资料保障术语表

本术语表中的许多定义都是基于信息专员办公室（Office of the Information Commissioner）的关键定义，并以粗体显示。在资讯专员公署网站的主要定义网页上，可找到完整的定义、进一步的资料和有用的例子。雷丁大学的附加信息和特定信息以非粗体文本形式给出。

同意

根据数据保护法的定义，大学是一个公共机构。大学有核心的“公共任务”来提供教学和NBA投注[手机]俱乐部研究。这些是我们必须承担的任务，不应该依赖于参与这些活动的个人的“同意”（我们需要不顾一切地去做）。因此，“征得同意”不应该成为我们大学大多数活动的基础，在许多情况下，这是不合适的。

大学还处理数据以履行合同（包括员工和学生合同），这是数据保护法中数据处理的另一个法律依据。大多数员工和教学管理人员使用这个基础-它不是基于同意。

为了使同意有效，它需要“自由地给予”。简单地说，如果一个人不同意，就不能对他造成不应有的损害或不利。

大学及其员工和学生之间的“权力平衡”意味着在大多数情况下，同意不太可能是一个适当的基础。如果涉及个人资料的活动是大学在招聘和教学过程中必须进行的，则很可能会有同意以外的依据，我们不应暗指“同意”。

同意还需要能够在不受损害的情况下轻松地撤回。如果删除个人资料会损害大学的核心任务和功能，同意可能不会成为有关活动的适当基础。

在一些有限的活动中，同意可能是合适的，例如，学生允许我们与指定的家长或联系人谈论他们的事情，或者个人提供他们的电子邮件来订阅完全自愿的通讯或营销列表。

如果您不确定同意是否合适，请联系IMPS。

关于在NBA投注[手机]俱乐部研究背景下同意考虑的更多信息可以在我们的NBA投注[手机]俱乐部研究人员指南中找到。

数据控制器

数据控制者是指（单独或共同或与他人共同）确定处理或将处理任何个人数据的目的和方式的人。

在雷丁大学的情况下，大学是数据控制者，因为它决定了处理或将要处理任何个人数据的目的和方式。这包括在数据不再相关时负责销毁数据。代表大学处理资料的个别教职员或学生，均为资料使用者。在处理个人资料时，必须始终遵守保障资料原则。

数据处理器

就个人数据而言，数据处理者是指代表数据控制者处理数据的任何人（数据控制者的雇员除外）。

在雷丁大学的情况下，数据处理者是代表大学处理数据或处置机密废物的任何个人或组织。

这通常延伸到大学（数据控制者）使用的软件和服务供应商。

法律要求我们在与这些供应商的合同或协议中加入某些强制性条款，以管理数据安全的责任。

我们还被要求对这些供应商进行必要的尽职nba投注，以确保他们能够保护他们为我们处理的数据。

数据保护（DP）原则

2016年通用数据保护条例（GDPR）规定了数据保护原则。综上所述，个人资料应：

• 以合法、公平和透明的方式处理，
• 为指明、明确及合法的目的而收集；
• 适当的、相关的和限于必要的；
• 准确无误，必要时及时更新；
• 以容许辨认资料当事人的形式保存的时间，不得超过为处理该等资料的目的所必需的时间；及
• 以确保个人资料适当安全的方式处理。
• 问责制是GDPR的核心。数据控制者有责任遵守这些原则，并且必须能够向数据主体和监管机构证明这一点。

详情可参阅资讯专员公署的网页。

数据主题

资料当事人指个人资料的当事人。

换句话说，资料主体是有关特定个人资料的个人。该法案不将已经死亡或无法识别或与其他人区分的个人视为数据主体。

查阅资料当事人要求

参见主题访问请求。

公平处理通知（FPN）

公平处理通知是出现在表格上的“小字”，有时被称为隐私声明或收集文本。它们用于通知被收集个人资料的人、资料当事人及其资料将如何处理。

信息专员办公室关于撰写公平处理通知的指引载于此。

许可形式

请参阅同意书。

个人资料

个人数据是指与可识别的人（“数据主体”）有关的任何信息，特别是通过引用标识符可以直接或间接识别。

这一定义规定了广泛的个人标识符构成个人数据，包括姓名、识别号码、位置数据或在线标识符。个人资料可包括以下任何一项：

名字

出生资料

通讯地址（包括邮政编码）

联系电话(s)

电子邮件地址(es

唯一标识符（包括：学生ID号码、员工ID号码、护照号码、NHS号码、国民保险号码、ORCID号码、唯一NBA投注[手机]俱乐部研究参与者ID号码、唯一申请人ID号码、车辆登记号码、驾驶执照号码）

个人图像，包括闭路电视，照片

位置数据（包括任何GPS跟踪数据）

在线标识符（包括IP地址数据）

经济/财务数据（与可识别个人有关）

教育记录包括但不限于大学和其他教育机构持有的记录

咨询记录

牧师记录，包括情有可原的情况表格

纪律记录

培训记录

工作记录包括简历，推荐信

国籍和住所

种族

精神健康（状况、医疗记录条件，包括残疾）

身体健康（状况、医疗记录条件，包括残疾）

饮食需求

性取向/性生活

基因数据（包括DNA数据）

生物特征数据（如面部图像或指纹数据）

政治观点

工会会员资格

宗教或哲学信仰

刑事定罪及罪行（包括指称的罪行及定罪）

GDPR既适用于自动个人数据，也适用于根据特定标准可访问个人数据的手动归档系统。这可能包括按时间顺序排列的包含个人数据的手动记录集。

经过假名处理的个人数据（如密钥编码）也可能属于个人数据定义的范围。

隐私声明

见公平处理通知。

处理

“处理”是指对个人数据或对个人数据集进行的任何操作或一组操作，无论是否通过自动化手段，例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、限制、删除或销毁；

收件人

就个人数据而言，接收者是指数据被披露给的任何人，包括在为数据控制者处理数据的过程中被披露给的任何人（例如数据控制者的雇员或代理人、数据处理者或数据处理者的雇员或代理人），但不包括因以下原因或为了以下目的而被披露或可能被披露的任何人：由该人或代表该人行使法律赋予的任何权力而进行的特别nba投注。

预防罪案豁免

这些是《数据保护法》（2018年）中的豁免，允许组织出于“犯罪和税收目的”之一提供个人数据，如下所示：

• 预防或侦查犯罪
• 逮捕或起诉罪犯或
• 征税：对任何税收或关税的评估或征收，或任何类似性质的征收

遵守《数据保护法》的正常规定可能会损害其中一项目的。

敏感个人资料

敏感个人数据（或GDPR下的“特殊类别”数据）是指由数据主体的信息组成的个人数据

(a)种族或族裔出身；

(b)政治意见；

(c)宗教信仰或哲学信仰；

(d)工会成员（根据《1992年工会和劳资关系（综合）法》的定义）；

(e)遗传数据；

(f)生物特征数据；

(g)有关健康的数据；

(h)性生活或性倾向；

敏感个人资料可能包括以下任何一项：

*种族

*精神健康（状况、医疗记录条件，包括残疾）

*身体健康（状况、医疗记录条件，包括残疾）

*饮食需求

*性取向/性生活

*基因数据（包括DNA数据）

*生物特征数据（如面部图像或指纹数据）

*政治观点

*工会会员资格

*宗教或哲学信仰

主题查阅要求（SAR）

“查阅资料”是指个人有权查阅由大学持有的与他或她有关的个人资料。

您的请求将在大学IMPS（数据保护）官员的监督下，由IMPS团队中数量非常有限的工作人员处理，他们将被要求查看您请求的所有数据，包括人事、财务和职业健康记录。通过提交主题访问请求，您将接受IMPS团队需要请求和查看您的数据，以便评估可以披露的内容。第三方的信息，包括工作人员在某些情况下可能会被扣留。所有数据将被安全处理，并在最严格的保密。

IMPS办公室有责任确定请求者的身份。所需的身份证明通常是一份文件，包括带照片的身份证明和签名，例如带照片的驾驶执照或护照，以及显示您姓名和地址的当前水电费账单或银行对账单。内部员工的要求可能不需要这样做，如果是这种情况，我们会建议你提出要求。

然后，IMPS办公室将协调收集适当的信息。大学将尽快遵守SARs，但将确保在收到鉴定后的1个日历月内作出回应，除非有充分的延迟理由。对于非常复杂的请求，数据保护法允许延长最多2个月。如果你能够清楚地描述你所寻找的数据，这种情况就不太可能发生。我们也可以拒绝明显没有根据或过分的请求，并保留收取费用的权利。在这种情况下，拒绝、延迟或任何应付费用的原因将以书面形式解释。

如果是大学，则应通过IMPS办公室向数据保护官提出主题访问请求（SAR）。特别行政区申报表必须以适当形式以书面作出；你可以Word文件（1KB）的形式下载“主题查阅要求表格”，或向IMPS办公室索取硬拷贝。

如果您需要有关考试结果的信息，请与考试办公室联系。考试脚本不具有Subject Access权限。

第三方

就个人资料而言，第三者指除以下人士以外的任何人

(a)资料当事人；

(b)数据控制者，或

(c)任何数据处理者或被授权为数据控制者或处理者处理数据的其他人。

第三方一词不包括数据控制者或数据处理者的雇员或代理人，他们被视为数据控制者或数据处理者的一部分。请注意，“第三方”不同于“接收者”，后者有效地将数据控制者/处理者的雇员/代理人与数据控制者/处理者本身区分开来。