‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง

โรงแรม มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือบุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขณะเดียวกันยังมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processer) คือบุคคลที่มีการเก็บรวบรวม ทั้งยังมีการส่งต่อข้อมูลแก่บุคคลที่สาม (Third Party) อาทิเช่น บริษัททัวร์ นำเที่ยว แอปพลิเคชันจองห้องพักออนไลน์ ฯลฯ  จึงต้องมีการดำเนินการของธุรกิจให้สอดคล้องตามข้อบังคับของกฎหมายดังนี้

1. ประกาศนโยบายความเป็นส่วนตัว

นโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ลูกค้าทราบ โดยการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลตามอำนาจหรือฐานทางกฎหมาย ฐานสัญญา หรือฐานความจำเป็นและประโยชน์โดยชอบที่กฎหมายระบุว่าสามารถดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้มาใช้บริการ และหากโรงแรมมีเว็บไซต์ที่เก็บข้อมูลคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย

2. ขอความยินยอม

การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูล ผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบไอที และต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ

3. มาตรการคุ้มครองข้อมูลที่เหมาะสม

ควรตรวจสอบให้แน่ใจว่าระบบไอทีของโรงแรมมีมาตรฐานเพียงพอ รวมถึงระบบการจัดเก็บข้อมูลบนอินเทอร์เน็ตที่มีมาตรฐานความปลอดภัยสูง และมีมาตรการในการป้องกันการโจมตีหรือการเข้าถึงข้อมูลของผู้ไม่ประสงค์ดี ที่สำคัญคือต้องมีบุคลากรที่มีความสามารถในการจัดการเรื่องความปลอดภัยของข้อมูลลูกค้าโดยเฉพาะ

4. จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล

การแบ่งปันหรือส่งต่อข้อมูลส่วนบุคคลให้กับผู้ประมวลผลข้อมูลฯ หรือคู่ค้าซึ่งเป็นบุคคลที่สาม จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษาและปกป้องข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดและการดำเนินการตามวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล

5. แจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคล

โรงแรมจะต้องมีการจัดทำระบบเพื่อแจ้งสิทธิและการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลทั้งในด้านการใช้สิทธิต่างๆ

6. ทำบันทึกรายการ

โรงแรมเป็นธุรกิจประเภทบริการ บ่อยครั้งจะต้องมีกรณีพิพาทหรือคำร้องเรียนของผู้ใช้บริการอยู่เสมอ ทางโรงแรมจึงต้องมีการทำบันทึกรายการ ซึ่งเบื้องต้นอาจจะเป็นการทำบันทึกการเก็บ รวบรวมใช้และเปิดเผยข้อมูล ในกิจกรรมใดและวัตถุประสงค์ใดบ้าง รวมถึงต้องบันทึกคำร้องที่เจ้าของข้อมูลร้องขอให้ดำเนินการ

7. ประเมินความเสี่ยง 

กรณีโรงแรมที่การเก็บข้อมูลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง ผลกระทบมีความจำป็นอย่างยิ่งจะต้องทำ DPIA หรือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอโดยมีการจัดลำดับความสำคัญ หากข้อมูลนั้นเกิดการรั่วไหล จะต้องแจ้งข้อมูลการละเมิดแก่คณะกรรมการคุ้มครองข้อมูลไม่เกิน 72 ชั่วโมง

8. แต่งตั้ง DPO ในโรงแรม 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นบุคคลากรที่จะมาให้คำปรึกษา แนะนำ และดำเนินการในส่วนของธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลให้สามารถปฏิบัติได้ถูกต้องตามข้อกฎหมาย