โรงแรม มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือบุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ขณะเดียวกันยังมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processer) คือบุคคลที่มีการเก็บรวบรวม ทั้งยังมีการส่งต่อข้อมูลแก่บุคคลที่สาม (Third Party) อาทิเช่น บริษัททัวร์ นำเที่ยว แอปพลิเคชันจองห้องพักออนไลน์ ฯลฯ จึงต้องมีการดำเนินการของธุรกิจให้สอดคล้องตามข้อบังคับของกฎหมายดังนี้
1. ประกาศนโยบายความเป็นส่วนตัว
นโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ลูกค้าทราบ โดยการแจ้งเจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดและวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลตามอำนาจหรือฐานทางกฎหมาย ฐานสัญญา หรือฐานความจำเป็นและประโยชน์โดยชอบที่กฎหมายระบุว่าสามารถดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้มาใช้บริการ และหากโรงแรมมีเว็บไซต์ที่เก็บข้อมูลคุกกี้ (Cookie) จะต้องทำ Cookie Policy ด้วย
2. ขอความยินยอม
การเก็บรวบรวม ประมวลผล หรือเปิดเผยข้อมูล ผู้ควบคุมข้อมูลฯ และผู้ประมวลผลข้อมูลฯ จะต้องขอความยินยอมจากเจ้าของข้อมูล และต้องทำโดยชัดแจ้ง เป็นหนังสือหรือผ่านระบบไอที และต้องคำนึงถึงความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลเป็นสำคัญ
3. มาตรการคุ้มครองข้อมูลที่เหมาะสม
ควรตรวจสอบให้แน่ใจว่าระบบไอทีของโรงแรมมีมาตรฐานเพียงพอ รวมถึงระบบการจัดเก็บข้อมูลบนอินเทอร์เน็ตที่มีมาตรฐานความปลอดภัยสูง และมีมาตรการในการป้องกันการโจมตีหรือการเข้าถึงข้อมูลของผู้ไม่ประสงค์ดี ที่สำคัญคือต้องมีบุคลากรที่มีความสามารถในการจัดการเรื่องความปลอดภัยของข้อมูลลูกค้าโดยเฉพาะ
4. จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล
การแบ่งปันหรือส่งต่อข้อมูลส่วนบุคคลให้กับผู้ประมวลผลข้อมูลฯ หรือคู่ค้าซึ่งเป็นบุคคลที่สาม จะต้องมีการจัดทำข้อตกลงในการใช้ข้อมูลส่วนบุคคล ซึ่งในอดีตเราจะเห็นว่ามีการลงนามในเอกสาร NDA แต่ภายใต้กฎหมาย PDPA บริบทจะมุ่งเน้นที่การรักษาและปกป้องข้อมูลส่วนบุคคลเพื่อป้องกันการละเมิดและการดำเนินการตามวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล
5. แจ้งสิทธิแก่เจ้าของข้อมูลส่วนบุคคล
โรงแรมจะต้องมีการจัดทำระบบเพื่อแจ้งสิทธิและการเข้าถึงข้อมูลส่วนบุคคลเพื่อประโยชน์แก่เจ้าของข้อมูลทั้งในด้านการใช้สิทธิต่างๆ
6. ทำบันทึกรายการ
โรงแรมเป็นธุรกิจประเภทบริการ บ่อยครั้งจะต้องมีกรณีพิพาทหรือคำร้องเรียนของผู้ใช้บริการอยู่เสมอ ทางโรงแรมจึงต้องมีการทำบันทึกรายการ ซึ่งเบื้องต้นอาจจะเป็นการทำบันทึกการเก็บ รวบรวมใช้และเปิดเผยข้อมูล ในกิจกรรมใดและวัตถุประสงค์ใดบ้าง รวมถึงต้องบันทึกคำร้องที่เจ้าของข้อมูลร้องขอให้ดำเนินการ
7. ประเมินความเสี่ยง
กรณีโรงแรมที่การเก็บข้อมูลเป็นจำนวนมาก หรือมีการเก็บข้อมูลอย่างต่อเนื่อง ผลกระทบมีความจำป็นอย่างยิ่งจะต้องทำ DPIA หรือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล โดยการสำรวจและวิเคราะห์ข้อมูลส่วนบุคคลเพื่อประเมินความเสี่ยงที่ธุรกิจอาจจะต้องเจอโดยมีการจัดลำดับความสำคัญ หากข้อมูลนั้นเกิดการรั่วไหล จะต้องแจ้งข้อมูลการละเมิดแก่คณะกรรมการคุ้มครองข้อมูลไม่เกิน 72 ชั่วโมง
8. แต่งตั้ง DPO ในโรงแรม
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นบุคคลากรที่จะมาให้คำปรึกษา แนะนำ และดำเนินการในส่วนของธุรกิจที่มีการจัดเก็บข้อมูลส่วนบุคคลให้สามารถปฏิบัติได้ถูกต้องตามข้อกฎหมาย