PDPA โรงแรม กลายเป็นคีย์เวิร์ดใหม่ที่บริษัททัวร์ ผู้ให้บริการท่องเที่ยว และนักเดินทางที่ใส่ใจเรื่องความเป็นส่วนตัว เริ่มเพ่งความสนใจและพยายามทำความเข้าใจ ภายหลังที่ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act B.E 2562 (2019) บังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา
โดยที่ PDPA โรงแรม ที่เป็นคีย์เวิร์ดหลักในบทความนี้ จะหมายถึงการจัดทำ PDPA สำหรับธุรกิจโรงแรม ซึ่งมีขั้นตอนและหลักปฏิบัติเดียวกับ PDPA ธุรกิจทั่วไป แต่เป็นการเจาะจงเนื้อหาลงในกลุ่มธุรกิจโรงแรมในไทยนั่นเอง
หากคนทั่วไปอย่างเรา ๆ ที่ไม่มีความเข้าใจหรือไม่ได้ติดตามข่าวกฎหมายมากนัก อาจมีความสงสัยว่า โรงแรม ที่พัก บริษัทนำเที่ยว หรือแพลตฟอร์มที่ให้บริการจองที่พัก เกี่ยวข้องกับกฎหมาย PDPA อย่างไร และเมื่อกฎหมายมีผลบังคับใช้แล้ว มีกฎหมายลำดับรอง (กฎหมายลูก) ประกาศออกมาเรียบร้อยแล้ว โรงแรมจะต้องทำอย่างไรให้สอดคล้องกับกฎหมาย ในบทความนี้เรารวบรวมคำตอบของทุกคำถามมาให้ท่าน พร้อมอธิบายขั้นตอน PDPA ที่โรงแรม ที่พัก จำเป็นต้องรู้ พร้อมด้วยบริการทำ PDPA เวอร์ชั่นภาษาอังกฤษ ติดตามได้ในบทความฉบับเต็มได้เลย
กฎหมาย PDPA กฎหมายที่เกิดขึ้นมาเพื่อท้าทายองค์กร
PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ .ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล มีผลบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา
PDPA เป็นกติกากลางที่องค์กรต่าง ๆ ต้องปฏิบัติตามหากองค์กรมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งอาจอยู่ในรูปการเก็บข้อมูล ชื่อ สกุล ที่อยู่ IP Address เชื้อชาติ สัญชาติ เลขประจำตัวประชาชน ฯลฯ ครอบคลุมการเก็บข้อมูลในทุกรูปแบบ ทั้งการเก็บข้อมูลทางตรงด้วยการกรอกข้อมูลลงในเอกสาร แพลตฟอร์มอิเล็กทรอนิกส์ การสัมภาษณ์ หรือการเก็บข้อมูลส่วนบุคคลทางอ้อม อาทิ การรวบรวมพฤติกรรมการใช้งานเว็บไซต์ แอปพลิเคชัน ฯลฯ
กฎหมาย PDPA มีแม่แบบหลักคือกฎหมาย GDPR ของสหภาพยุโรป ซึ่งมีสาระสำคัญคือ มุ่งให้การคุ้มครองพลเมืองของสหภาพยุโรปจากการโดนคุกคามข้อมูลส่วนบุคคลหรือการละเมิดความเป็นส่วนตัว เพิ่มสิทธิในการควบคุมข้อมูลในทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล มีผลบังคับใช้อย่างเป็นทางการกับทุกธุรกิจที่ให้บริการแก่พลเมืองของสหภาพยุโรป ในทุกประเทศ และในทุกภูมิภาคทั่วโลก
นอกจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่เป็นกฎหมายหลักแล้ว ยังมีกฎหมายฉบับรองที่มีชื่อทางการเรียกว่า ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อีก 4 ฉบับ ซึ่งถูกประกาศใช้ภายหลัง เพื่อช่วยขยายความขั้นตอน กฎเกณฑ์ ข้อบังคับในกฎหมายหลัก แจกแจงรายละเอียดที่เกี่ยวกับกฎหมายอื่นๆ ซึ่งช่วยให้การตีความกฎหมายถูกต้องและชัดเจนมากขึ้น อ่านสรุปเนื้อหาหลักของประกาศฯ ทั้ง 4 ฉบับได้ที่ Link
กฎหมาย PDPA กลายเป็นความท้าทายใหม่ขององค์กรอย่างไร? เนื่องจากกฎหมาย ได้มีการระบุรายละเอียดเกี่ยวกับขั้นตอนต่างๆ ที่องค์กรต้องปฏิบัติ หากต้องการรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ซึ่งมีทั้ง
การยื่นขอคำยินยอม (Consent) ผ่านแบบฟอร์มขอความยินยอม (Consent Form)
ประกาศนโยบายความเป็นส่วนตัว หรือ Privacy Notice
การจัดเตรียมระบบ Consent Management หรือระบบบริหารจัดการข้อมูลส่วนบุคคล
บันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือเรียกว่าการทำ Records of Processing Activities (RoPA)
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer)
ขั้นตอนเหล่านี้เป็นเพียงส่วนหนึ่งของการปฏิบัติตามขั้นตอนที่พึงมี ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ระบุเป็นไกด์ไลน์ไว้เท่านั้น ยังมีรายละเอียดและขั้นตอนเบื้องหลังอื่น ๆ อีกมาก สามารถอ่าน แนวทางที่องค์กรควรรู้เกี่ยวกับการทำ PDPA ได้ที่นี่ เมื่อทุกท่านเข้าใจคอนเซปท์ของ PDPA คร่าวๆ แล้ว ลำดับถัดไปจะเป็นการทำความเข้าใจ ความเชื่อมโยงระหว่างกฎหมาย PDPA และธุรกิจโรงแรมกันต่อเลย
กฎหมาย PDPA และธุรกิจโรงแรมเกี่ยวข้องกันอย่างไร
ลูกค้าหรือแขกผู้เข้าพักที่คุ้นเคยกับการเข้าพักในโรงแรม อาจคุ้นชินกับขั้นตอนการเช็คอินที่ทางโรงแรม มักจะขอสำเนาบัตรประจำตัวประชาชน หรือพาสปอร์ตของแขกผู้เข้าพัก ขั้นตอนนี้ถือเป็นสิ่งแรกที่ต้องทำเมื่อเข้าพักในโรงแรม ไม่ว่าจะเป็นโรงแรม Local หรือ International
ขั้นตอนข้างต้น คือขั้นตอนที่มีชื่อว่า การกรอกรายละเอียดในบัตรทะเบียนผู้เข้าพัก ซึ่งทุกโรงแรมจะต้องยึดเป็นแนวทางปฏิบัติ เพราะถือว่าเป็นขั้นตอนตามมาตรา 35 พระราชบัญญัติ โรงแรม พ.ศ 2547
นอกเหนือไปจากมาตรา 35 แล้ว ใน พ.ร.บ. โรงแรม พ.ศ 2547 ยังได้กำหนดข้อปฏิบัติและหลักการสำหรับธุรกิจโรงแรมไว้อีกหลายประการ หลักการสำคัญ ๆ ที่เกี่ยวกับโรงแรม ที่พัก และธุรกิจที่เกี่ยวข้อง ได้แก่
มาตรา 35 ผู้จัดการโรงแรมต้องจัดให้มีการบันทึกรายการต่าง ๆ เกี่ยวกับผู้พักและจำนวนผู้เข้าพักแต่ละห้อง ลงในบัตรทะเบียนผู้เข้าพักในทันทีที่มีการเข้าพัก การบันทึกรายการต่างๆ ต้องบันทึกให้ครบถ้วน ห้ามมิให้ปล่อยช่องว่างไว้หากไม่มีเหตุสมควร ทางผู้จัดการต้องเก็บรักษาบัตรทะเบียนผู้พักไว้อย่างน้อย 1 ปี และต้องอยู่ในสภาพที่ตรวจสอบได้
มาตรา 36 ผู้จัดการต้องส่งสำเนาทะเบียนผู้เข้าพักในแต่ละวันให้นายทะเบียนทุกสัปดาห์
มาตรา 56 บทลงโทษทางปกครองกับโรงแรมที่ไม่ปฏิบัติตามกฎ มีโทษปรับตั้งแต่สองหมื่นถึงหนึ่งแสนบาทและไม่เกินหนึ่งหมื่นบาท
- มาตรา 61 ผู้ใดแจ้งรายการเท็จลงในบัตรทะเบียนหรือทะเบียนผู้พัก หรือขัดขวาง หรือไม่อำนวยความสะดวก มีโทษจำคุกไม่เกินหนึ่งเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจำทั้งปรับ
การที่แขกผู้เข้าพักต้องให้ข้อมูลส่วนบุคคลแก่โรงแรม ดูจะเป็นเรื่องทั่วไปที่ทำกันมาจนเป็นปกติ จนกระทั่งการเกิดขึ้นของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ซึ่งมีสาระสำคัญคือการให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคล อีกด้านหนึ่งก็เป็นการใช้กฎหมายควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล ซึ่งการเก็บข้อมูลของแขกผู้เข้าพัก ก็ถือเป็นกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเช่นกัน แล้วโรงแรม ที่พัก ต้องยกเลิกการเก็บข้อมูลส่วนบุคคลของแขกผู้เข้าพักหรือไม่? คำตอบคือ ไม่ต้องยกเลิก
เพราะอะไรโรงแรมจึงสามารถเก็บข้อมูลของผู้เข้าพักได้ แม้จะประกาศใช้กฎหมาย PDPA? ตามที่ระบุไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 22 การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย ทว่า การเก็บข้อมูลตาม พ.ร.บ.โรงแรม พ.ศ.2547 สามารถใช้ฐานข้อยกเว้น มาตรา 26 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อรักษาความปลอดภัยให้กับแขกผู้เข้าพักกรณีเกิดเหตุฉุกเฉิน เกิดการเจ็บป่วย จะช่วยให้สามารถระบุตัวตนและให้ความช่วยเหลือหรือติดต่อญาติพี่น้องได้ ซึ่งข้อมูลที่จัดเก็บส่วนใหญ่ ล้วนเป็นข้อมูลที่จำเป็นตามที่ พ.ร.บ.ข้อมูลส่วนบุคคลกำหนด ดังนั้นโรงแรมจึงสามารถเก็บข้อมูลแขกผู้เข้าพักปฏิบัติตาม พ.ร.บ.โรงแรม พ.ศ.2547 ได้ตามเดิม
ประเด็นถัดมา ตามที่ระบุไว้ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 24 (6) ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีนี้ โรงแรมสามารถอ้างอิงการจัดเก็บข้อมูลเพื่อเป็นการปฏิบัติตามกฎหมายใน พรบ. โรงแรม พ.ศ.2547 ในฐานการรักษาความมั่นคงของประเทศ เนื่องจากแขกผู้เข้าพักในโรงแรม ไม่จำกัดเพียงแค่ชาวไทย ชาวต่างชาติจากทุกมุมโลกสามารถเข้าพักโรงแรมในไทยได้ การเก็บข้อมูลจึงสามารถกระทำได้ แต่ต้องอยู่ภายใต้มาตรการที่รัดกุม และมีระบบการจัดเก็บข้อมูลที่เชื่อถือได
ประเด็นถัดมาที่สำคัญไม่แพ้กันคือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 24 (3) ข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม ซึ่งหากเทียบกับ พ.ร.บ. โรงแรมมาตรา 35 ระบุไว้อย่างชัดเจนว่า บันทึกรายการต่าง ๆ ที่ผู้จัดการโรงแรมจัดเก็บไว้ ต้องเก็บรักษาบัตรทะเบียนผู้พักไว้อย่างน้อย 1 ปี การกำหนดขอบเขตเวลาการจัดเก็บที่ชัดเจน ไม่ถือว่าเป็นการละเมิดกฎหมาย PDPA กรณีที่แขกผู้เข้าพักไม่ต้องการให้โรงแรมจัดเก็บข้อมูล สามารถแจ้งความประสงค์ให้โรงแรมลบข้อมูลจากทะเบียนผู้เข้าพักได้เช่นกัน
จะเห็นว่ากฎหมาย PDPA ไม่ได้ประกาศใช้เพื่อระงับทุกกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ทว่ากฎหมายยังเปิดกว้างให้กับหลาย ๆ อุตสาหกรรม ยังสามารถดำเนินการตามปกติได้ โดยใช้ฐานความจำเป็นตามกฎหมายและจรรยาบรรณของอุตสาหกรรมนั้น ๆ สิ่งสำคัญคือ จะต้องคำนึงถึงความปลอดภัย ความถูกต้องและให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลเป็นสิ่งสำคัญอันดับ 1 เสมอ
การจัดทำ PDPA สำหรับธุรกิจโรงแรม สำคัญอย่างไร
ความสำคัญของ PDPA ต่อธุรกิจโรงแรม มีหลายประการ เนื่องจากธุรกิจโรงแรม ขับเคลื่อนด้วยการทำงานในหลาย ๆ ส่วน ทั้งเบื้องหน้าและเบื้องหลัง ด้วยเหตุนี้ธุรกิจโรงแรมจึงจำเป็นต้องเข้าใจความสำคัญของ PDPA อย่างลึกซึ้ง t-reg สรุปความสำคัญของ PDPA ต่อธุรกิจโรงแรมได้ 5 ประการดังนี้
ประการแรก หากมองด้วยเลนส์ของกฎหมาย PDPA โรงแรม ที่พัก ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่ทำหน้าที่เก็บ รวบรวม ข้อมูลส่วนบุคคลของแขกผู้เข้าพัก ซึ่งอาจมีทั้งข้อมูลส่วนบุคคลทั่วไป อาทิ ชื่อ-สกุล เบอร์โทรศัพท์มือถือ และข้อมูลส่วนบุคคลอ่อนไหว อาทิ เชื้อชาติ ข้อมูลสุขภาพ ความพิการ ข้อมูลการแพ้อาหาร อีกทั้งรวบรวมข้อมูลส่วนบุคคลของพนักงานในองค์กรด้วย
ประการที่สอง สำหรับธุรกิจโรงแรมขนาดใหญ่ หรือ โรงแรมประเภท Biggest hotel Chains มีการเก็บรวบรวมข้อมูลของแขกผู้เข้าพัก หรือพนักงานซึ่งเป็นชาวต่างชาติ หลากหลายเชื้อชาติ และมีการถ่ายโอนข้อมูลไปยังสำนักงานใหญ่ในต่างประเทศ การถ่ายโอนข้อมูลนี้ถือเป็นกิจกรรมหนึ่งที่อยู่ภายใต้การคุ้มครองของกฏหมาย PDPA โรงแรมในไทยที่เก็บรวบรวมข้อมูล จะต้องตรวจสอบว่าประเทศปลายทางมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่ และหากมี กฎหมายดังกล่าวมีมาตรฐานเทียบเท่ากับ PDPA หรือไม่หากไม่มีโรงแรมจะต้องแจ้งเจ้าของข้อมูลก่อนดำเนินการทุกครั้ง
ประการที่สาม กิจกรรมการรวบรวมข้อมูลส่วนบุคคลในโรงแรม เป็นกิจกรรมที่เกิดขึ้นบ่อยครั้ง มีการไหวเวียนของข้อมูลจำนวนมาก และยังมีการส่งต่อข้อมูลของแขกผู้เข้าพักให้กับบุคคลที่ 3 อีกด้วย นอกจากโรงแรมจะเป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว บางกรณีโรงแรมอาจเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ในบางกรณี โรงแรมอาจกลายเป็นบุคคลที่ 3 ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เนื่องจากโรงแรมเป็นสถานีปลายทางของระบบ OTA (Online Travel Agency) ที่รับข้อมูลส่วนบุคคลต่อจากผู้ให้บริการด้านการจองที่พัก โรงแรม ห้องสัมมนา สปา ห้องอาหาร ฯ ตัวอย่างผู้ให้บริการด้านการจองที่พักที่คุ้นเคยกัน อาทิ Agoda Booking.com Traveloka airbnb Expedia ฯลฯ
ประการที่สี่ ธุรกิจโรงแรมเสี่ยงต่อการละเมิดข้อมูล หรือ Data breach โดยการละเมิดข้อมูล หรือถูกเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ซึ่งสามารถทำลายฐานข้อมูล หรือเปลี่ยนแปลงระบบ หรือนำข้อมูลสำคัญๆ ขององค์กรไปขายหรือเรียกค่าไถ่ การโจรกรรมข้อมูลซึ่งกระทำโดยแฮ็กเกอร์ นอกจากสร้างความเสียหายต่อข้อมูลแล้ว ยังสร้างความเสียหายต่อชื่อเสียง และลดทอนความน่าเชื่อถือขององค์กรในสายตานักลงทุนอีกด้วย ดังเช่นกรณีตัวอย่างของแบรนด์โรงแรมระดับโลกอย่าง Marriott ที่เคยถูกสั่งปรับกว่า 99 ล้านปอนด์ เนื่องจากไม่สามารถรักษาความปลอดภัยของข้อมูลลูกค้าอย่างเพียงพอ จนส่งผลให้ข้อมูลลูกค้าของบริษัทรั่วไหลเป็นจำนวนมาก
แม้ระบบความปลอดภัยอาจพัฒนาขึ้นใหม่ได้เร็ว แต่ชื่อเสียงและความน่าเชื่อถือกอบกู้ได้ยากกว่า ด้วยเหตุนี้ กฎหมาย PDPA จึงเน้นยำให้องค์กรต้องมีระบบรักษาความปลอดภัย หรือ Cyber Security ที่ได้มาตรฐาน มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คอยกำกับดูแลกิจกรรมการประมวลผลข้อมูล ตรวจสอบการดำเนินงานตามนโยบายการจัดการข้อมูลส่วนบุคคลในองค์กร แจ้งเตือนเหตุการโจรกรรม หรือข้อมูลรั่วไหลแก่ สคส. ภายใน 72 ชม.
ประการที่ห้า โรงแรมที่เป็นกิจการขนาดใหญ่ มีจำนวนการจ้างงานพนักงานมากกว่า 100 คนขึ้นไป มีรายได้ต่อปี มากกว่า 500 ล้านบาท เข้าข่ายองค์กรที่ต้องดำเนินการตามขั้นตอนของ PDPA อย่างไม่สามารถหลีกเลี่ยงได้ ขั้นตอนเริ่มต้นที่สำคัญ ได้แก่ การประกาศความเป็นส่วนตัว (Privacy Notice) อันหมายถึง คำประกาศถึงเจ้าของข้อมูลที่กล่าวถึงวิธีการจัดเก็บ ประมวลผล รักษา และทำลายข้อมูลส่วนบุคคล ขั้นตอนที่สำคัญที่ขาดไม่ได้เพราะระบุไว้อย่างชัดเจนในกฎหมาย PDPA มาตรา 39 และ มาตรา 40 คือ การทำบันทึกการประมวลผลข้อมูลส่วนบุคคล หรือ Record Of Processing Activities (RoPA) การทำ ROPA นั้นถือเป็นขั้นตอนที่มีความสำคัญมากที่สุด ต่อความสำเร็จในการดำเนินโครงการ PDPA ขององค์กร เพราะข้อมูลบันทึกกิจกรรมการประมวลผลดังกล่าว เปรียบเสมือนแผนผังของข้อมูลส่วนบุคคลทั้งหมดในองค์กร ที่จะทำให้องค์กรสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน
อ่านข้อมูลเพิ่มเติมเกี่ยวกับ RoPA
จะเห็นได้ว่า PDPA โรงแรม หรือ การจัดทำ PDPA สำหรับธุรกิจโรงแรมกลายเป็นสิ่งที่ต้องปฏิบัติให้ครอบคลุม เนื่องจากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในโรงแรมมีหลากหลายกิจกรรม บางกิจกรรมเกิดขึ้นบ่อยครั้ง บางกิจกรรมอาจไม่ได้เกิดขึ้นบ่อย แต่ก็ล้วนมีความสำคัญทั้งสิ้น เมื่ออ่านมาถึงตรงนี้ หลายท่านคงทราบถึงความสำคัญของการปฏิบัติตามกฎหมาย PDPA แล้ว สิ่งที่ท่านต้องคำนึงถึง และสิ่งที่ควรทราบก่อนทำโครงการ PDPA เพื่อธุรกิจโรงแรม มีอะไรบ้าง ติดตามได้ในหัวข้อถัดไป
หลักสำคัญ และข้อที่ควรทราบในการทำ PDPA โรงแรม
นับตั้งแต่กฎหมาย PDPA บังคับใช้อย่างเป็นทางการ หลาย ๆ องค์กร ได้ทำการศึกษาและเริ่มทำโครงการ PDPA ไปบ้างแล้ว ทว่าการเริ่มทำโครงการ PDPA ในองค์กร อาจดำเนินการได้ล่าช้า เนื่องจากบางองค์กรเสียเวลาไปกับการศึกษา ทำความเข้าใจกฎหมาย รวบรวมข้อมูล และรอประกาศกฎหมายฉบับรอง
หลายองค์กรที่มีระบบฐานข้อมูลขนาดเล็ก ถึงขนาดกลาง หรือมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนไม่มาก มีทีมกฎหมายภายในองค์กร จึงเลือกที่จะทำโครงการ PDPA ด้วยตนเอง เพราะไม่สิ้นเปลืองงบประมาณ ขณะที่บางองค์กร เลือกที่จะใช้บริการที่ปรึกษา ทีม Outsource หรือแพลตฟอร์มมาช่วยอำนวยความสะดวกในการทำโครงการ PDPA ซึ่งช่วยลดระยะเวลา และลดภาระงานของพนักงานในองค์กรได้มากกว่า แต่ก่อนที่โรงแรมของท่านจะริเริ่มทำโครงการ PDPA เราอยากชวนผู้อ่านมาศึกษาหลักสำคัญและข้อที่ควรทราบในการจัดทำ PDPA สำหรับธุรกิจโรงแรมกันก่อน
- การขอ Consent ใจความของ Consent ในกฎหมาย PDPA คือ การขออนุญาตหรือขอคำยินยอมในการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลจากเจ้าของข้อมูล เพื่อนำข้อมูลส่วนบุคคลนั้นๆ ไปประมวลผล หรือนำไปเปิดเผยไม่ว่าวัตถุประสงค์ใดก็ตาม
อ่านเพิ่มเติมเกี่ยวกับ Consent - การถอน Consent ของเจ้าของข้อมูล เมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมได้ การยกเลิกความยินยอม หรือถอน Consent ก็ทำได้เช่นกัน ซึ่งในกรณี Data Controller ไม่สามารถปฏิเสธคำร้องของเจ้าของข้อมูลส่วนบุคคลได้ เนื่องจากเป็นสิทธิในการเพิกถอนความยินยอม ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถทำได้ตามฐาน สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Right) โดยเจ้าของข้อมูล สามารถยื่นถอนความยินยอมผ่าน Consent Management หรือระบบที่ดูแล จัดการเกี่ยวกับ Consent ทั้งหมด
- ข้อมูลส่วนบุคคลที่ต้องระมัดระวังเป็นกรณีพิเศษ ประเภทข้อมูลที่อยู่ภายใต้การคุ้มครองของกฎหมาย PDPA ได้แก่ ข้อมูลส่วนบุคคล (Personal Data) อาทิ ชื่อ-สกุล ข้อมูลที่อยู่ อายุ หมายเลขโทรศัพท์ ข้อมูลการศึกษา ฯลฯ และ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ฯลฯ ข้อมูลส่วนบุคคลอ่อนไหวนี่เอง ที่ทุกองค์กร ทุกธุรกิจควรระมัดระวังในทุกขั้นตอนของการรวบรวม ใช้ หรือเกี่ยวข้องกับข้อมูลส่วนบุคคล เนื่องจากบทลงโทษของการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับความยินยอม มีโทษสูงและร้ายแรงกว่ากว่าข้อมูลส่วนบุคคลทั่วไป ในธุรกิจโรงแรมที่อาจมีการสัมผัสกับข้อมูลส่วนบุคคลอ่อนไหว เช่นกรณีที่ผู้เข้าพักเป็นผู้พิการ ชาวต่างชาติ ฯลฯ เป็นต้น เนื่องจากบทลงโทษของการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวโดยไม่ได้รับคำยินยอม มีโทษสูงและร้ายแรงกว่ากว่าข้อมูลส่วนบุคคลทั่วไป ในธุรกิจโรงแรมที่อาจมีการสัมผัสกับข้อมูลส่วนบุคคลอ่อนไหว เช่นกรณีที่ผู้เข้าพักเป็นผู้พิการ ชาวต่างชาติ ฯลฯ เป็นต้น
- การรวบรวมข้อมูลจากแหล่งอื่น ซึ่งไม่ใช่การรวบรวมข้อมูลจากโรงแรมโดยตรง โรงแรมไม่สามารถประมวลผลข้อมูลส่วนบุคคลจากแหล่งอื่น ที่ไม่ใช่การจัดเก็บจากระบบของโรงแรมโดยตรงมาเก็บรวบรวมได้ ตัวอย่างเช่น โรงแรมไม่สามารถนำข้อมูลจากธุรกิจอื่น ไม่ว่าจากธุรกิจใดก็ตามมาทำการประมวลผล เสนอขายโปรโมชั่น หรือเก็บรวบรวมในฐานข้อมูลได้
- กรอบในการประมวลผลข้อมูลส่วนบุคคล
- บทลงโทษของกฎหมาย PDPA
หากมีการละเมิดกฎหมาย ฝ่าฝืนกฎหมาย หรือจงใจไม่กระทำตามคำแนะนำของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC ) จะมีการสอบสวนและลงโทษตามระดับความร้ายแรง โดยโทษของการละเมิดกฎหมาย PDPA มี 3 ประเภท คือ
โทษทางอาญา
ผู้กระทำผิดจะถูกลงโทษทางอาญา ในกรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปประมวลผล เผยแพร่ทำให้เกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่นเกลียดชัง โทษสูงสุดจำคุก 6เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ กรณีที่มีการนำข้อมูลส่วนบุคคลอ่อนไหว ไปหาประโยชน์แบบผิดกฎหมายโทษสูงสุดคือจำคุก 1 ปีหรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง
บทลงโทษทางแพ่ง ในกรณีที่ผู้ประสงค์ร้ายหรือผู้ร้าย นำข้อมูลส่วนบุคคลไปสร้างความเสียหายแก่เจ้าของข้อมูล เจ้าของข้อมูลมีสิทธิเรียกร้องค่าเสียหาย เป็นค่าสินไหมทดแทนอิงจากความเสียหายที่ได้รับจริง ศาลใช้อำนาจสั่งลงโทษเพิ่มขึ้นได้แต่ไม่เกิน 2 เท่าของสินไหมทดแทนที่แท้จริง
โทษทางปกครอง
กรณีที่มีการกระทำผิด เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล โดยไม่มีการดำเนินการขอความยินยอมจากเจ้าของข้อมูล ไม่มีช่องทางรองรับให้เจ้าของข้อมูลใช้สิทธิ มีโทษปรับไม่เกิน 1,000,000 บาท
กรณีที่ทำการเก็บ รวบรวม เผยแพร่ข้อมูลส่วนบุคคลโดยปราศจากฐานทางกฎหมาย มีโทษปรับไม่เกิน 3,000,000 บาท
- กรณีที่มีการเก็บ รวบรวม เผยแพร่ โอนถ่ายข้อมูลส่วนบุคคลอ่อนไหว โดยวัตถุประสงค์ที่ไม่ชอบด้วยกฎหมาย มีโทษปรับไม่เกิน 5,000,000 บาท
จะดีกว่าไหม? หากโรงแรมสามารถมอบประสบการณ์การเข้าพักที่สะดวกสบายกับแขกผู้เข้าพัก พร้อมกับการให้ความปลอดภัยและความเป็นส่วนตัว
เป็นที่ทราบกันดีอยู่แล้วว่า แขกที่เข้าพักในโรงแรม ล้วนต้องการบริการที่ดี และล้วนมีความต้องการที่จะพักผ่อนหย่อนใจ ความท้าทายจึงตกเป็นของโรงแรมในการหา Solution ที่ช่วยลดขั้นตอนในการเซ็นเอกสารขอความยินยอม อำนวยความสะดวกให้กับแขกผุ้เข้าพักให้ได้รับบริการที่ดีที่สุด ใช้เวลาน้อยที่สุด ไม่รุกล้ำความเป็นส่วนตัว ขณะเดียวกันก็ต้อง Comply ตามกฎหมายด้วย
แม้ว่ากิจการโรงแรมจะมี พ.ร.บ. โรงแรม พ.ศ. 2547 เป็นกฎหมายกลางในการประกอบธุรกิจโรงแรมอยู่แล้ว แต่ก็ไม่สามารถปฏิเสธ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ ตราบใดที่โรงแรมยังต้องรวบรวมบัตรทะเบียนผู้เข้าพัก ตราบใดที่โรงแรมต้องการรวบรวมข้อมูลแขกผู้เข้าพัก เพื่อนำไปเป็น “Big Data” ก่อนนำไปสู่ขั้นตอนของการทำ “Data Analysis” และพัฒนาออกมาเป็นบริการที่ตอบสนองต่อความต้องการของแขกผู้เข้าพัก พัฒนาแผนการตลาด หรือพัฒนารูปแบบการให้บริการให้เท่าทันกระแสโลก
ทว่าความท้าทายหนึ่งของ PDPA โรงแรมคือ การทำโครงการ PDPA ภายในองค์กร ที่มีพนักงานเป็นชาวต่างชาติ หรือการเขียนนโยบาย การจัดทำบันทึกต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล ทั้งเวอร์ชั่นภาษาไทย ภาษาอังกฤษ หรือภาษาจีน โดยที่นโยบายต้องถูกต้องตามหลักกฎหมาย รวมถึงการอบรมให้ความรู้เกี่ยวกับกฎหมาย PDPA ให้กับผู้บริหารหรือพนักงานในองค์กร ขั้นตอนต่าง ๆ เหล่านี้ต้องครบถ้วน และถูกต้องตามกฎหมาย จึงจะถือว่าธุรกิจของท่าน ดำเนินการตามหลักปฏิบัติของ PDPA
หากธุรกิจของท่านกำลังกังวลในประเด็นเหล่านี้ t-reg ขอเป็นอีกหนึ่งผู้ช่วย ที่จะช่วยให้ท่านสามารถเขียนนโยบาย การจัดทำบันทึกต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูล ทั้งเวอร์ชั่นภาษาไทย ภาษาอังกฤษ เราสามารถจัดการอบรมให้กับพนักงานในองค์กรได้ทั้งภาษาไทยและภาษาอังกฤษ สามารถเป็นที่ปรึกษาให้กับท่าน นอกจากนี้เรายังมีแพลตฟอร์มในการทำโครงการ PDPA ที่จะช่วยลดขั้นตอน ลดภาระงานทางเทคนิคต่าง ๆ เพื่อให้ท่านดำเนินโครงการ PDPA ได้อย่างครบถ้วนตาม Best Practice ที่กฎหมายกำหนด
ติดต่อใช้บริการแพลตฟอร์ม t-reg เพื่อให้เราช่วยท่านบรรลุโครงการ PDPA ได้อย่างครบถ้วน ครบวงจร ติดต่อเราได้ที่ t-reg.co
