ทะเบียนเข้าพัก (ร.ร.4) และบัตรผู้เข้าพัก (ร.ร.3) ที่โรงแรมต้องส่งให้กับกรมการปกครองและมีเก็บไว้เพื่อตรวจสอบ มีความเสี่ยงด้าน PDPA อย่างไร

แชร์

อ่าน

ครั้ง

โดย : ไพศาล สามิภัตย์

ทะเบียนเข้าพัก (ร.ร.4) และบัตรผู้เข้าพัก (ร.ร.3) ที่โรงแรมต้องส่งให้กับกรมการปกครองและมีเก็บไว้เพื่อตรวจสอบ มีความเสี่ยงด้าน PDPA อย่างไร

แชร์

อ่าน

ครั้ง

โดย : ไพศาล สามิภัตย์

     จากบทความครั้งที่แล้ว เรื่อง เก็บข้อมูลผู้เข้าพักอย่างไร ในขั้นตอนการลงทะเบียนเข้าพัก (Checked-in Process) ให้ถูกต้องตาม PDPA ที่ได้มีการกล่าวถึงกระบวนการการเก็บข้อมูลเมื่อลูกค้าเข้าพักซึ่งเป็นจุดที่มีการเก็บข้อมูลผู้เข้าพักครั้งแรกโดยโรงแรมมีหน้าที่แจ้งประกาศความเป็นส่วนตัวและการขอความยินยอมกรณีที่อาจมีการเก็บข้อมูลอ่อนไหวเมื่อโรงแรมไม่สามารถหาฐานทางกฎหมายมารองรับได้ ในบทความนี้เราจะกล่าวถึงกิจกรรมที่มีความต่อเนื่องจากการลงทะเบียนเข้าพัก นั่นก็คือ กระบวนการการนำส่งทะเบียนผู้เข้าพัก (ร.ร.4) ซึ่งเป็นหน้าที่ตามกฎหมายที่โรงแรมต้องส่งรายละเอียดผู้เข้าพักให้กับกรมการปกครอง รวมถึงเราจะมาพิจารณาถึงความเสี่ยงอื่นๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

     กิจกรรมการนำส่งเอกสารการเข้าพักให้กับราชการ ในการลงทะเบียนเข้าพักนั้น เอกสารที่โรงแรมมีหน้าที่ต้องนำส่งหน่วยงานราชการมีอยู่ด้วยกัน 2 เอกสาร คือ

1) เอกสารทะเบียนผู้เข้าพัก หรือ  ร.ร.4 ให้กับกรมการปกครอง และ

2) เอกสาร ตม.30 ที่ต้องนำส่งให้กับสำนักงานตรวจคนเข้าเมือง ซึ่งผู้เขียนจะนำไปกล่าวถึงในบทความถัดไป

     สำหรับเอกสาร ร.ร.3 หรือ บัตรทะเบียนผู้พักโรงแรม เป็นเอกสารที่กรมการปกครองกำหนดให้โรงแรมต้องจัดให้มีการบันทึกรายการต่างๆ เกี่ยวกับผู้พักและจํานวนผู้พักในแต่ละห้องทันทีที่มีการเข้าพัก โดยให้ผู้พักคนใดคนหนึ่งเป็นผู้ลงลายมือชื่อในบัตรทะเบียนผู้พัก หากผู้พักมีอายุต่ำกว่า 18 ปีบริบูรณ์และเข้าพักตามลําพัง ให้ผู้จัดการหรือผู้แทนลงลายมือชื่อกํากับไว้และ

ภาพแสดงตัวอย่าง แบบฟอร์มใบ ร.ร.3

   โรงแรมต้องนําไปบันทึกลงในทะเบียนผู้พัก (ร.ร.4) ให้แล้วเสร็จภายใน 24 ชั่วโมงหลังจากมีการลงทะเบียนเข้าพัก

    ข้อมูลส่วนบุคคลที่มีการเก็บใน ร.ร.3 ที่กฎหมายกำหนด ได้แก่ ชื่อ นามสกุล วันเดือนปีเกิด อาชีพ สัญชาติ ที่อยู่ปัจจุบัน หมายเลขโทรศัพท์ มากจากที่ใด และจะไปที่ใด เลขบัตรประชาชน และรายละเอียดต่างๆในบัตร รายละเอียดการเข้าพัก ซึ่งโดยส่วนใหญ่โรงแรมจะทำการพิมพ์แบบฟอร์ม ร.ร.3 เพื่อให้ผู้เข้าพักทำการกรอกรายละเอียดเอง จากนั้นโรงแรมจะนำข้อมูลดังกล่าวกรอกในแบบ ร.ร.4 ซึ่งเป็นแบบฟอร์มทะเบียนผู้พักโรงแรม ซึ่งโรงแรมมีหน้าที่ต้องส่งสําเนาทะเบียนผู้พัก (ร.ร. 4) ในแต่ละวันไปให้นายทะเบียนทุกสัปดาห์แล้วให้นายทะเบียนทําใบรับมอบให้ไว้เป็นสําคัญ หากโรงแรมอยู่ห่างไกลหรือไม่สามารถส่งได้ตามกําหนดดังกล่าว ให้นายทะเบียนพิจารณากําหนดระยะเวลาส่งสําเนาดังกล่าวและแจ้งให้ผู้จัดการทราบ โดยข้อมูลที่มีการเก็บใน ร.ร.4 ได้แก่ วันที่เข้าพัก ชื่อนามสกุล สัญชาติ เลขประจำตัวประชาชนหรือเลขพาสปอร์ต ที่อยู่ อาชีพ รายละเอียดการเดินทาง

ภาพแสดงตัวอย่าง แบบฟอร์มใบ ร.ร.4

    ในการเก็บข้อมูล ร.ร.3 และ ร.ร.4 นั้น เป็นการจัดเก็บตามกฎหมาย ได้แก่ พระราชบัญญัติโรงแรม พ.ศ. 2547 ดังนั้น โรงแรมสามารถอ้างฐานปฏิบัติตามกฎหมาย (Legal Obligation) มาตรา 24(6) ในการใช้และเปิดเผยได้ ทั้งนี้ โรงแรมต้องมีการแจ้งวัตถุประสงค์ในการประมวลผลดังกล่าวในประกาศความเป็นส่วนตัวให้ผู้เข้าพักทราบเมื่อมีการเก็บข้อมูลครั้งแรก ซึ่งอาจแจ้งในขั้นตอนที่มีการลงทะเบียนเข้าพักก็ได้

     เนื่องการส่งเอกสารดังกล่าวในปัจจุบันนั้นโรงแรมสามารถส่งรูปแบบออนไลน์ได้ แต่สิ่งที่น่ากังวลเกี่ยวกับ PDPA คือ เมื่อโรงแรมนำส่งเอกสารให้กับหน่วยงานราชการแล้ว เอกสารที่มีอยู่ทั้งรูปแบบออนไลน์และรูปแบบกระดาษโรงแรมควรจัดการอย่างไร เพราะข้อมูลที่มีอยู่นั้นถือเป็นข้อมูลส่วนบุคคลที่มีความเสี่ยงกระทบต่อตัวเจ้าของข้อมูล หากเกิดการรั่วไหลหรือเกิดการละเมิดข้อมูล

     หลักการการจัดเก็บหนึ่งที่โรงแรมควรคำนึงคือ หลักการเก็บข้อมูลตามระยะเวลาที่จำกัด (Storage limitation) โดยเมื่อหมดระยะเวลาการจัดเก็บตามกฎหมายแล้วควรทำลายทิ้ง ในการเก็บรักษา เนื่องจากข้อมูลที่จัดเก็บอาจมีทั้งข้อมูลที่เป็น Hard copy และ Soft file เอกสาร Hard copy โรงแรมควรมีการจัดเก็บในพื้นที่มีการกำหนดการเข้าถึงว่าบุคคลระดับใดบ้างที่เข้าถึงได้และ อาจมีการล็อคกุญแจ ในส่วนเอกสาร Soft file ซึ่งต้องมีการนำส่งกรมการปกครองผ่านทางเว็บไซต์และอาจมีการเก็บไว้ในฐานข้อมูล โรงแรมควรมีการกำหนดการเข้าถึงของข้อมูล ว่าบุคคลในระดับใดบ้างที่เข้าถึงได้ และควรมีการกำหนดรหัสการเข้าถึงเพื่อเป็นการป้องการการรั่วไหลของข้อมูลด้วย

     เมื่อนำส่งเอกสารให้กับกรมการปกครองแล้ว เอกสารบัตรทะเบียนผู้พัก (ร.ร.3) และทะเบียนผู้พัก (ร.ร.4) โรงแรมต้องมีการเก็บไว้อย่างน้อย 1 ปี เพื่อการตรวจสอบจากกรมการปกครอง เนื่องจากเป็นระยะเวลาที่กำหนดตามกฎหมาย ตามมาตรา 35 พระราชบัญญัติโรงแรม พ.ศ. 2547 และเมื่อครบกำหนดการจัดเก็บโรงแรมต้องกำหนดวิธีการทำลายเอกสารให้ชัดเจน เช่น การเผา การลบ การทำให้เป็นข้อมูลนิรนาม หรือการใช้เครื่องย่อยเอกสาร ทั้งนี้ขึ้นอยู่กับความสะดวกของโรงแรม

     กระบวนการนำส่งทะเบียนผู้เข้าพัก (ร.ร.4) ให้กับกรมการปกครองและบัตรผู้เข้าพัก (ร.ร.3) เป็นกิจกรรมที่มีความสำคัญเนื่องจากมีการเก็บข้อมูลเพิ่มเติมจากขั้นตอนการจองห้องพัก มีการเก็บข้อมูลจำนวนมาก หากโรงแรมไม่มีมาตรการที่เพียงพอในเก็บการรักษาหรือปฏิบัติตามหลักการเก็บข้อมูลตามระยะเวลาจำกัด (Storage limitation) ซึ่งเป็นสิ่งที่ผู้ประกอบการธุรกิจโรงแรมและที่พัก ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความสำคัญและระมัดระวัง เพราะจะส่งผลต่อความน่าเชื่อถือและความไว้วางใจของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการ รวมถึงเพื่อป้องกันโอกาสในการรั่วไหลหรือการล่วงละเมิดข้อมูลส่วนบุคคล และเพื่อเป็นการสร้างมั่นใจให้กับผู้เข้าพัก ซึ่งเป็นเจ้าของข้อมูลในกิจกรรมนี้ ว่าเมื่อมาใช้บริการของท่านแล้ว ข้อมูลจะได้รับการคุ้มครองอย่างมั่นคงและปลอดภัย

วิทยากร E-Larning-13
ไพศาล สามิภัตย์
ที่ปรึกษากฎหมายคุ้มครองข้อมูลส่วนบุคคล จาก PDPA Thailand