数据保护政策

介绍

  1. 在开展澳门皇家赌场(大学,我们,我们)的业务时,我们都创建,收集,存储和处理各种数据主题的大量数据,例如学生(潜在的,现在的和前者的),员工,客户/供应商和公众。我们对个人数据的使用范围从闭路电视录像,与商业客户的金融交易,到整个旅程中处理学生的详细信息,从申请到毕业,再到他们成为校友。
  2. 我们创建/收集和处理的一些数据将包括敏感性质的个人和/或特殊类别的数据(即:有关数据主体的种族或民族血统,政治观点,宗教信仰,工会活动,身体或精神的数据健康或性生活)。还可以处理与刑事定罪或犯罪有关的数据。
  3. 随着我们对数据的记录和使用的不断增加,大学工作人员的每一位成员都了解与数据保护和工作人员责任相关的法律,以确保数据得到法律保护和保护,这一点比以往任何时候都更为重要。
  4. 数据保护是大学整体信息安全安排的重要组成部分。必须根据商定的政策安全可靠地处理所有信息。除了良好做法外,一些数据集还受外部立法的约束,因此工作人员在处理大学信息和数据时必须认识到这两类数据。
  5. 数据保护法已在英国存在多年,数据保护法(1998)是当前的迭代。从2018年5月25日起,与数据保护有关的主要立法将是一般数据保护条例(gdpr)。
  6. 当大学处理员工,学生和其他个人的个人数据时,它被定义为gdpr用途的数据控制者。此政策旨在确保大学根据gdpr处理个人数据。
  7. gdpr适用于与法规中定义的“个人数据”相关的所有与生活个体相关的描述。个人被称为“数据主体”。有关所用术语的进一步定义,请参阅信息专员网站(ico.org.uk)上的指南。
  8. gdpr规定了大学的义务及其处理个人数据的方式。反过来,大学的工作人员和学生有责任确保公平,合法和安全地处理个人数据。这意味着只有在我们拥有有效的处理条件(例如从数据主体获得的同意或与他们签订合同)的情况下才能处理个人数据,并且我们已向相关个人提供有关我们如何以及为何处理其信息的信息(即隐私声明)。我们可以对个人数据进行限制,例如将个人信息传递给第三方,在欧盟以外传输信息或将其用于直接营销。
  9. 大学致力于在处理个人数据方面保护个人的权利和自由。

政策目的

  1. 该政策规定了大学,其员工和学生的责任,以充分遵守gdpr的规定。它附有一份清单和指向其他相关政策的链接以及数据保护指导手册,该手册提供有关数据保护和数据安全不同方面的信息和指导。该政策及其相关政策和指导手册构成了员工和学生应该运作的框架,以确保遵守数据保护立法。

范围

  1. 该政策适用于所有员工和学生,以及通过大学的任何活动创建,收集,存储和/或处理的所有个人数据项,包括所有学校,部门和专业服务。

背景

数据保护原则

  1. 大学必须遵守gdpr中规定的六项数据保护原则,这意味着必须公平地收集和使用信息,安全地存储信息,而不是非法地向任何其他人公开。六项原则是:

a)个人数据应以合法,公平和透明的方式处理(“合法,公平,透明”)。

b)个人数据应按指定,明确和合法的目的收集,不得以任何不符合这些目的的方式进一步处理。允许进行存档,科学或历史研究或统计目的的进一步处理(“目的限制”)

c)个人数据应足够,相关并且限于与处理目的相关的必要数据(“数据最小化”)。

d)个人数据应准确,并在必要时保持最新(“准确性”)。

e)为任何目的处理的个人数据的保存时间不得超过为此目的所需的时间(“存储限制”)。

f)个人数据的处理方式应采用适当的技术或组织措施(“完整性和保密性”),确保适当的安全性,包括防止未经授权或非法处理以及意外丢失,破坏或损坏。

个人资料

  1. 个人数据是关于活人的信息,可以从该信息中识别出来,或者当与大学持有或可能获得的其他数据结合时,可以从该信息中识别出来。 gdpr还单独提及个人数据的“特殊类别”,其中包括特别敏感的个人信息,如健康详情,种族或族裔或宗教信仰。有关个人数据的进一步信息和指导,包括个人数据的“特殊类别”的完整列表,在数据保护指南手册的第3节中提供。
  2. “处理数据”的定义包括获取/收集,记录,保存,存储,组织,调整,对齐,复制,传输,组合,阻止,擦除和销毁信息或数据。它还包括对信息或数据进行任何操作或操作,包括检索,咨询,使用和披露。
  3. 作为数据控制者,大学仍然负责控制其收集的个人数据,即使该数据后来传递到另一个组织或存储在其他组织或个人拥有的系统或设备上(包括由其他组织或个人拥有的设备)。员工)。
  4. 开发新项目或流程或修改现有流程的员工需要将数据保护作为此流程的一部分考虑在内,如果该活动被视为侵入个人隐私的高风险,则可能需要执行数据保护影响评估(见下文第xii节)。
  5. 如果发生数据保护违规,通常必须在发现违规行为后72小时内向信息专员办公室报告。

相关政策

  1. 有许多大学政策包含与数据安全相关的条款,例如关于使用大学计算机和社交媒体网络的政策。如果政策之间存在冲突,则gdpr的条款优先,政策应予以解释,以便实施最能反映gdpr目标的条款。如果存在任何无法解决的歧义,应咨询数据保护官员。

政策

该政策载于以下各节:

一世。一般

II。数据安全

III。数据保留

IV。处理和同意的条件

v。隐私声明

六。加工活动记录

七。孩子

八。研究

九。主题访问请求和数据主题权限

X。数据共享

十一。在欧盟以外转移个人数据

十二。数据保护影响评估和设计数据保护

十三。直销

十四。个人数据泄露

十五。不遵守的影响

一世。一般

  1. 大学负责证明遵守六项数据保护原则(见第12段)。
  2. 遵守gdpr,遵守这些原则是大学所有成员的责任。任何故意违反本政策的行为都可能导致采取纪律处分,取消大学设施,甚至刑事起诉。
  3. 大学需要记录其数据处理活动,作为个人信息处理和共享以及现有保留和安全措施的摘要。有关这些记录的更多信息,请参阅vi处理活动记录。

II。数据安全

22.所有大学用户的个人数据必须确保他们所持有的所有个人数据都得到安全保存。他们必须确保不会以任何形式意外或以其他方式向任何未经授权的第三方披露。数据安全应根据大学使用大学计算机和社交网络的政策进行。以上提供了这些政策的链接,数据安全指南包含在数据保护指南手册的第4部分中。

III。数据保留

  1. 大学内的各个领域负责确保他们持有和管理的信息的适当保留期。保留期将根据法律和监管要求,部门和良好做法指导来确定。 jisc高等教育商业分类计划和记录保留时间表(http://bcs.jiscinfonet.ac.uk/he/default.asp)提供了有用的指导来源。
  2. 个人数据必须保留一段时间,以便进行收集处理所需的时间。一旦不再需要信息,就应该安全处理。纸质记录应以保密废物的形式撕碎或处理,并应永久删除电子记录。
  3. 如果数据完全匿名化,那么从数据保护的角度来看,存储没有时间限制(见第59段)。

IV。处理和同意的条件

  1. 为使其合法且适合大学处理个人数据,必须至少满足下列条件之一:

a)数据主体已经同意

b)由于合同需要处理

c)由于法律义务,这是必要的

d)有必要保护某人的重要利益(即生死攸关的情况)

e)为履行公共利益或行使控制权所赋予的官方权力而执行的任务是必要的。

f)控制者或第三方的合法利益是必要的,并且不会干扰数据主体的权利和自由(公共当局在履行其公共任务时不能使用这一条件)。

  1. 所有由大学进行的个人数据处理必须符合上述一个或多个条件。此外,处理“特殊类别”的个人数据需要根据gdpr第9条满足更多,更严格的条件。处理有关刑事定罪或违法行为的个人数据,必须符合第10条gdpr条款。
  2. 该大学是一家私人资助的慈善机构,因此不属于gdpr目的的公共权力定义范围。通过市场营销筹集资金是合法的利益,包括直接营销和筹款活动。大学可以联系潜在的,现在的和以前的学生,以进行直接营销和筹款。大学还可以联系已表达兴趣或已通过公开作为潜在捐赠者或客户的信息识别的个人。这意味着大学可以使用其根据本政策收集的个人数据,与个人联系,了解他们已经注册的事件,他们购买的产品(或为他们购买的产品),有关课程的提醒,告诉他们不时提供大学的产品,并为批准的项目筹集资金。直接营销传播可以通过社交媒体渠道,电子邮件,帖子或大学选择的其他方式提供。
  3. 每当收集将直接用于个人营销目的的数据时,大学应说明是否将数据用于直接营销目的。必须为个人提供随时选择接收这些直接营销传播的机会。
  4. 如果数据主体告诉我们他们不希望我们接收任何进一步的直接营销,大学不应该为了直接营销的目的进一步联系他们。但是,如果大学认为有必要为了其他合法目的保留个人数据(例如因为有必要管理合同或因为这是法律要求),大学不一定会从其数据库中删除他们的个人数据。
  5. 对于某些活动,大学可能需要个人的特定同意才能处理他们的数据。
  6. 同意被定义为“任何自由,具体,知情和明确的数据主体愿望的指示,通过声明或其他明确的肯定行动,表示同意处理与他或她有关的个人数据”。 gdpr澄清沉默,预先勾选的框或不活动不构成同意。
  7. 任何提供同意的人都有权随时撤销其同意,并且必须被告知该权利。撤销同意的过程必须保持简单,并且不应该比首先给予同意的过程更繁琐。
  8. 有关获得同意的更多信息,请参阅数据保护指南手册的第5部分。

v。隐私声明

  1. 根据第一个数据保护原则的“公平和透明”要求,大学需要向数据主体提供“隐私通知”,以便让他们知道它对个人数据的作用。
  2. 隐私声明在大学网站上公布,因此可以通过与大学的第一次联系点向个人提供。任何超出大学隐私声明范围的个人数据处理都需要单独的隐私声明,并且应事先通知数据保护官员提议的活动,以确保此类处理符合本政策和gdpr。
  3. 有关哪些信息应包含在隐私声明中的更多信息,请参见数据保护指南手册的第5部分。

六。加工活动记录

  1. 作为数据控制者,大学需要保留处理活动的记录,其中包括大学开展的所有个人数据处理。除其他事项外,此记录包含有关处理个人数据的原因,持有信息的个人类型,与谁共享个人信息以及何时将个人信息传输到欧盟以外国家的详细信息。
  2. 开展涉及使用现有处理活动记录之一未涵盖的个人数据的新活动的工作人员应通知数据保护官员(david.watson@buckingham.ac.uk)在开始新活动之前。

七。孩子

  1. 根据gdpr,有一些限制适用于处理与儿童有关的个人信息。虽然大学一般不处理儿童的数据,但有时可能需要这样做。如果认为有必要在大学的任何学校或部门处理儿童的个人数据,则应在处理活动之前咨询数据保护官员,以确保采取必要措施确保此类处理符合gdpr。

八。研究

  1. 为研究目的收集的数据由gdpr涵盖。为研究或咨询目的收集数据的工作人员必须在任何数据收集表格中纳入适当形式的同意。
  2. 数据保护指南手册第6节提供了有关数据保护和研究的进一步信息和指导。

九。主题访问请求和数据主题权限

  1. gdpr使数据主体有权访问大学所掌握的个人信息。主体访问请求的目的是允许个人确认个人数据的准确性并检查处理的合法性,以允许他们在必要时行使更正或异议的权利。但是,个人可以要求查看大学持有的有关他们的任何信息,其中包括提及他们的电子邮件通信副本或对他们表达的意见。
  2. 大学必须回应所有个人信息请求,并且通常会在请求之日起30天内免费提供信息。
  3. 根据gdpr的主题访问条款,可以向他们所撰写的人披露参考资料。这包括大学从外部来源收到的参考资料以及内部提供和接收的机密参考资料(例如,作为晋升和晋升程序的一部分)。为了保密和防止未经授权的信息泄露,工作人员不应提供参考,除非对作为参考对象的人表示同意。
  4. 大学不需要披露考试脚本,但学生有权访问脚本上注释的任何标记或注释。学生有权获得课程作业和考试成绩。未发表的商标必须在主题访问请求的5个月内披露。
  5. 有关处理主题访问请求的信息和指导可以在数据保护指南手册的第7节中找到。
  6. 数据主体在gdpr下拥有许多其他权利。这些包括:
  • 对象权 - 数据主体有权反对特定类型的处理,包括直接营销处理。数据主体需要证明反对与其特定情况相关的处理的理由,除非直接营销是绝对权利(参见关于直接营销的第xiii节)。在线服务必须提供自动的反对方法。在某些情况下,为了公共利益的研究或统计目的,可能会对此权利进行豁免。
  • 被遗忘的权利(擦除) - 个人有权在某些情况下删除其数据,例如,为了收集目的而不再需要数据,个人撤回同意或信息被非法处理。如果擦除不可能或严重损害研究目标的实现,则可以对科学或历史研究目的或统计目的进行豁免。个人可以要求控制者“限制”数据处理,同时解决投诉(例如,关于准确性)或处理是非法的。
  • 与自动决策和分析相关的权利 - 该权利涉及可能对个人产生重大影响的自动决策或分析。分析是处理数据以评估,分析或预测行为或其行为,偏好或身份的任何特征。个人有权不受仅基于自动化处理的决定的约束。在使用分析时,必须采取措施以确保服务的安全性和可靠性。基于敏感数据的自动决策只能在明确同意的情况下完成。
  • 纠正权 - 要求控制人纠正所持有的个人数据不准确的权利。在某些情况下,如果个人数据不完整,个人可以要求控制者完成数据,或记录补充声明。
  • 可移植性 - 数据主体有权请求有关它们的信息以结构化,常用和机器可读的形式提供,因此可以将其发送到另一个数据控制器。这仅适用于通过自动化方式处理的个人数据(不是纸质记录);数据主体提供给控制器的个人数据,并且仅在基于同意或合同进行处理时。
  1. 权利的可获得性在很大程度上取决于处理的法律依据。下表总结了权利何时可用。
法律理由 权利:
宾语 擦除 自动决策 纠正 可移植性
同意 不(但可以撤回同意) 不(但可以撤回同意)
合同 没有 没有
法律义务 没有 没有 没有 没有
重要的利益 没有 没有 没有
公共任务 没有 没有
合法利益 没有

 

  1. 任何提出援引上述任何权利的请求必须在收到请求后一个月内及时处理。如果员工在遵守请求时遇到任何困难,应咨询数据保护官员以获取建议。如果请求复杂或数量众多,有必要在收到请求后一个月内通知个人并解释为何需要延期,可以将合规时间再延长两个月。

X。数据共享

  1. 在将个人数据与第三方共享之前或在使用外部数据处理器代表大学处理数据之前,需要满足某些条件。
  2. 作为一般规则,个人数据不应传递给第三方,特别是如果它涉及特殊类别的个人数据。但在某些情况下允许或必要。任何个人数据的转移都必须符合数据处理原则,特别是对于有关数据主体而言必须是合法和公平的(见第12段)。更具体地说:
  • 它必须符合其中一个处理条件(见第iv部分)。转移数据的正当理由(例如法律要求);
  • 大学必须确信第三方将满足gdpr的所有要求,特别是在安全地保存信息方面;
  • 如果第三方代表大学处理个人数据,则必须制定书面合同,其中包含适当的数据保护措施。
  1. 如果工作人员签订涉及共享或处理个人数据的新合同,或者他们对现有合同中的数据保护措施有任何疑虑,则应与数据保护官员协商。
  2. 从第三方(如亲属,警察,地方议会等)收到个人信息请求的工作人员,应查阅有关第三方个人信息请求的数据保护指导手册第9节。

十一。在欧盟以外转移个人数据

  1. 个人数据只能在某些情况下转移出欧盟。 gdpr列出了应该考虑的因素,以确保对数据提供足够的保护,以及可以导出数据的一些豁免。在许多情况下,大学将需要数据主体的同意才能将个人信息转移出欧盟。
  2. 在互联网上发布的信息必须被视为欧盟以外的数据输出。这包括存储在云中的数据,除非服务提供商明确保证数据存储仅在欧盟内部进行。目前,该大学没有利用欧盟以外的任何云存储。
  3. 在通过可能涉及个人数据的网络使用外部计算资源或服务之前,应咨询信息专员办公室关于使用云计算的指导。
  4. 参与将个人数据传输到其他国家的工作人员应参阅数据保护指导手册第10节。

十二。数据保护影响评估和设计数据保护

  1. 根据gdpr,大学有义务在所有处理活动中考虑对个人隐私的影响。这包括实施适当的技术和组织措施,以最大限度地降低违反gdpr的风险。
  2. 在考虑新的处理活动或建立涉及个人数据的新程序或系统时,考虑隐私问题尤为重要。 gdpr强制要求在流程的设计阶段和相关数据处理的整个生命周期中实施适当的技术和组织措施,以确保数据的隐私和保护不是经过深思熟虑的。
  3. 有关可用于降低与处理个人数据相关风险(包括匿名化和假名化)的技术的更多信息,请参阅设计和默认数据保护数据保护指南手册的第12部分。
  4. 对于某些项目,gdpr要求执行数据保护影响评估(dpia)。需要时的情况类型包括:涉及处理大量个人数据的情况,有自动处理/分析,处理特殊类别的个人数据或监测公共可评估区域(即中央电视台)。 dpia是一种机制,用于识别和检查新举措的影响,并采取措施尽量减少或降低风险。关于何时以及如何执行dpia的信息可以在数据保护影响评估数据保护指南手册的第11节中找到。

十三。直销

  1. 直接营销涉及针对个人的广告或营销材料的通信(不论媒体),例如用于筹集资金,广告课程等的邮件。个人必须有机会从用于直接营销目的的名单或数据库中删除自己。如果个人要求营销停止,大学必须停止直接营销活动。
  2. 直接营销还必须遵守2003年的隐私和电子通信(ec指令)法规(pecr)2,其中包括通过电话,短信和电子邮件进行营销。有关直接营销和pecr的更多信息,请参阅数据保护指南手册的第13节。

十四。个人数据泄露

  1. 大学负责确保我们持有的个人数据的适当和相称的安全性。这包括保护数据免受未经授权或非法处理以及数据的意外丢失,破坏或损坏。大学必须尽一切努力避免个人数据泄露,但有时可能会出现错误。常见个人数据泄露的例子包括:
  • 丢失或被盗数据或设备,数据存储或可访问;
  • 不当访问控制允许未经授权的使
  • 设备故障;
  • 未经授权的披露(例如发送给错误收件人的电子邮件)
  • 人为错误;和
  • 无法维护有效的防火墙,导致成功的黑客攻击。
  1. 如果发生数据保护违规,大学需要在大多数情况下尽快向信息专员办公室报告,并且不得迟于知悉后72小时。
  2. 如果学生或工作人员意识到数据保护违规,他们必须立即向数据保护官员报告。有关如何报告违规行为的详细信息以及所需信息包含在个人数据泄露数据保护指南手册的第14节中。

十五。不遵守的影响

  1. 大学的所有员工和学生都必须遵守此数据保护政策,其支持指南和gdpr中规定的要求。任何被发现未经授权披露个人信息或违反本政策条款的员工或学生可能会受到纪律处分。如果工作人员未经大学同意而出于自身目的而故意或罔顾后果地获取和/或披露个人信息,这些信息超出了大学的合法目的,他们也可能承担刑事责任。
  2. 该大学可能因违反gdpr而被罚款。根据侵权类型,有两级罚款。关于罚款的进一步信息见数据保护指南手册第15节。

 

大学联系

  1. 该大学的数据保护官是大卫沃森,其联系方式如下:

电子邮件: david.watson@buckingham.ac.uk

电话:01268 820 383

地址:数据保护官,澳门皇家赌场,白金汉mk18 1eg

  1. 首先,应向数据保护官员提出所有与数据保护有关的进一步信息或指导的询问或要求。