- การโอนข้อมูลส่วนบุคคลระหว่าง EU-สหรัฐฯ ยังคงดำรงอยู่ได้บนสมมติฐานว่ามี หน่วยงานกำกับดูแลอิสระ ของสหรัฐฯ แต่คำตัดสิน Trump v. Slaughter ของศาลสูงสุดสหรัฐฯ ทำให้สมมติฐานเรื่องความเป็นอิสระของ FTC สั่นคลอน
- กฎหมายสนธิสัญญาของ EU กำหนดให้การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลต้องอยู่ในมือของ หน่วยงานอิสระ และ EU-US Data Privacy Framework ปี 2023 ก็ใช้ FTC เป็นหลักฐานสำคัญ
- เนื่องจาก Safe Harbour และ Privacy Shield เคยถูกทำให้เป็นโมฆะแล้วใน Schrems I·II noyb จึงมองว่ากรอบใหม่ปี 2023 ทำซ้ำจุดอ่อนเดิม
- ไม่ได้หมายความว่าการโอนข้อมูลทั้งหมดจะหยุดลงทันที และจนกว่า European Commission จะถอนหรือ CJEU จะทำให้เป็นโมฆะ คำตัดสินปัจจุบันยังมีผลในเชิงรูปแบบ
- บริษัทที่ใช้ SCCs·BCRs ก็อาจต้องทบทวน การประเมินผลกระทบ ที่อาศัยความเป็นอิสระของกลไกเยียวยาและหน่วยงานกำกับดูแลของสหรัฐฯ และ noyb เรียกร้องให้ถอนข้อตกลงข้อมูล EU-สหรัฐฯ
ความเป็นอิสระของ FTC ที่อ่อนแอลงกำลังสั่นคลอนระบบการโอนข้อมูล EU-สหรัฐฯ
- ศาลสูงสุดสหรัฐฯ มีคำตัดสินใน Trump v. Slaughter ว่า FTC อาจไม่เป็นอิสระอีกต่อไป
- EU พึ่งพา FTC ที่เป็นอิสระ ในฐานะรากฐานการบังคับใช้ข้อตกลงโอนข้อมูลส่วนบุคคลระหว่าง EU-สหรัฐฯ มาตั้งแต่ปี 2000
- ตามกฎหมายสนธิสัญญาของ EU การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลต้องดำเนินการโดยหน่วยงานอิสระ
- หลักฐานคือ Article 16(2) TFEU และ Article 8(3) of the Charter of Fundamental Rights
- หากประเทศที่สามต้องการรับการโอนข้อมูลส่วนบุคคลอย่างเสรีจาก EU จะต้องให้การคุ้มครองที่เทียบเท่าโดยสาระสำคัญ
- ใน EU-US Data Privacy Framework ปี 2023 European Commission อ้างถึง FTC เป็นหลักฐาน 259 ครั้ง
- noyb และ Max Schrems เรียกร้องให้ European Commission ถอน การตัดสินความเพียงพอ ต่อสหรัฐฯ อย่างเป็นระเบียบ โดยให้เหตุผลว่าสหรัฐฯ ไม่มีหน่วยงานกำกับดูแลอิสระอีกต่อไป
การถูกทำให้เป็นโมฆะซ้ำ ๆ และจุดอ่อนของข้อตกลงใหม่ปี 2023
- ตั้งแต่ปี 1995 EU ได้ห้ามการส่งออกข้อมูลส่วนบุคคลไปยังประเทศที่สามเป็นการทั่วไป เพื่อป้องกันการเลี่ยงกฎข้อมูลส่วนบุคคลของ EU
- มีข้อยกเว้นสำหรับการโอนที่จำเป็น เช่น การจองโรงแรมหรือธุรกรรมที่ซับซ้อน
- บริษัท EU จำนวนมากได้ว่าจ้างผู้ให้บริการคลาวด์สหรัฐฯ ให้ประมวลผลข้อมูลส่วนบุคคลแทน
- European Commission ยอมรับสหรัฐฯ ซ้ำ ๆ ตั้งแต่ปี 2000 ว่าเป็นประเทศที่ “เพียงพอ” ด้านการคุ้มครองข้อมูลส่วนบุคคล เพื่ออนุญาตให้ข้อมูลไหลเวียนได้อย่างเสรีระหว่าง EU-สหรัฐฯ
- CJEU ทำให้ Safe Harbour เป็นโมฆะใน Schrems I
- CJEU ทำให้ Privacy Shield เป็นโมฆะใน Schrems II
- เหตุผลหลักคือกฎหมายการสอดส่องของสหรัฐฯ และการขาดช่องทางเยียวยาทางตุลาการภายในสหรัฐฯ
- CJEU เห็นว่าแม้ในกรณีการสอดส่องของรัฐบาล ก็จำเป็นต้องมี กลไกเยียวยาทางกฎหมายที่เป็นอิสระ
- รัฐบาล Biden ได้จัดตั้ง Data Protection Review Court
- แม้ชื่อจะเป็นเช่นนั้น แต่หน่วยงานนี้เป็นหน่วยงานฝ่ายบริหารภายในกระทรวงยุติธรรมสหรัฐฯ
- ความเป็นอิสระของหน่วยงานนี้พึ่งพา Executive Order ของ Biden ซึ่ง Trump สามารถเปลี่ยนได้ทุกเมื่อ และไม่ได้ผูกพันประธานาธิบดี
- คำตัดสิน Slaughter ถูกมองว่าเป็นกรณีที่พลิกกลับแนวคำพิพากษาเดิม 180 องศา โดยเห็นว่าความเป็นอิสระของ FTC ขัดรัฐธรรมนูญ
- สิ่งนี้สอดคล้องกับ unitary executive theory ที่เห็นว่าประธานาธิบดีสหรัฐฯ ต้องควบคุมหน่วยงานฝ่ายบริหารของสหรัฐฯ ทั้งหมด
- เป็นโครงสร้างที่มองว่ากฎหมายสหรัฐฯ ที่ทำให้หลายหน่วยงานเป็นอิสระนั้นขัดรัฐธรรมนูญ
ผลบังคับใช้ในทันทีและจุดที่บริษัทต้องกลับมาทบทวน
- ผลกระทบไม่ได้ไร้ขีดจำกัด
- คำตัดสินของ European Commission ยังคงมีผลในเชิงรูปแบบจนกว่า Commission จะถอนหรือ CJEU จะทำให้เป็นโมฆะ
- ดังนั้นจึงไม่มีผลทางกฎหมายในทันที
- GDPR กำกับเฉพาะการโอนข้อมูลส่วนบุคคลเท่านั้น ส่วนข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลสามารถไหลเวียนได้อย่างเสรี
- Article 49 GDPR อนุญาตให้โอนข้อมูลไปยังประเทศที่สามเมื่อจำเป็น แต่ไม่อนุญาตให้ทำโครงสร้างการย้ายงานออกนอก EU อย่างเป็นระบบที่ไม่จำเป็นอย่างเคร่งครัด
- SCCs และ BCRs ก็อาจได้รับผลกระทบเช่นกัน
- บางบริษัทใช้ SCCs หรือ BCRs ในเชิงรูปแบบแทน EU-US Framework
- ในกรณีนี้ โดยปกติก็ยังต้องมีการประเมินผลกระทบ และการประเมินดังกล่าวอาศัยความเป็นอิสระของหน่วยงานฝ่ายบริหารสหรัฐฯ เช่น PCLOB หรือ Data Protection Review Court
- ผู้ควบคุมข้อมูลที่ไม่ได้อาศัย formal Commission Decision ต้องอัปเดตการประเมินทันที
- noyb ได้ส่ง จดหมายอย่างเป็นทางการ ถึง European Commission เพื่อเรียกร้องให้ถอนข้อตกลงข้อมูล EU-สหรัฐฯ อย่างเป็นระเบียบ
- หลายประเทศสมาชิก EU ได้เปลี่ยนไปใช้แนวทาง “digital sovereignty” แล้ว และประกาศแยกตัวจากผู้ให้บริการสหรัฐฯ
- ผู้ให้บริการสหรัฐฯ บางรายก็กำลังผลักดันการประมวลผลข้อมูลใน EU แยกต่างหาก
- noyb มีแผนจะยื่นฟ้องภายในไม่กี่สัปดาห์ข้างหน้า เพื่อให้ CJEU สามารถทำให้ข้อตกลงปัจจุบันเป็นโมฆะได้
- คดีลักษณะนี้โดยปกติใช้เวลา 2–3 ปีจนกว่าจะมีคำตัดสินสุดท้าย
1 ความคิดเห็น
ความคิดเห็นจาก Lobste.rs
นี่เป็นเรื่องดี EU และส่วนที่เหลือของโลกที่จะเดินตามตัวอย่างนั้น ไม่ควรพึ่งพา รัฐอันธพาล ที่ยืนกรานว่าอำนาจของตัวเองอยู่เหนือสุดและไม่ปฏิบัติต่อประเทศหรือรัฐบาลอื่นอย่างเท่าเทียมอีกต่อไป
ผมโกรธ คำตัดสินของศาลฎีกาสหรัฐฯ นี้ แต่สรุปนี้ก็ดูพูดเกินไปหน่อย เพราะหน่วยงานที่เรียกว่า “อิสระ” เหล่านี้ไม่เคยเป็นอิสระอย่างแท้จริงมาตั้งแต่แรก
เป็นไปได้ว่าผู้เขียนอาจถูกหลอกด้วยถ้อยคำที่ใช้กันทั่วไป จนเข้าใจธรรมชาติของมันผิดมาตั้งแต่ต้น ผมนึกไม่ออกว่าหลัง Slaughter จะมีข้อโต้แย้งเชิงปฏิบัติอะไรเกี่ยวกับ FTC ของสหรัฐฯ ที่ก่อน Slaughter จะใช้ไม่ได้เหมือนกัน
ถ้ามีความต่าง ก็คงเป็นแค่ภาพลักษณ์? และการเปลี่ยนแปลงด้านภาพลักษณ์เพียงเท่านี้เพียงพอให้ EU ลงมือหรือ? ถ้าใช่ก็ดี แต่ผมไม่คิดว่าคำตัดสินครั้งนี้ได้เปลี่ยนแปลงลักษณะของ “ความเป็นอิสระ” ของหน่วยงานกำกับดูแลสหรัฐฯ อย่างมีนัยสำคัญในทางปฏิบัติ เพราะความเป็นอิสระแบบนั้นไม่เคยมีอยู่ตั้งแต่แรก
ความไม่พอใจของผมไม่ได้เกี่ยวกับผลกระทบต่อความเป็นอิสระจอมปลอมของหน่วยงานเหล่านี้ แต่เป็นประเด็นทางกฎหมายที่ละเอียดอ่อนกว่านั้น และค่อนข้างออกนอกประเด็นของบทความนี้รวมถึง Lobsters โดยรวม
ใจความของบทความนี้คือ EU Commission ใช้เรื่องแต่งว่าหน่วยงานเหล่านี้เป็นอิสระเพียงพอ เพื่อทำให้การส่งข้อมูลส่วนบุคคลไปยังสหรัฐฯ ดูชอบธรรม