สรุปประเด็นสุด Exclusive จากบรรยายพิเศษเรื่อง “โรงแรมควรปฏิบัติอย่างไรไม่ให้ผิดกฎหมาย PDPA” ที่ “โรงแรม” ไม่ควรพลาด

1. การแต่งตั้ง DPO (Data Protection Officer)

• • DPO คือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งตามกฎหมาย PDPA มาตรา 41(2) กำหนดว่าโรงแรมที่มีการประมวลผลข้อมูลส่วนบุคคล เข้าข่ายตามกฎหมายฉบับนี้ จำเป็นต้องแต่งตั้ง DPO เพื่อดูแลการปฏิบัติตามกฎหมายคุ้มครองข้อมูล

  • DPO มีหน้าที่ตรวจสอบให้แน่ใจว่าการเก็บรวบรวมและการใช้ข้อมูลของโรงแรมสอดคล้องกับ PDPA ซึ่งรวมถึงการให้คำแนะนำเกี่ยวกับนโยบายความเป็นส่วนตัวและการจัดการข้อมูลส่วนบุคคลได้ตาม PDPA กำหนด

  • หากไม่มีการแต่งตั้ง DPO ในกรณีที่จำเป็น โรงแรมอาจถูกปรับและถูกลงโทษ เช่น ข่าวภาคเอกชนถูกปรับ PDPA จำนวน 7 ล้านบาท เหตุทำข้อมูลส่วนบุคคลรั่วไหล

2. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

• • ตาม PDPA มาตรา 37(1) โรงแรมจำเป็นต้องมีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือการรั่วไหล

  • มาตรการรักษาความปลอดภัยที่เพียงพอควรครอบคลุมถึงการเข้ารหัสข้อมูล การป้องกันด้วยรหัสผ่าน การใช้ไฟร์วอลล์ และการจัดเก็บข้อมูลในสถานที่ที่ปลอดภัย ฯลฯ

  • หากโรงแรมไม่ปฏิบัติตามมาตรการความปลอดภัยตามที่กฎหมายกำหนด อาจถูกปรับหรือลงโทษทางกฎหมาย เช่นเดียวกับกรณีของ “ภาคเอกชน” ที่ไม่มีมาตรการรักษาความมั่นคงปลอดภัยที่เพียงพอ ลดเสี่ยง PDPA เริ่มขยับมาตรการรักษาความมั่นคงปลอดภัยข้อมูลกับ Cyber Security Baseline & Checklist

3. การแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

• • ตาม PDPA มาตรา 37(4) ระบุว่า หากโรงแรมพบว่าข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานถูกละเมิด โรงแรมต้องแจ้งให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมง

  • การละเมิดข้อมูลอาจเกิดจากการถูกแฮ็กข้อมูล สูญหาย หรือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งโรงแรมต้องเตรียมแผนรับมือในกรณีที่เกิดการละเมิด

  • การแจ้งเหตุละเมิดข้อมูลต้องครอบคลุมถึงรายละเอียดของการละเมิด ผลกระทบที่อาจเกิดขึ้น และมาตรการที่โรงแรมดำเนินการเพื่อแก้ไขและป้องกันการเกิดเหตุละเมิดซ้ำ

  • วิธีจัดการ “เหตุละเมิดข้อมูลส่วนบุคคล” ได้ตามมาตรฐาน PDPA สำหรับทุกองค์กร

4. คำถามที่พบบ่อยเกี่ยวกับ PDPA

• • ถ่ายรูปติดลูกค้าในโรงแรมผิดกฎหมายหรือไม่: การถ่ายรูปที่ติดภาพลูกค้าต้องระมัดระวัง เพราะถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคล ลูกค้าต้องได้รับการแจ้งและอนุญาตก่อน โดยเฉพาะในกรณีที่ใช้รูปเพื่อการตลาดหรือการประชาสัมพันธ์

  • การเก็บข้อมูลใบสมัครงานของโรงแรม: โรงแรมสามารถเก็บข้อมูลใบสมัครงานของผู้สมัครที่ไม่ผ่านสัมภาษณ์ได้ แต่ต้องกำหนดระยะเวลาการเก็บที่เหมาะสมและต้องได้รับความยินยอมจากผู้สมัคร ไม่ควรเก็บไว้นานเกินความจำเป็น

  • การตรวจสุขภาพพนักงาน: การเก็บข้อมูลสุขภาพของพนักงาน เช่น การตรวจสุขภาพประจำปี โรงแรมสามารถเก็บข้อมูลเหล่านี้ได้ แต่ต้องได้รับความยินยอมจากพนักงานก่อน การเก็บข้อมูลสุขภาพโดยไม่ได้รับอนุญาต หรือความยินยอม อาจถือว่าผิด PDPA

  • การติดตั้งกล้อง CCTV: โรงแรมสามารถติดตั้งกล้อง CCTV เพื่อความปลอดภัยได้ แต่ต้องมีการแจ้งให้ลูกค้าทราบเกี่ยวกับการบันทึกภาพและระยะเวลาการจัดเก็บข้อมูล การเก็บข้อมูลโดยไม่แจ้ง อาจถือว่าผิด PDPA

  • การเก็บข้อมูลส่วนบุคคลของลูกค้า: หากลูกค้าสอบถามว่าทางโรงแรมเก็บข้อมูลอะไรเกี่ยวกับตัวเขาบ้าง โรงแรมมีหน้าที่ต้องให้ข้อมูลแก่ลูกค้า และลูกค้ามีสิทธิ์ขอให้ลบหรือทำลายข้อมูลตามที่ PDPA กำหนด

5. ผลกระทบและบทลงโทษหากไม่ปฏิบัติตาม PDPA

• • โรงแรมที่ไม่ปฏิบัติตาม PDPA อาจถูกลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง องค์กรทำผิดกรณ๊ไหน และโดนค่าปรับเป็นจำนวนเท่าไหร่ อ่านเติมเพิ่ม >> โทษ 3 ชั้นรออยู่ ถ้าข้อมูลส่วนบุคคลรั่วไหล

สรุปคือ โรงแรมต้องให้ความสำคัญกับการจัดการข้อมูลส่วนบุคคลตาม PDPA อย่างเคร่งครัด การปฏิบัติได้ตามกฎหมายไม่เพียงแต่จะช่วยให้องค์กรลดความเสี่ยงการถูกลงโทษในด้านต่าง ๆ เพราะการปฏิบัติได้ตาม PDPA สามารถช่วยยกระดับองค์กรเป็นหนึ่งในมาตรฐานสำคัญ ที่จะช่วยสร้างความไว้วางใจให้กับลูกค้าได้อีกด้วย