เมื่อเร็วๆ นี้ (25 May 2018) เพิ่งมีการประกาศบังคับใช้ข้อบังคับตัวหนึ่งที่มีชื่อว่า GDPR ซึ่งส่งผลกระทบในวงกว้างของธุรกิจ โดยเฉพาะธุรกิจบริการ และธุรกิจสายการบินก็ย่อมเป็นหนึ่งในธุรกิจที่ได้รับผลกระทบจากข้อบังคับนี้ด้วย ดังนั้นในโพสนี้เราจะมีดูกันว่า GDPR มันคืออะไร และสายการบินจะรับมืออย่างไรกับข้อบังคับนี้ครับ
เริ่มต้นด้วยการทำความรู้จักกับ GPDR กันก่อนว่ามันคืออะไร
GPDR (General Data Protection Regulation) เป็นกฏหมายการปกป้อง คุ้มครองข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรป (EU) ซึ่งเจ้าตัวข้อบังคับนี้ออกมาเพื่อให้ประเทศสมาชิกในกลุ่มสหภาพยุโรปใช้กฏหมายการคุ้มครองข้อมูลส่วนบุคคลฉบับเดียวกัน ซึ่งหัวใจสำคัญของ GDPR ผมขอสรุปเป็นข้อๆ ดังนี้
- GDPR จะมีผลบังคับใช้กับทุกๆ บริษัท ที่มีการนำเอาข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรปไปใช้ แม้ว่าตัวบริษัทจะอยู่นอกกลุ่มประเทศสหภาพยุโรปก็ตาม
- บริษัท (ซึ่งอยู่ในฐานะ Data Controller) จะต้องมีเจ้าหน้าที่ที่ดูแลเรื่องข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้ ซึ่งเรียกว่าตำแหน่ง Data Protection Officer (DPO) – เจ้าหน้าที่พิทักษ์ข้อมูล (ผู้เขียน)
- กรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้ เช่น โดนเจาะระบบจนทำให้ข้อมูลรั่วไหล บริษัทจะต้องประกาศแจ้งเตือนให้ทราบภายใน 72 ชั่วโมง
- บริษัทต้องยินยอมที่จะลบข้อมูลส่วนบุคคลออกจากระบบทันทีที่ได้รับการร้องขอจากบุคคลผู้ซึ่งเป็นเจ้าของข้อมูลนั้น รวมถึงจะต้องอนุญาตให้ผู้เป็นเจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตนเองได้ตลอดเวลา
- การออกผลิตภัณฑ์ใดๆ ของบริษัทก็ตาม ต้องคำนึงถึงความเป็นส่วนตัว (Privacy) ของผู้บริโภคเสมอ โดยจะต้องมีคำอธิบายที่สามารถทำความเข้าใจได้โดยง่ายว่า ข้อมูลของผู้บริโภคจะถูกจัดเก็บอย่างไร และ/หรือ จะถูกนำเอาไปใช้ทำอะไรบ้าง
- กรณีที่บริษัทจะนำข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรปไปให้บริษัทอื่นๆ กระทำการใดๆ กับข้อมูลนั้น เช่น จัดเก็บ วิเคราะห์ หรือประมวลผล จะต้องแจ้งให้ผู้บริโภคทราบเสมอ และต้องได้รับการยินยอมจากเจ้าของข้อมูลทุกครั้ง
- หากบริษัทไม่ปฏิบัติตามข้อบังคับนี้จะมีโทษปรับ 20 ล้านยูโร หรือ 2-4% ของรายได้บริษัทต่อปี (ขึ้นอยู่กับว่าอันไหนเยอะกว่ากัน)
สรุปง่ายๆ คือ บริษัทที่มีข้อมูลส่วนบุคคลของพลเมืองในประเทศกลุ่มสหภาพยุโรปอยู่นั้นจะต้องปฏิบัติตาม GDPR ทั้งหมด ซึ่งก็คือการปกป้อง รักษา และคุ้มครองข้อมูลส่วนบุคคลนั้น และหากจะนำข้อมูลไปทำอะไรก็ตาม จะต้องแจ้งผู้บริโภคเสมอ ด้วยภาษาที่เข้าใจได้ง่าย ไม่วกวนหรือกำกวม นั่นเองครับ
ธุรกิจสายการบินได้รับผลกระทบอย่างไร
อาจกล่าวได้ว่าธุรกิจสายการบินนั้นเกี่ยวข้องกับ GDPR อย่างใกล้ชิด ไม่ว่าจะเป็นสายการบินของประเทศไทยหรือต่างชาติก็ตาม เนื่องจากหากสายการบินให้บริการผู้โดยสารที่เป็นพลเมืองของประเทศในกลุ่มสหภาพยุโรป รวมถึงพนักงานสายการบินที่เป็นพลเมืองของกลุ่มดังกล่าวก็จะต้องอยู่ภายใต้ข้อบังคับนี้ด้วย
ยกตัวอย่างเช่น ผู้โดยสารไม่ยินยอมให้สายการบินนำอีเมล์ของผู้โดยสารไปจัดเก็บเพื่อจัดส่งโปรโมชั่นต่างๆ ให้กับผู้โดยสาร หรือผู้โดยสารไม่ยินยอมให้นำเอาข้อมูลการเดินทาง (ต้นทาง ปลายทาง เส้นทางบิน) ไปวิเคราะห์พฤติกรรมการเดินทางของผู้โดยสาร สายการบินก็มิสามารถที่จะดึงดันที่จะปฏิเสธการร้องขอจากผู้โดยสารได้
เรามาดูกันว่าข้อมูลส่วนบุคคลอะไรบ้างที่สายการบินจะต้องคุ้มครองตาม GDPR
- ชื่อ-นามสกุล
- หมายเลขบัตรประชาชน/หมายเลขหนังสือเดินทาง
- อีเมล์
- เบอร์โทรศัพท์
- ตำแหน่ง ที่อยู่ (ที่อยู่ตามทะเบียนบ้าน/พิกัด GPS)
- อัตลักษณ์ทางวัฒนธรรมและสังคม (IP Address, Facebook, Twitter, LinkedIn เป็นต้น)
- รูปถ่าย วิดีโอ
- ข้อมูลทางการเงิน
- ข้อมูลทางชีวภาพ (ลายนิ้วมือ ม่านตา ใบหน้า เป็นต้น)
- ข้อมูลด้านสุขภาพ
- ข้อมูลประวัติการจ้างงาน
- ข้อมูลอื่นๆ ซึงสามารถใช้ระบุตัวตนของบุคคลได้
แน่นอนว่าธุรกิจสายการบินย่อมต้องการข้อมูลส่วนบุคคลไปใช้ในการประมวลผลต่างๆ เริ่มตั้งแต่การสำรองที่นั่ง การออกบัตรโดยสาร การนำข้อมูลไปใช้ทางการตลาด การเก็บข้อมูลสะสมคะแนนของสายการบิน (Frequent Flyer Program) และขั้นตอนอื่นๆ อีกมากมาย
ดังนั้นสิ่งที่สายการบินจำเป็นต้องปรับตัวเพื่อรองรับ GDPR มีดังนี้
- ส่งเสริมให้พนักงานในสายการบินมีความรู้ ความเข้าใจ ในเรื่องของ GDPR
- จัดหา Data Protection Officer ตามข้อบังคับ GDPR
- เตรียมความพร้อมในการอธิบายให้ผู้โดยสารเข้าใจถึงการจัดเก็บข้อมูลว่า ข้อมูลส่วนบุคคลของผู้โดยสารนั้นจะถูกจัดเก็บอย่างไร จัดเก็บไว้ที่ใด และจะนำข้อมูลไปใช้ทำอะไรบ้าง ซึ่งตรงนี้ก็คงต้องให้ผู้โดยสารตกลงยินยอมให้ข้อมูลกับสายการบินเป็นลายลักษณ์อักษร เพื่อป้องกันตัวสายการบินเอง และเป็นมาตรฐานความปลอดภัยของสายการบินด้วย โดยหากผู้โดยสารไม่ยินยอมที่จะให้ข้อมูลส่วนบุคคลกับสายการบินในขั้นตอนใดขั้นตอนหนึ่ง สายการบินย่อมมีสิทธิ์ในการปฏิเสธการเดินทางของผู้โดยสารได้
- กำหนด Data Processor ให้ชัดเจนว่าผู้ใดบ้างที่จะสามารถจัดการกับข้อมูลส่วนบุคคลของผู้โดยสารได้ เช่น เจ้าหน้าที่ออกบัตรโดยสาร เจ้าหน้าที่ภาคพื้นดินที่ทำการเช็คอิน เจ้าหน้าที่พิธีการบินที่ทำการจัดทำเอกสารพิธีการบิน เจ้าหน้าที่จัดการลูกเรือ เจ้าหน้าที่ฝ่ายการตลาด เป็นต้น ทั้งนี้การจัดการข้อมูลของผู้เป็น Data Processor ย่อมมีข้อกำหนดเช่นเดียวกันกับสายการบินในฐานะที่เป็น Data Controller
- จัดตั้งหน่วยงานดูแลเรื่องเกี่ยวบิน GDPR โดยเฉพาะ ในกรณีหากผู้โดยสารร้องขอในการเข้าถึงข้อมูลส่วนบุคคลของผู้โดยสาร หรือร้องขอให้ลบข้อมูลส่วนบุคคลของผู้โดยสารออกจากระบบ
- จัดทำ Privacy Policy ที่ชัดเจน เข้าใจง่าย ประชาสัมพันธ์ในผู้โดยสารได้รับรู้อย่างทั่วถึง
อนึ่ง GDPR เริ่มบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 (25 May 2018) ในช่วงแรกอาจจะยังมีข้อขัดข้องในขั้นตอนปฏิบัติอยู่บ้าง ซึ่งคงต้องใช้เวลาในการปรับตัวอีกระยะหนึ่งจึงจะเข้ารูปเข้ารอย โดยส่วนตัวคาดว่าอีกไม่นานคงจะมีแนวทางปฏิบัติที่ชัดเจนประกาศออกมาจาก IATA ให้กับสายการบินสมาชิกได้นำเอาไปใช้เพื่อให้เป็นไปในแนวทางเดียวกัน ก็คงต้องรอดูกันต่อไปครับ
สุดท้ายนี้ขอขอบคุณผู้อ่านทุกท่านนะครับ หากมีข้อเสนอแนะแลกเปลี่ยนเพิ่มเติม สามารถติดต่อได้ทาง Twitter @JoThailand744 ครับ
—