8 เรื่องจำเป็นที่ Hotel – Hostel ต้องปฏิบัติให้ถูกต้องตามกฎหมาย PDPA
นับตั้งแต่แมริออทควบรวมกิจการกับ สตาร์วู๊ด ข้อมูลระบบและข้อมูลลูกค้าของโรงแรมก็ถูกบุกรุกและดักฟังโดยแฮคเกอร์เรียบร้อยแล้วเช่นกัน เดือนพฤศจิกายน 2561 วงการโรงแรมปรากฎข่าวใหญ่ คือ ทาง แมริออท ได้เปิดเผยเหตุการณ์ละเมิดข้อมูลโดยการโดนโจมตีทางไซเบอร์ ซึ่งเป็นข้อมูลของลูกค้าที่เข้ามาใช้บริการในโรงแรม และโรงแรมในเครือประมาณ 339 ล้านคนทั่วโลกอยู่ในความเสี่ยง และประจวบเหมาะกับช่วงเวลานั้นยุโรปประกาศใช้ GDPR (General Data Protection Regulation) ระเบียบการคุ้มครองข้อมูลของประชาชนในสหภาพยุโรป และผลจากเหตุการณ์เรื่องอื้อฉาวของการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าโรงแรมที่สำคัญ เช่น ข้อมูลรายชื่อ เลขหนังสือเดินทาง ข้อมูลบัตรเครดิตและธุรกรรมการเงิน ข้อมูลวันเวลาในการเข้าพัก เป็นต้น ทำให้แมริออทโดนสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ตั้งค่าปรับจากความผิดฐานละเมิดสูงถึง 124 ล้านเหรียญสหรัฐ แม้ภายหลังทางแมริออทจะออกมายืนยันว่าบริษัทจะถูกปรับเป็นจำนวนเงิน 23.77 ล้านเหรียญสหรัฐเท่านั้น แต่เรื่องอื้อฉาวดังกล่าวได้ส่งผลเสียต่อภาพลักษณ์ของโรงแรมชั้นนำของโลก และปั่นทอนความเชื่อมั่นของลูกค้าอย่างที่ไม่สามารถจะฟื้นฟูได้ง่ายๆ ทั้งเป็นการจุดประเด็นเรื่องมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่เข้าใช้บริการในโรงแรมทั่วโลกเช่นกัน ด้วยเหตุนี้จึงนำไปสู่คำตอบที่ว่า ทำไมธุรกิจโรงแรมและบริการห้องพักแบบต่างๆ จึงต้องให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง ก่อนอื่นต้องเข้าใจว่า ธุรกิจบริการห้องพักไม่ว่าจะเป็นรูปแบบ Hotel หรือแบบ Hostel ล้วนต้องดำเนินการภายใต้ พ.ร.บ.โรงแรม พ.ศ.2547 และตามกฎกระทรวงกำหนดประเภทและหลักเกณฑ์การประกอบธุรกิจโรงแรม พ.ศ. 2551 ดังนั้นในบรรทัดต่อจากนี้จึงขอใช้คำว่า […]
ใครต้องรับผิดชอบ ? หากเกิดการละเมิดข้อมูลส่วนบุคคล ตามบทบัญญัติของกฎหมาย PDPA
‘ความรับผิดชอบ’ เป็นคำที่ยิ่งใหญ่ แต่หากดูที่แก่นความหมายซึ่งเป็นการสนธิของสองคำ คือ รับผิด+โดยชอบ อันหมายถึง ‘หน้าที่’ คือ สิ่งที่ต้องทำ แต่ก็น่าแปลกที่สิ่งเหล่านี้อาจจะไม่ใช่ทุกคน หรือทุกองค์กรอยากทำ เพราะมักจะนำไปเปรียบเทียบกับภาระอันยิ่งใหญ่ หรือผลจากการกระทำในเชิงลบที่ต้องมีคนต้องแบกรับ และอาจด้วยเหตุผลนี้ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้กำหนด หน้าที่ ตามมาด้วยความรับผิดชอบสำหรับสถานะต่างๆ ภายใต้การดำเนินการด้านข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งหากเกิดข้อมูลรั่วไหลอันนำไปสู่การละเมิดข้อมูลส่วนบุคคล (Data Breach) และคำถามที่หลายคนอยากรู้คือ ความรับผิดชอบนั้นจะตกอยู่ที่ใคร? แต่ก่อนที่จะกล่าวถึงความรับผิดชอบตามกฎหมาย PDPA ในกรณีการละเมิดข้อมูลส่วนบุคคล มาดูความหมายและตัวอย่างของการละเมิดข้อมูลส่วนบุคคลตามนิยามของกฎหมาย ซึ่งหมายถึง เหตุการณ์ หรือการกระทำที่นำไปสู่การเก็บรวบรวม เข้าถึง สูญหาย ทำลาย เปลี่ยนแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเจตนา หรือเกิดความผิดพลาดโดยไม่ตั้งใจ ยกกรณีตัวอย่าง เช่น : สถาบันการเงินส่งไปใบแจ้งหนีไปผิดคน โรงพยาบาลส่งผลตรวจสุขภาพไปผิดบ้าน องค์กรโดนโจมตีทางไซเบอร์ ศูนย์ข้อมูลทำงานผิดพลาดจนทำให้ข้อมูลเสียหาย หรือถูกโจรกรรม การส่งต่อข้อมูลหรือแชร์โดยเจ้าของข้อมูลไม่อนุญาต พนักงานในองค์กรขโมยข้อมูลลูกค้าไปขายหรือใช้ประโยชน์ส่วนตัว ร้านกาแฟแอบติดกล้องวงจรปิดเพื่อบันทึกภาพลูกค้าที่เข้ามาใช้บริการในร้าน ข้อมูลส่วนบุคคลที่เกิดการรั่วไหลหรือละเมิดอาจจะมีผลที่ตามมา เช่น […]
