Main Idea
สาระสำคัญของ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล”
- เป็นการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้มีการนำข้อมูลที่ได้จากบุคคลต่างๆ ไปใช้อย่างผิดเงื่อนไข ผิดวัตถุประสงค์และไม่เป็นไปตามที่ได้ตกลงกับเจ้าของข้อมูลไว้
- ระบุถึงความรับผิดชอบของ “ผู้ควบคุมข้อมูล” และ “ผู้ประมวลผลข้อมูล” ที่มีหน้าที่ต้องรักษาข้อมูลส่วนบุคคลที่ได้รับไม่ให้ถูกบุคคลหรือนิติบุคคลอื่นนำไปใช้ โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
- มีบทกำหนดอัตราโทษทางแพ่งและอาญาที่จะได้รับ
- ธุรกิจโรงแรมต้องทำความเข้าใจและหาทางรับมืออย่างระมัดระวัง ทั้งข้อมูลของแขกผู้เข้าพักและพนักงานในโรงแรม
สำหรับธุรกิจโรงแรมในยุคที่มีคำกล่าวว่า “Data is the new Oil” ซึ่งเป็นการเปรียบเทียบว่า ในอนาคตใครมีข้อมูลมากกว่าถือเป็นการค้นพบขุมทรัพย์ทางธุรกิจรูปแบบใหม่ ซึ่งเปรียบเทียบกับ “น้ำมัน” หนึ่งในสินค้าโภคภัณฑ์ที่สำคัญที่ใช้ในการขับเคลื่อนธุรกิจและด้วยเหตุนี้หลายๆ โรงแรมหลายๆ Brand ทั้งในระดับ Local และ International จึงพยายามที่จะเก็บรวบรวมข้อมูลจากแขกผู้มาใช้บริการเพื่อนำไปเป็น “Big Data” ก่อนนำไปสู่ขั้นตอนของการทำ “Data Analysis” และพัฒนาออกมาเป็นบริการที่ตอบสนองต่อความต้องการของแขกผู้เข้าพัก
เราจะเห็นได้จากการที่หลายๆ Brand หลายๆ โรงแรมมีการออกระบบ “บัตรสมาชิก (Member Card)” หรือระบบ “Loyalty Program” ที่ให้แขกใช้การสะสมแต้มจากการเข้าพักซึ่งรายละเอียดแขกและธุรกรรมต่างๆ ที่เกิดขึ้นในบัตรของแขกแต่ละคนคือ “ฐานข้อมูลส่วนบุคคล” ที่โรงแรมจะได้รับสอดคล้องกับแนวโน้มการบริหารองค์กรในอนาคต ที่บางแห่งปรับเปลี่ยนรูปแบบการขับเคลื่อนองค์กรให้เป็นแบบ “Data Driven Organization” เป็นการขับเคลื่อนองค์กรโดยใช้ข้อมูลเป็นตัวชี้นำ
ซึ่งองค์กรในลักษณะนี้จะไม่ตัดสินใจในเรื่องๆ ใดหากปราศจากข้อมูลที่เชื่อถือได้มารองรับ และแน่นอนว่าเมื่อมีการจัดเก็บข้อมูลของแขกผู้เข้าพักจำนวนมหาศาล ดังนั้นหลังจากที่ “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” (Personal Data Protection Act : PDPA) ถูกประกาศใช้ ธุรกิจโรงแรมก็ต้องทำความเข้าใจและหาทางรับมืออย่างระมัดระวังมากขึ้นเพราะคำว่า “ข้อมูลส่วนบุคคล” ไม่ได้หมายความถึงข้อมูลของแขกผู้เข้าพักเพียงอย่างเดียว แต่ยังหมายถึงข้อมูลของพนักงานในโรงแรมอีกด้วย สำหรับขั้นตอนแรกต้องรับรู้ถึงผู้เกี่ยวข้องและรายละเอียดที่สำคัญใน พ.ร.บฯ นี้ก่อน ซึ่งจากเนื้อหาใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สามารถสรุปได้คือ
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า เจ้าของข้อมูลต่างๆ ที่โรงแรมได้มีการขอข้อมูลในที่นี้ไม่ได้หมายถึงข้อมูลส่วนบุคคลจากแขกผู้เข้าพักอย่างเดียวแต่พนักงานโรงแรมที่จะต้องถูกจัดเก็บข้อมูลก็ถือเป็นเจ้าของข้อมูลส่วนบุคคลในส่วนของพนักงานด้วยเช่นกัน
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล ตำแหน่งหน้าที่การงาน เป็นต้น
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สำหรับกรณีของธุรกิจโรงแรมกรณีนี้อาจตีความได้ว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” อาจเป็นเจ้าของโรงแรมเองหรือผู้ที่ได้รับมอบหมายจากเจ้าของโรงแรมหรือฝ่ายบริหารคนใดคนหนึ่งที่ได้รับมอบหมายให้เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” และกระทำการในนามของโรงแรม
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ได้เป็นผู้ควบคุมข้อมูลส่วนบุคคล ถ้าตีความให้เข้าใจง่ายๆ คือ “ผู้ที่ทำหน้าที่ประมวลผลและบริหารจัดการข้อมูลตามคำสั่งของโรงแรม” ซึ่งไม่มีอำนาจหน้าที่ในการควบคุมข้อมูลส่วนบุคคล เช่น การใช้บริการ Cloud Service ในการจัดเก็บข้อมูลแขกผู้เข้าพักโดยผู้ให้บริการภายนอก ซึ่งมีหน้าที่ต้องนำข้อมูลไปประมวลผลและส่งกลับมาให้โรงแรมใช้ในการจัดทำกิจกรรมการขายและการตลาดเป็นต้น
สาเหตุที่ธุรกิจโรงแรมต้องหันมาให้ความสนใจกับ พ.ร.บ. ฉบับนี้ เป็นเพราะตัวของโรงแรมหากยึดตามนิยามของ พ.ร.บ.ฯ นี้จะอยู่ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” และหากมีการใช้บริการบุคคลที่ 3 ในการประมวลผลข้อมูลเพื่อนำไปจัดทำกิจกรรมทางการตลาดหรือกิจกรรมอื่นๆ บุคคลที่ 3 นั้นจะอยู่ในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” ซึ่งมีหน้าที่ต้องดำเนินกิจกรรมต่างๆ ตามคำสั่งของ “ผู้ควบคุมข้อมูลส่วนบุคคล” และด้วยเหตุนี้ตัวกฎหมายกำหนดให้ต้องมีการดูแลรักษาความปลอดภัยของข้อมูลทำให้โรงแรมจำเป็นที่จะต้องให้ความสำคัญกับระบบ Cyber Security ที่มีมาตรฐานเพื่อสร้างความเชื่อมั่นให้กับการจัดเก็บข้อมูลส่วนบุคคลของแขกไม่ให้รั่วไหลและถูกนำไปใช้ผิดวัตถุประสงค์
ปกติแล้วโรงแรมจะมีการลงทุนในส่วนของการจัดเก็บข้อมูลในรูปแบบของ Private Server ซึ่งมีการสร้างห้อง Server ไว้ในโรงแรมเพื่อจัดเก็บและประมวลผลข้อมูลต่างๆ ของแขก ทั้ง ชื่อ นามสกุล สัญชาติ และพฤติกรรมการใช้จ่ายหลักๆ จะเป็นการจัดเก็บข้อมูลจากระบบ PMS (Property Management System) กับระบบ POS (Point of Sales) แต่เนื่องด้วยการลงทุนจัดทำ Private Server มีค่าใช้จ่ายค่อนข้างสูง ซึ่งจะมีมูลค่าการลงทุนมาก-น้อย ก็ขึ้นอยู่กับขนาดของโรงแรมจึงทำให้มีผู้ให้บริการรายอื่นจัดทำระบบ PMS, POS, ในระบบ Cloud ออกมาให้บริการเพื่อช่วยประหยัดค่าใช้จ่ายให้กับโรงแรม ด้วยเหตุนี้หลัง พ.ร.บ.ฯ นี้ประกาศใช้ทางโรงแรมจำเป็นที่จะต้องให้ความสนใจและศึกษารายละเอียดด้านมาตรการรักษาความปลอดภัยของผู้ให้บริการเหล่านั้นอย่างละเอียดในอนาคต เพราะหากเกิดการรั่วไหลของข้อมูลส่วนบุคคลขึ้นมาย่อมทำให้โรงแรมไม่สามารถปฏิเสธความรับผิดชอบได้
สรุปหลักสำคัญของ พ.ร.บ. ต่อธุรกิจโรงแรม
1.การให้ความยินยอมของเจ้าของข้อมูล อ้างอิงตามมาตรา 19 ใน พ.ร.บ.ฯ สำหรับการจัดเก็บข้อมูลส่วนบุคคลต่อไปในอนาคตจำเป็นที่จะต้องแจ้งให้เจ้าของข้อมูลทราบ “โดยละเอียด” และชัดเจนว่านำข้อมูลไปทำอะไร เช่น เอาไปประมวลผลเพื่อจัดทำ Promotion การส่งเสริมการขาย หรือ นำไปเพื่อส่งข่าวสารกิจกรรมต่างๆ ของโรงแรม ซึ่งต้องระบุอย่างละเอียดเป็นข้อๆ ให้แขกรับทราบและสำหรับข้อความขอความยินยอมในเอกสารต้องแยกบรรทัดให้เจ้าของข้อมูลเห็นได้อย่างชัดเจน อ่านง่าย ใช้ภาษาง่ายไม่กำกวมและหากเจ้าของข้อมูลยินยอมให้นำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์ใดแล้วจะไม่สามารถนำข้อมูลฯ ไปใช้ในเรื่องอื่นได้หากปราศจากการยินยอมได้ การลงชื่อยินยอมของเจ้าของข้อมูลสามารถทำเป็นหนังสือหรือผ่านระบบ Electronic ได้ นอกจากนี้ต้องกำหนดวิธีการให้เจ้าของข้อมูลมีสิทธิถอนการยินยอมได้โดยง่ายแต่การถอนการยินยอมจะไม่รวมถึงสิทธิในการเรียกร้องต่อการใช้ข้อมูลส่วนบุคคลที่ได้กระทำไปแล้วก่อนหน้านี้
2.การส่งต่อข้อมูลส่วนบุคคลไปยังต่างประเทศ อ้างอิงตามมาตรา 28 ใน พ.ร.บ.ฯ ตัวอย่าง ในกรณีโรงแรมมีสาขาหรือสำนักงานใหญ่ในต่างประเทศ และสำนักงานที่ประเทศไทยต้องส่งต่อข้อมูลไปให้ยังต่างประเทศ กรณีนี้โรงแรมในประเทศไทยจำเป็นที่จะต้องตรวจสอบระบบรักษาความปลอดภัยของการจัดเก็บข้อมูลส่วนบุคคลของประเทศปลายทาง ว่ามีมาตรฐานการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้มาตรฐานหรือไม่ ถ้าพบว่ามีมาตรฐานไม่เทียบเท่าหรืออยู่ในระดับต่ำกว่ามาตรฐานในประเทศไทย ก็จำเป็นต้องแจ้งให้เจ้าของข้อมูลทราบก่อนเพื่อให้เจ้าของข้อมูลฯ ยินยอมก่อนจัดส่ง
3.กรณีของการเปิดเผยข้อมูล โดยไม่ต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้าสามารถกระทำได้ถ้าพิจารณาแล้วว่าเป็นการทำไปโดยที่มีมาตราอื่นใน พ.ร.บ.ฯ นี้อนุญาตให้ทำได้หรือมีกฎหมายอื่นๆ รองรับ เช่น การขอข้อมูลแขกเพื่อจัดเก็บสำหรับการลงทะเบียนเข้าพักตาม พ.ร.บ.โรงแรม พ.ศ.2547 หรือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็นไปเพราะต้องการระงับความเสี่ยงต่อชีวิตของเจ้าของข้อมูล
4.ข้อมูลที่ไม่สามารถจัดเก็บได้ อ้างอิงมาตรา 26 ใน พ.ร.บ. คือ ข้อมูลประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ความเห็นทางการเมือง ข้อมูลพันธุกรรม ข้อมูลชีวิตภาพ พฤติกรรมทางเพศ
5.การรวบรวมข้อมูลจากแหล่งอื่น อ้างอิงมาตรา 25 ใน พ.ร.บ. จะเกี่ยวข้องกับการจัดเก็บข้อมูลส่วนบุคคลของโรงแรม ซึ่งจะไม่สามารถใช้การนำเอาข้อมูลจากแหล่งอื่นที่ไม่ใช่การจัดเก็บจากระบบของโรงแรมโดยตรงมาเก็บรวบรวมได้ ตัวอย่างเช่น กรณีที่โรงแรมมีการนำข้อมูลส่วนบุคคลจากธุรกิจอื่นที่ไม่ได้มาจากการจัดเก็บโดยตรงในโรงแรม มาจัดทำกิจกรรมการส่งเสริมการขายแล้วโดยไปเสนอขาย Promotion ห้องพัก ซึ่งเจ้าของข้อมูลไม่เคยใช้บริการของโรงแรมมาก่อน เป็นต้น นอกจากนี้อ้างอิงตามมาตรา 27 อาจยกตัวอย่างได้ว่า กรณีที่โรงแรมได้รับข้อมูลส่วนบุคคลมาจากผู้ควบคุมข้อมูลส่วนบุคคลอื่น จะต้องไม่ใช้หรือเปิดเผยข้อมูลนั้นเพราะไม่ได้เป็นการได้รับการยินยอมจากเข้าของข้อมูล และโรงแรมไม่ได้จัดเก็บข้อมูลเองโดยตรง
6.หากเกิดกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผย อ้างอิงตามมาตรา 30 เจ้าของข้อมูลมีสิทธิขอเข้าถึงข้อมูลที่ตนได้ให้ไว้เพื่อขอเปิดเผยถึงการได้มาของข้อมูลของตนเองโดยที่ตนเองไม่ได้ยินยอม เช่น สำหรับโรงแรมอาจเป็นเรื่องของกรณีที่ข้อมูลส่วนบุคคลของแขกในโรงแรมถูกเปิดเผยออกไปโดยผู้ให้บริการอื่น กรณีนี้ทางเจ้าของข้อมูลสามารถติดต่อผู้ให้บริการอื่นเพื่อขอรับทราบถึงการได้มาของข้อมูลตนเองต่อผู้ให้บริการนั้นได้ เช่น กรณีของการเสนอขายสินค้าและบริการทางโทรศัพท์ที่ผู้บริโภคบางคนไม่เคยได้ให้ข้อมูลกับสินค้าหรือบริการนั้นไว้เลยก่อนหน้านี้
7.สำหรับสาระสำคัญของบทกำหนดโทษ กรณีที่ปล่อยให้ข้อมูลส่วนบุคคลถูกเปิดเผยโดยไม่ได้รับอนุญาตและสร้างความเสียหายให้เจ้าของข้อมูลจะมีบทกำหนดโทษทั้งทางแพ่งและทางอาญา ซึ่งสามารถสรุปสาระสำคัญได้ดังนี้คือ
ความผิดทางแพ่ง อ้างอิงตามมาตรา 77 กำหนดให้ต้องรับผิดชอบค่าสินไหมต่อความเสียหายให้กับเจ้าของข้อมูลแต่ยกเว้นในกรณีที่พิสูจน์ได้ว่า เกิดจากเหตุสุดวิสัย หรือ เกิดจากการกระทำของเจ้าของข้อมูลเอง หรือ เป็นการเปิดเผยข้อมูลโดยปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติหน้าที่และใช้อำนาจตามกฎหมาย สำหรับกรณีคดีทางแพ่งนี้การเรียกร้องจะมี อายุความ 3 ปี นับแต่วันที่ผู้เสียหาย (เจ้าของข้อมูล) รู้ถึงความเสียหายและรู้ตัวผู้ที่ต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น
ความผิดทางอาญา อ้างอิงตามมาตรา 78 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนและไม่ปฏิบัติและไม่ปฏิบัติตามมาตรใดใน พ.ร.บ. นี้ ต้องระวางโทษจำคุกไม่เกิน 6 เดือนหรือปรับไม่เกิน 5 แสนบาทหรือทั้งจำทั้งปรับ
ข้อยกเว้นใน พ.ร.บฯ โดยสรุปคือ หากกรณีที่จำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลโดยที่ไม่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้า จะต้องเป็นการกระทำตามมาตราใดใน พ.ร.บ. ฉบับนี้ ที่รองรับว่าอนุญาตให้ทำได้ หรือเป็นการเปิดเผยตามอำนาจที่มีกฎหมายอื่นรองรับว่า สามารถเปิดเผยได้โดยไม่ต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้า ซึ่งโดยทั่วไปส่วนใหญ่ก็เป็นการเปิดเผยด้วยเหตุผลด้านความมั่นคง ระงับความเสียหายต่อชีวิตและเพื่อประโยชน์ของเจ้าของข้อมูลเองเป็นหลัก
ทั้งหมดนี้คือสรุปสาระสำคัญของ พ.ร.บ. ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับอุตสาหกรรมโรงแรม (ตามกฎหมายคือ “ผู้ควบคุมข้อมูลส่วนบุคคล”) ซึ่งในอนาคตการจัดเก็บข้อมูลแขกผู้เข้าพักและรวมถึงข้อมูลของพนักงานด้วยก็ตาม จำเป็นอย่างยิ่งที่จะต้องใช้ความระมัดระวังในการจัดเก็บ นอกจากนี้การเลือกผู้ให้บริการที่มีฐานะเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” ตาม พ.ร.บ. ฉบับนี้ ก็จำเป็นอย่างยิ่งที่จะต้องใช้ความระมัดระวังและตรวจสอบให้ดีว่า ผู้ให้บริการไม่ว่าจะเป็นระบบ Cloud ของ PMS, POS, หรือแม้แต่ระบบการจัดเก็บข้อมูลพนักงานของ HR มีมาตรฐานด้านการเก็บรักษาข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องของโรงแรมดีพอหรือไม่
อีกกรณีคือการที่จะนำข้อมูลต่างๆ ของแขกผู้เข้าพักไปจัดทำ Promotions ก็จำเป็นต้องแจ้งให้แขกทราบและยินยอมก่อนเสมอและสิ่งที่ต้องระมัดระวังที่สุดคือวิธีการได้มาของข้อมูลส่วนบุคคลที่โรงแรมจะต้องได้มาจากการจัดเก็บเองในกรณีที่โรงแรมมีเชนบริหารซึ่งจะได้รับข้อมูลมาจากสำนักงานใหญ่ตรงนี้ทางสำนักงานใหญ่ก็จำเป็นที่จะต้องแจ้งให้แขกทราบถึงการที่ Head Office จะนำข้อมูลส่วนบุคคลของแขกไปใช้งานสำหรับโรงแรมสาขาอื่นๆ ในประเทศและต่างประเทศด้วย
สำหรับเนื้อหารายละเอียดฉบับเต็มของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี พ.ศ.2562 สามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ราชกิจานุเบกษาตามลิงก์นี้ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
www.smethailandclub.com
ศูนย์รวมข้อมูลธุรกิจเอสเอ็มอี
