ย้อนกลับ

PDPA โรงแรม คืออะไร เกี่ยวข้องกับโรงแรมอย่างไร ?

การดำเนินธุรกิจของโรงแรมตามหลักของ PDPA โรงแรม โดยทั่วไปแล้วหากต้องการเก็บรวบรวมข้อมูล ประมวลผลข้อมูล นำข้อมูลไปใช้ เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้า โรงแรมมีวิธีทำอย่างไร ทำได้แค่ไหน ไม่เช่นนั้นอาจต้องรับโทษร้ายแรงทั้งทางแพ่ง อาญา และปกครอง เรามาทำความรู้จัก PDPA โรงแรมกันค่ะ

PDPA คือ อะไร ?

PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายที่ออกมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมไปถึงการจัดเก็บข้อมูล และการนำไปใช้โดยไม่ได้รับความยินยอม
Roomyy.co

จะเห็นได้จากข่าวที่ออกมาให้ได้พบเจอบ่อยเหลือเกิน ว่ามิจฉาชีพโทรมาหลอกลวง รู้ชื่อ นามสกุลเรา หลอกให้เราโอนเงินให้ หรือจะเป็นการซื้อขายข้อมูลเบอร์โทรศัพท์ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือส่งข้อความขยะมาให้เรากดลิ้งต่อ

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) คือ กฎหมายใหม่ที่ออกมาเพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคล เริ่มบังคับใช้อย่างเต็มรูปแบบ วันที่ 1 มิ.ย. 2565

อ่านเพิ่มเติมพ.ร.บ PDPA

เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ง่ายๆคือ ข้อมูลต่างๆ ที่สามรถระบุตัวตนของตัวเจ้าของข้อมูลนั้น อาจเป็นได้ เอกสาร กระดาษ หนังสือ หรือข้อมูลอิเล็กทรอนิกส์ก็ได้

PDPA มาจากไหน ?

ความเป็นมาของ กฎหมาย PDPA ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

มีวัตถุประสงค์ เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีละเมิดความเป็นส่วนตัวเพื่อข่มขู่ หลอกลวง ให้ได้ผลประโยชน์จากทั้งจากตัวเจ้าของข้อมูลเอง หรือจากผู้ดูแลข้อมูล เป็นการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายเหมือนกันทั้ง 2 ฉบับ

PDPA มีสำคัญหรือไม่ ?

ความสำคัญของ PDPA คือ เพื่อสร้างความปลอดภัยและเป็นส่วนตัวให้แก่เจ้าของข้อมูล การทำให้เจ้าของข้อมูลมีสิทธิในข้อมูลส่วนตัวที่ถูกจัดเก็บไปแล้ว หรือกำลังจะถูกจัดเก็บ โดยมีสิทธิที่สำคัญคือ สิทธิการรับทราบ ยิมยอมในการเก็บข้อมูลส่วนตัว สิทธิในการเข้าถึงข้อมูลส่วนตัว คัดค้าน เพิกถอนการเก็บ การนำข้อมูลไปใช้ และสิทธิขอให้ลบหรือทำลายข้อมูลส่วนตัว

สิทธิที่เพิ่มขึ้นของเจ้าของข้อมูล ทำให้ผู้ประกอบการขององค์กรและบริษัทต่าง ๆ ต้องปรับเปลี่ยนกระบวนการเก็บรวบรวม และนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้นั้นเป็นไปตามหลักปฏิบัติของ PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

PDPA โรงแรม เกี่ยวข้องกับโรงแรมอย่างไร ?

อันดับแรกต้องรับรู้ก่อนว่าตัวโรงแรมไม่ว่าจะดำเนินธุรกิจแบบ Hotels หรือ Homestays ฯลฯ ทั้งหมดนั้นต้องดำเนินธุรกิจภายใต้ พ.ร.บ.โรงแรม พ.ศ.2547 และตามกฎกระทรวงกำหนดประเภทและหลักเกณฑ์การประกอบธุรกิจโรงแรม พ.ศ. 2551

อ่านเพิ่มเติม พ.ร.บ โรงแรม

โรงแรมจึงสามารถเก็บข้อมูลของผู้เข้าพักได้แม้จะประกาศใช้กฎหมาย PDPA โรงแรม เพื่อรักษาความปลอดภัยให้กับผู้เข้าพักกรณีเกิดเหตุฉุกเฉิน เกิดการเจ็บป่วย จะช่วยให้สามารถระบุตัวตนและให้ความช่วยเหลือหรือติดต่อญาติพี่น้องได้ ซึ่งข้อมูลที่จัดเก็บส่วนใหญ่ ล้วนเป็นข้อมูลที่จำเป็นได้ตามเดิม

ดังนั้นในบรรทัดต่อจากนี้จึงขอใช้คำว่า ‘โรงแรม’ ซึ่งเป็นคำอิบายถึงลักษณะที่ถูกต้องของการให้บริการห้องพักแบบเป็นครั้งคราว และมีการจัดเก็บข้อมูลส่วนบุคคลของลูกค้าที่เข้ามารับบริการตามนิยามของกฎหมาย PDPA โรงแรม เช่น

ข้อมูลการติดต่อ (ชื่อ นามสกุล หมายเลขโทรศัพท์ อีเมล)
ข้อมูลเฉพาะของบุคคล (วันเดือนปีเกิด เลขหนังสือเดินทาง เลขบัตรประจำตัวประชาชน สัญชาติ)
ข้อมูลที่เกี่ยวข้องกับผู้ติดตาม หรือผู้ที่อยู่ในความดูแล ( ชื่อ วันเกิด อายุ หมายเลขโทรศัพท์)
ข้อมูลธุรกรรมการเงินและการจอง (ชื่อ นามสกุล หมายเลขบัตรเครดิต อีเมล เบอร์โทรศัพท์)
ข้อมูลการเดินทาง(กำหนดการเข้าพักและเช็กเอ้าท์)
ข้อมูลผู้เด็ก (ผู้เยาว์ที่ไม่เกิน 10 ปี หรือยังผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ)
ข้อมูลความชอบและความสนใจ (บริการเสริมอื่นๆ ที่ทำระหว่างพัก เช่น เล่นโยคะ ฟิตเนส ขี่จักยาน พายเรือ ดำน้ำ ร้องเพลง ดื่มเครื่องดื่ม หรือแม้แต่เมนูอาหารที่สั่งทำขั้นเป็นพิเศษ)
ข้อมูลการใช้อินเทอร์เน็ต (การเชื่อมต่อกับเว็บไซต์ ที่อยู่ IP, คุกกี้ หมายเลขอุปกรณ์เข้าสู่ระบบเครือข่าย บัญชีโซเชียลมีเดีย เป็นต้น)
ข้อมูลจากกล้องวงจรปิด CCTV (รูปภาพนิ่ง วิดีโอที่โรงแรมทีการบันทึกไว้ในช่วงที่ลูกค้ามาใช้บริการ)
ข้อมูลคำถาม/ความคิดเห็น (การตอบแบบสอบถามระหว่างเข้าพักหรือหลังจากเข้าพัก)

จะเห็นว่า ข้อมูลส่วนบุคคลที่โรงแรมมีการจัดเก็บนั้นมีเป็นจำนวนมาก นอกจากการทำบันทึกรายการเข้าพักของลูกค้าไปเปิดเผยต่อนายทะเบียน ตามพรบ. โรงแรม

ยังใช้ประโยชน์ในด้านกิจกรรมภายในโรงแรม ประโยชน์ในด้านกิจกรรมทางการตลาดและแบรนดิ้งด้วย บางโรงแรมยังมีบริการนำเที่ยว ซึ่งเป็นการส่งต่อข้อมูลส่วนบุคคลของลูกค้าที่มีการจัดเก็บไปเปิดเผยแก่บุคคลที่สามด้วย เช่น ระบบจองห้องพัก การเช่ารถ จองร้านอาหาร และอื่นๆ อีกมากมาย

ดังนั้นธุรกิจโรงแรมจึงต้องสำรวจว่ามีการเก็บข้อมูลส่วนใดบ้าง เพื่อจะได้กำหนดฐานหรือเหตุผลในการจัดทำวัตถุประสงค์และขอความยินยอมการเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นการดำเนินการตามที่ PDPA กำหนดไว้

องค์ประกอบของ PDPA โรงแรม

โรงแรม ถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามนิยามของกฎหมาย PDPA คือ บุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

และยังมีเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processer) หรือมีการแต่งตั้งตัวแทนเพื่อทำหน้าที่ประมวลผลจากข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ทั้งยังมีการส่งต่อข้อมูลแก่บุคคลที่สาม (Third Party) อาทิเช่น เช่น ระบบจองห้องพัก การเช่ารถ จองร้านอาหาร และอื่นๆ อีกมากมาย จึงต้องมีการดำเนินการ PDPA โรงแรมให้สอดคล้องตามข้อบังคับของกฎหมายดังนี้

ประกาศนโยบายความเป็นส่วนตัว (Privacy Notice) สร้างนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ลูกค้าทราบ โดยการแจ้งเจ้าของข้อมูลส่วนบุคคล ถึงรายละเอียด และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลตามอำนาจ หรือฐานทางกฎหมาย ฐานสัญญา หรือฐานความจำเป็น และประโยชน์โดยชอบที่กฎหมายระบุว่าสามารถดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้มาใช้บริการ
ขอความยินยอม(Consent) การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูล โรงแรม จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือ หรือผ่านระบบไอที ต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ โดยต้องแจ้งถึงผลกระทบหากเจ้าของข้อมูลไม่อนุญาตให้เก็บข้อมูลด้วย
มีมาตรการคุ้มครองข้อมูลที่เหมาะสม ควรตรวจสอบให้แน่ใจว่าระบบไอทีของโรงแรมมีมาตรฐานเพียงพอ รวมถึงระบบการจัดเก็บข้อมูลบนอินเทอร์เน็ตที่มีมาตรฐานความปลอดภัยสูง และมีมาตรการในการป้องกันการโจมตีหรือการเข้าถึงข้อมูลของผู้ไม่ประสงค์ดี ที่สำคัญคือต้องมีบุคลากรที่มีความสามารถในการจัดการเรื่องความปลอดภัยของข้อมูลลูกค้าโดยเฉพาะ เนื่องจากข้อมูลลูกค้าที่โรงแรมจัดเก็บมีมากมายและมีความอ่อนไหวดังที่ยกตัวอย่างในตอนต้น ทั้งควรมีการอัพเดตและลบทำลายข้อมูลที่ไม่มีความจำเป็นแล้วอยู่เสมอ
จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล การแบ่งบันหรือส่งต่อข้อมูลส่วนบุคคลให้กับบุคคลที่สาม จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA (Non-Disclosure Agreement) แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษา ปกป้องข้อมูลส่วนบุคคล เพื่อป้องกันการละเมิด และการดำเนินการตามวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล ข้อตกลงที่เป็นสัญญาอันมีผลทางกฎหมายจึงการป้องกันการนำข้อมูลไปใช้ผิดวัตถุประสงค์
แจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคล โรงแรมจะต้องมีการทำระบบเพื่อแจ้งสิทธิ และการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลทั้งในด้านการใช้สิทธิต่างๆ เช่น ขอให้แก้ไข ระงับ เพิกถอนการยินยอม หรือให้ลบทำลายข้อมูลผ่านช่องทางที่เข้าถึงได้ง่าย สะดวกทั้งไม่เป็นการผลักภาระค่าใช้จ่ายส่วนนี้แก่เจ้าของข้อมูล
ทำบันทึกรายการ (Record of Processing Activities :RoPA) โรงแรมเป็นธุรกิจประเภทบริการ และบ่อยครั้งจะต้องคำร้องเรียนของผู้ใช้บริการอยู่เสมอ ทั้งนี้ในส่วนของการจัดการข้อมูลส่วนบุคคล ทางโรงแรมจึงต้องมีการทำบันทึกการทำรายการ โดยสามารถทำบันทึกในรูปแบบดิจิทัลเพื่อประโยชน์ในการแก้ไข ระงับ หรือ ลบออกได้โดยง่าย อย่างไรก็ตามการทำบันทึกรายการมีข้อยกเว้นสำหรับกิจการขนาดเล็ก หรือมีการเก็บข้อมูลเป็นครั้งคราว ตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ประเมินความเสี่ยง กรณีโรงแรมที่การเก็บข้อมูลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง ผลกระทบมีความจำป็นอย่างยิ่งจะต้องทำ DPIA (Data Protection Impact Assessment) เพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอโดยมีการจัดลำดับความสำคัญ ปริมาณ และผลกระทบที่อาจเกิดขึ้น หากข้อมูลนั้นเกิดการรั่วไหล ซึ่งตามกฎหมาย PDPA โรงแรม จะต้องแจ้งข้อมูลการละเมิดแก่คณะกรรมการคุ้มครองข้อมูลไม่เกิน 72 ชั่วโมง และหากการรั่วไหลนั้นอาจส่งผลกระทบต่อเจ้าของข้อมูล โรงแรมจะต้องแจ้งเหตุนั้นแก่เจ้าของข้อมูลให้ทราบด้วย

สรุป

บันทึกรายการต่าง ๆ ในโปรแกรมโรงแรมที่ผู้จัดการโรงแรมจัดเก็บไว้ ต้องเก็บรักษาบัตรทะเบียนผู้พักไว้อย่างน้อย 1 ปี การกำหนดขอบเขตเวลาการจัดเก็บที่ชัดเจน ไม่ถือว่าเป็นการละเมิดกฎหมาย PDPA กรณีที่แขกผู้เข้าพักไม่ต้องการให้โรงแรมจัดเก็บข้อมูล สามารถแจ้งความประสงค์ให้โรงแรมลบข้อมูลจากทะเบียนผู้เข้าพักได้เช่นกัน

สิ่งเหล่านี้จึงไม่เฉพาะแค่การปฏิบัติตามกฎหมาย แต่ยังเป็นการสร้างมาตรฐานและความเชื่อมันให้กับลูกค้า ทั้งยังป้องกันเหตุละเมิดจากการโดนโจมตี เช่นกรณีของโรงแรมในเครือ แมริออท ที่อาจส่งผลร้ายกว่าที่คาดคิดได้ด้วย

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.