ตามที่คณะกรรมาธิการยุโรปจะทำการปรับปรุงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Data Protection Directive) ซึ่งใช้บังคับมาตั้งแต่ปี พ.ศ. 2538 (ค.ศ. 1995) โดยจะทำการหารือผู้มีส่วนได้เสียทั้งหมดแล้วนำความเห็นมาประกอบการยกร่างแก้ไขปรับปรุงกฎหมายเพื่อเสนอต่อคณะมนตรียุโรปและรัฐสภายุโรปต่อไปนั้น เมื่อวันที่ 25 มกราคม 2555 คณะกรรมาธิการยุโรปด้านการยุติธรรมได้เสนอการปรับปรุงแก้ไขกฎหมายคุ้มครองข้อมูลต่อคณะมนตรีและรัฐสภายุโรปโดยให้เหตุผลความจำเป็นและข้อเสนอในการปรับปรุงกฎหมายในสาระสำคัญดังนี้
 

                    เหตุผลความจำเป็น

                    1.    การปรับปรุง Data Protection Directive ของประเทศสมาชิก (โดยการออกเป็นกฎหมาย/พ.ร.บ. ภายในประเทศ) ตั้งแต่ พ.ศ. 2538 เป็นต้นมา มีความแตกต่างกันทั้งในรายละเอียดและแนวทางปฏิบัติ ทำให้การคุ้มครองข้อมูลส่วนบุคคลในแต่ละประเทศสมาชิกมีระดับที่ไม่เท่าเทียมกัน และทำให้เกิดภาระค่าใช้จ่ายสูงสำหรับภาคธุรกิจในการปฏิบัติตามกฎระเบียบของแต่ละประเทศสมาชิกและกลายเป็นอุปสรรคทางการค้าสำหรับ SMEs ทั้งนี้หากบริษัทไม่สามารถปฏิบัติตามกฎระเบียบได้อย่างถูกต้อง ก็จะทำให้บริษัทขาดความเชื่อถือจากลูกค้าและส่งผลกระทบต่อการดำเนินธุรกิจทั้งในระยะสั้นและระยะยาว

                    2.    เทคโนโลยีด้านคอมพิวเตอร์และอินเตอร์เนตได้พัฒนาไปไกล โดยเฉพาะการเชื่อมโยงและจัดเก็บข้อมูลผ่าน social networking sites และระบบ cloud computing  ทำให้ระบบการคุ้มครองข้อมูลส่วนบุคคลตาม Data Protection Directive ล้าสมัยและไม่สามารถตอบสนองความต้องการของผู้ใช้งานในปัจจุบัน

                    3.    บทบัญญัติภายใต้กฎหมายเดิมยังขาดความชัดเจน และไม่ให้ความคุ้มครองแก่เจ้าของข้อมูลอย่างเพียงพอ ทำให้ผู้ใช้งานอินเตอร์เนตขาดความมั่นใจในการให้บริการแบบออนไลน์ต่างๆ ซึ่งส่งผลกระทบต่อการเติบโตของเศรษฐกิจในยุคดิจิตอลและการมุ่งสู่การเป็น Single Market ของสหภาพยุโรป 

                     ข้อเสนอปรับปรุงกฎหมาย

                     1.    รูปแบบ : ปรับกฎระเบียบให้เป็นรูปแบบเดียวกันทั้งสหภาพฯ โดยการเปลี่ยนกฎหมายจากรูปแบบ Directive (ซึ่งเป็นเพียงแนวทางให้แต่ละประเทศสมาชิกนำไปออกกฎหมายภายในประเทศ) เป็น Regulations (ซึ่งมี ผลใช้บังคับโดยตรงเสมือนหนึ่งเป็นกฎหมายภายในของแต่ละประเทศสมาชิก) ทำให้ทุกประเทศสมาชิกมีรูปแบบกระบวนการทางปกครองสำหรับการควบคุมและตรวจสอบที่เหมือนกัน ซึ่งจะช่วยลดภาระค่าใช้จ่ายของบริษัทต่างๆ  ในการปฏิบัติตามกฎหมาย โดยคาดว่าจะประหยัดค่าใช้จ่ายได้ถึง 2.3 พันล้านยูโรต่อปี และลดขั้นตอนทางราชการลง ซึ่งจะช่วยประหยัดค่าใช้จ่ายได้ถึง 130 ล้านยูโรต่อปี

                       2.    เนื้อหา : เพิ่มสิทธิในการลบข้อมูลทั้งหมด (right to be forgotten) ให้แก่เจ้าของข้อมูล เปลี่ยนหลักการจัดเก็บและประมวลผลข้อมูลเป็นให้กระทำได้ต่อเมื่อได้รับการยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลเท่านั้น เพิ่มหน้าที่และความรับผิดชอบให้แก่ผู้จัดเก็บและประมวลผลข้อมูล เช่น บังคับให้ผู้จัดเก็บข้อมูลต้องแจ้งการละเมิดหรือการถูกขโมยข้อมูลให้เจ้าของข้อมูลทราบภายใน 24 ชั่วโมง เป็นต้น ให้สิทธิแก่เจ้าของข้อมูลในการนำคดีทุกประเภทไปดำเนินการยังหน่วยงานคุ้มครองข้อมูลในประเทศที่ตนอาศัยอยู่แม้ว่าการประมวลผลจะเกิดขึ้นนอกประเทศตนก็ตาม เพิ่มความชัดเจนว่ากฎระเบียบใหม่นี้จะใช้บังคับแก่บริษัทในประเทศที่สามที่ให้บริการจัดเก็บหรือประมวลผลข้อมูลของเจ้าของข้อมูลที่อยู่ในสหภาพฯ และจะลดข้อยุ่งยากของกฎระเบียบเกี่ยวกับการส่งข้อมูลไปยังประเทศที่สาม

                       3.    กลไกการประสานงานแบบใหม่และการบังคับใช้กฎหมายที่เข้มงวดขึ้น : กำหนดให้ใช้ระบบ “one-stop-shop” โดยให้แต่ละประเทศสมาชิกมี Data Protection Authority (DPA) เพียงหนึ่งหน่วยงานเพื่อเป็นศูนย์กลางติดต่อประสานงานกับประชาชนและภาคธุรกิจ และให้บริษัทที่มีลูกจ้างมากกว่า 250 คนหรือที่ทำธุรกิจเกี่ยวข้องกับการจัดเก็บประมวลผลข้อมูลส่วนบุคคลจะต้องมี data protection officer ทำหน้าที่ดูแลเรื่องนี้โดยเฉพาะ ส่วนขั้นตอนการให้ความเห็นชอบแก่ Binding Corporate Rules (ซึ่งบริษัทมักใช้เป็นระเบียบภายในบริษัทสำหรับการส่งข้อมูลให้แก่บริษัทในเครือหรือคู่ค้าที่ตั้งอยู่ในประเทศที่สาม) ก็จะดำเนินการโดย DPA ในประเทศที่บริษัทนั้นมีสำนักงานใหญ่ตั้งอยู่เพียงครั้งเดียว และการให้ความเห็นชอบนั้นจะมีผลครอบคลุมทั้งสหภาพฯ  นอกจากนี้ ได้กำหนดเพิ่มค่าปรับแก่บริษัทที่ไม่ปฏิบัติตามกฎระเบียบให้สูงถึง 1 ล้านยูโร หรือร้อยละ 2 ของรายได้ (ต่อปี) จากการดำเนินงานทั่วโลก

                        เพื่อแลกเปลี่ยนความเห็นเกี่ยวกับข้อเสนอของคณะกรรมาธิการฯ ดังกล่าว เมื่อวันที่ 7 กุมภาพันธ์ 2554 องค์กร think tank ในเบลเยี่ยม Friends of Europe ได้จัดสัมมนาเรื่อง Europe’s Data Protection Future : Prospects and Implications for Business คลิ๊กที่นี่เพื่ออ่านสรุปผลการสัมมนาดังกล่าว 

                        ผลกระทบต่อประเทศไทย

                        1. การปรับปรุงกฎระเบียบให้เป็นหนึ่งเดียวกันทั้งสหภาพฯ ตามหลักการแล้ว น่าที่จะมีผลดีต่อภาคธุรกิจทั้งในแง่ ลดภาระค่าใช้จ่ายในการปฏิบัติตามกฎหมายและเพิ่มความสะดวกในการติดต่อกับหน่วยงานภาครัฐซึ่งอยู่ในรูปแบบ "one-stop-shop" ไม่ว่าจะเป็นบริษัทของสหภาพฯ เองหรือบริษัทจากประเทศที่สามที่เข้ามาลงทุนตั้งสำนักงานในสหภาพฯ เช่น สำนักงานสาขาของบริษัทการบินไทยฯ ที่ตั้งอยู่ในแต่ละประเทศสมาชิกสหภาพฯ เป็นต้น

                       2. บริษัทในประเทศที่สามที่ไม่ได้มาลงทุนตั้งสำนักงานในสหภาพฯ ก็อาจได้รับผลกระทบเช่นกัน เนื่องจากกฎระเบียบใหม่นี้จะใช้บังคับกับบริษัทในประเทศที่สามที่ให้บริการจัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลของประชาชนสหภาพฯ ด้วย ดังนั้น บริษัทไทยที่มีการจัดเก็บข้อมูลส่วนบุคคลของประชาชนสหภาพฯ เช่นธุรกิจท่องเที่ยว โรงแรม สายการบิน รถเช่า (ซึ่งมีการเก็บข้อมูลชื่อบุคคลที่มาใช้บริการ ที่อยู่ เบอร์โรศัพท์ บัตรเครดิต ใบขับขี่ ฯลฯ) หรือในธุรกิจเทคโนโลยีสารสนเทศที่ให้บริการ cloud computing แก่ลูกค้าสหภาพฯ ก็ต้องปฏิบัติตามกฎระเบียบนี้ด้วย อย่างไรก็ดี ในชั้นนี้ยังไม่มีความชัดเจนว่า ในทางปฏิบัติ บริษัทในประเทศที่สามจะต้องดำเนินการอย่างไร และติดต่อกับหน่วยงานใดทั้งในระดับสหภาพฯ และระดับประเทศสมาชิก จึงจะสอดคล้องกับกฎระเบียบดังกล่าวของสหภาพฯ 

                         3. มีการคาดการณ์ว่า หากกฎระเบียบใหม่ดังกล่าวมีผลบังคับใช้ สหภาพฯ จะผลักดันให้ประเทศคู่ค้าต่างๆ พัฒนากฎหมายของตนเพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลในระดับเดียวกัน โดยดำเนินการผลักดันผ่านเวทีความร่วมมือต่างๆ เช่น FTA หรือ PCA ดังนั้น จึงมีความเป็นไปได้ว่าสหภาพฯ อาจบรรจุเรื่องดังกล่าวนี้เป็นหัวข้อหนึ่งในการเจรจากับไทยในอนาคต