กำลังโหลด...

แนวทางปฏิบัติในการเก็บเอกสารข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงาน ณ ศูนย์การค้า

แนวทางปฏิบัติในการเก็บเอกสารข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงาน ณ ศูนย์การค้า

เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พระราชบัญญัติ”) บริษัท ซีพี แอ็กซ์ตร้า จำกัด (มหาชน) (“บริษัท”) จึงได้จัดทำแนวทางปฏิบัติในการจัดเก็บเอกสารที่ปรากฏข้อมูลส่วนบุคคลของลูกค้า พนักงานประจำ/ พนักงานชั่วคราวของบริษัท พนักงานหรือตัวแทนของผู้จัดหาสินค้า พนักงานหรือตัวแทนของบริษัทผู้ให้บริการขนส่งสินค้า พนักงานของร้านค้าผู้เช่าพื้นที่ รวมถึงบุคคลอื่นใดที่เข้ามาใช้บริการภายในบริเวณพื้นที่ศูนย์การค้าของบริษัท รวมถึงพื้นที่จอดรถ พื้นที่รับ-ส่งสินค้า หรือบริเวณอื่นใดที่อยู่ภายใต้ความควบคุมดูแลของบริษัท

วัตถุประสงค์ เพื่อให้พนักงานของบริษัท ผู้มีหน้าที่เกี่ยวข้องในการจัดเก็บ ใช้ ประมวลผล รวมถึงส่งต่อเอกสารข้อมูลส่วนบุคคลดังกล่าวตระหนักถึงวิธีการในการปฏิบัติตน การเก็บรักษาข้อมูลดังกล่าว เพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคล การเข้าถึงหรือนำไปใช้ซึ่งเอกสารข้อมูลส่วนบุคคลโดยผู้ไม่มีอำนาจ ซึ่งอาจนำมาสู่การที่บริษัทถูกลงโทษ เนื่องจากการฝ่าฝืนข้อกำหนดในพระราชบัญญัติ

หน่วยงานเป้าหมาย ทุกหน่วยงานที่ปฏิบัติงานอยู่ภายในศูนย์การค้าของบริษัทในทุก Platforms (Hypermarket, Supermarket, Go Fresh Mini Supermarket) (รวมเรียกว่า “ศูนย์การค้า”) รวมถึงพนักงานที่ทำหน้าที่ขนส่งสินค้าไปสู่ศูนย์การค้า หรือขนส่งสินค้าจากศูนย์การค้าถึงลูกค้า

คำนิยาม

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่สามารถระบุไปถึงตัวตนของบุคคลธรรมดาคนใดคนหนึ่งได้ ไม่ว่าจะเป็นพนักงาน ลูกค้า หรือบุคคลธรรมดาอื่นใด ทั้งโดยตรงหรือโดยอ้อม เช่น ชื่อ-สกุล เบอร์โทรศัพท์ ที่อยู่ อีเมล เลขบัตรประจำตัว ข้อมูลบันทึกที่ใช้ในการติดตามตรวจสอบกิจกรรมของบุคคล ข้อมูลตำแหน่งที่อยู่ ทะเบียนรถยนต์/จักรยานยนต์ เป็นต้น

“เอกสารข้อมูลส่วนบุคคล” หมายถึง เอกสารใด ๆ ซึ่งปรากฏข้อมูลส่วนบุคคล เช่น ใบบันทึกการส่งของของพนักงาน สำเนาบัตรประชาชน สำเนาทะเบียนบ้าน ใบสมัครสมาชิกมายโลตัสที่ลูกค้ากรอกข้อมูลแล้ว ใบกำกับภาษี เอกสารประกอบการคืนสินค้า เอกสารรับสินค้า เอกสารรายชื่อพนักงานส่งสินค้า ใบปะหน้า คำบันทึกการให้การ เอกสารลงทะเบียนเข้าศูนย์การค้า เป็นต้น

 

 

หลักการทั่วไป:

1. ท่านจะต้องจัดให้มีพื้นที่ในศูนย์การค้าที่สามารถปิดล็อคได้ เพื่อใช้สำหรับจัดเก็บเอกสารข้อมูลส่วนบุคคล โดยจะต้องพิจารณาให้พื้นที่ดังกล่าว เป็นพื้นที่เฉพาะซึ่งสามารถจำกัดบุคคลที่เข้าถึงยังพื้นที่ดังกล่าวได้ และ ควรจัดให้มีกล้องวงจรปิดครอบคลุมบริเวณดังกล่าว (ถ้ามี)

2. ในการจัดเก็บเอกสารข้อมูลส่วนบุคคล ท่านจะต้องคว่ำหน้าเอกสารด้านที่บันทึกข้อมูลส่วนบุคคลลง กรณีหากไม่สามารถหลีกเลี่ยงได้ ท่านจะต้องปะหน้าเอกสารส่วนบุคคลดังกล่าวด้วยเอกสารเปล่า หรือจัดใส่ซองเอกสารทันทีเมื่อใช้เอกสารข้อมูลส่วนบุคคลแล้วเสร็จ

3. ท่านจะต้องดูแล ไม่ให้เอกสารส่วนบุคคลอยู่ในบริเวณที่สามารถมองเห็นได้โดยทั่วไป ท่านจะต้องพิจารณาว่าเอกสารข้อมูลส่วนบุคคลจะถูกใช้งานเฉพาะกลุ่มพนักงานที่มีความจำเป็นจะต้องให้เอกสารข้อมูลส่วนบุคคลดังกล่าวในการปฏิบัติหน้าที่เพื่อบริษัทเท่านั้น

4. หมั่นตรวจสอบเอกสารข้อมูลส่วนบุคคลอยู่เสมอ กรณีหากไม่มีความจำเป็นจะต้องใช้เอกสารข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป หรือเอกสารข้อมูลส่วนบุคคลดังกล่าวล่วงพ้นระยะเวลาการเก็บรักษาข้อมูลตามแนวทางปฏิบัติฉบับนี้ หรือนโยบายการจัดเก็บข้อมูล ท่านจะต้องทำลายเอกสารดังกล่าว ด้วยเครื่องทำลายเอกสาร หรือการฉีกทำลายเอกสารข้อมูลส่วนบุคคลทิ้ง

5. นอกจากเอกสารที่จำเป็นจะต้องบันทึกข้อมูลส่วนบุคคล ท่านจะต้องไม่จดบันทึกข้อมูลส่วนบุคคลของลูกค้าลงเอกสารใด ๆ และพิจารณาเก็บเอกสารส่วนบุคคลเท่าที่มีความจำเป็นและสามารถระบุวัตถุประสงค์ที่แน่นอนได้เท่านั้น

6. กรณีหากท่านพบเห็น หรือมีเหตุอันควรสงสัยว่าข้อมูลส่วนบุคคล หรือเอกสารข้อมูลส่วนบุคคล หายหรือมีการเปิดเผยไปยังบุคคลผู้ไม่มีส่วนเกี่ยวข้องในการใช้งานข้อมูลส่วนบุคคลดังกล่าว ท่านจะต้องรายงานไปยังผู้จัดการของท่าน หรือรายงานมายัง สายตรงโปร่งใส

ตัวอย่างเหตุอันควรรายงานเหตุการณ์ด้านข้อมูล

· กรณีท่านรับทราบว่าเอกสารข้อมูลส่วนบุคคลหาย

· กรณีที่มีการวางเอกสารข้อมูลส่วนบุคคลไว้ในสถานที่ที่ไม่ปลอดภัย หรือสถานที่ที่อาจเข้าถึงได้ทั่วไป

· การให้เอกสารข้อมูลส่วนบุคคลให้กับลูกค้า หรือพนักงานผิดราย

7. แจ้งลูกค้าหรือคู่ค้าหรือบุคคลที่มาติดต่อ ผู้ซึ่งนำส่งสำเนาบัตรประชาชนให้ขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ศาสนา หมู่โลหิต ที่ปรากฏอยู่บนสำเนาบัตรดังกล่าว ให้ไม่สามารถมองเห็นได้ ก่อนนำส่งสำเนาหรือเอกสารดังกล่าวด้วย เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครองข้อมูลส่วนบุคคลของบริษัท

สถานที่และระยะเวลาในการจัดเก็บเอกสารข้อมูลส่วนบุคคล (ไม่รวมถึงเอกสารข้อมูลส่วนบุคคลพนักงาน)

หน่วยงานรับผิดชอบ

เอกสารข้อมูลส่วนบุคคล

ข้อควรปฏิบัติ/ สถานที่ในการจัดเก็บ

ระยะเวลาการเก็บเอกสาร

Customer

สำเนาบัตรประชาชน (กรณีซื้อ Gift card เกิน 100,000 บาท)

-    เมื่อลูกค้าซื้อ Gift card ที่มีมูลค่าเกินกว่า 100,000 บาทลูกค้าจะต้องกรอกแบบฟอร์มยืนยันตัวตน พร้อมแนบสำเนาบัตรประจำตัวประชาชน โดยปฏิบัติตามข้อ 7 (การขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลที่มีความอ่อนไหว) หรือแนบสำเนาหนังสือรับรองบริษัทกรณีเป็นนิติบุคคล เอกสารดังกล่าวจะต้องเก็บไว้ในซองเอกสาร ณ บริเวณจุดบริการลูกค้า และเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้

กรณีภายหลังจากส่งข้อมูล เข้าระบบ เอกสารข้อมูลส่วนบุคคลจะเก็บไว้ในบริเวณที่ล็อคเป็นเวลา 1 ปี

ใบกำกับภาษี และเอกสารประกอบในกรณีออกใบกำกับภาษีผิด

-  เก็บเอกสารใบกำกับภาษีและเอกสารประกอบกรณีออกใบกำกับภาษีผิด ในซองเอกสาร หรือแฟ้มเอกสารและเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้ หรือเก็บเข้าในห้องการเงินทุกสิ้นเดือน (หากมี)

จัดเก็บไว้ในสถานที่ล็อคเป็นระยะเวลา 7 ปี ภายหลังจากวันที่มีการดำเนินธุรกรรม

Mall

เอกสารสัญญา และเอกสารประกอบการลงนามสัญญา เช่น สำเนาบัตรประชาชนผู้เช่า, สำเนาทะเบียนบ้าน

-  สัญญาฉบับจริงและเอกสารประกอบสัญญาจะต้องเก็บไว้ในห้องปฏิบัติงานของ Mall Manager ซึ่งจำกัดเฉพาะพนักงาน Mall จะสามารถเข้าถึงได้ โดยห้องดังกล่าวจะต้องล็อคตลอดเวลา และ ควรจัดให้มีกล้อง CCTV ครอบคลุมพื้นที่ดังกล่าวเสมอ (ถ้ามี)

 

- หากยังไม่ได้มีการจัดชุดเอกสารสัญญา และนำเข้าตู้ให้เรียบร้อย เอกสารดังกล่าวจะต้องจัดวางไว้โดยการคว่ำหน้าเอกสารด้านทีมีการระบุข้อมูลส่วนบุคคลไว้ด้านล่าง
เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลที่ไม่เกี่ยวข้อง หรือการบันทึกภาพของกล้อง
CCTV

สัญญาเอกสารประกอบสัญญาให้เก็บไว้ ณ บริเวณที่ล็อคในห้อง Mall เป็นระยะเวลา 1 ปี นับแต่วันที่สัญญาเช่าพื้นที่ดังกล่าวล่วงพ้น

 

ภายหลังจากนั้นจะต้องพิจารณาทำลายเอกสารดังกล่าว หรือ พิจารณาและพบว่าสัญญาดังกล่าวมีความเสี่ยงสูงต่อการฟ้องร้องเป็นคดีความ ให้ส่งมอบให้เก็บในโกดังเก็บเอกสารอีกเป็นระยะเวลา 10 ปี

SS&R

รายงานเหตุการณ์ /อุบัติเหตุ และเอกสารประกอบรายงาน เช่น สำเนาบัตรประชาชนผู้เช่า

- เนื่องจากทีม SS&R ได้มีการจัดทำระบบบันทึกข้อมูลรายงานเหตุการณ์และอุบัติเหตุ บันทึกการสอบสวนรวมทั้งเอกสารข้อมูลประกอบลงในระบบออนไลน์ จึงขอให้ผู้ปฏิบัติงานไม่ดำเนินการเก็บเอกสารดังกล่าว

 

- กรณีมีความจำเป็นจะต้องจัดเก็บเอกสารดังกล่าว พนักงานผู้เกี่ยวข้องจะต้องจัดเอกสารให้อยู่ในแฟ้มในห้อง SS&R ที่มีการปิดล็อค และสามารถเข้าถึงได้โดยพนักงานผู้เกี่ยวข้องเท่านั้น ทั้งนี้ ต้องจัดให้มีกล้องวงจรปิดที่ครอบคลุมพื้นที่ห้อง SS&R

-กรณี SS&R พัฒนาระบบในการจัดเก็บเอกสารดังกล่าวแล้ว ทางSS&R ประจำศูนย์การค้าจะต้องดำเนินการทำลายเอกสารฉบับจริงทันทีที่มีการ
อัพโหลดไฟล์เอกสารลงในระบบ

-กรณีเอกสารข้อมูลส่วนบุคคลที่สำคัญ สามารถใช้เป็นหลักฐานในการดำเนินคดี หรือสามารถพิสูจน์ด้วยวิธีการทางศาลได้ให้จัดเก็บเอกสารดังกล่าวไว้ในที่ล็อค ณ ห้องจัดเก็บข้อมูลที่สามารถเข้าถึงได้เฉพาะพนักงานของโลตัส จนกว่าล่วงพ้นระยะเวลา 1 ปี นับแต่คดีความ หรือข้อร้องเรียนดังกล่าวเป็นที่ยุติ

อย่างไรก็ตาม หากพิจารณาว่าคดี/ข้อร้องเรียนดังกล่าวยังคงมีความเสี่ยงต่อการโดนร้องเรียน/ฟ้องร้องต่อเนื่อง ท่านอาจพิจารณาเก็บเอกสารข้อมูลส่วนบุคคลต่อไปได้เท่าที่มีความจำเป็นและสามารถระบุวัตถุประสงค์และระยะเวลาการจัดเก็บได้อย่างแน่ชัด

บันทึกการสอบสวนและเอกสารประกอบ เช่นสำเนาบัตรประชาชน

Go Fresh Mini Supermarket

เอกสารการส่งคืนสินค้า และเอกสารประกอบ

- ในการส่งคืนสินค้า เพื่อยืนยันตัวตนในบางกรณีลูกค้าอาจจะต้องนำส่งเอกสารสำเนาบัตรประชาชน และเอกสารข้อมูลส่วนบุคคลอื่นประกอบการคืนสินค้า พนักงานจะต้องจัดเก็บเอกสารดังกล่าวในซองเอกสาร หรือแฟ้มเอกสารและเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้ หรือเก็บเข้าในห้องการเงินทุกสิ้นเดือน (หากมี)

จัดเก็บไว้ในสถานที่ล็อคเป็นระยะเวลา 5 ปี ภายหลังจากวันที่มีการดำเนินธุรกรรม

Online

เอกสารขนส่งสินค้า GHS
(Delivery note) หรือ

เอกสารรายการสินค้า (Picking list)

เอกสาร ขนส่งสินค้าจะมีอยู่เฉพาะในบางศูนย์การค้าที่มีการจัดส่งสินค้า Online โดยทีมงาน Online GHS จะมีพื้นที่สำหรับปฏิบัติงาน อยู่ในพื้นที่เปิดโล่งบริเวณ Back stock

-  พนักงานจะต้องจัดเก็บเอกสารดังกล่าวในซองเอกสาร หรือแฟ้มเอกสารและเก็บซองเอกสารดังกล่าวไว้ในบริเวณที่สามารถล็อคได้ กรณีหาพื้นที่จำกัด ให้จัดเก็บเอกสารลังในกล่องหรือลัง โดยคว่ำหน้าด้านที่มีข้อมูลส่วนบุคคลลง

-    หากทีม online มีการพัฒนาระบบในการแจ้งข้อมูลการขนส่งสินค้า ทางทีมอาจพิจารณายกเลิกการจัดเก็บเอกสารขนส่งสินค้าดังกล่าว

จัดเก็บไว้ในสถานที่ล็อคเป็นระยะเวลา 7 ปี ภายหลังจากดำเนินธุรกรรมแล้วเสร็จ

เอกสารอีเมลยืนยันสำหรับ light delivery

การปรับปรุง: แนวทางปฏิบัติฉบับนี้จัดทำขึ้นในวันที่ 1 มิ.ย. 2564 และมีการปรับปรุงล่าสุดวันที่ 30 กันยายน 2565 ทั้งนี้ แนวทางปฏิบัตินี้อาจมีการเปลี่ยนแปลงไปตามความเหมาะสม

Privacy Team,
Business Integrity, CP Axtra Public Co., Ltd.

การขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลส่วนบุคคลที่มีความอ่อนไหว

เนื่องจากสำเนาและ/หรือภาพถ่ายบัตรประจำตัวประชาชน รวมถึงเอกสารแสดงตัวตน อาจมีข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) เช่น ศาสนา หมู่โลหิต ปรากฏอยู่บนสำเนาและ/หรือภาพถ่ายเอกสารดังกล่าว ซึ่งบริษัท ไม่มีวัตถุประสงค์และนโยบายในการเก็บรวมรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Data) ของคู่ค้า พันธมิตรทางธุรกิจ และ/หรือ ผู้เช่าพื้นที่ ที่ปรากฏอยู่บนเอกสารดังกล่าวแต่อย่างใด

ดังนั้น จึงขอเรียนแจ้งและขอความร่วมมือจากทุกท่านให้ทำการขีดฆ่าด้วยการถมดำเพื่อปิดข้อมูลข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)ดังกล่าว ให้ไม่สามารถมองเห็นได้ ก่อนนำส่งสำเนาหรือเอกสารดังกล่าวด้วยเพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และนโยบายคุ้มครอง




ดาวน์โหลด คลิกที่นี่