跳到主要内容

信息治理

信息治理

gdpr和数据保护法的常见问题

在英国,一个人的个人数据法律下的一般数据保护条例(gdpr)和数据保护法2018年gdpr框架提供了对不遵守比以前数据的个人和更严厉的惩罚的个人数据更好的保护保护保护法规。

该大学目前正在努力确保所有学校和部门了解下gdpr自己的责任。请记住,gdpr建立在员工和信息流程和系统应该已经与之前遵守现有的数据保护措施。

有关详细信息,请参阅我们的常见问题解答gdpr和 隐私页面.

一般数据保护条例(gdpr)是一种新型的,欧洲范围内的法律,它取代了数据保护法1998年在英国。它是更广泛的包改革到数据保护景观包括数据保护法案的一部分。在gdpr规定了组织将如何需要从5月25日2018年变更为组织提供了一个机会,审查它们如何处理个人数据,鼓励过程的透明度处理个人数据的要求。

学校形成由安德鲁·哈特利,法律和信息管理的主任和索尔福德数据保护官员的大学主持的工作组。该工作组将负责在gdpr需求的实现方式。工作完成日期包括:

  • 最初的审计信息
  • 隐私声明,
  • 记录保留,
  • 管理数据主体的权利,
  • 提供咨询,
  • 培训和意识
  • 事故报告
  • communications – to bo日 staff & students
  • 数据保护的影响评估

你的任务组的代表将能够帮助您解决任何最初的问题。请在第一时间对他们说话。

我们都有责任安全使用个人数据。它是你的责任,检查你的工作是由ICO,法律和信息治理团队和本地程序中发出的指导意见。有提供给员工的电子学习工具。如果,一旦你完成了这个培训,你认为你需要额外的培训,请发送电子邮件至 gdpr@salford.ac.uk。有工作的大学的大部分区域内进行。你gdpr任务组的代表检查,看看有什么是您所在地区的事情。

所述gdpr适用于“个人数据”,这是指与谁尤其可以直接或间接地确定通过参考标识符可识别的人的任何信息。

我们依然会保持这种调控一旦英国离开欧盟,原因有二:

  • 本规定生效,我们离开欧盟之前,所以我们需要实现它的时候,我们是在欧盟和
  • 当英国是欧盟的部分不再有必要为英国,证明我们对处理个人数据的标准是至少与那些在整个欧盟一样好,对其余国家能够将数据传输到英国。证明英国数据处理标准的一种方式是保留在其上的所有其他成员的状态使用,以调节数据处理欧规的基础。

在gdpr主要变化如下:

  • 该立法目前技术中立的,所以它适用于任何格式保存的个人数据是否纸质或电子,在文件中保存,在笔记本电脑,手机,相机,录像带,录音,电子邮件,云存储等
  • 个人数据的定义发生了变化,包括 位置数据和网络标识符
  • 敏感的个人数据的定义已经扩展到包括 遗传和生物特征数据 但只为唯一识别个人生活的目的
  • 术语敏感的个人数据本身的变化敏感类别数据(SCD)
  • 该数据主体权利推广和改进
  • 要求知道和状态 - 在公平处理通知 - 为所有类型的个人和敏感个人数据处理的法律依据,并为此在任何时候都可以明确
  • 引进强制性数据泄露通知
  • 增加了对数据的罚款,并通知违规
  • 透明度和问责制的要求
  • 用于数据处理的数据处理器的更大的责任。

有关保留的信息可以发现 这里.

  • 信息专员办公室是英国看门狗和监管机构管辖的数据保护法。他们的网站有很多有用的信息和指导。 www.ico.org.uk.
  • 强制性电子学习是提供给所有员工//salford.learnupon.com/saml/init
  • 信息治理 网页 将有更多的信息定期更新。
  • 您gdpr任务组代表发言

好消息是,大多数由学校处理的数据符合我们的公共任务中,或形成在与学生合同的义务的一部分。同意需要认真加以管理。在gdpr需要同意是“具体的,明确的知情和自愿给予”。为了使同意是“特定的”用于同意该请求必须来自形式的任何其他部分区分开来。 

类似地,对于同意是“显式”的个别必须登录/同意请求,以便从表格的任何其它部分分开地提供的信息。例如,如果学生同意是一个研究项目的一部分,他们同意/登录一次同意成为研究的一部分,然后签署/同意第二次所涉及的实际数据处理。这种同意必须保留只要它所引用的数据被保持。

具有,和提供收费处理通知(参见FAQ 7)指的是,当正被处理的人同意他们的数据,他们同意由在公平处理通知中提供的信息通知。

同意的,最终元件,它是“自由给予”,可以是最难实现。如果存在无法启动,或继续未经个人同意将其个人数据的处理的任何元素,则同意不能随意给出,就必须找到数据处理的另一个法律依据。

该gdpr数据泄露通知下现在是强制性的,而这是德新社1998年ICO将发出时,有必要报告违反(类似于那些在生存的DPA的指导方针下,自愿的,但gdpr要求数据控制器应毫不迟延,并在可行,72小时知悉违反内报告数据破坏。

这要看情况。如果同意,被用作处理的法律依据,然后一个人在任何时候撤销同意的权利,以及信息必须被删除。然而,对于处理其他法律依据,要擦除的权利不是绝对的权利和测试需要被应用,看看信息应予以保留。在每种情况下或要求,日志应保持请求,决定和任何文件,以支持该决定的理由。

我们当然应该考虑一下我们有多少数据记录,以及我们是否需要这一切来完成我们的活动,但如果有必要,我们已经遵守所有的gdpr建议你不应该停止记录,或从文件或系统中删除

你应该在第一时间或电子邮件给您的工作组代表发言 gdpr@salford.ac.uk 如果他们不能回答你的问题。

有很多事情可以做有效数据后一看,下面列出的是我们将定期更新一些最佳实践方法。

笔记本电脑:

Always carry in hand luggage when travelling & use a privacy screen when in a public place

电脑工作:

锁定屏幕每当你离开办公桌

密码

该se should be a mixture of upper & lower case, numbers and symbols. If you use a PIN make it longer than the standard 4 digits. And never use a password 日at you use elsew这里

文件传输

发送给第三方时,你应该加密的文件,并使用安全的数据传输系统

如果你将数据发送到您的组织中的其他人你没有加密,但你应该密码保护,然后在一个单独的电子邮件发送密码

手机

这些应该与你在任何时候都携带和引脚/脸部识别保护

书桌

操作清晰的办公桌政策 - 不仅会令你更有组织将确保所有纸质文件在任何时候都安全

备案

我们应该档案进行数字化处理尽可能;使其更易于存储和搜索,但如果你必须保持一个硬拷贝,这应该是在锁和钥匙。

gdpr一般的数据保护法规
dpia数据保护影响评价
SAR主题访问请求

信息自由

信息行为2000自由生效于2005年,其目的是通过允许个人进入社会团体举办的“记录”信息的权利,以促进透明度和问责制。

按照法案的大学已经提供了一个 出版计划。本文详细介绍了各类大学定期发布信息,以及如何访问它。

的信息相当多,也可在大学的网页中。详情请咨询大学的网页,并为您所需要的信息发布的大学计划。

如果您无法找到您所需要的信息,您可以提交信息的正式请求。请以书面形式提交您的要求 foi@salford.ac.uk,说明你的姓名,地址和您所需要的信息。

相反,如果你想通过邮寄提交您的请求,请发送到:

信息治理官
法律和管理董事会
麦克斯韦6 地板
十大网赌娱乐
M5 4重量

什么是信息安全?

获取信息和IT系统 必要 对于学校在高等教育环境竞争力的作用。信息安全是文化,政策,组织结构和操作环境的使用,以确保企业架构 保密性,完整性和可用性 我们的信息。

高级信息安全官 based with Legal & 治理 Directorate works together with all University departments and Schools to develop policy, advice and guidance on information security issues – whether new information systems, projects to share information with external partners or major revisions to existing information systems and procedures 日at hold personal information i.e. confidential information.

这可以通过实施控制来实现:

物理安全

与每个居民学校和部门屋的责任

人员和培训安全

人力资源的责任

政策/程序的安全性

高级信息安全官和企业主的责任

技术安全

数码IT和系统拥有者的责任(外DIT)

所有这些措施必须同时执行,而不是一次性的,你可以在下图中看到的。

Information Security Onion

如何报告数据泄露或安全事故

大学需要了解涉及的事件:

  • 未经授权访问或个人数据或机密大学信息披露
  • 丢失或被盗的笔记本电脑,智能手机,记忆棒或含大学信息等IT设备

该 信息治理团队 are part of a co-ordinated team across Legal & 治理 and Digital IT called 日e IT Security Emergency Response Team (ITSERT) who respond to and manage investigations into data breaches and security incidents.

请报告0161 295 2444的任何数据泄露或安全事件向数码IT服务台服务台会把个案转介到相关的团队。

你应该总是报告您的关注,因为使用不当可能会损坏校园网,是非法的或有对大学的声誉带来负面影响。所有这些都可以对你的研究或与大学有负面影响的工作。通过报告您的问题,您正在为防止同类事件再次发生,并尽可能快地限制在大学和它的数据对象损坏的最好机会。

在即将举行的数据保护监管会有对于学校通知有关严重的个人数据泄露的信息专员进行了严格的时间限制 - 我们只能满足时限,如果你能告诉我们关于立即将事件或违约行为!

记录管理

记录管理是由该大学管理是否外部或内部产生的记录的所有的元件,任何格式或媒体类型,从一开始/接收,一路通过它们的处置过程。良好的记录管理:

  • 确保你能找到你需要在你需要它的时候的信息;
  • 提供你的工作的证据;
  • 支持决策;
  • 确保您遵守立法,如数据保护法1998年和信息行为2000的自由。

有效的记录管理实践的好处

  • 节省时间 - 目前估计有20 - 的工作人员60%的时间都花在找资料。良好的记录管理将使得能够快速,可靠地获取信息,从而减少这个时间相当。
  • 节省了空间 - 即不再需要在其可作为教学用房或办公用房大学释放空间销毁信息。
  • 降低管理成本,无论是在工作时间和存储空间。
  • 消除疑虑过的文件的真实性,并减少对大学的法律责任风险。
  • 能够及时的反应和成本效益向大学提供信息的要求。
  • 删除重复。
  • 确保文档的大学历史上的重要永久保留。

我怎么能实现档案管理?

所有的工作人员可以帮助实现良好的记录管理:

  • 确保您创建和维护活动的完整和准确的记录;
  • 下面在你的办公室同意备案手续;
  • 列出你的文件,因为它们被创建并保持清单的更新;
  • 定期审查和文件的处置根据 记录保留时间表;
  • 保存文件整洁,不要让申请积压堆积;
  • 确保文件没有打开过三年,当打开现有变得太大而不能使用新的文件;
  • 意识到公众可以要求看几乎所有的记录信息的行为2000年,环境信息的规定和一般的数据保护规定的自由下。

更多指导可从 信息治理团队.