数据保护

政策和手册

所有的工作人员,学生和游客必须遵守大学的数据保护策略。

介绍

爱丁堡大学 (“大学”) 默认情况下,并通过设计,并支持所有那些与它的作品,包括但不限于,员工,学生,游客,校友和研究参与者的数据保护权利致力于数据保护。这项政策规定了问责和学校的责任,其工作人员和学生与一般的数据保护法规的规定完全符合(下称“ gdpr“)和数据保护法案2018(下称“ DPA“),并认识到,适当的,并符合数据保护法增强互信处理个人资料,是做正确的事,并保护大学与所有利益相关者的关系。

大学拥有和处理有关个人的个人数据,如员工,学生,毕业生和其他,定义为法律“数据对象”。这样的数据必须只根据gdpr和DPA进行处理。

学校先后任命了一个数据保护官员(DPO)监测和遵守gdpr和DPA建议。然而,对于合规性和任何违反的后果承担责任不能合法地转移到DPO而是保持与商务区。信息和建议可以从DPO并从每一个学院,学校,部门和支撑区域的本地数据保护的冠军获得。

该政策包括以下几个方面:

  • 该政策的目的
  • 该政策的范围
  • 该政策的地位
  • 该政策下的责任
  • 通过设计和默认的数据保护
  • 管理和数据用户的责任
  • 由学生处理个人数据
  • 数据主体的权利
  • 内部数据共享
  • 个人数据的欧洲经济区以外转移
  • 直销
  • 数据保护培训
  • 数据保护漏洞

使用的所有定义的词汇表可以在这里找到:

数据保护的定义

政策的目的

该政策规定了学校的职责,其工作人员及其学生与gdpr和DPA的规定完全符合。它伴随有数据保护手册(“手册”)与提供关于数据保护的不同方面的信息和指导。这一政策和手册形成人人处理个人数据应遵循以确保遵守数据保护法的框架。

数据保护手册

该大学的政策是伴随着数据保护手册(“手册”),它提供关于数据保护的不同方面的信息和指导。该手册和政策形成人人处理个人数据应遵循以确保遵守数据保护法的框架。

范围

此政策适用于在爱丁堡或学生的大学是数据控制器或个人数据的数据处理器的所有情况下,所有的工作人员和学生。该政策适用于这种情况下不管是谁创建的数据,在那里举行,或使用的设备的所有权。

该政策的地位

该政策已通过学校行政上的14可与以前的数据保护政策普遍2018,这个政策并没有形成大学与员工或学生之间的正式合同的一部分,但符合其就业的条件和学生合同由该大学的规则和政策的约束。因此,任何不遵守该政策可能会导致纪律处分。

与荣誉合同或“访问者”身份个人都应遵守这一政策,只要它们并代表学校的处理数据。信息可以在找到 政策的名誉地位的奖.

该政策下的责任

大学作为数据控制器具有企业责任落实和遵守数据保护法。这种企业责任委派给每个区域的数据管家。因此,在确定目的为此,并且其中,个人数据被处理的方式,大学必须遵守如载于立法的六个数据保护原则(“原理”)。这六个原则的细节在所附的手册中找到。

本节将列出遵守的主要要求。

数据安全

在大学里的个人数据的所有用户都必须确保个人数据始终保持安全,不透露给任何未经授权的第三方或者意外,疏忽或故意。信息安全策略,服用安全计算环境之外的敏感信息和个人数据和计算规则必须与该数据保护政策一并阅读的策略。

信息安全策略

服用敏感信息和个人数据安全的计算环境的内外政策

计算规则

更多的信息可以在手册第4找到。

隐私声明

当大学从个人收集个人数据,“公正和透明”的要求必须得到遵守。这意味着大学必须提供的数据对象具有“隐私声明”,让他们知道如何和什么目的他们的个人数据进行处理。任何数据处理必须一致或与该目的兼容。隐私声明模板和指导可以在这里找到:

隐私声明.

更多的信息可以在手册的第5节中找到。

处理/合法性的条件

为了满足“合法”的要求,处理个人数据必须满足至少一个以下条件:

  1. 数据主体同意给予。
  2. 的处理是必需的,由于一个合同。
  3. 这是必要的,因为法律义务。
  4. 既要保护人的切身利益(即生或死的情况)。
  5. 有必要对公共利益或在控制器赋予正式权力的行使进行了任务的执行。
  6. 这是必要的控制器或第三方的合法权益。

对特殊类别的个人数据,以下条件中的至少一个必须满足:

  1. 资料当事人给予明确同意。
  2. 该处理是必要的就业,社会保障和社会保护法的目的。
  3. 该处理是必要的,以保护人的切身利益。
  4. 该处理是由不以营利为目的的身体进行。
  5. 处理由数据主体显然公开
  6. 的处理是必要的法律要求
  7. 该处理是必要的大量公共利益的原因。
  8. 该处理是必要的药品而言,保健和社会护理或治疗或健康或社会保健系统和服务管理的规定。
  9. 该处理是必要的公共卫生
  10. 该处理是必要的归档目的的公共利益,科学或历史研究的目的或统计用途受到其在手册解释一些防范措施

更多的信息可以在手册的第6节中找到。

数据保留

个人数据不得存放超过必要为它最初收集的目的。这适用于所有个人数据,无论是举行核心系统,本地PC,笔记本电脑或移动设备上或纸上举行。如果数据不再需要,它必须被可靠地破坏掉或删除。大学的隐私声明,以个人数据必须持续多长时间保存,并进行指示  并根据法律和业务要求:

大学隐私声明

更多的信息可以在手册的第7节中找到。

通过设计和默认的数据保护

在gdpr和DPA下,大学必须考虑在所有的处理活动数据隐私的影响的义务。这包括实施适当的技术和组织措施,以尽量减少潜在负面影响的处理可以对资料当事人的隐私。

数据保护影响评价

考虑新的处理活动或设立新的程序或涉及个人数据的系统时,隐私问题必须始终在最早的阶段和数据保护的影响评估(考虑dpia)必须进行。该dpia是对识别和检查的新举措的影响,并把制定措施,尽量减少或在处理过程中的设计阶段,整个计划的生命周期中减少隐私风险的机制。这将确保隐私和数据保护控制要求不是后的思想。

如何申请dpias的评估和指导可以在这里找到:

数据保护的影响评估

匿名化和pseudonymisation

降低与处理个人资料有关的风险进一步机制申请匿名化或pseudonymisation。只要有可能,个人数据必须匿名,或如果这是不可能的,pseudonymised。 

关于如何以及何时匿名化和pseudonymise可以在这里找到指导:

匿名化和pseudonymisation

通过设计,默认数据保护的详细信息可以在使用手册的第15条中找到。

管理和数据用户的责任

学校,学院和行政及支援服务经理负责人有责任确保遵守gdpr,德新社这一政策,并制定和各自的职责范围内,鼓励良好的信息处理方式。在大学里的个人数据的所有用户都有责任确保他们处理按照原则和法律设定的其他条件的数据。该手册提供了详细的指导,以协助履行这些义务。

每个大学,学校和部门必须指定一名或更多的数据保护的冠军。这些人是@他在其区域的数据保护问题的第一联系人,升级到数据保护官员和行为困难的问题作为数据保护官员及其区域之间的沟通渠道。 各学校校长可以选择委托管理,但不能用于数据保护的责任关系到他们的学校数据保护的冠军。该DPO将进行定期审计,以确保遵守这一政策和立法。

处理研究数据

开始,这将涉及获取或使用个人数据和个人数据的特殊类别的任何研究之前,研究者必须对这一政策给予适当的考虑和指导所含的手册以及如何将这些将被正确遵守。研究者必须保证公平,透明和合法的原则遵从和隐私设计和默认应用。这意味着,只要可行,研究数据必须被匿名或在尽可能早的时间pseudonymised。

更多的信息可以在手册第12找到。

学生处理的研究数据

学生使用个人数据由以下决定:

  • 其中一个学生收集并为了追求与大学课程学习过程中的个人资料,以及本课程的学习是没有一所大学牵头的项目的一部分,学生而不是大学是所使用的个人数据的数据控制器在研究。
  • 但是,国内使用豁免适用 - 如果数据是从已经被大学举办一个数据库中提取,大学仍然是数据库中的数据控制器,但学生将所提取的数据的数据控制器。
  • 一旦包含个人数据的论文提交评估中,大学将成为个人数据的数据控制器。
  • 其中研究生处理个人数据,而在一所大学的研究小组领导的项目工作,大学是数据控制器。

学术而学术,相关人员必须确保他们监督是注意以下的学生:

  • 学生应该只使用个人数据与知识与大学相关的目的,并表示学术人员(适当成员的同意,通常情况下,一个研究生,这将是导师,为本科生负责教学相关的人类/疗程)。
  • 学生利用大学的相关个人资料,应限制在最低与学术目标的实现相一致。尽可能数据应如此匿名学生是无法识别的对象。

更多的信息可以在手册第13找到。

数据主体的权利

在gdpr与行为包含八个数据主体权利的大学必须遵守 - 的权利信息(参见隐私声明区),受访问,整改,对对象,要删除,可移植性,以限制加工以及有关自动化决策和分析。这些权利可以在研究中使用的个人数据受到限制。

主题访问请求和数据可移植性的权利

个人有权请求权看到或接收大学保存关于他们的任何信息的副本,并在某些情况下,以具有在一个结构提供,数据常用和机器可读的格式,因此它可以被转发到另一个数据控制器。大学必须到四个星期内对这些要求作出回应。

它是个人犯罪行为的对象访问请求已被接收后删除相关的个人数据。

接收目标接入请求个人必须遵循包含在部11中的手册对象接入请求程序。

右到擦除,以限制处理,来整流和对象

在某些情况下,数据主体 必须要有自己的数据删除的权利。这仅适用于

  • 其中数据是不再需要为宗旨,为它最初收集,或
  • 其中数据受试者撤回同意,或
  • 其中,数据被非法处理。

在某些情况下,数据对象可能不希望已删除的数据,而是有任何进一步的处理受到限制。

如果个人数据不准确,资料当事人有权要求学校纠正不准确的权利。在某些情况下,如果个人数据不完整,数据主体还可以要求控制器来完成数据,或记录的补充声明。

数据对象有对象的权利,特定类型的处理,诸如用于直接销售,科研或统计目的处理。资料当事人需要证明的理由反对有关他们的特殊情况的处理,除了在直复营销的情况下它是一个绝对的权利。

个人接受任何的 这些要求不应该采取行动回应,而是应该立即联系该数据保护官员。

关于权利的自动决策和分析

在自动化的决策和分析可能对数据对象显著影响的情况下,他们有权利要么被人类或审查的决定不会受到这种类型的决策可言。这些要求必须立即转发到数据保护官员。

更多的信息可以在手册的部分11中找到。

数据共享

当个人数据在内部传送时,接收方必须仅处理与收集该数据的原始目的相一致的方式的数据。如果个人数据是一个新的和不同的目的在内部共享,一个新的隐私声明将需要提供给数据对象。

当个人数据从外部转移,法律依据必须确定与高校和第三方之间的数据共享协议必须签名,除非披露是法律要求,如从部门的工作和养老金或税务局某些请求或者第三方都需要为执法目的的数据。

更多的信息可以在手册第8中找到。

外面的个人数据转移 EEA

个人数据只能调出英国的时候有到位,以确保保护的数据的适当水平的保障。

在美利坚合众国个人资料传输到接收方,欧盟和美利坚合众国之间的隐私保护协议,提供了足够的保护。传输数据前,隐私屏蔽网站应该进行咨询,以确定接收方是否是隐私保护名单上。 参与传递的个人数据到其他国家工作人员必须确保适当的安全措施是否到位同意任何此类转让之前。

更多的信息可以在手册第10节中找到。

直销

直销不仅覆盖材料的有关个人销售的产品和服务的交流,还能促进目标和理想的。为大学,这将包括有关事件,筹款,销售商品或服务的通知。营销涵盖了所有形式的通信,如通过邮寄,传真,电话和电子信息接触,从而使用电子方式,如电子邮件和短信是隐私和电子通信条例2003(管辖PECR)。大学必须确保它始终与相关立法每次承担直销,必须停止一切直销活动,如果一个人请求其停止时间的规定。

更多的信息可以在手册第16节中找到。

数据保护培训

大学执行委员会在2018年2月12日一致认为,应该是强制性的所有工作人员完成对学习数据保护方面的培训模块。此外,员工的学历全部成员必须完成研究模块gdpr下。该模块可以在这里找到:

数据保护培训

数据保护漏洞

大学有责任确保适当和相称的安全的个人数据,它成立。这包括保护数据免受未授权的或非法的处理和防止意外丢失,破坏或数据的损坏。学校尽一切努力避免数据保护事件,但是,它是可能的错误,才会偶尔发生。个人数据事件的例子可能会出现通过:

  • 丢失或数据或设备的盗窃
  • 无效的访问控制,允许未经授权的使用
  • 设备故障
  • 未授权的公开内容(例如,电子邮件发送到不正确的接收方)
  • 人为错误
  • 黑客攻击

任何数据保护事件必须被带到大学的数据保护官员的关注谁将会调查并决定是否该事件构成的数据保护漏洞。如果发生可报告的数据保护漏洞,学校会按要求通知信息专员办公室尽快和后不迟于72小时 越来越意识到这一点。大学社区的任何成员谁在遇到他们认为可能是一个数据保护事件必须通过电子邮件的数据保护官员立即东西 dpo@ed.ac.uk 在主题行“违约”。

如何举报违反和将所需的资料详细信息包含在手册的第17条。

数据保护官员

数据保护官员是负责就遵守数据保护法的大学,并监测其性能反对。

该大学的指定数据保护官员详细资料载于:

数据保护官员

关于主题访问请求的查询必须解决:

recordsmanagement@ed.ac.uk