แนวทางปฏิบัติในการเก็บเอกสารข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงาน ณ ศูนย์การค้า
แนวทางปฏิบัติในการเก็บเอกสารข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงาน ณ ศูนย์การค้า
เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พระราชบัญญัติ”) บริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) (“บริษัท”) จึงได้จัดทำแนวทางปฏิบัติในการจัดเก็บเอกสารที่ปรากฏข้อมูลส่วนบุคคลของลูกค้า พนักงานประจำ/ พนักงานชั่วคราวของบริษัท พนักงานหรือตัวแทนของผู้จัดหาสินค้า พนักงานหรือตัวแทนของบริษัทผู้ให้บริการขนส่งสินค้า พนักงานของร้านค้าผู้เช่าพื้นที่ รวมถึงบุคคลอื่นใดที่เข้ามาใช้บริการภายในบริเวณพื้นที่ศูนย์การค้าของบริษัท รวมถึงพื้นที่จอดรถ พื้นที่รับ-ส่งสินค้า หรือบริเวณอื่นใดที่อยู่ภายใต้ความควบคุมดูแลของบริษัท
วัตถุประสงค์ เพื่อให้พนักงานของบริษัท ผู้มีหน้าที่เกี่ยวข้องในการจัดเก็บ ใช้ ประมวลผล รวมถึงส่งต่อเอกสารข้อมูลส่วนบุคคลดังกล่าวตระหนักถึงวิธีการในการปฏิบัติตน การเก็บรักษาข้อมูลดังกล่าว เพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคล การเข้าถึงหรือนำไปใช้ซึ่งเอกสารข้อมูลส่วนบุคคลโดยผู้ไม่มีอำนาจ ซึ่งอาจนำมาสู่การที่บริษัทถูกลงโทษ เนื่องจากการฝ่าฝืนข้อกำหนดในพระราชบัญญัติ
หน่วยงานเป้าหมาย ทุกหน่วยงานที่ปฏิบัติงานอยู่ภายในศูนย์การค้าของบริษัทในทุก Platforms (Hypermarket, Supermarket, Go Fresh Mini Supermarket) (รวมเรียกว่า “ศูนย์การค้า”) รวมถึงพนักงานที่ทำหน้าที่ขนส่งสินค้าไปสู่ศูนย์การค้า หรือขนส่งสินค้าจากศูนย์การค้าถึงลูกค้า
คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่สามารถระบุไปถึงตัวตนของบุคคลธรรมดาคนใดคนหนึ่งได้ ไม่ว่าจะเป็นพนักงาน ลูกค้า หรือบุคคลธรรมดาอื่นใด ทั้งโดยตรงหรือโดยอ้อม เช่น ชื่อ-สกุล เบอร์โทรศัพท์ ที่อยู่ อีเมล เลขบัตรประจำตัว ข้อมูลบันทึกที่ใช้ในการติดตามตรวจสอบกิจกรรมของบุคคล ข้อมูลตำแหน่งที่อยู่ ทะเบียนรถยนต์/จักรยานยนต์ เป็นต้น
“เอกสารข้อมูลส่วนบุคคล” หมายถึง เอกสารใด ๆ ซึ่งปรากฏข้อมูลส่วนบุคคล เช่น ใบบันทึกการส่งของของพนักงาน สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน ใบสมัครสมาชิกมายโลตัสที่ลูกค้ากรอกข้อมูลแล้ว ใบกำกับภาษี เอกสารประกอบการคืนสินค้า เอกสารรับสินค้า เอกสารรายชื่อพนักงานส่งสินค้า ใบปะหน้า คำบันทึกการให้การ เอกสารลงทะเบียนเข้าศูนย์การค้า เป็นต้น
|
หลักการทั่วไป:
1. ท่านจะต้องจัดให้มีพื้นที่ในศูนย์การค้าที่สามารถปิดล็อคได้ เพื่อใช้สำหรับจัดเก็บเอกสารข้อมูลส่วนบุคคล โดยจะต้องพิจารณาให้พื้นที่ดังกล่าว เป็นพื้นที่เฉพาะซึ่งสามารถจำกัดบุคคลที่เข้าถึงยังพื้นที่ดังกล่าวได้ และ ควรจัดให้มีกล้องวงจรปิดครอบคลุมบริเวณดังกล่าว (ถ้ามี)
2. ในการจัดเก็บเอกสารข้อมูลส่วนบุคคล ท่านจะต้องคว่ำหน้าเอกสารด้านที่บันทึกข้อมูลส่วนบุคคลลง กรณีหากไม่สามารถหลีกเลี่ยงได้ ท่านจะต้องปะหน้าเอกสารส่วนบุคคลดังกล่าวด้วยเอกสารเปล่า หรือจัดใส่ซองเอกสารทันทีเมื่อใช้เอกสารข้อมูลส่วนบุคคลแล้วเสร็จ
3. ท่านจะต้องดูแล ไม่ให้เอกสารส่วนบุคคลอยู่ในบริเวณที่สามารถมองเห็นได้โดยทั่วไป ท่านจะต้องพิจารณาว่าเอกสารข้อมูลส่วนบุคคลจะถูกใช้งานเฉพาะกลุ่มพนักงานที่มีความจำเป็นจะต้องให้เอกสารข้อมูลส่วนบุคคลดังกล่าวในการปฏิบัติหน้าที่เพื่อบริษัทเท่านั้น
4. หมั่นตรวจสอบเอกสารข้อมูลส่วนบุคคลอยู่เสมอ กรณีหากไม่มีความจำเป็นจะต้องใช้เอกสารข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป หรือเอกสารข้อมูลส่วนบุคคลดังกล่าวล่วงพ้นระยะเวลาการเก็บรักษาข้อมูลตามแนวทางปฏิบัติฉบับนี้ หรือนโยบายการจัดเก็บข้อมูล ท่านจะต้องทำลายเอกสารดังกล่าว ด้วยเครื่องทำลายเอกสาร หรือการฉีกทำลายเอกสารข้อมูลส่วนบุคคลทิ้ง
5. นอกจากเอกสารที่จำเป็นจะต้องบันทึกข้อมูลส่วนบุคคล ท่านจะต้องไม่จดบันทึกข้อมูลส่วนบุคคลของลูกค้าลงเอกสารใด ๆ และพิจารณาเก็บเอกสารส่วนบุคคลเท่าที่มีความจำเป็นและสามารถระบุวัตถุประสงค์ที่แน่นอนได้เท่านั้น
6. กรณีหากท่านพบเห็น หรือมีเหตุอันควรสงสัยว่าข้อมูลส่วนบุคคล หรือเอกสารข้อมูลส่วนบุคคล หายหรือมีการเปิดเผยไปยังบุคคลผู้ไม่มีส่วนเกี่ยวข้องในการใช้งานข้อมูลส่วนบุคคลดังกล่าว ท่านจะต้องรายงานไปยังผู้จัดการของท่าน หรือรายงานมายัง สายตรงโปร่งใส
ตัวอย่างเหตุอันควรรายงานเหตุการณ์ด้านข้อมูล
· กรณีท่านรับทราบว่าเอกสารข้อมูลส่วนบุคคลหาย
· กรณีที่มีการวางเอกสารข้อมูลส่วนบุคคลไว้ในสถานที่ที่ไม่ปลอดภัย หรือสถานที่ที่อาจเข้าถึงได้ทั่วไป
· การให้เอกสารข้อมูลส่วนบุคคลให้กับลูกค้า หรือพนักงานผิดราย
7. แจ้งลูกค้าหรือคู่ค้าหรือบุคคลที่มาติดต่อ ผู้ซึ่งนำส่งสำเนาบัตรประชาชนให้ขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ศาสนา หมู่โลหิต ที่ปรากฏอยู่บนสำเนาบัตรดังกล่าว ให้ไม่สามารถมองเห็นได้ ก่อนนำส่งสำเนาหรือเอกสารดังกล่าวด้วย เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท
สถานที่และระยะเวลาในการจัดเก็บเอกสารข้อมูลส่วนบุคคล (ไม่รวมถึงเอกสารข้อมูลส่วนบุคคลพนักงาน)
หน่วยงานรับผิดชอบ |
เอกสารข้อมูลส่วนบุคคล |
ข้อควรปฏิบัติ/
สถานที่ในการจัดเก็บ |
ระยะเวลาการเก็บเอกสาร |
Customer |
สำเนาบัตรประชาชน (กรณีซื้อ Gift card เกิน 100,000 บาท) |
-
เมื่อลูกค้าซื้อ Gift card ที่มีมูลค่าเกินกว่า 100,000
บาทลูกค้าจะต้องกรอกแบบฟอร์มยืนยันตัวตน พร้อมแนบสำเนาบัตรประจำตัวประชาชน
โดยปฏิบัติตามข้อ 7 (การขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลที่มีความอ่อนไหว)
หรือแนบสำเนาหนังสือรับรองบริษัทกรณีเป็นนิติบุคคล
เอกสารดังกล่าวจะต้องเก็บไว้ในซองเอกสาร ณ บริเวณจุดบริการลูกค้า
และเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้ |
กรณีภายหลังจากส่งข้อมูล เข้าระบบ
เอกสารข้อมูลส่วนบุคคลจะเก็บไว้ในบริเวณที่ล็อคเป็นเวลา 1 ปี |
ใบกำกับภาษี และเอกสารประกอบในกรณีออกใบกำกับภาษีผิด |
-
เก็บเอกสารใบกำกับภาษีและเอกสารประกอบกรณีออกใบกำกับภาษีผิด
ในซองเอกสาร หรือแฟ้มเอกสารและเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้
หรือเก็บเข้าในห้องการเงินทุกสิ้นเดือน (หากมี) |
จัดเก็บไว้ในสถานที่ล็อคเป็นระยะเวลา 7 ปี ภายหลังจากวันที่มีการดำเนินธุรกรรม |
|
Mall |
เอกสารสัญญา และเอกสารประกอบการลงนามสัญญา เช่น
สำเนาบัตรประชาชนผู้เช่า, สำเนาทะเบียนบ้าน |
-
สัญญาฉบับจริงและเอกสารประกอบสัญญาจะต้องเก็บไว้ในห้องปฏิบัติงานของ
Mall Manager ซึ่งจำกัดเฉพาะพนักงาน
Mall จะสามารถเข้าถึงได้
โดยห้องดังกล่าวจะต้องล็อคตลอดเวลา และ ควรจัดให้มีกล้อง CCTV ครอบคลุมพื้นที่ดังกล่าวเสมอ (ถ้ามี) -
หากยังไม่ได้มีการจัดชุดเอกสารสัญญา
และนำเข้าตู้ให้เรียบร้อย
เอกสารดังกล่าวจะต้องจัดวางไว้โดยการคว่ำหน้าเอกสารด้านทีมีการระบุข้อมูลส่วนบุคคลไว้ด้านล่าง
|
สัญญาเอกสารประกอบสัญญาให้เก็บไว้ ณ บริเวณที่ล็อคในห้อง Mall เป็นระยะเวลา
1 ปี นับแต่วันที่สัญญาเช่าพื้นที่ดังกล่าวล่วงพ้น ภายหลังจากนั้นจะต้องพิจารณาทำลายเอกสารดังกล่าว หรือ พิจารณาและพบว่าสัญญาดังกล่าวมีความเสี่ยงสูงต่อการฟ้องร้องเป็นคดีความ
ให้ส่งมอบให้เก็บในโกดังเก็บเอกสารอีกเป็นระยะเวลา 10 ปี |
SS&R |
รายงานเหตุการณ์ /อุบัติเหตุ และเอกสารประกอบรายงาน เช่น
สำเนาบัตรประชาชนผู้เช่า |
-
เนื่องจากทีม SS&R ได้มีการจัดทำระบบบันทึกข้อมูลรายงานเหตุการณ์และอุบัติเหตุ
บันทึกการสอบสวนรวมทั้งเอกสารข้อมูลประกอบลงในระบบออนไลน์
จึงขอให้ผู้ปฏิบัติงานไม่ดำเนินการเก็บเอกสารดังกล่าว -
กรณีมีความจำเป็นจะต้องจัดเก็บเอกสารดังกล่าว
พนักงานผู้เกี่ยวข้องจะต้องจัดเอกสารให้อยู่ในแฟ้มในห้อง SS&R ที่มีการปิดล็อค
และสามารถเข้าถึงได้โดยพนักงานผู้เกี่ยวข้องเท่านั้น ทั้งนี้
ต้องจัดให้มีกล้องวงจรปิดที่ครอบคลุมพื้นที่ห้อง SS&R |
-กรณี SS&R พัฒนาระบบในการจัดเก็บเอกสารดังกล่าวแล้ว ทางSS&R
ประจำศูนย์การค้าจะต้องดำเนินการทำลายเอกสารฉบับจริงทันทีที่มีการ อย่างไรก็ตาม
หากพิจารณาว่าคดี/ข้อร้องเรียนดังกล่าวยังคงมีความเสี่ยงต่อการโดนร้องเรียน/ฟ้องร้องต่อเนื่อง
ท่านอาจพิจารณาเก็บเอกสารข้อมูลส่วนบุคคลต่อไปได้เท่าที่มีความจำเป็นและสามารถระบุวัตถุประสงค์และระยะเวลาการจัดเก็บได้อย่างแน่ชัด |
บันทึกการสอบสวนและเอกสารประกอบ เช่นสำเนาบัตรประชาชน |
|||
Go Fresh Mini Supermarket |
เอกสารการส่งคืนสินค้า และเอกสารประกอบ |
- ในการส่งคืนสินค้า
เพื่อยืนยันตัวตนในบางกรณีลูกค้าอาจจะต้องนำส่งเอกสารสำเนาบัตรประชาชน
และเอกสารข้อมูลส่วนบุคคลอื่นประกอบการคืนสินค้า พนักงานจะต้องจัดเก็บเอกสารดังกล่าวในซองเอกสาร
หรือแฟ้มเอกสารและเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้ หรือเก็บเข้าในห้องการเงินทุกสิ้นเดือน
(หากมี) |
จัดเก็บไว้ในสถานที่ล็อคเป็นระยะเวลา 5 ปี
ภายหลังจากวันที่มีการดำเนินธุรกรรม |
Online |
เอกสารขนส่งสินค้า
GHS เอกสารรายการสินค้า (Picking
list) |
เอกสาร
ขนส่งสินค้าจะมีอยู่เฉพาะในบางศูนย์การค้าที่มีการจัดส่งสินค้า Online โดยทีมงาน Online
GHS จะมีพื้นที่สำหรับปฏิบัติงาน อยู่ในพื้นที่เปิดโล่งบริเวณ Back
stock - พนักงานจะต้องจัดเก็บเอกสารดังกล่าวในซองเอกสาร
หรือแฟ้มเอกสารและเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้ กรณีหาพื้นที่จำกัด
ให้จัดเก็บเอกสารลังในกล่องหรือลัง โดยคว่ำหน้าด้านที่มีข้อมูลส่วนบุคคลลง - หากทีม online มีการพัฒนาระบบในการแจ้งข้อมูลการขนส่งสินค้า
ทางทีมอาจพิจารณายกเลิกการจัดเก็บเอกสารขนส่งสินค้าดังกล่าว |
จัดเก็บไว้ในสถานที่ล็อคเป็นระยะเวลา 7 ปี
ภายหลังจากดำเนินธุรกรรมแล้วเสร็จ |
เอกสารอีเมลยืนยันสำหรับ light delivery |
การปรับปรุง: แนวทางปฏิบัติฉบับนี้จัดทำขึ้นในวันที่ 1 มิ.ย. 2564 และมีการปรับปรุงล่าสุดวันที่ 30 กันยายน 2565 ทั้งนี้ แนวทางปฏิบัตินี้อาจมีการเปลี่ยนแปลงไปตามความเหมาะสม
Privacy Team,
Business Integrity, CP Axtra Public Co., Ltd.
การขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลส่วนบุคคลที่มีความอ่อนไหว
เนื่องจากสำเนาและ/หรือภาพถ่ายบัตรประจำตัวประชาชน รวมถึงเอกสารแสดงตัวตน อาจมีข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ศาสนา หมู่โลหิต ปรากฏอยู่บนสำเนาและ/หรือภาพถ่ายเอกสารดังกล่าว ซึ่งบริษัท ไม่มีวัตถุประสงค์และนโยบายในการเก็บรวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data) ของคู่ค้า พันธมิตรทางธุรกิจ และ/หรือ ผู้เช่าพื้นที่ ที่ปรากฏอยู่บนเอกสารดังกล่าวแต่อย่างใด
ดังนั้น จึงขอเรียนแจ้งและขอความร่วมมือจากทุกท่านให้ทำการขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)ดังกล่าว ให้ไม่สามารถมองเห็นได้ ก่อนนำส่งสำเนาหรือเอกสารดังกล่าวด้วยเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครอง