บทบาทของหน่วยงานคุ้มครองข้อมูล: อินเดียและโลก

เผยแพร่แล้ว: 2019-12-19

GDPR ประเมินบทบาทของหน่วยงานคุ้มครองข้อมูลโดยพิจารณาจาก "ความเป็นอิสระ" และ "ความเพียงพอ"

ประเทศที่ไม่ได้เป็นส่วนหนึ่งของสหภาพยุโรปพบว่าเป็นการยากที่จะปฏิบัติตามอุดมคติที่ GDPR กำหนดไว้ทั้งหมด

เช่นเดียวกับอินเดีย บราซิลมีหน่วยงานคุ้มครองข้อมูลที่จัดตั้งขึ้น

หมายเหตุบรรณาธิการ: บทความนี้เขียนขึ้นก่อนที่ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลจะได้รับการอนุมัติจากคณะรัฐมนตรีของสหภาพแรงงาน โดยมีการเปลี่ยนแปลงที่ไม่เปิดเผยในร่างกฎหมายฉบับร่าง ซึ่งผู้เขียนคนนี้ได้อ้างอิงความคิดเห็นของพวกเขา ดังนั้นความคิดเห็นบางส่วนที่แสดงด้านล่างอาจไม่มีผลบังคับใช้ภายใต้ร่างกฎหมายฉบับแก้ไขอีกต่อไป

การสนทนาเกี่ยวกับความจำเป็นในการปกป้องข้อมูลและข้อบังคับโดยรอบได้เกิดขึ้นในโลกเมื่อเร็วๆ นี้ ความต้องการดังกล่าวมีมากขึ้นนับตั้งแต่รัฐสภาสหภาพยุโรปอนุมัติกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ในปี 2559 และบังคับใช้เมื่อไม่นานนี้ในปี 2561 ในทำนองเดียวกัน ประเทศอื่นๆ ก็มีระดับความสำคัญที่แตกต่างกันในการปกป้องสิทธิพลเมืองของตน เกี่ยวกับข้อมูล

อย่างไรก็ตาม หน่วยงานคุ้มครองข้อมูล – ซึ่งมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูล – ไม่ได้รับการกล่าวถึงเพียงพอ European Data Protection Board (EDPB) ซึ่งตั้งอยู่ในบรัสเซลส์ ได้รับการออกแบบมาเพื่อวัตถุประสงค์ในการรวมหน่วยงานคุ้มครองข้อมูลระดับชาติของประเทศสมาชิกต่างๆ เข้าด้วยกัน และพยายามที่จะจัดการประชุมที่กล่าวถึงข้อกังวลด้านข้อมูลและความเป็นส่วนตัวที่เกี่ยวข้องข้ามพรมแดน แนวคิดคือให้ความร่วมมือและเรียนรู้แนวทางปฏิบัติที่ดีที่สุดจากคู่กรณี สนทนาเกี่ยวกับวิธีการบังคับใช้กฎหมายความเป็นส่วนตัว ทำงานในโครงการริเริ่มร่วมกัน และวางกลยุทธ์เกี่ยวกับเทคนิคต่างๆ เพื่อสร้างความตระหนักรู้

ในอินเดีย ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล (2018) ระบุการจัดตั้งหน่วยงานคุ้มครองข้อมูลในมาตรา 49 บทที่ 10 ร่างกฎหมายแนะนำว่าอำนาจหน้าที่นี้ควรประกอบด้วยประธานและสมาชิกอีกหกคนซึ่งได้รับการแต่งตั้งจากรัฐบาลกลาง ข้อเสนอแนะจะต้องทำโดยคณะกรรมการคัดเลือกซึ่งมีหัวหน้าผู้พิพากษาของอินเดีย (CJI) เป็นประธานหรือผู้พิพากษาศาลฎีกาของอินเดียที่ได้รับการเสนอชื่อโดย CJI เลขานุการคณะรัฐมนตรีและผู้เชี่ยวชาญในสาขา (เสนอชื่อโดย CJI หรือผู้พิพากษาศาลฎีกาของอินเดีย เลขานุการคณะรัฐมนตรีจะได้รับการพิจารณาสำหรับการเสนอชื่อนี้ด้วย)

ร่างกฎหมายยังให้อำนาจแก่รัฐบาลกลางในส่วนที่เกี่ยวกับข้อกำหนดและเงื่อนไขของการจ้างงาน การถอดถอนสมาชิก และเงินช่วยเหลือ ซึ่งทำให้เกิดความกังวลในแง่ของความเป็นอิสระที่หน่วยงานจะมี ยังไม่มีแนวทางที่ชัดเจนในการจัดตั้งสำนักงานภูมิภาคในร่างกฎหมายฉบับนี้

นอกจากนี้ ร่างกฎหมายยังสร้างตำแหน่งเจ้าหน้าที่ตัดสินซึ่งได้รับการแต่งตั้งจากรัฐบาลกลาง และฝ่ายพิจารณาตัดสินซึ่งจะดูแลการแก้ไขและปกป้องสิทธิ์ของผู้ใช้ภายใต้ร่างกฎหมาย มีความชัดเจนเพียงเล็กน้อยเกี่ยวกับวิธีการที่จะใช้ในการจ้างเจ้าหน้าที่ดังกล่าว และไม่ได้สร้างแรงบันดาลใจให้เกิดความมั่นใจในแง่ของความโปร่งใสและความเป็นอิสระ ภายในร่างกฎหมายนี้ หน่วยงานคุ้มครองข้อมูลจะได้รับอนุญาตให้ใช้อำนาจในการตัดสินใจ และความท้าทายอย่างหนึ่งที่อินเดียสามารถคาดการณ์ได้ในอนาคตก็คือการทำให้มั่นใจว่าจะไม่อยู่เหนือการตรวจสอบของรัฐสภา

GDPR ประเมินบทบาทของหน่วยงานคุ้มครองข้อมูลโดยพิจารณาจาก 'ความเป็นอิสระ' และ 'ความเพียงพอ' ซึ่งรวมอยู่ในมาตรา 45(2)(b) โดยเน้นย้ำถึงความสำคัญของอำนาจหน้าที่ซึ่งจำเป็นต้องเป็นกลาง

แนะนำสำหรับคุณ:

วิธีที่กรอบงานผู้รวบรวมบัญชีของ RBI ถูกตั้งค่าให้เปลี่ยน Fintech ในอินเดีย
ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': CitiusTech CEO
ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

วิธีที่ Edtech Startups ช่วยเพิ่มทักษะและทำให้พนักงานพร้อมสำหรับอนาคต
ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

ประเทศในยุโรปได้ดำเนินการในการสร้างหน่วยงานดังกล่าว แต่อินเดียจะไม่สามารถรับรองการปฏิบัติตามได้เนื่องจากปัญหาที่เน้นในส่วนก่อนหน้า อินเดียควรจดบันทึกและเรียนรู้จากประสบการณ์ของประเทศต่างๆ ที่มุ่งเน้นการสร้างบทบาทของหน่วยงานคุ้มครองข้อมูลให้เป็นอิสระและเพียงพอ

ออสเตรีย เบลเยียม บัลแกเรีย โครเอเชีย ไซปรัส สาธารณรัฐเช็ก เดนมาร์ก เอสโตเนีย ฟินแลนด์ ฝรั่งเศส เยอรมนี กรีซ ฮังการี ไอร์แลนด์ อิตาลี ลัตเวีย ลิทัวเนีย ลักเซมเบิร์ก มอลตา เนเธอร์แลนด์ โปแลนด์ โปรตุเกส โรมาเนีย สโลวาเกีย สโลวีเนีย , สเปน, สวีเดน, สหราชอาณาจักร, ลิกเตนสไตน์ และนอร์เวย์ ล้วนเป็นประเทศที่จัดตั้งหน่วยงานคุ้มครองข้อมูลขึ้นเพื่อหารือและหารือเกี่ยวกับความเป็นส่วนตัวและความปลอดภัย และทำงานร่วมกันเป็นประจำ

รายละเอียดเกี่ยวกับสำนักงานและผู้ติดต่อของพวกเขาแสดงอยู่ในเว็บไซต์ของ European Data Protection Board เพื่อให้เจ้าหน้าที่มีความโปร่งใสและเข้าถึงได้มากขึ้นสำหรับพลเมืองของตน พวกเขารับฟังข้อร้องเรียนเมื่อพลเมืองตระหนักและแจ้งปัญหาที่เกี่ยวข้องกับความปลอดภัยของข้อมูลส่วนบุคคลของตน และเปิดรับข้อเสนอแนะที่สำคัญเกี่ยวกับวิธีที่พวกเขาจะทำให้แคมเปญมีประสิทธิภาพมากขึ้น งานประจำวันของพวกเขาเป็นหลักเพื่อให้แน่ใจว่าสิทธิขั้นพื้นฐานในความเป็นส่วนตัวได้รับการสนับสนุนและรักษาไว้

อย่างไรก็ตาม ประเทศที่ไม่ได้เป็นส่วนหนึ่งของสหภาพยุโรปพบว่าเป็นการยากที่จะปฏิบัติตามอุดมคติทั้งหมดที่ GDPR วางไว้ สหรัฐอเมริกายังไม่ได้จัดตั้งหน่วยงานคุ้มครองข้อมูลในขณะนี้ – ปัญหาทางการค้าอยู่ภายใต้ขอบเขตของ Federal Trade Commission (FTC) และมีกฎหมายเช่นกฎหมายความเป็นส่วนตัวของสหรัฐอเมริกาและพระราชบัญญัติ Safe Harbor ซึ่งพยายามปกป้อง ความเป็นส่วนตัวและข้อมูลส่วนบุคคลของพลเมืองของตน ในทำนองเดียวกัน ในด้านต่าง ๆ เช่น การดูแลสุขภาพ บริการทางการเงิน การสื่อสารโทรคมนาคม และการประกันภัย มีกฎหมายและข้อบังคับเฉพาะสำหรับภาคส่วนที่ถูกกล่าวถึง

ในรัสเซีย Roskomnadzor เป็นที่รู้จักในฐานะ Data Protection Authority ซึ่งมองข้ามการรวบรวม จัดเก็บ และแบ่งปันข้อมูลส่วนบุคคล และยังมีอำนาจในการกำหนดกฎการป้องกันข้อมูลและพยายามรักษาความปลอดภัยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII)

เมื่อเร็ว ๆ นี้ Google และ Facebook ถูก Roskomnadzor วิจารณ์เนื่องจากถูกกล่าวหาว่าละเมิดกฎหมายการเลือกตั้งของรัสเซีย ประเทศจีนมีหน่วยงานกำกับดูแลที่เรียกว่า Cyberspace Administration of China (CAC) ซึ่งควบคุมและเซ็นเซอร์โดเมนอินเทอร์เน็ตและทุกสิ่งที่เกี่ยวข้อง แม้ว่ากระทรวงความมั่นคงสาธารณะจะมีอยู่เพื่อจัดการกับข้อกังวลที่คล้ายคลึงกัน แต่ CAC ก็เป็นหน่วยงานกำกับดูแลหลัก นอกเหนือจากนั้น เช่นเดียวกับสหรัฐอเมริกาแล้ว ยังมีหน่วยงานกำกับดูแลเฉพาะภาคส่วนซึ่งเลือกที่จะจำกัดการมุ่งเน้นของพวกเขา

เช่นเดียวกับอินเดีย บราซิลมีหน่วยงานคุ้มครองข้อมูลที่จัดตั้งขึ้น – หน่วยงานคุ้มครองข้อมูลแห่งชาติ (ANPD) ANPD ประกอบด้วยคณะกรรมการบริหาร สภาแห่งชาติ หน่วยตรวจสอบ หน่วยตรวจการแผ่นดิน หน่วยที่ปรึกษากฎหมายและฝ่ายบริหาร หน่วยเฉพาะสำหรับการบังคับใช้ LGPD (Lei Geral de Protecao de Dados) ซึ่งเป็นกฎหมายทั่วไป ของการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ยังเป็นองค์กรทางการเมืองที่มีเอกราชเพียงเล็กน้อย นอกจากนี้ ANPD ยังได้รับภาระหนักเกินควรด้วยมาตรการการบริหารนอกเหนือจากการตัดสิน

เนื่องจากประเทศเพื่อนบ้านและในทางภูมิศาสตร์ที่ใกล้ชิดกับอินเดียจึงมองหาแรงบันดาลใจในการกำหนดกฎหมายเกี่ยวกับอินเทอร์เน็ตที่พัฒนาอย่างรวดเร็วและจุดสุดยอดของข้อกังวลที่สังคมต้องเผชิญ การกำหนดบทบาทของหน่วยงานคุ้มครองข้อมูลจึงมีความสำคัญอย่างยิ่ง

โดยได้รับแรงบันดาลใจจาก GDPR ซึ่งกำหนดบทบาทของหน่วยงานอย่างชัดเจน อินเดียจำเป็นต้องให้ความสำคัญกับหลักการของความเพียงพอและความเป็นอิสระ การใช้อำนาจหน้าที่มากเกินไปหรือทำให้กระบวนการแต่งตั้งเสียไปจะไม่นำไปสู่ความโปร่งใสที่เรียกร้องจากทั่วโลก อนาคตของความเป็นส่วนตัวและความปลอดภัย และบทบาทของการจัดเก็บและแบ่งปันข้อมูลระหว่างข้อกังวลเหล่านี้สามารถแก้ไขได้ผ่านหน่วยงานคุ้มครองข้อมูลที่มีแนวคิดชัดเจนเท่านั้น

[บทความนี้ร่วมเขียนโดย Kazim Rizvi และ Trisha Pande ผู้จัดการนโยบายที่ The Dialogue]