จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่
Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง
Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม
ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine) โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ
ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น ข้อมูล ชื่อ นามสกุล รายละเอียดการเดินทางและการเข้าพัก เป็นต้น การที่โรงแรมมีการจ้างบริษัทภายนอกให้ดำเนินการด้านการรับส่ง บริษัทรับส่งนั้นทำตามภายในนามหรือภายใต้คำสั่งโรงแรมนั้น บริษัท Outsource limousine จึงมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งตามมาตรา 40 วรรค 2 กำหนดให้ผู้ควบคุมข้อมูลมีหน้าที่ต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินการตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น ระหว่าง โรงแรมกับบริษัท Outsource limousine ควรมีการทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) ทั้งนี้เพื่อช่วยให้คู่สัญญาซึ่งเป็นผู้ประมวลผล ทราบถึงบทบาทและหน้าที่ของตนเองเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล การกำหนดวัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล การกำหนดมาตรฐานในการแบ่งปันข้อมูลส่วนบุคคลและขอบเขตในการประมวลผลข้อมูลส่วนบุคคล โดยรายละเอียดของข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล ควรมีรายละเอียดขั้นต่ำ ดังนี้
นิยาม (Definition)
สิทธิและหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล
คำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลต่อผู้ประมวลผลและข้อกำหนดห้ามไม่ให้ผู้ประมวลผลทำการนอกเหนือจากคำสั่ง
ข้อสัญญาเกี่ยวกับหน้าที่รักษาความลับ
ข้อสัญญาเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
ข้อสัญญาเกี่ยวกับผู้ประมวลผลช่วง (Sub-Processor)
ข้อสัญญากำหนดหน้าที่ผู้ประมวลผลในการช่วยเหลือผู้ควบคุมข้อมูลให้ปฏิบัติหน้าที่ตามกฎหมาย
ข้อสัญญาเกี่ยวกับการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
ข้อสัญญาเกี่ยวกับการลบหรือส่งคืนข้่อมูลส่วนบุคคล
ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) นี้ โรงแรมอาจกำหนดไว้เป็นสัญญาข้อหนึ่ง (Clause) ในสัญญาพื้นฐานหรือจัดทำเป็นสัญญาใหม่อีกหนึ่งฉบับ แยกจากสัญญาพื้นฐาน หรือ จัดทำเป็นข้อตกลงแนบท้าย (Annex) สัญญาพื้นฐานที่มีอยู่เดิมระหว่างโรงแรมและบริษัท Outsource limousine
กรณี บริษัท Outsource limousine มี การรับส่งผู้เข้าพักนอกเหนือจากการรับส่งจากสนามบินมาโรงแรม หรือ บริการรายชั่วโมงหรือบริการแบบเหมา (By-hour) ในกรณีนี้บริษัท Outsource limousine มีอำนาจกำหนดและตัดสินใจเกี่ยวกับการประมวลผลได้เอง ในกิจกรรมที่ทำนอกเหนือจากที่สัญญาประมวลผลไว้ บริษัท Outsource limousine จึงมีสถานะเป็นผู้ควบคุมข้อมูล ดังนั้น โรงแรมจึงต้องมีการกำหนดขอบเขตในข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) ไว้อย่างชัดเจน เพื่อเป็นการปกป้องผลประโยชน์ของโรงแรม
นอกจากนี้ โรงแรมต้องมีการแจ้งประกาศความเป็นส่วนตัว (Privacy notice) ให้ผู้เข้าพักทราบ เพื่อแจ้งรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล ทางโรงแรมอาจแจ้งผ่านหน้าเว็บไซต์ ทางอีเมล เอกสาร หรือผ่านทาง QR code เพื่อให้ผู้เข้าพักทราบ ทั้งนี้ขึ้นอยู่กับความสะดวกของโรงแรม รวมถึงรายละเอียดการเปิดเผยข้อมูลส่วนบุคคลให้กับบุคลที่สาม
ทั้งนี้นอกจาก ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) สิ่งที่โรงแรมควรให้ความสำคัญคือโรงแรมควรมีการตรวจสอบเรื่องมาตรการคุ้มครองข้อมูลจากคู่ค้าที่จะเข้าเป็นผู้ประมวลผลว่าบริษัทดังกล่าวนั้น มีมาตรการในการคุ้มครองข้อมูลที่เพียงพอ เนื่องจากเป็นเรื่องสำคัญที่ผู้ประกอบการโรงแรมในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เพราะจะส่งผลต่อความน่าเชื่อถือและความไว้วางใจของเจ้าของข้อมูลส่วนบุคคลในบริการขององค์กร รวมถึงเพื่อเป็นการเพื่อป้องกันการรั่วไหล การล่วงละเมิดข้อมูลส่วนบุคคลด้วย
ในการคัดเลือก บริษัท Outsource limousine โรงแรมควรคัดเลือกคู่ค้าหรือผู้ให้บริการ (Vendor Assessment) เพื่อเลือกคู่ค้าหรือผู้ให้บริการที่สามารถคุ้มครองข้อมูลส่วนบุคคลได้ โดย จะต้องพิจารณาคุณสมบัติ 5 ประเด็น ได้แก่
องค์กร (Organization)
การดำเนินงาน (Operations)
ข้อมูล (Data)
การเข้าถึงข้อมูล (Access)
การปฏิบัติตามกฎหมาย (Compliance)
โดยโรงแรมอาจพิจารณาการคุ้มครองข้อมูลส่วนบุคคลของ บริษัท Outsource limousine โดยให้ตอบแบบสอบถามด้านการคุ้มครองข้อมูลส่วนบุคคลและบริษัท Outsource limousine ไม่จำเป็นต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลเพื่อการประเมินที่เข้ารับการคัดเลือกเพื่อการจัดซื้อจัดจ้าง เนื่องจากการประเมินทำไปเพื่อการ เข้าทำสัญญาระหว่างโรงแรมและบริษัท Outsource limousine แต่ถ้าโรงแรมต้องการประมวลผลข้อมูลส่วนบุคคล นอกเหนือจากวัตถุประสงค์เพื่อการเข้าทำสัญญาจัดซื้อจัดจ้าง หรือเก็บข้อมูลส่วนบุคคลไว้เพื่อใช้ในอนาคต โรงแรมจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือจะต้องเป็นประโยชน์อันชอบธรรมด้วยกฎหมาย
Hotel limousine เป็นกิจกรรรมที่มีความสำคัญและมีความเสี่ยงค่อนข้างมาก เนื่องจากอาจมีกรณีที่ต้องส่งต่อข้อมูลให้กับบุคคลภายนอก ซึ่งอาจทำให้ข้อมูลเกิดการรั่วไหลได้หากโรงแรมไม่มีมาตรการที่เพียงพอในเก็บการรักษา ซึ่งเป็นสิ่งที่ผู้ประกอบการธุรกิจโรงแรมและที่พัก ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลต้องให้ความสำคัญและระมัดระวัง เพราะจะส่งผลต่อความน่าเชื่อถือและความไว้วางใจของเจ้าของข้อมูลส่วนบุคคลในการเข้าใช้บริการ รวมถึงเพื่อป้องกันโอกาสในการรั่วไหลหรือการล่วงละเมิดข้อมูลส่วนบุคคล และเพื่อเป็นการสร้างมั่นใจให้กับผู้เข้าพัก ซึ่งเป็นเจ้าของข้อมูล (Data Subject) ในกิจกรรมนี้ ว่าเมื่อมาใช้บริการของท่านแล้ว ข้อมูลจะได้รับการคุ้มครองอย่างมั่นคงและปลอดภัย
