จากบทความครั้งที่แล้ว เรื่อง เมื่อการท่องเที่ยวกลับมาคึกคัก ธุรกิจการท่องเที่ยวและโรงแรมต้องรับมือกับการบังคับใช้ PDPA อย่างไร ? ที่ได้มีการกล่าวถึงภาพรวมของธุรกิจการโรงแรมและที่พัก ในวันนี้เราจะมาเจาะลึกรายละเอียดของแต่ละกระบวนการว่าเกี่ยวข้องกับการคุ้มครองข้อมุลส่วนบุคคลอย่างไรบ้าง โดยกระบวนการแรกคือกระบวนการรับการจองห้องพัก (Reservation) ซึ่งเป็นกระบวนการที่ต่อเนื่องจากที่ลูกค้าค้นหาที่พักและมีการเปรียบราคาก่อนตัดสินใจจองที่พัก โดยทั่วไปแล้วสามารถแบ่งช่องทางการจองออกได้เป็น 2 ประเภท ได้แก่ 1) การจองโดยผู้เข้าพักโดยตรง (Direct guest) เช่น เว็บไซต์โรงแรม โทรศัพท์ อีเมล หรือการจองผ่านแพลตฟอร์มการสื่อสารอื่นๆ เป็นต้น และ 2) การจองผ่านทางตัวแทนรับจองห้องพัก (Agent) ซึ่งจะมี 2 ประเภทย่อย คือ ตัวแทนรับจองห้องพักทั่วไป (Travel Agent) และ ตัวแทนรับจองห้องพักออนไลน์ (Online Travel Agent : OTA)
การจองห้องพัก เป็นกิจกรรมแรกที่มีการเก็บข้อมูลส่วนบุคคลครั้งแรก โดยทั่วไปแล้วข้อมูลที่มีการเก็บในกิจกรรมนี้แบ่งออกได้เป็น 2 ประเภท คือ
- ข้อมูลทั่วไป เช่น ชื่อนามสกุล เลขบัตรประชาชน/หนังสือเดินทาง อีเมล หมายเลขโทรศัพท์ ช่วงเวลาการเข้าพักและการเดินทาง หลักฐานการโอนเงิน ข้อมูลบัตรเครดิต เป็นต้น
- ข้อมูลอ่อนไหว เช่น ข้อมูลอาหารที่แพ้ ซึ่งอาจมีการเก็บมากรณีลูกค้ามีความต้องการพิเศษ
การจัดเก็บข้อมูลสำหรับกิจกรรมการจองห้องพักดังกล่าว โรงแรมสามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลทั่วไปของผู้เข้าพักได้ เนื่องจากเป็นการจำเป็นใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการโรงแรม แต่ในส่วนของข้อมูลประเภทความอ่อนไหว เช่น ข้อมูลการแพ้อาหาร ซึ่งเป็นสุขภาพ โรงแรมควรเพิ่มการใช้ฐานความยินยอม (Consent) ตามมาตรา 19 ประกอบมาตรา 26 โดยการขอความยินยอม นั้นอาจทำเป็นเอกสารหรือรูปแบบอิเล็กทรอนิกส์ก็ได้ ควรขอก่อนหรือขณะที่ลูกค้าทำการลงทะเบียนเข้าพัก จำเป็นต้องมีการแจ้งวัตถุประสงค์ในการเก็บที่ชัดเจน ใช้รูปแบบของข้อความที่เข้าใจง่าย ให้ความอิสระกับผู้เข้าพัก ไม่เป็นการบังคับ ไม่เป็นเงื่อนไขต่อการให้บริการ และแจ้งผลกระทบการถอนความยินยอม
แต่อย่างไรก็ตามข้อมูลประเภทอ่อนไหวที่มีการเก็บในกิจกรรมการจองห้องพักนี้ ควรหลีกเลี่ยงการจัดเก็บเพราะจะเป็นการเพิ่มภาระในการที่โรงแรมจะต้องไปขอความยินยอมจากผู้เข้าพัก อีกทั้งไม่มีความจำเป็นในการจัดเก็บ ซึ่งหากต้องการเก็บข้อมูลอ่อนไหวเหล่านี้ โรมแรมเองก็จะมีหน้าที่เพิ่มเติมในการดูแลข้อมูลที่เกินความจำเป็น และโรงแรมต้องไม่ลืมว่าขั้นตอนการจอง
นั้นผู้เข้าพักอาจมีการยกเลิกการจองเมื่อใดก็ได้ หรือหากโรงแรมพิจารณาว่ามีความจำเป็นต้องเก็บควรเปลี่ยนไปจัดเก็บในกระบวนการลงทะเบียนเข้าพัก (Registration) แทน สำหรับการอำนวยความสะดวกในการบริการแก่เจ้าของข้อมูลส่วนบุคคล
นอกการขอความยินยอมแล้ว โรงแรมต้องมีการแจ้งประกาศความเป็นส่วนตัว (Privacy notice) ให้ผู้เข้าพักทราบ เพื่อแจ้งรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล ทางโรงแรมอาจแจ้งผ่านหน้าเว็บไซต์ ทางอีเมล เอกสาร หรือผ่านทาง QR code เพื่อให้ผู้เข้าพักทราบ ทั้้งนี้ขึ้นอยู่กับความสะดวกของโรงแรม โดยต้องมีการระบุรายละเอียดขั้นต่ำที่กฎหมายกำหนด ได้แก่
- วัตถุประสงค์ของการเก็บรวบรวม ใช้ เปิดเผย
- แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติ ตามกฎหมายหรือสัญญาหรือรวมทั้งแจ้งถึง ผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูล
- ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
- ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย
- ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ
- สิทธิของเจ้าของข้อมูลส่วนบุคคล
การเก็บรักษา (Storage) ส่วนใหญ่ข้อมูลที่จัดเก็บจะมีทั้งที่อยู่ในรูปแบบอิเล็กทรอนิกส์และรูปแบบเอกสาร ส่วนของข้อมูลรูปแบบอิเล็กทรอนิกส์ ที่อาจมีการใช้ระบบการลงทะเบียนเข้าพัก โรงแรมควรมีการกำหนดสิทธิการเข้าถึงข้อมูลของพนักงานแต่ละคนด้วยระบบการยืนยันตัวตน (Authentication) เช่น การใช้ Username/Password ที่เข้าถึงได้ยากเพื่อป้องกันการรั่วไหลของข้อมูลรวมถึงมีการทบทวนอยู่เสมอ เป็นต้น กรณีที่เป็นรูปแบบเอกสารกระดาษควรมีสถานที่เก็บเอกสารที่เป็นกิจจะลักษณะ กำหนดสิทธิการเข้าถึงว่าฝ่ายใดที่เข้าถึงได้บ้างและมีกุญแจล็อค
ในกรณีที่ลูกค้ามีการจองและยืนยันการจองแล้ว กระบวนการขั้นต่อไปคือการลงทะเบียนเข้าพัก (Registration) แต่หากลูกค้าทำการยกเลิกการจองห้องพัก เอกสารหรือข้อมูลส่วนบุคคลที่โรงแรมมีการเก็บนั้นควรพิจารณากรอบความจำเป็นในการเก็บว่าควรมีระยะเวลานานเท่าใด และหากไม่มีความจำเป็นแล้ว โรงแรมต้องทำลายเอกสารหรือข้อมูลดังกล่าวให้เรียบร้อย ซึ่งอาจดำเนินการทำลายตามลักษณะของเอกสาร คือ รูปแบบเอกสารกระดาษ อาจกำหนดการทำลายด้วยเครื่องย่อยกระดาษ การเผา หรือการส่งให้บริษัทที่ทำหน้าที่ทำลายเอกสาร ส่วนกรณีรูปแบบเอกสารอิเล็กทรอนิกส์อาจใช้วิธีการลบ หรือทำให้เป็นข้อมูลนิรนาม ที่ไม่สามารถระบุตัวบุคคลได้
โรมแรมบางแห่งอาจมีการใช้ระบบการชำระเงิน (Payment gateway) หรือระบบที่รวบรวมและโอนเงินลูกค้าไปยังโรงแรม หรือก็คือตัวกลางทางธุรกิจระหว่างลูกค้ากับโรงแรม เข้ามาเกี่ยวข้องด้วย โดยบริษัทที่ให้บริการระบบชำระเงิน นั้น อาจมีการแลกเปลี่ยนข้อมูลกันระหว่างโรงแรม ดังนั้น ระหว่าง โรงแรมกับผู้ให้บริการระบบชำระเงิน ควรมีการทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคลกัน (Data Sharing Agreement : DSA) โดยอาจเพิ่มเนื้อหาเข้าไปในสัญญา หรือ แนบท้ายสัญญา ทั้งนี้เพื่อ ช่าวยให้คู่สัญญาทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล รวมถึงการกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคล
กรณีที่เป็นการรับจองผ่านทางตัวแทนรับจอง (Agent) โดยจะมีอยู่ 2 รูปแบบ คือ ตัวแทนรับจองทั่วไปและตัวแทนรับจองออนไลน์ (Online Travel Agent : OTA) เนื่องจากโรงแรมไม่ได้เก็บข้อมูลด้วยตัวเอง และมีการแลกเปลี่ยนข้อมูลส่วนบุคคลของผู้จอง โรมแรมกับตัวแทนรับจองควรมีการจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคลด้วย (Data Sharing Agreement : DSA) รวมถึงมีการแจ้งประกาศความเป็นส่วนตัว ตามรายละเอียดที่ได้กล่าวมาในข้างต้นด้วย
กิจกรรมการจองห้องพักนั้น เป็นกิจกรรรมที่มีความสำคัญมาก เป็นต้นทางในการเก็บข้อมูลส่วนบุคคลของผู้เข้าพัก ซึ่งเป็นสิ่งที่ผู้ประกอบการธุรกิจโรงแรมและที่พัก ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความสำคัญและระมัดระวัง เพราะจะส่งผลต่อความน่าเชื่อถือและความไว้วางใจของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการ การที่โรงแรมปฏิบัติให้เป็นไปตาม PDPA จึงมีความจำเป็นที่จะต้องลงทุน/สนับสนุนทรัพยากรทั้งด้านบุคลากรและเวลาในการปรับตัวให้สอดคล้องกับกฎหมายดังกล่าว และควรมีการปรับปรุง ทบทวนการทำงานอย่างต่อเนื่องและสม่ำเสมอ เพื่อป้องกันโอกาสในการรั่วไหลหรือการล่วงละเมิดข้อมูลส่วนบุคคล และเพื่อเป็นการสร้างมั่นใจให้กับผู้เข้าพัก ซึ่งเป็นเจ้าของข้อมูล (Data Subject) ในกิจกรรมนี้ ว่าเมื่อมาใช้บริการของท่านแล้ว ข้อมูลจะได้รับการคุ้มครองอย่างมั่นคงและปลอดภัย
