GDPR在CQ9电子游戏网址活动中的适用性

当我们在向向我们提供数据的人提供商品和服务时,当我们寻求使用个人数据时,GDPR适用于UMS. 这可能包括在UMS校区注册的在欧盟期间申请的国际学生, 无论是直接通过UMS网站,还是通过位于欧盟的UMS招聘人员.

该资源将告知大学社区如何解释和实现GDPR下的遵从性. 本页包括以下部分:

数据主体请求
口头语行动计划
GDPR术语表

数据主体请求

提交信息请求或根据GDPR行使主体的权利, 一个主题可以完成, 标志, 并提交这个 form. 一旦完成,表格可以邮寄到表格上的地址或通过电子邮件发送到 privacy-request@tjketai.net.

UMS GDPR行动计划

以下一系列行动将帮助大学达到GDPR的符合性. 行动被分为(5)组,每个行动的优先级被指示,以系统地降低大学的风险.

通知/计划/调查(优先级1)

  • 与领导及大学社区沟通
  • 成立利益相关者的工作小组
  • 调查收集和持有的欧盟数据
    • 对UMS系统进行审查,以确定目前持有的欧盟居民信息, 我们拥有这些数据的目的, 该资料的原始来源(经当事人同意或根据合约), 如何保存和保护信息, 以及是否和谁共享了这些数据. 调查应包括可能接触欧盟公民数据的团体,如国际项目, IT, 招生, 校友关系, 发展, HR, 和研究. 调查应努力查明每一组存放什么数据,并集中于控制点,在那里可建立技术和程序保障措施以确保遵守.

私隐通告(优先2)

  • 更新从居住在欧盟的人收集的数据的隐私通知,并酌情提供
    • 隐私政策必须清晰易懂(使用不包括法律术语的语言),并应在试图收集欧盟公民信息的网站上公布. 同意/私隐通知须包括收集资料的目的,以及将收集的资料的描述. 在制定隐私通知时应考虑同意管理.

违规响应(优先级3)

  • 将GDPR纳入信息安全事件响应过程文档
    • 违反GDPR的通知要求, 有必要对资讯保安程序进行检讨和修订. 检讨应考虑向资料当事人和欧盟监管当局发出通知的责任, 根据GDPR要求通知的情况, 以及有关泄密调查和应对的文件要求. 此外,亦须进一步检讨现时为有效管理风险及适当保护各类资料而采取的资讯保安措施.

数据管理(优先级4)

  • 审查包含欧盟居民信息的合同,并根据需要进行修改.
    • 确认所有与负责处理欧盟公民数据的实体签订的合同. 检查处理器的隐私实践和数据保护措施,以及它们是否可能符合GDPR.
  • 审查每次调查收集的数据,以确定是否有任何需要征得同意才能收集信息的外围活动.
    • 在收集数据之前,制定获得欧盟公民同意的程序——如果需要同意的话. 只有在处理对数据主体来说基本上是可选择的情况下,才应寻求处理的同意. 如果为了UMS的合法利益需要进行处理, 应向当事人发出通知,说明需要进行处理的原因和合法利益,通知当事人将进行处理. 该通知应包括资料当事人保留反对任何处理其资料的权利.
  • 开发处理访问数据请求的流程.
    • GDPR提供了在当事人要求时访问当事人所有数据的权利. 在任何此类数据发布之前, 控制人有责任核实请求访问和仅直接向数据主体发布数据的人的身份. 这可以通过确认收集数据的原始同意书中所要求的信息来实现.
  • 制定处理更正或删除数据请求的流程.
    • 开发响应和执行请求的程序,以响应和执行监视和纠正数据主体的数据的请求.
  • 识别高风险数据并评估最小化数据的机会.
    • 关于最小化的活动包括区域:当前处理, 记录, 保留和破坏, 和评估.

(5)优先

  • 确定可能为欧盟居民的受试者的研究要求.
    • 与校园IRB单位合作,在涉及欧盟居民的任何研究中纳入GDPR考虑. 考虑围绕这些活动开发程序.
      回到顶部

术语表

  • 数据主体-正在获取和/或处理其个人数据的欧盟居民.
  • 资料控制人-资料当事人的个人资料的原接收人. 是否有权力和责任指导如何持有和使用数据.
  • 数据处理器-代表数据控制器处理欧盟公民数据的任何实体. 数据控制器和处理器可以是同一实体.
  • 欧盟-目前欧盟由28个国家组成:奥地利, 比利时, 保加利亚, 克罗地亚, 塞浦路斯, 捷克共和国, 丹麦, 爱沙尼亚, 芬兰, 法国, 德国, 希腊, 匈牙利, 爱尔兰, 意大利, 拉脱维亚, 立陶宛, 卢森堡, 马耳他, 荷兰, 波兰, 葡萄牙, 罗马尼亚, 斯洛伐克, 斯洛文尼亚, 西班牙, 瑞典, 英国(英国已经投票脱离欧盟,但目前仍是欧盟成员国).
  • 处理-为任何目的使用数据.
  • 个人资料-资料当事人的任何资料,可用于个人识别该当事人. 包括电子标识符,如IP地址,设备ID/MAC地址等.
  • 敏感个人资料-显示种族或民族来源的资料, 政治观点, 宗教或哲学信仰, 或工会会员, 以及基因数据的处理, 用于唯一识别自然人的生物特征数据, 关于健康的数据或关于自然人性生活或性取向的数据. 未经资料当事人明确知情同意,不得处理敏感的个人资料.
  • 数据保护专员-数据控制人员的雇员或承包商,负责监控GDPR的遵守情况, 就处理活动和数据保护措施提供意见, 并作为监管机构和公众在数据保护方面的联络人.
  • 数据控制人/处理器代表-在数据主体确保符合GDPR的欧盟国家,被指定为控制人和/或处理器的代表的欧盟国家人员. 如果处理是偶然的,并且对数据主体的权利和自由不构成重大风险, 控制器/处理器是一个公共权威机构, 或控制器/处理器的雇员少于250人. 现在还不知道什么是偶然处理,而且在GDPR生效之前也不太可能知道.

联系信息

有关CQ9电子游戏网址对GDPR的响应的问题,请发送电子邮件至 privacy-request@tjketai.net.