ทะเบียนเข้าพัก (ร.ร.4) และบัตรผู้เข้าพัก (ร.ร.3) ที่โรงแรมต้องส่งให้กับกรมการปกครองและมีเก็บไว้เพื่อตรวจสอบ มีความเสี่ยงด้าน PDPA อย่างไร
จากบทความครั้งที่แล้ว เรื่อง เก็บข้อมูลผู้เข้าพักอย่างไร ในขั้นตอนการลงทะเบียนเข้าพัก (Checked-in Process) ให้ถูกต้องตาม PDPA ที่ได้มีการกล่าวถึงกระบวนการการเก็บข้อมูลเมื่อลูกค้าเข้าพักซึ่งเป็นจุดที่มีการเก็บข้อมูลผู้เข้าพักครั้งแรกโดยโรงแรมมีหน้าที่แจ้งประกาศความเป็นส่วนตัวและการขอความยินยอมกรณีที่อาจมีการเก็บข้อมูลอ่อนไหวเมื่อโรงแรมไม่สามารถหาฐานทางกฎหมายมารองรับได้ ในบทความนี้เราจะกล่าวถึงกิจกรรมที่มีความต่อเนื่องจากการลงทะเบียนเข้าพัก นั่นก็คือ กระบวนการการนำส่งทะเบียนผู้เข้าพัก (ร.ร.4) ซึ่งเป็นหน้าที่ตามกฎหมายที่โรงแรมต้องส่งรายละเอียดผู้เข้าพักให้กับกรมการปกครอง รวมถึงเราจะมาพิจารณาถึงความเสี่ยงอื่นๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล กิจกรรมการนำส่งเอกสารการเข้าพักให้กับราชการ ในการลงทะเบียนเข้าพักนั้น เอกสารที่โรงแรมมีหน้าที่ต้องนำส่งหน่วยงานราชการมีอยู่ด้วยกัน 2 เอกสาร คือ 1) เอกสารทะเบียนผู้เข้าพัก หรือ ร.ร.4 ให้กับกรมการปกครอง และ 2) เอกสาร ตม.30 ที่ต้องนำส่งให้กับสำนักงานตรวจคนเข้าเมือง ซึ่งผู้เขียนจะนำไปกล่าวถึงในบทความถัดไป สำหรับเอกสาร ร.ร.3 หรือ บัตรทะเบียนผู้พักโรงแรม เป็นเอกสารที่กรมการปกครองกำหนดให้โรงแรมต้องจัดให้มีการบันทึกรายการต่างๆ เกี่ยวกับผู้พักและจํานวนผู้พักในแต่ละห้องทันทีที่มีการเข้าพัก โดยให้ผู้พักคนใดคนหนึ่งเป็นผู้ลงลายมือชื่อในบัตรทะเบียนผู้พัก หากผู้พักมีอายุต่ำกว่า 18 ปีบริบูรณ์และเข้าพักตามลําพัง ให้ผู้จัดการหรือผู้แทนลงลายมือชื่อกํากับไว้และ ภาพแสดงตัวอย่าง แบบฟอร์มใบ ร.ร.3 โรงแรมต้องนําไปบันทึกลงในทะเบียนผู้พัก (ร.ร.4) ให้แล้วเสร็จภายใน 24 ชั่วโมงหลังจากมีการลงทะเบียนเข้าพัก ข้อมูลส่วนบุคคลที่มีการเก็บใน ร.ร.3 ที่กฎหมายกำหนด […]
เก็บข้อมูลผู้เข้าพักอย่างไร ในขั้นตอนการลงทะเบียนเข้าพัก (Checked-in Process) ให้ถูกต้องตาม PDPA
จากบทความครั้งที่แล้ว เรื่อง Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม ที่ได้มีการกล่าวถึงกระบวนการการรับส่งผู้เข้าพักจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ซึ่งอาจมีความเสี่ยงเกี่ยวกับการเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ ในบทความนี้จะกล่าวถึง กระบวนการการลงทะเบียนเข้าพัก (Checked-in Process) ซึ่งเป็นขั้นตอนที่เมื่อลูกค้าได้ทำการค้นหาที่พัก เปรียบเทียบราคา ทำการจองห้องพักและได้เดินทางมาที่โรงแรม สิ่งแรกที่ผู้เข้าพักจะต้องทำคือการลงทะเบียนเข้าพัก ซึ่งการที่โรงแรมจะสามารถดำเนินการให้ครอบคลุมตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โรงแรมต้องพิจารณาจากวงจรการไหลเวียนข้อมูล ตั้งแต่ การเก็บ การเก็บรักษา การใช้ การเปิดเผย และการทำลายข้อมูล ในการเก็บข้อมูลการลงทะเบียนเข้าพัก โดยทั่วไปแล้วข้อมูลที่มีการจัดเก็บในกระบวนการนี้ เช่น ชื่อ นามสกุล เลขประจำตัวประชาชน/เลขหนังสือเดินทาง อีเมล หมายเลขโทรศัพท์ ช่วงเวลาการเข้าพักและการเดินทาง หลักฐานการโอนเงิน ข้อมูลบัตรเครดิต ข้อมูลการแพ้ทางร่างกายและอาหารที่แพ้ ข้อมูลโรค สภาพความพิการ เป็นต้น ในการจัดเก็บข้อมูลทางโรงแรมสามารถใช้ฐานสัญญา ตามมาตรา 24 (3) ในการจัดเก็บข้อมูลส่วนบุคคลทั่วไป ของผู้เข้าพักได้ เนื่องจากเป็นการดำเนินการการตามสัญญาใช้บริการ ในส่วนข้อมูลที่มีความอ่อนไหว (Sensitive data) เช่น ข้อมูลการแพ้ ข้อมูลโรค ซึ่งเป็นสุขภาพ โรงแรมควรใช้ฐานความยินยอม (Consent) ตามมาตรา […]
PDPA Awareness เรื่องสำคัญที่ไม่ควรมองข้าม
การมีผลบังคับใช้ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีการกำหนดหลักเกณฑ์และวิธีการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมไปถึงกำหนดบทบาทหน้าที่ต่าง ๆ ให้กับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วน หนึ่งในหน้าที่ที่กฎหมายกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติคือ การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูล โดยมาตรการดังกล่าวต้องรวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งาน (user) หรือเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล PDPA awareness คือการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ที่เป็นการสื่อสารให้บุคลากร พนักงาน หรือลูกจ้างในองค์กรเห็นว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นมีความสำคัญอย่างไร ทั้งยังชี้ให้เห็นถึงความเสี่ยงที่เกิดจากการใช้ข้อมูลส่วนบุคคลในการทำงานโดยไม่ใช้ความระมัดระวัง จะก่อให้เกิดโทษอย่างไรบ้าง การสร้างเสริมความตระหนักรู้ให้แก่บุคลากร พนักงาน หรือลูกจ้าง เป็นการป้องกันความผิดพลาดที่เกิดจากบุคคล (human error) ในการนำข้อมูลส่วนบุคคลไปใช้ใช้การดำเนินงานขององค์กร สิ่งสำคัญอย่างแรกที่จะต้องมีการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร คือ ความรู้พื้นฐานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (PDPA Fundamental awareness) เพื่อให้บุคลากรได้ทราบว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นสำคัญอย่างไรกับการทำงาน มีหลัการพื้นฐานอย่างไร การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการอย่างไรจึงจะสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้างตามกฎหมายฉบับนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีบทบาทหน้าที่อะไรบ้าง รวมถึงโทษที่จะได้รับหากไม่ปฏิบัติตามกฎหมาย ซึ่งการสร้างความตระหนักรู้ในส่วนนี้บุคลากร พนักงาน […]
รู้หรือยัง ! คุณสามารถตรวจสอบว่าใครใดบ้างที่เข้าถึงข้อมูลทะเบียนบ้านและสำเนาบัตรประชาชนได้ ที่สำนักบริหารการทะเบียน กรมการปกครอง
สิทธิในการเข้าถึงข้อมูลส่วนบุคคลนั้น เป็นสิทธิที่ให้เจ้าของข้อมูลส่วนบุคคลสามารถแสดงคำขอเข้าถึงข้อมูลส่วนบุคคลของตนได้จากผู้ควบคุมข้อมูลส่วนบุคคลไม่ว่าจะเป็นหน่วยงานรัฐหรือหน่วยงานเอกชน เมื่อไม่นานมานี้ สำนักบริหารการทะเบียน กรมการปกครอง ได้ออกประกาศเพื่อให้ประชาชนสามารถเข้าถึงข้อมูลส่วนบุคคล ซึ่งแสดงรายละเอียดว่ามีใคร หรือหน่วยงานใดที่เข้าถึงข้อมูลเราบ้าง ซึ่งสามารถใช้สิทธิได้ทั้งรูปแบบออนไลน์หรือที่สำนักบริหารทะเบียนได้โดยตรง สำนักบริหารการทะเบียน คือ หน่วยงานที่มีอำนาจหน้าที่ดำเนินการตามกฎหมายว่าด้วยการทะเบียนราษฎร บัตรประจำตัวประชาชน กฎหมายว่าด้วยสัญชาติและการทะเบียนอื่นที่อยู่ในความรับผิดชอบของกรมการบริหารจัดการฐานข้อมูลกลาง เพื่อการใช้ประโยชน์ร่วมกันทั้งภาครัฐ และภาคเอกชน รวมทั้ง ปฏิบัติงานร่วมกับหรือสนับสนุนการปฎิบัติงานอื่นที่เกี่ยวข้องหรือที่ได้รับมอบหมาย พระราชบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 30 ได้กำหนดให้ เจ้าของข้อมูลส่วนบุคคล มีสิทธิในการเข้าถึงและและขอสำเนา (Right of Access) ซึ่งสิทธินี้เป็นสิทธิที่ให้เจ้าของข้อมูลส่วนบุคคลสามารถแสดงคำขอเข้าถึงข้อมูลส่วนบุคคลของตนที่ผู้ควบคุมเก็บรวมรวมไว้ เพื่อตรวจสอบและรับรู้รายละเอียดที่เกี่ยวข้อง และสามารถขอรับสำเนาข้อมูลส่วนบุคคลที่ผู้ควบคุมได้เก็บรวบรวมไว้ นอกจากนี้ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิเสธการใช้สิทธิได้ หากเป็นกรณี 1) ผู้ควบคุมข้อมูลส่วนบุคคลพิสูจน์ได้ว่าการปฏิเสธนั้นเป็นไปตามกฎหมายหรือคำสั่งศาล 2) คำขอนั้นขัดต่อสิทธิหรือเสรีภาพของผู้อื่น เช่น ความลับทางการค้า มีข้อมูลทรัพย์สินทางปัญญา เป็นส่วนหนึ่งของข้อมูล เป็นต้น นอกจากนี้ การขอเข้าถึงข้อมูลดังกล่าวยังเป็นไปตามระเบียบสำนักทะเบียนกลาง กรมการปกครอง ว่าด้วยการคุ้มครองและการจัดการข้อมูลทะเบียนประวัติราษฎร พ.ศ. 2561 ที่กำหนดให้เจ้าของข้อมูลมีสิทธิขอให้เปิดเผยข้อมูลทะเบียนราษฎร พร้อมหลักฐานต่อนายทะเบียน ณ สำนักทะเบียนกลาง หรือหน่วยงานบริการงานทะเบียนอื่นแห่งใดก็ได้ […]
บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (PDPA Thailand)ได้รับเชิญเป็นวิทยากรในหัวข้อ Legal and Accounting 101 – Protecting Your Startup and Everything about PDPA that Startups need to know ภายในงาน Makers United 2023 ในวันที่ 23 พฤษภาคม 2566
อาจารย์สุกฤษ โกยอัครเดช : Chief PDPA Consultant and Auditor บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด (PDPA Thailand) และเลขาธิการสมาคมผู้ตรวจสอบและให้คำปรึกษาการคุ้มครองข้อมูลส่วนบุคคลไทย (TPDPA) ได้รับเชิญเป็นวิทยากรในหัวข้อ Legal and Accounting 101 – Protecting Your Startup and Everything about PDPA that Startups need to know เพื่อให้ความรู้ความเข้าใจเกี่ยวกับกฎหมาย PDPA ที่เกี่ยวข้องการผู้ประกอบการธุรกิจสตาร์ทอัพ และร่วมออกบูธเพื่อนำเสนอบริการด้าน PDPA อาทิ PDPA Consulting Services, PDPA […]
