้เพื่อวัตถุประสงค์ในการส่งสัญญาณสื่อสาร อย่างไรก็ตามบทบัญญัติดังกล่าวอยู่ภายใต้ข้อยกเว้นที่กำหนดไว้ในกฎหมายใหม่
การจัดเก็บข้อมูลอย่างจำกัดสำหรับการเรียกเก็บค่าใช้บริการที่ได้รับอนุญาต ผู้ให้บริการอาจดำเนินการข้อมูลทราฟฟิคเพื่อวัตถุประสงค์เรียกเก็บเงินจากผู้ใช้บริการและค่าเชื่อมต่อโครงข่าย อย่างไรก็ตามการจัดเก็บดังกล่าวจะอนุญาตเพียงในช่วงระยะเวลาสิ้นสุดของระยะเวลาที่การเรียกเก็บเงินสามารถเรียกเก็บได้ตามกฎหมายหรือสามารถติดตามการชำระเงินได้ตามมาตรา 6 (2)
การแจ้งการใช้ข้อมูลแก่ผู้ใช้บริการ ผู้ให้บริการต้องแจ้งผู้ใช้บริการและลูกค้าของตนเกี่ยวกับประเภทของข้อมูลทราฟฟิคที่ดำเนินการและระยะเวลาในการดำเนินการ เพื่อการใช้ข้อมูลสำหรับการเรียกเก็บค่าใช้บริการและก่อนจะได้รับความยินยอมเพื่อทำการตลาดบริการสื่อสารทางอิเล็กทรอนิกส์หรือให้บริการมูลค่าเพิ่ม ทั้งนี้ การใช้ข้อมูลเพื่อทำการตลาดบริการสื่อสารอิเล็กทรอนิกส์หรือให้บริการมูลค่าเพิ่มต้องได้รับความยินยอมล่วงหน้าจากผู้ใช้บริการ ผู้ให้บริการอาจดำเนินการ (Process) ข้อมูลทราฟฟิคสำหรับบริการสื่อสารอิเล็กทรอนิกส์หรือบริการมูลค่าเพิ่ม หากผู้ใช้บริการหรือลูกค้าดังกล่าวให้ความยินยอมไว้ล่วงหน้า ผู้ใช้บริการและลูกค้าจะต้องได้รับโอกาสในการถอนความยินยอมในการดำเนินการข้อมูลทราฟฟิคได้ตลอดเวลาตามมาตรา (3)
ใบเรียกเก็บเงินที่แจกแจงรายการ ผู้ใช้บริการต้องมีสิทธิได้รับใบเรียกเก็บเงินที่แจกแจงรายการ หากไม่ต้องการให้มีการบันทึกเก็บข้อมูลพฤติกรรม ตามมาตรา 7 และอ้างอิงที่ 33
การบังคับใช้กฎหมายและข้อยกเว้นความมั่นคงของประเทศ (Law Enforcement and National Security Exception)
ภายใต้มาตรา 15 (1) กำหนดให้ประเทศสมาชิกอาจกำหนดมาตรการทางกฎหมายเพื่อจำกัดสิทธิและหน้าทีที่กำหนดไว้ตามมาตรา 5, 6 และ 8 เกี่ยวกับการระบุตัวผู้ใช้บริการ และมาตรา 9 เกี่ยวกับข้อมูลสถานที่ หากข้อจำกัดดังกล่าวประกอบด้วยมาตรการที่จำเป็น เหมาะสม และได้สัดส่วนภายในสังคมประชาธิปไตยเพื่อปกป้องความมั่นคงของประเทศหรือเพื่อป้องกัน การสืบสวนไต่สวนและดำเนินคดีอาญา หรือเพื่อป้องกันการใช้การใช้ระบบสื่อสารอิเล็กทรอนิกส์โดยมิชอบ ข้อยกเว้นในทำนองเดียวกันปรากฏในมาตรา 13(1) ของ Directive 95/46/EC
การกักเก็บข้อมูลโดยได้รับอนุญาต รัฐบาลกังวลว่าการลบข้อมูลทราฟฟิคโดยอัตโนมัติตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคลปี 1995 นั้นและกฎหมายโทรคมนาคมก่อนหน้านี้ไม่ได้ให้ข้อยกเว้นไว้ ดังนั้น เป็นอุปสรรคต่อการบังคับใช้กฎหมายและความมั่นคงของประเทศ กล่าวคือไม่มีหนทางอื่นใดที่พนักงานสืบสวนจะทราบล่วงหน้าว่าข้อมูลทราฟฟิคจะมีประโยชน์ในการสืบสวนและการลบข้อมูลทราฟฟิคโดยอัตโนมัติ ข้อมูลที่เกี่ยวข้องอาจหายไปในเวลาที่หน่วยงานบังคับใช้กฎหมายตระหนักว่าต้องการ
ข้อมูลทราฟฟิครวมถึงจำนวนข้อมูลที่สำคัญเกี่ยวกับชีวิตส่วนตัวของบุคคล ตัวอย่างเช่น ข้อมูลทราฟฟิครวมถึงรายการทั้งหมดที่บุคคลดังกล่าวส่งอีเมล์หรือโทรศัพท์ไปยังบุคคลใด เวลาใด และเป็นระยะเวลาเท่าใด และเข้าดูเว็บไซต์อินเทอร์เน็ตใด กฎหมายใหม่สร้างความชัดเจนในประเด็นโดยการอนุญาตประเทศสมาชิกให้ออกกฎหมายหรือมาตรการทางกฎหมายกำหนดให้สามารถกักเก็บข้อมูลได้ภายในระยะเวลาที่จำกัดที่สมเหตุสมผลตามที่กำหนดในมาตรา 15
มาตรฐานความเป็นส่วนตัวที่จำเป็น มาตรการใดที่ยอมรับต้องเป็นไปตามหลักการทั่วไปตามกฎหมายสหภาพยุโรปและสนธิสัญญาประชาคมยุโรป (Treaty on European Union) และตามข้ออ้างอิง 11 กำหนดว่าการกระทำใดของประเทศสมาชิกต้องเป็นไปตามอนุสัญญายุโรปเพื่อคุ้มครองสิทธิมนุษยชน และเสรีภาพขั้นพื้นฐานที่ตีความตามศาลยุโรปมนุษยชน ดังนั้น ประเทศใดที่เลือกจะกำหนดมาตรการกักเก็บข้อมูลต้องพัฒนาการคุ้มครองทางกฎหมายที่เคร่งครัดสำหรับการกักเก็บข้อมูล มาตรฐานทางกฎหมายต้องมีสองประเด็นคือ หลักเกณฑ์การกักเก็บข้อมูลต้องปรากฏในกฎหมายภายในประเทศและมีขอบเขตการใช้บังคับที่จำเป็น เหมาะสมและได้สัดส่วนภายในสังคมประชาธิปไตย ประการที่สองการกักเก็บข้อมูลต้องแยกจากการเปิดเผยข้อมูล เพื่อที่จะบังคับให้เปิดเผยข้อมูลทราฟฟิค รัฐบาลต้องดำเนินการเป็นรายกรณีไป การค้นหาข้อมูลในบางหัวข้อ รัฐบาลควรดำเนินการตามที่ได้รับอนุญาตจากศาลหรือผู้กำกับดูแลอิสระตามหลักการที่กำหนดไว้โดยศาลสิทธิมนุษยชนแห่งยุโรป
กฎหมายใหม่ไม่มีความชัดเจนในหลายถ้อยคำ เช่น อะไรถือว่าเป็น “ข้อมูล” ที่จะสามารถกักเก็บได้ กฎหมายใหม่ไม่กำหนดระยะเวลาสูงสุดที่จะร้องขอให้กักเก็บไว้ ประเด็นเหล่านี้ต้องตรวจสอบอย่างระมัดระวัง ในบางประเทศไม่ได้กำหนดให้สามารถกักเก็บข้อมูลได้ เช่น สหรัฐอเมริกา กฎหมายใหม่ไม่ได้ระบุถึงพันธกรณีของผู้ให้บริการในแง่ของการแทรกแซงการสื่อสารในขณะมีการใช้งาน
การระบุตัวผู้ใช้โทรศัพท์ (Caller ID)
มาตรา 8 ควบคุมการนำเสนอการโทรและการระบุตัวตนของสายที่เชื่อมต่อ (caller ID) ที่หาความสมดุลของผลประโยชน์ของผู้โทรเรียกเข้าและผู้รับสาย หากมีการเสนอบริการ Caller ID ผู้ประกอบการโทรคมนาคมต้องเสนอผู้ที่โทรออกทางเลือกที่จะบล็อกการแสดงเลขหมายของสายที่เรียกเข้าต่อครั้งที่โทรหรือต่อสายโดยไม่ต้องเรียกเก็บเงิน
หากมีการเสนอให้บริการ Caller ID และการระบุตัวผู้เรียกเข้ามีการแสดงก่อนที่จะการโทรจะติด ผู้ให้บริการต้องเสนอให้ผู้ที่รับสายทางเลือกในการปฏิเสธการโทรเข้าหากการแสดงเลขหมายถูกบล็อกโดยผู้ที่โทรเข้า
ข้อมูลสถานที่นอกเหนือจากข้อมูลทราฟฟิค (Location Data Other than Traffic Data)
กฎหมายใหม่ให้การคุ้มครองเป็นพิเศษต่อข้อมูลสถานที่ที่เกิดมากขึ้นโดยโทรศัพท์เคลื่อนที่และอุปกรณ์เคลื่อนที่ประเภทอื่นที่ใช้บริการอิงสถานที่ ข้อมูลสถานที่หมายความถึงข้อมูลใด ๆ ที่ดำเนินการภายใต้โครงข่ายสื่อสารอิเล็กทรอนิกส์ที่ระบุตำแหน่งทางภูมิศาสตร์ของอุปกรณ์ลูกข่ายของผู้ใช้บิการสื่อสารอิเล็กทรอนิกส์ทีให้บริการแก่สาธารณะ อาจมีการอ้างถึงเส้นรุ้งหรือเส้นแวงของเครื่องลูกข่ายของผู้ใช้บริการ เส้นทางการเดินทาง ระดับของความแม่นยำของข้อมูลสถานที่ตั้ง และการลักษณะเฉพาะตัวของเซลล์โครงข่ายที่อุปกรณ์ลูกข่ายตั้งอยู่ ณ จุดใดจุดหนึ่ง ในเวลาหนึ่ง และระยะเวลาหรือสถานที่ตั้งที่ข้อมูลถูกบันทึก ตามมาตรา 2 และข้ออ้างอิง 14 ข้อมูลสถานที่ตั้งบางประเภท เช่น ข้อมูลของสถานีรับส่งสัญญาณอาจถือว่ารวมอยู่กับข้อมูลทราฟฟิค บทบัญญัติเฉพาะของมาตรา 9 ใช้บังคับกับข้อมูลสถานที่ตั้งที่มิใช่ข้อมูลทราฟฟิค
กฎหมายใหม่กำหนดข้อมูลสถานที่ตั้งสามารถเก็บรวบรวมและใช้ได้ในรูปของไม่มีชื่อตัวบุคคลหรือต้องได้รับความยินยอมจากผู้ใช้บริการก่อนภายในขอบเขตและระยะเวลาเท่าที่จำเป็นสำหรับการให้บริการมูลค่าเพิ่ม ผู้ใช้บริการสามารถมีทางเลือกในการใช้วิธีการเพิกถอนความยินยอมที่ง่ายและไม่เรียกเก็บเงินสำหรับการดำเนินการข้อมูลสถานที่ตั้งสำหรับการเชื่อมต่อแต่ละรายกับโครงข่ายหรือสำหรับการส่งสัญญาณเพื่อการสื่อสารตามมาตรา 9 (2)
รายนามของผู้ใช้บริการ (Directories of Subscribers)
ประเทศสมาชิกต้องประกันว่าผู้สมัครใช้บริการได้รับการแจ้งโดยไม่มีการเรียกเก็บค่าบริการและก่อนที่จะบรรจุรายชื่อหรือข้อมูลส่วนบุคคลในเอกสารรายนามในรูปของสิ่งพิมพ์หรืออิเล็กทรอนิกส์ที่เปิดเผยต่อสาธารณะหรือสามารถสอบถามได้โดยบริการสอบถามของการใช้ที่เป็นไปได้ที่อาจจัดทำรายนามดังกล่าวตามมาตรา 12(1) และข้ออ้างอิงที่ 38 และ 39
ผู้ใช้บริการมีสิทธิในการกำหนดว่าจะบรรจุข้อมูลส่วนบุคคลในรายนามสาธารณะ ซึ่งมีสิทธิในการตรวจสอบความถูกต้อง แก้ไขและเพิกถอนข้อมูลส่วนบุคคลที่ปรากฏในรายนามโดยไม่ต้องจ่ายตามมาตรา 12 (2) หากข้อมูลส่วนบุคคลมีการแบ่งปัน ผู้ใช้บริการต้องได้รับการแจ้งความเป็นไปได้ที่ข้อมูลส่วนบุคคลจะส่งไปยังบุคคลอื่นหรือบุคคลที่สาม ผู้ใช้บริการต้องได้รับการแจ้งเกี่ยวกับผู้รับข้อมูลหรือประเภทของผู้รับข้อมูลตามข้ออ้างอิงที่ 39
มาตรา 12 ไม่ใช้บังคับกับรายนามที่ได้ตีพิมพ์แล้วก่อนกฎหมายนี้มีผลใช้บังคับ หากข้อมูลส่วนบุคคลของบริการโทรศัพท์ประจำที่หรือผู้ใช้บริการโทรศัพท์มือถือได้รวมไว้ในรายนามผู้ใช้บริการสาธารณะตามบทบัญญัติของ Directive 95/46/EC และมาตรา 11 ของ Directive 97/66/EC ก่อนที่กฎหมายประเทศสมาชิกจะอนุวัติการกฎหมายใหม่ที่มีผลใช้บังคับ ข้อมูลส่วนบุคคลของผู้ใช้บริการอาจยังคงอยู่ในรายนามสาธารณะ เว้นแต่ผู้ใช้บริการการจะประสงค์เป็นอย่างอื่นตามมาตรา 16
การสื่อสารโดยไม่สมัครใจเพื่อการตลาดทางตรง (Unsolicited Communications for Direct Marketing)
กฎหมายใหม่รับหลักการสิทธิในการเลือกอีเมล์ที่ไม่พึงปรารถนา มาตรฐานใหม่กำหนดว่าการใช้กลไกโทรอัตโนมัติหรือเครื่องโทรสารเพื่อทำการตลาดโดยตรงอาจกระทำได้เฉพาะที่ได้รับความยินยอมจากผู้ใช้บริการก่อนล่วงหน้า บริษัทที่ได้รับรายละเอียดการติดต่อทางอิเล็กทรอนิกส์จากขอบเขตของความสัมพันธ์กับลูกค้าปัจจุบันอาจใช้ข้อมูลเพื่อนำเสนอสินค้าหรือบริการในลักษณะเดียวกันกับผู้ใช้บริการได้ตาม Directive 95/46/EC แต่ลูกค้าต้องมีสิทธิปฏิเสธที่จะรับเอกสารดังกล่าวได้โดยวิธีการที่ง่ายและไม่มีการเรียกเก็บเงินตามมาตรา 13(2) และข้ออ้างอิงที่ 41 ความยินยอมของผู้ใช้บริการถูกกำหนดในลักษณะทำนองเดียวกับที่ใช้ใน Directive 95/46/EC โดยทั่วไป ความยินยอมอาจให้โดยวิธีการที่เหมาะสมที่ระบุว่าการระบุที่แจ้งแล้วเป็นการเฉพาะที่ให้โดยอิสระตามความปรารถนาของผู้ใช้บริการ รวมถึงการระบุในช่องเมื่อเข้าไปเยี่ยมชมเว็บไซต์ตามข้ออ้างอิงที่ 17
กฎหมายใหม่ห้ามการส่งอีเมล์เพื่อทำการตลาดโดยทางตรงในลักษณะที่ปิดบังหรือซ่อนเร้นตัวตนของผู้ส่งหรือไม่ได้ระบุสถานที่ตั้งที่ถูกต้องซึ่งผู้รับอาจส่งการร้องขอเพื่อให้ยุติการสื่อสาร ข้อกำหนดดังกล่าวมีความจำเป็นเพื่ออำนวยความสะดวกการบังคับใช้กฎที่มีประสิทธิภาพของข้อความที่ไม่พึงปรารถนาตามมาตรา 13(4)
การกักเก็บข้อมูลในกิจการโทรคมนาคม
ในกิจการโทรคมนาคม การกักเก็บข้อมูลอ้างอิงถึงการเก็บรักษาบันทึกข้อมูลรายละเอียดการสื่อสารผ่านระบบโทรศัพท์และข้อมูลใช้งานและข้อมูลทราฟฟิคของอินเทอร์เน็ตโดยรัฐบาลและหน่วยงานเอกชน ในการกักเก็บข้อมูลของรัฐบาล ข้อมูลซึ่งเก็บรักษาไว้มักเป็นข้อมูลการโทรเข้าและโทรออก อีเมล์ที่ส่งและรับ และเว็บไซต์ที่เข้าเยี่ยมชม รวมทั้งข้อมูลเกี่ยวกับสถานที่ตั้ง วัตถุประสงค์ประการแรกของการกักเก็บข้อมูลของรัฐบาลคือการวิเคราะห์ทราฟฟิคและตรวจตราสอดส่องประชาชน การวิเคราะห์ดังกล่าวจะทำให้สามารถระบุสถานที่ของบุคคล การติดต่อสื่อสารของบุคคล และจำนวนของกลุ่มบุคคล แต่กรณีของการกักเก็บข้อมูลของเอกชนมักเป็นการเก็บข้อมูลการใช้งานและเว็บไซต์ที่เยี่ยมชม
สหราชอาณาจักร ฝรั่งเศส ไอร์แลนด์ และสวีเดนพยายามชักจูงให้สหภาพยุโรปเพื่อให้จัดทำ Directive ที่บังคับใช้ทั่วยุโรป โดยได้รับแรงสนับสนุนจากอุตสาหกรรมดนตรีและภาพยนต์ค่อนข้างมาก Directive เสนอแนะว่าการกักเก็บข้อมูลเป็นระยะเวลาหนึ่งปีตามประเภทของข้อมูลดังนี้
• ข้อมูลจำเป็นต่อการติดตามและระบุที่มาของการสื่อสาร
• ข้อมูลจำเป็นต่อการติดตามและระบุที่หมายปลายทางของการสื่อสาร
• ข้อมูลจำเป็นต่อการระบุวัน เวลา และระยะเวลาของการสื่อสาร
• ข้อมูลจำเป็นต่อการระบุประเภทของการสื่อสาร
• ข้อมูลจำเป็นต่อการระบุอุปกรณ์หรือเครื่องมือในการสื่อสาร
• ข้อมูลจำเป็นต่อการระบุสถานที่ของอุปกรณ์สื่อสาร
บทสรุป
การคุ้มครองสิทธิส่วนบุคคลเป็นองค์ประกอบสำคัญของกรอบนโยบายในการพัฒนาโครงข่ายสื่อสารและข้อมูล กฎหมายใหม่ปี ค.ศ. 2002 กำหนดรูปแบบที่สำคัญของหลักเกณฑ์หลักสำหรับบริการสื่อสารภายในกรอบของการคุ้มครองสิทธิส่วนบุคคลที่กำหนดโดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลปี ค.ศ. 1995
เอกสารอ้างอิง
Chuan Sun, The European Union Privacy Directive and its Impact on the U.S. Privacy Protection Policy: A Year 2003 Perspective, Northwestern Journal of Technology and Intellectual Property, Vol. 20 No 1 (Fall 2003) pp. 99-116.
Domingo Tan, Personal Privacy in the Information Age: Comparison of Internet Data Protection Regulations in the United States and the European Union, 21 LOY. L.A. INT.L & COMP. L.J. 661, 680 (1999).
European Convention for the Protection of Human Rights and Fundamental Freedoms (ECHR).
European Parliament and Council, Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities of 23 November 1995 No L. 281, 31.
European Parliament and Council, Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector, Official Journal of the European Communities of 30 January 1998 No L. 24/1-8.
European Parliament and Council, Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), Official Journal of the European Communities of 31 July 2002 No L. 201/37-47.
European Parliament and Council, Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC, OJL 105 13 April 2006 p. 54.
European Parliament and Council, Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, Ex-planatory Memorandum, Com(92)422 Final SYN 287, 26 (Oct. 15, 1992).
Fred H. Cate, Privacy and Telecommunications, Wake Forest Law Review, Vol 33 No. 1 (1998) pp. 1-43.
Julia M. Fromholz, The European Union Data Privacy Directive, 15 Berkeley Tech. L.J. 471, 472 (2000).
Peter K. Yu, An Introduction to the EU Directive on the Protection of Personal Data, GigaLaw.com (July 2001).
Rosemary Jay & Angus Hamilton, Data Protection Law and Practice, London, Sweet and Maxwell, 1999, 2003.
Louis Brandeis & Samuel Warren, The Right to Privacy, 4 Harvard Law Review 193-220 (1890-91).
ไม่มีความคิดเห็น:
แสดงความคิดเห็น