GDPR คลื่นกระทบสายการบิน

เมื่อเร็วๆ นี้ (25 May 2018) เพิ่งมีการประกาศบังคับใช้ข้อบังคับตัวหนึ่งที่มีชื่อว่า GDPR ซึ่งส่งผลกระทบในวงกว้างของธุรกิจ โดยเฉพาะธุรกิจบริการ และธุรกิจสายการบินก็ย่อมเป็นหนึ่งในธุรกิจที่ได้รับผลกระทบจากข้อบังคับนี้ด้วย ดังนั้นในโพสนี้เราจะมีดูกันว่า GDPR มันคืออะไร และสายการบินจะรับมืออย่างไรกับข้อบังคับนี้ครับ

เริ่มต้นด้วยการทำความรู้จักกับ GPDR กันก่อนว่ามันคืออะไร

GPDR (General Data Protection Regulation) เป็นกฏหมายการปกป้อง คุ้มครองข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรป (EU) ซึ่งเจ้าตัวข้อบังคับนี้ออกมาเพื่อให้ประเทศสมาชิกในกลุ่มสหภาพยุโรปใช้กฏหมายการคุ้มครองข้อมูลส่วนบุคคลฉบับเดียวกัน ซึ่งหัวใจสำคัญของ GDPR ผมขอสรุปเป็นข้อๆ ดังนี้

• GDPR จะมีผลบังคับใช้กับทุกๆ บริษัท ที่มีการนำเอาข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรปไปใช้ แม้ว่าตัวบริษัทจะอยู่นอกกลุ่มประเทศสหภาพยุโรปก็ตาม
• บริษัท (ซึ่งอยู่ในฐานะ Data Controller) จะต้องมีเจ้าหน้าที่ที่ดูแลเรื่องข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้ ซึ่งเรียกว่าตำแหน่ง Data Protection Officer (DPO) – เจ้าหน้าที่พิทักษ์ข้อมูล (ผู้เขียน)
• กรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลที่บริษัทจัดเก็บไว้ เช่น โดนเจาะระบบจนทำให้ข้อมูลรั่วไหล บริษัทจะต้องประกาศแจ้งเตือนให้ทราบภายใน 72 ชั่วโมง
• บริษัทต้องยินยอมที่จะลบข้อมูลส่วนบุคคลออกจากระบบทันทีที่ได้รับการร้องขอจากบุคคลผู้ซึ่งเป็นเจ้าของข้อมูลนั้น รวมถึงจะต้องอนุญาตให้ผู้เป็นเจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตนเองได้ตลอดเวลา
• การออกผลิตภัณฑ์ใดๆ ของบริษัทก็ตาม ต้องคำนึงถึงความเป็นส่วนตัว (Privacy) ของผู้บริโภคเสมอ โดยจะต้องมีคำอธิบายที่สามารถทำความเข้าใจได้โดยง่ายว่า ข้อมูลของผู้บริโภคจะถูกจัดเก็บอย่างไร และ/หรือ จะถูกนำเอาไปใช้ทำอะไรบ้าง
• กรณีที่บริษัทจะนำข้อมูลส่วนบุคคลของพลเมืองในกลุ่มประเทศสหภาพยุโรปไปให้บริษัทอื่นๆ กระทำการใดๆ กับข้อมูลนั้น เช่น จัดเก็บ วิเคราะห์ หรือประมวลผล จะต้องแจ้งให้ผู้บริโภคทราบเสมอ และต้องได้รับการยินยอมจากเจ้าของข้อมูลทุกครั้ง
• หากบริษัทไม่ปฏิบัติตามข้อบังคับนี้จะมีโทษปรับ 20 ล้านยูโร หรือ 2-4% ของรายได้บริษัทต่อปี (ขึ้นอยู่กับว่าอันไหนเยอะกว่ากัน)

สรุปง่ายๆ คือ บริษัทที่มีข้อมูลส่วนบุคคลของพลเมืองในประเทศกลุ่มสหภาพยุโรปอยู่นั้นจะต้องปฏิบัติตาม GDPR ทั้งหมด ซึ่งก็คือการปกป้อง รักษา และคุ้มครองข้อมูลส่วนบุคคลนั้น และหากจะนำข้อมูลไปทำอะไรก็ตาม จะต้องแจ้งผู้บริโภคเสมอ ด้วยภาษาที่เข้าใจได้ง่าย ไม่วกวนหรือกำกวม นั่นเองครับ

ธุรกิจสายการบินได้รับผลกระทบอย่างไร

อาจกล่าวได้ว่าธุรกิจสายการบินนั้นเกี่ยวข้องกับ GDPR อย่างใกล้ชิด ไม่ว่าจะเป็นสายการบินของประเทศไทยหรือต่างชาติก็ตาม เนื่องจากหากสายการบินให้บริการผู้โดยสารที่เป็นพลเมืองของประเทศในกลุ่มสหภาพยุโรป รวมถึงพนักงานสายการบินที่เป็นพลเมืองของกลุ่มดังกล่าวก็จะต้องอยู่ภายใต้ข้อบังคับนี้ด้วย

ยกตัวอย่างเช่น ผู้โดยสารไม่ยินยอมให้สายการบินนำอีเมล์ของผู้โดยสารไปจัดเก็บเพื่อจัดส่งโปรโมชั่นต่างๆ ให้กับผู้โดยสาร หรือผู้โดยสารไม่ยินยอมให้นำเอาข้อมูลการเดินทาง (ต้นทาง ปลายทาง เส้นทางบิน) ไปวิเคราะห์พฤติกรรมการเดินทางของผู้โดยสาร สายการบินก็มิสามารถที่จะดึงดันที่จะปฏิเสธการร้องขอจากผู้โดยสารได้

เรามาดูกันว่าข้อมูลส่วนบุคคลอะไรบ้างที่สายการบินจะต้องคุ้มครองตาม GDPR

•  ชื่อ-นามสกุล
•  หมายเลขบัตรประชาชน/หมายเลขหนังสือเดินทาง
•  อีเมล์
•  เบอร์โทรศัพท์
•  ตำแหน่ง ที่อยู่ (ที่อยู่ตามทะเบียนบ้าน/พิกัด GPS)
•  อัตลักษณ์ทางวัฒนธรรมและสังคม (IP Address, Facebook, Twitter, LinkedIn เป็นต้น)
•  รูปถ่าย วิดีโอ
•  ข้อมูลทางการเงิน
•  ข้อมูลทางชีวภาพ (ลายนิ้วมือ ม่านตา ใบหน้า เป็นต้น)
•  ข้อมูลด้านสุขภาพ
•  ข้อมูลประวัติการจ้างงาน
•  ข้อมูลอื่นๆ ซึงสามารถใช้ระบุตัวตนของบุคคลได้

แน่นอนว่าธุรกิจสายการบินย่อมต้องการข้อมูลส่วนบุคคลไปใช้ในการประมวลผลต่างๆ เริ่มตั้งแต่การสำรองที่นั่ง การออกบัตรโดยสาร การนำข้อมูลไปใช้ทางการตลาด การเก็บข้อมูลสะสมคะแนนของสายการบิน (Frequent Flyer Program) และขั้นตอนอื่นๆ อีกมากมาย

ดังนั้นสิ่งที่สายการบินจำเป็นต้องปรับตัวเพื่อรองรับ GDPR มีดังนี้

1. ส่งเสริมให้พนักงานในสายการบินมีความรู้ ความเข้าใจ ในเรื่องของ GDPR
2. จัดหา Data Protection Officer ตามข้อบังคับ GDPR
3. เตรียมความพร้อมในการอธิบายให้ผู้โดยสารเข้าใจถึงการจัดเก็บข้อมูลว่า ข้อมูลส่วนบุคคลของผู้โดยสารนั้นจะถูกจัดเก็บอย่างไร จัดเก็บไว้ที่ใด และจะนำข้อมูลไปใช้ทำอะไรบ้าง ซึ่งตรงนี้ก็คงต้องให้ผู้โดยสารตกลงยินยอมให้ข้อมูลกับสายการบินเป็นลายลักษณ์อักษร เพื่อป้องกันตัวสายการบินเอง และเป็นมาตรฐานความปลอดภัยของสายการบินด้วย โดยหากผู้โดยสารไม่ยินยอมที่จะให้ข้อมูลส่วนบุคคลกับสายการบินในขั้นตอนใดขั้นตอนหนึ่ง สายการบินย่อมมีสิทธิ์ในการปฏิเสธการเดินทางของผู้โดยสารได้
4. กำหนด Data Processor ให้ชัดเจนว่าผู้ใดบ้างที่จะสามารถจัดการกับข้อมูลส่วนบุคคลของผู้โดยสารได้ เช่น เจ้าหน้าที่ออกบัตรโดยสาร เจ้าหน้าที่ภาคพื้นดินที่ทำการเช็คอิน เจ้าหน้าที่พิธีการบินที่ทำการจัดทำเอกสารพิธีการบิน เจ้าหน้าที่จัดการลูกเรือ เจ้าหน้าที่ฝ่ายการตลาด เป็นต้น ทั้งนี้การจัดการข้อมูลของผู้เป็น Data Processor ย่อมมีข้อกำหนดเช่นเดียวกันกับสายการบินในฐานะที่เป็น Data Controller
5. จัดตั้งหน่วยงานดูแลเรื่องเกี่ยวบิน GDPR โดยเฉพาะ ในกรณีหากผู้โดยสารร้องขอในการเข้าถึงข้อมูลส่วนบุคคลของผู้โดยสาร หรือร้องขอให้ลบข้อมูลส่วนบุคคลของผู้โดยสารออกจากระบบ
6. จัดทำ Privacy Policy ที่ชัดเจน เข้าใจง่าย ประชาสัมพันธ์ในผู้โดยสารได้รับรู้อย่างทั่วถึง

อนึ่ง GDPR เริ่มบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 (25 May 2018) ในช่วงแรกอาจจะยังมีข้อขัดข้องในขั้นตอนปฏิบัติอยู่บ้าง ซึ่งคงต้องใช้เวลาในการปรับตัวอีกระยะหนึ่งจึงจะเข้ารูปเข้ารอย โดยส่วนตัวคาดว่าอีกไม่นานคงจะมีแนวทางปฏิบัติที่ชัดเจนประกาศออกมาจาก IATA ให้กับสายการบินสมาชิกได้นำเอาไปใช้เพื่อให้เป็นไปในแนวทางเดียวกัน ก็คงต้องรอดูกันต่อไปครับ

สุดท้ายนี้ขอขอบคุณผู้อ่านทุกท่านนะครับ หากมีข้อเสนอแนะแลกเปลี่ยนเพิ่มเติม สามารถติดต่อได้ทาง Twitter @JoThailand744 ครับ

—

Reference:
How to Comply with GDPR: Recommendations for the Travel Industry (https://www.altexsoft.com/blog/business/how-to-comply-with-gdpr-recommendations-for-travel-industry/)
Guide to GDPR for Transportation Companies (https://www.willis.com/documents/publications/Industries/Aerospace/GUIDE%20TO%20GDPR%20WITH%20LINKS%20-%20FINAL.pdf)
THE EU GENERAL DATA PROTECTION REGULATION AND INTERNATIONAL AIRLINES – SPECIAL UPDATE, OCTOBER 2017 (http://www.hfw.com/The-EU-General-Data-Protection-Regulation-and-international-airlines-October-2017)