Information 技术 Policies

这 policy defines the 大学's commitment to personal privacy.

II. 范围

该政策适用于所有员工，学生，承包商，志愿者，第三方 供应商等., and all items of personal data that are created, collected, stored and/or processed through any activity of 富兰克林 & 冰球突破正规网站, across all its 区域. 这 includes data collected for the 目的 of research.

学院作为资料控制者，仍有责任控制个人资料 即使这些数据后来被传递给另一个组织或被存储，它也会收集 在其他组织或个人(包括个人)拥有的系统或设备上 owned devices or devices otherwise not managed by the 大学).

3. 定义

数据对象
数据主体是与富兰克林有关系的可识别的自然人 & 谁可以直接或间接地识别，特别是通过 对标识符的引用，例如名称、标识号、位置数据、 一个在线标识符或一个或多个特定于物理、生理、 该自然人的遗传、心理、经济、文化或社会身份.

资料保障主任
数据保护官是任何寻求者的确定联络点 to make inquiries about this policy or their records with the 大学. F&米的首席 Information 官 (CIO) is the 大学's named 资料保障主任.

保障资料原则
书院须遵守六项保障资料的原则，其中 意味着信息的收集和使用必须公平、安全、不泄露 非法转让给任何其他人. 这六个原则是:

1. 个人数据应以合法、公平和透明的方式处理(“合法性”; 公平和透明’).

2. 收集个人资料的目的必须明确、明确及合法 not further processed in any manner incompatible with those 目的. 进一步的处理 允许用于存档、科学或历史研究或统计目的 (“目的限制”)

3. 个人资料应是足够的、相关的，并限于有关的需要 to the purpose for which it is processed ('data minimization').

4. 如有需要，个人资料须准确及保持最新(“准确”).

5. 为任何目的而处理的个人资料，其保存时间不得超过所需的时间 for that purpose ('storage limitation').

6. 处理个人资料的方式应确保适当的安全性，包括 防止未经授权或非法加工和防止意外损失; 使用适当的技术或管理控制(完整性)进行破坏或损坏 和机密性”).

个人资料
个人数据是关于个人的信息，可以通过该信息识别个人身份 或者当与其他数据相结合时可以从这些信息中识别出谁 the 大学 either holds or is likely to obtain.

个人资料, 'special categories'
特殊类别的数据包括特别敏感的个人信息，例如 as health details, racial or ethnic origin or religious beliefs.

处理数据
“处理数据”的定义包括获取/收集、记录、持有、 存储、组织、改编、对齐、复制、转移、组合、阻塞、 erasing and destroying the information or data. It also includes carrying out any 对信息或数据的操作或一组操作，包括检索、查询、 使用和披露.

同意
同意被定义为“任何自由给予的、具体的、知情的和明确的指示” 数据主体的意愿，他或她通过声明或其他明确肯定 行动，表示同意处理与他或她有关的个人资料 她的“. Silence, pre-ticked boxes or inactivity does not constitute consent.

直接营销
直接营销与广告的传播(不管媒介)有关 or marketing material that is directed to individuals. 个人必须得到 有机会将自己从用于直接营销的列表或数据库中删除 目的. 学院必须根据个人要求停止直接营销活动.

反对权
数据主体有权反对特定类型的处理，其中包括 直销加工. The data subject needs to demonstrate grounds for 反对与其特殊情况有关的处理，本案除外 of direct marketing where it is an absolute right. Online services must offer an automated 反对方法. In some cases there may be an exemption to this right for research or statistical 目的 done in the public interest.

Right to be forgotten (erasure)
个人有权在某些情况下删除其数据，例如 如收集该等资料的目的不再需要该等资料， 个人撤回同意，或者信息被非法处理. 出于科学或历史研究目的或统计目的，可以豁免此规定 目的，如果擦除将严重损害目标的实现 研究. 个人 can ask the 控制器 to 'restrict' processing of the data 直到投诉(例如，关于准确性的投诉)得到解决，或者处理是非法的.

Rights in relation to automated decision making and profiling
该权利涉及可能导致重大后果的自动决策或分析 对个体的影响. Profiling is the processing of data to evaluate, analyze 或预测行为或其行为、偏好或身份的任何特征. 个人 是否有权不受完全基于自动化处理的决策的约束. 当使用剖析时，必须采取措施确保安全性和可靠性 的服务. Automated decision-taking based on sensitive data can only be done with 明确的同意.

改正权
要求控制者纠正所持有的不准确的个人数据的权利 他们. 在某些情况下，如果个人资料不完整，个人可以要求 控制器完成数据，或记录补充报表.

可携性权
资料当事人有权要求提供有关他们的资料 结构化的、常用的和机器可读的形式，因此它可以发送到另一个数据 控制器. 这 only applies to personal data that is processed by automated means (not paper records); to personal data which the data subject has provided to the 控制器, and only when it is being processed on the basis of consent or a contract.

数据泄露
学院负责确保适当和相称的安全 我们持有的个人数据. 这 includes protecting the data against unauthorized 或非法处理和防止意外丢失、破坏或损坏数据.

Examples of personal data breaches include:

• • Loss or theft of data or equipment

  • Inappropriate access controls allowing unauthorized use

  • 设备故障

  • 未经授权披露(e).g. email sent to the incorrect recipient)

  • 人为错误

  • 黑客攻击

IV. 政策

符合F&M's 隐私政策 requires adhering to the six data protection 原则. 这 is the responsibility of all members of the 大学 community. 任何 故意违反这一政策可能导致纪律处分被采取，访问 to 大学 facilities being withdrawn, or criminal prosecution.

学院被要求保留其数据处理活动的记录作为摘要 个人信息的处理和共享以及保留和安全 适当的措施. The 大学 is also expected to comply with the requirements 下面所列.

所有由学院收集的个人资料，包括为 研究或类似活动的目的必须包含适当的形式 of consent on any data collection form.

法规遵循需求

数据必须保证安全

任何有权查阅个人资料的社区成员必须确保所有的个人资料 他们保持安全. They must ensure that it is not disclosed to any unauthorized 任何形式的第三方.

必须根据需要保留数据，并遵循已定义的数据保留策略

学院内的个别区域负责确保适当的保留 他们持有和管理的信息的期限，基于大学数据保留 政策.

个人资料只可在处理所需的时间内保存 它就是为此被收集起来的. Once information is no longer needed is should be disposed 的安全. 纸质记录应粉碎或处置在保密容器 and electronic records should be permanently deleted.

如果数据是完全匿名的，那么在数据保护的存储上就没有时间限制 观点.

Conditions of Processing and 同意 must be met

学院处理个人资料的合法及适当的条件(最少 one of these conditions must be met):

a) The data subject has given his or her consent

b) The processing is required due to a contract

c) It is necessary due to a legal obligation

d) It is necessary to protect someone's vital interests (i.e. 生死关头)

(五)为履行公共利益所必需的任务 or in the exercise of official authority vested in the 控制器.

f)为了控制人或第三方的合法利益所必需的 并且不干涉数据主体的权利和自由(此条件) cannot be used by public authorities in performance of their public tasks).

任何提供同意的人都有权随时撤销其同意.

必须提供隐私声明

根据第一项资料保障原则的“公平及透明”要求， 学院须向资料当事人提供“私隐通知”，以便他们 know what it does with their personal data.

隐私声明公布在学院网站上，并可在点 of first contact with the 大学.

必须给予选择退出直接营销(无论媒体)的机会

个人必须有机会从名单或数据库中删除自己 用于直接营销目的，无论媒体(电子邮件，电话，打印邮件， 等.)学院必须根据个人要求停止直接营销活动.

Records of Processing Activities must be maintained

作为数据控制者，学院需要保存处理活动的记录 涵盖学院所处理的所有个人资料. 这 记录详细说明处理个人资料的原因、资料的种类 个人哪些信息被持有，谁的个人信息被共享 当个人信息被转移到美国以外的国家时 州. The 大学 has three Records of Processing activities:

• • 员工资料(包括求职者、前、退休员工、荣誉员工、退休员工)

  • 学生 data (including applicants and alumni)

  • 除雇员、学生、申请人、校友及前雇员以外的资料当事人

Subject Access Requests and 数据对象 Rights

本政策赋予资料当事人查阅学院个人资料的权利 关于他们. The purpose of a subject access request is to allow individuals to 确认个人资料的准确性，并检查处理的合法性 他们 to exercise rights of correction or objection, if necessary.

学院必须回应所有个人信息和信息的要求 will normally be provided free of charge.

Responding to data subjects requests

任何援引上述任何权利的请求必须得到及时和有效的处理 within one month of receiving the request. Employees should consult the Data 隐私 官 if any requests like these are received.

数据共享要求

在与第三方共享个人数据之前，需要满足某些条件 方或在外部数据处理器被用来代表方处理数据之前 大学.

一般而言，个人资料不应转交予第三者，特别是 if it involves special categories of personal data. 在某些情况下 在允许的情况下.

• 个人资料的任何转移必须特别符合资料处理原则 it must be lawful and fair to the data subjects concerned.

• It must meet one of the conditions of processing. Legitimate reasons for transferring 数据将包括:

  • 法律要求

  • Official business of the 大学

  • 如果不满足其他条件，则必须征得个人的同意 concerned and appropriate privacy notices provided.

• 学院很满意第三方能够满足所有的要求 学院的隐私政策，特别是在安全持有信息方面.

• 如有第三者代表书院处理个人资料，书院须向第三者提供书面的 合同必须到位.

• 所有云服务提供商必须填写学院的云服务问卷， 由资讯科技署管理，以确保第三方符合 大学's requirements particularly for information security.

员工必须咨询学院合同办公室的数据隐私官 和信息技术服务，如果他们正在考虑签订新合同 that involves the sharing or processing of personal data.

数据泄露es must be reported in a timely fashion

学院尽一切努力避免数据泄露，然而，这是可能的 mistakes will occur on occasion. If a data breach occurs the 大学 is required in 大多数情况下要尽快报告，而且不迟于72小时 在意识到这一点之后. If you become aware of a data breach you must report it 立即. Details of how to report a breach can be obtained from the 大学's Information 技术 Services department.

-----
政策维护人员:信息技术服务部副总裁兼首席信息官 官
Last Reviewed: September 20, 2023