การดำเนินธุรกิจในโลกยุคปัจจุบัน ข้อมูลเป็นสิ่งสำคัญอย่างมากในการใช้วิเคราะห์กำหนดกลยุทธ์ เพื่อสร้างความได้เปรียบทางการแข่งขัน และทำให้องค์กรบรรลุเป้าหมายทางธุรกิจที่วางไว้ แต่เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของประชาชนที่ภาคธุรกิจอาจนำไปใช้อย่างไม่เหมาะสม และส่งผลกระทบต่อการดำเนินชีวิตและความปลอดภัยของประชาชนเช่นกัน

 

การท่องเที่ยวแห่งประเทศไทย (ททท.) ตระหนักถึงความสำคัญดังกล่าว จึงได้จัดประชุมชี้แจงแนวทางการคุ้มครองข้อมูลส่วนบุคคลในบริบทของอุตสาหกรรมท่องเที่ยว หลังจากที่ประเทศไทยได้มีการประกาศบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (General Data Protection Regulation : GDPR) อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 เพื่อให้สอดรับกับสหภาพยุโรป หรือ EU ที่ได้เริ่มใช้ไปตั้งแต่ปี 2561

 

เร่งสร้างความรู้ผู้ประกอบการ :

 

“ธีระศิลป์ เทเพนทร์” รองผู้ว่าการด้านดิจิทัล วิจัย และพัฒนา การท่องเที่ยวแห่งประเทศไทย (ททท.) บอกว่า การจัดการประชุมในครั้งนี้เพื่อเร่งสร้างความตระหนักของผู้ประกอบการท่องเที่ยวไทย ถึงแนวทางปฏิบัติตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้สามารถนำไปปรับใช้กับธุรกิจได้อย่างถูกต้องและเหมาะสมกับบริบทขององค์กร

 

โดยปัจจุบันผู้ประกอบการท่องเที่ยวไทยส่วนใหญ่ยังขาดความตระหนักรู้และเข้าใจถึงแนวทางการปฏิบัติตามกฎหมายดังกล่าว ซึ่งอาจเป็นสาเหตุให้ได้รับบทลงโทษตามกฎหมาย และอาจส่งผลเสียต่อภาพลักษณ์ทางการท่องเที่ยวของประเทศได้

 

หลังจากนี้ ททท.จะร่วมมือกับหน่วยงานที่เกี่ยวข้องออกร่างหลักสูตรอบรม เพื่อให้ผู้ประกอบการได้รับการรับรองเป็น DPO หรือคนที่เข้าดูแลรักษาข้อมูลส่วนบุคคล ให้ปฏิบัติตามกฎหมาย GDPR

 

“แม้ว่าในบ้านเราจะยังไม่มีการร้องเรียนจากผู้บริโภคในอุตสาหกรรมการท่องเที่ยวถึงการรั่วไหลข้อมูลส่วนบุคคล แต่เชื่อมั่นว่าการจัดประชุมชี้แจงแนวทางการคุ้มครองข้อมูลส่วนบุคคลในบริบทของอุตสาหกรรมท่องเที่ยวครั้งนี้จะทำให้ผู้ประกอบการท่องเที่ยวไทยที่เข้าร่วมมีความรู้ความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และสามารถใช้ข้อมูลส่วนบุคคลในการดำเนินธุรกิจได้อย่างถูกต้องและเหมาะสม”

 

สร้างภาพลักษณ์ที่ดีให้กับการท่องเที่ยวไทย และช่วยขับเคลื่อนอุตสาหกรรมท่องเที่ยวไทยให้เติบโตได้อย่างยั่งยืน

 

จับจริง ปรับจริง :

 

ด้าน “ผศ.ศุภวัชน์ มาลานนท์” ผู้แทนจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล บอกว่าความรับผิดทางปกครองจากการไม่ปฏิบัติตามกฎหมาย ปรับสูงสุดไม่เกิน 5 ล้านบาท หากไม่ชำระศาลปกครองมีอำนาจบังคับให้ยึด หรืออายัดทรัพย์สินขายทอดตลาดเพื่อชำระค่าปรับ

 

ขณะที่ความรับผิดทางอาญาจากการไม่ปฏิบัติตามกฎหมาย จำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ โดยกรรมการ/ผู้จัดการของนิติบุคคลผู้รับผิดชอบโครงการ/ผู้มีอำนาจสั่งการต้องรับโทษด้วย

 

ส่วนความผิดทางกฎหมายแพ่ง จะเรียกค่าสินไหมทดแทน เพื่อความเสียหายจำนวนที่แท้จริงแก่เจ้าของข้อมูลส่วนบุคคล และค่าสินไหมทดแทนเชิงลงโทษตามที่ศาลเห็นสมควร แต่ไม่เกิน 2 เท่าของค่าสินไหมทดแทนที่แท้จริง

 

“คนไทยส่วนใหญ่ยังไม่รู้ว่าบทลงโทษของเรานั้นเน้นจับจริงและโหดแค่ไหน”

 

และบอกด้วยว่า กฎหมาย GDPR ในหลายประเทศเริ่มทำแล้ว อาทิ จีน บราซิล สหรัฐ ออสเตรเลีย ซึ่งบทลงโทษก็ร้ายแรงเช่นกัน โดยความรับผิดทางปกครองและความรับผิดทางอาญา ค่าปรับจากการไม่ปฏิบัติตามกฎหมายจะต้องเสียค่าปรับจำนวน 10 ล้านยูโร หรือ 2% ของรายได้ทั่วโลก แล้วแต่ว่าจำนวนใดสูงกว่า ส่วนความผิดทางกฎหมายแพ่ง จะเรียกค่าสินไหมทดแทนเพื่อความเสียหายจำนวนที่แท้จริงแก่เจ้าของข้อมูลส่วนบุคคล

 

“ทุกองค์กรต้องทำตาม ต้องยอมซื้อ ยอมจ่าย เพื่อความปลอดภัย และคุ้มครองความเสี่ยงจากการคุกคาม”

 

เพจปลอม-แฮกเว็บไซต์พุ่ง :

 

ขณะที่ “ดรุณี พิกุลทอง” ผู้อำนวยการสำนักกฎหมาย สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้ข้อมูลว่า จากที่ได้รับการรายงานและได้รับแจ้งขอความช่วยเหลือ พบว่าที่ผ่านมามีการแฮกระบบเว็บไซต์ถึง 36%

 

ส่วนใหญ่จะเป็นเว็บไซต์ปลอมที่เกี่ยวกับการท่องเที่ยว จองโรงแรม-ที่พัก หรือแม้กระทั่งจองสายการบิน โดยเมื่อมาถึงวันเวลานัดหมายทางลูกค้า โทร.แจ้งคอนเฟิร์มการเข้าพัก หรือเช็กอินสนามบิน กลับไม่มีเอกสารการจองนั้นเกิดขึ้น

 

“เราได้ตระหนักว่าต้องมีการให้ความรู้ ให้ข้อมูลแก่ประชาชน ทั้งโฆษณา ประชาสัมพันธ์ให้นักท่องเที่ยวดูแลกันให้ทั่วถึงมากยิ่งขึ้น”

 

“ดรุณี” ยังพูดถึงแผนรับมือความเสี่ยงและการประเมินความเสี่ยงด้วยว่า จะต้องมีระบบ Security ที่แม่นยำเพื่อป้องกันมิจฉาชีพ ซึ่งที่ผ่านมามีการออกกฎระเบียบ การบังคับใช้ยังไม่ทั่วถึงมากนัก จึงอยากให้ภาคเอกชนรวมถึงทุกภาคส่วนที่เป็น Critical Information Infrastructure (CII) ที่อยู่ในกฎหมายบังคับใช้นั้น มาร่วมมือกันเพื่อกำจัดปัญหาเหล่านี้ให้หมดไป

 

รวมถึงมุ่งเน้นแนวทางในการจัดการ การป้องกัน การรับมือ และการลดความเสี่ยงทางไซเบอร์ และประสานความร่วมมือระหว่างผู้เกี่ยวข้อง พัฒนาความรู้ ความสามารถของบุคลากรและผู้เชี่ยวชาญ

 

แนะเลือกคนในดูแลองค์กร :

 

ขณะที่ภาคเอกชนอย่าง “ดร.สิทธินัย จันทรานนท์” เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัท การบินไทย จำกัด (มหาชน) ระบุว่า ปัญหาที่เกิดขึ้นนั้น ส่วนใหญ่เกิดจากการไม่รู้กฎหมาย และการไม่รู้ระบบงานเกี่ยวกับข้อมูลส่วนบุคคล

 

โดยที่ผ่านมาได้มีการแนะนำกับผู้ประกอบการอื่น ๆ ว่า การที่เราจะเลือกเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer (DPO) ขึ้นมาได้นั้น ต้องเลือกมาจากคนในองค์กรที่รู้ข้อมูลในองค์กรเป็นอย่างดี

 

“สิ่งที่ผู้ประกอบการต้องกลับไปพิจารณาคือ หากต้องจ้างบริษัทข้างนอกเข้ามา หรือเป็นองค์กรที่รับงานบริษัทอื่นด้วยอาจจะพบปัญหาข้อมูลรั่วไหลได้”

 

ย้ำทุกองค์กรต้องเรียนรู้ :

 

เช่นเดียวกับ “นงธนัส ตั๊นสวัสดิ์” เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัท แชงกรี-ลา โฮเต็ล จำกัด (มหาชน) บอกว่า ทุกโรงแรมประสบปัญหาในเรื่องของการพูดคุยกับคนในองค์กร การจ้างบุคคลภายนอกมาเป็น DPO ยิ่งทำให้การทำงานไม่มีความราบรื่น และไม่เข้าใจองค์กรอย่างลึกซึ้งเหมือนคนในองค์กร

 

สำหรับแนวทางการแก้ไขปัญหาที่เกิดขึ้น และข้อควรระวังที่ผู้ประกอบการอุตสาหกรรมท่องเที่ยวจะต้องเตรียมตัวรับมือ รวมไปถึงคำแนะนำที่เป็นประโยชน์ต่ออุตสาหกรรมการท่องเที่ยวไทยนั้น “นงธนัส” บอกว่า สิ่งที่ยากสำหรับผู้ประกอบการคือ ความหลากหลายทางคำตอบ การจัดหาระบบอิเล็กทรอนิกส์ การบริหารจัดการภายในระบบและองค์กร

 

ทั้งหมดนี้ถือเป็นความท้าทายอย่างหนึ่ง ยังไม่รวมกับการส่งข้อมูลต่าง ๆ ให้กับหน่วยงานภาครัฐ เรื่องของระบบไอทีที่จะช่วยให้เราทำงานได้รวดเร็วขึ้น แม่นยำขึ้น เป็นระบบในการจัดเก็บข้อมูลได้มากยิ่งขึ้น

 

ส่วนในเรื่องของกฎหมายนั้น ถือเป็นสิ่งที่ทุกองค์กรต้องมาเรียนรู้เพิ่มเติม เพื่อให้สามารถเดินหน้าได้อย่างไรให้มีประสิทธิภาพต่อไป

 

ที่มา ประชาชาติธุรกิจ

วันที่ 26 กันยายน 2567