关闭
这是对数据保护立法的介绍,以及它是如何在lovebet爱博体育下载解释和实施的,以帮助所有员工和学生.
内容
数据保护还涉及消除不必要的贸易和合作壁垒. 它之所以存在,部分原因在于制定共同标准的国际条约,使数据能够跨境自由流动. 英国一直积极参与制定这些标准.
数据保护对创新至关重要. 良好的资料保障措施对确保公众对, 参与并支持公共和私营部门对数据的创新使用.
英国数据保护立法载于《2018年数据保护法》(DPA)和《通用数据保护条例》(GDPR)(后者也是英国法律的一部分)。.
法规和指令在法律上的区别
法规是直接适用于所有欧盟成员国的具有约束力的立法. 一项指令规定了所有欧盟成员国必须通过本国立法实现的立法目标. GDPR是欧盟法律中的一项规定,它取代了一项指令. 然而,本条例确实允许成员国就数据保护事宜进行立法.g. 在何处处理个人资料须符合法律责任, 是由具有官方权力的机构执行的吗, 或者与公共利益相关的任务.
发生了什么变化?
- 扩大领土范围(域外适用)
- 处罚
- 同意
- 资料当事人权利要求:
- 您有权被告知您的个人资料是否被使用.
- 你有权获得你的数据副本.
- 你有权更正你的数据.
- 你有权删除你的数据.
- 您有权限制组织如何使用您的数据.
- 您对数据可移植性的权利.
- 反对使用您的数据的权利.
- 您在没有人为参与的情况下做出的与您有关的决策的权利(自动化/分析).
- 你向一个组织提出关注的权利.
你从公共机构获取信息的权利.
响应数据保护权利请求有时间限制.
为什么所有的变化
自1995年以来,移动设备等新技术, 社交媒体和互联网的普及从根本上改变了lovebet爱博体育官网下载使用个人数据的方式. 先前的1995年EC指令, 《1998年数据保护法》就是以此为基础制定的, 在保护个人资料方面被证明不够. 需要新的立法来应付这些新技术带来的挑战.
你的责任
- 完成在线培训.
- 识别主题访问请求(SAR)并知道如何处理它.
- 知道如何报告安全数据泄露或数据丢失.
- 知道h如何安全地分享个人资料.
- 知道h如何安全地储存个人资料.
- 知道离开办公室时该做些什么.
- 消息灵通.
当数据保护法规不适用时
- 不属于欧盟法律范围的活动(例如.g. 涉及国家安全的活动).
- 活动是作为“纯粹个人或家庭活动”的一部分进行的。.
- 已故的人.
- 谁人”(e.g.、公司).
- The data being processed is anonymous; e.g. 不涉及已识别或可识别的个人,或不以使资料当事人无法或不再可识别的方式呈现.
- 处理数据的组织位于欧洲经济区(EEA)以外,不处理源自欧洲经济区的任何个人数据.
Back to Top
个人资料是可识别的资料
“可识别”一词扩大了“个人资料”的范围. 在实践中,这意味着不一定需要姓名来识别个人. 其他因素可能揭示信息e.g. 社会,文化,基因,身体,身份证号码,生物特征数据. 语境也可能揭示个人的信息.
名字和其他信息结合在一起, 比如地址, 外貌描述或职位头衔, 这很可能清楚地识别出一个人.
资料保护法例所界定的资料类别
个人资料
与个人有关的信息. 必须直接或间接地从一个或多个标识符或从个人特有的因素中识别或识别该个人.
Pseudonymised
假名化是一种替换或删除数据集中识别个人的信息的技术.
假名化个人数据可以降低数据主体的风险,并帮助您履行数据保护义务. 但这实际上只是一种安全措施. 它不会改变数据作为个人数据的状态.
匿名
与已识别或可识别的自然人无关的匿名数据,或以无法或不再可识别数据主体的匿名方式提供的个人数据.
特殊类别个人资料(敏感)
This is personal data about an individual’s: race; ethnic origin; political opinions; religious or philosophical beliefs; trade union membership; genetic data; biometric data (where this is used for identification purposes); health data; sex life; or sexual orientation. 这些数据被认为是特别敏感的,需要格外小心和关注
特殊类别:犯罪记录 & 星展银行支票
这些类型的数据在处理时需要更高的灵敏度.
- 特殊类别:儿童和弱势成人
- 易受伤害的成年人:个人, 不管出于什么原因, 可能很难理解他们的信息是如何被使用的.
- 特殊类别:犯罪记录 & 星展银行支票
- 这种类型的数据在处理时需要更高的灵敏度.
处理个人资料的七项指导原则
合法性. 公平和透明:这意味着个人数据的处理应该合法, 以公平和透明的方式对待个人. 透明度和公平性的规定通常通过Privacy声明来满足, 在“公平处理??下面的常见问题
目的限制. 这表示个人资料只可收集作指定用途, 明确和合法的目的,不得以与这些目的不相容的方式进一步处理. 你应在私隐声明中注明目的.
数据最小化. 这意味着个人数据应限于与处理目的有关的必要信息, e.g. 如果你只是通过电子邮件发送时事通讯, 你可能只需要一个人的名字和电子邮件地址.
精度. 这意味着您应该采取合理的步骤来更新个人数据,并确保个人数据是不准确的, 考虑到它们被处理的目的, 是否立即删除或纠正.
存储的限制. 这意味着,个人资料的保存时间不应超过必要的时间,而须以足以识别资料当事人的形式保存. 这意味着您应该决定需要保留信息的时间,并说明收集信息的目的,并在不再需要这些信息时安全地删除这些信息.
诚信及保密. 这意味着处理个人资料的方式应确保该等个人资料的适当安全性, 例如防止未经授权的处理, 意外的损失, 破坏或损坏.
问责制. 这意味着控制者应负责, 并且能够证明遵守, 以上六个原则.
进一步的信息
Back to Top
关键术语
了解关键的数据保护术语非常重要,因为它们在策略中使用, 在撰写和接收Privacy通知时, 使用数据保护影响评估(DPIA)评估风险时.
公平的处理
数据保护立法的第一项原则要求您合法地处理所有个人数据, 以公平和透明的方式. 公平意味着你只应该以人们合理期望的方式处理个人数据,而不是以对他们产生不合理的不利影响的方式使用它.
评估你是否在公平地处理信息,部分取决于你是如何获得信息的. 特别是, 如有人在取得个人资料时受到欺骗或误导, 那么这就不太可能公平.
控制器和处理器
控制人是一个法人(即.e. 大学), 公共权力, 机构或其他组织, 单独的或与他人一起的, 确定处理个人资料的目的及方法. 控制者负责遵守GDPR的大多数方面,即使是在聘请处理者代表他们处理个人数据时也是如此.
两个或多个控制者共同确定处理的目的和方法. 数据保护立法要求共同控制者达成一项“安排”,反映他们对数据主体的角色和关系. 同时使用“安排”一词而不是“合同”, 现实情况是,这很可能通过书面数据共享协议来实现.
处理者是一个法人, 公共权力, 代表控制者处理个人资料的机构或其他团体. 因此,是控制器与处理器交互. 例子包括外包服务,如代表大学进行调查的组织, 云服务或翻译服务.
处理器只在控制器的指令下行动. 他们必须确保个人资料的安全,防止未经授权的查阅、遗失或毁坏. 如果处理者处理个人数据, 除非按照管制员的指示, 他们变成了控制者.
控制者和处理者有不同的责任和义务, 所以知道你是哪一个很重要,这样你就知道你要对什么负责.
控制者和处理者都可能受到ICO的调查和罚款.
数据主体可以起诉控制者和处理者,双方都要对全部损失承担责任.
控制器和处理器之间的关系.
控制者有责任遵守数据保护立法,并且只能指定能够提供“充分保证”的处理者,以满足数据保护立法的要求并保护数据主体的权利. 控制者必须只使用处理者,提供足够的保证,保证它在数据保护方面有适当的技术和组织措施. 这意味着您应该对可能作为您的处理者的任何潜在服务提供商进行尽职调查. 处理过程必须以书面合同为准. 处理器必须只按照控制器的书面指令行事. 他们将, 然而, 在资料保护法例下负有直接责任,如果不遵守法例,可能会受到罚款或其他制裁.
合法的基础上
当您处理个人数据时,您必须建立您这样做的“合法依据”. 请注意,根据GDPR,您需要合法依据来处理每个数据类别i.e. 处理“个人数据”的“合法依据”和处理“特殊类别”数据的单独合法依据(有时两者可能是相同的合法依据).
查找您的合法依据,请使用 ICO合法基础互动指导工具.
声明处理个人资料的合法依据
Privacy声明是记录处理的合法依据的标准方式. 您还需要在您的Privacy声明中提供其他信息,包括您获取个人资料的目的, 数据接收者的类别(内部和外部), 保留期, 任何海外转移及个人权利.
当您间接从第三方收到个人资料时,需要提供额外的信息, e.g. 你持有的个人资料类别及资料来源.
不断变化的环境
如果你的目标随着时间的推移而改变,或者你有了一个你最初没有预料到的新目标, 只要您的新目的与原目的一致,您可能不需要新的法律依据.
然而, 数据保护立法特别指出,这不适用于基于同意的“处理”. 你要么需要获得新的同意,明确地涵盖新的目的, 或者为新目标找到一个不同的基础.
如果您正在处理特殊类别的个人数据, 您需要确定处理个人数据的合法依据,以及GDPR第9条规定的特殊类别条件的额外合法依据. 你们应该记录你们处理的合法依据和你们的特殊类别条件,以便你们能够证明合规性和问责性.
这些基础包括:
- 明确的同意;
- 就业法律;
- 切身利益;
- 个人公开的信息;
- 法律要求;
- 重大公共利益;
- 预防/职业医疗目的;
- 公共卫生;
- 研究,只要有保障,而且是公共利益.
如果你正在处理有关刑事定罪的数据, 刑事罪行或有关保安措施, 你还需要一个合法的处理基础, 哪些是在资料保障法例中订明的,哪些与上述依据相似. 你们应该记录你们处理数据的合法依据和你们的刑事犯罪数据状况,这样你们就可以证明你们的合规性和问责性.
将风险最小化
数据保护影响评估(DPIA)
DPIAs(也称为Privacy影响评估或PIAs)是一种评估,用于识别潜在的不合规领域并将风险降至最低. 私隐专员公署已推广使用个人资料识别(dpia),作为私隐设计方法的一个组成部分(见下文).
何时进行评估.
在开始任何“可能导致高风险”的处理之前,您必须完成DPIA。. 这意味着,尽管你还没有评估实际的风险水平, 你需要筛选那些可能对个人产生广泛或严重影响的因素.
特别是, 根据数据保护立法, you must do a DPIA if you plan to: use systematic and extensive profiling with significant effects; process special category or criminal offence data on a large scale; or systematically monitor publicly accessible places on a large scale.
应对个人资料保安漏洞
定义
个人数据泄露是对安全的破坏,导致意外或非法的破坏, 损失, 变更, 未经授权披露, 或者访问, 传送的个人资料, 储存或以其他方式处理.
例子
数据或存储数据的设备丢失或被盗, such as memory sticks and laptops; inappropriate access controls allowing unauthorised use, i.e. giving staff members access to all data; equipment failure; human error; hacking attacks; and inadvertent disclosure.
如何预防
在设计和默认情况下遵守Privacy要求,并在适当情况下进行dpia,将有助于防止个人数据泄露.
Back to Top
Privacy声明
lovebet爱博体育下载由其 一般Privacy声明 但在某些情况下,有必要编写本地Privacy声明.
设计Privacy
默认的实践
设计Privacy是一种促进项目的方法 Privacy 从一开始就遵守数据保护. 当前的数据保护立法包含了通过设计将数据保护嵌入到新系统中来确保Privacy的条款.
根据资料保护法例, 你们有实施技术和组织措施的一般义务,以表明你们已经考虑并将数据保护整合到你们的处理活动中.
lovebet爱博体育下载需要实施适当的技术和组织措施,以确保符合数据最小化等数据保护原则.
适当的措施
数据保护立法(GDPR)第32条给出了“适当措施”的例子。, 如下:
Pseudonymisation,我.e. 在使用个人资料时,尽量减少识别个人身分的机会.g.
- By using ID codes; encryption.
- 确保持续保密的能力, 完整性, 处理系统和服务的可用性和弹性.
- 在发生物理或技术事故时及时恢复可用性和访问个人数据的能力.
- 定期测试的过程, 评估和评价确保加工安全的技术和组织措施的有效性.
lovebet爱博体育下载的责任
lovebet爱博体育下载必须确保这一点, 默认情况下, 只会处理每个特定处理目的所必需的个人资料. 这与收集的个人资料的数量有关, 加工的程度, 保留期限和谁可以访问它. 特别是, 在没有个人干预的情况下,个人资料不应自动提供给无限数量的人. 举个实际的例子:咨询记录应保存在大学系统的单独部分,只供咨询小组的有关成员查阅.
lovebet爱博体育下载必须只在必要的范围内处理数据, 并且必须只在必要时存储数据 通过参考记录保留时间表.
你现在该怎么办?
定期评估私隐遵从情况, by, 例如, 定期进行资料私隐影响评估.
需要采取的实际步骤将取决于Privacy风险的可能性和严重程度, 最先进的技术和实施成本