PDPA Thailand

2,744

PDPA Thailand
PDPA Thailand
pdpa โรงแรม

นับตั้งแต่แมริออทควบรวมกิจการกับ สตาร์วู๊ด ข้อมูลระบบและข้อมูลลูกค้าของโรงแรมก็ถูกบุกรุกและดักฟังโดยแฮคเกอร์เรียบร้อยแล้วเช่นกัน เดือนพฤศจิกายน 2561 วงการโรงแรมปรากฎข่าวใหญ่ คือ ทาง แมริออท ได้เปิดเผยเหตุการณ์ละเมิดข้อมูลโดยการโดนโจมตีทางไซเบอร์ ซึ่งเป็นข้อมูลของลูกค้าที่เข้ามาใช้บริการในโรงแรม และโรงแรมในเครือประมาณ 339 ล้านคนทั่วโลกอยู่ในความเสี่ยง และประจวบเหมาะกับช่วงเวลานั้นยุโรปประกาศใช้ GDPR (General Data Protection Regulation) ระเบียบการคุ้มครองข้อมูลของประชาชนในสหภาพยุโรป และผลจากเหตุการณ์เรื่องอื้อฉาวของการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าโรงแรมที่สำคัญ เช่น ข้อมูลรายชื่อ เลขหนังสือเดินทาง ข้อมูลบัตรเครดิตและธุรกรรมการเงิน ข้อมูลวันเวลาในการเข้าพัก เป็นต้น ทำให้แมริออทโดนสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ตั้งค่าปรับจากความผิดฐานละเมิดสูงถึง 124 ล้านเหรียญสหรัฐ

แม้ภายหลังทางแมริออทจะออกมายืนยันว่าบริษัทจะถูกปรับเป็นจำนวนเงิน 23.77 ล้านเหรียญสหรัฐเท่านั้น แต่เรื่องอื้อฉาวดังกล่าวได้ส่งผลเสียต่อภาพลักษณ์ของโรงแรมชั้นนำของโลก และปั่นทอนความเชื่อมั่นของลูกค้าอย่างที่ไม่สามารถจะฟื้นฟูได้ง่ายๆ ทั้งเป็นการจุดประเด็นเรื่องมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่เข้าใช้บริการในโรงแรมทั่วโลกเช่นกัน ด้วยเหตุนี้จึงนำไปสู่คำตอบที่ว่า ทำไมธุรกิจโรงแรมและบริการห้องพักแบบต่างๆ จึงต้องให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง

ก่อนอื่นต้องเข้าใจว่า ธุรกิจบริการห้องพักไม่ว่าจะเป็นรูปแบบ Hotel หรือแบบ Hostel ล้วนต้องดำเนินการภายใต้ พ.ร.บ.โรงแรม พ.ศ.2547 และตามกฎกระทรวงกำหนดประเภทและหลักเกณฑ์การประกอบธุรกิจโรงแรม พ.ศ. 2551 ดังนั้นในบรรทัดต่อจากนี้จึงขอใช้คำว่า ‘โรงแรม’ ซึ่งเป็นคำอิบายถึงลักษณะที่ถูกต้องของการให้บริการห้องพักแบบเป็นครั้งคราว และมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าที่เข้ามารับบริการตามนิยามของกฎหมาย PDPA เช่น

  • ข้อมูลการติดต่อ (ชื่อ นามสกุล หมายเลขโทรศัพท์  อีเมล)
  • ข้อมูลเฉพาะของบุคคล (วันเดือนปีเกิด เลขหนังสือเดินทาง เลขบัตรประจำตัวประชาชน สัญชาติ)
  • ข้อมูลที่เกี่ยวข้องกับผู้ติดตาม หรือผู้ที่อยู่ในความดูแล ( ชื่อ วันเกิด อายุ หมายเลขโทรศัพท์)
  • ข้อมูลธุรกรรมการเงินและการจอง (ชื่อ นามสกุล หมายเลขบัตรเครดิต อีเมล เบอร์โทรศัพท์)  
  • ข้อมูลการเดินทาง (กำหนดการเข้าพักและเช็กเอ้าท์)
  • ข้อมูลผู้เด็ก (ผู้เยาว์ที่ไม่เกิน 10 ปี หรือยังผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ)
  • ข้อมูลความชอบและความสนใจ (บริการเสริมอื่นๆ ที่ทำระหว่างพัก เช่น เล่นโยคะ ฟิตเนส ขี่จักยาน พายเรือ ดำน้ำ ร้องเพลง ดื่มเครื่องดื่ม หรือแม้แต่เมนูอาหารที่สั่งทำขั้นเป็นพิเศษ)
  • ข้อมูลการใช้อินเทอร์เน็ต (การเชื่อมต่อกับเว็บไซต์ ที่อยู่ IP, คุกกี้ หมายเลขอุปกรณ์เข้าสู่ระบบเครือข่าย บัญชีโซเชียลมีเดีย เป็นต้น)
  • ข้อมูลจากกล้องวงจรปิด CCTV (รูปภาพนิ่ง วิดีโอที่โรงแรมทีการบันทึกไว้ในช่วงที่ลูกค้ามาใช้บริการ)
  • ข้อมูลคำถาม/ความคิดเห็น (การตอบแบบสอบถามระหว่างเข้าพักหรือหลังจากเข้าพัก)
 

จะเห็นว่า ตามที่เราได้ยกตัวอย่างขึ้นมาก ข้อมูลส่วนบุคคลที่โรงแรมมีการจัดเก็บของลูกค้าที่มารับบริการนั้นมีเป็นจำนวนมาก ไม่เฉพาะประโยชน์ในด้านกิจกรรมภายในโรงแรม แต่ยังรวมถึงประโยชน์ในด้านกิจกรรมทางการตลาดและแบรนดิ้ง อาทิ การลงทะเบียนหรือสมัครสมาชิกเพื่อรับสิทธิพิเศษ หรือจดหมายข่าวเพื่อรับข้อเสนอและโปรโมชั่นผ่านทางอีเมล์ แต่บางโรงแรมยังมีบริการนำเที่ยว ซึ่งนั้นเท่ากับเป็นการส่งต่อข้อมูลส่วนบุคคลของลูกค้าที่มีการจัดเก็บไปเปิดเผยแก่บุคคลที่สามด้วย เช่น บริษัททัวร์ ตัวแทนท่องเที่ยว ระบบจองห้องพัก เช่ารถ จองร้านอาหาร และอื่นๆ อีกมากมาย หรือแม้แต่การทำบันทึกรายการเข้าพักของลูกค้าไปเปิดเผยต่อนายทะเบียน ตามพรบ. โรงแรม  และด้วยเหตุปัจจัยเหล่านี้ ธุรกิจโรงแรมจึงต้องสำรวจว่ามีการเก็บข้อมูลส่วนใดบ้าง เพื่อจะได้กำหนดฐานหรือเหตุผลในการจัดทำวัตถุประสงค์และขอความยินยอมการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นการดำเนินการตามที่ PDPA กำหนดไว้

pdpa โรงแรม

โรงแรม มีสถานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนิยามของกฎหมาย PDPA คือ บุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขณะเดียวกันยังมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processer) หรือมีการแต่งตั้งตัวแทนเพื่อทำหน้าที่ประมวลผลจากข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ทั้งยังมีการส่งต่อข้อมูลแก่บุคคลที่สาม (Third Party) อาทิเช่น บริษัททัวร์ นำเที่ยว แอปพลิเคชันจองห้องพักออนไลน์ ฯลฯ  จึงต้องมีการดำเนินการของธุรกิจให้สอดคล้องตามข้อบังคับของกฎหมายดังนี้

  1. ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) และสร้าง Privacy Policy หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ลูกค้าทราบ โดยการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลตามอำนาจหรือฐานทางกฎหมาย ฐานสัญญา หรือฐานความจำเป็นและประโยชน์โดยชอบที่กฎหมายระบุว่าสามารถดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้มาใช้บริการ และหากโรงแรมมีเว็บไซต์ที่เก็บข้อมูลคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย
  2. ขอความยินยอม(Consent) การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูล ผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบไอที และต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ โดยต้องแจ้งถึงผลกระทบหากเจ้าของข้อมูลไม่อนุญาตให้เก็บข้อมูลด้วย
  3. มาตรการคุ้มครองข้อมูลที่เหมาะสม ควรตรวจสอบให้แน่ใจว่าระบบไอทีของโรงแรมมีมาตรฐานเพียงพอ รวมถึงระบบการจัดเก็บข้อมูลบนอินเทอร์เน็ตที่มีมาตรฐานความปลอดภัยสูง และมีมาตรการในการป้องกันการโจมตีหรือการเข้าถึงข้อมูลของผู้ไม่ประสงค์ดี ที่สำคัญคือต้องมีบุคลากรที่มีความสามารถในการจัดการเรื่องความปลอดภัยของข้อมูลลูกค้าโดยเฉพาะ เนื่องจากข้อมูลลูกค้าที่โรงแรมจัดเก็บมีมากมายและมีความอ่อนไหวดังที่ยกตัวอย่างในตอนต้น ทั้งควรมีการอัพเดตและลบทำลายข้อมูลที่ไม่มีความจำเป็นแล้วอยู่เสมอ
  4. จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล การแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับผู้ประมวลผลข้อมูลฯ หรือคู่ค้าซึ่งเป็นบุคคลที่สาม จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA (Non-Disclosure Agreement) แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษาและปกป้องข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดและการดำเนินการตามวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล ข้อตกลงที่เป็นสัญญาอันมีผลทางกฎหมายจึงการป้องกันการนำข้อมูลไปใช้ผิดวัตถุประสงค์
  5. แจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคล โรงแรมจะต้องมีการจัดทำระบบเพื่อแจ้งสิทธิและการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลทั้งในด้านการใช้สิทธิต่างๆ เช่น ขอให้แก้ไข ระงับ เพิกถอนการยินยอม หรือให้ลบทำลายข้อมูลผ่านช่องทางที่เข้าถึงได้ง่ายและสะดวกทั้งไม่เป็นการผลักภาระค่าใช้จ่ายส่วนนี้แก่เจ้าของข้อมูล
  6. ทำบันทึกรายการ (Record of Processing Activities :RoPA) โรงแรมเป็นธุรกิจประเภทบริการ และบ่อยครั้งจะต้องมีกรณีพิพาทหรือคำร้องเรียนของผู้ใช้บริการอยู่เสมอ ทั้งนี้ในส่วนของการจัดการข้อมูลส่วนบุคคล ทางโรงแรมจึงต้องมีการทำบันทึกรายการ ซึ่งเบื้องต้นอาจจะเป็นการทำบันทึกการเก็บ รวบรวมใช้ และเปิดเผยข้อมูล ในกิจกรรมใดและวัตถุประสงค์ใดบ้าง รวมถึงต้องบันทึกคำร้องที่เจ้าของข้อมูลร้องขอให้ดำเนินการ และการบันทึกรายการเหตุการณ์ละเมิด โดยสามารถทำบันทึกในรูปแบบดิจิทัลเพื่อประโยชน์ในการแก้ไข ระงับ หรือ ลบออกได้โดยง่าย อย่างไรก็ตามการทำบันทึกรายการมีข้อยกเว้นสำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
  7. ประเมินความเสี่ยง กรณีโรงแรมที่การเก็บข้อมูลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง ผลกระทบมีความจำป็นอย่างยิ่งจะต้องทำ DPIA (Data Protection Impact Assessment) หรือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอโดยมีการจัดลำดับความสำคัญ ปริมาณ และผลกระทบที่อาจเกิดขึ้น หากข้อมูลนั้นเกิดการรั่วไหล ซึ่งตามกฎหมาย PDPA จะต้องแจ้งข้อมูลการละเมิดแก่คณะกรรมการคุ้มครองข้อมูลไม่เกิน 72 ชั่วโมง และหากการรั่วไหลนั้นอาจส่งผลกระทบต่อเจ้าของข้อมูล โรงแรมจะต้องแจ้งเหตุนั้นแก่เจ้าของข้อมูลให้ทราบด้วย
  8. แต่งตั้ง DPO ในโรงแรม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) เป็นบุคคลากรที่จะมาให้คำปรึกษา แนะนำ และดำเนินการในส่วนของธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลให้สามารถปฏิบัติได้ถูกต้องตามข้อกฎหมาย ซึ่งเป็นภาคบังคับสำหรับธุรกิจที่มีข้อมูลจำนวนมาก คือ มีข้อมูลส่วนบุคคลทั่วไป 50,000 ราย/ปี หรือมีข้อมูลส่วนบุคคลอ่อนไหว 5000 ราย/ปี หรือมีการเก็บข้อมูลส่วนบุคคลอย่างต่อเนื่อง ซึ่งกฎหมายบังคับว่าจะต้องแต่งตั้ง DPO กรณีของโรงแรมจึงต้องดูที่ความเหมาะสม แต่หากจะเอาให้ชัวร์การแต่งตั้ง DPO ในช่วงแรกๆ ก็เป็นผลที่คือทำให้องค์กรสามารถปรับตัวกับกฎหมาย PDPA ได้เร็วและปลอดภัยขึ้น

ภายใต้กฎหมาย PDPA ‘ โรงแรม’ ยังต้องทำอะไรเพิ่มอีกบ้าง

  1. ให้ความรู้แก่พนักงานของคุณ
  2. ทำความเข้าใจเกี่ยวกับสิทธิ์ตามกฎหมายของข้อมูลส่วนบุคคลลูกค้า
  3. สื่อสารให้ชัดเจนถึงการเก็บ ใช้หรือเปิดเผยข้อมูลของลูกค้า
  4. เก็บเฉพาะของมูลที่จำเป็นต้องใช้
  5. ข้อมูลส่วนบุคคลอ่อนไหว หากไม่จำเป็นไม่ควรเก็บ
  1. อัปเดตความยินยอมอยู่เสมอ
  2. จำกัดการเข้าถึงข้อมูงเฉพาะผู้มีหน้าที่
  3. โอนข้อมูลไปต่างประเทศต้องพิจรณากฎหมายอย่างรอบคอบ
  1. สร้าง CCTV Privacy Notice) และจัดทำ สติ๊กเกอร์ ‘CCTV Notice’
  2. เก็บข้อมูลเด็กต้องขอความยินยอมจากผู้ปกครอง

         

จะเกิดอะไรขึ้นถ้าหากโรงแรมคุณไม่ทำอะไรเลย?

บอกได้เพียงว่าทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล และที่สำคัญนักท่องเที่ยวโดยเฉพาะชาวต่างชาติให้ความสำคัญต่อสิทธิของข้อมูลอย่างมาก สิ่งเหล่านี้จึงไม่เฉพาะแค่การปฏิบัติตามกฎหมาย แต่ยังเป็นการสร้างมาตรฐานและความเชื่อมันให้กับลูกค้า ทั้งยังป้องกันเหตุละเมิดจากการโดนโจมตี เช่นกรณีของโรงแรมในเครือ แมริออท ที่อาจส่งผลร้ายกว่าที่คาดคิดได้ด้วย

pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม