[2022 年 3 月 19 日](版本 1)
数量:GV 2分类:治理批准机关:理事会指定执行官:总统生效日期:2022 年 3 月取代:2018 年 11 月上次审核/修订日期:2022 年 2 月强制审核日期:2029 年 2 月
相关程序:[本节将随着程序的制定和程序当局的适当批准而更新]。
目录
1.0 背景
大学有法律和道德义务来保护其管理信息的个人的隐私。不列颠哥伦比亚省信息自由和隐私保护法(FOIPPA)、《加拿大标准组织个人信息保护示范守则》(《示范守则》)中概述的最佳做法以及不列颠哥伦比亚省信息和隐私专员办公室发布的各种标准和指南为本政策的实质内容。
2.0 目的
本政策的目的是确定大学如何遵守 FOIPPA 的隐私保护要求并根据最佳实践管理个人信息。
3.0 范围
3.1 本政策适用于大学保管或控制的所有个人信息,以及有权访问个人信息的所有大学员工、大学管理人员、志愿者和服务提供商。
3.2 本政策不适用于在大学进行研究的教师或其他个人的研究信息。
4.0 定义
4.1 法案或 FOIPPA指不列颠哥伦比亚省信息自由和隐私保护法.
4.2 管理员指参与指导和监督大学的特定项目、单位、办公室或部门的个人(例如经理、总监、院长等)。
4.3 业务联系信息指能够联系营业地点的个人的信息,包括个人的姓名、职位名称或头衔、公司电话号码、公司地址、公司电子邮件或公司传真号码。
4.4 记录的保管表示 UNBC 拥有占有记录及其保管责任。 [GV 2] [2022 年 3 月 19 日](版本 1)第 4 页,共 13 页
4.5 记录的控制有权管理与商业目的所依赖的授权或职能相关的记录。
4.6 令人信服的情况是指某人被迫采取行动保护健康或安全面临迫在眉睫危险的个人的情况。
4.7 同意指一个人自愿同意,拥有并行使足够的心智能力,做出明智的选择,去做另一个人建议的事情;它假定有行动的身体力量、行动的道德力量以及认真、坚定和自由地使用这些力量。
4.8 确定托管或控制在所附标准中定义(参见附录 1)
4.9 披露指传输、透露、展示、公开、提供个人信息或记录的副本或提供个人信息或记录。
4.10 紧急指影响或威胁人们的健康、安全或福利,或大学财产和基础设施的当前或即将发生的短期事件。
4.11 员工指受大学雇用并因其工作而获得报酬的人员。就本政策和相关程序而言,本文提及的每个员工还包括大学官员(例如参议院和理事会成员)、志愿者和服务提供商(在适当的情况下)。
4.12 个人信息指除业务联系信息之外的可识别个人的记录信息。
4.13 个人信息库 (PIB)指经过组织且能够使用个人姓名、识别号码或其他个人标识符进行检索的个人信息集合。
4.14 侵犯隐私指未经授权而访问或收集、存储、保留、处置、使用或披露个人信息行动.
4.15 隐私影响评估 (PIA)指大学进行的合规性和基于风险的评估,以确定当前或拟议的系统、项目、计划或活动是否满足或将满足该法案的隐私保护要求。它是一种风险管理和合规工具,用于识别、纠正或减轻潜在的隐私和安全问题,从而避免隐私泄露、机构声誉受损或代价高昂的程序、流程或服务重新设计。进行隐私影响评估是 FOIPPA 的法律要求。
4.16 服务提供商指根据合同受聘为大学提供服务的个人或公司。
4.17 监控系统指记录音频和/或视觉图像以监控行为、活动或信息的公开和隐蔽摄像机
4.18 大学指尊龙凯时人生就是博(中国)官方网站 (UNBC)。
4.19 大学社区指大学的所有学生和员工,以及法律或其他大学政策规定在大学具有地位的所有人员,包括研究助理、博士后研究员、大学官员(包括参议院和理事会成员)、志愿者、客座教授、荣誉教授和客座研究人员。
4.20 志愿者指为大学工作但没有报酬的人。
5.0 政策
5.1.1 通过本政策,理事会指定总统为公共机构的负责人行动.
5.1.2 根据第 66 条采取行动,总统可以通过正式的书面文件将隐私官的职责委托给一名或多名员工。概述任何此类代表团的备忘录必须抄送给理事会主席,并保存在理事会的记录中。
5.1.3 治理官员 - 访问、隐私和记录管理负责促进、监控和报告 FOIPPA 以及大学访问、隐私和记录管理政策的遵守情况。治理官员的职责包括以下内容:
- 提供隐私建议和培训;
- 提供隐私风险的持续评估;
- 回应隐私投诉并调查有关隐私问题的疑虑;和
- 在治理官员确定存在重大隐私风险的情况下,调查和/或向适当的管理机构建议采取纠正措施、暂停或终止项目或活动。
5.1.4 管理员负责以下事项:
- 尽合理努力熟悉 FOIPPA、本政策及其相关程序的要求,并尽合理努力将这些要求传达给所在单位的员工;
- 做出合理努力,确保其单位保管或控制的个人信息的管理符合 FOIPPA、本政策及其相关程序的要求;
- 根据大学的隐私事件或违规响应程序报告任何隐私事件或违反 FOIPPA、本政策或其相关程序的行为;和
- 进行隐私影响评估。
5.1.5 所有收集、访问、使用、披露、维护和处置个人信息的员工都处于值得信赖的位置。员工负责以下事项:
- 根据 FOIPPA 和本政策处理他们有权访问的所有个人信息;
- 做出合理的努力来熟悉并遵守 FOIPPA、本政策及其相关程序的要求;
- 必要时就 FOIPPA、本政策及其相关程序的要求向相应机构咨询;和
- 根据 FOIPPA、本政策或其相关程序报告任何隐私事件或违规行为。
5.1.6 大学要求代表大学开展收集、使用或披露个人信息的第三方服务提供商在代表大学处理个人信息时遵守本政策、隐私保护表和 FOIPPA。大学可能会要求服务提供商签署保密协议。
5.2.1 所有个人信息必须由大学按照以下规定进行管理:行动如下所述并符合保护个人信息的最佳实践和标准。
5.2.2 个人信息的收集、访问、使用、披露和保留必须仅限于与大学运营直接相关且必要的信息。
5.2.3 大学必须尽一切合理努力确保其保管或控制的个人信息的准确性和保护。
5.3.1 必须仅按照本协议第 3 部分的规定收集个人信息行动,并始终使用适当的通知和收集方法。
5.3.2 个人信息的收集必须限于开展大学规定的活动所需的最低数量大学法.
5.4 收集个人信息的同意 大学通常在收集个人信息之前获得个人的明示或默示同意,但在 FOIPPA 授权的有限情况下,可以在未经同意的情况下收集、使用或披露个人信息。
5.5.1 员工仅有权访问履行其职责所需的个人信息。
5.5.2 仅使用个人信息
- 为了获取或编译该信息的目的,或者为了与该目的一致的用途;
- 获得个人信息相关个人的书面同意;
- 出于向大学披露的目的; v. 用于本协议允许的任何其他目的行动.
5.5.3 大学不得向任何第三方披露其保管或控制下的学生、雇员、校友、退休人员、客户和捐赠者的任何个人信息,除非本协议另有规定行动.
5.5.4 允许未经同意披露以下信息:
- 员工的联系信息;
- 有关个人作为大学官员、员工或成员的职位、职能或薪酬的信息;
- 获得学位的个人的姓名、这些人获得的学位的名称以及授予学位的年份;
- 在紧急情况下或安全与安保总监确定存在影响任何人的健康或安全的令人信服的情况,或在相关部门允许的情况下,有关个人的个人信息紧急或迫不得已的情况下披露学生信息的程序.
5.6.1 大学仅在第 6 条允许的情况下收集个人信息是合法的。 FOIPPA 26。大学必须准备好向公众和 OIPC 证明,并提供具体证据,第 s 条中的一项或多项规定。 FOIPPA 第 26 条授权监控系统提议或现有的个人信息收集。
5.6.2 监视系统的每个组成部分,无论是公开的还是隐蔽的,都必须合法。例如,当 UNBC 考虑实施或增强现有的收集视频和音频片段的监控系统时,它应该能够证明两者的目的和法律权限。所有授权请求都必须包含支持每个组件如何实现集合目的的证据。
5.6.3 UNBC 可能会使用监控系统来:
- 通过起到威慑作用或增加识别可能实施犯罪活动的个人的可能性,提高大学财产的人身安全;
- 协助执法机构调查任何涉嫌犯罪活动;
- 协助保护大学资产和基础设施;或
- 协助大学政策的实施。
5.6.4 监控系统不得用于监控或记录大学社区或公众对隐私有合理期望的区域。
5.6.5 监控系统只能作为解决实际、紧迫和重大问题或风险的特殊步骤而部署,并且只能在没有侵犯隐私程度较小的替代方案的情况下部署。
5.6.6 监控系统的设计必须尽量减少对隐私的影响。在安装、升级、增强或更换系统之前,需要评估拟议监控系统的隐私影响并在 PIA 中记录。
5.6.7 安装、升级或增强监控系统之前需要获得批准。安全和风险总监负责批准安装,所有请求都必须提供书面确认,证明安装对于解决真实、紧迫和重大的问题或风险是必要的,并且没有侵犯隐私较少的替代方案。
5.6.8 在最终批准之前,安全与安保总监必须获得与隐私考虑有关的治理官员(访问、隐私和记录管理)以及财务和行政副总裁的安装批准。
5.6.9 必须向安全和风险总监发送书面使用请求,概述以下内容:
- 请求者的姓名、部门和职位;
- 使用监视的理由;
- 考虑过的侵入性较小的方法以及它们被拒绝的原因;四.谁有权查看和共享所记录的个人信息; v. 信息将如何存储、存储多长时间以及何时会被删除。
5.6.10 FOIPPA 第 32 条限制公共机构使用个人信息的目的。 UNBC 应准备好证明其正在正确使用个人信息并满足第 32 条的要求。
5.6.11 通过视频或音频监控收集的信息的用途不得超出收集的原始目的以及与此目的明显一致的任何其他目的。
5.6.12 监控系统在录制时都会收集个人信息,无论 UNBC 将来是否或如何使用、保留或披露这些录制内容。
5.6.13 安全和安保总监负责保存所有隐蔽和公开摄像头及其位置和功能的清单(包括但不限于视频和音频录制功能、支持网络、基于云的系统,并特别注意是否有任何监控记录可用或可由 UNBC 外部的任何一方(例如供应商、执法部门或在远程或隔离环境中工作的工作人员)查看)。该列表必须每年与大学治理办公室共享。
5.6.14 如果安装监控系统是为了对犯罪行为进行有时限的具体调查,则必须得到财务和行政副总裁的批准。只有当秘密监视对调查至关重要,并且其必要性超过了可观察者的隐私问题时,才必须批准秘密监视。不得持续授权秘密监视。
5.6.15 大学必须在被监控或记录区域的周边或入口处显着地显示标牌,以提供使用公开监控系统的通知,以提醒个人在进入任何监控区域之前此类系统正在或可能正在使用
5.7.1 大学必须尽一切合理努力,确保用于做出直接影响个人的决策的个人信息准确且完整。
5.7.2 应个人信息相关个人的要求,大学可以更正、添加或注释信息,并提供令大学满意的文件证据来证实更正。
5.8.1 大学通过制定合理的政策、程序、物理和技术安全安排来保护个人信息,防止未经授权的访问、收集、使用、披露或处置等风险。
5.8.2 大学通过完成隐私影响评估,确保个人信息保护成为规划、实施和维护新的和修订现有系统、项目、计划或活动的核心考虑因素。
5.9.1 如果有人索取他人的个人信息,则必须拥有由该人签署并作为请求的一部分提交的授权发布声明。根据 FOIPPA,很少有特定豁免可以在未经第三方同意的情况下向第三方提供个人信息。
5.9.2 第三方个人或组织(例如父母、代理人、雇主、赞助商等)必须获得个人授权(书面),UNBC 才能发布任何信息。
5.9.3 发布声明的授权通常自签署之日起一年内有效。
5.9.4 在大多数情况下,授权仅针对一两个特定项目,而不是一揽子批准使用它们执行所有操作。必须尊重这一点。
5.9.5 大学必须根据以下规定,有效、及时地管理侵犯隐私的行为:隐私泄露程序.
5.10.1 大学倾向于仅在加拿大境内存储由其保管或控制的所有个人信息,除非该信息所涉及的个人同意在加拿大境外存储,或者除非该存储是根据行动.
5.10.2 必须进行 PIA
- 针对以前未进行过 PIA 的新举措;
- 在对现有计划实施重大变更之前;或
- 当个人信息在加拿大境外存储、访问或披露时;
5.11.1 当个人信息用于做出直接影响个人的决定时,大学会将个人信息保留至少一年。
5.11.2 除非第 5.11.1 条适用,否则视频文件将在一个月内删除,除非根据安全和安保总监的书面要求保留,或者需要记录正在进行的事件或调查。
5.11.3 安全地处理个人信息,并相应记录信息的销毁情况。
5.12.1 个人有权访问有关自己的个人信息,但 FOIPPA 规定的例外情况除外。 FOIPPA 不会取代其他获取信息的程序,也不会以任何方式限制对非个人信息且向公众开放的信息的获取。
5.12.2 个人有权要求更正自己的个人信息,但 FOIPPA 规定的例外情况除外
5.13.1 根据 FOIPPA,违反以下规定披露个人信息属于犯罪行为行动.
5.13.2 任何大学员工如果发现未经授权的个人信息披露情况,或怀疑存在未经授权的个人信息披露情况,必须立即通知大学治理办公室的访问、隐私和记录管理治理官员(隐私官)。
5.13.3 与本政策相关或根据的所有隐私投诉行动必须以书面形式向大学治理办公室提出,并寄给治理官员 - 访问、隐私和记录管理。
5.13.4 大学根据回应所有有关侵犯隐私的投诉行动并按照以下规定向投诉人披露任何调查结果隐私泄露程序.
6.0 当局和官员
本政策的主管部门和官员如下:批准机关:理事会指定执行官:总裁程序权力:总统程序官员:高级治理官员
7.0 相关立法和标准
- 大学法,R.S.B.C. 1996 年,约第468章
- 信息自由和隐私保护法,R.S.B.C. 1996 年,约165
- 加拿大反垃圾邮件立法,S.C. 2010,c。 23
- 加拿大标准组织个人信息保护标准规范[CAN/CAS-Q830-96]
- 不列颠哥伦比亚省信息和隐私专员办公室关于“隐私泄露:工具和资源”的指南(2012 年 3 月)
- 国际标准组织指南(ISO 29134 指南)
8.0 相关政策和其他相关文件
8.1 附录 1 确定监管和控制标准