
วงจรโรงแรมกับ PDPA ทำความเข้าใจกันอย่างไร
จากบทความครั้งก่อนที่เราเกริ่นนำกันไปแล้วว่า PDPA สำหรับภาคธุรกิจโรงแรมควรเร่งมือทำอะไรบ้างเพื่อลดความเสี่ยงในระหว่างที่รอกฎหมายลูกที่จะออกมาเพิ่มเติมในรายละเอียด และอาจมีข้อยกเว้นบางประการสำหรับธุรกิจขนาดเล็ก ซึ่งก็ต้องรอการตีความ หรือนำคำจำกัดความอ้างอิงกฎหมายฉบับอื่นมาปรับใช้กับ PDPA (อ่านบทความ โรงแรมทำอะไรไปแล้วบ้าง (หรือยัง) ? ได้ที่ https://thethinkwise.com/)
ครั้งนี้เรามาทำความเข้าใจเพิ่มเติมถึงหลักการของพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) กันเพิ่มเติมว่าเป็นอย่างไร
.
.
5 หลักการของ PDPA
- เก็บรวบรวม – การเก็บรวบรวมข้อมูลที่คำนึงถึง “ความจำเป็น” ในการเก็บว่าต้องมีความจำเป็นจริง ๆ ถึงจะจัดเก็บ จะมาจัดเก็บแบบเผื่อไว้ก่อนแบบเดิม ๆ ที่เคยทำมากันเป็นสิบ ๆ ปีอย่างต่อเนื่องไม่ได้แล้วต่อไปนี้ นอกจากนี้ยังต้องคำนึงถึงเรื่อง “ความเป็นส่วนตัว” ของลูกค้าด้วยว่าการเก็บข้อมูลจะไม่กระทบกับความเป็นส่วนตัวของลูกค้า แต่หากมี “ความจำเป็น” ต้องเก็บข้อมูลนั้นก็ต้องชี้แจงเหตุผลให้ได้ และหากต้องขอความยินยอมจากลูกค้าเป็นลายลักษณ์อักษร ก็ควรทำให้ถูกต้องตามกฎหมาย
- จัดเก็บ – การจัดเก็บนั้นมีข้อจำกัดในการจัดเก็บมากขึ้นอย่างที่กล่าวในข้อแรกคือ ต้อง “มีเหตุจำเป็น” ในการจัดเก็บ และต้องบอกสาเหตุที่มาที่ไปได้อย่างชัดเจนว่าจะจัดเก็บไปทำอะไร และมีมาตรการรักษาความปลอดภัยของข้อมูลอย่างไร เพื่อไม่ให้ข้อมูลรั่วไหล
- ใช้ – การนำข้อมูลไปใช้นั้น ผู้เก็บข้อมูลต้องสามารถบอกวัตถุประสงค์ในการนำไปใช้งานได้อย่างชัดเจน
- เปิดเผย – การนำข้อมูลไปใช้ต้องเป็นข้อตกลงที่มีกระบวนการที่เปิดเผย
- ทำลาย – เมื่อนำข้อมูลไปใช้เรียบร้อยแล้วก็ต้องมีการทำลาย ผู้เก็บข้อมูลก็ต้องมีระเบียบวิธีปฎิบัติที่ชัดเจนว่าจะเก็บข้อมูลไว้เป็นระยะเวลาเท่าไหร่ และทำไมถึงมีความจำเป็นที่ต้องเก็บข้อมูลไว้นานขนาดนั้น และเมื่อถึงกำหนดเวลาจะมีวิธีการทำลายข้อมูลนั้นอย่างไร เพื่อสร้างความมั่นใจแก่ผู้ให้ข้อมูลว่าข้อมูลส่วนตัวของเขาจะไม่ถูกนำมาเปิดเผยหรือถูกนำมาใช้งานในอนาคต
.
.
ดังนั้นหากโรงแรมจะต้องมีการเตรียมการในส่วนนี้ ควรทำอะไรบ้าง และทำอย่างไร
.
.
ขั้นตอนที่ 1 – การเก็บรวบรวมข้อมูลส่วนบุคคล
ขั้นตอนที่ 2 – การจำแนกประเภทของข้อมูล
ขั้นตอนที่ 3 – การระบุวัตถุประสงค์
ขั้นตอนที่ 4 – การกำหนดฐานทางกฎหมาย ได้แก่ หน้าที่ตามกฎหมาย ตามสัญญา ตามประโยชน์อันชอบธรรม หรือ ความยินยอม
ขั้นตอนที่ 5 – การวิเคราะห์ความเสี่ยงตามกฎหมาย
.
.
อาจจะดูยุ่งยากและดูมีขั้นตอนและรายละเอียดของเอกสารที่เกี่ยวข้องที่ต้องดำเนินการหลายอย่างในแต่ละขั้นตอนขั้นต้น แต่ถ้าเราลองกลับมาพิจารณาในแง่ Customer Journey ของลูกค้าที่โรงแรมต้องมีความเกี่ยวข้องด้วย เราอาจจะมองเห็นภาพ และแยกแยะประเภทของข้อมูล และการเตรียมการในเรื่องต่าง ๆ ได้ดีขึ้น …. ลองมาดูภาพประกอบด้านล่างนี้กันเพิ่มเติม

เริ่มตั้งแต่……
ขั้นตอนที่ 1 – ลูกค้าค้นหาที่พักตามวัตถุประสงค์และโอกาสต่าง ๆ ในแต่ละช่วงเวลา ซึ่งอาจจะค้นหาเริ่มจากการใช้ Google Search หรืออ่านรีวิวสถานที่ท่องเที่ยวเจอ และเริ่มค้นหาโรงแรมที่น่าสนใจ จนกระทั่งมาเจอกับเว็บไซต์โรงแรมของคุณ
ขั้นตอนที่ 2 – ลูกค้าสนใจและเริ่มทำการเปรียบเทียบราคา และค่าใช้จ่ายที่คาดว่าจะเกิดขึ้นจากการเดินทางครั้งต่อไป อาจมีการเข้าไปเช็ควันที่ห้องพักว่างและราคากับเว็บไซต์โรงแรมโดยตรง หรือเช็คราคาผ่าน OTA หรือ Partnered Website อื่น ๆ ที่โรงแรมของคุณมีส่วนร่วมในการทำโฆษณาประชาสัมพันธ์ หรือเปรียบเทียบผ่านบนหน้า Social Community ต่าง ๆ
ขั้นตอนที่ 3 – ลูกค้าสนใจและตัดสินใจจองห้องพัก ซึ่งก็เป็นไปได้ทั้งการจองห้องพักตรงกับโรงแรม ไม่ว่าจะทางเว็บไซต์ โทรศัพท์ อีเมล์ หรือแพลตฟอร์มการสื่อสารอื่น ๆ เช่น Line OA หรือ Facebook Messenger หรืออาจจะตัดสินใจไปจองผ่าน OTA ก็เป็นได้
ขั้นตอนที่ 4 – การเข้าพัก ซึ่งจะผ่านขั้นตอนการเช็คอิน ลูกค้ากรอกแบบฟอร์มต่าง ๆ โดยเฉพาะ Registration Form ที่โรงแรมต้องส่งรายงานและเอกสารต่าง ๆ ให้หน่วยงานราชการที่เกี่ยวข้อง นอกจากนั้นโรงแรมอาจมีแบบฟอร์มอื่น ๆ ที่ลูกค้าอาจต้องกรอก หรือลงนามยินยอมรับทราบในนโยบายต่าง ๆ ที่โรงแรมใช้
ขั้นตอนที่ 5 – ระหว่างการเข้าพัก ช่วงเวลาที่ลูกค้าใช้บริการต่าง ๆ ภายในโรงแรม ทั้งห้องพัก ร้านอาหาร สระว่ายน้ำ ห้องออกกำลังกาย สปา กิจกรรมทางทะเล หรือกิจกรรมท่องเที่ยวกับผู้ให้บริการในพื้นที่ เช่น ทริปครึ่งวันไปดำน้ำเกาะต่าง ๆ ในบริเวณใกล้เคียง เป็นต้น
ขั้นตอนที่ 6 – การเช็คเอ้าท์ ที่มีขั้นตอนการชำระเงินผ่านทางช่องทางต่าง ๆ มากมาย ไม่ว่าจะเป็นการชำระเงินโดยตรงกับโรงแรมด้วยเงินสด บัตรเครดิต โอนชำระผ่านคิวอาร์โค้ด หรือ Payment Link ต่าง ๆ
ขั้นตอนที่ 7 – หลังเช็คเอ้าท์ การติดตามจากทีมการตลาดของโรงแรมที่อาจมีการส่งอีเมล์ หรือจดหมายขอบคุณ หรือส่งรูปที่ระลึกทางอิเลคทรอนิคส์ไปให้ลูกค้าพร้อมแนบคูปองส่วนลดสำหรับการเข้าพักครั้งต่อไป
.
.
.
จะเห็นว่าขั้นตอนทั้ง 7 ขั้นตอนที่กล่าวมาข้างต้น มีผู้เกี่ยวข้องมากมายที่กระทบกับ PDPA ทั้งโรงแรมโดยตรง หรือหน่วยงานอื่น ๆ เช่น หน่วยงานตามกฎหมายที่โรงแรมต้องปฎิบัติตาม พาร์ทเนอร์ทางธุรกิจที่โรงแรมใช้แพลตฟอร์มด้านการขายห้องพักออนไลน์ หรือพาร์ทเนอร์ทางการเงิน หรือธนาคารผู้ให้บริการเครื่องรูดบัตรเครดิต สร้าง Payment Link เพื่อการชำระเงิน ไปจนถึงแพลตฟอร์มต่าง ๆ ที่โรงแรมใช้ในการสร้างการติดตามลูกค้า …. นี่ยังไม่นับกระบวนการทำการตลาดออนไลน์ของแต่ละโรงแรมที่ใช้บริการกับผู้ให้บริการอิสระ (Freelancer) หรือบริษัท หรือเอเจนซี่ต่าง ๆ ที่เป็นผู้ออกแบบเว็บไซต์ เลือกระบบในการรับจองห้องพัก เก็บข้อมูลลูกค้า ไปจนถึงการทำอีเมล์ไดเร็คมาร์เก็ตติ้งต่าง ๆ
.
.
.
และเมื่อลูกค้าเข้าพักที่โรงแรม ก็ยังมีเรื่องกล้อง CCTV ภายในบริเวณต่าง ๆ ของโรงแรม ตั้งแต่ที่จอดรถ บริเวณโดยรอบ ไปจนถึงร้านอาหาร และมุมต่าง ๆ เพื่อรักษาความปลอดภัยภายในโรงแรม …. นี่ก็กระทบความเป็นส่วนตัวของลูกค้าทั้งหมด แต่ถ้าคุณสามารถตอบลูกค้าได้ชัดเจนว่า คุณเก็บข้อมูลไปทำอะไร มีความจำเป็นอะไรที่ต้องเก็บภาพจากกล้องวงจรปิดไว้ และจะเก็บบันทึกข้อมูลไว้นานเท่าไหร่ จึงจะทำลาย และวิธีการทำลายจะทำอย่างไร ฯลฯ หรือคุณมีการติดป้ายชี้แจงกับลูกค้าหรือเปล่าว่า “พื้นที่นี้มีการติดตั้งกล้องวงจรปิด” และอีกหลาย ๆ ประเด็น เรื่องนี้ก็เกี่ยวข้องกับ พรบ.ฉบับนี้เช่นกัน
.
.
แนะนำให้แต่ละโรงแรมไปไล่เรียงขั้นตอนทั้ง 7 ที่กล่าวมาข้างต้น และแยกแยะประเด็นออกมาดังต่อไปนี้
ขั้นตอนที่ 1 – การเก็บรวบรวมข้อมูลส่วนบุคคล มีข้อมูลอะไรบ้างที่โรงแรมจำเป็นต้องเก็บ
ขั้นตอนที่ 2 – การจำแนกประเภทของข้อมูล อะไรเป็นข้อมูลพื้นฐาน อะไรเป็นข้อมูลที่มีความอ่อนไหว (Sensitive Data)
ขั้นตอนที่ 3 – การระบุวัตถุประสงค์ มีความจำเป็นอะไรที่ต้องเก็บ
ขั้นตอนที่ 4 – การกำหนดฐานทางกฎหมาย ได้แก่ หน้าที่ตามกฎหมาย ตามสัญญา ตามประโยชน์อันชอบธรรม หรือ ความยินยอม
ขั้นตอนที่ 5 – การวิเคราะห์ความเสี่ยงตามกฎหมาย ถ้าไม่ทำ โรงแรมจะมีความเสี่ยงอย่างไร หรือหากทำ โรงแรมจะมีความเสี่ยงอย่างไรบ้าง
.
.
ประเด็นสำคัญ หรือหลักการสำคัญในการปฎิบัติตามพรบ.คุ้มครองข้อมูลส่วนบุคคล คือ
- ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส
- การกำหนดขอบเขตของวัตถุประสงค์
- ความแม่นยำ
- การกำหนดขอบเขตการเก็บรักษาข้อมูล
- การใช้ข้อมูลให้น้อยที่สุด
- การเก็บข้อมูลเป็นความลับ
- ความรับผิดชอบ
.
.
PDPA เก็บได้ ใครเก็บ ใครรับผิดชอบ เก็บทำไม จะใช้ทำอะไร ใช้นานเท่าไหร่ และมีมาตรการในการทำลายข้อมูลอย่างไร
นี่คือสิ่งที่โรงแรมควรตอบให้ได้
.
.
สำหรับโรงแรมที่ต้องการดูตัวอย่างโรงแรมขนาดใหญ่ทั้งในและต่างประเทศว่าเขาได้ลงมือทำอะไรไปแล้วบ้าง แนะนำให้แวะเข้าไปเยี่ยมชมเว็บไซต์ต่าง ๆ ดังนี้
- Leading Hotels of the World – https://www.lhw.com/privacy-policy
- Mandarin Oriental Hotel Group – https://www.mandarinoriental.com/privacy-policy/thailand
- Dusit Hotels & Resorts – https://www.dusit.com/privacy-policy/