วงจรโรงแรมกับ PDPA ทำความเข้าใจกันอย่างไร

จากบทความครั้งก่อนที่เราเกริ่นนำกันไปแล้วว่า PDPA สำหรับภาคธุรกิจโรงแรมควรเร่งมือทำอะไรบ้างเพื่อลดความเสี่ยงในระหว่างที่รอกฎหมายลูกที่จะออกมาเพิ่มเติมในรายละเอียด และอาจมีข้อยกเว้นบางประการสำหรับธุรกิจขนาดเล็ก ซึ่งก็ต้องรอการตีความ หรือนำคำจำกัดความอ้างอิงกฎหมายฉบับอื่นมาปรับใช้กับ PDPA (อ่านบทความ โรงแรมทำอะไรไปแล้วบ้าง (หรือยัง) ? ได้ที่ https://thethinkwise.com/)

ครั้งนี้เรามาทำความเข้าใจเพิ่มเติมถึงหลักการของพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) กันเพิ่มเติมว่าเป็นอย่างไร

.

.

5 หลักการของ PDPA

1. เก็บรวบรวม – การเก็บรวบรวมข้อมูลที่คำนึงถึง “ความจำเป็น” ในการเก็บว่าต้องมีความจำเป็นจริง ๆ ถึงจะจัดเก็บ จะมาจัดเก็บแบบเผื่อไว้ก่อนแบบเดิม ๆ ที่เคยทำมากันเป็นสิบ ๆ ปีอย่างต่อเนื่องไม่ได้แล้วต่อไปนี้ นอกจากนี้ยังต้องคำนึงถึงเรื่อง “ความเป็นส่วนตัว” ของลูกค้าด้วยว่าการเก็บข้อมูลจะไม่กระทบกับความเป็นส่วนตัวของลูกค้า แต่หากมี “ความจำเป็น” ต้องเก็บข้อมูลนั้นก็ต้องชี้แจงเหตุผลให้ได้ และหากต้องขอความยินยอมจากลูกค้าเป็นลายลักษณ์อักษร ก็ควรทำให้ถูกต้องตามกฎหมาย
2. จัดเก็บ – การจัดเก็บนั้นมีข้อจำกัดในการจัดเก็บมากขึ้นอย่างที่กล่าวในข้อแรกคือ ต้อง “มีเหตุจำเป็น” ในการจัดเก็บ และต้องบอกสาเหตุที่มาที่ไปได้อย่างชัดเจนว่าจะจัดเก็บไปทำอะไร และมีมาตรการรักษาความปลอดภัยของข้อมูลอย่างไร เพื่อไม่ให้ข้อมูลรั่วไหล
3. ใช้ – การนำข้อมูลไปใช้นั้น ผู้เก็บข้อมูลต้องสามารถบอกวัตถุประสงค์ในการนำไปใช้งานได้อย่างชัดเจน
4. เปิดเผย – การนำข้อมูลไปใช้ต้องเป็นข้อตกลงที่มีกระบวนการที่เปิดเผย
5. ทำลาย – เมื่อนำข้อมูลไปใช้เรียบร้อยแล้วก็ต้องมีการทำลาย ผู้เก็บข้อมูลก็ต้องมีระเบียบวิธีปฎิบัติที่ชัดเจนว่าจะเก็บข้อมูลไว้เป็นระยะเวลาเท่าไหร่ และทำไมถึงมีความจำเป็นที่ต้องเก็บข้อมูลไว้นานขนาดนั้น และเมื่อถึงกำหนดเวลาจะมีวิธีการทำลายข้อมูลนั้นอย่างไร เพื่อสร้างความมั่นใจแก่ผู้ให้ข้อมูลว่าข้อมูลส่วนตัวของเขาจะไม่ถูกนำมาเปิดเผยหรือถูกนำมาใช้งานในอนาคต

.

.

ดังนั้นหากโรงแรมจะต้องมีการเตรียมการในส่วนนี้ ควรทำอะไรบ้าง และทำอย่างไร

.

.

ขั้นตอนที่ 1 – การเก็บรวบรวมข้อมูลส่วนบุคคล

ขั้นตอนที่ 2 – การจำแนกประเภทของข้อมูล

ขั้นตอนที่ 3 – การระบุวัตถุประสงค์

ขั้นตอนที่ 4 – การกำหนดฐานทางกฎหมาย ได้แก่ หน้าที่ตามกฎหมาย ตามสัญญา ตามประโยชน์อันชอบธรรม หรือ ความยินยอม

ขั้นตอนที่ 5 – การวิเคราะห์ความเสี่ยงตามกฎหมาย

.

.

อาจจะดูยุ่งยากและดูมีขั้นตอนและรายละเอียดของเอกสารที่เกี่ยวข้องที่ต้องดำเนินการหลายอย่างในแต่ละขั้นตอนขั้นต้น แต่ถ้าเราลองกลับมาพิจารณาในแง่ Customer Journey ของลูกค้าที่โรงแรมต้องมีความเกี่ยวข้องด้วย เราอาจจะมองเห็นภาพ และแยกแยะประเภทของข้อมูล และการเตรียมการในเรื่องต่าง ๆ ได้ดีขึ้น …. ลองมาดูภาพประกอบด้านล่างนี้กันเพิ่มเติม

เริ่มตั้งแต่……

ขั้นตอนที่ 1 – ลูกค้าค้นหาที่พักตามวัตถุประสงค์และโอกาสต่าง ๆ ในแต่ละช่วงเวลา ซึ่งอาจจะค้นหาเริ่มจากการใช้ Google Search หรืออ่านรีวิวสถานที่ท่องเที่ยวเจอ และเริ่มค้นหาโรงแรมที่น่าสนใจ จนกระทั่งมาเจอกับเว็บไซต์โรงแรมของคุณ

ขั้นตอนที่ 2 – ลูกค้าสนใจและเริ่มทำการเปรียบเทียบราคา และค่าใช้จ่ายที่คาดว่าจะเกิดขึ้นจากการเดินทางครั้งต่อไป อาจมีการเข้าไปเช็ควันที่ห้องพักว่างและราคากับเว็บไซต์โรงแรมโดยตรง หรือเช็คราคาผ่าน OTA หรือ Partnered Website อื่น ๆ ที่โรงแรมของคุณมีส่วนร่วมในการทำโฆษณาประชาสัมพันธ์ หรือเปรียบเทียบผ่านบนหน้า Social Community ต่าง ๆ

ขั้นตอนที่ 3 – ลูกค้าสนใจและตัดสินใจจองห้องพัก ซึ่งก็เป็นไปได้ทั้งการจองห้องพักตรงกับโรงแรม ไม่ว่าจะทางเว็บไซต์ โทรศัพท์ อีเมล์ หรือแพลตฟอร์มการสื่อสารอื่น ๆ เช่น Line OA หรือ Facebook Messenger หรืออาจจะตัดสินใจไปจองผ่าน OTA ก็เป็นได้

ขั้นตอนที่ 4 – การเข้าพัก ซึ่งจะผ่านขั้นตอนการเช็คอิน ลูกค้ากรอกแบบฟอร์มต่าง ๆ โดยเฉพาะ Registration Form ที่โรงแรมต้องส่งรายงานและเอกสารต่าง ๆ ให้หน่วยงานราชการที่เกี่ยวข้อง นอกจากนั้นโรงแรมอาจมีแบบฟอร์มอื่น ๆ ที่ลูกค้าอาจต้องกรอก หรือลงนามยินยอมรับทราบในนโยบายต่าง ๆ ที่โรงแรมใช้

ขั้นตอนที่ 5 – ระหว่างการเข้าพัก ช่วงเวลาที่ลูกค้าใช้บริการต่าง ๆ ภายในโรงแรม ทั้งห้องพัก ร้านอาหาร สระว่ายน้ำ ห้องออกกำลังกาย สปา กิจกรรมทางทะเล หรือกิจกรรมท่องเที่ยวกับผู้ให้บริการในพื้นที่ เช่น ทริปครึ่งวันไปดำน้ำเกาะต่าง ๆ ในบริเวณใกล้เคียง เป็นต้น

ขั้นตอนที่ 6 – การเช็คเอ้าท์ ที่มีขั้นตอนการชำระเงินผ่านทางช่องทางต่าง ๆ มากมาย ไม่ว่าจะเป็นการชำระเงินโดยตรงกับโรงแรมด้วยเงินสด บัตรเครดิต โอนชำระผ่านคิวอาร์โค้ด หรือ Payment Link ต่าง ๆ

ขั้นตอนที่ 7 – หลังเช็คเอ้าท์ การติดตามจากทีมการตลาดของโรงแรมที่อาจมีการส่งอีเมล์ หรือจดหมายขอบคุณ หรือส่งรูปที่ระลึกทางอิเลคทรอนิคส์ไปให้ลูกค้าพร้อมแนบคูปองส่วนลดสำหรับการเข้าพักครั้งต่อไป

.

.

.

จะเห็นว่าขั้นตอนทั้ง 7 ขั้นตอนที่กล่าวมาข้างต้น มีผู้เกี่ยวข้องมากมายที่กระทบกับ PDPA ทั้งโรงแรมโดยตรง หรือหน่วยงานอื่น ๆ เช่น หน่วยงานตามกฎหมายที่โรงแรมต้องปฎิบัติตาม พาร์ทเนอร์ทางธุรกิจที่โรงแรมใช้แพลตฟอร์มด้านการขายห้องพักออนไลน์ หรือพาร์ทเนอร์ทางการเงิน หรือธนาคารผู้ให้บริการเครื่องรูดบัตรเครดิต สร้าง Payment Link เพื่อการชำระเงิน ไปจนถึงแพลตฟอร์มต่าง ๆ ที่โรงแรมใช้ในการสร้างการติดตามลูกค้า …. นี่ยังไม่นับกระบวนการทำการตลาดออนไลน์ของแต่ละโรงแรมที่ใช้บริการกับผู้ให้บริการอิสระ (Freelancer) หรือบริษัท หรือเอเจนซี่ต่าง ๆ ที่เป็นผู้ออกแบบเว็บไซต์ เลือกระบบในการรับจองห้องพัก เก็บข้อมูลลูกค้า ไปจนถึงการทำอีเมล์ไดเร็คมาร์เก็ตติ้งต่าง ๆ

.

.

.

และเมื่อลูกค้าเข้าพักที่โรงแรม ก็ยังมีเรื่องกล้อง CCTV ภายในบริเวณต่าง ๆ ของโรงแรม ตั้งแต่ที่จอดรถ บริเวณโดยรอบ ไปจนถึงร้านอาหาร และมุมต่าง ๆ เพื่อรักษาความปลอดภัยภายในโรงแรม …. นี่ก็กระทบความเป็นส่วนตัวของลูกค้าทั้งหมด แต่ถ้าคุณสามารถตอบลูกค้าได้ชัดเจนว่า คุณเก็บข้อมูลไปทำอะไร มีความจำเป็นอะไรที่ต้องเก็บภาพจากกล้องวงจรปิดไว้ และจะเก็บบันทึกข้อมูลไว้นานเท่าไหร่ จึงจะทำลาย และวิธีการทำลายจะทำอย่างไร ฯลฯ หรือคุณมีการติดป้ายชี้แจงกับลูกค้าหรือเปล่าว่า “พื้นที่นี้มีการติดตั้งกล้องวงจรปิด” และอีกหลาย ๆ ประเด็น เรื่องนี้ก็เกี่ยวข้องกับ พรบ.ฉบับนี้เช่นกัน

.

.

แนะนำให้แต่ละโรงแรมไปไล่เรียงขั้นตอนทั้ง 7 ที่กล่าวมาข้างต้น และแยกแยะประเด็นออกมาดังต่อไปนี้

ขั้นตอนที่ 1 – การเก็บรวบรวมข้อมูลส่วนบุคคล มีข้อมูลอะไรบ้างที่โรงแรมจำเป็นต้องเก็บ

ขั้นตอนที่ 2 – การจำแนกประเภทของข้อมูล อะไรเป็นข้อมูลพื้นฐาน อะไรเป็นข้อมูลที่มีความอ่อนไหว (Sensitive Data)

ขั้นตอนที่ 3 – การระบุวัตถุประสงค์ มีความจำเป็นอะไรที่ต้องเก็บ

ขั้นตอนที่ 4 – การกำหนดฐานทางกฎหมาย ได้แก่ หน้าที่ตามกฎหมาย ตามสัญญา ตามประโยชน์อันชอบธรรม หรือ ความยินยอม

ขั้นตอนที่ 5 – การวิเคราะห์ความเสี่ยงตามกฎหมาย ถ้าไม่ทำ โรงแรมจะมีความเสี่ยงอย่างไร หรือหากทำ โรงแรมจะมีความเสี่ยงอย่างไรบ้าง

.

.

ประเด็นสำคัญ หรือหลักการสำคัญในการปฎิบัติตามพรบ.คุ้มครองข้อมูลส่วนบุคคล คือ

• ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส
• การกำหนดขอบเขตของวัตถุประสงค์
• ความแม่นยำ
• การกำหนดขอบเขตการเก็บรักษาข้อมูล
• การใช้ข้อมูลให้น้อยที่สุด
• การเก็บข้อมูลเป็นความลับ
• ความรับผิดชอบ

.

.

PDPA เก็บได้ ใครเก็บ ใครรับผิดชอบ เก็บทำไม จะใช้ทำอะไร ใช้นานเท่าไหร่ และมีมาตรการในการทำลายข้อมูลอย่างไร

นี่คือสิ่งที่โรงแรมควรตอบให้ได้

.

.

สำหรับโรงแรมที่ต้องการดูตัวอย่างโรงแรมขนาดใหญ่ทั้งในและต่างประเทศว่าเขาได้ลงมือทำอะไรไปแล้วบ้าง แนะนำให้แวะเข้าไปเยี่ยมชมเว็บไซต์ต่าง ๆ ดังนี้

1. Leading Hotels of the World – https://www.lhw.com/privacy-policy
2. Mandarin Oriental Hotel Group – https://www.mandarinoriental.com/privacy-policy/thailand
3. Dusit Hotels & Resorts – https://www.dusit.com/privacy-policy/