Policy

赌博正规的十大网站(CC)是一所涉及教育的高等教育机构, 研究及社区发展. 为了让CC教育它的外国和国内学生, engage in research, and provide community services, it is essential and necessary, and CC has a lawful basis, to collect, process, use, 及/或保存学生的个人资料, employees, applicants, research subjects, 以及其他参与其教育的人, research, and community programs. These activities include, without limitation, admission, registration, delivery of classroom, field, and study abroad education, grades, communications, employment, research, development, program analysis for improvements, and records retention.

科罗拉多大学认真对待保护其收集或处理的个人数据的责任. 除了CC的整体数据保护计划之外 欧盟一般数据保护条例(“欧盟GDPR”) imposes obligations on entities, like Colorado College, 收集或处理人们的个人数据 European Union (“EU”). 欧盟GDPR适用于CC收集或处理位于欧盟的任何人的个人数据, 无论他们是欧盟国家的公民还是永久居民. 除其他事项外，欧盟GDPR要求赌博正规的十大网站:

1. 对所收集或处理的个人资料，以及对任何个人资料的用途，保持透明
2. 记录其对个人资料的所有使用和披露
3. appropriately secure personal data

本政策描述了科罗拉多大学的数据保护策略，以符合欧盟GDPR.

收集或处理个人资料的法律依据

赌博正规的十大网站(CC)有合法的依据来收集和处理个人数据. 本会收集及处理的个人资料，大部分属以下类别:

• 为了科罗拉多大学或第三方追求的合法利益，处理是必要的.
• 处理是履行数据主体为当事人的合同或在签订合同前应数据主体的要求采取步骤所必需的.
• 为了遵守赌博正规的十大网站的法律义务，处理是必要的.
• 资料当事人已同意为一个或多个特定目的处理其个人资料.

在某些情况下，个人数据的收集和处理将依据其他合法依据.

Data Protection & Governance

赌博正规的十大网站(CC)将保护其合法收集或处理的所有个人数据和敏感个人数据.  CC收集或处理的任何个人资料及敏感个人资料应:

• 以合法、公平和透明的方式处理
• Collected for specified, explicit, and legitimate purposes, 而且不能以不符合这些目的的方式进一步加工
• 限于就收集及处理资料的目的而言所必需的资料
• Accurate and kept up to date
• Retained only as long as necessary
• Secure

Sensitive Personal Data & Consent

处理显示种族或民族出身的个人资料, political opinion, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, 用于唯一识别自然人的生物特征数据, 赌博正规的十大网站禁止有关健康的数据或有关自然人性生活或性取向的数据, 除非下列其中一项适用:

• 资料当事人已明确同意为一个或多个指明目的处理该等个人资料, 除非欧盟或成员国法律规定第1段所述的禁令不得由数据主体解除;
• 为了履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利，处理是必要的，只要它是由欧盟或成员国法律授权的，或根据成员国法律制定的集体协议，为数据主体的基本权利和利益提供适当的保障;
• 处理是必要的，以保护数据主体或其他自然人的切身利益，而数据主体在身体上或法律上没有能力给予同意;
• 处理是在基金会的合法活动过程中进行的，并有适当的保障措施, 协会或任何其他不以营利为目的的团体与政治, philosophical, 宗教或工会的目的，并且条件是处理仅涉及该机构的成员或前成员，或与该机构就其目的定期联系的人，并且未经数据主体同意，个人数据不会在该机构之外披露;
• 处理涉及由资料当事人明显公开的个人资料;
• 加工是建立的必要条件, 行使或辩护法律要求，或在法院行使其司法职权时;
• 出于重大公共利益的原因，处理是必要的, 根据与所追求的目标相称的联盟或成员国法律, 尊重数据保护权利的本质，并提供适当和具体的措施来维护数据主体的基本权利和利益;
• 为了预防医学或职业医学的目的，加工是必要的, 用于评估员工的工作能力, medical diagnosis, 在欧盟或成员国法律的基础上，或根据与卫生专业人员签订的合同，并受条件和保障的约束，提供卫生或社会保健或治疗，或管理卫生或社会保健系统和服务;
• 出于公共卫生领域公共利益的原因，处理是必要的, 例如防范对健康的严重跨界威胁，或确保卫生保健和医药产品或医疗装置的高质量和安全标准, 在欧盟或成员国法律的基础上，该法律规定了保护数据主体权利和自由的适当和具体的措施, in particular professional secrecy; L 119/38 EN Official Journal of the European Union 4.5.2016
• 出于公共利益的目的，处理是必要的, 基于欧盟或成员国法律的符合第89(1)条的科学或历史研究目的或统计目的，这些目的应与所追求的目标成比例, 尊重数据保护权利的本质，并提供适当和具体的措施来维护数据主体的基本权利和利益.

Individual Rights

本政策所涵盖的个人资料当事人将享有以下权利:

• 收集数据的控制器信息
• 资料保障主任的联络资料(如获指派)
• 收集/处理资料的目的及合法依据
• recipients of the personal data
• 如果科罗拉多大学打算将个人数据转移到另一个国家或国际组织
• 个人资料储存的期限
• 访问权的存在, 更正错误的数据或删除个人数据, restrict or object to processing, and the right to data portability
• 存在随时撤回同意的权利
• 向监管机构(在欧盟设立)提出投诉的权利
• 为什么需要提供个人资料，以及不提供资料可能造成的后果
• 自动化决策的存在，包括分析
• 如果收集的数据将被进一步处理，而不是用于收集数据的目的

注:行使这些权利是对过程的保证，而不是对结果的保证.

Scope: 

本政策适用于受EU GDPR保护的个人数据和敏感个人数据，以及所有收集或处理受EU GDPR保护的个人数据和敏感个人数据的科罗拉多大学单位.

Procedures

责任方及职责:

Colorado College Units
记录根据本政策收集或处理的个人资料或敏感个人资料的法律依据.

To cooperate with privacy@lunchpenny.com 当个人查询其个人数据或根据本政策收集或处理的敏感个人数据时.

立即通知(24/7)并与科罗拉多大学网络安全部门就任何数据泄露进行合作: privacy@lunchpenny.com

Privacy@lunchpenny.com
对在欧盟境内收集的个人数据或敏感个人数据进行查询(见第2节).4).

协调赌博正规的十大网站单位回应个人资料或敏感个人资料的查询，而从个人在欧盟收集.

Cyber Security
回答有关资料保安措施的问题及检讨资料保安措施.

为本院处理资料外泄通知.

Enforcement: 

违反该政策可能会导致系统丢失, network, and data access privileges, 行政处罚(包括终止或开除)，如学院的信息安全政策所述.

http://sfj.lunchpenny.com/basics/welcome/leadership/policies/information-security-policy

要报告疑似不遵守此政策的情况，请联系 privacy@lunchpenny.com

Definitions