万灵学院数据保护政策

三一学期2018

1. 目的和范围

该政策提供了一个框架，以确保万灵学院履行其在通用数据保护条例(GDPR)和相关立法(“数据隐私立法”)下的义务。.

它适用于为学院目的而进行的所有个人资料处理, 不论资料是在非学院自备的设备或由第三者处理.

“个人资料” 指与可从该数据或从该数据及其他数据识别的可识别的活着的个人有关的任何信息.  “处理” 指任何处理个人数据的行为, 包括收集, 存储, 使用, 披露和删除.

更严格的条件适用于处理特殊类别个人资料.

“特殊类别” 指显示种族或民族出身的个人资料, 政治观点, 宗教或哲学信仰, 或成为工会会员, 以及基因数据的处理, 生物特征数据的目的是唯一地识别一个人, 有关健康的资料或有关个人性生活或性取向的资料.

本政策应与附带的指导一起阅读, 提供更详细的实际应用建议, 以及任何其他对学院所持有的资料负有保密或数据管理义务的文件.

本政策不适用于书院成员以私人或非书院身份使用个人资料.

2. Background

个人数据的处理是学院工作的基础. 没有它，学院就无法运作.  没有正确处理个人资料, AG真人娱乐官网可以把个人(AG真人娱乐官网员, 工作人员, 游客, 和其他使用AG真人娱乐官网设施的人)有危险.

学院和整个大学也面临着法律、财务和声誉风险.  资讯专员公署, 哪些部门负责执行资料私隐法例, 有权力对严重违规的组织处以全球年营业额4%的罚款吗.

3. 原则

个人资料的处理必须符合资料私隐法例及, 特别是, 六项资料私隐原则.  对这些原理作了详细的说明 资讯专员公署网页.

总之，他们要求个人资料是:

• 以公平、合法和透明的方式处理;
• 只用于有限的, 指明指明的目的，并且不以任何与该目的不相容的方式使用或披露;
• 适当的，相关的，限制在必要的范围内;
• 准确，如有必要，是最新的;
• not kept for longer than necessary; 而且
• 保持安全可靠.

除了, 新的问责原则要求AG真人娱乐官网能够证明遵守这些原则的情况.

4. 目标和承诺

万灵学院处理大量的个人资料，并根据资料私隐法例认真承担责任.  它认识到，对个人个人数据的不当处理可能会给他们带来痛苦或使他们面临身份欺诈的风险. 因此，它致力于:

• 完全遵守资料私隐法例;
• where practicable, adhering to good practice, as issued by the ICO or other appropriate bodies; 而且
• 以审慎和体贴的方式处理个人资料，并认识到该等资料对个人的私隐和福利的重要性.

为达致这些目标，学院致力:

• 确保所有的AG真人娱乐官网员, 工作人员, 及其他为书院处理资料的个人或承办商，会知悉他们在资料私隐法例下的个人责任，以及这些责任如何适用于他们的工作范畴.  例如, 员工雇佣合同和工作描述包括一项条款，提请员工注意数据隐私法律和学院的数据保护政策，所有AG真人娱乐官网员和员工都必须阅读和签署该政策的副本;
• 提供适当的培训、指导和意见.  (理大提供有关资料私隐及资讯保安的网上训练课程，供大学所有成员使用.)在线课程辅以培训和指导, 在适当的时候, 使所有AG真人娱乐官网员和职员能适当履行保障资料的职责;
• 在涉及处理个人资料的行政程序中纳入资料私隐规定, 特别是在主要信息系统方面, 例如书院网上奖学金申请程序(“私隐设计”的概念).
• providing  程序 for the processing of subject access 而且 other rights based requests made by individuals; 而且
• investigating promptly any suspected breach of data privacy legislation; reporting it, 在必要时, to the ICO; 而且 seeking to learn any lessons from the incident in order to reduce the risk of reoccurrence.

5. 角色和职责

声明股东大会

院长和学院院士(管理机构)在指定的股东大会上负有执行责任，以确保学院遵守数据私隐法例.

监狱长和教友的资助机构为:
(i)一般用途委员会, which under the 声明股东大会 is responsible for keeping under review the College’s policies; 而且
(ii)审计委员会，负责确保学院的内部控制制度(财务及非财务)的有效性，以及确保其程序符合法例及规管规定.

资料保障主任(DPO)

DPO负责:

• 就学院(院士和教职员)遵守GDPR和其他数据保护立法的责任和义务向学院提供建议;
• 制定适当的政策和程序，使它们能够遵守这些义务;
• 建立和保存AG真人娱乐平台数据隐私立法和具体合规问题的指导和培训材料;
• 监督合规情况，并作为个人和ICO的联络点;
• 在全院范围内保存处理资料活动的登记册，并确保所有控制或处理个人资料的人员认识到自己的责任;
• 支持隐私设计和隐私影响评估;
• 确保个人查阅其个人资料副本的要求得到满足;
• investigating 而且 responding to complaints regarding data privacy (including requests to cease the processing of personal data); 而且
• 保存个人资料泄露的记录, 通知ICO任何重大违规行为，并回应其可能提出的进一步信息要求.

在履行这些责任时, DPO也可以邀请和利用AG真人娱乐官网员的支持, 工作人员, 以及合适的外部顾问.

学院职员、AG真人娱乐官网员、系主任及行政小组成员

所有人, 的伙食委员, 部门主管(包括主管图书馆馆长)及所有工作涉及处理个人资料的职员，均有责任确保所属部门或负责范围内处理个人资料的工作符合资料私隐法例及本政策的规定.  特别是，它们必须确保:

• 新老员工, 可能处理个人资料的访客或与书院有关的第三者，均清楚其在资料私隐法例下的责任.  这包括提请新AG真人娱乐官网员和工作人员注意这项政策的要求, 确保向负责处理个人资料的人员提供足够的培训及, 在适当的地方, 确保员工的工作描述或与相关第三方签订的协议提及数据隐私责任;
• records of processing activities are kept (including consulting the Domestic Bursar or Data Protection Officer if it is proposed to create a new processing activity or significantly change an existing electronic or paper one; all such information assets 而且 data processing activity must be included on the College Information Asset register);
• 透过采用“设计保障私隐”的方法，并在适当情况下进行私隐影响评估，将保障资料的规定纳入系统和程序;
• 在直接从个人收集数据或以非标准方式使用数据的情况下，提供私隐通知;
• 根据学院和大学的指导进行数据共享;
• 资料保障主任要求提供资料的要求会迅速得到依从;
• data privacy risks are included in the College’s risk management framework 而且 considered by senior management on a regular basis; 而且
• 在适当的情况下采取政策和程序，以确保遵守GDPR和数据保护义务.

为学院目的处理个人资料的其他人.g. 教职员、AG真人娱乐官网员和志愿者

任何为学院目的处理个人资料的人都有个人责任遵守资料私隐法例, 本保单及任何其他保单, 指导, 程序, 及/或大学为遵守资料私隐法例而推行的培训.  有关详细指引, 应参阅大学的《AG真人娱乐官网》及任何有关的学院政策和程序.  总之，它们必须确保:

• 只以人们预期的方式及为收集个人资料的目的使用个人资料;
• 使用最少的个人资料，并只在绝对必要的情况下保存;
• 及时更新个人资料;
• 根据学院的资讯保安政策，妥善保管个人资料;
• 不向未经授权的人士披露个人资料，不论是学院内外;
• 按要求完成相关培训;
• 及时报告任何涉嫌违反资料私隐法例的行为, 按照下面第6节的程序, 并遵循任何建议的下一步步骤;
• seek advice from the Data Protection Officer where they are unsure how to comply with data privacy legislation; 而且
• 迅速回应任何资料保护主任就查阅资料及其他基于权利的要求和投诉提出的要求.

违反资料私隐法例

学院会调查可能违反资料私隐法例的事件，以确保, 在必要时, 已采取适当行动减轻后果，防止今后再次发生类似事件.  这取决于事件的性质和严重程度, 也可能有必要通知受影响的个人和/或ICO. 违约会发生在哪里, 例如, 个人资料被披露或提供给未获授权的人士，或个人资料被以个人预料不到的方式使用.

涉及资讯科技系统或程序故障的事件，必须向学院电脑主任报告 support@all-souls.massivemixes.com，电话(2)79323或 AG真人娱乐平台电脑紧急应变小组(OxCert) 发现后4个工作小时内.  OxCert将进行联络, 适当的, 学院计算机主任和学院数据保护主任.

6. 合规

学院认为任何侵犯资料私隐的行为, 本政策或学院不时推出的任何其他政策及/或培训，以遵守个人资料私隐法例, 哪些可能导致纪律处分.  这取决于入侵的性质, 个人也可能发现他们个人有责任(例如, 学院成员如非法披露个人资料，可属刑事罪行).

7. 进一步的信息

有关本政策和一般数据隐私问题的问题应直接向学院数据保护主任询问, dpo@all-souls.massivemixes.com 或国内会计. 

8. 检讨与发展

这一政策, 辅助指导, 将于2018年5月25日生效, 并将在2018年6月9日的学院声明大会上正式通过.  将在2018/19学年对其进行审查，以考虑到未执行的ICO指导以及支撑GDPR的国家立法的最终形式.

9. 相关政策、隐私通知和处理活动记录

本政策应与相关政策和法规一并阅读，包括:

• 高校信息安全政策;
• 教职员网络与移动可接受使用政策;
• AG真人娱乐平台使用信息技术设施的大学规章

移动设备安全实用指导请参见内网“计算”页面. 

有关书院的详情 处理活动的私隐通知及相关记录 (列明学院持有及处理有关资料的法律依据，以及保存有关纪录的期限), 请参阅 http://www.massivemixes.com/college-policies 而且 http://www.massivemixes.com/appointments