รายการตรวจสอบ GDPR สำหรับโรงแรมบูติก (2026)
รายการตรวจสอบ GDPR และ PDPA สำหรับโรงแรม 20-80 ห้อง: แผนที่ข้อมูล, สัญญา DPA, แจ้งเหตุละเมิดภายใน 72 ชั่วโมง, นโยบายการเก็บรักษาข้อมูล และการยินยอมคุกกี้
โรงแรมขนาด 34 ห้องในเมืองมิวนิกได้รับคำร้องขอเข้าถึงข้อมูลจากแขกในวันอังคารตอนเช้า อีเมลนั้นระบุว่า “ตามมาตรา 15” ผู้จัดการทั่วไปไม่ทราบว่าระบบใดในเก้าระบบของโรงแรมที่เก็บข้อมูลแขก ไม่มีนโยบายการเก็บรักษาข้อมูลที่บันทึกไว้ และไม่มีสัญญาการประมวลผลข้อมูล (DPA) ที่ลงนามแล้วกับผู้จัดการช่องทางการขาย โรงแรมมีเวลา 30 วันในการตอบสนอง ค่าธรรมเนียมทางกฎหมายอยู่ที่ประมาณ 3,400 ยูโร (ประมาณ 128,000 บาท) สำหรับคำร้องที่การตรวจสอบการปฏิบัติตามกฎหมาย 90 นาทีจะทำให้เป็นเรื่องปกติได้
การปฏิบัติตาม GDPR ในโรงแรมขนาดเล็กไม่ได้หมายความว่าต้องสร้างฝ่ายกฎหมาย แต่หมายถึงการเข้าใจพันธกรณีที่เป็นรูปธรรมห้าข้อ การจัดทำแผนที่การไหลของข้อมูล และการมีคำตอบที่บันทึกไว้ก่อนที่แขกจะถาม คู่มือนี้ครอบคลุมสิ่งเหล่านั้นอย่างแม่นยำ: สำหรับสถานประกอบการที่มี 20-80 ห้อง โดยไม่ต้องจ่ายค่าที่ปรึกษา 5,000 ยูโร
ข้อจำกัดความรับผิดชอบ: บทความนี้ให้เพียงแนวทางการปฏิบัติงานเท่านั้น ไม่ถือเป็นคำแนะนำทางกฎหมาย สถานการณ์ของแต่ละสถานประกอบการแตกต่างกัน; สำหรับกรณีเฉพาะ โปรดปรึกษาทนายความด้านการคุ้มครองข้อมูลที่มีคุณสมบัติหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ที่ได้รับการรับรอง
GDPR ต้องการอะไรจากโรงแรม 30 ห้องจริงๆ
กฎระเบียบฟังดูน่ากลัว แต่ในทางปฏิบัติสำหรับโรงแรมขนาดเล็ก มันลดลงเหลือพันธกรณีห้าข้อ:
1. ฐานทางกฎหมายสำหรับทุกกิจกรรมการประมวลผล คุณต้องมีเหตุผลทางกฎหมายที่บันทึกไว้สำหรับข้อมูลแขกแต่ละประเภทที่รวบรวม ข้อมูลการดำเนินงานส่วนใหญ่ (ชื่อ รายละเอียดการจอง ข้อมูลการชำระเงิน) ครอบคลุมโดยการปฏิบัติตามสัญญาภายใต้มาตรา 6(1)(b) อีเมลการตลาดต้องการความยินยอมอย่างชัดแจ้งภายใต้มาตรา 6(1)(a)
2. การจัดทำสินค้าคงคลังและแผนที่ข้อมูล คุณต้องสามารถระบุได้ว่า: คุณมีข้อมูลอะไรบ้าง อยู่ที่ไหน ใครสามารถเข้าถึงได้ เก็บไว้นานแค่ไหน และแชร์กับใคร นี่คือบันทึกกิจกรรมการประมวลผล (RoPA) ของคุณ ที่กำหนดโดยมาตรา 30 ไม่จำเป็นต้องซับซ้อน; สเปรดชีตก็เพียงพอ
3. สัญญาการประมวลผลข้อมูล (DPA) กับผู้ประมวลผลทุกราย ภายใต้ มาตรา 28 ของ GDPR บุคคลที่สามที่ประมวลผลข้อมูลส่วนบุคคลในนามของคุณต้องการ DPA ที่ลงนามแล้ว ซึ่งรวมถึงผู้ให้บริการ PMS, ผู้จัดการช่องทาง, แพลตฟอร์มอีเมล, ผู้ให้บริการ WiFi, เครื่องมือจองห้องพัก และผู้ประมวลผลการชำระเงิน
4. การแจ้งเหตุละเมิดภายใน 72 ชั่วโมง หากข้อมูลส่วนบุคคลถูกละเมิดและการละเมิดมี “แนวโน้มที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา” คุณต้องแจ้งหน่วยงานกำกับดูแลแห่งชาติภายใน 72 ชั่วโมงตาม มาตรา 33 ของ GDPR การพลาดกำหนดเวลานี้เองก็เป็นการละเมิดด้วย
5. ตอบสนองต่อคำร้องขอของเจ้าของข้อมูลภายใน 30 วัน แขกสามารถขอเข้าถึงข้อมูลของตน (มาตรา 15), ขอแก้ไข (มาตรา 16), เรียกร้องให้ลบ (มาตรา 17) หรือขอโอนย้ายข้อมูล (มาตรา 20) คุณมีเวลาหนึ่งเดือนปฏิทินนับจากวันที่ได้รับคำร้องในการตอบสนอง
ตาม GDPR Enforcement Tracker หน่วยงานคุ้มครองข้อมูลจาก 15 ประเทศได้กำหนดโทษปรับ 83 ครั้งในภาคที่พักและการบริการ รวมเป็นเงินประมาณ 22.6 ล้านยูโร
สินค้าคงคลังข้อมูลแขก: ข้อมูลอยู่ที่ไหนจริงๆ
โรงแรม 40 ห้องทั่วไปประมวลผลข้อมูลแขกในอย่างน้อยแปดระบบ:
| ระบบ | ข้อมูลที่เก็บไว้ | ต้องการ DPA? |
|---|---|---|
| ระบบจัดการทรัพย์สิน (PMS) | ชื่อ วันที่ ความชอบ โทเค็นการชำระเงิน หมายเหตุ | ใช่ |
| ผู้จัดการช่องทาง | ข้อมูลการจองจาก OTA (Booking.com, Expedia) | ใช่ |
| เครื่องมือจองห้องพัก | ข้อมูลการจองตรง รายละเอียดบัตรเครดิต | ใช่ |
| เครื่องมืออีเมลมาร์เก็ตติ้ง | ที่อยู่อีเมล บันทึกความยินยอม อัตราการเปิดอ่าน | ใช่ |
| ผู้ประมวลผลการชำระเงิน | ข้อมูลบัตร (tokenized) ประวัติธุรกรรม | ใช่ |
| พอร์ทัล Captive WiFi | ที่อยู่อีเมล ID อุปกรณ์ บันทึกเซสชัน | ใช่ |
| กล้องวงจรปิด (CCTV) | ภาพวิดีโอของแขกในพื้นที่ส่วนกลาง | ใช่ |
| แพลตฟอร์มรีวิว | รีวิวสาธารณะ การตอบกลับการจัดการ | ผู้ควบคุมร่วม |
กล้องวงจรปิดต้องการความสนใจพิเศษ ตาม รายงาน GDPR Enforcement Tracker สำหรับภาคการบริการ การเฝ้าระวังวิดีโอคิดเป็นประมาณสองในสามของค่าปรับทั้งหมดในภาคโรงแรม การละเมิดที่พบบ่อย: กล้องที่ครอบคลุมพื้นที่พนักงานโดยไม่มีการแจ้ง, การเก็บรักษาฟุตเทจนานเกินความจำเป็น, ไม่มีป้ายแจ้งแขก
สำหรับภาพรวมของวิธีที่ PMS เชื่อมต่อกับระบบเทคโนโลยีอื่นๆ ของคุณ ดูคู่มือเทคโนโลยีโรงแรมบูติก
หมายเหตุเกี่ยวกับ PDPA ของไทย: โรงแรมในประเทศไทยที่รับแขกชาวยุโรปอยู่ภายใต้ GDPR สำหรับข้อมูลที่ประมวลผลของผู้ที่พำนักในสหภาพยุโรป และยังอยู่ภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทย ที่บังคับใช้ตั้งแต่ปี 2565 สำหรับข้อมูลของแขกคนอื่นๆ ภาระผูกพันหลักของ PDPA นั้นคล้ายคลึงกัน: ฐานทางกฎหมายสำหรับการประมวลผล, สิทธิของเจ้าของข้อมูล, การแจ้งเหตุละเมิด, และข้อตกลงกับผู้ประมวลผลบุคคลที่สาม โรงแรมที่ดำเนินการในประเทศไทยควรปฏิบัติตามทั้ง GDPR และ PDPA พร้อมกัน เนื่องจากมีโครงสร้างที่คล้ายกันมาก
วิธีจัดการคำร้องขอ “สิทธิที่จะถูกลืม” ของแขกในทางปฏิบัติ
คำตอบสั้น: คุณมีหนึ่งเดือน และต้องลบออกจากทุกระบบในขณะที่เก็บรักษาสิ่งที่กฎหมายกำหนด
ขั้นตอนปฏิบัติตามลำดับ:
ขั้นตอนที่ 1: ตรวจสอบตัวตน ก่อนดำเนินการใดๆ ยืนยันว่าคำร้องมาจากแขกจริงๆ ขอยืนยันหมายเลขการจองหรือที่อยู่อีเมลที่ใช้ในการจอง
ขั้นตอนที่ 2: กำหนดขอบเขตของคำร้อง แขกต้องการลบทุกอย่างหรือแค่ข้อมูลการตลาด? คำร้องขอลบส่วนใหญ่เกิดจากอีเมลการตลาดที่ยังคงส่งมาหลังจากเข้าพัก ชี้แจงก่อนดำเนินการ
ขั้นตอนที่ 3: ตรวจสอบภาระผูกพันในการเก็บรักษาข้อมูล ข้อมูลบางอย่างไม่สามารถลบได้แม้แขกจะขอ บันทึกทางภาษีต้องเก็บรักษาตามระยะเวลาที่กฎหมายกำหนด ในประเทศไทย กรมสรรพากรกำหนดให้เก็บรักษาเอกสารทางบัญชีไว้อย่างน้อย 5 ปี นี่คือภาระผูกพันทางกฎหมายที่มีอยู่เหนือกว่าสิทธิ์ในการลบข้อมูล
ขั้นตอนที่ 4: ลบออกจากทุกระบบ ตรวจสอบทุกระบบในสินค้าคงคลังของคุณ: PMS, เครื่องมืออีเมล, บันทึก WiFi, การติดต่อบนแพลตฟอร์มรีวิว “การลบ” อาจหมายถึงการลบจริงหรือการทำให้ไม่ระบุตัวตน
ขั้นตอนที่ 5: บันทึกการตอบสนอง ภายใต้ มาตรา 17 ของ GDPR คุณต้องตอบสนองภายในหนึ่งเดือนและยืนยันว่าอะไรถูกลบและอะไรถูกเก็บรักษาไว้ (และทำไม) เก็บบันทึกนี้ไว้อย่างน้อยสามปี
เวลาที่ใช้จริงสำหรับโรงแรม 40 ห้องที่จัดทำแผนที่ข้อมูลแล้ว: ประมาณสามชั่วโมง
กฎการแจ้งเหตุละเมิด 72 ชั่วโมง: อะไรนับว่าเป็นการละเมิด
วิธีที่ผิด: ตัดสินใจภายในว่าเหตุการณ์เล็กน้อย “น่าจะไม่สำคัญ” และข้ามการแจ้ง วิธีนี้ล้มเหลวภายใต้ มาตรา 33 ของ GDPR ซึ่งกำหนดเกณฑ์การแจ้งว่า “มีแนวโน้มที่จะส่งผลให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา”, ต่ำกว่ามากกว่า “เราคิดว่ามันสำคัญ”
วิธีที่ถูกต้องคือแผนการตอบสนองต่อการละเมิดที่บันทึกไว้ด้วยกำหนดเวลาการตัดสินใจภายใน 24 ชั่วโมง ไม่ใช่ 72 ชั่วโมง คุณต้องการ 24 ชั่วโมงแรกเพื่อประเมินความรุนแรง จากนั้นอีก 48 ชั่วโมงที่เหลือเพื่อร่างและส่งการแจ้งหากจำเป็น
สถานการณ์ปฏิบัติที่นาฬิกา 72 ชั่วโมงเริ่มต้น:
สถานการณ์ที่ 1: แล็ปท็อปที่มีอีเมลแขกถูกขโมยจากแผนกต้อนรับส่วนหน้า แม้จะมีรหัสผ่านป้องกัน รายชื่ออีเมลแขกที่ไม่ได้เข้ารหัสบนอุปกรณ์ที่หายไปก็ตรงตามเกณฑ์การแจ้ง
สถานการณ์ที่ 2: พนักงานคลิกลิงก์ฟิชชิ่งและผู้โจมตีเข้าถึงบัญชีอีเมลเป็นเวลา 20 นาที หากบัญชีมีการยืนยันการจองของแขก ถือเป็นการละเมิดข้อมูลส่วนบุคคล
สถานการณ์ที่ 3: พบอุปกรณ์ดูดข้อมูลบัตรที่เทอร์มินัลการชำระเงิน สิ่งนี้กระตุ้นทั้งการแจ้ง GDPR และขั้นตอน PCI DSS
ด้านเทคนิคของการตอบสนองต่อการละเมิดถูกครอบคลุมในรายละเอียดในคู่มือความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลของโรงแรม
นโยบายการเก็บรักษาข้อมูล: นานแค่ไหนที่คุณต้อง (และห้าม) เก็บข้อมูลแขก
GDPR ไม่ได้กำหนดระยะเวลาการเก็บรักษาคงที่ แต่กำหนดให้คุณกำหนดด้วยตัวเอง บันทึก และบังคับใช้จริง
ในทางปฏิบัติ โรงแรมดำเนินงานภายใต้ภาระผูกพันการเก็บรักษาหลายชั้นที่ทับซ้อนกัน:
บันทึกภาษีและการบัญชี: กรมสรรพากรไทยกำหนดให้เก็บรักษาเอกสารทางบัญชีไว้อย่างน้อย 5 ปี ใบแจ้งหนี้ที่พักของแขกต้องเก็บรักษาตลอดช่วงเวลานี้แม้จะมีคำร้องขอลบข้อมูล
ข้อมูลการลงทะเบียนแขก: โรงแรมในประเทศไทยมีภาระผูกพันในการรายงานข้อมูลแขกต่างชาติตามกฎหมายตรวจคนเข้าเมือง ระยะเวลาการเก็บรักษาของข้อมูลนี้ถูกกำหนดโดยกฎระเบียบของสำนักงานตรวจคนเข้าเมือง
ฟุตเทจกล้องวงจรปิด: ส่วนใหญ่แนะนำไม่เกิน 30 วันสำหรับการเฝ้าระวังทั่วไปในพื้นที่ส่วนกลาง
ตารางการเก็บรักษาปฏิบัติสำหรับโรงแรม 40 ห้อง:
| ประเภทข้อมูล | ระยะเวลาการเก็บรักษา | ฐานทางกฎหมาย | วิธีการลบ |
|---|---|---|---|
| ใบแจ้งหนี้/เอกสารแขก | 5 ปี (ไทย) | ภาระผูกพันทางภาษี | การเก็บถาวรตามกำหนดเวลา |
| โปรไฟล์แขก (หลังเข้าพัก) | 2 ปี (จากนั้นทำให้ไม่ระบุตัวตน) | ผลประโยชน์อันชอบธรรม | ลบอัตโนมัติใน PMS |
| รายชื่ออีเมลการตลาด | ช่วงที่ใช้งาน + 3 ปีหลังยกเลิก | ความยินยอม | เครื่องมือลบของ ESP |
| ฟุตเทจกล้องวงจรปิด | สูงสุด 30 วัน | ผลประโยชน์อันชอบธรรม | เขียนทับอัตโนมัติ |
| ข้อมูลการลงทะเบียน | ตามกฎหมายท้องถิ่น | ภาระผูกพันทางกฎหมาย | ตามที่กำหนด |
| บันทึกการละเมิด | อย่างน้อย 3 ปี | ภาระผูกพันด้านเอกสาร | ลบอย่างปลอดภัย |
DPA กับผู้ให้บริการเทคโนโลยีของคุณ
สัญญาการประมวลผลข้อมูลคือสัญญาผูกพันตามกฎหมายที่ระบุวิธีที่ผู้ให้บริการประมวลผลข้อมูลส่วนบุคคลในนามของคุณ มาตรา 28 ของ GDPR กำหนดให้ต้องมีสัญญานี้กับผู้ให้บริการทุกรายที่จัดการข้อมูลแขก
โรงแรมบูติกส่วนใหญ่ไม่มี DPA ที่ลงนามแล้วแม้แต่ฉบับเดียว ผู้ให้บริการมีสัญญานี้แน่นอน; แต่โรงแรมไม่เคยลงนาม
ที่ที่จะหาสัญญาเหล่านี้:
ผู้ให้บริการ PMS: Cloudbeds รวม DPA ไว้ในข้อกำหนดมาตรฐาน เข้าถึงได้จากการตั้งค่าบัญชี Mews มี DPA ให้ตามคำร้องผ่านทีมกฎหมาย Little Hotelier และ RoomRaccoon มีข้อกำหนดการประมวลผลข้อมูลในสัญญาบริการ
แพลตฟอร์มการสื่อสารกับแขก: หากคุณใช้ Duve, Akia, Canary Technologies, Guestivo หรือเครื่องมือที่คล้ายกัน ตรวจสอบเว็บไซต์สำหรับลิงก์ DPA หรือขอจากทีมสนับสนุน แพลตฟอร์มเหล่านี้จัดการข้อมูลแขกก่อนมาถึงและการเช็คอินแบบดิจิทัล ดังนั้น DPA จึงจำเป็น
อีเมลมาร์เก็ตติ้ง: Mailchimp, Brevo และ Klaviyo มี DPA แบบบริการตัวเองในการตั้งค่าบัญชี
เครื่องมือความยินยอมคุกกี้: Termly และ OneTrust มีเทมเพลต DPA เป็นส่วนหนึ่งของแพลตฟอร์มการปฏิบัติตามกฎหมาย Termly เริ่มต้นที่ประมาณ 350 บาท/เดือน
ระหว่างการย้ายระบบ PMS ภาระผูกพัน DPA จะโอนไปยังผู้ให้บริการรายใหม่ คู่มือการย้าย PMS ของโรงแรม ครอบคลุมขั้นตอนปฏิบัติในการโอนย้ายข้อมูล
การยินยอมคุกกี้ การวิเคราะห์ และเว็บไซต์โรงแรมของคุณ
หลัง TCF 2.2 “ความยินยอมโดยนัย” ผ่านการเรียกดูต่อไปไม่มีผลภายใต้ GDPR แบนเนอร์คุกกี้ที่สอดคล้องต้อง:
- ปรากฏก่อนที่จะมีการตั้งค่าคุกกี้ที่ไม่จำเป็น
- เสนอปุ่มยอมรับและปฏิเสธที่โดดเด่นเท่ากัน
- ให้ความยินยอมแบบละเอียดตามวัตถุประสงค์ (การวิเคราะห์ การโฆษณา การปรับแต่งส่วนบุคคล)
- อนุญาตให้ถอนความยินยอมได้ง่ายเท่าที่ให้ไป
โรงแรมโครเอเชียถูกปรับ 45,000 ยูโร (ประมาณ 1,700,000 บาท) โดยหน่วยงานคุ้มครองข้อมูลของโครเอเชียโดยเฉพาะสำหรับการประมวลผลที่ไม่ชอบด้วยกฎหมายผ่านคุกกี้โดยไม่มีความยินยอมที่ถูกต้อง
เครื่องมือปฏิบัติ: CookieYes (จากประมาณ 350 บาท/เดือน) และ Cookiebot (จากประมาณ 350 บาท/เดือน) สแกนไซต์ของคุณโดยอัตโนมัติ สร้างแบนเนอร์ที่สอดคล้อง และสร้างนโยบายคุกกี้
การตรวจสอบ GDPR 5 วันสำหรับโรงแรม 40 ห้อง
| วัน | งาน | เวลาโดยประมาณ |
|---|---|---|
| วันที่ 1 | สินค้าคงคลังข้อมูล: แสดงรายการทุกระบบ ข้อมูลที่เก็บไว้ และผู้ที่มีสิทธิ์เข้าถึง | 2-3 ชั่วโมง |
| วันที่ 2 | การตรวจสอบ DPA: ค้นหา ตรวจสอบ และลงนาม DPA กับผู้ประมวลผลทั้งหมด | 2-4 ชั่วโมง |
| วันที่ 3 | นโยบายการเก็บรักษา: กำหนดระยะเวลาสำหรับแต่ละประเภทข้อมูล บันทึก | 1-2 ชั่วโมง |
| วันที่ 4 | แผนการตอบสนองต่อการละเมิด: เอกสารหนึ่งหน้าที่ระบุผู้มีอำนาจตัดสินใจ ผู้ติดต่อหน่วยงาน และเทมเพลตการแจ้ง | 1 ชั่วโมง |
| วันที่ 5 | กระบวนการ DSR + แบนเนอร์คุกกี้: สร้างเทมเพลตการตอบสนองสำหรับคำร้องขอการเข้าถึง/การลบ ติดตั้งเครื่องมือความยินยอมคุกกี้ | 2-3 ชั่วโมง |
รวม: ประมาณ 8-13 ชั่วโมงทำงานสำหรับหนึ่งคน
คำถามที่พบบ่อย
ฉันมีเวลาเท่าไรในการตอบสนองต่อคำร้องขอเข้าถึงข้อมูลของเจ้าของข้อมูล (SAR)? หนึ่งเดือนปฏิทินนับจากวันที่ได้รับคำร้อง ตาม มาตรา 12 ของ GDPR คุณสามารถขยายเวลาได้อีกสองเดือนหากคำร้องซับซ้อน แต่ต้องแจ้งแขกเกี่ยวกับการขยายเวลาภายในเดือนแรก
GDPR ใช้กับโรงแรมของเราหากเราอยู่นอกสหภาพยุโรปหรือไม่? ใช่ หากคุณประมวลผลข้อมูลส่วนบุคคลของผู้มีถิ่นพำนักในสหภาพยุโรป GDPR มีขอบเขตนอกอาณาเขตตามมาตรา 3 หากโรงแรมของคุณปรากฏบน OTA ที่เข้าถึงได้ในสหภาพยุโรปหรือรับการจองจากผู้มีถิ่นพำนักในสหภาพยุโรป GDPR ใช้บังคับ สำหรับโรงแรมในไทย PDPA ยังใช้บังคับสำหรับแขกชาวไทยและผู้มีถิ่นพำนักอื่นๆ นอกสหภาพยุโรป
โทษจริงๆ สำหรับโรงแรมขนาดเล็กคืออะไร? ตาม รายงาน CMS Law เกี่ยวกับ GDPR ในภาคการบริการ โทษส่วนใหญ่ในภาคโรงแรมสำหรับสถานประกอบการขนาดเล็กอยู่ในช่วง 5,000-50,000 ยูโร (ประมาณ 190,000-1,900,000 บาท) ในปี 2567 โรงแรมในเยอรมนีถูกปรับ 16,000 ยูโรสำหรับการเก็บสำเนาบัตรประชาชนของแขกโดยไม่มีฐานทางกฎหมาย
GDPR ครอบคลุมข้อมูลพนักงานด้วยหรือไม่? ใช่ ข้อมูลส่วนบุคคลของพนักงานอยู่ภายใต้ GDPR เช่นเดียวกับข้อมูลแขก ในประเทศไทย PDPA ยังครอบคลุมข้อมูลพนักงานด้วย สัญญาจ้างงาน บัญชีเงินเดือน ฟุตเทจกล้องวงจรปิดในพื้นที่พนักงาน บัญชีอีเมลพนักงาน: ทั้งหมดเป็นข้อมูลส่วนบุคคลที่อยู่ภายใต้หลักการเดียวกัน
จะเกิดอะไรขึ้นหากแขกร้องขอลบข้อมูลที่ฉันต้องเก็บรักษาตามกฎหมาย? คุณสามารถปฏิเสธการลบสำหรับหมวดหมู่ข้อมูลนั้นโดยอ้างภาระผูกพันทางกฎหมาย คุณต้องแจ้งแขกเป็นลายลักษณ์อักษรเกี่ยวกับฐานทางกฎหมายเฉพาะสำหรับการเก็บรักษา ลบทุกอย่างที่คุณไม่ได้ถูกกำหนดตามกฎหมายให้เก็บรักษา
เราเป็นผู้ควบคุมร่วมกับ OTA เช่น Booking.com หรือไม่? ซับซ้อน คณะกรรมการคุ้มครองข้อมูลยุโรป (EDPB) ได้ออกคำแนะนำว่าโรงแรมและ OTA อาจเป็นผู้ควบคุมร่วมในกิจกรรมการประมวลผลบางอย่าง Booking.com มีข้อกำหนดการประมวลผลข้อมูลของตัวเองสำหรับโรงแรม; ตรวจสอบอย่างละเอียดเพราะคุณแบ่งปันความรับผิดชอบสำหรับข้อมูลที่รวบรวมผ่านแพลตฟอร์ม OTA
โรงแรมขนาดเล็กส่วนใหญ่จะไม่ถูกปรับ เหตุผลปฏิบัติในการปฏิบัติตามกฎหมายคือ เมื่อแขกยกระดับปัญหา คุณต้องการคำตอบใน 48 ชั่วโมง ไม่ใช่อยู่ในวังวนแห่งความตื่นตระหนก
เขียนโดย Maciej Dudziak
หัวข้อ