数据保护政策——个人数据的处理、使用及个人权利

数据保护政策 Contents 11.简介 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … 22.宗旨和目标。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3.法定框架 … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … 34.范围和职责 … …5.定义 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … 36.原则 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … 57.学校处理的个人数据类型 … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … …8. 20.定位 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … … 1721. 1.Introduction24.获取图片 … … … … … … … … … … … … … … … … … … … 25.其他闭路电视系统 1826.询问和投诉 … … … … … … … … … … … … … … … … … … … … … … … … … … …北伦敦公学（学校）处理有关学校社区成员的大量“个人数据”。根据英国一般数据保护条例（UK GDPR）和数据保护法案（2018年，DPA），学校必须公平地处理此类个人数据。这包括解释学校将如何持有和使用这些个人数据。本政策旨在帮助满足这一法律要求。 27.附录 1 ： 闭路电视录像访问申请表应当从一开始就注意，数据保护始终应位居次要地位以确保安全和儿童保护。如果两者存在潜在冲突，儿童的福祉是至高无上的。有关更多信息，请参见HM政府的非强制性指导文件。信息共享：为儿童、年轻人和照顾者提供保护服务的实践者建议（2018年7月）。 1.3 这是整个学校的政策 ， 适用于 EYFS 至六年级。 1.4本政策必须与学校提供的以下内容一起阅读网站: • 发生个人数据泄露时的程序 (内部文件) •SubjectAccess Request procedure (internal document) •检查主题访问请求程序 (内部文件) •员工行为守则 (内部文件) •数据保留策略 (内部文档) •信息安全政策 (内部文件) •PrivacyNotices •招聘、选择和披露政策 •条款和条件 1.5 本政策在学校网站上提供。 1.6上述政策的副本存放在高中办公室，供家长查阅。您也可以通过电子邮件（Office@nlcs.org.uk）向学校请求副本，如有需要，这些副本可以提供大字体或其它无障碍格式。 2. 目标和目标2.1 该政策旨在提供有关学校如何遵守数据保护法律要求的信息。有关学校持有或使用特定类型信息的方式和原因的更详细信息，请参见相关隐私通知。 22.2TheSchoolis致力于个人它处理的数据。As这一部分保护 学校承诺在其网站上发布隐私声明，解释学校如何收集、存储和处理个人数据。此政策应与学校的隐私声明一起阅读（包括全体学校的家长隐私声明、初中学生的家长隐私声明、高中学生的家长隐私声明、员工隐私声明以及筹款与发展隐私声明）。此政策还适用于学校的条款和条件，以及学校可能提供的任何关于特定使用个人数据的信息。 3.1 本政策符合以下规定 ：3. Statutoryframework •欧盟理事会2016年4月27日通过的第2016/679号条例（欧洲议会和理事会条例），关于自然人在个人数据处理方面的保护以及此类数据的自由流动（英国通用数据保护条例）。• 2018 年数据保护法 (DPA)• Privacyand 电子通信 (EC 指令) 条例 (2003), •2012 年《自由保护法》• 信息专员办公室(ICO) 相关指南和实践 ， 即 ：o 视频监控(包括使用 CCTV 的组织指南) | ICO 4. 范围和职责o直接营销指南 4.1 本政策及相关程序适用于任何为学校工作或代表学校行动的人，包括但不限于教职员工、临时员工、志愿者、董事会成员和服务提供商。 根据《数据保护法案》和英国《通用数据保护条例》（UK GDPR），学校已向信息专员办公室（ICO）通报了其数据处理活动。学校的ICO注册号码为Z4994269，注册地址为Canons Drive,Edgware, Middlesex, HA8 7RJ。 尽管学校是数据控制者，学校的首席运营官担任“数据保护负责人”，并将尽力确保所有个人数据处理符合英国GDPR要求。 5. Definitions5.1 就英国 GDPR 而言 ： 生物识别数据任何源自特定技术处理的个人数据，涉及个体的物理、生理或行为特征，使其能够实现唯一识别。 同意书–自由给出、具体、知情且明确的同意（通过声明或行动表示对处理其个人数据的同意）。 关于健康的数据- 与个人的身体或心理健康或向其提供健康服务有关的任何个人数据。 数据控制器- 确定个人数据处理目的 ， 条件和方式的实体。 数据擦除— 也被称为“被遗忘权”，它赋予数据主体要求数据控制者删除其个人数据、停止进一步传播数据的权利。 可能有第三方停止处理数据。 数据可移植性–要求控制器向数据主体提供其数据的副本，并且该副本应以易于与其他控制器集成和使用的格式提供。 数据主体 - 其个人数据由控制器或处理器处理的自然人。 加密数据– 通过技术手段保护个人数据，确保只有指定的访问者才能访问这些数据。 个人数据任何可以直接或间接用于识别自然人或数据主体的个人信息。 个人数据泄露- 违反安全规定 ， 导致意外或非法访问、破坏、滥用等个人数据。 设计隐私– 一个要求在系统设计初期就纳入数据保护原则，而非作为附加项的原则。 处理- 对个人数据进行的任何操作 ， 无论是否通过自动化方式 ， 包括收集 ， 使用 ，记录等。 假名– 以这种方式替代数据主体的身份，使得需要额外的信息才能重新识别数据主体。 被遗忘的权利—也称为数据擦除，它赋予数据主体要求数据控制者删除其个人数据、停止进一步传播数据，并且可能要求第三方停止处理该数据的权利。 访问权限 / 主题访问请求- 数据主体有权访问和获取控制者持有的关于他们的个人数据的信息。 个人数据的特殊类别- 个人数据揭示种族或民族起源、政治观点、宗教或哲学信念、工会会员身份，以及用于唯一识别自然人的生物特征数据处理，涉及健康数据或自然人的性生活或性取向数据。 监管机构- 信息专员办公室(ICO) 是英国的监督机构。 6. 原则6.1 英国GDPR中有七项数据保护原则。这些原则赋予个人对其个人数据的具体权利，并对负责处理这些数据的组织提出了某些义务。 o 合法、公平和透明 o 目的限制 o 数据最小化 o 准确性 o 存储限制 o 完整性和保密性 (安全性) o 问责制 6.2学校应当尽可能遵守《英国通用数据保护条例》（UK GDPR）中包含的原则，以确保所有个人数据： ••••与个人相关的合法、公平和透明的处理(“合法、公平和透明 ”) ；为指定的、明确的和合法的原则收集 ， 不以某种方式进一步处理与这些目的不兼容 ； 在公共利益、科学或历史研究目的或统计目的不得认为与初始目的不兼容(“目的限制 ”) ；充分、相关和限于与以下目的相关的必要内容它们被处理 (“数据化 ”) ；准确 ， 必要时 ， 正确的 ； 必须采取一切合理的步骤来确保不准确的个人数据 ， 考虑到它们的目的处理 ， 擦除或纠正无延迟(“精度 ”) ；• 保持个人数据仅在必要的时间内用于处理目的，以便识别数据主体；个人数据可在公共利益、科研或统计目的下单独用于档案保存目的时存储更长时间，但需实施UK GDPR规定的适当的技术和组织措施以保护个人的权利和自由（“存储限制”）。 处理个人数据的方式应确保适当的安全性，包括防止未授权或非法处理以及避免意外丢失、毁坏或损坏，使用适当的技术或组织措施（“完整性和保密性”）； •The controller shall be responsible for, and be able to demonstrate compliance with,上述数据保护原则 (“问责制 ”) 。 7. 学校处理的个人数据类型7.1 学校可能会处理涉及个人的广泛范围的数据，包括现有学生、前任学生、潜在学生及其家长的数据，作为其运营的一部分，例如： ••••••••••一般来说 ， 学校直接从个人接收个人数据 (或者 ， 在姓名、地址、电话号码、电子邮件地址和其他联系方式 ；cardetails (关于使用我们停车设施的人) ；职业细节银行详细信息和其他财务信息 ， 例如有关向学校支付费用的父母 ；助学金相关信息 ：过去、现在和未来学生的学术、学科、入学和出勤记录(包括有关任何特殊需要的信息) ， 以及考试脚本和标记 ；在适当的情况下 ， 有关个人健康的信息 ， 以及他们下一个的联系方式kin;学校提供或收到的有关学生的参考资料 ， 以及以前提供的信息教育机构和 / 或与学生合作的其他专业人员或组织;and学生参与学校活动的图像 (如学校行为准则中规定的风度翩翩 ， 对孩子们的图像进行拍摄) ， 并由学校的 CCTV 拍摄系统。 学生的数据可能来自父母。然而，在某些情况下，个人数据也可能由第三方提供（例如另一所学校、或其他与该个体合作的专业人士或机构），或从公开可用的资源中收集。 7.2此外，学校可能需要处理涉及健康、宗教、生物识别信息等“特殊类别个人数据”，或刑事记录信息（如进行Disclosure and Barring Service (DBS) 背景检查），以履行法律规定其承担的与保护和就业相关的权利或职责。这些处理活动也可能根据具体情况从时间上要求获得明确的同意。更多详细信息可在学校网站上的适用隐私声明中找到。 8. 学校使用个人资料8.1 学校将在运营过程中（并在适当情况下与第三方分享）使用个人数据，包括但不限于以下目的： 为了学生选择和确认未来学生及其父母的身份;为学生提供教育服务（包括特殊教育SEND、职业服务和课外活动）；监测学生的进步和教