พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA)          ที่เกี่ยวข้องในอุตสาหกรรมโรงแรม                                                                                                          

สาระสำคัญของ พ.ร.บ. นี้ส่วนใหญ่เป็นเรื่องที่เกี่ยวกับ “การคุ้มครองข้อมูลส่วนบุคคล” ไม่ให้มีการนำข้อมูลที่ได้จากบุคคลต่างๆ ไปใช้อย่างผิดเงื่อนไขผิดวัตถุประสงค์และไม่เป็นไปตามที่ได้ตกลงกับเจ้าของข้อมูลไว้ในขั้นตอนของการขอความยินยอมในการจัดเก็บการประมวลผลและการใช้ข้อมูลนอกจากนี้ยังมีการระบุถึงความรับผิดชอบของ “ผู้ควบคุมข้อมูล” และ “ผู้ประมวลผลข้อมูล” ที่มีหน้าที่ต้องรักษาข้อมูลส่วนบุคคลที่ได้รับไม่ให้ถูกบุคคลหรือนิติบุคคลอื่นนำไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลพร้อมทั้งบทกำหนดอัตราโทษทางแพ่งและอาญาที่จะได้รับ

สำหรับธุรกิจโรงแรมในยุคที่มีคำกล่าวว่า “Data is the new Oil” ซึ่งเป็นการเปรียบเทียบว่าในอนาคตใครมีข้อมูลมากกว่าถือเป็นการค้นพบขุมทรัพย์ทางธุรกิจรูปแบบใหม่ซึ่งเปรียบเทียบกับ “น้ำมัน” หนึ่งในสินค้าโภคภัณฑ์ที่สำคัญที่ใช้ในการขับเคลื่อนธุรกิจและด้วยเหตุนี้หลายๆ โรงแรมหลายๆ Brand ทั้งในระดับ Local และระดับ International พยายามที่จะเก็บรวบรวมข้อมูลจากแขกผู้มาใช้บริการเพื่อนำไปเป็น “Big Data” ก่อนนำไปสู่ขั้นตอนของการทำ “Data Analysis” และพัฒนาออกมาเป็นบริการที่ตอบสนองต่อความต้องการของแขกผู้เข้าพักเราจะเห็นได้จากการที่หลายๆ Brands หลายๆ โรงแรมมีการออกระบบ “บัตรสมาชิก (Member Card)” หรือระบบ “Loyalty Program” ที่ให้แขกใช้การสะสมแต้มจากการเข้าพักซึ่งรายละเอียดแขกและธุรกรรมต่างๆ ที่เกิดขึ้นในบัตรของแขกแต่ละคนคือ “ฐานข้อมูลส่วนบุคคล” ที่โรงแรมจะได้รับสอดคล้องกับแนวโน้มการบริหารองค์กรในอนาคตที่บางแห่งปรับเปลี่ยนรูปแบบการขับเคลื่อนองค์กรให้เป็นแบบ “Data Driven Organization” เป็นการขับเคลื่อนองค์กรโดยใช้ข้อมูลเป็นตัวชี้นำซึ่งองค์กรในลักษณะนี้จะไม่ตัดสินใจในเรื่องๆ ใดหากปราศจากข้อมูลที่เชื่อถือได้มารองรับและแน่นอนเมื่อมีการจัดเก็บข้อมูลของแขกผู้เข้าพักจำนวนมหาศาลดังนั้นหลังจากที่ พ.ร.บ.ฯ นี้ประกาศใช้ธุรกิจโรงแรมต้องทำความเข้าใจและหาทางรับมืออย่างระมัดระวังมากขึ้นเพราะคำว่า “ข้อมูลส่วนบุคคล” ไม่ได้หมายความถึงข้อมูลของแขกผู้เข้าพักเพียงอย่างเดียวแต่ยังหมายถึงข้อมูลของพนักงานในโรงแรมอีกด้วยสำหรับขั้นตอนแรกต้องรับรู้ถึงผู้เกี่ยวข้องและรายละเอียดที่สำคัญใน พ.ร.บฯ นี้ก่อนซึ่งจากเนื้อหาใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สามารถสรุปได้คือ

• “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า เจ้าของข้อมูลต่างๆ ที่โรงแรมได้มีการขอข้อมูลในที่นี้ไม่ได้หมายถึงข้อมูลส่วนบุคคลจากแขกผู้เข้าพักอย่างเดียวแต่พนักงานโรงแรมที่จะต้องถูกจัดเก็บข้อมูลก็ถือเป็นเจ้าของข้อมูลส่วนบุคคลในส่วนของพนักงานด้วยเช่นกัน            
• “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ตำแหน่งหน้าที่การงาน เป็นต้น                       
• “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำหรับกรณีของธุรกิจโรงแรมกรณีนี้อาจตีความได้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” อาจเป็นเจ้าของโรงแรมเองหรือผู้ที่ได้รับมอบหมายจากเจ้าของโรงแรมหรือฝ่ายบริหารคนใดคนหนึ่งที่ได้รับมอบหมายให้เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” และกระทำการในนามของโรงแรม                                                   
• “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ได้เป็นผู้ควบคุมข้อมูลส่วนบุคคลถ้าตีความให้เข้าใจง่ายๆ คือ “ผู้ที่ทำหน้าที่ประมวลผลและบริหารจัดการข้อมูลตามคำสั่งของโรงแรม” ซึ่งไม่มีอำนาจหน้าที่ในการควบคุมข้อมูลส่วนบุคคล เช่น การใช้บริการ Cloud Service ในการจัดเก็บข้อมูลแขกผู้เข้าพักโดยผู้ให้บริการภายนอกซึ่งมีหน้าที่ต้องนำข้อมูลไปประมวลผลและส่งกลับมาให้โรงแรมใช้ในการจัดทำกิจกรรมการขายและการตลาดเป็นต้น

สาเหตุที่ธุรกิจโรงแรมต้องหันมาให้ความสนใจกับ พ.ร.บ. ฉบับนี้  เป็นเพราะตัวของโรงแรมหากยึดตามนิยามของ พ.ร.บ.ฯ นี้จะอยู่ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” และหากมีการใช้บริการบุคคลที่ 3 ในการประมวลผลข้อมูลเพื่อนำไปจัดทำกิจกรรมทางการตลาดหรือกิจกรรมอื่นๆ บุคคลที่3 นั้นจะอยู่ในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งมีหน้าที่ต้องดำเนินกิจกรรมต่างๆ ตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และด้วยเหตุนี้ตัวกฏหมายกำหนดให้ต้องมีการดูแลรักษาความปลอดภัยของข้อมูลทำให้โรงแรมจำเป็นที่จะต้องให้ความสำคัญกับระบบ Cyber Security ที่มีมาตรฐานเพื่อสร้างความเชื่อมั่นให้กับการจัดเก็บข้อมูลส่วนบุคคลของแขกไม่ให้รั่วไหลและถูกนำไปใช้ผิดวัตถุประสงค์

ปกติแล้วโรงแรมจะมีการลงทุนในส่วนของการจัดเก็บข้อมูลในรูปแบบของ Private Server ซึ่งมีการสร้างห้อง Server ไว้ในโรงแรมเพื่อจัดเก็บและประมวลผลข้อมูลต่างๆ ของแขกทั้งชื่อ นามสกุล สัญชาติ และพฤติกรรมการใช้จ่ายหลักๆ จะเป็นการจัดเก็บข้อมูลจากระบบ PMS (Property Management System) กับระบบ POS (Point of Sales) แต่เนื่องด้วยการลงทุนจัดทำ Private Server มีค่าใช้จ่ายค่อนข้างสูงซึ่งจะมีมูลค่าการลงทุนมาก-น้อยก็ขึ้นอยู่กับขนาดของโรงแรมจึงทำให้มีผู้ให้บริการรายอื่นจัดทำระบบ PMS, POS, ในระบบ Cloud ออกมาให้บริการเพื่อช่วยประหยัดค่าใช้จ่ายให้กับโรงแรมด้วยเหตุนี้หลัง พ.ร.บ.ฯ นี้ประกาศใช้ทางโรงแรมจำเป็นที่จะต้องให้ความสนใจและศึกษารายละเอียดด้านมาตรการรักษาความปลอดภัยของผู้ให้บริการเหล่านั้นอย่างละเอียดในอนาคตเพราะหากเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมาย่อมทำให้โรงแรมไม่สามารถปฏิเสธความรับผิดชอบได้

สรุปหลักสำคัญของ พ.ร.บ. ต่อธุรกิจโรงแรม

1. การให้ความยินยอมของเจ้าของข้อมูล อ้างอิงตามมาตรา 19 ใน พ.ร.บ.ฯ สำหรับการจัดเก็บข้อมูลส่วนบุคคลต่อไปในอนาคตจำเป็นที่จะต้องแจ้งให้เจ้าของข้อมูลทราบ “โดยละเอียด” และชัดดเจนว่านำข้อมูลไปทำอะไร เช่น เอาไปประมวลผลเพื่อจัดทำ Promotion การส่งเสริมการขาย หรือ นำไปเพื่อส่งข่าวสารกิจกรรมต่างๆ ของโรงแรม ซึ่งต้องระบุอย่างละเอียดเป็นข้อๆ ให้แขกรับทราบและสำหรับข้อความขอความยินยอมในเอกสารต้องแยกบรรทัดให้เจ้าของข้อมูลเห็นได้อย่างชัดเจน อ่านง่าย ใช้ภาษาง่ายไม่กำกวมและหากเจ้าของข้อมูลยินยอมให้นำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์ใดแล้วจะไม่สามารถนำข้อมูลฯ ไปใช้ในเรื่องอื่นได้หากปราศจากการยินยอมได้ การลงชื่อยินยอมของเจ้าของข้อมูลสามารถทำเป็นหนังสือหรือผ่านระบบ Electronic ได้ นอกจากนี้ต้องกำหนดวิธีการให้เจ้าของข้อมูลมีสิทธิถอนการยินยอมได้โดยง่ายแต่การถอนการยินยอมจะไม่รวมถึงสิทธิในการเรียกร้องต่อการใช้ข้อมูลส่วนบุคคลที่ได้กระทำไปแล้วก่อนหน้านี้                                                                         
   1. การส่งต่อข้อมูลส่วนบุคคลไปยังต่างประเทศ อ้างอิงตามมาตรา 28 ใน พ.ร.บ.ฯ ตัวอย่างในกรณีโรงแรมมีสาขาหรือสำนักงานใหญ่ในต่างประเทศและสำนักงานที่ประเทศไทยต้องส่งต่อข้อมูลไปให้ยังต่างประเทศกรณีนี้โรงแรมในประเทศไทยจำเป็นที่จะต้องตรวจสอบระบบรักษาความปลอดภัยของการจัดเก็บข้อมูลส่วนบุคคลของประเทศปลายทางว่ามีมาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้มาตรฐานหรือไม่ถ้าพบว่ามีมาตรฐานไม่เทียบเท่าหรืออยู่ในระดับต่ำกว่ามาตรฐานในประเทศไทยก็จำเป็นต้องแจ้งให้เจ้าของข้อมูลทราบก่อนเพื่อให้เจ้าของข้อมูลฯ ยินยอมก่อนจัดส่ง                                                                                
   2. กรณีของการเปิดเผยข้อมูล โดยไม่ต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าสามารถกระทำได้ถ้าพิจารณาแล้วว่าเป็นการทำไปโดยที่มีมาตราอื่นใน พ.ร.บ.ฯ นี้อนุญาตให้ทำได้หรือมีกฏหมายอื่นๆ รองรับ เช่น การขอข้อมูลแขกเพื่อจัดเก็บสำหรับการลงทะเบียนเข้าพักตาม พ.ร.บ.โรงแรม พ.ศ.2547 หรือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็นไปเพราะต้องการระงับความเสี่ยงต่อชีวิตของเจ้าของข้อมูล                                        
   3. ข้อมูลที่ไม่สามารถจัดเก็บได้ อ้างอิงมาตรา 26 ใน พ.ร.บ. คือ ข้อมูลประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ความเห็นทางการเมือง ข้อมูลพันธุกรรม ข้อมูลชีวิตภาพ พฤติกรรมทางเพศ                                                                                   
   4. การรวบรวมข้อมูลจากแหล่งอื่น อ้างอิงมาตรา 25 ใน พ.ร.บ. จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลโรงแรมซึ่งจะไม่สามารถใช้การนำเอาข้อมูลจากแหล่งอื่นที่ไม่ใช่การจัดเก็บจากระบบของโรงแรมโดยตรงมาเก็บรวบรวมได้ ตัวอย่างเช่น กรณีที่โรงแรมมีการนำข้อมูลส่วนบุคคลจากธุรกิจอื่นที่ไม่ได้มาจากการจัดเก็บโดยตรงในโรงแรมมาจัดทำกิจกรรมการส่งเสริมการขายแล้วโดยไปเสนอขาย Promotion ห้องพักซึ่งเจ้าของข้อมูลไม่เคยใช้บริการของโรงแรมมาก่อน เป็นต้น นอกจากนี้อ้างอิงตามมาตรา 27 อาจยกตัวอย่างได้ว่ากรณีที่โรงแรมได้รับข้อมูลส่วนบุคคลมาจากผู้ควบคุมข้อมูลส่วนบุคคลอื่นจะต้องไม่ใช้หรือเปิดเผยข้อมูลนั้นเพราะไม่ได้เป็นการได้รับการยิมยอมจากเข้าของข้อมูลและโรงแรมไม่ได้จัดเก็บข้อมูลเองโดยตรง                               
   5. หากเกิดกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผย อ้างอิงตามมาตรา 30 เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่ตนได้ให้ไว้เพื่อขอเปิดเผยถึงการได้มาของข้อมูลของตนเองโดยที่ตนเองไม่ได้ยินยอม เช่น สำหรับโรงแรมอาจเป็นเรื่องของกรณีที่ข้อมูลส่วนบุคคลของแขกในโรงแรมถูกเปิดเผยออกไปโดยผู้ให้บริการอื่นกรณีนี้ทางเจ้าของข้อมูลสามารถติดต่อผู้ให้บริการอื่นเพื่อขอรับทราบถึงการได้มาของข้อมูลตนเองต่อผู้ให้บริการนั้นได้ เช่น กรณีของการเสนอขายสินค้าและบริการทางโทรศัพท์ที่ผู้บริโภคบางคนไม่เคยได้ให้ข้อมูลกับสินค้าหรือบริการนั้นไว้เลยก่อนหน้านี้

ความผิดทางแพ่ง อ้างอิงตามมาตรา 77 กำหนดให้ต้องรับผิดชอบค่าสินไหมต่อความเสียหายให้กับเจ้าของข้อมูลแต่ยกเว้นในกรณีที่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัย หรือ เกิดจากการกระทำของเจ้าของข้อมูลเอง หรือ เป็นการเปิดเผยข้อมูลโดยปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติหน้าที่และใช้อำนาจตามกฎหมาย สำหรับกรณีคดีทางแพ่งนี้การเรียกร้องยจะมี อายุความ 3 ปี นับแต่วันที่ผู้เสียหาย (เจ้าของข้อมูล) รู้ถึงความเสียหายและรู้ตัวผู้ที่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น

ความผิดทางอาญา อ้างอิงตามมาตรา 78 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนและไม่ปฏิบัติและไม่ปฏิบัติตามมาตรใดใน พ.ร.บ. นี้ ต้องระวางโทษจำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ

ข้อยกเว้นใน พ.ร.บฯ โดยสรุปคือหากกรณีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลโดยที่ไม่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้าจะต้องเป็นการกระทำตามมาตราใดใน พ.ร.บ. ฉบับนี้ที่รองรับว่าอนุญาตให้ทำได้หรือเป็นการเปิดเผยตามอำนาจที่มีกฎหมายอื่นรองรับว่าสามารถเปิดเผยได้โดยไม่ต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าซึ่งโดยทั่วไปส่วนใหญ่ก็เป็นการเปิดเผยด้วยเหตุผลด้านความมั่นคง ระงับความเสียหายต่อชีวิตและเพื่อประโยชน์ของเจ้าของข้อมูลเองเป็นหลัก

ทั้งหมดนี้คือสรุปสาระสำคัญของ พ.ร.บ. ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับอุตสาหกรรมโรงแรม (ตามกฎหมายคือ “ผู้ควบคุมข้อมูลส่วนบุคคล”) ซึ่งในอนาคตการจัดเก็บข้อมูลแขกผู้เข้าพักและรวมถึงข้อมูลของพนักงานด้วยก็ตามจำเป็นอย่างยิ่งที่จะต้องใช้ความระมัดระวังในการจัดเก็บนอกจากนี้การเลือกผู้ให้บริการที่มีฐานะเป็น “ผู้ประมวบผลข้อมูลส่วนบุคคล” ตาม พ.ร.บ. ฉบับนี้ก็จำเป็นอย่างยิ่งที่จะต้องใช้ความระมัดระวังและตรวจสอบให้ดีว่าผู้ให้บริการไม่ว่าจะเป็นระบบ Cloud ของ PMS, POS, หรือแม้แต่ระบบการจัดเก็บข้อมูลพนักงานของ HR มีมาตรฐานด้านการเก็บรักษาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องของโรงแรมดีพอหรือไม่

อีกกรณีคือการที่จะนำข้อมูลต่างๆ ของแขกผู้เข้าพักไปจัดทำ Promotions ก็จำเป็นต้องแจ้งให้แขกทราบและยินยอมก่อนเสมอและสิ่งที่ต้องระมัดระวังที่สุดคือวิธีการได้มาของข้อมูลส่วนบุคคลที่โรงแรมจะต้องได้มาจากการจัดเก็บเองในกรณีที่โรงแรมมีเชนบริหารซึ่งจะได้รับข้อมูลมาจากสำนักงานใหญ่ตรงนี้ทางสำนักงานใหญ่ก็จำเป็นที่จะต้องแจ้งให้แขกทราบถึงการที่ Head Office จะนำข้อมูลส่วนบุคคลของแขกไปใช้งานสำหรับโรงแรมสาขาอื่นๆ ในประเทศและต่างประเทศด้วย

 สำหรับเนื้อหารายละเอียดฉบับเต็มของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี พ.ศ.2562 สามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ราชกิจานุเบกษาตาม Link นี้ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF