《九游会国际》

• 通用数据保护条例(GDPR)是欧盟的法律 自2018年5月25日起生效.
• GDPR是一项关于如何使用个人身份信息的隐私法.  根据GDPR，某些权利授予个人数据(包括 正在收集和处理特殊类别数据.  此外，某些法律 控制或处理个人信息的实体应承担责任 data.

 

是的, 第二十三条 允许成员国在特殊情况下根据具体情况作出减损 标准.   

• 为下述目的，不得向个人收集多于所需的资料 它将被使用; 
• 向有关人士发出收集资料的通知，以公平方式向他们索取个人资料 以及它的具体用途;
• 保留资料的时间不得超过为该指明目的所需要的时间;
• 确保数据安全可靠; 
• 应个别人士的要求，向他们提供其个人资料的副本.

请参阅下面的视频，了解更多由长城制作的GDPR 华尔街日报- WSJ.

尽管GDPR并不是美国通过的法律.S.，可适用于各种场合 九游会国际所从事的与加工有关的活动， 储存或管理欧盟居民的个人资料(例如.e. 那些居住在 当他们访问USM正在处理/存储/管理的系统时，欧盟 他们的数据). 

此外，涉及处理欧盟或欧盟境内个人数据的合同 欧洲经济区必须包含某些保护措施.  如果你正在谈判一个 涉及收集、存储或传输数据的合同 欧盟或欧洲经济区的个人，请联系 gdprrequestsFREEMississippi 并提供一份拟议合同的副本以及你的联系方式 以及完成合同的时间安排 该合同已作为数据处理协议对GDPR条款进行了审查 是否需要在数据处理器之间包含某些规定(自然或 法人、公共机关、机关或其他处理个人事务的机构 数据代表控制器)和数据控制器(控制器确定 处理个人资料的目的及方法). 

欧洲经济区的个人(包括欧盟加上三个国家——冰岛、列支敦士登和冰岛) 挪威):

• 奥地利
• 比利时
• 保加利亚
• 克罗地亚
• 塞浦路斯共和国
• 捷克共和国
• 丹麦
• 爱沙尼亚
• 芬兰
• 法国
• 德国
• 希腊
• 匈牙利
• 冰岛
• 爱尔兰
• 意大利
• 拉脱维亚
• 列支敦斯登
• 立陶宛
• 卢森堡
• 马耳他
• 荷兰
• 挪威
• 波兰
• 葡萄牙
• 罗马尼亚
• 斯洛伐克
• 斯洛文尼亚
• 西班牙
• 瑞典
• 联合王国

GDPR权利仅适用于当时位于欧盟或欧洲经济区的个人 处理个人资料.

任何根据GDPR行使权利的请求都需要个人提供 文档:

• 核实他们的身份，以及
• 核实他们在处理个人数据时在欧盟或欧洲经济区.   

如果个人要求纠正/更正记录，信息必须 提交错误所在，从而证明纠正的合理性. 

注意:国内学生的申请不能被接受，因为法律只适用 给那些可以通过带有日期戳的文件证明他们是 在他们的个人数据被处理时在欧盟. 

在GDPR的范围内，为这些行动存储或使用个人数据 或活动:

• 发生在欧盟;
• involve reaching out to EU residents to initiate an offer for goods or services; or
• 记录欧盟居民的在线活动或与数据控制或处理有关的活动 相对于欧盟
• 居民(我.e. 在大学处理时居住在欧盟的个人 他们的个人资料).

GDPR对“个人数据”的构成进行了广泛的界定，其中包括每一项 下列的:

基本身份信息，例如:

• 名字。
• address 
• 身份号码

以及web数据，如:

• 位置
• IP地址
• Cookie数据和
• 射频识别标签

GDPR还定义了什么是特殊类别数据，这是必须的 为防止资料外泄而实施的额外保护措施: 

• 竞赛;
• 民族起源;
• 政治;
• 宗教;
• 工会会员资格;
• 遗传学;
• 生物识别技术(如用作身份识别用途);
• 健康;
• sex life; or
• 性取向.

如果您在访问我们的系统时处于欧洲经济区，您可以断言 与我们正在处理的任何个人数据相关的某些权利，但您将 必须出示你的身份证明以及你在欧盟的居住证明才能证明你的身份 GDPR规定的权利.

• 知情权
• 查阅权
• 改正权
• 删除/被遗忘的权利
• 限制加工的权利
• 数据可携权
• 反对权
• 与自动决策和分析有关的权利

进入权
数据主体可以获得以下信息:

• 确认其个人信息正在被处理;
  资料副本;
  有关处理的补充资料，详述下列各项:
  处理有关收件人或类别的个人资料的目的 已取得或将会取得资料当事人个人资料的收件人 向他们披露的上述数据
• 如果可能，数据将被存储的时间长度(i.e. 资料保留期)、 或用于确定数据保留期限的标准，任何来源的列表 谁直接提供有关资料当事人的个人资料. 

改正权
 
资料当事人可要求改正任何不准确或不完整的个人资料 或者添加了一个补充声明.

• 大学可以决定不需要纠正，并将提供纠正 向数据主体提供解释，并告知数据主体他们 可以向资讯专员公署投诉，要求司法补救.
• 如果学校确定有必要进行整改，我们将与他们联系 从我们处取得资料的收件人，并告知他们需要更正 除非这样做会导致不成比例的努力.  

清除权——个人权利
个人可在下列情况下行使其被遗忘/删除权: 

• 如果所持有的个人资料就其所作的目的而言已不再是必需的 收集或处理过的;
• 如果同意被撤回并且同意是处理的唯一依据;
  如果个人对其数据的处理提出异议且没有凌驾于法律之上 存在继续处理的理由;
• 数据被非法处理的;
• 如必须删除个人资料以履行法律义务.

限制加工的权利 

在以下情况下，个人可以请求阻止或抑制处理 关于他们的数据:

• 如果个人对个人资料的准确性提出异议，处理将受到限制 直到所述数据的准确性得到核实;
• 如果个人反对处理其个人资料(在处理是 必要的:执行公共任务所必需的或基于合法利益的，处理的 数据将在调查期间停止，以确定是否合法 理由凌驾于个人反对之上;
• 如果处理是非法的，并且数据主体要求限制而不是删除;
  如大学不再要求提供资料，但资料当事人要求 行使或辩护一项法律要求.

数据可携权 
个人有权索取他/她所提供的任何个人资料的复本 以结构化、常用及机器可读的格式(例如.g. CSV).类别.   以下类别的数据受可移植权的约束:

• 根据同意(第6 (1)(a)条)或明确同意(第6 (1)(a)条)处理的数据 9 (2));
• data processed on a contract (Article 6 (1) (b); and
• 自动处理的数据.

其他信息

• 如果从技术角度来看可行，数据将直接传输给另一个 基于数据主体请求的控制器.
• 如果大学无法将数据直接传输到另一个控制器，则数据 受试者需自行安排转学事宜.
• 应初次要求，我们将免费提供资料. 

反对权

• 个人有权反对: 
• 基于合法利益或履行公共利益/执行任务而进行的处理 of official authority; and
• 为科学/历史研究和统计目的而进行的处理.
• 在收到反对权请求后，处理必须停止，除非:
• 大学可以证明有令人信服的合法理由进行处理， 凌驾于个人的利益、权利和自由之上;或者
• 该程序是为了确立、行使或辩护一项法律要求.
• 如果反对权涉及为研究而处理的数据的处理 目的，个人必须根据自己的具体情况而定.
• 为公众利益而进行的研究不受个人的限制 行使他们的反对权，而那些进行这种性质研究的人则没有 必须遵从要求. 

与自动决策和分析相关的权利

• 个人有权不服从完全基于自动化的决策 处理，包括分析(i.e. 使用个人数据进行预测 你).  完全通过自动化手段进行的决策不涉及人类 而是通过技术手段利用你的个人数据来进行 上述决定(e).g. 使用算法).  
• 但是，如果没有其他方法可以实现，则允许自动决策 同样的目标是签订或执行合同，或者你已经同意了上述决策.   

• 对于重复的、明显没有根据的请求，可收取合理的费用; 过多的要求或进一步的副本(见. 59; Art.12(5), 15(3), (4)).
• 如果提交了对相同数据的多个请求，则可能需要付费.

• 以下列出的所有权利都适用于能够根据《九游会国际》维护这些权利的个人 GDPR是基于在欧盟国家居住或曾经居住 USM处理的数据，而他们是欧盟居民. 
• 为了处理您的请求，我们需要确认您是欧盟居民并且 你的身份.

• 您的信息的删除将受适用的保留期限的约束 联邦法律和记录保留时间表适用于大学的记录 更多信息请点击下面的按钮:

记录保留页面的信息

• 销毁记录应以适当的方式进行，以保持机密性 相对于所述信息的敏感性、价值和重要性的程度 向大学提供的资料. 
  
  
• 如果您对记录保留有疑问，请联系洛林 A. 斯图尔特, 特别收藏部主管 洛林.StuartFREEMississippi (601.266.4117)或档案管理专家杰西卡·克拉克(Jessica Clark) J.M.ClarkFREEMississippi (601.266.5776).

如果学校公开了个人资料，并且有义务删除这些资料，则学校将会删除这些资料 大学可以拒绝个人行使其删除权:

• 行使言论及资讯自由的权利;
• 履行法律义务或履行公共利益任务 行使官方权力;
• 基于公共利益的公共卫生理由;
• 为公共利益、科学研究、历史研究目的 or for statistical purposes; or
• 确立、行使或辩护一项法律要求.  

• 请求将在提交后30天内处理，除非所述请求是 综合体，从而保证额外两个月的完成时间. 
• 如果一项请求被确定为复杂的，则需要额外的两个月 如需填写，本局会通知资料当事人.

• 我们将回答您的要求(在提供所要求的信息或解释方面) 为什么我们不能这样做)或要求您在30天内提供更多信息. 
• 我们可能会将此过程延长至多两个月，在这种情况下，我们会通知您 在一个月内申请延期.
• 此请求的处理是免费的，但我们保留在允许的情况下的权利 根据GDPR第12(5)条，在某些情况下收取行政费用. 
• 根据GDPR第12(2)条和第12(5)条，我们可以拒绝以下请求 证据不足、毫无根据或过分.

您提供的信息(包括您的身份和居住证明) (在欧盟)将仅用于验证您的身份和 居住权，确认您所要求的信息.

• 如果您能满足上面列出的验证要求，请查看 GDPR隐私声明 ，其中包括有关如何提交请求以行使权利的信息 的GDPR.
• 有关上述权利的更多信息，请参阅“信息” 专员公署网页.

如果研究涉及个人数据的处理，则会受到影响 居住在欧洲经济区的人(无论他们是否是欧洲经济区公民):

• 与在欧洲经济区建立的组织一起进行
• 涉及个人的个人信息(收集、存储、共享、分析) (或存档)，当他们在欧洲经济区时;例子包括-积极招聘 主题 
• 监控个人在欧洲经济区的行为;
• involves transferring 个人资料 out of the EEA; or
• 涉及使用受GDPR保护的个人信息 最初收集. 

GDPR第4(2)条将处理定义为“任何操作或一组操作” 就个人资料或一组个人资料执行哪一项，不论是否由 自动化手段，如收集、记录、组织、结构、存储、 改编或变更、检索、查阅、使用、传送披露; 传播或以其他方式提供、对齐或组合、限制、 擦除或破坏”.

根据GDPR第4条的定义，数据控制者和处理者都是 负责保护个人资料. 

数据控制器负责确保数据的处理符合规定 与GDPR.  根据第4条，数据控制者是“自然的或合法的 个人、公共机构、机构或其他团体，单独或与他人联合， determines the purpose and means of the processing of 个人资料"; and 

数据处理程序确保数据按照条件进行处理 数据处理协议中规定的.  根据定义，数据处理器是 “自然人或法人、公共权力机构、机构或其他处理 代表[资料]控制者提供的个人资料".  

个人资料(i).e. 允许识别个人的信息) 敏感数据(如.e. 需要额外安全处理的一组特殊数据) 均受GDPR保护，包括但不限于以下示例:

个人资料

• 名字。
• 电子邮件地址
• 电话号码
• 社会安全号码和其他识别号码，如军人身份证，司机 驾照、州身份证等.
• 位置数据
• 用户名
• 网络标识符
• IP地址
• 在线cookie数据
• 的声音

敏感个人资料

• 种族或民族出身
• 政治观点
• 宗教或哲学信仰
• 工会会员资格
• 身体或精神健康信息
• 性生活和性取向
• 基因和生物特征数据

• 包含个人资料的涉及人类受试者的研究.
• 涉及动物的研究收集动物主人的个人信息 动物.  

注:GDPR提供的保护范围超出了直接主题，包括 第三方. 

通常情况下，个人数据是受保护的，即使它之前被公开披露过 因为GDPR既涉及隐私，也涉及如何使用这些数据.

如果数据是匿名的，那么GDPR不适用于个人数据. 然而, 要被认为是匿名的，就不能存在使其能够被识别的密钥 个人. 因此，HIPAA去识别信息只被认为是假名化的 因为使用数据的键存在，允许数据被重新标识.

• 位于欧洲经济区的个人.  个人是否是欧洲经济区公民并不重要 或欧洲经济区居民.  
• 如果欧洲经济区公民在参与研究时位于欧洲经济区以外 在研究中，只要没有参与研究的组织，GDPR就不会适用 在欧洲经济区，数据没有传输到欧洲经济区. 

一般来说，16岁以下的儿童不能同意他们的数据被处理 (包括处理他们对研究的回应)，除非该等处理是 经对儿童负有父母责任的个人授权同意.  

注:成员国可以将16岁以下的儿童视为儿童，但不得低于13岁 年龄. (见 GDPR第8条)

 

虽然 一般资料保护概述 表明GDPR不适用于已去世个人的个人数据 欧洲经济区成员国可以发布有关个人数据处理的规则 已故的人.  一些欧洲经济区成员国已经通过了这样的规定.

如果数据在收到之前是完全匿名的，并且您的团队没有收到密钥 重新识别，那么GDPR就不适用.  

但是，如果您收到假名或未匿名的个人数据， 如果符合以下任何一项，则适用GDPR:

数据是由位于欧洲经济区的组织收集的;
collected from 个人 while they were located 在欧洲经济区; or
转移出欧洲经济区

• 是的，GDPR适用于当前正在处理的个人数据，即使它是 如果数据是由位于的组织收集的，则在生效日期之前收集 在欧洲经济区;
• Collected from 个人 located 在欧洲经济区; or
• 转出欧洲经济区. 数据最初是什么时候收集的并不重要， 只是它属于受GDPR约束的三个标准之一.

如果可以排除收集、存储等. 从欧洲经济区获取的个人数据，但没有 对你的学习有不利影响，那么你可以应用旨在排除的方法 收集的资料包括:

使用一个问题来确定对你的调查研究做出回应的个人是否 在欧洲经济区.  然后如果个人回答自我认同自己是在 欧洲经济区根据该标准停止了调查. 

如果你正在进行电话调查，一定要问一下你打电话的人是不是 如果你拨打的电话号码不是固定电话，你就可以在欧洲经济区找到他们 绑定到一个特定的位置.

如果您正在邮寄调查问卷，请不要将调查问卷邮寄给欧洲经济区的个人. 

1)只收集和处理最少量的个人资料. 收集最小 大量的个人数据限制了隐私风险，降低了违规的风险. 

2)尽可能避免收集敏感信息或特殊/敏感信息 个人资料，例如: 

• 种族或民族出身
• 政治观点
• 宗教或哲学信仰
• 工会会员资格
• 身体/精神信息
• 性取向和性生活
• 基因和生物特征数据

3)避免收集刑事犯罪或定罪信息 只有在研究是在管制下进行的情况下才能收集和处理 欧洲经济区国家的官方机构或欧洲经济区授权的处理 或者成员国的法律. 

4)如果不能匿名化数据，就使用假名.  假名的意思是 您可以使用一个键来识别谁提供了数据，该键与 数据集并受到保护，不受技术和管理措施的影响.  请记住，在没有授权的情况下反转假名代表一个 使资料当事人处于危险的个人资料泄露. 

 

大学的违约通知义务是什么?

如发生涉及学生个人资料的资料外泄事件， 员工、校友或供应商，学校将通知相应的主管 在可行的情况下，在发现违规行为后72小时内，除非 这种违规行为不太可能对数据主体的权利和自由造成风险.

如果违规行为可能导致对其权利和自由的高风险，则 大学也会通知个人数据主体的数据泄露有关他们的 个人资料. 向数据主体发出的通知将包括违规的性质 并建议数据主体应采取的步骤，以减轻潜在的风险 的不利影响. 最初的通知可以是一般性的，作为补充信息 是否知道会发出补充通知.

大学如何处理资料传输?

根据需要，大学可能会将个人数据转移到欧盟以外，也可能 与第三方机构共享个人数据，无论是内部还是外部 EU. 在分享个人资料时，大学会要求适当的保障措施吗 实施以保护个人资料. 保障措施包括但不限于 To:要求第三方签署数据安全合同(i.e. 数据保护 协议(dpa)和匿名数据.