一般资料保护规例

个人信息及其处理和隐私

 目的及范围

1. 本政策的目的是确保遵守 资料保护法 英国(《通用数据保护条例》及相关国家立法). 数据保护法适用于 处理 (收集、储存、使用和转让) 个人信息 (资料及其他个人身分代号)有关 资料当事人(在世的可识别个人).
    
2. 根据数据保护法，学院被认定为 数据控制器 因此要遵守一系列的法律义务.  为清晰起见, 剑桥大学和剑桥的其他学院是独立的数据控制者, 有自己的政策和程序.  大学和学院之间的个人信息共享有正式的数据共享协议.
    
3. 这项政策适用于所有人 工作人员 和 成员 除非他们以私人或外部身份行事.  为了清楚起见，这个术语 工作人员 指在学院任何级别或年级的任何情况下工作的任何人(无论是永久性的), (固定期限或临时)并包括雇员, 退休但仍活跃的会员和职员, 访问学者, 工人, 学员, 实习生, 借调人员, 机构工作人员, 代理, 志愿者, 以及学院委员会的外部成员.  同样，这个词 成员 包括代表书院处理或处理个人资料的书院高级职员(研究员)及初级职员(学生及校友), 除非他们以私人或外部身份行事.
    
4. 本政策应与以下内容一起阅读:

• 大学章程及条例;
• 员工雇佣合同及类似文件(概述处理学院信息时的保密义务);
• 政策, 程序和条件的学院和, 在相关的, 剑桥大学bet356体育在线(亚洲版)-bet356体育在线有限公司欢迎您! -welcome以下方面的类似文件:
  • 信息安全;
  • 适当地使用资讯科技设施(包括使用个人装置);
  • 记录管理和保存;
  • 对学院或个人施加保密或信息管理义务的任何其他合同义务(有时可能超出有关存储或安全要求的学院政策)- e.g. 获资助的研究).

5. 本政策经学院理事会批准.  它至少每三年审查一次.  理事会仍有责任确保适当的资源到位，以符合适当的整体风险概况，实现对数据保护法的遵守.

 学院的义务

6. 学院通过以下方式将数据保护法作为日常工作实践的一部分:
    
   1. 确保所有 个人信息 (见附件)通过本政策得到适当管理;
   2. 理解，并在必要时应用 保障资料原则 (见附件)处理个人信息时;
   3. 理解，并在必要时实现 赋予资料当事人的权利 (见附件)根据数据保护法;
   4. 理解并在必要时实施学院的 责任义务 (见附件)根据数据保护法; 和
   5. 的出版 资料保障声明 以清晰及透明的方式概述其处理个人资料的详情.

7. 学院应任命一名法定数据保护官，他将负责:
    
   1. 监督和审计学院遵守其数据保护法的义务, 尤其是它的整体风险状况, 并每年向学院报告有关情况;
   2. 就书院遵守资料保障法例的各方面事宜，向书院提供意见;
   3. 在数据保护法方面，作为学院与信息专员办公室的标准联络点, including in the case of personal data breaches; 和
   4. 作为资料当事人投诉的可用联络点.

8. 此外，学院应确保所有成员和工作人员都知道这一政策和任何相关的程序和有关数据保护合规指导说明, 提供适当的培训, 并定期审查其程序和流程，以确保它们符合目的.  它还应保持其信息资产的记录.
    
9. 个别会员及职员负责:

1. 按照学院的建议完成相关的数据保护培训;
2. 遵守学院的相关政策、程序和指引;
3. 仅在履行合同义务和/或履行大学其他职责时才访问和使用个人信息;
4. 确保他们可查阅的个人资料不会被不必要或不适当地披露;
5. 在确定, 举报个人资料外泄, 和 co-operating with College authorities to address them; 和
6. 只删除, 在与学院同意并适当的情况下，在离开学院时复制或删除个人信息.

不遵守第9段规定的责任可能导致对个别成员或工作人员采取纪律行动.

10. 根据资料保障法例，上述义务并不免除因故意滥用个人资料而触犯刑事罪行的个人责任.

更新:2021年1月，记录经理

 附件

个人信息的法律定义

个人信息被定义为可以从中识别或与所持有的其他数据或信息相结合的有关活着的人的数据或其他信息.  Some “special category data” (formerly sensitive personal data) are defined as information regarding an individual’s racial or ethnic origin; political opinion; religious or other beliefs; trade union 成员hip; physical or mental health or condition; sexual life; or criminal proceedings or convictions, 以及他们的基因或生物特征信息.

保障资料原则

保障资料原则订明，个人资料应:

• 处理(我.e. 公平、合法及透明地收集(处理、储存、披露及销毁).  作为其中的一部分, 大学必须有“法律依据”来处理个人资料(最常见的是,  办理手续是学院与他们签订合同所必需的, 处理是履行法律义务所必需的, 该处理符合学院的合法利益，并不凌驾于他们的隐私考虑之上, 或已同意处理);
• 仅为指定的、明确的和合法的目的而处理;
• 充足、相关和有限;
• 准确(如果不准确，请进行纠正);
• 没有保存超过必要时间的;
• 处理安全.

数据主体的权利

个人的权利(所有这些权利都以不同的方式限定)如下:

• 有权被告知他们的个人资料是如何被使用的.  这一权利通常通过提供“隐私声明”(也称为“数据保护声明”或“隐私声明”)来实现, 尤其是在网站的背景下, “私隐政策”)，订明机构计划如何使用个人资料, 它将与谁共享, 抱怨的方式, 等等;
• 查阅其个人资料的权利;
• 要求更正不准确的个人资料的权利;
• 删除个人数据的权利(被遗忘的权利);
• 在验证或更正之前，有权限制对其个人数据的处理;
• 以机器可读和常用格式接收其个人数据副本的权利(数据可携性权利);
• the right to object: to 处理 (including profiling) of their data that proceeds under particular legal bases; to direct marketing; 和 to 处理 of their data for research purposes where that research is not in the public interest;
• 不受完全基于使用其个人数据的自动决策的决定的权利.

问责制

根据法律，学院必须:

• 遵守资料保护法，并保留证明这一点的记录;
• 落实政策, 程序, 促进“通过设计和默认方式保护数据”的流程和培训;
• 在外发涉及处理个人资料的职能时，订立适当的合约;
• 维护在整个学院进行的数据处理记录;
• 记录和报告个人资料泄露;
• 在相关情况下，对高风险处理活动进行数据保护影响评估;
• 作为英国数据保护法的监管机构，与信息专员办公室(ICO)合作;
• 回应监管机构/法院的诉讼，并支付由ICO发出的行政罚款和罚款.