记录管理,保留和处置政策

目的

这一政策的目的是提供用于接收,创建,生成,或维持在与大学商业行为连接ag线上比赛(大学)的记录管理,保留和处置统一准则。这一政策旨在:

  1. 建立记录管理准则和问责制,以帮助确保高校能够满足有关档案管理的法律要求的系统;
  2. 确保其真实性和学院的官方记录的可靠性;
  3. 为了保护记录的保密性和成分的隐私;
  4. 以防止误用,错放,损伤,过早破坏,或记录被盗;
  5. 以确保记录具有持久的历史值被保留;和
  6. 以确保大学和学院的员工都朝着符合欧盟通用的数据保护条例(以下简称“gdpr”)工作。所述gdpr适用于数据对象的个人数据的处理(如这样的术语定义如下)。的gdpr下,学院可以被认为是控制器的个人数据(如下面定义的),以及,同样地,可能是受gdpr下许多要求。

范围

这一政策的地址收到的所有记录,创建,生成或维护由学院和适用于高校各部门的管理,保留和处置。该政策涵盖了所有类型的记录,无论物理特性,已创建,产生,获得;记录为组织,其功能,政策,决策,程序,操作或活动的证据;或法律文件中提交的业务或法律义务的过程。

因为没有一个人或部门能在整个大学的份额为所有校园的记录和文件,用户直接负责的集体责任妥善管理记录,并坚持在此政策中所列的保留和处置的指导方针。访问,维护,保留和处置大学记录的程序必须遵循的所有员工。

此政策适用于,并且将提供给所有员工和高校的工作人员时,他们的行为是在无关系学院的私人或外部容量时除外。为了清楚起见,为此,意味着任何人在任何级别或等级学院的任何环境中工作的术语“员工与员工,”(无论是永久的,全职,兼职,兼职或临时的),和包括雇员,退休但活跃的前雇员,教师,工作人员,访问学者,工人,研修生,实习生,借调人员,机构的工作人员,代理人,志愿者,委员会外部成员,以及受托人。

这一政策地址国际,联邦和国家法律法规,和大学的政策,如,但不限于,家庭教育权利和隐私法案(FERPA),健康保险流通与责任法案(HIPPA),一般的数据隐私法规(gdpr ),公平信用报告法(FCRA),联邦贸易委员会(FTC),劳动部门,支付卡行业安全标准(PCI-DSS),和纽约州一般商业法部分399-H。

关于这一政策的实施,包括它适用于任何文件有任何疑问,应该向哈特威克大学合规协调员。


关键作用

档案: 负责评估记录的长期价值和制作上的记录是否会被认为是档案记录的决心。档案管理员将负责收集,整理,保存,过保持控制,并提供在ag线上比赛档案和记录存储中心访问记录。

合规协调员: 负责备案管理,保留和处置方案的协调。

部门备案协调员: 负责妥善管理和处置的记录指定的部门,应当对记录管理,保留和处置其指定的部门的主要联系人。

信息技术: 负责日常的日常维护由学院拥有或管理的网络和电子系统的存储数据和记录,以确保电子记录仍然可以访问和恢复。其服务可以协助学院办公室和部门记录管理,保留和安全数字处置记录的这方面。

数据保护官员: 负责:(一)监督和审计学院的遵守其在gdpr规定的义务;建议其遵守gdpr各方面的大学;作为学院的点适用的监管机构(IES)相对于gdpr,包括在个人数据泄露的情况下接触;而作为从资料当事人的投诉接触的可用点。


定义

责任义务: 根据第5和gdpr的演奏29的义务(S):(1)符合gdpr和保留记录表明符合; (b)实施政策,程序,流程和培训“由设计,默认情况下”,以促进数据保护; (c)中具有代替外包涉及个人数据的处理功能时适当合同; (d)维持被执行的数据处理的记录; (五)记录和报告个人数据泄露; (六)开展,酌情对高风险处理活动数据保护的影响评估; (g)在所述gdpr的适用调节器(多个)合作;和(h)至监管/法院行动,包括在某些情况下响应,行政罚款的支付征收由gdpr的适用的监管机构(S)。

行政保障措施: 行政措施,政策和程序,旨在/用于管理的选择,开发,实施和维护的安全措施来保护个人数据和管理有关的个人数据的保护控制器的工作人员的行为。

档案记录: 一个记录,其长期的价值或者证明其永久保留,以满足大学的财政,法律或行政的需要,或者因为它包含历史显著的信息。

高校成绩: 任何形式的记录信息,无论物理特性,已创建,生成,接收和/或记录作为该组织的证据,功能,政策,决策,程序,操作或其他活动,或文档合法的课程申请商管学院或大学的法律义务。 所有记录,不论物理特性,与高校业务的开展连接接收,创建,生成或维护由学院或它的员工是大学的唯一财产。

机密信息: 必须根据州或联邦法律保护,未经授权的访问或公开发布的信息。机密信息的例子包括但不限于个人信息,个人识别号码,个人身份信息,银行帐户号码,医疗记录,密码和学生的教育记录。

保密记录: 包含个人信息的一个或多个片段或通过法律或大学政策包含披露受保护的信息,包括但不限于,家庭教育权利和隐私法案(FERPA)的记录,健康保险可移植性责任法案(HIPAA),纽约州一般商业法§399-H和个人记录法的纽约州处置。

控制器: 该自然人或法人,公共机关,机构或其他机构,单独或与他人共同决定了目的和个人data.1的处理手段。
_________________________________

1.不幸的是,该委员会并没有更新控制器和处理器的定义,以反映当前的处理方法和新技术的发展。当处理仅限于基本情况(例如,学院要求X公司发送电子邮件,以校友代表其)的概念,因为角色是更清晰(在本例中,该学院是控制器,x是是有用的处理器)。然而,在涉及新技术,如blockchain,物联网(IOT),大数据等互联网复杂的情况下,论者认为,处理可以考虑进行联合控制。
__________________________________

保障资料原则(S): 处理相当,合法地和透明地(a)的:在gdpr的第5条所阐述的原理该状态的个人数据应(b)只对特定的,明确的和合法的目的进行处理; (c)中适当的,相关的和限制; (d)准确的(如果不完全或不准确的整流); (E)不保持超过所需的时间;和(f)加工牢固。

数据为准: 可识别的自然人,即一个谁可以被识别,直接或间接地,通过参考个人数据。

数据主体的权利: 在文章gdpr 15-22所规定的权利,所有这些都以不同的方式都是合格的,包括数据主体的权利:(一)被告知是如何被使用他/她的个人资料; 2.访问他/她的个人数据(B); (三)有他/她不准确的个人数据纠正; (d)有他/她的个人数据删除(被遗忘的); (e)中,以限制他/她的个人数据的核查或校正待决的处理; (F)接受他/她的个人数据的拷贝在一个机器可读的和通常使用的格式(右数据可移植性); (七)对象:(一)加工(包括剖析)在特定的法律依据他/她的个人数据,(二)直接营销,及(iii)用于研究目的的个人数据的处理,其中该研究是不是在公共利益;及(h)不受到仅基于自动化决策使用个人数据作出决定。
_______________________________

2.这种权利通常是通过提供“隐私声明”的履行(也被称为“数据保护声明”,或者,特别是在网站中,“隐私保护政策”),其中规定了组织如何计划使用这些个人信息,谁就会与共享,处理的法律基础,方式抱怨,和谁联系,以锻炼数据主体的权利。
________________________________

数字记录: 记录创建,生成,转换发送,传播,接收或存储的通过电子手段。数字记录格式包括但不限于文字处理文档,电子表格,电子邮件,即时消息,短信,网站,数据库和扫描的图像,以及多媒体文件,如音频,图形和视频。这些记录,虽然电子在格式中,被处理一样以其它格式的记录,并受同一个保留和处置时间表作为类似纸的记录。

重复记录: 重复是官方记录的翻版。

加密: 通过编码成可使其不可读不访问加密密钥的格式隐藏电子信息的方法。加密是最经常用来包含个人信息,个人识别号码或个人身份信息发送记录或数据。

加密密钥: 所需加密和解密信息,本质上锁定和解锁所述数据的密码。

一般行政记录: 创建和部门作为日常业务的一部分,保持记录。一般行政记录是短期利益,而不是需要被保留。例子包括但不限于:每天的活动日程安排,日历,任命书,难事文件,对应的额外拷贝,临时汇票或已不循环,审查,或用来做决策或完成交易的个人笔记;临时文件仅用于改变安排或电子记录格式;文件或数据库提取的副本仅创建在系统之间传输数据。

一般数据保护条例(gdpr): 由欧盟(EU)在2016年4月通过的,与2018年5月25日的有效日期,保护欧盟和欧洲经济区的居民的个人隐私法规。

ag线上比赛档案: 档案为学院的官方记录,以及历史文物和记录永久存储库。档案的监督与高校档案管理。

健康信息: 任何信息,无论是口头或记录的任何形式或媒介,其涉及过去,现在或将来的身体或精神健康或任何个人的条件,提供医疗保健到个体,还是过去,现在或将来付款方式为提供医疗保健的个人。

非活动记录: 不再需要在当天组织的日常运作,但记录必须保存,以满足大学的财政,法律或行政的需要。

信息系统: 一个同样的直接管理控制这股普通功能下互联信息资源的设置。一个信息系统一般包括硬件,软件,信息,数据,应用,通信和人。

国际组织: 一个组织和它的国际公法,或由,或者,两个或两个以上的国家之间的协议的基础上建立的任何其他机构管辖的下属机构。
国际收件人:在欧洲经济区的任何国家以外的个人数据,不是国际组织之外的其他收件人。

法律依据和法律依据: 存在用于处理个人数据合法根据其中:(a)中存在用于特定目的明确同意; (b)该处理是必需的以符合合同的条款; (c)该处理是必需的以符合法律义务; (d)的处理是必要保护重要利益(例如,以保护数据受试者的生命或安全); (五)处理在公共任务(这在欧盟法律明确的基础上)的性能完成的;和/或(f)控制器的合法利益需要个人数据的处理,而这种合法的利益超过他们的个人数据。3隐私资料当事人的利益。
______________________________
3.本法律依据出现普涨;然而,它一般是指被狭义地理解,并作为一个平衡测试,其中大专以上的利益受到保护他/她的个人数据对数据主体的利益平衡。
______________________________

法律保留: 暂停记录的正常处置因未决的或预期的审计,诉讼,索赔,代理费,调查,执法行动,或者行政复议。

成员国): 奥地利,比利时,保加利亚,克罗地亚,塞浦路斯共和国,捷克共和国,丹麦,爱沙尼亚,芬兰,法国,德国,希腊,匈牙利,爱尔兰,意大利,拉脱维亚,立陶宛,卢森堡,马耳他,荷兰,波兰,葡萄牙,罗马尼亚,斯洛伐克,斯洛文尼亚,西班牙,瑞典和英国。

官方记录: 必须保持一段特定时期的原始记录,以满足大学的财政,法律或行政的需要。 官方记录必须保存在硬拷贝。

始发部门/办公室: 该部/办公室对原文件或官方记录的创建,产生或接收。

个人资料: 关于识别或可识别的数据对象的任何信息;具体包括,但不限于,姓名,身份证号码,位置数据,在线识别,或一个或多个因素的具体物理,生理学,数据主体的遗传,心理,经济,文化或社会身份。为清楚起见,术语个人数据指的是在任一纸质或电子形式的数据。

个人数据泄露: 安全的破坏导致意外或非法破坏,丢失,篡改,或擅自披露或访问个人数据。4。
_________________________________
4. WP29已经确定了三类个人数据破坏:(1)一个保密违反那里有一个未经授权或意外公开的,或访问,个人数据; (2)的可用性违反那里有一个意外或访问的未经授权的损失,或者,个人数据的破坏;和(3)的完整性破坏那里有个人数据的未经授权的或意外的改变。
_________________________________

个人信息: 关于这,因为姓名,号码,个人标记或其他标识,可用于识别个人自然人的任何信息。

个人身份证号码: 它可以与任何其他信息,单独或结合使用任何数字或代码假定其他人或获得资金或其他人的信用的身份。

个人身份信息: 个人识别信息包括任何信息的结合,可用于确定个体的身份的个人信息的任何一个或多个数据元素。数据元素包括但可能不限于:姓名,出生日期,社会保障号码,驾驶证号码,非驱动程序的识别号码,账户号码,或母亲的娘家姓。
物理保护措施:物理措施,政策和程序,旨在/用于保护控制器的电子信息系统及相关建筑物和设备从自然和环境的危害,并防止未经授权的入侵。

政策悬挂: 该政策可能会被暂停任何记录因合法持有。

处理: 任何操作或其上的个人数据或上组的个人数据进行的,通过自动方式,如收集,记录,组织,结构化,存储,适应或改变,检索,协商,使用,披露通过是否操作的组传输,传播或以其他方式提供,对准或组合,限制,擦除或破坏。 “处理”和“处理”具有相应的含义。

处理器: 一个自然人或法人,公共机关,机构或其他团体的处理代控制器的个人资料。

保护健康信息: 即健康信息的子集,包括从个体收集的个人识别信息的任何信息。

接受者: 一个自然人或法人,公共机关,机构或其他机构,到个人数据披露,无论是第三方或实体,公司或联营集团内。公共机关按照欧盟或成员国法律的特定查询的情况下接收个人信息不被视为收件人。为了这个目的,“公共机构”一般是指税务和海关当局和金融市场的主管部门,接收个人信息需要进行在一般感兴趣的特定查询,按照欧盟或成员国法律。

记录保留和处置时间表: 一个时间表,标识各种记录,在其存在的介质,其中该记录被存储,并且最小时间长度的记录必须保留。

记录系列: 的一组从相同的活性导致和保持在一起作为一个单元,并且可以为配置和/或其他管理目的一起评估相关的记录。

代表: 建立在欧盟自然人或法人谁是由控制器或处理器以书面依照gdpr的第27条标明,并代表谁控制器或处理器与gdpr下,考虑到各自的义务。

保安或保安措施: 所有的行政保障,物理的保护,并在信息系统的技术保障。

安全数字毁灭: 敏感,机密的个人信息,个人识别号码或个人识别从计算机或其它电子存储介质的信息或数据的处理方法。

监管机构(IES): 这是由一个构件状态依照gdpr第51条建立一个独立的公共机构。

记录中心: 要保留为需要非活动记录的存储区域的时间,法律和行政目的的一段时间。与档案协作,部门记录协调员和遵守协调员将决定存储在中心什么的记录。


法律保留

可能需要申请行政复议,审计或在诉讼证据的一些记录。在待定或预期的审计,诉讼,索赔,代理费,调查,执法行动,或者行政复议的情况下,诉讼保全将被放置在所有相关记录,而不管物理格式,包括电子邮件。这些记录必须保存,维护和保留行动或程序和时间,所有上诉的整个期已过,即使记录的保留期已过期。

如果保留期由当时的法律诉讼结束到期,记录必须保留至少一年额外的法律诉讼结束后,以解决任何需要对上诉的记录。如果保留期尚未届满,记录必须保留的保留期的剩余部分,但不得少于一年后法律行动结束。

过早破坏或者处置有任何法定保留的记录被明令禁止的,如果故意,可能导致纪律处分,直至就业和可能的民事或刑事处罚的,包括终止。


安全性和访问

所有员工都负责应用管理,技术和物理保障措施,妥善保护的所有记录,纸张或数字,从未经授权的访问和披露,同时也保护的真实性,准确性,完整性,防止被破坏的信息,以保护个人隐私和保密,并确保在需要时记录都可用。
ag线上比赛的用户的责任和适当使用政策概述步骤员工必须好好维护高校信息的完整性。其中的一些责任,涉及安全和访问记录,包括:

  • 具有大专以上,地方,州,联邦遵守,和/或国际法律或法规关于获得和使用信息
  • 采取适当的行动来备份电脑系统
  • 通过经常使用杀毒软件保护连接到病毒,蠕虫和安全漏洞的哈特威克网络的任何计算机尽职调查
  • 保鲜技术通过不与他人分享权限(密码)账户安全。

除了与学校的用户的责任和适当使用政策不符的,所有员工还必须符合家庭教育权利和隐私法案(FERPA),健康保险便携性和1996年(HIPAA)责任法案,而第203-d纽约劳工法,以确保记录和/或访问包含个人信息,个人身份号码,或者其免受未经授权的访问和披露相结合的记录。

安全性和访问的达到了创纪录的水平将根据记录的内容会有所不同。对记录的安全和控制访问,员工应该:

  • 控制谁可以访问记录
  • 存储记录,包括纸质和数字拷贝,以安全的方式
  • 采取措施,防止意外或恶意破坏
  • 创建的所有数字记录备用或辅助副本,包括符合官方记录的标准电子邮件
  • 保护通过加密的记录信息传输

为了确保符合FERPA,HIPAA,或其他任何州,联邦和/或国际法律或法规,下列最低程序必须遵守所有的学生,员工和组成记录:

  • 任何记录,数据,或包含健康信息,保护健康信息,个人信息,个人身份号码或个人身份信息或数据文件必须存放在上锁的文件柜当员工正在工作的文件除外。同样性质的数字文件,只应以适当的人员访问。
  • 任何记录,数据,或包含健康信息,受保护的健康信息,个人信息,个人识别号码,或以电子方式传送到其他适当的接收者的个人识别信息的文件必须通过加密来保护。
  • 任何记录,数据,或包含健康信息,受保护的健康信息,个人信息,个人识别号码,或通过邮寄或其他快递转移到其它适当的接收者的个人识别信息的文件必须通过追溯方式发送(跟踪次数)。的传送的信息的详细记录,也必须保持。

学院将在适用和行政切实可行的范围内,遵守gdpr作为日常的一部分工作实践,通过:

  • 确保个人数据通过这个政策适当管理;
  • 理解和应用根据需要处理个人数据时,数据保护原则;
  • 理解,并履行必要的,数据主体的权利;
  • 理解和实施必要的,学院的责任义务;和
  • 数据隐私声明,概述清晰和透明的方式学院将如何收集和处理个人数据的细节公布。

个别员工与员工的职责是:

  • 作为完成建议由学院有关gdpr合规培训;
  • 下列有关学院的政策和程序,包括但不限于这一政策;
  • 仅访问和使用必要的合同义务和/或其他学院角色的个人数据的最小量;
  • 确保个人数据他们有权访问不被不必要地或不适当地公开;
  • 其中鉴定,报告任何个人资料泄露,并与学院地址他们合作;和
  • 只有删除,复制或离开学院的聘请时删除个人数据,与学院同意,并酌情。

在这个政策上面阐述的义务并不免除个人刑事犯罪5.承担任何个人责任的个人数据根据适用的数据隐私和安全的法律,包括故意误用,但不限于,在gdpr。
_______________________________

5.大学应该注意到,德国强加fdpa某些行为,包括了一个“被判处监禁”三个岁以下的刑事处罚。我们的理解(如合规日期)是该fdpa刑事处罚通常适用于在本质上是“商业”个人数据的未经授权的传输(例如,在个人非法出售个人资料获利),并且不打算涵盖无意数据泄露。
________________________________


加密

该学院及其员工必须采取安全防范措施,以保护任何及所有包含个人信息,个人身份号码或个人身份信息或者数据需要发送给第三方或其他位置,无论是内或校外的记录。
包含个人信息,个人识别号码或个人识别信息需要被发送到第三方或学院的其他位置之外的任何记录,必须通过加密通信被传输或存储在该传输期间被加密色器件。

用于访问信息的加密密钥必须在一个单独的通信被发送或从加密装置分开设置,开。

哪些类型的信息应受到不同程度的加密的加密矩阵大纲将通过合规协调员办公室提供。


存储

官方记录应予以保留,并通过了备案,并只为成立于记录保留时间表的时间段主要责任部门管理。

记录,数据和信息是哈特维克学院的财产,其中包含任何个人信息,个人身份号码或个人身份信息,不得存储在个人拥有的便携式计算设备。

物理存储: 存储盒或文件柜记录时,必须考虑有足够的空间和可达性,安全性和防止损坏。记录存储盒和文件抽屉应清楚地标明说明是足够有效后检索信息。包含敏感或机密信息,个人信息,个人身份号码或个人识别信息的纸质记录必须保存在不使用时可上锁的柜子或抽屉。

备案中心: 于纸记录的限制访问,安全存储可以用在记录中心校区。备案中心充当非永久性记录的临时存储区域,一般用的自创建之日起五年,七年或十年保留期。每年,学院档案,谁充当所述记录管理器,接收来自部门备案协调员的书面许可,处置计划销毁记录。如果主管部门备案协调员选择将文件存储在记录中心,他们应该联系档案,并按照制定的准则交付,检索和最终处置。在记录中心存储容量是有限的,档案,部门协调纪录及合规协调员将合作以确定哪些记录将被存储在那里。访问记录中心仅限于档案,并在他/她的缺席,图书馆主任办公室的工作人员。该档案将检索记录中心部门备案协调员或他们的要求代表记录。从一个部门记录协调许可需要从比它的起源记录存储在中心访问记录等部门的任何人。

数字存储: 存储数字格式记录时,必须考虑可访问性,安全性,防损。官方记录的数字备份或文件拷贝必须在整个停留一段时间内保持,这样的硬件,软件,人为错误或其它故障不会剥夺记录的要求或建议的保留期限。如果记录的唯一的官方副本是电子副本,记录的副本必须存储在其他位置或介质。


数字记录

数字记录,虽然在电子格式,都受到相同的规则和保留期限那些支配的纸质记录的管理。备份过程是必要的保护,并确保数字记录保持安全和方便,只要它们是必需的。因此,这是必要的数字记录,以满足大学的财政,法律或行政的需要,或包含历史信息显著必须固定在一个或多个以下的方法来防止信息丢失或损坏:

  1. 必须要打印的数字记录的纸质副本
  2. 数字记录的副本必须存放在学院的安全共享网络。

电子邮件: 电子邮件,发送和接收,从@ hartwick.edu电子邮件地址是学院的商业交易和活动的证据,是学院唯一的财产,被认为是大学的记录,这是受相同的规则和条例,那些支配纸和/或数字记录的管理。电子邮件的内容将决定它是否是官方记录或一般的行政记录。

如果电子邮件符合下列一项或多项标准的电子邮件应被视为正式记录。

  • 证明没有或没有发生业务相关的活动或事件
  • 展示交易
  • 支持的事实学院声称是真实的
  • 有法律或合规价值
  • 符合法律或法规涵盖法律或合规责任
  • 政策,程序和/或程序由资深管理团队或董事或监事成员发出指令,如果电子邮件是唯一平均传递此信息。

电子邮件系统,满足学院的法律或法规要求,都受到同样的保留期限为纸张或硬拷贝版本,必须固定在一个或多个以下的方法来防止信息丢失或内创建的记录腐败:

  1. 该电子邮件的纸质副本必须被打印,其中包括所有报头信息(到;从;日期;主题行等等)
  2. 电子邮件和任何附件的副本必须存放在学院的安全共享网络。

记录记录符合gdpr

学院和在适用情况下,它的代表性,需要保持一个包含所有的下列信息的处理活动的记载:

  1. 控制器,以及在适用的姓名和联系方式,第(i)联合的控制器,(ⅱ)控制器的代表,以及(iii)数据保护人员;
  2. 目的进行处理;
  3. 数据对象的和个人数据的类别的类别的描述;
  4. 收件人谁的个人资料已经或将要披露,包括国际收件人或国际组织的类别;
  5. 在适用情况下,个人数据转移到国际收件人或国际组织,包括国际收件人或国际组织和,识别的方法允许下gdpr,相应的保护的文档的第49条(1)国际转让;
  6. 在可能的情况中,不同类别的个人数据的保持时间表;和
  7. 在可能的情况的使用的技术和组织的安全措施,诸如那些在gdpr第32条(1)所指的一般描述。

所有的政策,程序和有关的隐私和个人数据的安全性等文件将维持下列文件生效之日起至少六年。当一个政策,程序,或其他文件被更新或修订,该文件的以前版本应该存档为以下的政策,程序,或其他文件不再是有效之日起至少六年。

所需的gdpr下书面提出任何通信应保持以下的通信被提出或已生效的日期,以较晚者为准至少六年。

是否需要一个动作,活动或指定学院的下被记录在案“gdpr隐私声明”,那么文档应该跟随它创建或已生效的日期,以较晚者为准保持至少六年。

文档可能是以书面或电子格式得到维持。

  1. 学院将继续是在细节足以提供该文件可以检查所需的信息记录。
  2. 对于电子记录,学院可以申请任何合理的文件保存要求,包括,但不限于,电子文档保留的规则,否则包含在这个政策

记录处置

记录处置是记录管理生命周期的一个重要因素。保存记录过去的保留期可能会引起混淆和暴露高校不必要的风险。不停地超出了他们的预计处置日的记录可以要求或传唤,不能布置的一次请求,这可能会增加诉讼期间,学院的曝光。因此,已经失去他们的目的的记录,有没有历史价值,或者它有没有法律规定的期限保留,也不是合法持有的主体,应按照这一政策,并记录保留和处置时间表进行处理。

当用于记录所需要的保留期限已过,是否保留记录作为档案记录或对记录的处置的确定必须进行。部门备案协调员应与档案协商作出决定,以一个记录是否会被放入档案作为学院的一个永久的,历史纪录。

  • 如果记录是成为档案的一部分,该档案将承担维护和维持在记录控制责任。
  • 如果记录的档案价值不,部门协调的记录将根据处置下面列出的批准方法之一授权处置记录。

以下被批准用于处置的记录方法:

  1. 回收/垃圾桶: 对于不包含敏感或机密信息记录的标准处理方法。
  2. 粉碎: 对包含敏感,机密,健康信息,保护健康信息,个人信息,个人身份号码或个人身份信息记录的处理方法。
  3. 擦除/删除: 销毁不包含敏感或机密信息的电子记录的处理方法。
  4. 安全数字毁灭: 为敏感,机密,健康信息,受保护的健康信息,个人信息,个人识别号码或亲自处置方法识别从所述设备之前计算机或其它电子存储介质的信息或数据被回收,再利用,处置或丢弃。此方法应与信息技术部门合作进行。
  5. 影像: 转换纸记录数字图像,缩微胶片,或其它介质,然后通过回收或根据灵敏度和记录纸的机密性质切碎布置所述纸记录的。

没有记录,应先于适用的记录保留和处置时间表指定的保留期限届满破坏。

记录或文件草案应尽快,因为他们已经被纪录或文件的正式版本取代处置。

当他们不再有用,不应该再保持该记录的正式副本重复的记录或文件应予以处置。

包含敏感,机密,健康信息,保护健康信息,个人信息,个人身份号码或个人身份信息记录

按照纽约州一般商业法部分399小时,包含敏感,机密,健康信息的记录,受保护的健康信息,个人信息,个人身份号码或个人身份信息, 必须由某人谁已批准访问记录进行处理。

按照美国健康和人类服务HIPAA隐私和安全规则的部门,如果大学聘用外部实体处置包含健康信息和/或受保护的健康信息记录,学院必须订立合同或其他协议有需要的企业实体业务实体同意适当地保护通过出售包含在记录中的记录和信息。

关于欧盟的gdpr保护个人,无论涉及到处理,管理,纠正和/或处理的个人信息,请参阅 ag线上比赛隐私声明.


记录保留和处置时间表

学院将保留根据可从合规协调员办公室批准的记录保留和处置时间表记录。这些时间表描述了每种类型的记录,这可能随时改变由于种种原因,官方保留期。与合规协调协作部门备案协调员必须尽最大努力留下的不断变化的需求了解,这样记录的保持时间表可以进行相应的更新。

根据gdpr的第30条,学院必须保持政策,程序和其他文件与个人数据的隐私和安全。虽然没有具体的保留期是在gdpr规定,高等学校应保持以下文件的创建日期或文件已生效的日期,以较晚者为准六年文档。没有记录保留的特殊形式的任务是为纸质或电子记录。

在时间表中未列出基本上类似于所列出的那些记录应当保留的时间基本相似的记录所需要的长度。

记录保留和处置时间表阐明的各种记录,在其存在的介质,其中记录被存储的定义,并记录处置时间表。记录保留和处置计划的目的是:

  1. 以确保记录保存安全,一应俱全,并保留了适当的时间量行政,法律和财政的目的;
  2. 为确保记录保留符合该法律的要求;
  3. 以确保持久的历史等方面的研究价值识别并保留永久的记录;和
  4. 鼓励和促进不需要的记录系统的处置。

 

有效:2018年8月15日

回到顶部