搜索

Data Protection Policy  (Personal information, its 处理 和 privacy)

1. The purpose of this policy is to ensure compliance with 数据保护法律 in the UK: the UK General Data Protection Regulation (UK GDPR), tailored by the Data Protection Act 2018. 数据保护法适用于 处理 (集合, 存储, use 和 transfer) of 个人信息 (data 和 other personal identifiers) about 数据对象 (生活可识别的个人).

2. Under 数据保护法律, the College is identified as a 数据控制器 和 as such is subject to a range of legal obligations. 为清晰起见, 剑桥大学和剑桥的其他学院是独立的数据控制器, 有自己的政策和程序. 大学和学院之间的个人信息共享受正式的数据共享协议保护.

3. 这项政策对所有人都适用 工作人员成员 of the 大学, except when they are acting in a private or external capacity.  为了清楚起见,这个术语 工作人员 指在任何情况下为学院工作的任何级别或等级的人(无论是永久的, fixed term or temporary) 和 including employees, 退休但在职的成员和工作人员, 访问学者, 工人, 学员, 实习生, 借调人员, 机构工作人员, 代理, 志愿者, 和 external 成员 of College committees. 同样,这个词 成员 包括学院资深会员(正规的外围app员)和初级会员(学生及校友),他们代表学院处理或处理个人资料, except when they are acting in a private or external capacity.

4. This policy should be read in conjunction with:

  • College Statutes, Ordinances 和 Regulations:
  • 在处理学院资料时,载有保密义务的员工雇佣合同及类似文件;
  • 政策, procedures 和 terms 和 条件 of the College 和, 在相关的, similar documents of the 剑桥大学 with regard to:
    • 信息安全;
    • acceptable us of IT 设施 (including personal devices);
    • 档案管理及保存
    • 学院或个人的任何其他规定保密或信息管理义务的合同义务(有时可能超出学院关于存储或安全要求的政策)——e.g. 资助的正规的外围app).

5. This policy is reviewed by the 金融 Committee 和 approved by Governing Body. It is reviewed at least once every 3 years. 理事机构仍有责任确保适当的资源到位,以根据适当的总体风险状况实现对数据保护法的遵守.

6. The College upholds 数据保护法律 as part of everyday working practices through:

一)确保所有 个人信息 (see annex below) is management appropriately through this policy;

b) underst和ing, 和 applying as necessary, the 数据保护的原则 (see annex below) when 处理 个人信息;

c) underst和ing, 和 fulfilling as necessary, the 给予资料当事人的权利 (see annex below) under 数据保护法律;

d) underst和ing, 和 implementing as necessary, the College's 责任义务 (see annex below) under 数据保护法律; 和

E)出版 数据保护声明 以清晰及透明的方式概述处理个人资料的详情.

7. 学院须委任一名法定资料保护主任,负责:

a)监督和审计学院遵守数据保护法规定的义务的情况, 特别是它的整体风险状况, 和 reporting on such annually to the College;

b) advising the College on all aspectsof its compliance with 数据保护法律;

c)在数据保护法方面,作为学院与信息专员办公室的标准联络点, including in the case of personal data breaches; 和

d) acting as an available point of contact for complaints from 数据对象.

8. 除此之外,学院应确保所有成员和教职员了解本政策,以及与遵守数据保护相关的任何相关程序和指导说明, 提供适当的培训, 和 review regularly its procedures 和 processes to ensure they are fit for purpose. It shall also maintain records of information assets.

9. Individual 成员 和 工作人员 are responsible for:

a) completing relevant data protection training, as advised by the College;

b) following relevant 大学政策, procedures 和 notes of guidance;

c)仅在履行合同职责和/或学院其他职责时才查阅和使用个人信息;

D)确保他们接触到的个人信息没有被不必要或不恰当地披露;

e),即可, 举报个人资料泄露, 和 co-operating with College authorities to address them; 和 

f)只删除, 在离校时,复制或删除个人资料,但须经学院同意,并视情况而定.

不遵守第9段规定的责任可能导致对个别工作人员采取纪律行动.

10. 根据保障资料法例,上述义务并不豁免任何故意滥用个人资料的个人刑事罪行的个人责任.

11. The Data Protection Lead at St Catharine's College is the Bursar, 十大外围app, Trumpington街, 剑桥, Cb2 1rl 01223 338300; bursar@caths.凸轮.ac.uk. 学院的数据保护官是校际服务办公室有限公司(OIS Ltd) [12B King's Parade], 剑桥; 01223 768745; 大学.dpo@ois.凸轮.ac.uk]

最近更新:2021年12月

附件

Legal definition of 个人信息

个人信息被定义为关于一个活着的人的数据或其他信息,可以从中识别其身份,或与所持有的其他数据或信息相结合. Some "special category data" (formerly sensitive personal data) are defined as information regarding an individual's racial or ethnic origin; politcal opinion; religion or other beliefs; trade union 成员hip; physical or mental health or condition; sexual life; or criminal proceedings or convictions, 以及他们的生物特征信息.

数据保护的原则

The 数据保护的原则 state that personal data shall be:

  • 处理(我.e. 收集、处理、储存、披露和销毁)是公平、合法和透明的. 作为其中的一部分, 学院在处理个人资料时(通常情况下)必须有“法律依据”, the 处理 is necessary for the College to operate a contract with them, the 处理 is necessary to fulfill a legal obligation, 申请过程符合学院的合法利益,并不影响他们的隐私考虑, or they have consented to the 处理);
  • processed only for specified, explicit 和 legitimate purposes;
  • 适当的、相关的和有限的;
  • 准确(如不准确则予以纠正);
  • 保存时间不超过必要的;
  • 处理安全.

数据对象的权利

An individual's rights (all of which are qualified in different ways) are as follows:

  • the right to be informed of how their personal data are being used. 这一权利通常通过提供“隐私通知”(也称为“数据保护声明”)来实现, 特别是在网站的背景下, “私隐政策”),规定机构计划如何使用个人资料, 它将与谁共享, 抱怨的方法, 等等;
  • the right of access to their personal data;
  • the right to have their inaccurate personal data rectified;
  • the right to have their personal data erased (right to be forgotten);
  • 在核实或更正个人资料前,有权限制对其个人资料的处理;
  • 以机器可读和常用格式接收个人数据副本的权利(数据可移植权);
  • the right to object: to 处理 (including profiling) of their data that proceeds under particular legal bases; to direct marketing; 和 to 处理 of their data for research purposes where that research is not in the public interest;
  • 不受仅基于使用个人数据的自动决策影响的权利.

问责制

根据法律规定,学院必须:

  • comply with 数据保护法律 和 hold records demonstrating this;
  • 落实政策, 促进“设计和默认保护数据”的程序和程序及培训;
  • 在涉及处理个人资料的外判工作时,须订立适当的合约;
  • maintain records of the data 处理 that is carried out across the College;
  • record 和 report personal data breaches;
  • 在相关情况下,对高风险处理活动进行数据保护影响评估;
  • 作为英国数据保护法的监管者,与信息专员办公室(ICO)合作;
  • 回应监管/法院行动,并支付由ICO发出的行政费用和罚款.