2.1 การคุ้มครองข้อมูลส่วนบุคคล (Data Protection) หรือการรักษาความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Information Privacy) หมายถึง การประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามหลักการ บทบัญญัติแห่งกฎหมายที่กำหนดไว้ ซึ่งรวมหลักต่าง ๆ ดังนี้
2.1.1 หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness and Transparency)
2.1.2 หลักการจำกัดด้วยวัตถุประสงค์ (Purpose Limitation) : ไม่ถูกใช้นอกเหนือวัตถุประสงค์
2.1.3 หลักการมีข้อมูลให้น้อยที่สุดเท่าที่จำเป็น (Data Minimization) : เก็บเท่าที่เพียงพอ ไม่มากเกินความจำเป็น
2.1.4 หลักความถูกต้องของข้อมูลส่วนบุคคล (Accuracy) : ต้องถูกเก็บอย่างแม่นยำ และอัปเดตให้ทันสมัยอยู่เสมอ
2.1.5 หลักการเก็บรักษาอย่างจำกัด (Storage Limitation) : ต้องมีระยะเวลาการจัดเก็บที่จำกัด และไม่นานเกินความจำเป็น
2.1.6 หลักการรักษาความถูกต้องสมบูรณ์และการรักษาความลับ (Integrity and Confidentiality) : ต้องถูกประมวลผลโดยคำนึงถึงความมั่นคงปลอดภัย ผ่านการใช้เทคโนโลยีที่
เหมาะสม
2.1.7 หลักความรับผิดชอบ (Accountability) : ต้องรับผิดชอบดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
2.1.8 หลักการคุ้มครองสิทธิของเจ้าของข้อมลูส่วนบุคคล (Data Subject Rights) : มีทั้งหมด 9 สิทธิ ดังนี้ สิทธิขอเพิกถอนความยินยอม, สิทธิขอเข้าถึงข้อมูลของตน,
สิทธิขอรับและโอนย้ายข้อมูลของตน, สิทธิขอแก้ไขข้อมูล, สิทธิขอคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล, สิทธิขอให้ระงับการใช้ข้อมูล, สิทธิขอร้องเรียน,
สิทธิขอให้ลบหรือทำลายข้อมูลของตน และ สิทธิขอได้รับแจ้งให้ทราบ
2.1.9 หลักการเหล่านี้ต้องอยู่บนพื้นฐานการรักษาความมั่นคงปลอดภัยของข้อมูล (Security)
2.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลเกี่ยวกับบุคคล ทั้งรูปแบบอิเล็กทรอนิกส์ กระดาษหรือสืออื่นใด ซึ่งทำให้สามารถระบุตัวบุคคลนั้น ได้ ไม่ว่าทางตรงหรือทางอ้อม ซึ่งรวมถึงข้อมูลส่วนบุคคลของผู้รับบริการ ผู้เข้าร่วมการวิจัย นักศึกษา บุคลากร ผู้มาติดต่อ และผู้บริจาค แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
2.3 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) หมายถึง ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวัง เป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธ์ุ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมลู สุขภาพ ความพิการ ข้อมลู พันธุกรรมข้อมูลชีวมาตร (Biometric Data) หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
2.4 การประมวลผลข้อมูล (Data Processing) หมายถึง การดำเนินการ หรือ ชุดการดำเนินการใด ๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึกจัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลง หรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวาง หรือ ผสมเข้าด้วยกัน การจำกัด การลบ หรือ การทำลาย
2.5 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลที่ข้อมูลเหล่านัั้น บ่งชี้ไปถึง เช่น ผู้รับบริการผ้เูข้าร่วมการวิจัย นักศึกษา บุคลากร ผ้มูาติดต่อ และผู้บริจาค เป็นต้น
2.6 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในนโยบายฉบับนี้ หมายถึงมหาวิทยาลัยมหิดล เป็นผู้ควบคุม ข้อมูลส่วนบุคคลของทั้งมหาวิทยาลัย โดยมีคณะแพทยศาสตร์ศิริราชพยาบาล เป็นผ้คูวบคุมข้อมลูส่วนบุคคลของส่วนงานคณะแพทยศาสตร์ศิริราชพยาบาล ภายใต้การกำกับของมหาวิทยาลัยมหิดล
2.7 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การประมวลผลข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้บุคคล หรือ นิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ในนโยบายฉบับนี้ หมายถึง บุคคล หรือ นิติบุคคลภายนอกมหาวิทยาลัยมหิดล ที่ได้รับมอบหมายให้ประมวลผลข้อมูล เป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามนิยามนี้
2.8 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หมายถึง บุคคล กลุ่มบุคคล หรือ นิติบุคคล ที่ได้รับการแต่งตั้ง โดยผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อทำหน้าที่ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 42 หรือบทบัญญัติที่เกี่ยวข้อง ซึ่งมหาวิทยาลัยมหิดลกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย
2.9 บุคลากร หมายถึง บุคคลทุกประเภทการจ้างงาน หรือได้รับการแต่งตั้ง ให้ปฏิบัติงานในคณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล
2.10 นักศึกษา หมายถึง นักศึกษาทุกระดับชั้น รวมถึง แพทย์ประจำบ้าน แพทย์ประจำบ้านต่อยอด แพทย์ผู้เชี่ยวชาญเฉพาะทาง (เฟลโลว์) และแพทย์ต่างชาติที่เข้ามารับการฝึกอบรม
2.11 หน่วยงาน หมายถึง หน่วยงานภายใต้สังกัดคณะแพทยศาสตร์ศิริราชพยาบาล รวมถึงโรงพยาบาลศิริราชปิยมหาราชการุณย์ และศูนย์การแพทย์กาญจนาภิเษก
2.12 คณะฯ หมายถึง คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล