记录管理,保留和处置政策

目的

这项政策的目的是为在与商学院的进行连接接收,创建,生成,或维持通过ag线上比赛(学院)的记录管理,保留和处置统一准则。 ESTA政策旨在:

  1. 建立记录管理准则和问责制,以帮助确保高校能够满足有关档案管理的法律要求的系统;
  2. 为了确保真实性和学院的官方记录的可靠性;
  3. 为了保护记录的保密性和成分的隐私;
  4. 为了防止误用,错放,损伤,过早破坏,或记录被盗;
  5. 其记录,以确保有持久保留历史价值;和
  6. 为了确保大学和学院的员工正在走向符合欧盟通用数据保护条例(以下简称“GDPR”)。所述GDPR适用于一个数据对象的个人数据的处理(下面这样的术语所定义的)。的GDPR下,学院可能个人数据被认为是一个控制器(如下面所定义),以及,同样地,是受下GDPR要求许多可能的。

范围

ESTA施政报告的接收,创建,生成,或由学院维护和适用于大学各部门的所有记录的管理,保留和处置。 ESTA政策涵盖了所有类型的记录,不管物理特性,已创建,产生,获得;记录作为该组织的证据,它的功能,政策,决策,程序,操作或活动;或文档归档在使用过程中合法业务或法律义务。

因为没有人可以是单个或部门直接负责的所有文件和记录校园,学院整个用户共享一个共同的责任,妥善管理记录,并坚持ESTA政策概述的保留和处置的指导方针。访问,维护,保留和处置大学记录的程序必须遵循的所有员工。

适用于ESTA政策,将提供给所有员工和大学,工作人员除了当他们的行为是在外部或无关的大学私人身份。为了清楚起见,术语“员工与员工,”为个目的意味着任何人在任何情况下工作在任何级别或级别的大学(不管是永久的,全职,兼职,兼职或临时),以及包括雇员,退休但活跃的前雇员,教师,工作人员,访问学者,工人,研修生,实习生,借调人员,机构的工作人员,代理人,志愿者,委员会外部成员,以及受托人。

ESTA地址政策的国际,联邦和国家法律法规,以及大学政策:如,但不限制,家庭教育权利和隐私法案(FERPA),健康保险流通与责任法案(HIPPA),一般的数据隐私法规(GDPR ),公平信用报告法(FCRA),联邦贸易委员会(FTC),劳动部,安全标准,支付卡行业(PCI DSS),和纽约整体状态商法部399小时。

任何关于ESTA政策,包括适用的任何文件及其执行情况的问题,应该给哈特维克学院合规协调员。


关键作用

档案: 负责长期评估记录的价值,使上记录是否会被认为是档案记录的决心。档案管理员将负责收集,整理,保存,维护了控制,并提供能够访问在ag线上比赛档案和记录存储中心的记录。

合规协调员: 负责档案管理,保留和处置方案的协调。

部门协调纪录: 负责妥善管理和处置的记录指定的部门,应当对记录管理,保留和处置其指定的部门的主要联系人。

信息技术: 负责日常的日常维护拥有或管理学院存储数据和记录,我保证网络和电子系统仍然存在电子记录访问和恢复。它的服务可协助学院办公室和部门提供档案管理,数字安全记录的保留和处置IT方面。

数据保护官员: 负责:(一)监督和审计学院的遵守其在GDPR规定的义务;该学院在其遵守该GDPR的各个方面提供咨询;作为适用的监管机构(IES)联系学院的点关于GDPR,包括在员工违反数据的情况;而作为从资料当事人的投诉接触的可用点。


定义

责任义务: 的义务(一个或多个)第5条下和GDPR的演奏29:(a)用GDPR遵守和保留记录表明符合; (二)落实政策,程序,流程和培训,以促进数据保护“设计,默认情况下”; (三)具备适当合同外包时功能涉及数据人员的处理; (d)保持数据处理的记录是进行; (五)违反人事记录和报告数据; (F)进行,在相关的情况,对高风险处理活动数据保护的影响评估; (G)合作随着GDPR的适用调节器(一个或多个);和(h)响应监管/法律行动,包括对待,在某些情况下,行政目的的支付征收由GDPR的适用的监管机构(S)。

行政保障措施: 行政措施,政策和程序,拟/用于管理的选择,开发,实施和维护数据的安全性措施,以保护人员和管理有关人事数据的保护控制器的工作人员的行为。

档案记录: 谁的纪录长期价值证明永久保留ITS无论以满足大学的财政,法律或行政的需要,或因为它包含了历史显著的信息。

高校成绩: 任何形式的记录信息,无论物理特性,已创建,生成,接收和/或记录证据的组织,功能,政策,决策,程序,操作或其他活动,或文档合法的课程申请在大学的法律责任企业或大学。 所有记录,不论物理特性,接收,创建,生成或维护由学院或员工及其与商学院的进行连接是大学的唯一财产。

机密信息: 这些信息必须从未经授权的访问或公开发布基于州或联邦法律的保护。机密信息的例子包括但不限于个人信息,个人识别号码,个人身份信息,银行帐户号码,医疗记录,密码和学生的教育记录。

保密记录: 记录包含人员或信息的一个或多个片段包含或法律学院的政策,对待包括但不限于保护,信息披露,家庭教育权利和隐私法案(FERPA),健康保险流通与责任法案(HIPAA),纽约州一般商业法§399-H,和纽约州的法律处置的人员记录。

控制器: 该自然人或法人,公共机关,机构或其他机构,单独或与他人共同,确定data.1的处理手段和工作人员的目的。
_________________________________

1.不幸的是,该委员会并没有更新控制器和处理器的定义,以反映当前的处理方法和新技术的发展。当处理是有限的基本情况(例如,学院的运力X公司发送电子邮件,以校友代表它),这些概念是有用的,因为角色是明确的多(在本例中,该学院是控制器,x是处理器)。然而,在复杂的情况下涉及的新技术:如blockchain,物联网(IOT),大数据等的互联网,处理建议评论员考虑时,进行联合控制。
__________________________________

保障资料原则(S): 设置在第二条所述原则5状态GDPR这应是个人数据:(1)处理的公平,合法,透明和; (B)仅在指定的,明确的和合法的目的进行处理; (C)适当的,相关的和限制; (d)准确的(如果不准确的或不完整的整流); (E)不保持超过所需的时间;和(f)安全地进行处理。

数据为准: 可识别人天然的,即,一个人能够确定,直接或间接地通过参考个人数据。

数据主体的权利: 在第15至9月22日GDPR的,所有这些都以不同的方式,包括资格规定的权利的数据主体的权利:(一)被告知是如何被使用他/她的个人资料; 2.访问他/她的个人数据(B); (C)有他/她的工作人员不准确的数据纠正; (d)有他/她的个人资料被擦除(被遗忘的); (E)以限制他/她的工作人员的处理ITS数据验证或校正未决; (F)接受他/她的个人数据的拷贝在一个机器可读的和通常使用的格式(右dataportability); (G)对对象:他/工作人员(一)处理(包括剖析)她在特定的法律基础数据,(ii)用于研究目的的直接营销及(iii)人员的处理数据如果这项研究是不是在公共利益;及(h)不受到完全基于自动化决策使用人员的数据作出决定。
_______________________________

2.通常ESTA辉煌权通过提供“隐私声明”的(也被称为“数据保护声明”,或者,特别是在网站中,“隐私保护政策”),其中规定了一个组织如何计划使用个人数据,世卫组织将与它共享,处理的法律依据,如何抱怨,和谁联系,以行使权利的数据为准。
________________________________

数字记录: 创建的记录,生成,转换,发送,传播,接收或存储的通过电子手段。数字记录格式包括,但不局限于,文字处理文档,电子表格,电子邮件,消息即时,消息文本,网站,数据库和扫描的图像,以及多媒体文件,音频王牌,图形和视频。这些记录,以电子形式,虽然,相同的记录被视为其他格式,并受相同的保留和处置时间表像纸质记录。

重复记录: 重复是官方记录的翻版。

加密: 通过编码成一个格式隐藏电子信息的方法,该方法使得有不可读无需访问所述加密密钥。通常加密用于传输大多数记录或包含个人信息,个人身份号码或个人识别资料。

加密密钥: 这需要密码来加密和解密信息,锁定和解锁的本质数据。

一般行政记录: 创建和维护的部门作为日常操作的一部分记录。一般行政记录是短期利益,而不是需要被保留。例子包括但不限于:每天的活动日程安排,日历,任命书,难事文件,对应的额外拷贝,临时工作人员或草稿指出,并没有为流传,审查,或用来做决策或完成交易;用于改变安排或电子记录格式仅临时文件;数据库的副本或摘录创建的文件传输的数据系统之间独资。

通用数据保护条例(GDPR): 在2016年4月通过了欧盟(EU)的规定,以2018年5月25日,保护欧盟和欧洲经济区的居民隐私的人员的有效日期。

ag线上比赛档案: 档案为学院的官方记录,以及文物和历史记录的永久存储库。该档案是监督与高校档案管理。

健康信息: 任何信息,无论是口头或记录的任何形式或媒介,其涉及过去,现在或将来的身体或心灵健康或任何个人提供医疗服务,以单一的,或者在过去,现在,将来或条件付款方式为提供保健于以个人为基础。

非活动记录: 它记录在当天组织的日常运作不再需要,但必须保持其满足大学的财政,法律或行政的需要。

信息系统: 一个相互联系的同一直接管理的功能控件,普通股下设的信息资源。一个信息系统一般包括硬件,软件,信息,数据,应用,通信和人。

国际组织: 一个组织及其公共国际法管辖的下属机构,或任何其他机构通过设立的,或者,两个或多个国家的俱乐部之间的协议的基础上。
国际收件人:在欧洲经济区,不是一个国际组织之外的其他国家之外的人员数据接收者。

法律依据和法律依据: 有数据处理人员的合法根据,其中:(一)有特定目的明确同意; (B)的处理是必需的与合同的条款遵守; (C)的处理是必需的法律义务遵守; (d)的处理是必要保护重要利益(例如,以保护数据受试者的生命或安全); (E)的处理在公共任务(已在欧盟法律明确的基础上)的性能完成的;和/或(f)控制器的正当利益要求的人员数据的处理,并ESTA合法利益超过他们的员工数据。3隐私资料当事人的利益。
______________________________
3.法律ESTA出现普涨的基础;然而,通常是指被狭义地理解,并作为一个平衡测试中,学院的利益,在保护他/她的个人数据对数据主体的利益平衡。
______________________________

法律保留: 暂停记录的常规配置由于未完成或者预期的审计,诉讼,索赔,代理缴费,调查,执法行动,或者行政复议。

构件的状态(或多个): 奥地利,比利时,保加利亚,克罗地亚,塞浦路斯,捷克共和国,丹麦,爱沙尼亚,芬兰,法国,德国,希腊,匈牙利,爱尔兰,意大利,拉脱维亚,立陶宛,卢森堡,马耳他,荷兰,波兰,葡萄牙,罗马尼亚,斯洛伐克共和国,斯洛文尼亚,西班牙,瑞典和英国。

官方记录: 原始记录必须保存这一个特定的时间段,以满足大学的财政,法律或行政的需要。 官方记录必须保存在硬拷贝。

始发部门/办公室: 部/厅,其中正式文件或原始记录被创建,生成或接收。

个人资料: 的任何信息与已识别或可识别的数据对象;具体对待,包括但不限于:姓名,身份证号码,位置数据,在线识别,或者一个或多个因素,具体到身体,生理,遗传,精神,经济,文化,社会或资料当事人的身份。为清楚起见,术语个人数据指的是在纸或电子形式要么数据。

个人数据泄露: 安全的破坏导致意外或非法破坏,丢失,篡改,或擅自披露或访问个人数据。4。
_________________________________
4. WP29有三类人员鉴定破坏数据:(1)泄密凡有意外或未经授权的披露,或访问,个人数据; (2)的可用性违反凡有意外或访问的未经授权的损失,或者,个人数据的破坏; (3)完整性违反哪里有个人数据的未授权或意外改变。
_________________________________

个人信息: 关于信息的任何自然人使用它,因为姓名,号码,个人标记或其他标识,可用于识别个人。

个人识别号码: 这可能与任何其他信息单独或结合使用任何数字或代码承担另一个人或财力或访问的身份给其他人的功劳。

个人身份信息: 在任何一个或组合随着人员信息更多的数据要素组成的任何信息的个人识别信息可以使用,以确定个别的身份。数据元素包括但不限于五月:姓名,出生日期,社会保障号码,驾驶证号码,非驱动程序的识别号码,账户号码,或母亲的娘家姓。
物理的保护:物理措施,政策和预期的程序/用于保护控制器的电子信息系统及相关建筑物和设备从自然和环境的危害,并防止未经授权的入侵。

悬挂政策: ESTA政策可能被暂停任何记录因合法持有。

处理: 这是对数据的人员或组人员的数据进行操作的任何操作或设置是否通过自动方式:如采集,记录,组织,结构,存储,改编或修改,检索,咨询,使用,披露传输,传播,或提供否则,对准或组合,限制,擦除或破坏。 “处理”和“处理”具有含义通讯。

处理器: 自然人或法人,公共机关,机构或其他团体的对控制器的代进程个人数据。

保护健康信息: 任何信息的健康信息的子集包括识别从个人收集的信息和人员。

接受者: 自然人或法人,公共机关,机构或其他机构,员工数据被披露,无论是第三方或在一个实体,公司或附属组。个人数据接收按照欧盟或成员国法律的特别调查的背景下的公共当局不视为收件人。为了这个目的,“公共机构”一般是指税务和海关当局和金融市场机构,接收人员进行普遍的利益所需数据车主询问,按照欧盟或成员国法律。

记录保留和处置时间表: 标识来安排不同的记录,在其存在的介质,其中记录存储,和时间的最小长度的记录必须是保留。

记录系列: 一组相关的记录,从相同的活性结果和被保持在一起作为一个单元,并且可以为配置和/或其他管理目的一起评估。

代表: 一个自然人或法人设立欧盟谁是由控制器或处理器以书面形式根据第27条的GDPR指定,并且谁代表控制器或处理器随着GDPR下,考虑到各自的义务。

衡量安全或安全: 所有的行政保障,物理的保护,保障措施和技术在信息系统。

安全数字毁灭: 敏感,机密的个人信息,个人识别号码或个人识别来自计算机或其它电子媒体存储的信息或数据的处理方法。

监管机构(IES): 通过建立一个独立的公共机构是根据51条的GDPR的成员国。

记录中心: 需要非活动记录的存储区域中保留这对于对某些法律和行政目的的一段时间。协同的档案,记录部门协调,并协调将决定合规记录存储在中心。


法律保留

可能需要申请行政复议,审计或在操作一些证据法律记录。在待定或预期的审计,诉讼,索赔,代理缴费,调查,执法行动,或者行政复议的情况下,将是摆不管物理格式的所有相关记录,包括电子邮件诉讼保全。这些记录必须保存,维护和保留的整个行动或程序,并为所有的时间期间即使上诉已过期记录的保留期已过期。

如果保留期由当时的法律诉讼结束到期,记录必须保留至少一年额外的法律诉讼结束后,以解决任何需要对上诉的记录。如果保留期尚未届满,记录必须保留的保留期的剩余部分,但不得少于一年后法律行动结束。

过早破坏或者处置有任何法定保留的记录被明令禁止的,如果故意,可能导致纪律处分,直至就业和可能的刑事或民事处罚的解雇。


安全性和访问

负责所有的员工是运用行政,技术和物理安全措施,以适当安全,所有记录,纸张或数字,从未经授权的访问和披露,并同时保护的真实性,准确性,完整性,防止信息被破坏,以保护个人隐私和保密,并确保记录可在需要的时候。
哈特维克学院的用户责任和适当的使用政策概述步骤员工必须好好维护高校信息的完整性。一些涉及安全职责和访问记录,并包括:

  • 具有大专以上,地方,州,联邦遵守,和/或国际法律或法规关于获得和使用信息
  • 适当的采取行动来备份电脑系统
  • 在软件保护的任何计算机尽职调查连接到哈特威克来自病毒,蠕虫和安全漏洞的网络通过经常使用反病毒
  • 通过保持不与他人分享权限(密码)账户的安全技术。

在附记相符交单与学校的用户责任和适当的使用政策,所有员工还必须与家庭教育权利和隐私法案(FERPA),健康保险流通与责任遵守1996年的法案(HIPAA),而第203-d纽约劳工法,以确保记录和/或访问包含个人信息,个人识别号码,或它们的组合免受未经授权的访问和披露记录。

安全性和访问的创纪录的水平将取决于记录的内容。对记录的安全和控制访问,员工应:

  • 控制谁可以访问记录
  • 存储记录,纸张和两个数字拷贝,以安全的方式
  • 预防措施采取意外或恶意破坏
  • 创建的所有数字记录备用或辅助副本,包括符合官方记录的标准电子邮件
  • 保护通过加密记录的信息传输

为了确保符合FERPA,HIPAA,或其他任何州,联邦和/或国际法律或法规,下列最低程序必须遵守所有的学生,员工和组成记录:

  • 任何记录,数据,信息或含有健康档案,保护健康信息,个人信息,个人身份号码或个人身份信息或者数据必须存放在上锁的文件柜,除了当员工工作的文件。同样性质的数字文件,只应以适当的人员访问。
  • 任何记录,数据,信息或含有健康档案,保护健康信息,个人信息,个人识别号码,或以电子方式传送给其他人的个人识别信息必须进行加密保护为宜。
  • 任何记录,数据,信息或含有健康档案,保护健康信息,个人信息,个人识别号码,通过邮寄或快递等转移到其他收件人的个人信息和身份信息必须借助于(追踪号码)发送适当的可追溯。传送信息的详细记录必须保持现状。

学院将,就适用和可行的行政,与GDPR符合作为日常的一部分工作实践,通过:

  • 确保个人数据就是通过这个政策适当管理;
  • 理解和应用根据需要,保障资料原则当数据处理人员;
  • 理解,并且履行必要时,数据对象权利;
  • 理解和实施必要时,大学的责任义务;和
  • 数据隐私公布启事概述了如何学院的工作人员将在一个清晰和透明的方式收集和处理数据的细节。

个别员工与员工的职责是:

  • 作为建议由有关完成GDPR合规培训学院;
  • 按照政策和程序对待,包括但不限于,ESTA与政策相关的大学;
  • 访问和使用个人数据的唯一必要的最低金额为他们的合同义务和/或其他角色的高校;
  • 确保员工获得他们已披露的数据是否有不必要的或不适当;
  • 凡经鉴定,报告违反任何个人数据,以及合作与学院,以解决他们。和
  • 只有删除,拷贝,或删除个人数据在离开大学的聘请,作为同意与大学,并酌情。

在九月的义务上面提出在该政策不放弃对个人犯罪人员5人犯罪的个人资料在适用的隐私和数据安全的法律,对待故意滥用,包括但不限于GDPR承担任何责任。
_______________________________

5.如果大学笔记规定刑事处罚那FDPA下德国的某些行为,包括了一个“被判处监禁”到三年。我们的理解(如合规日期)是该FDPA刑事处罚通常适用于在本质上是“商业”人员未经授权的数据传输(例如,在个体被非法出售个人资料获利),而不是于预期涵盖违反无意数据。
________________________________


加密

该学院及其员工必须采取安全防范措施,以保护包含个人信息,个人识别号码或个人身份信息或者数据需要发送给第三方或其他位置,或外线大学内的任何和所有记录。
该记录中包含的信息的任何人员,个人识别号码或个人身份信息需要发送这给第三方或学院的其他位置外,必须被传输或存储通过加密通信上能想出加密传送期间。

用于访问信息的加密密钥必须在一个单独的通信被发送或单独从加密装置提供的,开。

哪些类型的信息应受到不同程度的加密的加密矩阵大纲将通过合规协调员办公室提供。


存储

官方记录应该由主管部门予以保留,并管理这已备案并只为成立于记录保留时间表的时间段主要责任。

记录,数据和信息是哈特维克学院的财产,这里面包含的任何个人信息,个人身份号码或个人身份信息被存储在规定不亲自资便携式计算设备。

物理存储: 当存储盒或文件柜的记录,必须考虑对于给定的和可访问性,安全性和防止损坏足够的空间。记录存储盒和文件抽屉应明确标有说明是足够有效后检索信息。这纸记录信息或保密信息包含敏感的个人信息,个人身份号码或个人身份信息必须存放在不使用时可上锁的柜子或抽屉。

备案中心: 随着纸质记录的访问受限制的安全存储可以用在记录中心校区。备案中心作为非永久的记录,通常保留期限的临时存储区从创建之日起五年,七年或十年。每年,高校档案,世界卫生组织作为管理者,从部门的书面许可,接收记录协调处置计划销毁记录的记录。如果记录百货文件协调员选择在中心记录,接触的档案,他们应该和后续交付,检索和最终处置既定方针。在记录中心存储容量是有限的,档案,协调记录管理部门和合规协调员将合作以确定哪些记录将被存储在那里。访问记录中心仅限于档案,并在他/她的缺席,图书馆主任办公室的工作人员。该档案将检索记录中心部门协调员记录或他们的要求代表记录。从部门协调的记录许可需要从其他部门相比,起源于哪个记录访问记录保存在中心的任何人。

数字存储: 当存储在数字格式的记录,必须考虑可访问性,安全性,防损。纸或官方纪录的数字备份副本必须保持整个保留期,这样的硬件,软件,人为错误或其它故障不会剥夺所需的保留期限或建议的记录。如果记录的唯一的官方副本是电子副本,记录的副本必须存储在其他位置或介质。


数字记录

数字记录,以电子格式,虽然受到同样的规则和保留期限为执政管理的书面记录那些。备份过程是必要的保护和确保仍然存在数字记录访问的,安全的,只要它们是必需的。因此,数字化是必要的任何记录,以满足大学的财政,法律或行政的需要,或者说信息包含历史显著必须固定在一个或多个以下的方法来防止信息丢失或损坏:

  1. 必须要打印的数字记录的纸质副本
  2. 数字记录的副本必须存放在学院的安全共享网络。

电子邮件: 电子邮件,发送和接收,从@ hartwick.edu电子邮件地址是学院的商业交易和活动的证据,是学院唯一的财产,被认为是大学的记录,这是受同样的规则规定,那些支配纸和/或数字记录的管理。电子邮件的内容将决定它是否是官方记录或一般的行政记录。

如果电子邮件符合下列一项或多项标准的电子邮件应被视为正式记录。

  • 证明业务相关的事件或活动没有或没有发生
  • 展示交易
  • 学院支持索赔的事实是真实的
  • 有法律或合规价值
  • 符合法律或法规涵盖法律或合规责任
  • 政策,程序和/或由管理团队的高级成员或董事或监事如果电子邮件是唯一平均通信ESTA信息的发行程序指令。

在电子邮件系统,满足学院的法律或法规的要求,建立记录受同一时期保留的纸张或硬拷贝版本,必须固定在一个或多个以下的方法来防止信息丢失或腐败:

  1. 该电子邮件的纸质副本必须被打印,其中包含的所有报头信息(以从,日期,主题行等等)
  2. 电子邮件和任何附件的副本必须存放在学院的安全共享网络。

随着记录归档遵守GDPR

学院和适用在哪里,它的代表,需要保持它的包含以下所有信息处理活动的记录:

  1. 控制器,以及适用的姓名和联系方式,第(i)联合控制,(二)控制器的代表,及(iii)数据保护人员;
  2. 目的进行处理;
  3. 数据对象的数据和人员的类别的类别的描述;
  4. 收件人谁的人员将有数据或将披露去过,包括国际组织或国际收件人的类别;
  5. 那里的工作人员适用,数据传输到国际收件人或国际组织,包括国际或接受国际组织的鉴定,并在方法论允许下GDPR,相应的保护的文件第49条(1)国际中转;
  6. 如果可能的话,不同类别的人员数据的保持时间表;和
  7. 当技术和组织保障措施已用的可能,一般说明,如在GDPR第32条(1)参考。

所有的政策,程序和有关的隐私和个人数据的安全性等的文件,将保持以下文件生效之日起至少六年。当一个政策,程序或其他文档修订或更新时,该文件的以前版本至少应按照政策,程序,或其他文件不再是有效日期归档六年。

所需的任何通信在GDPR下书面提出应保持至少六年后的通信作出或已生效的日期,以较晚者为准。

是否需要一个动作,活动或指定学院的下被记录在案“GDPR隐私声明”,那么文档应该跟随它创建或已生效的日期,以较晚者为准保持至少六年。

可以在文档书面或电子形式保存。

  1. 学院将继续所需由可以检查该文件提供的信息足够详细的记录。
  2. 对于电子记录,高校可以将任何合理的文件保存要求,对待包括,但不限于,电子文档保存政策的规则,否则包含在ESTA

记录处置

记录处置是记录管理生命周期的一个重要因素。他们保存记录的保留期过去可能会引起混淆和暴露高校不必要的风险。他们不断超越预期的处置日的记录,可以传唤,并要求或无法安置十一要求,这可能会增加大学生的曝光过程中的诉讼。因此,记录已经超过了自己的目的,有没有历史价值,或其中有没有对保留,也不是合法持有的标的法律规定的期限,应根据这一政策,并记录保留和处置时间表进行处理。

当一个记录所需的保留期限已过,是否保留的确定来记录作为存档记录或处置的记录必须进行。如果该部门的记录协调咨询随着档案进行确定的记录是否会被放入档案作为学院的一个永久的,历史纪录。

  • 如果记录是成为档案的一部分,该档案将承担保存,并通过记录保持控制的责任。
  • 如果记录的档案价值不,备案部门协调员将授权处置记录的按处置下面列出的认可的方法之一。

以下是批准处置的记录方法:

  1. 回收/垃圾桶: 处置记录不包含敏感或机密信息的标准方法。
  2. 粉碎: 处置包含敏感记录,保密,卫生信息,保护健康信息,个人信息,个人身份号码或个人识别信息的方法。
  3. 擦除/删除: 销毁电子记录不包含敏感或机密信息的处理方法。
  4. 安全数字毁灭: 为敏感,机密,健康信息,受保护的健康信息,个人信息,个人识别号码或亲自处置方法识别从所述设备之前计算机或其它电子存储介质的信息或数据被回收,再利用,处置或丢弃。 ESTA方法应当会同信息技术部门来进行。
  5. 影像: 转换纸记录数字图像,缩微胶片,或其它介质,然后纸记录通过再循环或切碎根据灵敏度和记录纸的保密性设置的。

没有记录应当先于适用的记录保留和处置时间表指定的保留期限届满破坏。

记录或文件草案应尽快,因为他们已经被纪录或文件的正式版本取代处置。

当他们不再有用,应永不该记录的正式副本保持更长的重复的记录或文件应予以处置。

包含敏感记录,保密,卫生信息,保护健康信息,个人信息,个人身份号码或个人身份信息

在与纽约州总商法部399小时,包含敏感,机密,健康信息,健康信息的保护,个人信息记录,个人身份号码或个人识别信息按照, 必须由某人谁有权访问已批准的记录进行处理。

按照美国卫生与公众服务HIPAA隐私和规则的安全部门,如果雇用大学的外面的包含健康信息和/或受保护的健康信息记录实体处置,学院必须订立合同或其他协议与要求的企业实体业务实体同意适当地保护通过出售包含在记录中的记录和信息。

关于欧盟的GDPR,相关处理是否,管理,纠正和/或处理个人信息保护的个人,请参阅 ag线上比赛隐私声明.


记录保留和处置时间表

该学院将保留根据现有从合规协调员办公室批准的记录保留和处置时间表记录。这些时间表描述了每种类型的记录,可以从随时间改变的各种原因的官方保留期。协同合规协调员必须做到最好战绩部门协调员留的不断变化的需求了解,这样记录的保持时间表可以进行相应的更新。

根据GDPR的第30条,学院必须保持政策,程序和其他文档相关人员数据的私密性和安全性。 ,虽然没有具体的保留期是在GDPR地说,大学应该维护下列文件的创建日期或文件已生效的日期,以较晚者为准六年文档。没有记录保留的特殊形式的任务是为纸质或电子记录。

记录没有在表中列明这实质类似于列出应保留的时间大致类似记录所需的时间长度。

记录保留和处置时间表阐明的各种记录的定义,在其存在的介质,其中记录存储,并记录处置时间表。记录保留和处置计划的目的是:

  1. ,为确保记录安全的维护,一应俱全,并保留时间适当的量行政,法律和税务的目的;
  2. 为了确保记录保留满足这一法律要求;
  3. 有了记录,以确保持久的历史等方面的研究价值识别并保留永久;和
  4. 鼓励和促进不需要的记录系统的处置。

 

有效:2018年8月15日

回到顶部