นับตั้งแต่แมริออทควบรวมกิจการกับ สตาร์วู๊ด ข้อมูลระบบและข้อมูลลูกค้าของโรงแรมก็ถูกบุกรุกและดักฟังโดยแฮคเกอร์เรียบร้อยแล้วเช่นกัน เดือนพฤศจิกายน 2561 วงการโรงแรมปรากฎข่าวใหญ่ คือ ทาง แมริออท ได้เปิดเผยเหตุการณ์ละเมิดข้อมูลโดยการโดนโจมตีทางไซเบอร์ ซึ่งเป็นข้อมูลของลูกค้าที่เข้ามาใช้บริการในโรงแรม และโรงแรมในเครือประมาณ 339 ล้านคนทั่วโลกอยู่ในความเสี่ยง และประจวบเหมาะกับช่วงเวลานั้นยุโรปประกาศใช้ GDPR (General Data Protection Regulation) ระเบียบการคุ้มครองข้อมูลของประชาชนในสหภาพยุโรป และผลจากเหตุการณ์เรื่องอื้อฉาวของการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าโรงแรมที่สำคัญ เช่น ข้อมูลรายชื่อ เลขหนังสือเดินทาง ข้อมูลบัตรเครดิตและธุรกรรมการเงิน ข้อมูลวันเวลาในการเข้าพัก เป็นต้น ทำให้แมริออทโดนสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ตั้งค่าปรับจากความผิดฐานละเมิดสูงถึง 124 ล้านเหรียญสหรัฐ
แม้ภายหลังทางแมริออทจะออกมายืนยันว่าบริษัทจะถูกปรับเป็นจำนวนเงิน 23.77 ล้านเหรียญสหรัฐเท่านั้น แต่เรื่องอื้อฉาวดังกล่าวได้ส่งผลเสียต่อภาพลักษณ์ของโรงแรมชั้นนำของโลก และปั่นทอนความเชื่อมั่นของลูกค้าอย่างที่ไม่สามารถจะฟื้นฟูได้ง่ายๆ ทั้งเป็นการจุดประเด็นเรื่องมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่เข้าใช้บริการในโรงแรมทั่วโลกเช่นกัน ด้วยเหตุนี้จึงนำไปสู่คำตอบที่ว่า ทำไมธุรกิจโรงแรมและบริการห้องพักแบบต่างๆ จึงต้องให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง
ก่อนอื่นต้องเข้าใจว่า ธุรกิจบริการห้องพักไม่ว่าจะเป็นรูปแบบ Hotel หรือแบบ Hostel ล้วนต้องดำเนินการภายใต้ พ.ร.บ.โรงแรม พ.ศ.2547 และตามกฎกระทรวงกำหนดประเภทและหลักเกณฑ์การประกอบธุรกิจโรงแรม พ.ศ. 2551 ดังนั้นในบรรทัดต่อจากนี้จึงขอใช้คำว่า ‘โรงแรม’ ซึ่งเป็นคำอิบายถึงลักษณะที่ถูกต้องของการให้บริการห้องพักแบบเป็นครั้งคราว และมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าที่เข้ามารับบริการตามนิยามของกฎหมาย PDPA เช่น
- ข้อมูลการติดต่อ (ชื่อ นามสกุล หมายเลขโทรศัพท์ อีเมล)
- ข้อมูลเฉพาะของบุคคล (วันเดือนปีเกิด เลขหนังสือเดินทาง เลขบัตรประจำตัวประชาชน สัญชาติ)
- ข้อมูลที่เกี่ยวข้องกับผู้ติดตาม หรือผู้ที่อยู่ในความดูแล ( ชื่อ วันเกิด อายุ หมายเลขโทรศัพท์)
- ข้อมูลธุรกรรมการเงินและการจอง (ชื่อ นามสกุล หมายเลขบัตรเครดิต อีเมล เบอร์โทรศัพท์)
- ข้อมูลการเดินทาง (กำหนดการเข้าพักและเช็กเอ้าท์)
- ข้อมูลผู้เด็ก (ผู้เยาว์ที่ไม่เกิน 10 ปี หรือยังผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ)
- ข้อมูลความชอบและความสนใจ (บริการเสริมอื่นๆ ที่ทำระหว่างพัก เช่น เล่นโยคะ ฟิตเนส ขี่จักยาน พายเรือ ดำน้ำ ร้องเพลง ดื่มเครื่องดื่ม หรือแม้แต่เมนูอาหารที่สั่งทำขั้นเป็นพิเศษ)
- ข้อมูลการใช้อินเทอร์เน็ต (การเชื่อมต่อกับเว็บไซต์ ที่อยู่ IP, คุกกี้ หมายเลขอุปกรณ์เข้าสู่ระบบเครือข่าย บัญชีโซเชียลมีเดีย เป็นต้น)
- ข้อมูลจากกล้องวงจรปิด CCTV (รูปภาพนิ่ง วิดีโอที่โรงแรมทีการบันทึกไว้ในช่วงที่ลูกค้ามาใช้บริการ)
- ข้อมูลคำถาม/ความคิดเห็น (การตอบแบบสอบถามระหว่างเข้าพักหรือหลังจากเข้าพัก)
จะเห็นว่า ตามที่เราได้ยกตัวอย่างขึ้นมาก ข้อมูลส่วนบุคคลที่โรงแรมมีการจัดเก็บของลูกค้าที่มารับบริการนั้นมีเป็นจำนวนมาก ไม่เฉพาะประโยชน์ในด้านกิจกรรมภายในโรงแรม แต่ยังรวมถึงประโยชน์ในด้านกิจกรรมทางการตลาดและแบรนดิ้ง อาทิ การลงทะเบียนหรือสมัครสมาชิกเพื่อรับสิทธิพิเศษ หรือจดหมายข่าวเพื่อรับข้อเสนอและโปรโมชั่นผ่านทางอีเมล์ แต่บางโรงแรมยังมีบริการนำเที่ยว ซึ่งนั้นเท่ากับเป็นการส่งต่อข้อมูลส่วนบุคคลของลูกค้าที่มีการจัดเก็บไปเปิดเผยแก่บุคคลที่สามด้วย เช่น บริษัททัวร์ ตัวแทนท่องเที่ยว ระบบจองห้องพัก เช่ารถ จองร้านอาหาร และอื่นๆ อีกมากมาย หรือแม้แต่การทำบันทึกรายการเข้าพักของลูกค้าไปเปิดเผยต่อนายทะเบียน ตามพรบ. โรงแรม และด้วยเหตุปัจจัยเหล่านี้ ธุรกิจโรงแรมจึงต้องสำรวจว่ามีการเก็บข้อมูลส่วนใดบ้าง เพื่อจะได้กำหนดฐานหรือเหตุผลในการจัดทำวัตถุประสงค์และขอความยินยอมการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นการดำเนินการตามที่ PDPA กำหนดไว้
โรงแรม มีสถานะเป็น ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนิยามของกฎหมาย PDPA คือ บุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขณะเดียวกันยังมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processer) หรือมีการแต่งตั้งตัวแทนเพื่อทำหน้าที่ประมวลผลจากข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ทั้งยังมีการส่งต่อข้อมูลแก่บุคคลที่สาม (Third Party) อาทิเช่น บริษัททัวร์ นำเที่ยว แอปพลิเคชันจองห้องพักออนไลน์ ฯลฯ จึงต้องมีการดำเนินการของธุรกิจให้สอดคล้องตามข้อบังคับของกฎหมายดังนี้
- ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) และสร้าง Privacy Policy หรือนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ลูกค้าทราบ โดยการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลตามอำนาจหรือฐานทางกฎหมาย ฐานสัญญา หรือฐานความจำเป็นและประโยชน์โดยชอบที่กฎหมายระบุว่าสามารถดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้มาใช้บริการ และหากโรงแรมมีเว็บไซต์ที่เก็บข้อมูลคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย
- ขอความยินยอม(Consent) การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูล ผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบไอที และต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ โดยต้องแจ้งถึงผลกระทบหากเจ้าของข้อมูลไม่อนุญาตให้เก็บข้อมูลด้วย
- มาตรการคุ้มครองข้อมูลที่เหมาะสม ควรตรวจสอบให้แน่ใจว่าระบบไอทีของโรงแรมมีมาตรฐานเพียงพอ รวมถึงระบบการจัดเก็บข้อมูลบนอินเทอร์เน็ตที่มีมาตรฐานความปลอดภัยสูง และมีมาตรการในการป้องกันการโจมตีหรือการเข้าถึงข้อมูลของผู้ไม่ประสงค์ดี ที่สำคัญคือต้องมีบุคลากรที่มีความสามารถในการจัดการเรื่องความปลอดภัยของข้อมูลลูกค้าโดยเฉพาะ เนื่องจากข้อมูลลูกค้าที่โรงแรมจัดเก็บมีมากมายและมีความอ่อนไหวดังที่ยกตัวอย่างในตอนต้น ทั้งควรมีการอัพเดตและลบทำลายข้อมูลที่ไม่มีความจำเป็นแล้วอยู่เสมอ
- จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล การแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับผู้ประมวลผลข้อมูลฯ หรือคู่ค้าซึ่งเป็นบุคคลที่สาม จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA (Non-Disclosure Agreement) แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษาและปกป้องข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดและการดำเนินการตามวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล ข้อตกลงที่เป็นสัญญาอันมีผลทางกฎหมายจึงการป้องกันการนำข้อมูลไปใช้ผิดวัตถุประสงค์
- แจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคล โรงแรมจะต้องมีการจัดทำระบบเพื่อแจ้งสิทธิและการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลทั้งในด้านการใช้สิทธิต่างๆ เช่น ขอให้แก้ไข ระงับ เพิกถอนการยินยอม หรือให้ลบทำลายข้อมูลผ่านช่องทางที่เข้าถึงได้ง่ายและสะดวกทั้งไม่เป็นการผลักภาระค่าใช้จ่ายส่วนนี้แก่เจ้าของข้อมูล
- ทำบันทึกรายการ (Record of Processing Activities :RoPA) โรงแรมเป็นธุรกิจประเภทบริการ และบ่อยครั้งจะต้องมีกรณีพิพาทหรือคำร้องเรียนของผู้ใช้บริการอยู่เสมอ ทั้งนี้ในส่วนของการจัดการข้อมูลส่วนบุคคล ทางโรงแรมจึงต้องมีการทำบันทึกรายการ ซึ่งเบื้องต้นอาจจะเป็นการทำบันทึกการเก็บ รวบรวมใช้ และเปิดเผยข้อมูล ในกิจกรรมใดและวัตถุประสงค์ใดบ้าง รวมถึงต้องบันทึกคำร้องที่เจ้าของข้อมูลร้องขอให้ดำเนินการ และการบันทึกรายการเหตุการณ์ละเมิด โดยสามารถทำบันทึกในรูปแบบดิจิทัลเพื่อประโยชน์ในการแก้ไข ระงับ หรือ ลบออกได้โดยง่าย อย่างไรก็ตามการทำบันทึกรายการมีข้อยกเว้นสำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
- ประเมินความเสี่ยง กรณีโรงแรมที่การเก็บข้อมูลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง ผลกระทบมีความจำป็นอย่างยิ่งจะต้องทำ DPIA (Data Protection Impact Assessment) หรือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอโดยมีการจัดลำดับความสำคัญ ปริมาณ และผลกระทบที่อาจเกิดขึ้น หากข้อมูลนั้นเกิดการรั่วไหล ซึ่งตามกฎหมาย PDPA จะต้องแจ้งข้อมูลการละเมิดแก่คณะกรรมการคุ้มครองข้อมูลไม่เกิน 72 ชั่วโมง และหากการรั่วไหลนั้นอาจส่งผลกระทบต่อเจ้าของข้อมูล โรงแรมจะต้องแจ้งเหตุนั้นแก่เจ้าของข้อมูลให้ทราบด้วย
- แต่งตั้ง DPO ในโรงแรม เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer :DPO) เป็นบุคคลากรที่จะมาให้คำปรึกษา แนะนำ และดำเนินการในส่วนของธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลให้สามารถปฏิบัติได้ถูกต้องตามข้อกฎหมาย ซึ่งเป็นภาคบังคับสำหรับธุรกิจที่มีข้อมูลจำนวนมาก คือ มีข้อมูลส่วนบุคคลทั่วไป 50,000 ราย/ปี หรือมีข้อมูลส่วนบุคคลอ่อนไหว 5000 ราย/ปี หรือมีการเก็บข้อมูลส่วนบุคคลอย่างต่อเนื่อง ซึ่งกฎหมายบังคับว่าจะต้องแต่งตั้ง DPO กรณีของโรงแรมจึงต้องดูที่ความเหมาะสม แต่หากจะเอาให้ชัวร์การแต่งตั้ง DPO ในช่วงแรกๆ ก็เป็นผลที่คือทำให้องค์กรสามารถปรับตัวกับกฎหมาย PDPA ได้เร็วและปลอดภัยขึ้น
ภายใต้กฎหมาย PDPA ‘ โรงแรม’ ยังต้องทำอะไรเพิ่มอีกบ้าง
- ให้ความรู้แก่พนักงานของคุณ
- ทำความเข้าใจเกี่ยวกับสิทธิ์ตามกฎหมายของข้อมูลส่วนบุคคลลูกค้า
- สื่อสารให้ชัดเจนถึงการเก็บ ใช้หรือเปิดเผยข้อมูลของลูกค้า
- เก็บเฉพาะของมูลที่จำเป็นต้องใช้
- ข้อมูลส่วนบุคคลอ่อนไหว หากไม่จำเป็นไม่ควรเก็บ
- อัปเดตความยินยอมอยู่เสมอ
- จำกัดการเข้าถึงข้อมูงเฉพาะผู้มีหน้าที่
- โอนข้อมูลไปต่างประเทศต้องพิจรณากฎหมายอย่างรอบคอบ
- สร้าง CCTV Privacy Notice) และจัดทำ สติ๊กเกอร์ ‘CCTV Notice’
- เก็บข้อมูลเด็กต้องขอความยินยอมจากผู้ปกครอง
จะเกิดอะไรขึ้นถ้าหากโรงแรมคุณไม่ทำอะไรเลย?
บอกได้เพียงว่าทั่วโลกมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล และที่สำคัญนักท่องเที่ยวโดยเฉพาะชาวต่างชาติให้ความสำคัญต่อสิทธิของข้อมูลอย่างมาก สิ่งเหล่านี้จึงไม่เฉพาะแค่การปฏิบัติตามกฎหมาย แต่ยังเป็นการสร้างมาตรฐานและความเชื่อมันให้กับลูกค้า ทั้งยังป้องกันเหตุละเมิดจากการโดนโจมตี เช่นกรณีของโรงแรมในเครือ แมริออท ที่อาจส่งผลร้ายกว่าที่คาดคิดได้ด้วย
