1.范围
上实现 | 2018年5月 |
上次检讨 | 2022年4月 |
下一次检讨将于 | 2023年4月 |
政策的主人 | 罗斯年轻 |
保单持有人(部门) | 数据治理立法和政策 |
主要接触点 | DPO@Statistics.gov.uk |
英国统计局及其执行办公室国家统计局(ONS)处理大量的个人数据。这些数据主要用于编制国家和官方统计数字和统计研究。我们所有的员工都可能以某种方式接触到它。
我们的数据来源多种多样。这些包括强制性和强制性调查、公共和私营部门的行政来源、我们代表其他机构持有的信息,以及我们持有的关于我们自己的员工和利益相关者的数据。
我们都有责任确保我们所持有的个人资料得到尊重,始终保持安全和保密,并遵守资料保护法例。
这项政策适用于所有代表英国统计局及其执行办公室国家统计局(ONS)工作的员工、承包商和其他人员。本政策适用于英国统计局涉及使用个人数据的所有职能和活动。
回到目录2.背景
在英国,数据保护立法是由《英国一般数据保护条例》(英国GDPR)和《2018年数据保护法》结合起来制定的。这两项立法共同决定了英国统计局(UK Statistics Authority)等机构如何以及何时处理个人数据。
回到目录3.政策声明
英国统计局认真对待数据保护,并在涉及个人数据处理的所有业务互动中遵守英国GDPR原则。英国GDPR原则规定,个人数据应:
1.以合法、公平和透明的方式处理。
个人数据的所有处理应符合英国和欧盟法律,并且仅在以下情况之一适用的情况下进行:
数据主体已表示同意
处理是合同履行所必需的
处理是履行法律义务所必需的
该处理对于保护数据主体的重大利益是必要的
无论是为了公共利益而执行的任务,还是为了行使数据控制者的官方权力,处理都是必要的
2.为特定的、明确的和合法的目的而收集,并且不会以与这些目的不兼容的方式进一步处理。
3.适当的,相关的,仅限于与处理它们的目的有关的必要内容。
4.准确,并在必要时保持最新。
5.以一种允许识别的形式保存,其时间不超过处理数据的目的所必需的时间。
6.以确保个人资料适当安全的方式处理。
回到目录4.政策细节
实践
数据保护的设计和默认
英国统计局应确保数据保护的原则和实践被纳入所有处理活动,并确保个人的权利和自由在任何时候都得到应有的考虑。
数据最小化
个人数据仅在实现组织目标所必需的情况下进行处理。只需要最少数量的个人资料,以达到目标应使用。个人资料应尽早按照最佳做法去识别或匿名化。
数据保留
个人数据仅在能够继续使或协助英国统计管理局履行其职能的期限内被保留。个人资料须按最佳做法妥善处置。
数据安全
英国统计局应实施技术和组织措施,以确保与正在处理的个人数据相适应的安全级别。已实施的措施应定期进行审查。
个人资料泄露
由数据保护官确定的对个人权利和自由构成风险的所有违规行为,应尽早报告给信息专员。在任何情况下,应不迟于发现后72小时报告。如果数据泄露对个人构成高风险,英国统计局将通知所有相关数据主体。
数据保护影响评估
当引入一种可能对个人权利和自由造成高风险的新处理活动时,英国统计局业务领域将进行影响评估。这将识别和减轻这些风险,并在必要时寻求数据保护官的指导。
透明度
英国统计局将在数据收集时向数据主体提供构成公平处理所需的所有信息。如果数据是从行政来源收集的,则该信息将在一个月内提供给数据主体,除非这样做会造成不成比例的工作量。此外,在可能的情况下,这些信息还将在英国国家统计局的网站上公布。
加工记录
英国统计当局应保存其所进行的所有处理活动的最新记录。
数据主体权利
英国统计局应在一个月内回应数据主体就其在数据保护立法下所拥有的权利提出的所有请求。
同意
如果英国统计当局依赖同意作为处理的合法基础,该同意应被充分告知,自由给予,并像给予一样容易撤回。
数据处理器
英国统计局只能使用能够在个人数据安全和数据保护法规遵从方面提供足够保证的数据处理者。
培训
所有处理个人数据的员工都将接受适当和定期的数据保护培训。
资料保障主任(DPO)
英国统计局将提名一名经过适当培训和经验丰富的数据保护官员,就与数据保护有关的所有事项提供建议和指导。DPO将参与所有与个人数据相关的决策,直接向国家统计师报告,并且没有其他可能导致利益冲突的职责。
资讯专员
英国统计局将根据信息专员的要求,在履行其任务时提供支持和协助。
合规
所有代表英国统计局及其执行办公室(ONS)工作的员工、承包商和其他人员都必须遵守这项政策。数据保护主任将监督该政策的遵守情况。如不遵守,可能会根据组织的纪律政策采取纪律处分。员工如就本政策的实施提出投诉,应参阅本机构的《投诉政策》。
回到目录5.角色及职责
国家统计员/统计委员会
国家统计师和统计委员会负责组织遵守数据保护立法,并最终对议会负责。
资料保障主任(DPO)
DPO将监督合规情况,并就与数据保护有关的所有事项向组织提供建议和指导。DPO向国家统计师报告。
数据保护合规和审计(DPCA)
数据治理立法和政策部门的DPCA团队向DPO报告,并监督和审计组织对数据保护的合规性。该小组还将为组织提供建议和指导。
法律服务
中央政策秘书处司内的法律服务小组向数据保护干事提供支持,并向国家统计师负责
总保安主任(CSO)
CSO及其在安全和信息管理(SaIM)中的团队
本科确保使用个人资料的组织服务符合规定,并向国家统计师负责。
部门档案主任
保安及资讯管理科的部门记录主任负责管理记录、储存文件,并就个人资料的保存提供意见。他们向首席安全官负责。
回到目录6.合规
所有代表英国统计局(UKSA)及其执行办公室国家统计局(ONS)的工作人员、承包商和其他人员都必须遵守这一政策。数据保护主任将监督该政策的遵守情况。
如不遵守,可能会根据组织的纪律政策采取纪律处分。员工如就本政策的实施提出投诉,应参阅本机构的《投诉政策》。
回到目录7.定义
保护资料法例
这意味着集体;英国《通用数据保护条例》和《2018年数据保护法》。
个人资料
这是指与已识别或可识别的自然人有关的任何信息。
数据对象
这是指个人资料所适用的自然人。
处理
这是指对个人数据执行的任何操作,包括存储。
数据控制器
这是指确定个人数据处理目的和方式的自然人、公共当局或其他机构。
数据处理器
这是指代表数据控制者处理个人数据的自然人、公共机构或其他机构。
个人资料泄露
这是指违反保安,导致意外或非法破坏、遗失、更改、未经授权披露或查阅个人资料。
回到目录