จะให้พักต่อหรือพอแค่นี้ เมื่อลูกค้าอ้าง PDPA ไม่ให้บัตรประชาชน Check In ดูวิธีรับมือของเจ้าของโรงแรม

Text: ณัฏฐพัชร กมลพลพัตร

      เป็นเคสที่เริ่มเกิดขึ้นแล้วสำหรับบางโรงแรมในปัจจุบัน

      การที่แขกไม่ให้เอกสารส่วนตัวเหล่านั้นทั้งบัตรประชาชน ใบขับขี่ หรือพาสปอร์ตในการ Check In จริงๆ แล้วมันก็เป็นที่ไม่น่าแปลกใจเท่าไหร่ถ้าแขกจะอ้างถึง พ.ร.บ.ข้อมูลส่วนบุคคล (PDPA) เพราะในใจความแล้วแขกผู้เข้าพักหรือตาม พ.ร.บ.ข้อมูลส่วนบุคคล นิยามว่าเป็น "เจ้าของข้อมูลส่วนบุคคล" ถ้าว่ากันตามเนื้อหาใน พ.ร.บ.ข้อมูลส่วนบุคค ก็มีสิทธิในการยอมรับ หรือ ปฏิเสธในการให้ข้อมูลส่วนบุคคลของตน กับ "ผู้ควบคุมข้อมูล" หรือในที่นี้คือ "โรงแรม" ได้เช่นกันเพราะสาระสำคัญของ พ.ร.บ.ฯ ในเรื่องการจัดเก็บข้อมูลนี้คือ "ต้องแจ้งและได้รับความยินยอมในการให้ข้อมูลจากเจ้าของข้อมูลก่อน" แน่นอนว่าถ้าเขาไม่ให้เก็บเราก็ไม่มีสิทธิเก็บ

      จริงๆ แล้วโรงแรมเองก็มีพ.ร.บ.โรงแรม พ.ศ.2547 ที่มีรายละเอียดในการที่โรงแรมต้องจัดเก็บข้อมูลส่วนตัวของแขกผู้เข้าพัก แต่ทางออกแบบใดถึงจะดีทั้งสองฝ่าย วันนี้ Hotel Man เลยมีแนวทางมาแนะนำซึ่งวิธีที่ใช้ในการบริหารจัดการกรณีนี้ที่ดีที่สุดเป็นแนวทางกัน

โรงแรมมีกฎหมายที่คุ้มครองต้องจัดเก็บข้อมูลการเข้าพัก

      ถ้าว่ากันไปตามสถานการณ์นี่คือในสภาวะอื่นๆ ที่ไม่เกี่ยวข้องกับการเข้าพักในโรงแรมเพราะเมื่อพูดถึงการเข้าพักในโรงแรม เราจะมีกฎหมายอีกตัวหนึ่งที่คุ้มครองและกำหนดให้โรงแรมต้องจัดเก็บข้อมูลการเข้าพักของแขกผู้เข้าพักอยู่นั่นคือ พ.ร.บ.โรงแรม พ.ศ.2547 ที่มีรายละเอียดในการที่โรงแรมต้องจัดเก็บข้อมูลส่วนตัวของแขกผู้เข้าพักคือ

      มาตรา 35 ที่ระบุว่าแขกผู้เข้าพักต้องกรอกรายละเอียดใน "บัตรทะเบียนผู้เข้าพัก ร.ร.3" รวมทั้ง มาตรา 36 โรงแรมต้องมีหน้าที่นำส่งข้อมูลผู้เข้าพักใน "ทะเบียนผู้เข้าพัก ร.ร.4" ให้กับหน่วยงานฝ่ายปกครอง และต้องเก็บไว้เป็นระยะเวลา 1 ปี ในสภาพที่ตรวจสอบได้ โดยถ้าโรงแรมไม่ปฏิบัติตามกฎก็จะมีบทลงโทษทางปกครองตาม มาตรา 56 ที่ปรับตั้งแต่สองหมื่นถึงหนึ่งแสนบาทและไม่เกินหนึ่งหมื่นบาทตามมาตรา 57 ซึ่งแน่นอนว่า "เมื่อแขกมีสิทธิไม่ให้ข้อมูลการเข้าพักโดยอ้าง พ.ร.บ.ข้อมูลส่วนบุคคล โรงแรมก็มีสิทธิปฏิเสธการเข้าพักเพื่อป้องกันการถูกบทลงโทษทางปกครองได้เช่นกัน

ทางออกของปัญหาที่ดีที่สุด

      แต่ที่จริงแล้วนี่ไม่ใช่ทางออกของปัญหาที่ดีที่สุดโดยเฉพาะในสถานการณ์นี้เพราะมันจะเป็นการสู้กันไปสู้กันมามันเป็นข้อปฏิบัติที่ผิดหลักของ "การเดินทางเพื่อท่องเที่ยว" ที่เน้นการมาพักผ่อนและปล่อยวางมากกว่า ในจุดนี้การแก้ไขปัญหาที่ดีที่สุดเวลาแขกไม่ให้เอกสารดังที่กล่าวมาแล้วอ้าง พรบ.ข้อมูลส่วนบุคคล เราอาจช่วยอธิบายให้แขกเข้าใจได้ว่า "ในกรณีที่แขกจะเข้าพักนั้นการให้ข้อมูลส่วนบุคคลกับโรงแรมเป็นสิ่งที่จำเป็นต้องทำโดยสามารถให้เหตุผลตามข้อยกเว้นในการอนุญาตให้โรงแรมสามารถจัดเก็บข้อมูลส่วนตัวของแขกผู้เข้าพักได้โดยอ้างอิงจากตัวของ พรบ.ข้อมูลส่วนบุคคล ซึ่งประกอบด้วย

      พ.ร.บ. ข้อมูลส่วนบุคคล มาตรา 22 การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย

• กรณีนี้โรงแรมจัดเก็บข้อมูลตาม พ.ร.บ.โรงแรม พ.ศ.2547 เหตุผลก็เพื่อเป็นไปตามมาตรการรักษาความปลอดภัยให้กับแขกผู้เข้าพักกรณีเกิดเหตุฉุกเฉิน เกิดการเจ็บป่วย จะได้สามารถระบุตัวตนและให้ความช่วยเหลือหรือติดต่อญาติพี่น้องได้ ซึ่งข้อมูลที่จัดเก็บส่วนใหญ่ก็เป็นเท่าที่จำเป็นตามที่ พ.ร.บ.ข้อมูลส่วนบุคคลกำหนดซึ่งสอดคล้องกับการที่โรงแรมต้องปฏิบัติตาม พ.ร.บ.โรงแรม พ.ศ.2547

      มาตรา 24 (6) ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ "เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล"

• กรณีนี้ค่อนข้างชัดเจนว่า โรงแรมทำการจัดเก็บข้อมูลเพื่อเป็นการปฏิบัติตามกฎหมายใน พรบ. โรงแรม พ.ศ.2547 และยังเกี่ยวข้องกับเรื่องของ "ความมั่นคงของประเทศ" อีกด้วยเพราะเราต้องรับแขกจากหลายเชื้อชาติทั้งในไทยและต่างประเทศเราไม่มีทางรู้ว่าใครเป็นใคร? ดังนั้นการปฏิบัติตามกฎหมายที่ได้กำหนดไว้จึงเป็นทางออกที่ดีที่สุด

      มาตรา 24 (3) ข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้ ในกรณีที่ไม่สามารถกำหนดระยะเวลาได้ชัดเจน ให้กำหนดระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม

• กรณีนี้เราสามารถอธิบายเพิ่มเติมได้ว่า “การจัดเก็บข้อมูลส่วนบุคคลของแขกตาม ร.ร. 3 และการบันทึกใน ร.ร.4” นั้น มีระยะเวลาการจัดเก็บ 1 ปี หากเลยระยะเวลานั้นแล้วแขกไม่ต้องการให้โรงแรมจัดเก็บข้อมูลอีกก็สามารถแจ้งความประสงค์ได้เป็นลายลักษณ์อักษณ ก็จะช่วยสร้างความเข้าใจอันดีให้แขกได้อีก

ต้องมีระบบ Cyber Security มีมาตรฐาน

      แน่นอนว่าเคสการที่แขกไม่ให้เอกสารประจำตัวโดยอ้าง พ.ร.บ.ข้อมูลส่วนบุคคล เป็นอะไรที่เกิดขึ้นได้แต่ก็ไม่ได้หมายความว่ามันจะเกิดขึ้นกับแขกทุกคน เพราะในกรณีเดียวกันแขกบางคนก็ยังคงปฏิบัติตามปกติในการให้เอกสารส่วนตัวในการลงทะเบียนเข้าพัก

       แต่สิ่งที่สำคัญอีกอย่างหนึ่งของโรงแรมในฐานะ “ผู้ควบคุมข้อมูล” คือการจัดเก็บและรักษาความปลอดภัยของข้อมูลที่ได้จัดเก็บจากแขกไม่ให้รั่วไหลที่ต้องมีขั้นตอนทั้งการจัดเก็บเป็นกระดาษเอกสารที่ต้องไม่หลุดรอดออกไปด้านนอกและให้คนอื่นนำไปใช้ประโยชน์ทางธุรกิจจนส่งผลกระทบกับแขกหรือแม้แต่การที่ต้องมีระบบ Cyber Security ที่ต้องมีมาตรฐานที่สูงกว่าเดิมเพื่อป้องกับการถูกจารกรรมข้อมูล

      ทั้งหมดนี้สิ่งสำคัญที่เราชาวโรงแรมต้องเจอกันต่อไปก็คือ “การอธิบายและให้ข้อมูล” ในข้อสงสัยกับแขกซึ่งก็เป็นงานที่พนักงานโรงแรมทำกันอยู่แล้วทุกวันและนี่อาจจะเป็นอีกเคสหนึ่งที่ยังใหม่แต่ก็จะกลายเป็น New Normal ไปในที่สุด

www.smethailandclub.com
ศูนย์รวมข้อมูลธุรกิจเอสเอ็มอี