数据保护政策

介绍

  1. 在承接澳门赌场商(大学,我们,我们),我们都创建,收集,存储和处理大量数据的各种数据等学科对学生(包括潜在的,现任和前任)员工,客户/供应商和市民。我们的个人数据的使用范围从闭路电视录像,以商业客户的金融交易通过对处理学生的详细信息,在他们的旅程,从应用程序通过毕业了以后,当他们成为校友。
  2. 一些我们创造的数据/收集和处理包括个人和/或特殊类别的敏感性质的数据(即:数据涉及数据对象的种族或民族,政治观点,宗教信仰,工会活动,身体或心理健康或性生活)。数据也可以被处理有关犯罪记录或违法行为。
  3. 作为我们的记录和使用数据的不断增加,这是比以往任何时候,大学每一位员工了解有关数据保护,并确保数据的工作人员责任的法律被固定在符合法律的保护更为重要。
  4. 数据保护是该大学的整体信息安全安排的重要组成部分。所有信息必须安全地按照商定的政策进行处理。除了良好的实践中,有些数据集是受到外部立法和至关重要的是,工作人员在他们处理的大学信息和数据识别两个类别。
  5. 数据保护法,在英国已经存在了很多年的数据保护法案(1998年)是当前迭代。从5月25日2018年,关于数据保护的主要立法将是一般的数据保护规则(gdpr)。
  6. 作为大学处理的工作人员,学生和其他人的个人数据,它被定义为gdpr的目的,数据控制器。该政策旨在确保学校按照gdpr处理个人数据。
  7. 在gdpr适用于与所有的数据和描述的法规“个人数据”定义,个人生活。个体被称为“数据对象”。对于使用请参见上的信息专员的网站(ico.org.uk)指导方面的进一步定义。
  8. 在gdpr放在大学的义务和它的方式处理个人数据。反过来大学的教职员工和学生都有责任确保个人数据公平的处理,合法和安全。这意味着,如果我们有处理的有效条件(资料当事人,或与他们的合同获得如同意)的个人数据只能处理,我们所提供的信息为个人关心如何以及为什么我们处理他们的信息(IE隐私声明)。还有什么,我们允许个人数据做如传递的个人信息提供给第三方,欧盟以外的传送信息或将其用于直销的限制。
  9. 这所大学致力于以尊重保护个人权利和自由的他们的个人数据的处理。

政策的目的

  1. 该政策规定了学校的职责,其工作人员和学生与gdpr的规定完全符合。它是伴随着一个列表,并链接到其他,相关政策和数据保护的指导手册,提供有关数据保护和数据安全的不同方面的信息和指导。这一政策,其相关的政策和指导手册,形成从员工和学生应操作,以确保遵守数据保护法的框架。

范围

  1. 该政策适用于所有员工和学生,以及已创建,收集,存储和/或处理,通过大学的任何活动,包括跨所有学校,部门和专业服务的各个领域的个人数据的所有项目。

背景

保障资料原则

  1. 这所大学必须遵守数据保护的六项原则作为gdpr,这意味着信息必须收集和使用相当,安全地存储并没有透露给任何其他人非法放下。六大原则是:

一个)的个人数据应被合法地处理,公平和以透明的方式(“合法,公平性和透明度”)。

b)中的个人数据应被收集用于特定的,明确的和合法的目的,而不是与那些目的不相容的任何方式被进一步处理。用于存档,科学或历史研究或统计的目的进一步的处理是允许(“目的限制”)

三)个人资料应充分,相关限制到什么有关,这就是它处理的目的(“数据最小化”)必要的。

d)个人数据应当准确并在必要时随时更新(“精度”)。

E)为任何目的处理的个人数据不应被保持时间超过必要时间用于该目的(“存储限制”)。

F)的个人数据应以确保适当的安全性,包括防止未经授权的或非法的处理和防止意外丢失,破坏或损坏的保护,使用合适的技术或组织的措施(“完整性和机密性”)的方式进行处理。

个人资料

  1. 个人数据是有关生命的个体,谁是从该信息,或者谁在与该大学无论是持有还是有可能获得其他数据相结合,可以从这些信息来识别身份信息。 gdpr还分别指的是个人数据,其中包括特别敏感的个人信息,如健康信息,种族或民族或宗教信仰的“特殊类别”。进一步的信息和个人资料,包括个人资料的“特殊类别”的完整列表的指导,在数据保护指导手册的第3节提供。
  2. “处理数据”包括:获得/收集,记录,保持,存储,组织,适应,对准,复制,传输,结合,阻断,消除,破坏的信息或数据的定义。它也包括进行任何操作或上的信息或数据,包括检索,协商,使用和公开中的操作。
  3. 大学,作为数据控制器,仍然负责其收集即使该数据随后传递到另一个组织或存储在其他组织或个人(包括成员个人拥有的设备所拥有的系统或设备上的个人数据的控制员工)。
  4. 人员开发新的项目或流程或修改现有流程需要考虑数据保护考虑作为这一过程的一部分,可能需要进行数据保护的影响评估,如果活动被认为是入侵的高风险到个人的隐私(见第XII)的下方。
  5. 在事件有一个数据保护违反本通常会有犯规被发现后,将不迟于72小时报告给信息专员办公室。

相关政策

  1. 有一些包含是相关的数据的安全性,例如在使用大学的计算机和网络社会化媒体的政策规定,大学政策。那里是政策之间有冲突,gdpr的规定,优先考虑和政策应解释为落实最能反映gdpr的目的的规定。如果不能得到解决任何歧义的数据保护官员应进行协商。

政策

该政策载于以下几个部分:

一世。一般

II。数据安全

III。数据保留

IV。处理和同意的条件

诉隐私声明

六。的处理活动记录

七。孩子

八。研究

九。主题访问请求和数据主体的权利

X。数据共享

十一。欧盟以外的个人数据转移

十二。数据保护的影响评估和设计数据保护

十三。直销

十四。个人数据外泄

十五。不达标的影响

一世。一般

  1. 该大学负责证明符合六项保障资料原则(见第12段)。
  2. 遵守gdpr,并遵守这些原则是我校的所有成员的责任。任何故意违反此政策可能导致纪律处分被采取,被撤出进入大学的设备,甚至刑事起诉。
  3. 大学需要保持它的数据处理活动的记录作为处理的总结和个人信息的共享和到位的保留和保障措施。有关这些记录的详细信息请参阅的处理活动第六节记录。

II。数据安全

22.个人数据的所有高校用户必须确保他们持有的所有个人数据被安全保存。他们必须确保不透露给任何未经授权的第三方以任何形式任何意外或其他原因。数据的安全性应符合开展与大学的上大学使用电脑和社交网络的政策。链接到这些政策的上方并且对数据安全的指导包括在数据保护指导手册第4节。

III。数据保留

  1. 大学内的各个区域有责任确保他们持有和管理信息的适当保留期限。保留期限将根据法律法规的要求,部门和良好做法指导意见进行设置。指导意见的有效来源可在监委会高等教育的业务分类方案和记录保留时间表(//bcs.jiscinfonet.ac.uk/he/default.asp)。
  2. 个人数据必须被保留用于执行它收集的量,处理所需的时间长度。一旦信息不再需要的是应设置的安全。纸记录应切碎或机密废物进行处置和电子记录应被永久删除。
  3. 如果数据是完全匿名再就是上从一个数据保护点存储无时间限制(参见第59段)。

IV。处理和同意的条件

  1. 为了它是合法的和适当的大学来处理下列条件至少有一个必须满足的个人资料:

一)资料当事人已经给他或她的同意

b)中,由于需要一个合同的处理

C)有必要因法律义务

d)有必要为保护人的切身利益(即生或死的情况)

E)有必要在公共利益或在控制器赋予正式权力的行使进行了任务的执行。

F)是必要的控制器或第三方的合法利益,不与数据主体的权利和自由干涉(这种情况不能由公共当局在他们的公共任务的执行中使用)。

  1. 个人数据的所有处理进行由大学必须满足上述条件的一个或多个。除了个人数据的“特殊类别”的处理需要额外的,更严格,条件按照gdpr第9条予以满足。处理有关犯罪记录或违法行为的个人资料,条件必须根据第10条gdpr得到满足。
  2. 大学是一个私人资助的慈善机构,并且因此不倒的gdpr的目的,公权力的定义范围内。这是我校的合法利益通过市场筹集资金,包括直接营销和筹款活动。学校可以联系前瞻性,现任和前任学生直接营销和筹款的目的。学校还可以联系谁已表示有兴趣或个人谁对已确定可公开获得的潜在捐助或客户信息。这意味着大学可以使用它按照这一政策联系一下,他们已经注册了,他们已经购买(或已购买他们的)事件,产品个人收集个人数据,提醒有关的课程,告诉其可以得到的,不时和筹集批准的项目资金所大学的产品。直接营销传播可以通过社交媒体渠道,电子邮件,邮寄或其他方式为大学选来提供。
  3. 收集将被用于直接从个人营销目的的数据时,大学应说明是否将用于直接营销目的的数据。个人必须提供的机会,选择了在任何时间接收这些直接的营销传播。
  4. 若资料当事人告诉我们,他们不希望收到我们任何进一步的直销,大学应该不是他们进一步接触直接营销的目的。然而,该大学将不一定是从它的数据库(一个或多个),如果它认为有必要保留其他合法目的的个人资料删除他们的个人数据(例如,因为它是必要的管理合同或因为它是一个法律要求)。
  5. 对于一些活动,学校可能需要个人的具体同意,以处理他们的数据。
  6. 同意被定义为“资料当事人的意愿任意自由给予具体的,通知和明确的指示,由他或她的陈述或其他透明扶持行动,表示同意与他或她的个人数据的处理”。该gdpr明确了沉默,前打勾箱子或不活动不构成同意。
  7. 谁提供了同意的任何人在任何时候撤销其同意的权利和必须的这一权利被告知。撤销同意的程序必须保持简单,应该没有比在第一时间给予同意的过程更加繁重。
  8. 约获得同意的更多信息可以在数据保护指导手册的第5节中找到。

诉隐私声明

  1. 下的第一个数据保护原则的“公正和透明”的要求,学校会按要求提供资料当事人与“隐私声明”,让他们知道什么是与他们的个人资料呢。
  2. 隐私声明发布在学校网站上,因此提供给个人从与大学接触他们的第一个点。超出学校的隐私声明将需要一个单独的隐私声明和数据保护官员的范围个人数据的任何处理应在拟议活动的通知事前确保这样的处理是按照这个政策和gdpr。
  3. 在数据保护指导手册第5被设置在应包含在隐私声明什么信息进一步的信息。

六。的处理活动记录

  1. 作为数据控制器大学需要保持的处理活动的记录,其覆盖由大学进行个人数据的所有处理。除其他事项本记录包括为什么正在处理个人数据的细节,关于其的信息举行的各类个人,谁的个人信息与当个人信息被转移到欧盟以外的国家分享。
  2. 工作人员对涉及使用个人数据的未覆盖的处理活动的现有记录应该通知数据保护官员(新活动着手david.watson@buckingham.ac.uk)开始新的活动之前。

七。孩子

  1. 下gdpr有适用于涉及儿童的个人信息的处理限制。虽然学校一般不处理儿童的数据,可能有情况时,就必须这样做。如果认为任何学校或大学来处理孩子的个人数据的部门中有必要,数据保护官员应前处理活动咨询,以确保采取必要的措施,以确保这样的处理是按照gdpr。

八。研究

  1. 收集研究的目的,数据由gdpr覆盖。它对于研究或咨询的目的,工作人员收集的数据包括同意的适当形式的任何数据收集表格上是很重要的。
  2. 在数据保护和研究进一步的信息和指导,在数据保护指导手册的第6节提供。

九。主题访问请求和数据主体的权利

  1. 该gdpr给出的数据对象访问由大学举行关于他们的个人信息的权利。主题访问请求的目的是为了让个人确认个人数据的准确性和检查处理的合法性,允许在必要的时候行使更正或异议的权利。然而,个人可以请求查看该大学所持有的关于他们,其中包括电子邮件通信指他们或表达了他们的意见的副本的任何信息。
  2. 大学必须为个人信息和信息的所有请求通常会免费的,于收到请求之日起30天内提供。
  3. 引用披露的约她们所下的gdpr的主体准入规定写的人。这包括来自外部源和给定的并在内部接收(例如,作为前进和促销程序的一部分)机密引用由大学接收的引用。为了保持机密性,并防止未授权的信息披露,人员不应该提供,除非确信谁是参考标的该人已同意引用。
  4. 大学不要求披露检查脚本,但学生有权访问注释在脚本中的任何标记或批注。学生有权表达他们的两个课程和考试的痕迹。未公开的标记必须在5个月对象访问请求的内予以披露。
  5. 信息和处理主题的访问请求指导,可以在数据保护指导手册第7条中找到。
  6. 数据对象有许多的gdpr下的其他权利。这些包括:
  • 权对象 - 数据对象具有反对特定类型的处理的,其包括用于直接营销处理的权利。资料当事人需要证明的理由反对有关他们的特殊情况的处理,除了在直复营销的情况下它是一个绝对的权利(见直销第十三节)。在线服务必须提供反对的自动方法。在某些情况下可能有豁免这一权利的研究或公共利益做了统计。
  • 右被遗忘(擦除) - 个人必须有在某些情况下,例如,其中数据不再需要为它收集该目的擦除其数据的权利,各个撤回同意或信息被非法处理。有一个豁免本作科学或历史研究的目的,或者擦除会使不可能的,或者严重影响的研究目标的实现统计的目的。个体可以要求控制器为“限制”的数据的处理,同时投诉(例如,大约精度)被解析或处理是非法的。
  • 相对于自动决策和分析的权利 - 的权利涉及自动决定或分析可能导致显著影响个人。分析是数据评估,分析或预测行为或自己的行为,喜好或身份的任何功能的处理。个人有权不服从完全基于自动化的处理决定。用于分析时,必须采取措施,以确保服务的安全性和可靠性。基于敏感数据的自动决策回吐只能用明确同意做。
  • 右整改 - 有权要求一个控制器来纠正召开其个人数据不准确。在某些情况下,如果个人数据是不完整的,个人可以要求控制器来完成数据,或记录的补充声明。
  • 权利可移植性 - 数据对象具有在结构被提供,以请求关于它们的信息的权利,常用和机器可读的形式,因此它可以被发送到另一数据控制器。这仅适用于由自动装置(未纸记录)处理的个人数据;该数据对象已经提供给控制器的个人数据,并且仅当它被同意或合同的基础上进行处理。
  1. 权利的有效性在很大程度上取决于进行处理的法律依据。当权利都可以在下表中总结。
法律依据 权利:
宾语 擦除 自动化决策 纠正 可移植性
同意 没有(但可以撤回同意) 没有(但可以撤回同意)
合同 没有 没有
法律义务 没有 没有 没有 没有
切身利益 没有 没有 没有
公共任务 没有 没有
合法利益 没有

 

  1. 由调用任何的行为,应予以及时处理,并在收到请求后一个月内,任何情况下,权利的任何请求。如果他们遇到一个请求符合任何困难,工作人员应参考的数据保护官员的意见。可以通过另外两个月份里要求很复杂或多次在此情况下,必须在一个月内通知收到请求的个人,并解释为什么扩展需要延长履约时间。

X。数据共享

  1. 一定的条件需要被满足之前个人数据可以与第三方或外部数据处理器用于处理代表大学的数据之前被共享。
  2. 作为一般规则的个人数据不应该被转嫁到第三方,特别是当它涉及到的个人数据的特殊类别。它然而,在某些情况下允许或必要的。个人数据的任何传输必须满足数据处理的原则,特别是它必须是合法和公平有关的数据对象(见第12段)。更具体地讲:
  • 它必须满足的处理的条件(见节iv)一种。合法的理由用于传送数据(例如,法律要求);
  • 大学必须确信该第三方将满足特别的牢固固定信息方面gdpr的所有要求;
  • 其中一个第三方,以处理代表大学的个人资料,书面合同必须包含适当的数据保护保障措施到位。
  1. 如果他们进入到涉及个人数据的共享或处理或新合同的工作人员应与数据保护官员协商,如果他们对在现有合同中的数据保护保障任何顾虑。
  2. 谁收到来自第三方的个人信息请求,如亲属,警察,地方议会等应该咨询数据保护指导手册对从第三方索取个人信息的部分9名工作人员。

十一。欧盟以外的个人数据转移

  1. 个人数据只能在特定情况下被转移出欧洲联盟。该gdpr列出了应该考虑,以确保数据和一些豁免其下数据可以导出足够保护水平的因素。在许多情况下,学校会要求数据主体之前的个人信息即可调出欧盟的同意。
  2. 在互联网上发布的信息必须被认为是数据的欧盟以外的出口。这包括存储在云除非服务提供商明确保障数据存储只需要在欧盟范围内的地方的数据。目前学校不使用欧盟之外的任何云存储。
  3. 在使用云计算的信息专员办公室指导应通过网络使用任何外部计算资源或服务之前进行协商可能涉及个人数据发生。
  4. 工作人员参与的个人数据转移到其他国家应该咨询数据保护指导手册的第10条。

十二。数据保护的影响评估和设计数据保护

  1. 在gdpr下的大学有考虑在所有加工活动对个人隐私的影响的义务。这包括实施适当的技术和组织措施,以尽量减少违反gdpr的风险。
  2. 这是考虑到新的处理活动或设立新的程序或涉及个人数据的系统时,需要考虑隐私问题尤为重要。 gdpr规定要求一个具体的“设计隐私”强调必须实现在工艺过程和整个相关的数据处理的整个生命周期的设计阶段,适当的技术和组织措施,以确保隐私和数据的保护是不是回想起。
  3. 有关可用于减少与处理个人数据,包括匿名化和pseudonymisation看到数据保护数据保护指导手册的第12条的设计和违约带来的风险技术的进一步信息。
  4. 对于一些项目gdpr需要数据保护的影响评估(dpia)进行。的情况时,这是必需的类型包括:大量的个人数据的那些涉及处理,那里是特殊类别的个人数据,或可公开课税区域(即CCTV)的监视的自动处理/分析,处理。该dpia是对识别和检查的新举措的影响,并把一些措施,尽量减少或降低风险的机制。关于何时以及如何进行dpia信息可以在对数据保护的影响评估数据保护指导手册的第11条中找到。

十三。直销

  1. 直销涉及(不管介质)通信相对于广告或营销材料被引导至例如个人邮件投筹集资金,广告等课程,个人必须有机会从用于直接营销目的列表或数据库中删除自己。如果一个人要求市场停止了大学必须停止直接营销活动。
  2. 直销还必须遵守隐私和电子通信(EC指令)法规2003(PECR)2,通过电话,短信和电子邮件营销覆盖。对于直接营销PECR更多信息,请参阅数据保护指导手册的第13条。

十四。个人数据外泄

  1. 大学有责任确保适当和适度的安全,我们持有的个人资料。这包括保护数据免受未授权的或非法的处理和防止意外丢失,破坏或数据的损坏。大学必须尽一切努力,避免个人信息泄露,但是,它是可能的错误,才会偶尔发生。通用个人数据破坏的例子包括:
  • 损失或在其上的数据被存储或可存取的数据或设备的偷窃;
  • 不恰当的访问控制,允许未经授权的使用;
  • 设备故障;
  • 未授权的公开内容(例如发送到不正确的收件人电子邮件);
  • 人为错误;和
  • 未能维持,导致成功的黑客攻击有效的防火墙。
  1. 如果发生数据保护违反大学是必需的,在大多数情况下,尽快报告给信息专员办公室,并成为意识到这一点后不迟于72小时。
  2. 如果学生或工作人员意识到数据保护违反必须立即报告给数据保护官员。如何举报违反和将所需的信息细节都包含在个人数据泄露的数据保护指导手册的第14条。

十五。不达标的影响

  1. 所有的工作人员和大学的学生都必须遵守这些数据保护政策,其配套指引,并在gdpr规定的要求。谁发现员工或学生的任何成员已经作出的个人信息未经授权的披露或违反本政策的条款可能会受到纪律处分。工作人员也可能承担刑事责任,如果他们明知或罔顾实情获得和/或未经学校为自己的目的,这是学校的合法目的之外的同意下透露个人信息。
  2. 大学可被罚款不遵守gdpr。有根据的侵权类型的罚款两层。关于罚款的详细信息都在数据保护指导手册的第15条。

 

大学接触

  1. 该大学的命名数据保护专员戴维·沃森,其联系方式如下:

电子邮件: david.watson@buckingham.ac.uk

电话:01268 820 383

地址:数据保护官员,英国澳门赌场,白金汉宫MK18 1EG

  1. 在一审的有关数据保护的进一步的信息或指导所有的查询或请求应当向数据保护官员。