นับตั้งแต่แมริออทควบรวมกิจการกับ สตาร์วู๊ด ข้อมูลระบบและข้อมูลลูกค้าของโรงแรมก็ถูกบุกรุกและดักฟังโดยแฮคเกอร์เรียบร้อยแล้วเช่นกัน เดือนพฤศจิกายน 2561 วงการโรงแรมปรากฎข่าวใหญ่ คือ ทาง แมริออท ได้เปิดเผยเหตุการณ์ละเมิดข้อมูลโดยการโดนโจมตีทางไซเบอร์ ซึ่งเป็นข้อมูลของลูกค้าที่เข้ามาใช้บริการในโรงแรม และโรงแรมในเครือประมาณ 339 ล้านคนทั่วโลกอยู่ในความเสี่ยง และประจวบเหมาะกับช่วงเวลานั้นยุโรปประกาศใช้ GDPR (General Data Protection Regulation) ระเบียบการคุ้มครองข้อมูลของประชาชนในสหภาพยุโรป และผลจากเหตุการณ์เรื่องอื้อฉาวของการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าโรงแรมที่สำคัญ เช่น ข้อมูลรายชื่อ เลขหนังสือเดินทาง ข้อมูลบัตรเครดิตและธุรกรรมการเงิน ข้อมูลวันเวลาในการเข้าพัก เป็นต้น ทำให้แมริออทโดนสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักร (ICO) ตั้งค่าปรับจากความผิดฐานละเมิดสูงถึง 124 ล้านเหรียญสหรัฐ แม้ภายหลังทางแมริออทจะออกมายืนยันว่าบริษัทจะถูกปรับเป็นจำนวนเงิน 23.77 ล้านเหรียญสหรัฐเท่านั้น แต่เรื่องอื้อฉาวดังกล่าวได้ส่งผลเสียต่อภาพลักษณ์ของโรงแรมชั้นนำของโลก และปั่นทอนความเชื่อมั่นของลูกค้าอย่างที่ไม่สามารถจะฟื้นฟูได้ง่ายๆ ทั้งเป็นการจุดประเด็นเรื่องมาตรการในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าที่เข้าใช้บริการในโรงแรมทั่วโลกเช่นกัน ด้วยเหตุนี้จึงนำไปสู่คำตอบที่ว่า ทำไมธุรกิจโรงแรมและบริการห้องพักแบบต่างๆ จึงต้องให้ความสำคัญกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ‘โรงแรม’ จัดเก็บข้อมูลส่วนบุคคลอะไรบ้าง ก่อนอื่นต้องเข้าใจว่า ธุรกิจบริการห้องพักไม่ว่าจะเป็นรูปแบบ Hotel หรือแบบ Hostel ล้วนต้องดำเนินการภายใต้ พ.ร.บ.โรงแรม…

‘ความรับผิดชอบ’ เป็นคำที่ยิ่งใหญ่ แต่หากดูที่แก่นความหมายซึ่งเป็นการสนธิของสองคำ คือ รับผิด+โดยชอบ อันหมายถึง ‘หน้าที่’ คือ สิ่งที่ต้องทำ แต่ก็น่าแปลกที่สิ่งเหล่านี้อาจจะไม่ใช่ทุกคน หรือทุกองค์กรอยากทำ เพราะมักจะนำไปเปรียบเทียบกับภาระอันยิ่งใหญ่ หรือผลจากการกระทำในเชิงลบที่ต้องมีคนต้องแบกรับ และอาจด้วยเหตุผลนี้ กฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงได้กำหนด หน้าที่ ตามมาด้วยความรับผิดชอบสำหรับสถานะต่างๆ ภายใต้การดำเนินการด้านข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งหากเกิดข้อมูลรั่วไหลอันนำไปสู่การละเมิดข้อมูลส่วนบุคคล (Data Breach) และคำถามที่หลายคนอยากรู้คือ ความรับผิดชอบนั้นจะตกอยู่ที่ใคร? แต่ก่อนที่จะกล่าวถึงความรับผิดชอบตามกฎหมาย PDPA ในกรณีการละเมิดข้อมูลส่วนบุคคล มาดูความหมายและตัวอย่างของการละเมิดข้อมูลส่วนบุคคลตามนิยามของกฎหมาย ซึ่งหมายถึง เหตุการณ์ หรือการกระทำที่นำไปสู่การเก็บรวบรวม เข้าถึง สูญหาย ทำลาย เปลี่ยนแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาต ไม่ว่าจะเป็นการเจตนา หรือเกิดความผิดพลาดโดยไม่ตั้งใจ ยกกรณีตัวอย่าง เช่น : สถาบันการเงินส่งไปใบแจ้งหนีไปผิดคน โรงพยาบาลส่งผลตรวจสุขภาพไปผิดบ้าน องค์กรโดนโจมตีทางไซเบอร์ ศูนย์ข้อมูลทำงานผิดพลาดจนทำให้ข้อมูลเสียหาย หรือถูกโจรกรรม การส่งต่อข้อมูลหรือแชร์โดยเจ้าของข้อมูลไม่อนุญาต…

‘ข้อมูลประวัติอาชญากรรม’ ดำเนินการไม่ถูกต้อง ‘นายจ้างอาจติดคุก’ เพราะแม้การตรวจสอบประวัติอาชญากรรมนับเป็นหนึ่งในขั้นตอนการ ‘คัดกรอง’ ก่อนการจ้างงาน ทั้งบางธุรกิจหรือสถานประกอบการยังกำหนดเป็นมาตรฐานการควบคุมที่สำคัญและเป็นชอบด้วยกฎหมาย เนื่องจากเป็นเหตุผลด้านความปลอดภัยของการให้บริการที่จำเป็นต้องมีมาตรการขั้นสูงในการคัดกรอง เช่น พนักงานรักษาความปลอดภัย พนักงานด้านการเงิน พนักงานที่ดูแลระบบสารสนเทศ แม่บ้าน ช่างซ่อมบำรุงในอาคาร พนักงานขับรถขนเงิน พนักงานขับรถสาธารณะ หรือพนักงานขับรถส่งอาหาร ฯลฯ ด้วยเหตุนี้ จึงมีประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมออกมา และมีผลบังคับใช้แล้วในวันที่ 7 เมษายน 2567 ดังนั้น การที่นายจ้างจะตรวจสอบข้อมูลประวัติอาชญากรรมของผู้สมัคร จึงต้องพิจารณาถึงประกาศฯฉบับนี้ โดยประกาศ “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่องหลักเกณฑ์เกี่ยวกับมาตรการคุ้มครองสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ที่มิได้กระทำการควบคุมของหน่วยงานที่มีอำนาจหน้าที่ตามกฎหมาย พ.ศ. 2566 ” เป็นกฎหมายลำดับรองว่าด้วยเรื่องของมาตรการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับอาชญากรรมตามที่ สคส. กำหนด ได้แก่ วัตถุประสงค์ในการเก็บ ระยะเวลาการเก็บ ข้อยกเว้นกรณีหากจำเป็นต้องเก็บเกินเวลา และการลบทำลาย/ทำเป็นข้อมูลไม่สามารถระบุตัวตนได้ หลักเกณฑ์ในการเก็บรวบรวมและเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม จากประกาศฯ การเก็บข้อมูลประวัติอาชญากรรมสามารถทำได้ ภายใต้วัตถุประสงค์ ดังนี้ 1. การพิจารณารับบุคคลเข้าทำงาน หรือการตรวจสอบคุณสมบัติ…