ออกแบบหน่วยงานคุ้มครองข้อมูลที่มีประสิทธิภาพ: บทเรียนจากสหภาพยุโรป

Data Protection in the European Union: the role of National Data Protection Authorities

สรุปบางส่วนจากรายงานศึกษาเปรียบเทียบ Data Protection in the European Union: the role of National Data Protection Authorities (Strengthening the fundamental rights architecture in the EU II) ของ European Union Agency for Fundamental Rights [พ.ค. 2010]

วิธีปฏิบัติที่ดีที่สุด (best practices) สำหรับหน่วยงานคุ้มครองข้อมูล (Data Protection Authority) ว่าด้วยโครงสร้างขององค์กร, อำนาจ, ทรัพยากร, และความร่วมมือกับองค์กรอื่น

ในด้านหนึ่ง รัฐสมาชิกสหภาพยุโรปหลายแห่งได้มอบอำนาจเจาะจงบางประการและมอบอิสระอย่างสูงให้กับหน่วยงานคุ้มครองข้อมูล ในอีกด้านหนึ่ง หน่วยงานคุ้มครองข้อมูลก็ได้สร้างความร่วมมือกับผู้มีส่วนได้เสีย 3 ประเภท อันได้แก่ สถาบันของรัฐ หน่วยงานที่ไม่ใช่รัฐที่ทำงานแข็งขันในด้านนี้ และหน่วยงานคุ้มครองข้อมูลของรัฐสมาชิกอื่นๆ

โครงสร้างและความเป็นอิสระของหน่วยงานคุ้มครองข้อมูล

  • ความเป็นอิสระของหน่วยงานคุ้มครองข้อมูลเป็นปัจจัยที่ขาดไม่ได้ในการที่จะรับประกันว่าจะมีการคุ้มครองข้อมูลเป็นอย่างดี
  • ด้วยเหตุนี้ มาตรการในเชิงโครงสร้างสถาบัน เช่น การกำหนดลักษณะทางนิติบุคคลเป็นพิเศษสำหรับหน่วยงานกำกับดูแลข้อมูล (เช่นในสเปนและมอลตา) หรือการระบุลงไปในรัฐธรรมนูญถึงอำนาจและหน้าที่ (เช่นในรัฐธรรมนูญของโปรตุเกสและกรีซ) เป็นตัวอย่างที่ดีที่จะเพิ่มความเป็นอิสระของหน่วยงานกำกับดูแล
  • แม้การเลือกตั้งคณะกรรมการหรือผู้บริหารหน่วยงานคุ้มครองข้อมูล โดยฝ่ายนิติบัญญัติ (เช่นในเยอรมนีและในสโลเวเนีย) จะไม่ได้รับประกันเสมอไปว่าเจ้าหน้าที่หน่วยงานคุ้มครองจะมีความเป็นอิสระ แต่กระบวนการที่จำเป็นต้องให้มีฉันทามติระหว่างสมาชิกสภานิติบัญญัติเสียงข้างมากและฝ่ายค้าน (เช่นในกรีก) ก็ควรได้รับการพิจารณาว่าเป็นวิธีปฏิบัติที่ดีที่สุด
  • รัฐสมาชิกบางแห่งได้ออกแบบมาตรการลดอิทธิพลและแรงกดดันทางการเมือง เพื่อเป็นการรับประกันความเป็นอิสระของหน่วยงานคุ้มครองข้อมูล เช่นการกำหนดให้เจ้าหน้าที่ของหน่วยงานจะพ้นตำแหน่งก่อนกำหนดวาระได้ก็ต่อเมื่อประพฤติขัดกับหลักการที่ได้ระบุไว้ล่วงหน้า และก็ต่อเมื่อได้ผ่านกระบวนการเช่นเดียวกับที่ใช้ในตอนแต่งตั้งเท่านั้น (เช่นในสโลเวเนีย โปแลนด์)

อำนาจในการกำหนดระเบียบปฏิบัติของหน่วยงานคุ้มครองข้อมูล

  • วิธีปฏิบัติที่ดีที่สุดอีกอย่างหนึ่ง ที่จะรับประกันความเป็นอิสระของหน่วยงานคุ้มครองข้อมูล คือการที่หน่วยงานคุ้มครองข้อมูลมีสิทธิที่จะนำกฎหมายเข้าสู่ศาลรัฐธรรมนูญ เพื่อให้ศาลพิจารณาว่ากฎหมายดังกล่าวชอบด้วยรัฐธรรมนูญหรือไม่ (เช่นในสโลเวเนีย)
  • อำนาจของหน่วยงานคุ้มครองข้อมูลที่จะจัดเตรียมระเบียบปฏิบัติ (code of conduct) ก็เป็นวิธีปฏิบัติที่ดีเช่นกัน การมีส่วนร่วมในการร่างระเบียบปฏิบัติในการคุ้มครองข้อมูลนั้นไม่เพียงเพิ่มการคุ้มครองข้อมูลสำหรับประชาชน แต่ยังช่วยให้หน่วยงานคุ้มครองข้อมูลเป็นที่รู้จักและถูกมองเห็นในสังคม และหน่วยงานคุ้มครองข้อมูลควรเข้าร่วมกระบวนการนี้ในเชิงรุกอย่างแข็งขัน
  • ในไอร์แลนด์ กฎหมายมอบอำนาจให้กับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลแห่งชาติในการเสนอและจัดเตรียมระเบียบปฏิบัติ ซึ่งถ้าหากได้รับความเห็นชอบจากฝ่ายนิติบัญญัติ ก็จะมีผลบังคับตามกฎหมาย (Ireland Data Protection Act [1988-2003], Section 13)

ทรัพยากร

  • นอกเหนือจากความเป็นอิสระและอำนาจที่จำเป็น หน่วยงานคุ้มครองข้อมูลจำเป็นต้องได้รับประกันว่าจะได้รับทรัพยากรมนุษย์และทรัพยากรทางการเงินที่จำเป็นอย่างเพียงพอ เพื่อให้สามารถบังคับใช้ระบบการคุ้มครองข้อมูลได้อย่างมีประสิทธิภาพ
  • ในรัฐสมาชิกส่วนใหญ่ หน่วยงานคุ้มครองข้อมูลได้รับการสนับสนุนทรัพยากรที่จำเป็นจากงบประมาณของรัฐ (เช่นในอิตาลี ฝรั่งเศส เนเธอร์แลนด์ และเอสโตเนีย) ซึ่งโดยมากจะอยู่ในงบประมาณกระทรวงยุติธรรม
  • อย่างไรก็ตาม ในบางรัฐสมาชิก หน่วยงานคุ้มครองก็สามารถหาทรัพยากรทางการเงินเพิ่มเติมได้อย่างมีนัยสำคัญ จากรายได้ที่ได้มาจากค่าแจ้งเตือนผู้ประมวลผลข้อมูล และ/หรือ จากค่าปรับที่เป็นตัวเงินที่มาจากการลงโทษการละเมิดกฎหมายคุ้มครองข้อมูล (เช่นในลักเซมเบิร์กและมอลตา)

ความร่วมมือระหว่างหน่วยงาน

  • ความร่วมมือและการสื่อสารอย่างสม่ำเสมอระหว่างหน่วยงานรัฐและหน่วยงานคุ้มครองข้อมูลจะทำให้ระบบการคุ้มครองข้อมูลโดยรวมทำงานอย่างราบรื่นยิ่งขึ้น
  • ในเยอรมนี โครงการอบรมขนาดใหญ่ดำเนินงานในรูปแบบโรงเรียนคุ้มครองข้อมูล ซึ่งได้พัฒนาหลักสูตรอบรมที่ครอบคลุมและเป็นระบบ สำหรับการบริหารงานปกครองในทุกด้าน
  • ความร่วมมือและการสื่อสารอย่างใกล้ชิดกับหน่วยงานที่ไม่ใช่รัฐ (เอ็นจีโอ) ที่ทำงานในด้านนี้ มีประโยชน์หลายประการ
  • ประการแรกคือ หน่วยงานที่ไม่ใช่รัฐหรือเอ็นจีโอนั้นอยู่ในฐานะที่จะสามารถส่งสัญญาณว่ามีการละเมิดกฎหมายคุ้มครองข้อมูลที่ชัดเจนหรืออย่างเป็นระบบ ให้หน่วยงานคุ้มครองข้อมูลหรือให้กับประชาสังคมได้รับทราบ ซึ่งเท่ากับว่าเราจะมีหน่วยงานกำกับดูแลที่ไม่ใช่รัฐเพิ่มเติมขึ้นมา ซึ่งในหลายกรณี การมีหน่วยงานที่ไม่ใช่รัฐเพิ่มขึ้นมานี้ ก็ช่วยให้การตรวจตราการคุ้มครองข้อมูลเป็นไปได้ครอบคลุมมากขึ้น
  • ประการที่สอง เอ็นจีโอนั้นทำให้มีช่องทางสื่อสาร ‘จากล่างขึ้นบน’ ซึ่งทำให้พลเมืองมีโอกาสที่จะเสนอการแก้ไขปรับปรุงกรอบกฎหมาย
    • จากมุมมองนี้ หน่วยงานคุ้มครองข้อมูลของฮังการีได้ช่วยเหลือและร่วมมือกับเอ็นจีโอหลายแห่ง ตัวอย่างเช่น ในปี 2000 หน่วยงานคุ้มครองข้อมูลได้ทบทวนแผนงานคุ้มครองข้อมูลสำหรับโครงการวิจัยสิทธิของชาวโรมา (ยิปซี) ซึ่งดำเนินงานโดยคณะกรรมการเฮลซิงกิฮังการี และในปี 2004 เจ้าหน้าที่ของหน่วยงานได้ร่วมกับสหภาพสิทธิพลเมืองฮังการีทำการทดสอบสถานพยาบาลจำนวนหนึ่งเพื่อดูว่าการตรวจเชื้อเฮชไอวีนั้นได้ทำไปอย่างเป็นนิรนามและไม่มีค่าใช้จ่ายจริงอย่างที่ได้ประกาศหรือไม่ และหลังจากนั้นก็ได้ออกข้อแนะนำซึ่งตั้งอยู่บนฐานของข้อค้นพบระหว่างการทดสอบดังกล่าว
  • ประการสุดท้าย ความร่วมมือและการสื่อสารอย่างสม่ำเสมอระหว่างหน่วยงานคุ้มครองข้อมูลของรัฐอื่นๆ ทั้งในและนอกสหภาพยุโรป ก็เป็นประโยชน์เช่นกัน
    • ในระดับสหภาพยุโรป สิ่งนี้ถูกทำให้เป็นจริงหลักๆ ผ่านทางคณะทำงานซึ่งก่อตั้งตามมาตรา 29 ของ Data Protection Directive เวทีนี้ทำให้มีสภาพแวดล้อมเชิงสถาบันที่จำเป็น เพื่อให้หน่วยงานคุ้มครองข้อมูลจากรัฐต่างๆ สามารถปรับประสานการใช้กฎหมายของตัวเองให้สอดคล้องเข้ากันได้กับรัฐอื่นๆ
    • ความร่วมมือแบบทวิภาคีและพหุภาคีก็เป็นเรื่องที่ควรส่งเสริมให้เกิด ทั้งในภายในสหภาพยุโรปและกับประเทศนอกสหภาพยุโรป ตัวอย่างที่ดีเช่นการที่โปรตุเกสกับสเปนมีการประชุมอย่างไม่เป็นทางการร่วมกันเป็นประจำทุกปี เพื่อพูดคุยเกี่ยวกับพัฒนาการที่สำคัญในการคุ้มครองข้อมูล

 

เรื่องที่เกี่ยวข้อง: ออกแบบอำนาจ: อ่านโครงสร้างคณะกรรมการในกฎหมายไทย


2 responses to “ออกแบบหน่วยงานคุ้มครองข้อมูลที่มีประสิทธิภาพ: บทเรียนจากสหภาพยุโรป”

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.