ถอดประเด็นสำคัญ – บรรยายพิเศษเรื่อง “โรงแรมควรปฏิบัติอย่างไรไม่ให้ผิดกฎหมาย PDPA” โดย อาจารย์สุกฤษ โกยอัครเดช ประธานเจ้าหน้าที่ฝ่ายปรึกษาและสอบทาน DBC Group เมื่อวันจันทร์ที่ 23 กันยายน 2567
เมื่อ “โรงแรมกับข้อมูลส่วนบุคคลเป็นของคู่กัน” – โรงแรมเป็นธุรกิจอีกหนึ่งประเภทที่ใช้ข้อมูลส่วนบุคคลเพื่อให้บริการแก่ลูกค้าที่เข้าพัก บริหารจัดการในมิติต่าง ๆ ทำการตลาด เป็นต้น จึงมีความจำเป็นต้องดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA อย่างเคร่งครัด
สรุปประเด็นสุด Exclusive จากบรรยายพิเศษเรื่อง “โรงแรมควรปฏิบัติอย่างไรไม่ให้ผิดกฎหมาย PDPA” ที่ “โรงแรม” ไม่ควรพลาด
1. การแต่งตั้ง DPO (Data Protection Officer)
DPO คือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งตามกฎหมาย PDPA มาตรา 41(2) กำหนดว่าโรงแรมที่มีการประมวลผลข้อมูลส่วนบุคคล เข้าข่ายตามกฎหมายฉบับนี้ จำเป็นต้องแต่งตั้ง DPO เพื่อดูแลการปฏิบัติตามกฎหมายคุ้มครองข้อมูล
DPO มีหน้าที่ตรวจสอบให้แน่ใจว่าการเก็บรวบรวมและการใช้ข้อมูลของโรงแรมสอดคล้องกับ PDPA ซึ่งรวมถึงการให้คำแนะนำเกี่ยวกับนโยบายความเป็นส่วนตัวและการจัดการข้อมูลส่วนบุคคลได้ตาม PDPA กำหนด
หากไม่มีการแต่งตั้ง DPO ในกรณีที่จำเป็น โรงแรมอาจถูกปรับและถูกลงโทษ เช่น ข่าวภาคเอกชนถูกปรับ PDPA จำนวน 7 ล้านบาท เหตุทำข้อมูลส่วนบุคคลรั่วไหล
2. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
ตาม PDPA มาตรา 37(1) โรงแรมจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือการรั่วไหล
มาตรการรักษาความปลอดภัยที่เพียงพอควรครอบคลุมถึงการเข้ารหัสข้อมูล การป้องกันด้วยรหัสผ่าน การใช้ไฟร์วอลล์ และการจัดเก็บข้อมูลในสถานที่ที่ปลอดภัย ฯลฯ
หากโรงแรมไม่ปฏิบัติตามมาตรการความปลอดภัยตามที่กฎหมายกำหนด อาจถูกปรับหรือลงโทษทางกฎหมาย เช่นเดียวกับกรณีของ “ภาคเอกชน” ที่ไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ ลดเสี่ยง PDPA เริ่มขยับมาตรการรักษาความมั่นคงปลอดภัยข้อมูลกับ Cyber Security Baseline & Checklist
3. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
ตาม PDPA มาตรา 37(4) ระบุว่า หากโรงแรมพบว่าข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานถูกละเมิด โรงแรมต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง
การละเมิดข้อมูลอาจเกิดจากการถูกแฮ็กข้อมูล สูญหาย หรือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งโรงแรมต้องเตรียมแผนรับมือในกรณีที่เกิดการละเมิด
การแจ้งเหตุละเมิดข้อมูลต้องครอบคลุมถึงรายละเอียดของการละเมิด ผลกระทบที่อาจเกิดขึ้น และมาตรการที่โรงแรมดำเนินการเพื่อแก้ไขและป้องกันการเกิดเหตุละเมิดซ้ำ
วิธีจัดการ “เหตุละเมิดข้อมูลส่วนบุคคล” ได้ตามมาตรฐาน PDPA สำหรับทุกองค์กร
4. คำถามที่พบบ่อยเกี่ยวกับ PDPA
ถ่ายรูปติดลูกค้าในโรงแรมผิดกฎหมายหรือไม่: การถ่ายรูปที่ติดภาพลูกค้าต้องระมัดระวัง เพราะถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคล ลูกค้าต้องได้รับการแจ้งและอนุญาตก่อน โดยเฉพาะในกรณีที่ใช้รูปเพื่อการตลาดหรือการประชาสัมพันธ์
การเก็บข้อมูลใบสมัครงานของโรงแรม: โรงแรมสามารถเก็บข้อมูลใบสมัครงานของผู้สมัครที่ไม่ผ่านสัมภาษณ์ได้ แต่ต้องกำหนดระยะเวลาการเก็บที่เหมาะสมและต้องได้รับความยินยอมจากผู้สมัคร ไม่ควรเก็บไว้นานเกินความจำเป็น
การตรวจสุขภาพพนักงาน: การเก็บข้อมูลสุขภาพของพนักงาน เช่น การตรวจสุขภาพประจำปี โรงแรมสามารถเก็บข้อมูลเหล่านี้ได้ แต่ต้องได้รับความยินยอมจากพนักงานก่อน การเก็บข้อมูลสุขภาพโดยไม่ได้รับอนุญาต หรือความยินยอม อาจถือว่าผิด PDPA
การติดตั้งกล้อง CCTV: โรงแรมสามารถติดตั้งกล้อง CCTV เพื่อความปลอดภัยได้ แต่ต้องมีการแจ้งให้ลูกค้าทราบเกี่ยวกับการบันทึกภาพและระยะเวลาการจัดเก็บข้อมูล การเก็บข้อมูลโดยไม่แจ้ง อาจถือว่าผิด PDPA
การเก็บข้อมูลส่วนบุคคลของลูกค้า: หากลูกค้าสอบถามว่าทางโรงแรมเก็บข้อมูลอะไรเกี่ยวกับตัวเขาบ้าง โรงแรมมีหน้าที่ต้องให้ข้อมูลแก่ลูกค้า และลูกค้ามีสิทธิ์ขอให้ลบหรือทำลายข้อมูลตามที่ PDPA กำหนด
5. ผลกระทบและบทลงโทษหากไม่ปฏิบัติตาม PDPA
โรงแรมที่ไม่ปฏิบัติตาม PDPA อาจถูกลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง องค์กรทำผิดกรณ๊ไหน และโดนค่าปรับเป็นจำนวนเท่าไหร่ อ่านเติมเพิ่ม >> โทษ 3 ชั้นรออยู่ ถ้าข้อมูลส่วนบุคคลรั่วไหล
