资讯科技政策
隐私政策
I. 政策的理由和陈述
这项政策定义了学院对个人隐私的承诺.
II. 范围
该政策适用于所有员工,学生,承包商,志愿者,第三方 供应商等.,以及所有产生、收集、储存的个人资料 和/或通过富兰克林的任何活动进行处理 & 冰球突破正规网站,横跨整个学院 区域. 这包括为研究目的收集的数据.
学院作为资料控制者,仍有责任控制个人资料 即使这些数据后来被传递给另一个组织或被存储,它也会收集 在其他组织或个人(包括个人)拥有的系统或设备上 自有设备或非学院管理的设备).
3。. 定义
数据对象
数据主体是与富兰克林有关系的可识别的自然人
& 谁可以直接或间接地识别,特别是通过
对标识符的引用,例如名称、标识号、位置数据、
一个在线标识符或一个或多个特定于物理、生理、
该自然人的遗传、心理、经济、文化或社会身份.
资料保障主任
数据保护官是任何寻求者的确定联络点
向学院查询有关这项政策或他们的记录. F&米的首席
信息官(CIO)是学院指定的数据保护官.
保障资料原则
书院须遵守六项保障资料的原则,其中
意味着信息的收集和使用必须公平、安全、不泄露
非法转让给任何其他人. 这六个原则是:
-
个人数据应以合法、公平和透明的方式处理(“合法性”; 公平和透明’).
-
收集个人资料的目的必须明确、明确及合法 不得以任何不符合上述目的的方式进一步加工. 进一步的处理 允许用于存档、科学或历史研究或统计目的 (“目的限制”)
-
个人资料应是足够的、相关的,并限于有关的需要 达到处理数据的目的(“数据最小化”).
-
如有需要,个人资料须准确及保持最新(“准确”).
-
为任何目的而处理的个人资料,其保存时间不得超过所需的时间 为此目的(“存储限制”).
-
处理个人资料的方式应确保适当的安全性,包括 防止未经授权或非法加工和防止意外损失; 使用适当的技术或管理控制(完整性)进行破坏或损坏 和机密性”).
个人资料
个人数据是关于个人的信息,可以通过该信息识别个人身份
或者当与其他数据相结合时可以从这些信息中识别出谁
该学院持有或可能获得.
个人资料“特别类别”
特殊类别的数据包括特别敏感的个人信息,例如
比如健康状况、种族或民族出身或宗教信仰.
处理数据
“处理数据”的定义包括获取/收集、记录、持有、
存储、组织、改编、对齐、复制、转移、组合、阻塞、
擦除或销毁信息或数据. 它还包括执行任何
对信息或数据的操作或一组操作,包括检索、查询、
使用和披露.
同意
同意被定义为“任何自由给予的、具体的、知情的和明确的指示”
数据主体的意愿,他或她通过声明或其他明确肯定
行动,表示同意处理与他或她有关的个人资料
她的“. 沉默、预先打勾或不活动不构成同意.
直接营销
直接营销与广告的传播(不管媒介)有关
或者是针对个人的营销材料. 个人必须得到
有机会将自己从用于直接营销的列表或数据库中删除
目的. 学院必须根据个人要求停止直接营销活动.
反对权
数据主体有权反对特定类型的处理,其中包括
直销加工. 数据主体需要证明的理由
反对与其特殊情况有关的处理,本案除外
直接营销是绝对的权利. 在线服务必须提供自动化
反对方法. 在某些情况下,这项研究权利可能有豁免
或者出于公共利益的统计目的.
被遗忘的权利(消除)
个人有权在某些情况下删除其数据,例如
如收集该等资料的目的不再需要该等资料,
个人撤回同意,或者信息被非法处理.
出于科学或历史研究目的或统计目的,可以豁免此规定
目的,如果擦除将严重损害目标的实现
研究. 个人可以要求管理者“限制”数据的处理
直到投诉(例如,关于准确性的投诉)得到解决,或者处理是非法的.
与自动决策和分析相关的权利
该权利涉及可能导致重大后果的自动决策或分析
对个体的影响. 分析是对数据进行评估、分析的处理
或预测行为或其行为、偏好或身份的任何特征. 个人
是否有权不受完全基于自动化处理的决策的约束.
当使用剖析时,必须采取措施确保安全性和可靠性
的服务. 基于敏感数据的自动决策只能通过
明确的同意.
改正权
要求控制者纠正所持有的不准确的个人数据的权利
他们. 在某些情况下,如果个人资料不完整,个人可以要求
控制器完成数据,或记录补充报表.
可携性权
资料当事人有权要求提供有关他们的资料
结构化的、常用的和机器可读的形式,因此它可以发送到另一个数据
控制器. 这只适用于以自动化方式处理的个人资料
(not paper records); to personal data which the data subject has provided to the 控制器,
而且只有在征得同意或签订合同的基础上进行处理.
数据泄露
学院负责确保适当和相称的安全
我们持有的个人数据. 这包括防止未经授权的数据
或非法处理和防止意外丢失、破坏或损坏数据.
个人资料外泄的例子包括:
-
-
数据或设备丢失或被盗
-
不适当的访问控制允许未经授权的使用
-
设备故障
-
未经授权披露(e).g. 发送给错误收件人的电子邮件)
-
人为错误
-
黑客攻击
-
IV. 政策
符合F&M的隐私政策要求遵守这六项数据保护 原则. 这是学院所有成员的责任. 任何 故意违反这一政策可能导致纪律处分被采取,访问 学校设施被撤回,或被刑事起诉.
学院被要求保留其数据处理活动的记录作为摘要 个人信息的处理和共享以及保留和安全 适当的措施. 学院也应该遵守这些要求 下面所列.
所有由学院收集的个人资料,包括为 研究或类似活动的目的必须包含适当的形式 同意任何资料收集表格.
法规遵循需求
数据必须保证安全
任何有权查阅个人资料的社区成员必须确保所有的个人资料 他们保持安全. 他们必须确保信息不会泄露给任何未经授权的人 任何形式的第三方.
必须根据需要保留数据,并遵循已定义的数据保留策略
学院内的个别区域负责确保适当的保留 他们持有和管理的信息的期限,基于大学数据保留 政策.
个人资料只可在处理所需的时间内保存 它就是为此被收集起来的. 一旦信息不再需要,就应该处理掉 的安全. 纸质记录应粉碎或处置在保密容器 电子记录应该被永久删除.
如果数据是完全匿名的,那么在数据保护的存储上就没有时间限制 观点.
必须满足处理条件和同意条件
学院处理个人资料的合法及适当的条件(最少 必须满足以下条件之一):
a)数据主体已表示同意
b)由于合同需要处理
c)出于法律义务的需要
d)有必要保护某人的切身利益(例如.e. 生死关头)
(五)为履行公共利益所必需的任务 或在行使归属于控制人的官方权力时.
f)为了控制人或第三方的合法利益所必需的 并且不干涉数据主体的权利和自由(此条件) 公共当局在执行其公共任务时不能使用).
任何提供同意的人都有权随时撤销其同意.
必须提供隐私声明
根据第一项资料保障原则的“公平及透明”要求, 学院须向资料当事人提供“私隐通知”,以便他们 知道它会如何处理他们的个人数据.
隐私声明公布在学院网站上,并可在点 第一次与学院接触.
必须给予选择退出直接营销(无论媒体)的机会
个人必须有机会从名单或数据库中删除自己 用于直接营销目的,无论媒体(电子邮件,电话,打印邮件, 等.)学院必须根据个人要求停止直接营销活动.
加工活动的记录必须保存
作为数据控制者,学院需要保存处理活动的记录 涵盖学院所处理的所有个人资料. 这 记录详细说明处理个人资料的原因、资料的种类 个人哪些信息被持有,谁的个人信息被共享 当个人信息被转移到美国以外的国家时 州. 学院有三个处理活动记录:
-
-
员工资料(包括求职者、前、退休员工、荣誉员工、退休员工)
-
学生资料(包括申请人及校友)
-
除雇员、学生、申请人、校友及前雇员以外的资料当事人
-
主体访问请求和数据主体权利
本政策赋予资料当事人查阅学院个人资料的权利 关于他们. 主题访问请求的目的是允许个人 确认个人资料的准确性,并检查处理的合法性 必要时,有权行使纠正权或异议权.
学院必须回应所有个人信息和信息的要求 通常是免费提供的吗.
回应资料当事人的要求
任何援引上述任何权利的请求必须得到及时和有效的处理 在收到申请后的一个月内. 雇员应参阅资料私隐条例 如果收到任何类似的请求,请通知警官.
数据共享要求
在与第三方共享个人数据之前,需要满足某些条件 方或在外部数据处理器被用来代表方处理数据之前 大学.
一般而言,个人资料不应转交予第三者,特别是 如涉及特殊类别的个人资料. 在某些情况下 在允许的情况下.
-
个人资料的任何转移必须特别符合资料处理原则 它必须对有关的资料当事人合法和公平.
-
它必须满足加工的一个条件. 调职的正当理由 数据将包括:
-
法律要求
-
学院的官方事务
-
如果不满足其他条件,则必须征得个人的同意 提供有关和适当的隐私声明.
-
-
学院很满意第三方能够满足所有的要求 学院的隐私政策,特别是在安全持有信息方面.
-
如有第三者代表书院处理个人资料,书院须向第三者提供书面的 合同必须到位.
-
所有云服务提供商必须填写学院的云服务问卷, 由资讯科技署管理,以确保第三方符合 大学对信息安全的要求.
员工必须咨询学院合同办公室的数据隐私官 和信息技术服务,如果他们正在考虑签订新合同 这涉及个人数据的共享或处理.
数据泄露必须及时报告
学院尽一切努力避免数据泄露,然而,这是可能的 错误有时会发生. 如果发生数据泄露,学院被要求 大多数情况下要尽快报告,而且不迟于72小时 在意识到这一点之后. 如果你意识到数据泄露,你必须报告 立即. 有关如何报告违规行为的详细信息,可从学院的 资讯科技署.
-----
政策维护人员:信息技术服务部副总裁兼首席信息官
官
最后审查:2023年9月20日