数据保护政策和隐私通知

万灵学院数据保护政策

2018年夏季学期

 

1. 目的和范围

本政策为确保万灵学院履行《AG真人娱乐官网》(GDPR)和相关立法(“数据隐私立法”)下的义务提供了框架。.

适用于所有为学院目的而进行的个人资料处理, 无论数据是在非学院拥有的设备上还是由第三方处理的.

“个人资料” 指与可从该数据或该数据及其他数据识别的可识别的在世个人有关的任何信息.  “处理” 指的是任何对个人数据的处理, 包括收集, 存储, 使用, 信息披露和删除.

处理特殊类别个人资料时,须遵守更严格的条件.

“特殊类别” 意味着显示种族或民族出身的个人资料, 政治观点, 宗教或哲学信仰, 或者是工会会员, 还有基因数据的处理, 用于唯一识别一个人的生物特征数据, 有关健康或个人性生活或性取向的数据.

本政策应与附带的指导一起阅读, 哪些提供了更多的细节和实际应用的建议, 以及对学院持有的信息负有保密或数据管理义务的任何其他文件.

本政策不包括学院成员在以私人或非学院身份行事时使用的个人资料.

2. Background

个人资料的处理是学院工作的基础. 没有它,学院就无法运作.  没有正确处理个人资料, AG真人娱乐官网可以把个人(AG真人娱乐官网员, 工作人员, 游客, 以及其他使用AG真人娱乐官网设施的人)处于危险之中.

学院和更广泛的大学也面临法律、财务和声誉方面的风险.  信息专员办公室(ICO), 哪个部门负责执行资料私隐法例, 是否有权力对严重违规的组织处以高达全球年营业额4%的罚款.

3. 原则

个人资料的处理必须符合资料私隐法例及, 特别是, 六项资料私隐原则.  对这些原理进行了详细的阐述 信息专员办公室网站.

总而言之,他们要求个人资料为:

  • 以公平、合法和透明的方式处理;
  • 仅用于有限的, 指明的目的,且不以与该等目的不相容的任何方式使用或披露;
  • 适当的、相关的和限于必要的;
  • 准确并在必要时及时更新;
  • not kept for longer than necessary; 和
  • 安全可靠.

除了, 新的问责原则要求AG真人娱乐官网能够证明遵守这些原则.

4. 目标和承诺

万灵学院处理相当数量的个人资料,并认真履行其在资料私隐法例下的责任.  它认识到,对个人数据的不当处理可能会使他们感到痛苦,或使他们面临身份欺诈的风险. 因此,它承诺:

  • 完全遵守资料私隐法例;
  • where practicable, adhering to good practice, as issued by the ICO or other appropriate bodies; 和
  • 谨慎及体贴地处理个人资料,并认识到该等资料对个人私隐及福利的重要性.

学院致力达致上述目标:

  • 确保所有学生, 工作人员, 以及为学院目的处理数据的其他个人或承包商应意识到他们在数据隐私立法下的个人责任,以及这些责任如何适用于他们的工作领域.  例如, 员工雇佣合约及工作说明包括一项条款,提醒员工注意资料私隐法例及书院的资料保护政策,所有院友及员工须阅读及签署一份该条款;
  • 提供适当的培训、指导和建议.  (大学提供有关资料私隐及资讯保安的网上培训课程,供大学所有成员使用.在线课程还辅以培训和指导, 在适当情况下, 使所有AG真人娱乐官网员及职员能适当履行保障资料的责任;
  • 在涉及个人数据处理的行政程序中纳入数据隐私要求, 特别是与主要的信息系统有关, 例如学院在线奖学金申请流程(“设计隐私”的概念).
  • providing  程序 for the processing of subject access 和 other rights based requests made by individuals; 和
  • investigating promptly any suspected breach of data privacy legislation; reporting it, 在必要时, to the ICO; 和 seeking to learn any lessons from the incident in order to reduce the risk of reoccurrence.

5. 角色和职责

所述大会

学院的院长和院士(管理机构)在公开股东大会上负有执行责任,以确保学院遵守资料私隐法例.

监狱长和AG真人娱乐官网员由以下机构支持:
(i)一般目的委员会, which under the 所述大会 is responsible for keeping under review the College’s policies; 和
(ii)审计委员会,负责确保学院内部控制系统(财务和非财务)的有效性,并确保其流程符合法律和监管要求.

资料保障主任(DPO)

DPO负责:

  • 就遵守GDPR和其他数据保护法规的责任和义务向学院(AG真人娱乐官网员和员工)提供建议;
  • 制定适当的政策和程序,使他们能够遵守这些义务;
  • 建立和维护AG真人娱乐平台数据隐私立法和具体合规问题的指导和培训材料;
  • 监测合规情况,并作为个人和ICO的联络点;
  • 建立一个全校范围内的数据处理活动登记册,确保所有控制或处理个人数据的人都意识到自己的责任;
  • 通过设计和隐私影响评估支持隐私;
  • 确保个人提出的查阅个人资料的要求和其他基于权利的要求得到满足;
  • investigating 和 responding to complaints regarding data privacy (including requests to cease the processing of personal data); 和
  • 保存个人资料泄露的记录, 通知ICO任何重大违规,并回应其可能提出的进一步信息的任何请求.

在履行这些责任时, 此外,发展事务处亦会邀请及寻求AG真人娱乐官网员的支持, 工作人员, 以及适当的外部顾问.

学院官员、AG真人娱乐官网员、系主任及学院行政团队成员

所有人, 的伙食委员, 部门首长(包括主管图书馆员)及所有工作涉及处理个人资料的员工,均有责任确保在其部门或职责范围内处理个人资料符合资料私隐法例及本政策的规定.  特别是,它们必须确保:

  • 新老员工, 有可能处理个人资料的访客或与学院有关的第三方,已知悉他们在资料私隐法例下的责任.  这包括提请新的AG真人娱乐官网员和工作人员注意这项政策的要求, 确保有责任处理个人资料的人士得到适当的培训及, 在适当的地方, 确保员工的工作描述或与相关第三方签订的协议涉及资料私隐责任;
  • records of processing activities are kept (including consulting the Domestic Bursar or Data Protection Officer if it is proposed to create a new processing activity or significantly change an existing electronic or paper one; all such information assets 和 data processing activity must be included on the College Information Asset register);
  • 在系统和程序中,采用“设计保障私隐”的方法,并在适当情况下进行私隐影响评估,从而落实保障资料的规定;
  • 在直接从个人收集数据或以非标准方式使用数据的情况下,提供隐私通知;
  • 按照学院和学校的指导进行数据共享;
  • 迅速遵从资料保护主任就资料提出的要求;
  • data privacy risks are included in the College’s risk management framework 和 considered by senior management on a regular basis; 和
  • 在适当情况下采用确保遵守GDPR和数据保护义务的政策和程序.

为学院目的处理个人资料的其他人员.g. 职员、AG真人娱乐官网员及义工

任何为学院目的处理个人资料的人都有个人责任遵守资料私隐法例, 本政策和任何其他政策, 指导, 程序, 和/或大学为遵守资料私隐法例而引入的培训.  详细的指导, 请参阅大学资料保护指引及任何有关学院政策及程序.  总之,它们必须确保:

  • 只以人们预期的方式及为收集个人资料的目的使用个人资料;
  • 使用最少数量的个人资料,并只在严格需要的时间内持有该等资料;
  • 随时更新个人资料;
  • 根据书院资讯保安政策,妥善保管个人资料;
  • 不得向未经授权的人士透露个人资料,不论该人士是在学院内外;
  • 按要求完成相关培训;
  • 立即报告任何涉嫌违反资料私隐法例的行为, 按照下文第6节的程序, 并遵循任何推荐的后续步骤;
  • seek advice from the Data Protection Officer where they are unsure how to comply with data privacy legislation; 和
  • 迅速回应资料保护主任提出的与当事人查阅资料及其他基于权利的要求和投诉有关的任何要求.

违反资料私隐法例

学院将会调查可能涉及违反资料私隐法例的事件,以确保上述情况属实, 在必要时, 采取适当行动以减轻后果并防止今后再次发生类似事件.  视事件的性质和严重程度而定, 也可能有必要通知受影响的个人和/或ICO. 一个缺口将发生在哪里, 例如, 个人资料被披露或提供给未获授权的人士,或个人资料以该人士意想不到的方式使用.

资讯科技系统或程序发生故障时,须向学院电脑主任报告 support@all-souls.massivemixes.com,电话(2)79323或 AG真人娱乐平台电脑紧急应变小组(OxCert) 在4个工作小时内发现.  OxCert将保持联络, 适当的, 大学计算机主任和大学数据保护主任.

6. 合规

学院视任何违反资料私隐的行为而定, 本政策或学院不时推出的任何其他政策和/或培训,以遵守资料私隐法例为严重事项, 哪些可能导致纪律处分.  这取决于入侵的性质, 个人也可能发现他们个人负有责任(例如, 书院会员如非法披露个人资料,可属刑事罪行).

7. 进一步的信息

有关本政策和数据隐私问题的一般问题应直接向学院数据保护主任提出, dpo@all-souls.massivemixes.com 或家庭财务处. 

8. 评估和发展

这一政策, 和支持指导, 将于2018年5月25日生效, 并将于2018年6月9日在学院大会上正式通过.  将在2018/19学年进行审查,以考虑出色的ICO指导意见和支撑GDPR的最终国家立法形式.

9. 相关政策、隐私通知和处理活动记录

本政策应与相关政策及规例一并阅读,包括:

移动设备安全的实际指导请参见内网的“计算”页面. 

有关学院的详情 隐私通知和相关的处理活动记录 (注明学院持有和处理数据的法律依据和保存记录的期限), 请参阅 http://www.massivemixes.com/college-policieshttp://www.massivemixes.com/appointments