欧盟一般数据保护条例合规政策
范围
所有涉及校园内社区成员的财务和行政政策, 包括志愿者在内,都在这项政策的范围内. 如果在部门期望和大学政策中描述的共同方法之间存在差异, 学院将依靠校园社区, 支持包括志愿者在内的大学政策的精神和目标. 除非学校政策里特别提到, 学院的董事会受其章程管辖.
政策
赌博正规的十大网站(CC)是一所涉及教育的高等教育机构, 研究及社区发展. 为了让CC教育它的外国和国内学生, 从事研究, 提供社区服务, 这是必要的, CC有合法依据, 收集, 过程, 使用, 及/或保存学生的个人资料, 员工, 申请人, 研究对象, 以及其他参与其教育的人, 研究, 以及社区项目. 这些活动包括, 但不限于, 入学, 登记, 教室交付, 场, 以及留学教育, 成绩, 通信, 就业, 研究, 发展, 改进方案分析, 记录保存.
科罗拉多大学认真对待保护其收集或处理的个人数据的责任. 除了CC的整体数据保护计划之外 欧盟一般数据保护条例(“欧盟GDPR”) 对实体施加义务, 比如赌博正规的十大网站, 收集或处理人们的个人数据 欧洲联盟("欧盟"). 欧盟GDPR适用于CC收集或处理位于欧盟的任何人的个人数据, 无论他们是欧盟国家的公民还是永久居民. 除其他事项外,欧盟GDPR要求赌博正规的十大网站:
- 对所收集或处理的个人资料,以及对任何个人资料的用途,保持透明
- 记录其对个人资料的所有使用和披露
- 妥善保护个人资料
本政策描述了科罗拉多大学的数据保护策略,以符合欧盟GDPR.
收集或处理个人资料的法律依据
赌博正规的十大网站(CC)有合法的依据来收集和处理个人数据. 本会收集及处理的个人资料,大部分属以下类别:
- 为了科罗拉多大学或第三方追求的合法利益,处理是必要的.
- 处理是履行数据主体为当事人的合同或在签订合同前应数据主体的要求采取步骤所必需的.
- 为了遵守赌博正规的十大网站的法律义务,处理是必要的.
- 资料当事人已同意为一个或多个特定目的处理其个人资料.
在某些情况下,个人数据的收集和处理将依据其他合法依据.
数据保护 & 治理
赌博正规的十大网站(CC)将保护其合法收集或处理的所有个人数据和敏感个人数据. CC收集或处理的任何个人资料及敏感个人资料应:
- 以合法、公平和透明的方式处理
- 收集作指定用途, 显式的, 合法目的, 而且不能以不符合这些目的的方式进一步加工
- 限于就收集及处理资料的目的而言所必需的资料
- 准确并保持最新
- 只在必要时保留
- 安全
敏感个人资料 & 同意
处理显示种族或民族出身的个人资料, 政治观点, 宗教或哲学信仰, 或者工会会员, 以及基因数据的处理, 用于唯一识别自然人的生物特征数据, 赌博正规的十大网站禁止有关健康的数据或有关自然人性生活或性取向的数据, 除非下列其中一项适用:
- 资料当事人已明确同意为一个或多个指明目的处理该等个人资料, 除非欧盟或成员国法律规定第1段所述的禁令不得由数据主体解除;
- 为了履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利,处理是必要的,只要它是由欧盟或成员国法律授权的,或根据成员国法律制定的集体协议,为数据主体的基本权利和利益提供适当的保障;
- 处理是必要的,以保护数据主体或其他自然人的切身利益,而数据主体在身体上或法律上没有能力给予同意;
- 处理是在基金会的合法活动过程中进行的,并有适当的保障措施, 协会或任何其他不以营利为目的的团体与政治, 哲学, 宗教或工会的目的,并且条件是处理仅涉及该机构的成员或前成员,或与该机构就其目的定期联系的人,并且未经数据主体同意,个人数据不会在该机构之外披露;
- 处理涉及由资料当事人明显公开的个人资料;
- 加工是建立的必要条件, 行使或辩护法律要求,或在法院行使其司法职权时;
- 出于重大公共利益的原因,处理是必要的, 根据与所追求的目标相称的联盟或成员国法律, 尊重数据保护权利的本质,并提供适当和具体的措施来维护数据主体的基本权利和利益;
- 为了预防医学或职业医学的目的,加工是必要的, 用于评估员工的工作能力, 医学诊断, 在欧盟或成员国法律的基础上,或根据与卫生专业人员签订的合同,并受条件和保障的约束,提供卫生或社会保健或治疗,或管理卫生或社会保健系统和服务;
- 出于公共卫生领域公共利益的原因,处理是必要的, 例如防范对健康的严重跨界威胁,或确保卫生保健和医药产品或医疗装置的高质量和安全标准, 在欧盟或成员国法律的基础上,该法律规定了保护数据主体权利和自由的适当和具体的措施, in particular professional secrecy; L 119/38 EN Official Journal of the European Union 4.5.2016
- 出于公共利益的目的,处理是必要的, 基于欧盟或成员国法律的符合第89(1)条的科学或历史研究目的或统计目的,这些目的应与所追求的目标成比例, 尊重数据保护权利的本质,并提供适当和具体的措施来维护数据主体的基本权利和利益.
个人权利
本政策所涵盖的个人资料当事人将享有以下权利:
- 收集数据的控制器信息
- 资料保障主任的联络资料(如获指派)
- 收集/处理资料的目的及合法依据
- 个人资料的接收者
- 如果科罗拉多大学打算将个人数据转移到另一个国家或国际组织
- 个人资料储存的期限
- 访问权的存在, 更正错误的数据或删除个人数据, 限制或反对加工, 以及数据可移植性的权利
- 存在随时撤回同意的权利
- 向监管机构(在欧盟设立)提出投诉的权利
- 为什么需要提供个人资料,以及不提供资料可能造成的后果
- 自动化决策的存在,包括分析
- 如果收集的数据将被进一步处理,而不是用于收集数据的目的
注:行使这些权利是对过程的保证,而不是对结果的保证.
范围:
本政策适用于受EU GDPR保护的个人数据和敏感个人数据,以及所有收集或处理受EU GDPR保护的个人数据和敏感个人数据的科罗拉多大学单位.
程序
5.1数据治理 |
|
文件收集或处理的合法依据 |
收集或处理受欧盟GDPR保护的个人数据的所有科罗拉多大学单位必须记录收集或处理个人数据和他们收集或处理的敏感个人数据的法律依据, 为什么要收集, 他们保存了多长时间. 赌博正规的十大网站的所有数据应按照学院的规定保存 记录保留时间表 |
5.2. 隐私通知 |
|
赌博正规的十大网站的隐私声明 |
赌博正规的十大网站发给数据主体的隐私通知必须明确赌博正规的十大网站收集或处理个人数据的合法依据,并包括:
|
5.4个人权利 |
|
权利的行使 |
任何希望行使本政策权利的个人,请联系 privacy@epmf.net |
5.5数据保护 |
|
个人资料的保安 |
在本政策范围内,任何赌博正规的十大网站单位收集或处理的所有个人数据和敏感个人数据必须符合安全控制、系统和流程要求以及学院信息安全政策的标准 http://e59.epmf.net/basics/welcome/leadership/policies/information-security-policy |
违反通知 |
任何科罗拉多大学单位,怀疑违反或披露个人数据已经发生必须 立即 通知赌博正规的十大网站的网络安全部门 privacy@epmf.net |
责任方及职责:
科罗拉多大学
记录根据本政策收集或处理的个人资料或敏感个人资料的法律依据.
与…合作 privacy@epmf.net 当个人查询其个人数据或根据本政策收集或处理的敏感个人数据时.
立即通知(24/7)并与科罗拉多大学网络安全部门就任何数据泄露进行合作: privacy@epmf.net
Privacy@epmf.net
对在欧盟境内收集的个人数据或敏感个人数据进行查询(见第2节).4).
协调赌博正规的十大网站单位回应个人资料或敏感个人资料的查询,而从个人在欧盟收集.
网络安全
回答有关资料保安措施的问题及检讨资料保安措施.
为本院处理资料外泄通知.
执行:
违反该政策可能会导致系统丢失, 网络, 以及数据访问权限, 行政处罚(包括终止或开除),如学院的信息安全政策所述.
http://e59.epmf.net/basics/welcome/leadership/policies/information-security-policy
要报告疑似不遵守此政策的情况,请联系 privacy@epmf.net
定义
收集或处理数据 |
集合, 存储, 记录, 组织, 构建, 适应或改变, 咨询, 使用, 检索, 通过传输/传播或以其他方式提供数据的披露, 对齐或组合, 限制, 删除或销毁个人资料, 无论是否通过自动化手段. |
同意
|
资料当事人的同意是指任何自愿给予的同意, 具体的, 对数据主体的意愿作出知情和明确的指示, 通过声明或明确的肯定行动, 表示同意处理与他们有关的个人资料. 根据欧盟GDPR:
|
控制器
|
自然人或法人, 公共权力, 机构或其他组织, 单独的或与他人一起的, 确定处理个人资料的目的和方法. |
赌博正规的十大网站单位 |
赌博正规的十大网站办公室、项目或部门. |
已识别或可识别的人士
|
已识别或可识别的人是可以被识别的人, 直接或间接, 特别是通过对标识符(如名称)的引用, 识别号码, 位置数据, 一个在线标识符或一个或多个特定于物理的因素, 心理, 遗传, 精神, 经济, 这个人的文化或社会身份. 标识符的示例包括但不限于:name, 照片, 电子邮件地址, 识别号码,如CC ID#, CC账号(用户ID), 物理地址或其他位置数据, IP地址或其他在线标识符. |
合法的基础上
|
只有在以下至少一项适用的情况下,个人资料的处理才是合法的:
|
合法权益
|
如果数据控制者/处理者的合法商业目的需要处理个人数据,则该等处理是合法的, 除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒. |
个人资料 |
与已识别或可识别的人(资料当事人)有关的任何资料. |
处理器
|
自然人自然人或法人, 公共权力, 代表控制者处理个人数据的机构或其他组织. |
敏感个人资料 |
需要在收集或处理前取得资料当事人同意的特别类别个人资料包括:
|