本页概述了适用于英国的一般数据保护制度. 《mg电子游戏摆脱》(英国GDPR)已由《mg电子游戏摆脱》修订并纳入英国立法.

《mg电子游戏摆脱》(以下简称《mg摆脱》)适用于“个人数据”, 哪些是与个人有关的信息. 它赋予个人访问其个人数据的权利通过 主题访问请求 并包含处理个人资料时必须遵守的规则.

该法案有两方面的作用:

  • 它为个人提供权利, 包括知情权和访问这些信息的权利.
  • 声明任何处理个人信息的人都必须遵守该法案的原则.

你应假定任何个人资料与可辨认的在世个人有关, 由大学主办, 任何形式的, 受数据保护法的保护吗.

如果你能接触到个人资料,你必须熟悉这些资料, 并遵守, 以下大学资源:

  • 数据保护政策
  • 数据保护的指导
  • 数据安全信息

如果你要远程工作或使用移动设备,也请参阅 数据安全校外.

该法案涵盖的数据

《mg摆脱》涵盖了所有“个人数据”的处理. 这些数据构成了一个活着的人的信息, (“资料主体”),并可从该资料(本身或连同所持有的其他资料)识别该个人, 因此,纯粹以匿名形式保存的数据不包括在内.

《mg摆脱》涵盖了以电子形式和纸质形式保存的数据, 无论数据保存在何处. 它涵盖了校园内外的数据, 员工或学生的移动设备上也有, 只要是为大学目的而举办, 不管存储它的设备的所有权是什么.

数据处理

“处理”的定义很广泛,包括可以对数据采取的所有可能的行动形式,包括:

  • 获取数据
  • 记录数据
  • 保存数据
  • 以任何方式使用数据
  • 共享或披露数据
  • 擦除和/或销毁数据.

处理个人资料的合法依据

大学必须有有效的合法依据以处理个人资料及, 在大多数情况下, 亦须确定“有必要”处理个人资料以达到有关目的.

处理个人资料的潜在合法依据只有六个:

  1. Public task – this applies when the processing is necessary for the University to perform a task in the public interest or as part of its official functions.
  2. 合法利益-这适用于为大学或第三方的合法利益而必须进行的处理, (除非有充分理由保护个人的个人资料,而该等理由凌驾于该等合法利益之上).
  3. 合同-当需要处理大学与个人的合同时, (任何处理此类别下的个人资料必须是有针对性和适当的).
  4. 法律义务-这适用于大学必须遵守法律的处理. 这可能与法律有关, 监管和其他合规义务, 以及预防或侦查犯罪等事项.
  5. 切身利益——为了保护某人的切身利益,处理过程是必要的, 通常这意味着保护他们的生命.
  6. 同意-个人已经自由地给予明确, 大学处理其个人资料的知情同意(这将始终用于特定目的).

特殊类别数据的附加条件

特殊类别资料(过去称为“敏感个人资料”)是指比较敏感的个人资料,需要加强保护. 以便合法地处理任何此类特殊类别的数据, 除了有合法的处理依据之外, 大学将需要一个额外的条件来处理.

有十个这样的潜在附加条件允许处理特殊类别数据. 以下是与香港中文大学最相关的项目:

  • 个人已明确同意为一个或多个特定目的进行处理.
  • 涉及就业、社会保障和社会保护法的处理是必要的;
  • 处理是必要的——保护一个人的切身利益, 他们在身体上或法律上没有能力给予同意;
  • 处理涉及已在公众范围内的个人资料;
  • 加工是建立的必要条件, 行使或抗辩法律申索,或当法院以其司法能力行事时;
  • 预防医学或职业医学必须进行处理, 例如, 评估雇员的工作能力,并提供健康或社会案例.

Further information about the legal basis for processing personal data and the conditions for processing special categories of data can be found on the 资讯专员公署的网站.

保护资料的六项法律原则

《mg摆脱》规定了大学在处理个人数据时必须遵守的六条法律原则. 这些条文规定资料必须:

公平、合法和透明地处理

为了“公平地”处理数据,mg电子游戏摆脱应该:

  • 确保mg电子游戏摆脱有合法理由取得或处理该等资料
  • the Data Subject must never be deceived or misled - they must normally have a clear understanding of the reasons for which it is proposed that their data be used
  • 必须小心确保个人资料只由获法律授权提供的人士取得.

2 -只处理特定的, 明确和合法的目的,不得以与该目的或上述目的不相容的任何方式进行进一步处理

该原则提出的主要问题是:

  • 所有由大学处理的个人资料,均须在向资讯专员注册时一并涵盖. 职员对个人资料的大部分日常使用将由mg电子游戏摆脱的登记所涵盖. 然而, 如果您正在处理任何数据(例如, maintaining a database or running a research project involving the use of personal data) and think it may involve us handling new personal data for the first time or using personal data for a new purpose, 请发送电子邮件给数据保护团队 dataprotection-queries@lists.mg摆脱.ac.uk 寻求建议.
  • 为某一目的而持有的个人资料不应用于另一目的
  • personal data must not be disc失去d to any third person (other than those described in the University's registration in certain circumstances), 因此,当您收到来自第三方的数据请求时,请格外小心 披露资料指引).

3 .足够, 有关, 而且与他们的目的或目的相比不过分

确保遵从性:

  • 你不应收集任何并非为指定目的而严格需要的个人资料. 如果您正在获取或持有任何特殊类别的资料,请特别注意适当考虑其必要性
  • 记录也应该是明确的,准确的和专业的措辞. 缩写应该得到广泛认同. 意见应该与事实清楚地区分开来.

4 -准确,必要时及时更新

个人资料不得不准确或误导任何事实. 这适用于来自第三方的信息. 信息来源应始终包括在记录中.

5 -保存的时间不超过为特定目的所必需的时间

由于大学需要持有及处理个人资料的理由各不相同, 规定特定数据应保留多长时间并不总是可能的.

该大学有一套 不同类型档案的保留及处置政策. 用于其他类型的数据, 通常有必要在个案的基础上决定何时销毁它们.

6 -以安全的方式处理, 就意外或未经授权而查阅个人资料的权利采取适当的保安措施, 或意外或未经授权的破坏, 失去, 使用修改或披露个人资料

本处只会在合乎合法运作需要的情况下,才准许职员查阅个人资料. 严禁将学校所持有的个人资料用于个人或私人用途.

所有有权查阅个人资料的职员,必须留意自己的职责,确保有关资料始终妥善保管. 他们必须熟悉大学的资料保护政策,并遵守mg电子游戏摆脱数据保安指引.

数据保护政策

The University is committed to protecting the rights and freedoms of all individuals in relation to the processing of their personal data and provides the 数据保护政策 for everyone to follow.

  • 本政策的范围
  • 定义
    • 个人资料
    • 特殊类别的数据
    • 机密数据
  • 法律框架
  • 教职员和学生的责任
    • 公共领域内的个人资料
  • 处理个人资料的合法依据
  • 特殊类别数据的添加条件
  • 《mg电子游戏摆脱》原则
  • 数据安全
    • 保障个人资料的安全
  • 被禁止的活动
  • 获取信息的权利
  • 研究-特殊考虑
  • 违反此政策的影响
  • 结论

本政策的范围

We need to comply with the 数据保护法案 (as amended from time to time) in relation to all personal data that is processed by the University. 为了确保这种情况发生, 它制定了这项政策,规定了mg摆脱在这方面的义务.

本政策和数据保护法适用于大学处理的所有个人数据, 无论是纸质文件还是电子数据. 只要资料的处理是为大学的目的而进行, 无论数据保存在何处,它都适用, (例如, it covers data held on campus and on mobile devices such as electronic notebooks or laptops) and regardless of who owns the PC/device on which it is stored.

'Processing' data is widely defined and includes every plausible form of action that could be taken in relation to the data such as obtaining, 记录和保持, or using it in any way; sharing or disclosing it; erasing and destroying it.

定义

个人资料

与一个活着的人有关的数据,可以从该数据和其他所拥有的信息中识别出来, 或可能被……占有, 数据控制器. 大学是数据控制器.

Examples of personal data are the name and address of an individual or a student ID number which when put with other information held by the university could identify a student, 研究人员调查的mg摆脱或参与者. 大多数员工(包括所有直线经理)会, 因此, 至少偶尔处理个人资料.

特殊类别资料(以前称为敏感个人资料)

有些个人资料比较敏感,因此需要加强保护. 法例将处理某些资料称为“特殊类别的个人资料”。. 这意味着个人的个人数据:

  • 数据主体的种族或民族来源
  • 他们的政治观点
  • 他们的宗教信仰或哲学信仰
  • 是否为工会成员
  • 他们的身体或精神健康或状况
  • 他们的性生活
  • 性取向
  • 生物特征数据(用于识别目的)
  • 任何委员会或指称委员会违反任何罪行
  • 就他们所犯或据称已犯的任何罪行而进行的任何程序, 对该等程序的处理或在该等程序中任何法院的判决.

在某些研究领域(e.g. 心理学/健康),或在某些角色(e.g. 学生残疾辅导服务, HR, SREO)将定期访问特殊类别数据, 其他人可能很少这样做,如果有的话.

机密数据

保密提供的数据或同意保密的数据(换句话说), 这是双方之间的秘密),不属于公共领域.

一些机密数据也将是个人数据和/或敏感个人数据,因此在本政策的条款范围内. 在某些职能和高级管理职位工作的员工将定期处理机密数据.

The University also handles research data which comprises materials collected or created for the purposes of analysis to generate original research results. 部分研究资料将会包含个人资料及/或敏感个人资料, 本政策的规定适用. 有关如何处理研究数据的其他方面的信息,请参阅 研究数据管理.

法律框架

大学需要收集和保存与之打交道的人的某些类型的信息. 这包括有关其mg摆脱、学生和其他个人的信息. 由于各种原因,它需要处理“个人数据”, 比如招聘和支付员工, 记录学生的学业进度,并履行法定义务(例如, 健康和安全要求).

The 数据保护法案 applies to all 'personal data' processed by the University and to comply with the law all personal data must be collected and used fairly, 安全储存,不得非法透露给任何人.

教职员和学生的责任

所有教职员及学生必须:

  1. Be mindful of the fact that individuals have the right to see their 'personal data' (and this may include 例如 information received from prospective students or staff written in connection with an application to the University or any comments written about them in emails). 他们不应该, 因此, 记录他们不愿看到的个人评论或其他数据, 在电子邮件或其他地方.
  2. 立即向他们的直线经理报告此事,并提请数据保护团队注意, 如他们发现遗失或丢弃的资料中包含个人资料, (例如, 可能包括一个记忆棒).
  3. 立即向他们的直线经理报告此事,并提请数据保护团队注意, 如果他们意识到个人资料已意外丢失或被盗或无意中泄露(例如, 如果他们的笔记本电脑被偷了,或者手机丢失了,而且里面有个人数据),
  4. 稳妥地持有其管有的任何个人资料的内容.
  5. 确保向大学提供的任何个人资料(例如, 他们的mg电子游戏摆脱是准确的.
  6. 如个人资料有任何更改(例如, 更改地址或紧急联络资料).
  7. 只可为获批准的工作或学习目的而获取或使用与第三方有关的个人资料.

处理“个人资料”的教职员及学生必须:

  1. 确保他们只按照《mg摆脱》的要求处理个人数据,特别是:
  2. ensure that they have a valid lawful basis in order to process the data before commencing the processing; and
  3. 只处理“特殊类别数据”, if the processing meets one of the additional conditions for special category data; and
    • 遵守6项数据保护原则. 确保合规的最佳方式是熟悉本政策和mg电子游戏摆脱提供的指导. 就遵守规定而言,要点包括:
    • 例如,公平处理, 确保个人同意其资料被使用,并知道资料会被用作什么用途, 并确保它随后不会被用于其他事情
    • 资料保安-确保所持有的个人资料一直稳妥地保存及弃置, (考虑到任何网络安全因素).
    • 保密-确保个人资料不会透露予未获授权的第三者.
  4. 熟悉在mg电子游戏摆脱的数据保护网站上发布的指引和其他信息,并始终遵循这些指引.
  5. 如果他们要远程工作或使用移动设备存储数据(例如, 一台笔记本电脑, 平板电脑或手机), 这是至关重要的,他们熟悉mg电子游戏摆脱 远程工作 & 移动设备引导的使用,并遵守本条例及大学的规定 IT安全政策 有特殊的考虑.
  6. 注意数据保护法规的范围. 这包括“个人数据”的定义广泛, (因此将涵盖例如在给别人的电子邮件中对个人的评论), and the fact that it covers data held on remote devices (such as tablets and on mobile phones) regardless of who owns the actual device and where the device is stored.
  7. 如拟采用新的或新颖的处理个人资料的方式,或出现任何与保障资料有关的担忧,应寻求意见.

公共领域的个人数据

mg电子游戏摆脱的某些员工和学生的信息是公开的. 个人资料 classified as being in the 'public domain' refers to information which will be publicly available worldwide and may be disc失去d to third parties without recourse to the data subject.

mg电子游戏摆脱的做法是免费提供以下数据,除非个人提出反对:

  • 议会和参议院成员的名字
  • 员工工作场所的电子邮件地址和电话号码
  • 学生大学电邮地址
  • 学术人员的传记和履历提供
  • 学术及支援人员的姓名及学历(如适用)
  • any additional information relating to data subjects which they have agreed to be placed in the public domain and which may be in automated and/or manual form.

类似的, 作为其常规商业活动的一部分, the University may process personal information about third parties which is already in the public domain where such processing is carried out in accordance with the 《mg摆脱》原则 set out below and is unlikely to cause any damage or distress to the data subject.

《mg摆脱》原则

Anyone using personal data must comply with the 6 Data Protection Principles contained in the 数据保护法案 2018 as they define how personal data can be legally processed: In summary these state that personal data shall:

  1. 公平、合法、透明地获取和处理.
  2. 为特定的明确和合法的目的而处理,不得以与这些目的不相容的任何方式处理.
  3. 对这些目的而言,要足够、相关且不过度.
  4. 准确并及时更新.
  5. 不能留得太久.
  6. 以安全的方式处理.

数据安全

妥善保护个人资料是遵守《mg电子游戏摆脱》的关键. 因此,所有员工均有责任确保他们保存个人资料, 有关资料会妥善保存,亦不会(以口头、书面或意外方式)向任何未获授权人士披露.

请参阅指导 披露的数据 mg电子游戏摆脱这一点的进一步信息.

保障个人资料的安全

这至少包括:

  1. Ensuring that any personal data recorded in paper form or hard copy documents are kept in locked filing cabinets or locked drawers or in locked offices.
  2. 确保对任何储存个人资料的磁碟或记忆棒或类似装置采取同样的措施, 例如, 它们也必须被保存在一个安全且上锁的地方.
  3. 确保任何储存在流动设备上的个人资料都得到妥善的密码保护,并在适当的情况下进行加密.
  4. 当数据从一个地方转移到另一个地方时,确保数据的安全性是至关重要的, (例如, to avoid losing memory sticks in transit or to avoid sensitive personal data being transferred to a PC which is not password protected and encrypted).

请参阅 数据安全 和大学的 IT安全政策 有关安全的进一步信息和规则.

被禁止的活动

严禁下列活动:

  • 将为一个目的获得的数据用于另一个补充目的(例如, 使用为人力资源相关目的提供的mg电子游戏摆脱用于营销目的)
  • 在未经资料当事人同意的情况下,向大学以外的第三者披露个人资料.

获取信息的权利

个人有权查阅大学持有的任何与个人有关的个人资料. 任何想要行使这一权利的人都应该看到 主题访问权限页面 查看如何这样做的详细信息.

研究-特殊考虑

在进行任何涉及取得或使用个人资料的研究之前, the researcher (whether a student or member of staff) and their academic supervisor or Head of Group must give proper consideration to this policy and the guidance contained on our Data Protection webpages and our 研究数据政策 and how these will be properly complied with.

特别是, 他们须考虑所收集的个人资料的种类, 处理的合法依据, whether any special category data is to be processed and if so what additional condition for special category data will be relied on and what additional safeguards required, 如何记录伦理同意, 在何种程度上,这些数据可以合法地要求学术目标, 如何安全地储存资料, 以及它将被保留多久.

个人资料 obtained or used for research should be limited to the minimum amount of data which is reasonably required to achieve the desired academic objectives and wherever possible any such personal data should be made anonymous so that the data subjects cannot be identified.

更多信息请参考 研究数据政策.

违反此政策的影响

It is a condition of employment in the case of staff and enrolment in the case of students that staff and students will abide by the policies and rules of the University. 任何违反此政策的行为将被视为违纪行为,并可能导致纪律处分. 严重违反数据保护法也可能导致大学和/或个人被追究法律责任.

结论

遵守《mg摆脱》是大学所有成员的责任. 有关本政策的任何问题或有关数据保护事项的任何查询都应向 数据保护团队

数据保护的通知

资讯专员备有一份使用个人资料的机构的公开登记册. 大学在这个登记册上有一个条目,指明了mg电子游戏摆脱持有的主要数据类型(例如, 个人信息, 教育及培训资料), mg电子游戏摆脱使用数据的主要目的(例如, 人力资源管理, 学生和mg摆脱支持服务, 教育和研究, 等等)和那些可能被披露的人(例如, 拨款委员会, 中央政府).

学校注册号:Z6290890. mg电子游戏摆脱的注册每年可续期, 尽管mg电子游戏摆脱可以在任何时候对其进行添加或更改, (例如, 如果mg电子游戏摆脱开始处理一种新的数据类型).

实际上,mg电子游戏摆脱的登记制度涵盖了员工对个人资料的大部分日常使用. 然而, 如果您正在处理任何数据(例如, maintaining a database or running a research project involving the use of personal data) and think it may involve us handling new personal data for the first time or using personal data for a new purpose, 请电子邮件 数据保护团队 ,以便在有需要时修订mg电子游戏摆脱的注册.

大学现时的注册资料可于网页浏览 资讯专员的网站.