Definitions
To be translated
การคุ้มครองข้อมูลส่วนบุคคล (Data Protection) หรือการรักษาความเป็นส่วนตัวของข้อมูลส่วนบุคคล (Information Privacy)
การประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามหลักการ บทบัญญัติแห่งกฎหมายที่กำหนดไว้ ซึ่งรวมถึงหลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness and Transparency) หลักการจำกัดด้วยวัตถุประสงค์ (Purpose Limitation) หลักการมีข้อมูลให้น้อยที่สุดเท่าที่จำเป็น (Data Minimization) หลักความถูกต้องของข้อมูลส่วนบุคคล (Accuracy) หลักการเก็บรักษาอย่างจำกัด (Storage Limitation) หลักการรักษาความถูกต้องสมบูรณ์และการรักษาความลับ (Integrity and Confidentiality) หลักความรับผิดชอบ (Accountability) และหลักการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights) เป็นต้น โดยหลักการเหล่านี้ตั้งอยู่บนพื้นฐานการรักษาความมั่นคงปลอดภัยของข้อมูล (Security)
ข้อมูลส่วนบุคคล (Personal Data)
ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ทั้งรูปแบบอิเล็กทรอนิกส์ กระดาษ หรือสื่ออื่นใด ไม่ว่าทางตรงหรือทางอ้อม ซึ่งรวมถึงข้อมูลส่วนบุคคลของผู้รับบริการ ผู้เข้าร่วมการวิจัย นักศึกษา บุคลากร ผู้มาติดต่อ และผู้บริจาค แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
ข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัวโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้ในการเลือกปฏิบัติอย่างไม่เป็นธรรม จึงจำเป็นต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวมาตร (Biometric Data) หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน
การประมวลผลข้อมูล (Data Processing)
การดำเนินการหรือ ชุดการดำเนินการใดๆ ซึ่งกระทำต่อข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือการทำลาย
เจ้าของข้อมูลส่วนบุคคล (Data Subject)
บุคคลที่ข้อมูลเหล่านั้นบ่งชี้ไปถึง เช่น ผู้รับบริการ ผู้เข้าร่วมการวิจัย นักศึกษา บุคลากร ผู้มาติดต่อ และผู้บริจาค เป็นต้น
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในนโยบายฉบับนี้ กำหนดให้ มหาวิทยาลัยมหิดล เป็นผู้ควบคุมข้อมูลส่วนบุคคลของทั้งมหาวิทยาลัย โดยมีคณะแพทยศาสตร์ศิริราชพยาบาล เป็นผู้ควบคุมข้อมูลส่วนบุคคลของส่วนงานคณะแพทยศาสตร์ศิริราชพยาบาล ภายใต้การกำกับของมหาวิทยาลัยมหิดล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับ การประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ในนโยบายฉบับนี้ กำหนดให้ บุคคลหรือนิติบุคคลภายนอกมหาวิทยาลัยมหิดลที่ได้รับมอบหมายให้ประมวลผลข้อมูล เป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามนิยามนี้
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)
บุคคล กลุ่มบุคคล หรือนิติบุคคลที่ได้รับการแต่งตั้งโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อทำหน้าที่ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 42 หรือบทบัญญัติที่เกี่ยวข้อง ซึ่งมหาวิทยาลัยมหิดลกำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย
แหล่งอ้างอิง
- พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 (PDF)
- แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 3.0 (Thailand Data Protection Guidelines 3.0) จัดทำโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
- International Association of Privacy Professionals (IAPP) Glossary