การดำเนินธุรกิจในโลกยุคปัจจุบัน ข้อมูลเป็นสิ่งสำคัญอย่างมากในการใช้วิเคราะห์กำหนดกลยุทธ์ เพื่อสร้างความได้เปรียบทางการแข่งขัน และทำให้องค์กรบรรลุเป้าหมายทางธุรกิจที่วางไว้ แต่เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของประชาชนที่ภาคธุรกิจอาจนำไปใช้อย่างไม่เหมาะสม และส่งผลกระทบต่อการดำเนินชีวิตและความปลอดภัยของประชาชนเช่นกัน
การท่องเที่ยวแห่งประเทศไทย (ททท.) ตระหนักถึงความสำคัญดังกล่าว จึงได้จัดประชุมชี้แจงแนวทางการคุ้มครองข้อมูลส่วนบุคคลในบริบทของอุตสาหกรรมท่องเที่ยว หลังจากที่ประเทศไทยได้มีการประกาศบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (General Data Protection Regulation : GDPR) อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 เพื่อให้สอดรับกับสหภาพยุโรป หรือ EU ที่ได้เริ่มใช้ไปตั้งแต่ปี 2561
เร่งสร้างความรู้ผู้ประกอบการ
“ธีระศิลป์ เทเพนทร์” รองผู้ว่าการด้านดิจิทัล วิจัย และพัฒนา การท่องเที่ยวแห่งประเทศไทย (ททท.) บอกว่า การจัดการประชุมในครั้งนี้เพื่อเร่งสร้างความตระหนักของผู้ประกอบการท่องเที่ยวไทย ถึงแนวทางปฏิบัติตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้สามารถนำไปปรับใช้กับธุรกิจได้อย่างถูกต้องและเหมาะสมกับบริบทขององค์กร
โดยปัจจุบันผู้ประกอบการท่องเที่ยวไทยส่วนใหญ่ยังขาดความตระหนักรู้และเข้าใจถึงแนวทางการปฏิบัติตามกฎหมายดังกล่าว ซึ่งอาจเป็นสาเหตุให้ได้รับบทลงโทษตามกฎหมาย และอาจส่งผลเสียต่อภาพลักษณ์ทางการท่องเที่ยวของประเทศได้
หลังจากนี้ ททท.จะร่วมมือกับหน่วยงานที่เกี่ยวข้องออกร่างหลักสูตรอบรม เพื่อให้ผู้ประกอบการได้รับการรับรองเป็น DPO หรือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคล ให้ปฏิบัติตามกฎหมาย GDPR
“แม้ว่าในบ้านเราจะยังไม่มีการร้องเรียนจากผู้บริโภคในอุตสาหกรรมการท่องเที่ยวถึงการรั่วไหลข้อมูลส่วนบุคคล แต่เชื่อมั่นว่าการจัดประชุมชี้แจงแนวทางการคุ้มครองข้อมูลส่วนบุคคลในบริบทของอุตสาหกรรมท่องเที่ยวครั้งนี้จะทำให้ผู้ประกอบการท่องเที่ยวไทยที่เข้าร่วมมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และสามารถใช้ข้อมูลส่วนบุคคลในการดำเนินธุรกิจได้อย่างถูกต้องและเหมาะสม”
สร้างภาพลักษณ์ที่ดีให้กับการท่องเที่ยวไทย และช่วยขับเคลื่อนอุตสาหกรรมท่องเที่ยวไทยให้เติบโตได้อย่างยั่งยืน
จับจริง ปรับจริง
ด้าน “ผศ.ศุภวัชน์ มาลานนท์” ผู้แทนจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล บอกว่าความรับผิดทางปกครองจากการไม่ปฏิบัติตามกฎหมาย ปรับสูงสุดไม่เกิน 5 ล้านบาท หากไม่ชำระศาลปกครองมีอำนาจบังคับให้ยึด หรืออายัดทรัพย์สินขายทอดตลาดเพื่อชำระค่าปรับ
ขณะที่ความรับผิดทางอาญาจากการไม่ปฏิบัติตามกฎหมาย จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยกรรมการ/ผู้จัดการของนิติบุคคลผู้รับผิดชอบโครงการ/ผู้มีอำนาจสั่งการต้องรับโทษด้วย
ส่วนความผิดทางกฎหมายแพ่ง จะเรียกค่าสินไหมทดแทน เพื่อความเสียหายจำนวนที่แท้จริงแก่เจ้าของข้อมูลส่วนบุคคล และค่าสินไหมทดแทนเชิงลงโทษตามที่ศาลเห็นสมควร แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง
“คนไทยส่วนใหญ่ยังไม่รู้ว่าบทลงโทษของเรานั้นเน้นจับจริงและโหดแค่ไหน”
และบอกด้วยว่า กฎหมาย GDPR ในหลายประเทศเริ่มทำแล้ว อาทิ จีน บราซิล สหรัฐ ออสเตรเลีย ซึ่งบทลงโทษก็ร้ายแรงเช่นกัน โดยความรับผิดทางปกครองและความรับผิดทางอาญา ค่าปรับจากการไม่ปฏิบัติตามกฎหมายจะต้องเสียค่าปรับจำนวน 10 ล้านยูโร หรือ 2% ของรายได้ทั่วโลก แล้วแต่ว่าจำนวนใดสูงกว่า ส่วนความผิดทางกฎหมายแพ่ง จะเรียกค่าสินไหมทดแทนเพื่อความเสียหายจำนวนที่แท้จริงแก่เจ้าของข้อมูลส่วนบุคคล
“ทุกองค์กรต้องทำตาม ต้องยอมซื้อ ยอมจ่าย เพื่อความปลอดภัย และคุ้มครองความเสี่ยงจากการคุกคาม”
เพจปลอม-แฮกเว็บไซต์พุ่ง
ขณะที่ “ดรุณี พิกุลทอง” ผู้อำนวยการสำนักกฎหมาย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้ข้อมูลว่า จากที่ได้รับการรายงานและได้รับแจ้งขอความช่วยเหลือ พบว่าที่ผ่านมามีการแฮกระบบเว็บไซต์ถึง 36%
ส่วนใหญ่จะเป็นเว็บไซต์ปลอมที่เกี่ยวกับการท่องเที่ยว จองโรงแรม-ที่พัก หรือแม้กระทั่งจองสายการบิน โดยเมื่อมาถึงวันเวลานัดหมายทางลูกค้า โทร.แจ้งคอนเฟิร์มการเข้าพัก หรือเช็กอินสนามบิน กลับไม่มีเอกสารการจองนั้นเกิดขึ้น
“เราได้ตระหนักว่าต้องมีการให้ความรู้ ให้ข้อมูลแก่ประชาชน ทั้งโฆษณา ประชาสัมพันธ์ให้นักท่องเที่ยวดูแลกันให้ทั่วถึงมากยิ่งขึ้น”
“ดรุณี” ยังพูดถึงแผนรับมือความเสี่ยงและการประเมินความเสี่ยงด้วยว่า จะต้องมีระบบ Security ที่แม่นยำเพื่อป้องกันมิจฉาชีพ ซึ่งที่ผ่านมามีการออกกฎระเบียบ การบังคับใช้ยังไม่ทั่วถึงมากนัก จึงอยากให้ภาคเอกชนรวมถึงทุกภาคส่วนที่เป็น Critical Information Infrastructure (CII) ที่อยู่ในกฎหมายบังคับใช้นั้น มาร่วมมือกันเพื่อกำจัดปัญหาเหล่านี้ให้หมดไป
รวมถึงมุ่งเน้นแนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ และประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ ความสามารถของบุคลากรและผู้เชี่ยวชาญ
แนะเลือกคนในดูแลองค์กร
ขณะที่ภาคเอกชนอย่าง “ดร.สิทธินัย จันทรานนท์” เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัท การบินไทย จำกัด (มหาชน) ระบุว่า ปัญหาที่เกิดขึ้นนั้น ส่วนใหญ่เกิดจากการไม่รู้กฎหมาย และการไม่รู้ระบบงานเกี่ยวกับข้อมูลส่วนบุคคล
โดยที่ผ่านมาได้มีการแนะนำกับผู้ประกอบการอื่น ๆ ว่า การที่เราจะเลือกเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) ขึ้นมาได้นั้น ต้องเลือกมาจากคนในองค์กรที่รู้ข้อมูลในองค์กรเป็นอย่างดี
“สิ่งที่ผู้ประกอบการต้องกลับไปพิจารณาคือ หากต้องจ้างบริษัทข้างนอกเข้ามา หรือเป็นองค์กรที่รับงานบริษัทอื่นด้วยอาจจะพบปัญหาข้อมูลรั่วไหลได้”
ย้ำทุกองค์กรต้องเรียนรู้
เช่นเดียวกับ “นงธนัส ตั๊นสวัสดิ์” เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัท แชงกรี-ลา โฮเต็ล จำกัด (มหาชน) บอกว่า ทุกโรงแรมประสบปัญหาในเรื่องของการพูดคุยกับคนในองค์กร การจ้างบุคคลภายนอกมาเป็น DPO ยิ่งทำให้การทำงานไม่มีความราบรื่น และไม่เข้าใจองค์กรอย่างลึกซึ้งเหมือนคนในองค์กร
สำหรับแนวทางการแก้ไขปัญหาที่เกิดขึ้น และข้อควรระวังที่ผู้ประกอบการอุตสาหกรรมท่องเที่ยวจะต้องเตรียมตัวรับมือ รวมไปถึงคำแนะนำที่เป็นประโยชน์ต่ออุตสาหกรรมการท่องเที่ยวไทยนั้น “นงธนัส” บอกว่า สิ่งที่ยากสำหรับผู้ประกอบการคือ ความหลากหลายทางคำตอบ การจัดหาระบบอิเล็กทรอนิกส์ การบริหารจัดการภายในระบบและองค์กร
ทั้งหมดนี้ถือเป็นความท้าทายอย่างหนึ่ง ยังไม่รวมกับการส่งข้อมูลต่าง ๆ ให้กับหน่วยงานภาครัฐ เรื่องของระบบไอทีที่จะช่วยให้เราทำงานได้รวดเร็วขึ้น แม่นยำขึ้น เป็นระบบในการจัดเก็บข้อมูลได้มากยิ่งขึ้น
ส่วนในเรื่องของกฎหมายนั้น ถือเป็นสิ่งที่ทุกองค์กรต้องมาเรียนรู้เพิ่มเติม เพื่อให้สามารถเดินหน้าได้อย่างไรให้มีประสิทธิภาพต่อไป
นฤมล ร่วมนายกฯ พบผู้รับซื้อผลไม้ ย้ำ Fruit Board คุมเข้มสินค้าให้มีมาตรฐาน
ททท.ชี้แจงตลาดทุนจ่อหั่นเป้า นทท.ต่างชาติต่ำ 37 ล้านคน เร่งแผนกระตุ้น
ททท.ปั๊มตลาดตะวันออกกลาง ความหวังใหม่ดันรายได้ ‘ท่องเที่ยว’
