数据保护术语表

本术语表中的许多定义基于信息专员办公室的关键定义，并以粗体显示。完整的定义，进一步的信息和有用的例子，可以在键定义的网页。附加信息和雷丁大学特有的信息以非粗体字的形式给出。

同意

根据数据保护法律的定义，大学是一个公共机构。大学的核心“公共任务”是进行教学和研究。这些都是我们必须承担的任务，不应该依赖于参与这些活动的个人的“同意”(无论如何我们都需要去做它们)。因此，“征得同意”不应该成为我们大学大多数活动的基础，而且在很多情况下是不合适的。

大学也处理数据性能的合同(包括教职员和学生合同)，这是数据保护法中数据处理的另一个法律基础。大多数的员工和教学管理使用这个基础-它不是基于同意。

为了使同意有效，它需要“自由地给予”。简单地说，如果他们不同意，就不能对个人造成不适当的损害或不利。

大学与教职员工和学生之间的“权力平衡”意味着，在大多数情况下，同意不太可能成为依赖的适当基础。如果涉及个人资料的活动是大学在雇用和教学过程中必须进行的，那么除同意之外的其他依据很可能适用，我们不应暗指“同意”。

同意也需要能够在不损害的情况下轻易地撤回。如果删除个人资料会损害大学的核心任务和职能，同意不太可能是进行这项活动的适当基础。

有一些有限的活动可能需要征得我们的同意，例如，学生允许我们与指定的家长或联系人谈论他们的事情，或者个人提供他们的电子邮件订阅完全自愿的通讯或营销列表。

如果您不确定同意是否合适，请联系IMPS。

关于在研究背景下同意的考虑的更多信息可以在我们的指南中找到研究人员．

数据控制器

资料控制人指(单独或联合或与其他人共同)决定了目的和方式任何个人资料已被处理或将被处理。

在雷丁大学的情况下，大学是数据控制者，因为它决定了任何个人数据被处理或将要被处理的目的和方式。这包括在数据不再相关时负责销毁数据。代表大学处理资料的个别教职员或学生是资料使用者。个人资料应按照数据保护的原则．

数据处理器

数据处理器，就个人资料而言，指代表该资料控者处理该资料的任何人(资料控者的雇员除外)。

就雷丁大学而言，数据处理者是代表雷丁大学处理数据或处理机密废物的任何个人或组织。

这通常延伸到大学(数据控制器)使用的软件和服务的供应商。

法律要求我们在与这些供应商的合同或协议中加入某些强制性条款，以规范数据安全的责任。

我们还被要求对这些供应商进行必要的尽职调查，以确保他们能够保护他们为我们处理的数据。

数据保护(DP)原则

2016年通用数据保护条例(GDPR)列出了数据保护原则。综上所述，个人资料应包括:

• 以合法、公平和透明的方式进行处理，
• 为特定的、明确的和合法的目的收集，
• 适当的，相关的，限制在必要的范围内，
• 准确并在必要时保持最新，
• 以允许识别数据主体的形式保存，其时间不得超过处理这些数据的目的所必需的时间，以及
• 以确保个人资料适当安全的方式处理。
• 问责制是GDPR的核心。数据控制者负责遵守这些原则，并必须能够向数据主体和监管机构证明这一点。

详情可浏览本网页信息专员办公室．

数据对象

数据对象指作为个人资料的主体的个人。

换句话说，数据主体是关于特定个人数据的个人。已死亡或无法识别或与其他人区分的个人不被算作数据主体。

查阅资料当事人要求

看到主题访问请求．

公平处理公告(FPN)

公平处理通知是出现在表格上的“小字”，有时被称为隐私声明或集合文本。它们是用来通知向其收集个人资料的人数据对象，他们的数据将如何处理。

来自信息专员办公室关于撰写公平处理通知的指导在这里。

许可形式

看到同意表格．

个人资料

个人数据系指与可直接或间接识别的可识别的人(“数据主体”)有关的任何信息，特别是通过引用标识符。

本定义订明广泛的身分代号构成个人资料，包括姓名、身分代号、位置资料或网上身分代号。个人资料可包括下列任何一项:

的名字

数据的出生

邮寄地址(es)(包括邮编)

联系电话(s)

电子邮件地址(es

惟一标识符(包括:学生证号码，员工证号码，护照号码，NHS号码，国民保险号码，ORCID的，唯一的研究参与者ID号码，唯一的申请人ID号码，车辆登记，驾驶执照号码)

个人图像，包括闭路电视，照片

位置数据(包括GPS追踪数据)

网络标识符(包括IP地址数据)

经济/金融数据(涉及可识别的个人)

教育记录包括但不限于由大学和其他教育机构持有的记录

咨询记录

教牧记录，包括减轻情况表格

纪律记录

培训记录

工作记录包括简历，推荐信

国籍和住所

种族

心理健康(状态、医疗记录条件，包括残疾)

身体健康(状态、医疗记录条件，包括残疾)

饮食需求

性取向/性生活

基因数据(包括DNA数据)

生物统计数据(例如面部图像或指纹数据)

政治观点

工会会员

宗教或哲学信仰

刑事定罪及罪行(包括涉嫌罪行及定罪)

GDPR既适用于自动个人数据，也适用于可根据特定标准访问个人数据的手动归档系统。这可能包括按时间顺序排列的包含个人数据的手动记录集。

使用假名的个人数据(如密钥编码)也可以在个人数据定义的范围内。

隐私声明

看到公平的处理通知．

处理

“处理”指对个人资料或一组个人资料进行的任何操作或一组操作，不论是否通过自动化手段，例如收集、记录、组织、构造、存储、改编或修改、检索、咨询、使用、通过传输、传播或以其他方式提供、排列或组合、限制、删除或销毁而进行;

收件人

收件人(就个人数据而言)是指向其披露数据的任何人，包括在为数据控制者处理数据的过程中向其披露数据的任何人(如数据控制者的雇员或代理人、数据处理者的雇员或代理人)，但不包括因下述原因或为下列目的而向其披露数据的任何人:由该人或代表该人行使法律所赋予的任何权力而作出的特别查询。

预防犯罪的豁免

这些是《数据保护法(2018)》的豁免，允许组织出于“犯罪和税务目的”之一而泄露个人数据，具体如下:

• 犯罪的预防或侦查
• 逮捕或起诉罪犯或
• 评估或征收任何税或税或任何
  类似性质的强制

而遵守《数据保护法》的正常条款可能会损害上述目的之一。

敏感的个人信息

敏感的个人资料(或GDPR下的“特殊类别”数据)系指包含与数据主体有关的信息的个人数据-

(a)种族或民族出身;

(b)的政治观点,

(c)宗教信仰或哲学信仰;

(d)工会成员(1992年《工会与劳资关系(合并)法》所指的工会成员)，

(e)基因数据,

(f)的生物特征数据,

(g)卫生数据;

(h)性生活或性取向;

敏感个人资料可包括下列任何一项:

*种族

*心理健康(状态、医疗记录条件，包括残疾)

*身体健康(状态、医疗记录条件，包括残疾)

＊饮食需求

*性取向/性生活

*基因数据(包括DNA数据)

*生物特征数据(例如面部图像或指纹数据)

*政治观点

*贸易工会成员

*宗教或哲学信仰

受试者访问请求(SAR)

“科目查阅”是指个人有权查阅大学所持有的与他或她有关的个人资料。

您的请求将由IMPS团队中数量非常有限的工作人员处理，并由大学IMPS(数据保护)干事监督，该干事将被要求查看您所请求的所有数据，包括人事、财务和职业健康记录。通过提交主题访问请求，您就接受了IMPS团队将需要请求和查看关于您的数据，以评估哪些数据可以公开。第三方(包括工作人员)的信息在某些情况下可能会被扣留。所有数据都将被安全处理，并严格保密。

IMPS办公室有责任确定请求者的身份。所需的身份证明通常是一份文件，包括有照片的身份证明和签名，如有照片的驾驶执照或护照，加上显示你的姓名和地址的当前公用事业账单或银行对账单。内部员工的请求可能不需要这样做，如果是这种情况，你会得到建议提出你的请求。

然后，IMPS办公室将协调收集适当资料的工作。大学会尽快遵守sar规定，但除非有充分的理由，否则会确保在收到证明后的一个日历月内作出答复。数据保护法允许为响应非常复杂的请求延长最长2个月的时间。如果你能够清楚地描述你所寻找的数据，这种情况就不太可能发生。我们也可以拒绝被认为明显没有根据或过度的请求，并保留收取费用的权利。在这种情况下，拒绝、延迟或支付任何费用的原因将以书面形式解释。

就大学而言，应向资料保护主任提出主题查阅要求(SAR)小鬼办公室．特别行政区必须采用适当的书面形式作出;你可下载主题查阅要求表格Word文档(1 mb)或者你也可以从IMPS办公室获得硬拷贝。

如果你需要有关考试结果的信息，请联系考试办公室。考试脚本不具有科目访问权限。

第三方

就个人资料而言，第三者是指-以外的任何人

(a)资料当事人;

(b)数据控制器，或

(c)任何数据处理机或获授权为数据控制者或处理机处理数据的其他人。

表达式third party不包括数据控制器或数据处理器的雇员或代理，他们被视为数据控制器或处理器的一部分。注意，“third party”不同于“receiver”，它有效地将数据控制器/处理器的雇员/代理与数据控制器/处理器本身分离开来。