สาระสำคัญของ PDPA ต่อธุรกิจโรงแรม เมื่อโรงแรมต้องหันมาให้ความสนใจกับ พ.ร.บ. ฉบับนี้ | Techsauce

สาระสำคัญของ PDPA ต่อธุรกิจโรงแรม เมื่อโรงแรมต้องหันมาให้ความสนใจกับ พ.ร.บ. ฉบับนี้

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA)          ที่เกี่ยวข้องในอุตสาหกรรมโรงแรม                                                                                                          

สาระสำคัญของ พ.ร.บ. นี้ส่วนใหญ่เป็นเรื่องที่เกี่ยวกับ “การคุ้มครองข้อมูลส่วนบุคคล” ไม่ให้มีการนำข้อมูลที่ได้จากบุคคลต่างๆ ไปใช้อย่างผิดเงื่อนไขผิดวัตถุประสงค์และไม่เป็นไปตามที่ได้ตกลงกับเจ้าของข้อมูลไว้ในขั้นตอนของการขอความยินยอมในการจัดเก็บการประมวลผลและการใช้ข้อมูลนอกจากนี้ยังมีการระบุถึงความรับผิดชอบของ “ผู้ควบคุมข้อมูล” และ “ผู้ประมวลผลข้อมูล” ที่มีหน้าที่ต้องรักษาข้อมูลส่วนบุคคลที่ได้รับไม่ให้ถูกบุคคลหรือนิติบุคคลอื่นนำไปใช้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลพร้อมทั้งบทกำหนดอัตราโทษทางแพ่งและอาญาที่จะได้รับ

สำหรับธุรกิจโรงแรมในยุคที่มีคำกล่าวว่า “Data is the new Oil” ซึ่งเป็นการเปรียบเทียบว่าในอนาคตใครมีข้อมูลมากกว่าถือเป็นการค้นพบขุมทรัพย์ทางธุรกิจรูปแบบใหม่ซึ่งเปรียบเทียบกับ “น้ำมัน” หนึ่งในสินค้าโภคภัณฑ์ที่สำคัญที่ใช้ในการขับเคลื่อนธุรกิจและด้วยเหตุนี้หลายๆ โรงแรมหลายๆ Brand ทั้งในระดับ Local และระดับ International พยายามที่จะเก็บรวบรวมข้อมูลจากแขกผู้มาใช้บริการเพื่อนำไปเป็น “Big Data” ก่อนนำไปสู่ขั้นตอนของการทำ “Data Analysis” และพัฒนาออกมาเป็นบริการที่ตอบสนองต่อความต้องการของแขกผู้เข้าพักเราจะเห็นได้จากการที่หลายๆ Brands หลายๆ โรงแรมมีการออกระบบ “บัตรสมาชิก (Member Card)” หรือระบบ “Loyalty Program” ที่ให้แขกใช้การสะสมแต้มจากการเข้าพักซึ่งรายละเอียดแขกและธุรกรรมต่างๆ ที่เกิดขึ้นในบัตรของแขกแต่ละคนคือ “ฐานข้อมูลส่วนบุคคล” ที่โรงแรมจะได้รับสอดคล้องกับแนวโน้มการบริหารองค์กรในอนาคตที่บางแห่งปรับเปลี่ยนรูปแบบการขับเคลื่อนองค์กรให้เป็นแบบ “Data Driven Organization” เป็นการขับเคลื่อนองค์กรโดยใช้ข้อมูลเป็นตัวชี้นำซึ่งองค์กรในลักษณะนี้จะไม่ตัดสินใจในเรื่องๆ ใดหากปราศจากข้อมูลที่เชื่อถือได้มารองรับและแน่นอนเมื่อมีการจัดเก็บข้อมูลของแขกผู้เข้าพักจำนวนมหาศาลดังนั้นหลังจากที่ พ.ร.บ.ฯ นี้ประกาศใช้ธุรกิจโรงแรมต้องทำความเข้าใจและหาทางรับมืออย่างระมัดระวังมากขึ้นเพราะคำว่า “ข้อมูลส่วนบุคคล” ไม่ได้หมายความถึงข้อมูลของแขกผู้เข้าพักเพียงอย่างเดียวแต่ยังหมายถึงข้อมูลของพนักงานในโรงแรมอีกด้วยสำหรับขั้นตอนแรกต้องรับรู้ถึงผู้เกี่ยวข้องและรายละเอียดที่สำคัญใน พ.ร.บฯ นี้ก่อนซึ่งจากเนื้อหาใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สามารถสรุปได้คือ

  • “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า เจ้าของข้อมูลต่างๆ ที่โรงแรมได้มีการขอข้อมูลในที่นี้ไม่ได้หมายถึงข้อมูลส่วนบุคคลจากแขกผู้เข้าพักอย่างเดียวแต่พนักงานโรงแรมที่จะต้องถูกจัดเก็บข้อมูลก็ถือเป็นเจ้าของข้อมูลส่วนบุคคลในส่วนของพนักงานด้วยเช่นกัน            
  • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ตำแหน่งหน้าที่การงาน เป็นต้น                       
  • “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำหรับกรณีของธุรกิจโรงแรมกรณีนี้อาจตีความได้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” อาจเป็นเจ้าของโรงแรมเองหรือผู้ที่ได้รับมอบหมายจากเจ้าของโรงแรมหรือฝ่ายบริหารคนใดคนหนึ่งที่ได้รับมอบหมายให้เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” และกระทำการในนามของโรงแรม                                                   
  • “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ได้เป็นผู้ควบคุมข้อมูลส่วนบุคคลถ้าตีความให้เข้าใจง่ายๆ คือ “ผู้ที่ทำหน้าที่ประมวลผลและบริหารจัดการข้อมูลตามคำสั่งของโรงแรม” ซึ่งไม่มีอำนาจหน้าที่ในการควบคุมข้อมูลส่วนบุคคล เช่น การใช้บริการ Cloud Service ในการจัดเก็บข้อมูลแขกผู้เข้าพักโดยผู้ให้บริการภายนอกซึ่งมีหน้าที่ต้องนำข้อมูลไปประมวลผลและส่งกลับมาให้โรงแรมใช้ในการจัดทำกิจกรรมการขายและการตลาดเป็นต้น

สาเหตุที่ธุรกิจโรงแรมต้องหันมาให้ความสนใจกับ พ.ร.บ. ฉบับนี้  เป็นเพราะตัวของโรงแรมหากยึดตามนิยามของ พ.ร.บ.ฯ นี้จะอยู่ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” และหากมีการใช้บริการบุคคลที่ 3 ในการประมวลผลข้อมูลเพื่อนำไปจัดทำกิจกรรมทางการตลาดหรือกิจกรรมอื่นๆ บุคคลที่3 นั้นจะอยู่ในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งมีหน้าที่ต้องดำเนินกิจกรรมต่างๆ ตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และด้วยเหตุนี้ตัวกฏหมายกำหนดให้ต้องมีการดูแลรักษาความปลอดภัยของข้อมูลทำให้โรงแรมจำเป็นที่จะต้องให้ความสำคัญกับระบบ Cyber Security ที่มีมาตรฐานเพื่อสร้างความเชื่อมั่นให้กับการจัดเก็บข้อมูลส่วนบุคคลของแขกไม่ให้รั่วไหลและถูกนำไปใช้ผิดวัตถุประสงค์

ปกติแล้วโรงแรมจะมีการลงทุนในส่วนของการจัดเก็บข้อมูลในรูปแบบของ Private Server ซึ่งมีการสร้างห้อง Server ไว้ในโรงแรมเพื่อจัดเก็บและประมวลผลข้อมูลต่างๆ ของแขกทั้งชื่อ นามสกุล สัญชาติ และพฤติกรรมการใช้จ่ายหลักๆ จะเป็นการจัดเก็บข้อมูลจากระบบ PMS (Property Management System) กับระบบ POS (Point of Sales) แต่เนื่องด้วยการลงทุนจัดทำ Private Server มีค่าใช้จ่ายค่อนข้างสูงซึ่งจะมีมูลค่าการลงทุนมาก-น้อยก็ขึ้นอยู่กับขนาดของโรงแรมจึงทำให้มีผู้ให้บริการรายอื่นจัดทำระบบ PMS, POS, ในระบบ Cloud ออกมาให้บริการเพื่อช่วยประหยัดค่าใช้จ่ายให้กับโรงแรมด้วยเหตุนี้หลัง พ.ร.บ.ฯ นี้ประกาศใช้ทางโรงแรมจำเป็นที่จะต้องให้ความสนใจและศึกษารายละเอียดด้านมาตรการรักษาความปลอดภัยของผู้ให้บริการเหล่านั้นอย่างละเอียดในอนาคตเพราะหากเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมาย่อมทำให้โรงแรมไม่สามารถปฏิเสธความรับผิดชอบได้

สรุปหลักสำคัญของ พ.ร.บ. ต่อธุรกิจโรงแรม

  1. การให้ความยินยอมของเจ้าของข้อมูล อ้างอิงตามมาตรา 19 ใน พ.ร.บ.ฯ สำหรับการจัดเก็บข้อมูลส่วนบุคคลต่อไปในอนาคตจำเป็นที่จะต้องแจ้งให้เจ้าของข้อมูลทราบ “โดยละเอียด” และชัดดเจนว่านำข้อมูลไปทำอะไร เช่น เอาไปประมวลผลเพื่อจัดทำ Promotion การส่งเสริมการขาย หรือ นำไปเพื่อส่งข่าวสารกิจกรรมต่างๆ ของโรงแรม ซึ่งต้องระบุอย่างละเอียดเป็นข้อๆ ให้แขกรับทราบและสำหรับข้อความขอความยินยอมในเอกสารต้องแยกบรรทัดให้เจ้าของข้อมูลเห็นได้อย่างชัดเจน อ่านง่าย ใช้ภาษาง่ายไม่กำกวมและหากเจ้าของข้อมูลยินยอมให้นำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์ใดแล้วจะไม่สามารถนำข้อมูลฯ ไปใช้ในเรื่องอื่นได้หากปราศจากการยินยอมได้ การลงชื่อยินยอมของเจ้าของข้อมูลสามารถทำเป็นหนังสือหรือผ่านระบบ Electronic ได้ นอกจากนี้ต้องกำหนดวิธีการให้เจ้าของข้อมูลมีสิทธิถอนการยินยอมได้โดยง่ายแต่การถอนการยินยอมจะไม่รวมถึงสิทธิในการเรียกร้องต่อการใช้ข้อมูลส่วนบุคคลที่ได้กระทำไปแล้วก่อนหน้านี้                                                                         
    1. การส่งต่อข้อมูลส่วนบุคคลไปยังต่างประเทศ อ้างอิงตามมาตรา 28 ใน พ.ร.บ.ฯ ตัวอย่างในกรณีโรงแรมมีสาขาหรือสำนักงานใหญ่ในต่างประเทศและสำนักงานที่ประเทศไทยต้องส่งต่อข้อมูลไปให้ยังต่างประเทศกรณีนี้โรงแรมในประเทศไทยจำเป็นที่จะต้องตรวจสอบระบบรักษาความปลอดภัยของการจัดเก็บข้อมูลส่วนบุคคลของประเทศปลายทางว่ามีมาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้มาตรฐานหรือไม่ถ้าพบว่ามีมาตรฐานไม่เทียบเท่าหรืออยู่ในระดับต่ำกว่ามาตรฐานในประเทศไทยก็จำเป็นต้องแจ้งให้เจ้าของข้อมูลทราบก่อนเพื่อให้เจ้าของข้อมูลฯ ยินยอมก่อนจัดส่ง                                                                                
    2. กรณีของการเปิดเผยข้อมูล โดยไม่ต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าสามารถกระทำได้ถ้าพิจารณาแล้วว่าเป็นการทำไปโดยที่มีมาตราอื่นใน พ.ร.บ.ฯ นี้อนุญาตให้ทำได้หรือมีกฏหมายอื่นๆ รองรับ เช่น การขอข้อมูลแขกเพื่อจัดเก็บสำหรับการลงทะเบียนเข้าพักตาม พ.ร.บ.โรงแรม พ.ศ.2547 หรือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็นไปเพราะต้องการระงับความเสี่ยงต่อชีวิตของเจ้าของข้อมูล                                        
    3. ข้อมูลที่ไม่สามารถจัดเก็บได้ อ้างอิงมาตรา 26 ใน พ.ร.บ. คือ ข้อมูลประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ความเห็นทางการเมือง ข้อมูลพันธุกรรม ข้อมูลชีวิตภาพ พฤติกรรมทางเพศ                                                                                   
    4. การรวบรวมข้อมูลจากแหล่งอื่น อ้างอิงมาตรา 25 ใน พ.ร.บ. จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลโรงแรมซึ่งจะไม่สามารถใช้การนำเอาข้อมูลจากแหล่งอื่นที่ไม่ใช่การจัดเก็บจากระบบของโรงแรมโดยตรงมาเก็บรวบรวมได้ ตัวอย่างเช่น กรณีที่โรงแรมมีการนำข้อมูลส่วนบุคคลจากธุรกิจอื่นที่ไม่ได้มาจากการจัดเก็บโดยตรงในโรงแรมมาจัดทำกิจกรรมการส่งเสริมการขายแล้วโดยไปเสนอขาย Promotion ห้องพักซึ่งเจ้าของข้อมูลไม่เคยใช้บริการของโรงแรมมาก่อน เป็นต้น นอกจากนี้อ้างอิงตามมาตรา 27 อาจยกตัวอย่างได้ว่ากรณีที่โรงแรมได้รับข้อมูลส่วนบุคคลมาจากผู้ควบคุมข้อมูลส่วนบุคคลอื่นจะต้องไม่ใช้หรือเปิดเผยข้อมูลนั้นเพราะไม่ได้เป็นการได้รับการยิมยอมจากเข้าของข้อมูลและโรงแรมไม่ได้จัดเก็บข้อมูลเองโดยตรง                               
    5. หากเกิดกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผย อ้างอิงตามมาตรา 30 เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่ตนได้ให้ไว้เพื่อขอเปิดเผยถึงการได้มาของข้อมูลของตนเองโดยที่ตนเองไม่ได้ยินยอม เช่น สำหรับโรงแรมอาจเป็นเรื่องของกรณีที่ข้อมูลส่วนบุคคลของแขกในโรงแรมถูกเปิดเผยออกไปโดยผู้ให้บริการอื่นกรณีนี้ทางเจ้าของข้อมูลสามารถติดต่อผู้ให้บริการอื่นเพื่อขอรับทราบถึงการได้มาของข้อมูลตนเองต่อผู้ให้บริการนั้นได้ เช่น กรณีของการเสนอขายสินค้าและบริการทางโทรศัพท์ที่ผู้บริโภคบางคนไม่เคยได้ให้ข้อมูลกับสินค้าหรือบริการนั้นไว้เลยก่อนหน้านี้

ความผิดทางแพ่ง อ้างอิงตามมาตรา 77 กำหนดให้ต้องรับผิดชอบค่าสินไหมต่อความเสียหายให้กับเจ้าของข้อมูลแต่ยกเว้นในกรณีที่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัย หรือ เกิดจากการกระทำของเจ้าของข้อมูลเอง หรือ เป็นการเปิดเผยข้อมูลโดยปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติหน้าที่และใช้อำนาจตามกฎหมาย สำหรับกรณีคดีทางแพ่งนี้การเรียกร้องยจะมี อายุความ 3 ปี นับแต่วันที่ผู้เสียหาย (เจ้าของข้อมูล) รู้ถึงความเสียหายและรู้ตัวผู้ที่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น

ความผิดทางอาญา อ้างอิงตามมาตรา 78 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนและไม่ปฏิบัติและไม่ปฏิบัติตามมาตรใดใน พ.ร.บ. นี้ ต้องระวางโทษจำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ

ข้อยกเว้นใน พ.ร.บฯ โดยสรุปคือหากกรณีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลโดยที่ไม่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้าจะต้องเป็นการกระทำตามมาตราใดใน พ.ร.บ. ฉบับนี้ที่รองรับว่าอนุญาตให้ทำได้หรือเป็นการเปิดเผยตามอำนาจที่มีกฎหมายอื่นรองรับว่าสามารถเปิดเผยได้โดยไม่ต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าซึ่งโดยทั่วไปส่วนใหญ่ก็เป็นการเปิดเผยด้วยเหตุผลด้านความมั่นคง ระงับความเสียหายต่อชีวิตและเพื่อประโยชน์ของเจ้าของข้อมูลเองเป็นหลัก

ทั้งหมดนี้คือสรุปสาระสำคัญของ พ.ร.บ. ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับอุตสาหกรรมโรงแรม (ตามกฎหมายคือ “ผู้ควบคุมข้อมูลส่วนบุคคล”) ซึ่งในอนาคตการจัดเก็บข้อมูลแขกผู้เข้าพักและรวมถึงข้อมูลของพนักงานด้วยก็ตามจำเป็นอย่างยิ่งที่จะต้องใช้ความระมัดระวังในการจัดเก็บนอกจากนี้การเลือกผู้ให้บริการที่มีฐานะเป็น “ผู้ประมวบผลข้อมูลส่วนบุคคล” ตาม พ.ร.บ. ฉบับนี้ก็จำเป็นอย่างยิ่งที่จะต้องใช้ความระมัดระวังและตรวจสอบให้ดีว่าผู้ให้บริการไม่ว่าจะเป็นระบบ Cloud ของ PMS, POS, หรือแม้แต่ระบบการจัดเก็บข้อมูลพนักงานของ HR มีมาตรฐานด้านการเก็บรักษาข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องของโรงแรมดีพอหรือไม่

อีกกรณีคือการที่จะนำข้อมูลต่างๆ ของแขกผู้เข้าพักไปจัดทำ Promotions ก็จำเป็นต้องแจ้งให้แขกทราบและยินยอมก่อนเสมอและสิ่งที่ต้องระมัดระวังที่สุดคือวิธีการได้มาของข้อมูลส่วนบุคคลที่โรงแรมจะต้องได้มาจากการจัดเก็บเองในกรณีที่โรงแรมมีเชนบริหารซึ่งจะได้รับข้อมูลมาจากสำนักงานใหญ่ตรงนี้ทางสำนักงานใหญ่ก็จำเป็นที่จะต้องแจ้งให้แขกทราบถึงการที่ Head Office จะนำข้อมูลส่วนบุคคลของแขกไปใช้งานสำหรับโรงแรมสาขาอื่นๆ ในประเทศและต่างประเทศด้วย

 สำหรับเนื้อหารายละเอียดฉบับเต็มของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี พ.ศ.2562 สามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ราชกิจานุเบกษาตาม Link นี้ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

RELATED ARTICLE

Responsive image

เปิด Insight เมกะเทรนด์โลกปี 2030 หลังโควิด-19 และ Digital Disruption มีอะไรบ้างที่นักลงทุนควรรู้

ธนาคารกสิกรไทย ได้จัดงาน “THE WISDOM The Symbol Of Your Vision: The Future of Digital Disruption and Investment” เพื่อเปิดโผเมกะเทรนด์การ Disruption ของธุรกิจที่จะเกิดขึ้นในปี 2030...

Responsive image

จับตาเทรนด์ IoT ปี 2022

สำรวจเทรนด์ IoT ในอนาคต ในแง่มุมของธุรกิจทั้งระดับโลกและประเทศไทย...

Responsive image

เปิดโลกอนาคต IoT 2022

เจาะลึกความท้าทายและบทบาทของ IoT ในอนาคต และคำแนะนำสำหรับองค์กร หรือผู้ที่ต้องการเริ่มใช้เทคโนโลยี IoT ให้ใช้งานได้อย่างเต็มประสิทธิภาพ...