富兰克林 & 马歇尔头标志

资讯科技政策

首页 / 大学政策 / 技术 / 隐私政策

隐私政策

资讯科技政策

I. 政策的理由和陈述

这项政策定义了学院对个人隐私的承诺.

II. 范围

该政策适用于所有员工,学生,承包商,志愿者,第三方 供应商等.,以及所有产生、收集、储存的个人资料 和/或通过富兰克林的任何活动进行处理 & 贝博体育,横跨整个学院 区域. 这包括为研究目的收集的数据.

The 大学, as data 控制器, remains responsible for the control of personal data it collects even if that data is later passed onto another organization or is stored on systems or devices owned by other organizations or individuals (including personally 自有设备或非学院管理的设备).

3. 定义

数据对象
数据主体是与富兰克林有关系的可识别的自然人 & 谁可以直接或间接地识别,特别是通过 对标识符的引用,例如名称、标识号、位置数据、 an online identifier or to one or more factors specific to the physical, physiological, 该自然人的遗传、心理、经济、文化或社会身份.

资料保障主任
数据保护官是任何寻求者的确定联络点 向学院查询有关这项政策或他们的记录. F&米的首席 信息官(CIO)是学院指定的数据保护官.

保障资料原则
书院须遵守六项保障资料的原则,其中 means that information must be collected and used fairly, stored safely and not disclosed 非法转让给任何其他人. 这六个原则是:

  1. Personal data shall be processed lawfully, fairly and in a transparent manner ('lawfulness, 公平和透明’).

  2. 收集个人资料的目的必须明确、明确及合法 不得以任何不符合上述目的的方式进一步加工. 进一步的处理 for archiving, scientific or historical research or statistical 目的 is permissible (“目的限制”)

  3. Personal data shall be adequate, relevant and limited to what is necessary in relation 达到处理数据的目的(“数据最小化”).

  4. 如有需要,个人资料须准确及保持最新(“准确”).

  5. Personal data processed for any purpose shall not be kept for longer than is necessary 为此目的(“存储限制”).

  6. Personal data shall be processed in a manner that ensures appropriate security including 防止未经授权或非法加工和防止意外损失; destruction or damage, using appropriate technical or administrative controls ('integrity 和机密性”).

个人资料
Personal data is information about an individual, who is identifiable from that information or who could be identified from that information when combined with other data which 该学院持有或可能获得.

个人资料“特别类别”
特殊类别的数据包括特别敏感的个人信息,例如 比如健康状况、种族或民族出身或宗教信仰.

处理数据
The definition of 'processing data' includes obtaining/collecting, recording, holding, storing, organizing, adapting, aligning, copying, transferring, combining, blocking, 擦除或销毁信息或数据. 它还包括执行任何 operation or set of operations on the information or data, including retrieval, consultation, 使用和披露.

同意
同意 is defined as "any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she by statement or other clear affirmative 行动,表示同意处理与他或她有关的个人资料 她的“. 沉默、预先打勾或不活动不构成同意.

直接营销
Direct marketing relates to communication (regardless of media) with respect to advertising 或者是针对个人的营销材料. 个人必须得到 有机会将自己从用于直接营销的列表或数据库中删除 目的. 学院必须根据个人要求停止直接营销活动.

反对权
Data subjects have the right to object to specific types of processing which includes 直销加工. 数据主体需要证明的理由 objecting to the processing relating to their particular situation except in the case 直接营销是绝对的权利. 在线服务必须提供自动化 反对方法. 在某些情况下,这项研究权利可能有豁免 或者出于公共利益的统计目的.

被遗忘的权利(消除)
个人有权在某些情况下删除其数据,例如 where the data are no longer required for the purpose for which they were collected, 个人撤回同意,或者信息被非法处理. There is an exemption to this for scientific or historical research 目的 or statistical 目的,如果擦除将严重损害目标的实现 研究. 个人可以要求管理者“限制”数据的处理 until complaints (for example, about accuracy) are resolved or the processing is unlawful.

与自动决策和分析相关的权利
The right relates to automated decisions or profiling that could result in significant 对个体的影响. 分析是对数据进行评估、分析的处理 或预测行为或其行为、偏好或身份的任何特征. 个人 是否有权不受完全基于自动化处理的决策的约束. When profiling is used, measures must be put in place to ensure security and reliability 的服务. 基于敏感数据的自动决策只能通过 明确的同意.

改正权
The right to require a 控制器 to rectify inaccuracies in personal data held about 他们. 在某些情况下,如果个人资料不完整,个人可以要求 控制器完成数据,或记录补充报表.

可携性权
资料当事人有权要求提供有关他们的资料 structured, commonly used and machine-readable form so it can be sent to another data 控制器. 这只适用于以自动化方式处理的个人资料 (not paper records); to personal data which the data subject has provided to the 控制器, 而且只有在征得同意或签订合同的基础上进行处理.

数据泄露
学院负责确保适当和相称的安全 我们持有的个人数据. 这包括防止未经授权的数据 or unlawful processing and against accidental loss, destruction or damage of the data.

个人资料外泄的例子包括:

    • 数据或设备丢失或被盗

    • 不适当的访问控制允许未经授权的使用

    • 设备故障

    • 未经授权披露(e).g. 发送给错误收件人的电子邮件)

    • 人为错误

    • 黑客攻击

IV. 政策

符合F&M的隐私政策要求遵守这六项数据保护 原则. 这是学院所有成员的责任. 任何 deliberate breach of this policy may lead to disciplinary action being taken, access 学校设施被撤回,或被刑事起诉.

The 大学 is required to keep a record of its data processing activities as a summary of the processing and sharing of personal information and the retention and security 适当的措施. 学院也应该遵守这些要求 下面所列.

All personal data collection undertaken by the college, including data collected for 研究或类似活动的目的必须包含适当的形式 同意任何资料收集表格.

法规遵循需求

数据必须保证安全

任何有权查阅个人资料的社区成员必须确保所有的个人资料 他们保持安全. 他们必须确保信息不会泄露给任何未经授权的人 任何形式的第三方.

必须根据需要保留数据,并遵循已定义的数据保留策略

Individual 区域 within the 大学 are responsible for ensuring the appropriate retention 他们持有和管理的信息的期限,基于大学数据保留 政策.

Personal data must only be kept for the length of time necessary to perform the processing 它就是为此被收集起来的. 一旦信息不再需要,就应该处理掉 的安全. 纸质记录应粉碎或处置在保密容器 电子记录应该被永久删除.

If data is fully anonymized then there are no time limits on storage from a data protection 观点.

必须满足处理条件和同意条件

学院处理个人资料的合法及适当的条件(最少 必须满足以下条件之一):

a)数据主体已表示同意

b)由于合同需要处理

c)出于法律义务的需要

d)有必要保护某人的切身利益(例如.e. 生死关头)

(五)为履行公共利益所必需的任务 或在行使归属于控制人的官方权力时.

f)为了控制人或第三方的合法利益所必需的 and does not interfere with the rights and freedoms of the data subject (this condition 公共当局在执行其公共任务时不能使用).

任何提供同意的人都有权随时撤销其同意.

必须提供隐私声明

Under the 'fair and transparent' requirements of the first data protection principle, 学院须向资料当事人提供“私隐通知”,以便他们 知道它会如何处理他们的个人数据.

隐私声明公布在学院网站上,并可在点 第一次与学院接触.

必须给予选择退出直接营销(无论媒体)的机会

个人必须得到 opportunity to remove 他们selves from lists or databases 用于直接营销目的,无论媒体(电子邮件,电话,打印邮件, 等.)学院必须根据个人要求停止直接营销活动.

加工活动的记录必须保存

As a data 控制器 the 大学 is required to maintain a record of processing activities 涵盖学院所处理的所有个人资料. 这 记录详细说明处理个人资料的原因、资料的种类 个人哪些信息被持有,谁的个人信息被共享 当个人信息被转移到美国以外的国家时 州. 学院有三个处理活动记录:

    • Employee data (including job applicants, former and retired employees, honorary, emeritus)

    • 学生资料(包括申请人及校友)

    • Data subjects other than employees, students, applicants, alumni and former employees

主体访问请求和数据主体权利

这 policy gives data subjects the right to access personal information the 大学 关于他们. 主题访问请求的目的是允许个人 confirm the accuracy of personal data and check the lawfulness of processing to allow 必要时,有权行使纠正权或异议权.

学院必须回应所有个人信息和信息的要求 通常是免费提供的吗.

回应资料当事人的要求

任何援引上述任何权利的请求必须得到及时和有效的处理 在收到申请后的一个月内. 雇员应参阅资料私隐条例 如果收到任何类似的请求,请通知警官.

数据共享要求

在与第三方共享个人数据之前,需要满足某些条件 方或在外部数据处理器被用来代表方处理数据之前 大学.

As a general rule personal data should not be passed on to third parties, particularly 如涉及特殊类别的个人资料. 在某些情况下 在允许的情况下.

  • 任何 transfers of personal data must meet the data processing 原则, in particular 它必须对有关的资料当事人合法和公平.

  • 它必须满足加工的一个条件. 调职的正当理由 数据将包括:

    • 法律要求

    • 学院的官方事务

    • 如果不满足其他条件,则必须征得个人的同意 提供有关和适当的隐私声明.

  • 学院很满意第三方能够满足所有的要求 学院的隐私政策,特别是在安全持有信息方面.

  • 如有第三者代表书院处理个人资料,书院须向第三者提供书面的 合同必须到位.

  • 所有云服务提供商必须填写学院的云服务问卷, 由资讯科技署管理,以确保第三方符合 大学对信息安全的要求.

员工必须咨询学院合同办公室的数据隐私官 and Information 技术 Services if they are considering entering into a new contract 这涉及个人数据的共享或处理.

数据泄露必须及时报告

学院尽一切努力避免数据泄露,然而,这是可能的 错误有时会发生. 如果发生数据泄露,学院被要求 大多数情况下要尽快报告,而且不迟于72小时 在意识到这一点之后. 如果你意识到数据泄露,你必须报告 立即. 有关如何报告违规行为的详细信息,可从学院的 资讯科技署.

-----
政策 Maintained by: Information 技术 Services, Vice President and Chief Information 官
上次审查:2022年9月14日