欢迎来到CC

EU General 数据保护 Regulation 合规 政策

负责办公室
资讯科技服务
负责任的政党
副资讯科技总监
最后一次修改
2020年6月
批准
内阁
批准日期
2020年6月
生效日期
2018年5月
最后的评论
2020年6月
额外的引用
General 隐私政策; Advancement 隐私通知

范围

所有涉及校园内社区成员的财务和行政政策, including volunteers are within the scope of this policy. 如果在部门期望和大学政策中描述的共同方法之间存在差异, the college will look to the campus community, including volunteers to support the spirit and the objectives of college policy. Unless 具体的ally mentioned in a college policy, the college’s 校董会 are governed by their Bylaws.

政策

科罗拉多大学 (CC) is an institute of higher education involved in education, 研究 and community 发展. In order for CC to educate its foreign and domestic students, 从事研究, 提供社区服务, 这是必要的, CC有合法依据, 收集, 过程, 使用, and/or maintain the personal data of its students, 员工, 申请人, 研究对象, and others involved in its educational, 研究, 以及社区项目. 这些活动包括, 但不限于, 入学, 登记, 教室交付, 场, 以及留学教育, 成绩, 通信, 就业, 研究, 发展, 改进方案分析, 记录保存.

科罗拉多大学认真对待保护其收集或处理的个人数据的责任. In addition to CC’s overall data protection program, the European Union General 数据保护 Regulation (“EU GDPR”) 对实体施加义务, 比如赌博正规的十大网站, that collect or 过程 personal data about people in the 欧洲联盟("欧盟"). 欧盟GDPR适用于CC收集或处理位于欧盟的任何人的个人数据, regardless of whether they are a citizen or permanent resident of an EU country. Among other things, the EU GDPR requires 科罗拉多大学 to:

  1. 对所收集或处理的个人资料,以及对任何个人资料的用途,保持透明
  2. keep track of all 使用s and disclosures it makes of personal data
  3. 妥善保护个人资料


本政策描述了科罗拉多大学的数据保护策略,以符合欧盟GDPR.

合法的基础上 for Collecting or Processing 个人资料

科罗拉多大学 (CC) has a lawful basis 收集 and 过程 personal data. 本会收集及处理的个人资料,大部分属以下类别:

  • 为了科罗拉多大学或第三方追求的合法利益,处理是必要的.
  • 处理是履行数据主体为当事人的合同或在签订合同前应数据主体的要求采取步骤所必需的.
  • 为了遵守赌博正规的十大网站的法律义务,处理是必要的.
  • 资料当事人已同意为一个或多个特定目的处理其个人资料.

在某些情况下,个人数据的收集和处理将依据其他合法依据.

数据保护 & 治理

赌博正规的十大网站(CC)将保护其合法收集或处理的所有个人数据和敏感个人数据.  CC收集或处理的任何个人资料及敏感个人资料应:

  • Processed lawfully, fairly, and in a transparent manner
  • 收集作指定用途, 显式的, 合法目的, and not further 过程ed in a manner that is incompatible with those purposes
  • 限于就收集及处理资料的目的而言所必需的资料
  • 准确并保持最新
  • Retained only as long as necessary
  • 安全

敏感个人资料 & 同意

Processing of personal data revealing racial or ethnic origin, 政治观点, 宗教或哲学信仰, 或者工会会员, 以及基因数据的处理, biometric data for the purpose of uniquely identifying a natural person, 赌博正规的十大网站禁止有关健康的数据或有关自然人性生活或性取向的数据, unless one of the following applies:

  • 资料当事人已明确同意为一个或多个指明目的处理该等个人资料, 除非欧盟或成员国法律规定第1段所述的禁令不得由数据主体解除;
  • 为了履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利,处理是必要的,只要它是由欧盟或成员国法律授权的,或根据成员国法律制定的集体协议,为数据主体的基本权利和利益提供适当的保障;
  • 处理是必要的,以保护数据主体或其他自然人的切身利益,而数据主体在身体上或法律上没有能力给予同意;
  • 处理是在基金会的合法活动过程中进行的,并有适当的保障措施, association or any other not-for-profit body with a political, 哲学, 宗教或工会的目的,并且条件是处理仅涉及该机构的成员或前成员,或与该机构就其目的定期联系的人,并且未经数据主体同意,个人数据不会在该机构之外披露;
  • 处理涉及由资料当事人明显公开的个人资料;
  • 过程ing is necessary for the establishment, 行使或辩护法律要求,或在法院行使其司法职权时;
  • 过程ing is necessary for reasons of substantial public interest, 根据与所追求的目标相称的联盟或成员国法律, 尊重数据保护权利的本质,并提供适当和具体的措施来维护数据主体的基本权利和利益;
  • 过程ing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, 医学诊断, 在欧盟或成员国法律的基础上,或根据与卫生专业人员签订的合同,并受条件和保障的约束,提供卫生或社会保健或治疗,或管理卫生或社会保健系统和服务;
  • 出于公共卫生领域公共利益的原因,处理是必要的, 例如防范对健康的严重跨界威胁,或确保卫生保健和医药产品或医疗装置的高质量和安全标准, 在欧盟或成员国法律的基础上,该法律规定了保护数据主体权利和自由的适当和具体的措施, in particular professional secrecy; L 119/38 EN Official Journal of the European Union 4.5.2016
  • 过程ing is necessary for archiving purposes in the public interest, 基于欧盟或成员国法律的符合第89(1)条的科学或历史研究目的或统计目的,这些目的应与所追求的目标成比例, 尊重数据保护权利的本质,并提供适当和具体的措施来维护数据主体的基本权利和利益.

个人权利

本政策所涵盖的个人资料当事人将享有以下权利:

  • information about the controller collecting the data
  • the data protection officer contact information (if assigned)
  • the purposes and lawful basis of the data collection/过程ing
  • 个人资料的接收者
  • 如果科罗拉多大学打算将个人数据转移到另一个国家或国际组织
  • the period the personal data will be stored
  • the existence of the right to access, rectify incorrect data or erase personal data, 限制或反对加工, 以及数据可移植性的权利
  • the existence of the right to withdraw consent at any time
  • 向监管机构(在欧盟设立)提出投诉的权利
  • 为什么需要提供个人资料,以及不提供资料可能造成的后果
  • the existence of automated decision-making, including profiling
  • 如果收集的数据将被进一步处理,而不是用于收集数据的目的

注:行使这些权利是对过程的保证,而不是对结果的保证.

范围: 

本政策适用于受EU GDPR保护的个人数据和敏感个人数据,以及所有收集或处理受EU GDPR保护的个人数据和敏感个人数据的科罗拉多大学单位.

程序

5.1数据治理

Document 合法的基础上 for 集合 or Processing

收集或处理受欧盟GDPR保护的个人数据的所有科罗拉多大学单位必须记录收集或处理个人数据和他们收集或处理的敏感个人数据的法律依据, 为什么要收集, 他们保存了多长时间. All data at 科罗拉多大学 shall be kept in compliance with the college’s 记录保留时间表

5.2.  隐私通知

赌博正规的十大网站的隐私声明

赌博正规的十大网站发给数据主体的隐私通知必须明确赌博正规的十大网站收集或处理个人数据的合法依据,并包括:

  1. 他们的个人资料是否被收集或处理,以及被收集或处理的目的为何
  2. categories of personal data concerned
  3. 向谁披露个人资料
  4. 存储 period (records retention period)
  5. 存在纠正不正确数据、擦除、限制或反对处理的个人权利
  6. 如何提出投诉
  7. the source of the personal data (if not collected from the data subject)
  8. the existence of automated decision-making, including profiling

 

5.4个人权利

权利的行使

任何希望行使本政策权利的个人,请联系 privacy@talbertfenceanddeck.com

5.5数据保护

个人资料的保安

在本政策范围内,任何赌博正规的十大网站单位收集或处理的所有个人数据和敏感个人数据必须符合安全控制、系统和流程要求以及学院信息安全政策的标准 http://undoubting.talbertfenceanddeck.com/basics/welcome/leadership/policies/information-security-policy

违反通知

任何科罗拉多大学单位,怀疑违反或披露个人数据已经发生必须 立即 notify 科罗拉多大学’s 网络安全 at privacy@talbertfenceanddeck.com

 

Responsible Party and Responsibilities:

科罗拉多大学
记录根据本政策收集或处理的个人资料或敏感个人资料的法律依据.

与…合作 privacy@talbertfenceanddeck.com 当个人查询其个人数据或根据本政策收集或处理的敏感个人数据时.

立即通知(24/7)并与科罗拉多大学网络安全部门就任何数据泄露进行合作: privacy@talbertfenceanddeck.com

Privacy@talbertfenceanddeck.com
对在欧盟境内收集的个人数据或敏感个人数据进行查询(见第2节).4).

协调赌博正规的十大网站单位回应个人资料或敏感个人资料的查询,而从个人在欧盟收集.

网络安全
To answer questions about and review data security measures.

To handle data breach notification for the Institute.

执行: 

Violations of the policy may result in loss of system, 网络, 以及数据访问权限, 行政处罚(包括终止或开除),如学院的信息安全政策所述.

http://undoubting.talbertfenceanddeck.com/basics/welcome/leadership/policies/information-security-policy

To report suspected instances of noncompliance with this policy, please contact privacy@talbertfenceanddeck.com

 

定义

收集或处理数据

集合, 存储, 记录, 组织, 构建, 适应或改变, 咨询, 使用, 检索, disclosure by transmission/dissemination or otherwise making data available, 对齐或组合, 限制, erasure or destruction of personal data, 无论是否通过自动化手段. 

同意

 

同意 of the data subject means any freely given, 具体的, informed and unambiguous indication of the data subject’s wishes by which they, by a statement or by a clear affirmative action, signifies agreement to the 过程ing of personal data relating to them.

根据欧盟GDPR:

  1. 同意 must be a demonstrable, clear affirmative action.
  2. 数据主体可以随时撤销同意,撤销同意必须与给予同意一样容易.
  3. 同意 cannot be silence, a pre-ticked box or inaction.
  4. 如资料当事人没有真正或自由的选择,或无法在不造成损害的情况下拒绝或撤回同意,则不应视为自愿给予同意.
  5. Request for consent must be presented clearly and in plain language.
  6. Maintain a record regarding how and when consent was given.

控制器

 

自然人或法人, 公共权力, 机构或其他组织, 单独的或与他人一起的, determines the purposes and means of the 过程ing of personal data.

赌博正规的十大网站单位

A 科罗拉多大学 office, program or department.

已识别或可识别的人士

 

An identified or identifiable person is one who can be identified, 直接或间接, in particular by reference to an identifier such as a name, 识别号码, 位置数据, an online identifier or to one or more factors 具体的 to the physical, 心理, 遗传, 精神, 经济, cultural or social identity of that person.

Examples of identifiers include but are not limited to: name, 照片, 电子邮件地址, identification number such as CC ID#, CC账号(用户ID), physical address or other 位置数据, IP address or other online identifier.

合法的基础上

 

只有在以下至少一项适用的情况下,个人资料的处理才是合法的:

  1. 资料当事人已同意为一个或多个特定目的处理其个人资料;
  2. 为履行数据主体为当事人的合同,或为在订立合同前应数据主体的要求采取步骤,处理是必要的;
  3. 为了履行控制者所承担的法律义务,处理是必要的;
  4. 为了保护数据主体或其他自然人的切身利益,有必要进行处理;
  5. 为履行为公众利益而执行的任务或为行使赋予控制者的官方权力而进行的处理是必要的;
  6. 为了控制者或第三方追求的合法利益,处理是必要的.

合法权益

 

如果数据控制者/处理者的合法商业目的需要处理个人数据,则该等处理是合法的, 除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒.

个人资料

与已识别或可识别的人(资料当事人)有关的任何资料.

处理器

 

自然人自然人或法人, 公共权力, agency or other body who 过程es personal data on behalf of the controller.

敏感个人资料

需要在收集或处理前取得资料当事人同意的特别类别个人资料包括:

  1. 种族或民族出身
  2. 政治观点
  3. 宗教或哲学信仰
  4. 工会会员资格
  5. 用于唯一识别自然人的遗传、生物特征数据
  6. 健康数据
  7. Data concerning a person’s sex life or sexual orientation
报告问题 - 最后更新: 02/29/2024