สิทธิที่จะถูกลืมจากโลกดิจิทัล (จบ)
Source - ไทยโพสต์ (Th)

Friday, June 08, 2018  03:21
61630 XTHAI XOTHER XCLUSIVE XPOL XGEN DAS V%PAPERL P%TPD

          นายอรรถกร สุขปุณพันธ์
          http://lawdrafter.blogspot.com/2018/05/blog-post_22.html
          ในส่วนของ Google เองนั้น ได้ดำเนินการเผยแพร่หลักเกณฑ์ในการพิจารณาว่า "เพื่อให้เกิดความสมดุลระหว่างสิทธิในความเป็นส่วนตัว (privacy right) ของบุคคล กับประโยชน์สาธารณะ (public interest) ในการเข้าถึงและการเผยแพร่ข้อมูลข่าวสาร Google อาจปฏิเสธคำร้องขอให้ลบผลการค้นหาที่เกี่ยวข้องกับการกระทำมิชอบทางการเงิน (financial scam) ความประพฤติผิดต่อวิชาชีพ (professional malpractice) คำพิพากษาในความรับผิดทางอาญา (criminal conviction) หรือการกระทำความผิดต่อตำแหน่งหน้าที่ทางราชการ (public conduct of government official) เป็นต้น
          ดังนั้น เมื่อพิจารณาหลักเกณฑ์ที่แตกต่างหลากหลายขององค์กรภาครัฐกับผู้ให้บริการแต่ละราย ประกอบกับสถิติการลบ link แสดงผลการค้นหาตามคำร้องขอที่ google เผยแพร่ ที่ค่อนข้างต่ำกว่าการคาดหมาย ประกอบกับข้อเท็จจริงที่ว่าผู้ให้บริการ search engine เองนั้นมีผลประโยชน์ทางเศรษฐกิจเกี่ยวข้องกับความมีอยู่ของข้อมูลส่วนบุคคลต่างๆ เช่น ค่าโฆษณาจากผู้สนับสนุน จึงก่อให้เกิดข้อวิพากษ์วิจารณ์ถึงความเหมาะสมในการมอบอำนาจในการรับคำร้องขอและพิจารณาลบ link แสดงผลการค้นหาในชั้นต้นแก่ผู้ให้บริการ search engine แทนที่จะเป็นองค์กรคุ้มครองข้อมูลส่วนบุคคลซึ่งน่าจะมีความเป็นกลางและความเป็นอิสระสำหรับการพัฒนาและบังคับใช้ right to be forgotten ที่เป็นมาตรฐานเดียวกันภายใต้กฎหมายของสหภาพยุโรป
          1.5 ประเด็นเกี่ยวกับสภาพบังคับเหนือดินแดน (territorial scope) กับโลกออนไลน์
          จากข้อเท็จจริงซึ่ง Google โต้แย้งว่า Google Spain นั้นเป็นแต่เพียง สาขาหนึ่ง ของ Google Inc. ในสหภาพยุโรปเพื่อทำหน้าที่เป็นตัวแทนทางธุรกิจสำหรับการโฆษณา แต่มิได้เป็นผู้ดำเนินการทางเทคนิคในส่วนของการสืบค้นข้อมูล (หรืออีกนัยหนึ่งคือไม่ได้เป็นที่ตั้งของระบบ server) ทาง website ของ google ที่ในทางปฏิบัติที่จะดำเนินการโดย Google Inc. ในประเทศสหรัฐอเมริกา ดังนั้น การประมวลผลข้อมูลจึงมิได้ดำเนินการในสหภาพยุโรปและไม่ตกอยู่ภายใต้บังคับของ Directive 95/46/EC เป็นเหตุให้ CJEU ต้องใช้หลักการตีความอย่างกว้างเพื่อประโยชน์ในการปรับใช้ Directive 95/46/EC โดยอาศัยหลักการตีความที่เรียกว่าเป็นการกระทำในเชิงบริบทของสาขาหรือตัวแทนที่ตั้งอยู่ในสหภาพยุโรป (context of the activities of establishment) ของ Google Inc. กล่าวคือ แม้ว่า Google Spain ในฐานะตัวแทนทางธุรกิจจะมิใช่ผู้ประมวลผลข้อมูล แต่ Google Inc. ซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตัวจริงนั้นท้ายที่สุดแล้วย่อมได้รับประโยชน์ที่ไม่อาจแบ่งแยกได้ (inextricably linked) อันเป็นผลมาจากการประมวลผลนั้นจาก Google Spain  ดังนั้น การ กระทำของ Google Inc. จึงย่อมตกอยู่ภายใต้บังคับของ Directive 95/46/EC ด้วย
          คำวินิจฉัยในประเด็นนี้จึงเป็นการวางแนวทางให้สามารถปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลตัวจริงซึ่งอาจเป็นบริษัทข้ามชาติที่มีเพียงแต่สำนักงานหรือสาขาในพื้นที่เพื่อติดต่อทางธุรกิจให้ตกอยู่ใต้บังคับของกฎหมายเพื่อประโยชน์ในการคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผล มิให้เกิดช่องโหว่ในการบังคับใช้สิทธิเพียงเพราะเหตุตำแหน่งที่ตั้งของระบบ server ของบริษัทเหล่านั้น
          อย่างไรก็ตาม สภาพปัญหาจากการที่ right to be forgotten เป็นสิทธิใหม่ที่เพิ่งได้รับการรับรองว่าเป็นส่วนหนึ่งของ right to protection of personal data โดยผลของคำวินิจฉัยในสหภาพยุโรปเท่านั้น ยังมิได้มีแนวทางปฏิบัติที่รับรองและยอมรับกันอย่างเป็นมาตรฐานสากลทั่วโลก ในทางปฏิบัติจึงยังเกิดสภาพปัญหาในการบังคับใช้ในโลกออนไลน์อยู่ ตัวอย่างเช่น ในกรณีของ Google นั้น ได้ยืนยันที่จะจำกัดขอบเขตในการลบ link แสดงผลการค้นหาเฉพาะการค้นหาสำหรับผลิตภัณฑ์ของ Google ภายใต้ EU domain name เช่น Google.uk Google.fr Google.sp หรือ Google.de เท่านั้น โดยปฏิเสธที่จะดำเนินการลบผลการค้นหาในลักษณะทั่วทั้งโลกออนไลน์ (global delisting) รวมไปถึง Google.com หรือ Google.ca เป็นต้น  ทั้งนี้ Google โต้แย้งว่าสำหรับ domain name อื่นๆ นอกเหนือจาก EU domain name นั้น ได้จัดตั้งเพื่อดำเนินการนอกเขตพื้นที่ของสหภาพยุโรป จึงไม่ตกอยู่ภายใต้ผลจากคำวินิจฉัยในคดี Google Spain ประกอบกับเห็นว่ากฎหมายของสหภาพยุโรปนั้นไม่สามารถละเมิดสิทธิในการเข้าถึงข้อมูลของประชาชนภายนอกสหภาพยุโรปซึ่งมีสิทธิเข้าถึงข้อมูลต่างๆ นั้นได้โดยไม่เป็นการต้องห้าม
          แม้ว่าคณะทำงาน AWP29 จะได้โต้แย้งว่าการลบ link แสดงผลการค้นหาจะต้องบังคับไปในทางที่คุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพโดยไม่เปิดช่องว่างที่ง่ายต่อการหลีกเลี่ยง การจำกัดนโยบายที่จะลบเฉพาะ link แสดงผลการค้นหาภายใน EU domain name ภายใต้ข้อสันนิษฐานที่ว่าผู้ใช้อินเทอร์เน็ตจะค้นหาเฉพาะจากใน domain name ในชาติของตนนั้นไม่ถือว่าเป็นการเพียงพอ กล่าวโดยเฉพาะคือการลบ link แสดงผลการค้นหาที่มีประสิทธิภาพจะต้องเป็นการลบในทุกๆ domain name ที่เกี่ยวข้องของผู้ให้บริการ search engine นั้นๆ เช่น รวมไปถึง .com ด้วย
          แนวทางการตีความและบังคับใช้กฎหมายที่ยังคงแตกต่างกันนี้ ส่งผลถึงประสิทธิภาพในการบังคับใช้สิทธิ ยกตัวอย่างเช่น หากผู้ใช้อินเทอร์เน็ตชาวฝรั่งเศสผู้หนึ่งไม่สามารถสืบค้นประวัติส่วนตัวจากชื่อและนามสกุลของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการร้องขอให้ลบใน Google.fr ไปแล้ว บุคคลดังกล่าวยังคงสามารถสืบค้นเพื่อให้ได้รับผลลัพธ์เช่นเดิมได้อย่างง่ายดายเพียงเปลี่ยนไปใช้บริการ Google.com เป็นต้น
          ทั้งนี้ องค์กรคุ้มครองข้อมูลส่วนบุคคลฝรั่งเศสได้มีการออกคำสั่งปรับทางปกครองต่อ Google เป็นจำนวน 10,000 ยูโร ฐานที่ไม่ปฏิบัติตามคำสั่งที่ให้ทำการลบ link แสดงผลการค้นหาครอบคลุมไปถึง Google.com ด้วย โดยขณะนี้คำสั่งดังกล่าวอยู่ระหว่างคุ้มครองชั่วคราวเนื่องจาก Google ได้ยื่นอุทธรณ์คำสั่งไปยังศาลภายในของฝรั่งเศสและได้มีการส่งเรื่องต่อไปพิจารณายัง CJEU เพื่อพิจารณากำหนดแนวทาง โดย Google ได้อ้างว่าการฝ่าฝืนคำสั่งดังกล่าวเป็นไปเพื่อปกป้องหลักการที่ว่า "แต่ละประเทศสมควรที่จะสามารถชั่งน้ำหนักระหว่างเสรีภาพในการแสดงความคิดเห็น (freedom of expression) กับความเป็นส่วนตัว (privacy) ได้ตามแนวทางที่ตนกำหนดเลือก" โดยเป็นที่คาดการณ์กันว่าคดีดังกล่าวนี้จะยังไม่ได้รับการวินิจฉัยเพื่อวางแนวทางให้เป็นข้อยุติก่อนปี ค.ศ.2019
          1.6 ประเด็นเกี่ยวกับมาตรการบังคับให้เป็นไปตามสิทธิ
          จากหลักการตามคำวินิจฉัยคดี Google Spain ที่ได้กล่าวไปตามข้อ 1.1 ถึง 1.5 แม้โดยหลักการแล้วเจ้าของข้อมูลส่วนบุคคล สามารถยื่นข้อร้องเรียนให้ทบทวนการปฏิเสธของผู้ให้บริการ search engine ไปยังองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาลของประเทศสมาชิกสหภาพยุโรปได้ และหากองค์กรดังกล่าวเห็นพ้องด้วยกับเหตุผลก็จะได้ดำเนินการบังคับการให้เป็นไปตามสิทธิของผู้ยื่นข้อร้องเรียนต่อไป
          อย่างไรก็ตาม ในทางปฏิบัตินั้น แม้แต่ในขั้นตอนนี้ก็ยังประสบปัญหาเกี่ยวกับมาตรการกำกับดูแล และการบังคับการตามกฎหมายภายในของแต่ละประเทศสมาชิกสหภาพยุโรปที่มิได้มีสภาพบังคับในมาตรฐานที่สอดคล้องกันอย่างแท้จริง เนื่องจาก Directive 95/46/EC นั้นมิได้มีผลใช้บังคับแก่ประเทศสหภาพยุโรปโดยอัตโนมัติ หากแต่ประเทศสมาชิกมีภาระผูกพันที่จะต้องดำเนินการออกกฎหมายภายในให้เป็นไปตามหลักการของ Directive ดังกล่าวเสียก่อน แต่ละประเทศจึงมีการออกกฎหมายภายในว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของตนเอง และองค์กรคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศโดยมากก็เป็นองค์กรของรัฐที่มีอำนาจหน้าที่ตามที่กำหนดอยู่ในกฎหมายภายในฉบับนั้นๆ ซึ่งในทางปฏิบัติแล้วพบว่ายังคงมีการบัญญัติอำนาจหน้าที่ไว้แตกต่างกันอยู่
          สภาพปัญหาเกี่ยวกับมาตรการบังคับที่แตกต่างกันในแต่ละประเทศย่อมก่อให้เกิดปัญหาการบังคับใช้กฎหมายเนื่องจากการประกอบธุรกิจของบริษัทเกี่ยวกับข้อมูลส่วนบุคคลในโลกออนไลน์นั้นมีลักษณะข้ามชาติแม้อาจจะก่อตั้งบริษัทหรือสาขาของบริษัทเพียงในชาติใดชาติหนึ่งในประเทศสมาชิกสหภาพยุโรป โดยแนวทางการตีความของ CJEU ตาม Directive 95/46/EC Article 28(6) ประกอบ Article 4(1)(a) ในอดีตหลายๆ คดีนั้นค่อนข้างเคร่งครัดว่ากฎหมายที่ใช้บังคับกับคดีได้แก่กฎหมายของประเทศสมาชิกที่มีการดำเนินการประมวลผลข้อมูลและผู้ประมวลผลข้อมูลมีสถานที่ตั้งอยู่ แนวทางการตีความดังกล่าวก่อให้เกิดปัญหาเกี่ยวกับความไม่สะดวกสบาย ค่าใช้จ่าย และความล่าช้าต่อเจ้าของข้อมูลส่วนบุคคลในหลายๆ คดีที่สถานที่ตั้งของผู้ประมวลผลข้อมูลเป็นคนละประเทศหรืออยู่ห่างไกลโดยระยะทางกับภูมิลำเนาของเจ้าของข้อมูลส่วนบุคคล เพราะในทางปฏิบัติแล้วช่องโหว่จากมาตรการตามกฎหมายภายในที่แตกต่างกันนั้นได้ถูกบริษัทเกี่ยวกับข้อมูลส่วนบุคคลในโลกออนไลน์ใช้ในการเลือกสถานที่ตั้งบริษัทหรือสาขาของบริษัท (forum shopping) เพื่อดำเนินกิจการในสหภาพยุโรป
          ยกตัวอย่างเช่น กรณีของประเทศไอร์แลนด์ที่ตามกฎหมายภายในนั้นองค์กรคุ้มครองข้อมูลส่วนบุคคลของประเทศไอร์แลนด์ไม่มีอำนาจออกคำสั่งปรับทางปกครองแก่ผู้กระทำการฝ่าฝืนกฎหมายหรือคำสั่งแต่อย่างใด จึงไม่เป็นที่น่าแปลกใจว่าบริษัทจำนวนมาก เช่น Google Facebook LinkedIn และ Twitter เลือกที่จะใช้ไอร์แลนด์เป็นสถานที่ตั้งสำนักงานใหญ่ของบริษัทหรือสำนักงานสาขาหลักในสหภาพยุโรปเพื่อหลีกเลี่ยงสภาพบังคับเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
          ตัวอย่างคดีที่โด่งดังคดีหนึ่งซึ่งปรากฏความยุ่งยากลำบากแก่เจ้าของข้อมูลส่วนบุคคล เช่น คดีของนาย Schrems โจทก์ซึ่งเป็นประชาชนชาวออสเตรียแต่ต้องดำเนินการยื่นข้อร้องเรียนคัดค้านการที่บริษัท Facebook EU ที่มีสำนักงานใหญ่อยู่ในประเทศไอร์แลนด์ ได้โอนข้อมูลส่วนบุคคลของประชาชนในสหภาพยุโรปไปประมวลผลในประเทศสหรัฐอเมริกาที่ในขณะนั้นมีข้อวิพากษ์วิจารณ์เกี่ยวกับการจารกรรมข้อมูลในโครงการ Prism ที่รัฐบาลสหรัฐอเมริการ่วมมือกับบริษัทหลายรายกระทำต่อบัญชีของสมาชิก
          คดีดังกล่าวนี้โจทก์ประสบความยุ่งยากในการดำเนินคดีข้ามประเทศทั้งต่อองค์กรคุ้มครองข้อมูลส่วนบุคคลไอร์แลนด์ที่ปฏิเสธที่จะบังคับการตามข้อร้องเรียน ศาลภายในของประเทศไอร์แลนด์ ตลอดจน CJEU ที่มีการส่งประเด็นมาเพื่อวินิจฉัยเบื้องต้น สภาพปัญหาดังกล่าวนี้ย่อมสามารถเกิดขึ้นได้กับกรณีของบริษัทผู้ให้บริการ seacrh engine เช่นเดียวกัน
          กรณีปัญหาดังกล่าวอาจทวีความยุ่งยากมากยิ่งขึ้นหากเป็นกรณีที่บริษัทผู้ให้บริการ search engine เป็นบริษัทนอกสัญชาติ EU และไม่มีการจัดตั้งสำนักงานใหญ่ หรือสำนักงานสาขาใดๆ ในประเทศสมาชิกสหภาพยุโรป เนื่องจากว่ามาตรการบังคับตามกฎหมายของสหภาพยุโรปไม่ว่าจะเป็นคำสั่งทางปกครองหรือคำพิพากษาของศาลอาจไม่ได้รับการยอมรับและบังคับการให้โดยองค์กรของประเทศนอกสหภาพยุโรปที่อาจมีนิตินโยบายแตกต่างกัน แม้ว่าผลของคำวินิจฉัยคดี Google Spain จะมีอิทธิพลในทางบวกต่อการบังคับใช้สิทธิดังกล่าวในประเทศนอกสหภาพยุโรปในหลายกรณี เช่น ในเดือนตุลาคม ค.ศ.2014 ศาลของประเทศญี่ปุ่นได้พิพากษาให้ Google ลบ link แสดงผลการค้นหาจากชื่อและนามสกุลซึ่งเกี่ยวกับคดีอาญาของโจทก์ โดยเป็นการวางหลักกฎหมายที่พัฒนาผ่านคำพิพากษาโดยคำนึงถึงการตีความในคดี Google Spain แม้ว่าขณะนั้นประเทศญี่ปุ่นจะยังมิได้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ ในรัสเซียได้มีการตรากฎหมายรับรองหลักการทำนองเดียวกับ right to de-listing ของสหภาพยุโรป และมีผลบังคับใช้มาตั้งแต่ปี ค.ศ.2016
          อย่างไรก็ตาม สำหรับในบางประเทศนั้นการบังคับการตามสิทธิดังกล่าวยังเป็นเครื่องหมายคำถาม โดยเฉพาะอย่างยิ่ง ประเทศสหรัฐอเมริกาซึ่งเป็นประเทศเจ้าของเทคโนโลยีนั้นมิได้มีการบัญญัติรับรองสิทธิในการคุ้มครองข้อมูลส่วนบุคคลไว้เป็นสิทธิตามรัฐธรรมนูญ ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ แต่ในทางกลับกันในส่วนของเสรีภาพในการแสดงความคิดเห็นนั้นได้รับการปกป้องอย่างแข็งขันในฐานะสิทธิประการแรกที่ระบุอยู่ในรัฐธรรมนูญฉบับแก้ไขเพิ่มเติม Bill of rights ครั้งที่ 1 (the first amendment) ของสหรัฐอเมริกาและอาจให้ความคุ้มครองไปถึงผู้ให้บริการ search engine ในฐานะของสื่อด้วย แนวความคิดในการรับรองและบังคับ right to be forgotten จึงได้รับการวิพากษ์วิจารณ์จากนักนิติศาสตร์ส่วนใหญ่ของสหรัฐอเมริกาในขณะนี้ว่าอาจเป็นการขัดต่อรัฐธรรมนูญ
          ในระยะยาวเพื่อหลีกเลี่ยงมาตรการบังคับที่แตกต่างกันในแต่ละประเทศ จึงยังมีความจำเป็นต้องสร้างความร่วมมือระหว่างประเทศเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ความรู้ความเข้าใจในสิทธิหน้าที่ ตลอดจนระบบเทคโนโลยีที่เกี่ยวข้องร่วมกันของประชาคมโลก กระนั้น ในระยะสั้นเพื่อประโยชน์ในการคุ้มครองสิทธิในข้อมูลส่วนบุคคลของประชาชนของสหภาพยุโรป ย่อมมีความจำเป็นต้องพัฒนาหลักเกณฑ์ทางกฎหมายเพื่อเอื้อให้เกิดสภาพบังคับต่อผู้ประมวลผลข้อมูลซึ่งมิได้มีสถานที่ตั้งอยู่ในสหภาพยุโรปเป็นการเฉพาะเพิ่มมากยิ่งขึ้น
          2.Right to be forgotten ภายใต้ General Data Protection Regulation (GDPR)
          ภายใต้กฎหมายฉบับใหม่ของสหภาพยุโรปคือ GDPR ที่จะมีผลใช้บังคับแทน Directive 95/46/EC ตั้งแต่วันที่ 25 พฤษภาคม ค.ศ.2018 นั้น right to be forgotten ได้ถูกพัฒนาและยกระดับขึ้นเป็นสิทธิใหม่ที่ได้รับการรับรองโดยชัดแจ้งใน Article 17 "Right to erasure ('right to be forgotten')" โดยอาจพิจารณาสาระสำคัญโดยเปรียบเทียบในเชิงพัฒนาการกับสิทธิเดิมที่เคยได้รับการรับรองโดยคำวินิจฉัยของ CJEU ได้ดังต่อไปนี้
          2.1 เนื้อหาแห่งสิทธิ ผู้มีหน้าที่ และข้อยกเว้น
          ภายใต้ Article 17 ของ GDPR สิทธิดังกล่าวได้ก้าวไปไกลกว่า "right to de-listing" หรือการลบ link แสดงผลการค้นหาจากผู้ให้บริการ search engine เนื่องจากมีการเน้นย้ำในเนื้อหาแห่งสิทธิใหม่ว่าเป็น "right to erasure" หรือการลบซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลอย่างแท้จริง โดยไม่ชักช้า และสามารถใช้ยันได้ต่อผู้ประมวลผลข้อมูลทั้งหมด ทั้งเจ้าของ webpage ต้นฉบับที่ต้องด้วยบทนิยามตาม GDPR ว่าเป็นผู้ดำเนินการตัดสินใจว่าจะประมวลผลข้อมูลส่วนบุคคลหรือไม่ หรือผู้ให้บริการ search engine จากแนวทางการตีความในคดี Google Spain ทั้งนี้ การคงถ้อยคำในวงเล็บว่า right to be forgotten หลัง right to erasure นั้น มีเจตนารมณ์เพื่อเน้นย้ำถึงความสำคัญในการพัฒนา right to erasure เดิมตาม Directive 95/46/EC เข้าสู่การลบเลือนข้อมูลส่วนบุคคลในบริบททางดิจิทัล
          ใน Article 17 วรรคหนึ่ง (a) ถึง (f) ได้กำหนดถึงเหตุที่เจ้าของข้อมูลส่วนบุคคลอาจเรียกร้องให้ผู้ประมวลผลข้อมูลลบข้อมูลส่วนบุคคลของตนเสียไว้อย่างละเอียดชัดเจนยิ่งขึ้น อาทิ ข้อมูลส่วนบุคคลดังกล่าวไม่มีความจำเป็นต่อการประมวลผลอีกต่อไป เจ้าของข้อมูลส่วนบุคคลได้ยกเลิกความยินยอมที่เคยได้ให้ไว้สำหรับการประมวลผลข้อมูลและไม่มีเหตุอันชอบด้วยกฎหมาย อื่นๆ ที่ผู้ประมวลผลข้อมูลจะทำการประมวลผลข้อมูลต่อไป เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการประมวลผลข้อมูลนั้นและไม่มีเหตุอันชอบด้วยกฎหมายอื่นๆ ที่ได้รับความคุ้มครองเหนือกว่าสำหรับการประมวลผลข้อมูลต่อไป ข้อมูลส่วนบุคคลนั้นถูกประมวลผลโดยมิชอบด้วยกฎหมายหรือมีความจำเป็นต้องถูกลบเพื่อให้เป็นไปตามที่กฎหมายบัญญัติ รวมตลอดถึงกรณีที่ข้อมูลส่วนบุคคลเกี่ยวกับเยาวชนถูกจัดเก็บโดยผู้ให้บริการสังคมข้อมูลข่าวสาร (information society services)
          ยิ่งกว่านั้น Article 17 วรรคสอง ของ GDPR ยังได้กำหนดมาตรการใหม่เพื่อให้การใช้ right to be forgotten นั้นมีประสิทธิผลมากยิ่งขึ้น โดยได้กำหนดหน้าที่ให้ผู้ประมวลผลข้อมูล เมื่อได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคลให้ลบข้อมูลข้อมูลส่วนบุคคล ดำเนินการแจ้งผู้ประมวลผลข้อมูลอื่นๆ ที่ประมวลผลข้อมูลที่เกี่ยวข้องกับคำร้องขอนั้น ให้ดำเนินการลบ link สำเนา หรือผลลัพธ์ที่เกี่ยวกับข้อมูลส่วนบุคคลดังกล่าวด้วย ทั้งนี้ โดยพิจารณาความเป็นไปได้ในทางเทคโนโลยี และต้นทุนค่าใช้จ่าย ตามสมควรแก่กรณี
          มาตรการใหม่นี้แม้มีข้ออ่อนตรงที่ยังไม่มีการกำหนดสภาพบังคับแก่ผู้ประมวลผลข้อมูลรายอื่นที่ได้รับแจ้งการร้องขอลบข้อมูลส่วนบุคคลจากผู้ประมวลผลข้อมูลรายแรก ให้มีผลเสมือนเป็นการได้รับคำร้องจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเพื่อให้กระบวนการยื่นคำร้องต่อผู้ประมวลผลข้อมูลทั้งหมดมีผลด้วยการยื่นคำร้องเพียงฉบับเดียว แต่ก็เป็นที่คาดการณ์กันว่าเมื่อพิจารณาประกอบกับหลักเกณฑ์ที่ชัดเจนว่าเจ้าของข้อมูลส่วนบุคคลสามารถร้องขอให้ลบข้อมูลส่วนบุคคลต่อผู้ประมวลผลข้อมูลได้เป็นการทั่วไปแล้ว ย่อมสามารถเพิ่มโอกาสให้เจ้าของข้อมูลส่วนบุคคลมีโอกาสได้รับการเยียวยาความเสียหายโดยการลบข้อมูลส่วนบุคคลจากผู้ประมวลผลรายอื่นมากยิ่งขึ้น ยกตัวอย่างเช่น กรณีมีการร้องขอให้ Google ลบข้อมูลส่วนบุคคล โดยนัยของวรรคนี้ Google ย่อมต้องดำเนินการแจ้งไปยังเจ้าของ webpage ที่ปรากฏ link ผลการค้นหาทั้งหมด รวมตลอดจนผู้ให้บริการ search engine รายอื่น เพื่อให้ทราบถึงคำร้องที่ Google ได้รับ และผลการตัดสินใจลบของ Google ย่อมเพิ่มความเป็นไปได้ที่ผู้ประมวลผลข้อมูลรายอื่นจะได้ทำการลบข้อมูลส่วนบุคคลในส่วนของตนตามแบบอย่างของ Google เพื่อหลีกเลี่ยงความรับผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหากเจ้าของข้อมูลส่วนบุคคลดำเนินการร้องขอต่อตนโดยตรงในภายหลัง
          ในส่วนของข้อยกเว้นนั้น Article 17 วรรคสาม (a) ถึง (e) ของ GDPR ได้กำหนดข้อยกเว้นหน้าที่ของผู้ประมวลผลข้อมูลตามวรรคหนึ่งและวรรคสองไว้อย่างชัดเจนหลายประการ อาทิ เพื่อเป็นการใช้สิทธิในเสรีภาพในการแสดงความคิดเห็นและการเข้าถึงข้อมูลข่าวสาร (right of freedom of expression and information) เพื่อให้เป็นไปตามหน้าที่ตามที่กฎหมายบัญญัติ หน้าที่เพื่อประโยชน์สาธารณะ หรือการดำเนินการในนามขององค์กรของรัฐ ซึ่งผู้ประมวลผลจะต้องประมวลผลข้อมูลต่อไป กรณีประโยชน์สาธารณะเกี่ยวกับการสาธารณสุข กรณีประโยชน์สาธารณะเกี่ยวกับการวิจัยทางวิทยาศาสตร์และประวัติศาสตร์เฉพาะเหตุที่หากไม่ใช้ข้อยกเว้นดังกล่าวจะทำให้ประโยชน์สาธารณะดังกล่าวไม่อาจบรรลุผลหรือส่งผลเสียต่อประโยชน์ดังกล่าวอย่างร้ายแรง รวมตลอดถึงกรณีเพื่อประโยชน์ในการใช้เป็นข้อต่อสู้ในทางกฎหมาย
          การกำหนดหลักเกณฑ์ในการร้องขอใช้สิทธิลบข้อมูลส่วนบุคคล ตลอดจนข้อยกเว้นที่ชัดเจนตาม Article 17 ย่อมเป็นการสร้างความชัดเจนแก่ผู้ที่เกี่ยวข้องกับการบังคับใช้กฎหมาย ทั้งเจ้าของข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล ตลอดจนองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาล ให้มีความรู้ความเข้าใจ ตลอดจนการใช้ดุลพินิจบนหลักเกณฑ์เดียวกัน ตลอดจนยังประโยชน์ต่อการพัฒนาหลักกฎหมายผ่านการใช้การตีความหลักเกณฑ์ดังกล่าวในระยะยาวอีกด้วย
          2.2 สภาพบังคับในโลกดิจิทัลและมาตรการบังคับตามกฎหมาย
          GDPR Article 3 เน้นย้ำถึงสภาพบังคับใช้ทั่วโลกของกฎหมายฉบับนี้ต่อการประมวลผลข้อมูลของบุคคลที่อยู่ในสหภาพยุโรปในโดยไม่คำนึงถึงว่าการประมวลผลข้อมูลในทางปฏิบัติจะได้กระทำในเขตพื้นที่ของสหภาพยุโรปหรือไม่ รวมตลอดถึงเปิดช่องให้มีการใช้บังคับ GDPR ต่อผู้ประมวลผลข้อมูลที่มีที่ตั้งอยู่นอกเขตพื้นที่สหภาพยุโรปแต่ตกอยู่ใต้บังคับกฎหมายของประเทศสมาชิกเนื่องจากสภาพบังคับตามกฎหมายระหว่างประเทศแผนกคดีเมือง (เช่น มีความตกลงระหว่างประเทศระหว่างกัน) อีกด้วย GDPR ยังได้กำหนดมาตรการบังคับตามกฎหมายที่เพิ่มความเข้มข้นและสอดคล้องกันทั่วทั้งสหภาพยุโรป ยกตัวอย่างเช่น มาตรการเกี่ยวกับโทษปรับทางปกครอง ซึ่งใน Article 83 วรรคห้า (b) นั้น สามารถปรับใช้ในการบังคับให้ผู้ประมวลผลข้อมูลที่กระทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนของ right to be forgotten ตาม Article 17 ต้องรับโทษปรับทางปกครองไม่เกิน 20 ล้านยูโร หรือไม่เกินร้อยละ 4 ของผลประกอบการรวมรายปีทั่วโลกของผู้ประมวลผลข้อมูลรายนั้นตามแต่จำนวนใดจะสูงกว่า อีกทั้งมาตรการต่างๆ ตาม GDPR นั้นมีผลบังคับใช้ได้โดยทันทีในทุกประเทศอย่างสอดคล้องกันเนื่องจากถือเป็นส่วนหนึ่งของกฎหมายภายในของทุกประเทศสมาชิกโดยอัตโนมัติ Article 77 และ Article 79 ยังเพิ่มการอำนวยความสะดวกในการบังคับใช้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลโดยได้ยืนยันหลักการใหม่เกี่ยวกับสิทธิที่จะยื่นข้อร้องเรียนและได้รับมาตรการเยียวยาทางศาลที่มีประสิทธิภาพ โดยกำหนดให้เจ้าของข้อมูลส่วนบุคคลสามารถยื่นข้อร้องเรียนหรือเริ่มกระบวนการในชั้นศาลต่อองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาลที่ตนมีภูมิลำเนาอยู่ได้ตามลำดับ ยิ่งกว่านั้น ตาม Article 4 (17)ประกอบ Article 27 ได้กำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลที่ตั้งอยู่นอกสหภาพยุโรปจะต้องจัดตั้งตัวแทนขึ้นภายในเขตพื้นที่ของสหภาพยุโรป ทั้งนี้ เพื่อประกันการบังคับใช้มาตรการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพผ่านทางตัวแทนที่ผู้ประมวลผลข้อมูลดังกล่าวจัดตั้งขึ้นภายในเขตพื้นที่ของสหภาพยุโรปได้ต่อไป
          โดยสรุป อาจพิจารณาในเบื้องต้นได้ว่าสิทธิที่จะถูกลืม หรือ right to be forgotten นั้น กำลังอยู่ในระหว่างพัฒนาโดยประเทศสมาชิกสหภาพยุโรป จากสิทธิอย่างแคบเฉพาะการลบ link แสดงผลการค้นหาของผู้ให้บริการ search engine ที่ได้รับการรับรองผ่านคำวินิจฉัยของ CJEU เข้าสู่มิติใหม่ของสิทธิที่ได้รับการรับรองชัดแจ้งโดยกฎหมายที่จะเรียกร้องให้ผู้ประมวลผลข้อมูลลบข้อมูลส่วนบุคคลออกจากโลกดิจิทัลอย่างถาวรและเป็นรูปธรรม ข้อจำกัดและสภาพปัญหาในการตีความและบังคับใช้ Directive 95/46/EC ซึ่งขาดความเหมาะสมกับสภาวการณ์ทางสังคมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างมากมายในช่วง 20 ปีที่ผ่านมานั้น ดูเหมือนจะได้รับการพิจารณาปรับปรุงในหลายประเด็น ในวันที่ 25 พฤษภาคม ค.ศ.2018 ประชาชนในสหภาพยุโรปจะได้รับสิทธิที่พัฒนาขึ้นมาใหม่ให้เกิดความชัดเจนขึ้นทั้งในส่วนของเนื้อหาแห่งสิทธิ ผู้มีหน้าที่ ข้อยกเว้นแห่งสิทธิ สภาพบังคับที่เหมาะสมกับการประมวลผลข้อมูลในโลกออนไลน์ ตลอดจนมาตรการบังคับทางกฎหมายที่สอดคล้องและมีประสิทธิภาพมากยิ่งขึ้น ซึ่งเวลาจะเป็นผู้ให้คำตอบถึงผลลัพธ์ในทางปฏิบัติของบทบัญญัติตามกฎหมายใหม่ของสหภาพยุโรปฉบับนี้ว่าจะมีประสิทธิภาพในการบังคับใช้จริงมากน้อยเพียงไร ทั้งนี้ ประสบการณ์และสภาพปัญหาของสหภาพยุโรปในการบังคับใช้ Directive 95/46/EC ผ่านคำวินิจฉัยในคดี Google Spain และการบังคับใช้สิทธิดังกล่าวที่ได้รับรองโดย GDPR ในอนาคตอันใกล้นี้ จะเป็นตัวอย่างที่สมควรให้ความสนใจสำหรับประเทศที่อยู่ระหว่างการพิจารณากำหนดให้มีหรือแก้ไขกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลว่าจะให้การรับรอง right to be forgotten หรือไม่ ในขอบเขตแค่ไหนเพียงไร ตลอดจนมาตรการทางกฎหมายใดบ้างที่สำคัญและจำเป็น สมควรกำหนดเพื่อบังคับใช้สิทธิดังกล่าวให้เกิดประสิทธิภาพและสอดคล้องกับมาตรฐานสากลสำหรับโลกดิจิทัลที่กำลังจะมาถึง.--จบ--

          ที่มา: หนังสือพิมพ์ไทยโพสต์