数据隐私


I. BACKGROUND

共和国没有行动. 10173, 也被称为2012年数据隐私法案(DPA), 旨在保护政府和私营部门的信息和通信系统中的个人数据. DPA成立了国家隐私委员会(NPC),负责监督其执行情况. 它涵盖了个人信息的处理和个人敏感信息的设置, 作为它的基本前提, 在获准处理个人资料前,资料当事人给予直接同意.

该法律要求所有处理个人数据的政府和私人实体或组织制定政策, 并实施措施及程序,以确保及保障在其控制或保管下的个人资料的安全和保障, 从而维护个人的资料私隐权利. 除了, 他们须采取合理及适当的措施,保障个人资料免受自然危险,例如意外遗失或毁坏, 还有人的危险,比如非法进入, 欺诈滥用, 非法破坏, 改变和污染.

将上述措施通知其员工及资料当事人, 所有机构都应该制作一份隐私手册. 本手册作为确保组织或实体遵守DPA的指南或手册, 其实施细则和条例(IRR), 国家隐私保护委员会的其他有关通知. 它还封装了在特定情况下需要在组织内遵守和执行的隐私和数据保护协议(e.g., 从收集到销毁), 旨在实现和实现数据主体的权利.

II. 介绍

沙巴体育APP, 在其承诺坚持, 尊重和珍视数据隐私权,根据DPA的规定,特此采用本数据隐私权手册, 其实施细则和条例, 及其他相关政策, 包括全国人民代表大会的公告.

学校保证通过本手册收集所有工作人员的个人资料, 人员, 高等教育机构, 学生和其他数据主体的处理应遵循透明度的一般原则, 合法的目的, 和比例. 指导大学及其数据主体行使其在DPA下的权利, 手册应包括数据保护和安全措施.

3. 条款的定义

就本手册而言,下列术语的定义如下:
  1. 资料当事人的同意-指任何自愿作出的同意, 具体的, 知情表示遗嘱, 据此,资料当事人同意收集及处理关于他或她的及/或与他或她有关的个人资料. 同意应以书面、电子或记录方式证明. 也可由资料当事人特别授权的代理人代表资料当事人,或由未成年人或18岁以下儿童的父母或合法监护人提供.

  2. 资料当事人-指其个人, 沙巴体育APP处理敏感的个人或特权信息. 它可以指大学的官员和雇员以及教员, 沙巴体育APP的师生们.

  3. 高等教育机构(HEIS) -指教育机构, 私人或公共, 与有组织的在高等教育中攻读特定课程的学生一起开展高等教育项目, 接受老师的指导, 通常位于建筑物或一组建筑物中,在一个特定的地方,专门用于教育目的.

  4. 信息与通信系统是指用于生成的系统, 发送, 接收, 储存或以其他方式处理电子数据电文或电子文件,并包括用以记录数据的计算机系统或其他类似装置, 传送或存储和任何与记录有关的过程, 传输, 电子数据的储存, 电子信息或电子文件.

  5. 个人信息是指姓名等但不限于姓名的个人信息, address, 电子邮件地址和手机号码,无论是否记录在材料表格中, 一个人的身份是显而易见的,或者可以由持有信息的实体合理和直接地确定, 或者当与其他信息结合在一起时,可以直接确定一个人的身份.

  6. 个人信息控制人是指自然人或法人, 或者任何控制这个过程的人, 的个人资料, 或者指示他人代表他处理个人数据.

  7. 个人信息处理器是指个人信息控制人可以外包或指示处理与数据主体有关的个人数据的任何自然人或任何其他机构.

  8. “处理”指对个人信息进行的任何操作或任何操作集,包括, 但不限于收藏, 记录, 组织, 存储, 更新或修改, 检索, 咨询, 使用, 整合, 阻塞, 删除或销毁数据.

  9. 个人敏感信息是指个人信息:
    1. 关于个人的种族, 民族起源 , 婚姻状况, 年龄, color, 和宗教, 哲学或政治立场;
    2. 关于个人的健康教育, 一个人的基因或性生活, 或因该个人犯下或据称犯下的任何罪行而提起的任何诉讼, 诉讼程序的处理, 或任何法庭在该等法律程序中的判决;
    3. 由政府机构发给个人的,包括, 但不限于, 社会安全号码, 以前或当前的健康记录, 许可或拒绝, 暂停或撤销, and tax returns; and
    4. 特别地由行政命令或国会法案确定并保密的.

IV. 范围和限制

本隐私手册适用于所有类型的个人信息的处理,适用于任何涉及个人信息处理的自然人和法人,包括个人信息控制人和处理人, 虽然没有在菲律宾发现或建立, 使用位于菲律宾的设备, 或者那些维持办公室的人, 在菲律宾的分公司或代理机构. 本手册不适用于以下情况:

  1. 任何个人的信息,谁是或曾是一个政府机构的官员或雇员,与个人的职位或职能有关, 包括:
    1. 该名人士是或曾是政府机构的官员或雇员;
    2. 个人的职务、营业地址和办公电话;
    3. The classification, salary range and responsibilities of the position held by the individual; and
    4. 如果个人在政府工作,则个人在工作过程中准备的文件上的姓名;
  2. 根据政府机构的合同提供服务的个人信息,该服务与所提供的服务有关, 包括合同条款, 以及在履行职责过程中所提供的个人姓名;

  3. 与财务性质的任意利益有关的资料,例如政府给予个人的许可证或许可证, 包括个人的姓名和利益的确切性质;

  4. 为新闻、艺术、文学或研究目的处理的个人信息;

  5. 为执行公共权力机构的职能所必需的资料,其中包括为独立机构履行职责而处理个人资料, 行使其宪法和法定职能的中央货币当局、执法和管理机构. 本法案中的任何内容均不应被解释为修改或废除了第一号共和国法案. 1405, otherwise known as the Secrecy of Bank Deposit Act; and 共和国没有行动. 6426, otherwise known as the foreign Currency Deposit Act; and Republic Act no, 9510, 也被称为《沙巴体育APP》(CISA);

  6. 为银行和其他独立管辖的金融机构提供必要的信息, 菲律宾中央货币当局或菲律宾中央银行必须遵守第一号共和国法令. 9510号和共和国法案. 9160, as amended other known as the Anti­ Money Laundering Act and other applicable laws; and

  7. 根据外国管辖地的法律最初从外国管辖地居民那里收集的个人信息, 包括任何适用的数据隐私法律, 正在菲律宾进行处理.

V. 治外法权的应用程序

本手册适用于一个实体在菲律宾境内和境外的行为,前提是:
  1. 该法案, 实践或处理涉及菲律宾公民或居民的个人信息;

  2. 该实体与菲律宾有联系, 并且该实体是在菲律宾处理个人信息,或者即使是在菲律宾境外处理,只要是关于菲律宾公民或居民的信息,例如, 但不限于, 以下几点:
    1. 在菲律宾签订合同:
    2. 非菲律宾法人,但在菲律宾有中央管理和控制:和
    3. 具有分支的实体, 机构, office or subsidiary in the Philippines and the parent or affiliate of the Philippine entity has access to personal information; and
  3. 该实体在菲律宾有其他联系,如但不限于:
    1. 该实体在菲律宾开展业务:和
    2. 个人信息是由菲律宾的实体收集或持有的.

VI. 个人信息处理

  1. 一般资料私隐原则. -允许处理个人信息, 在遵守本法和其他允许向公众披露信息的法律要求并遵守透明度原则的前提下, 合法的目的和相称性.

    个人信息必须:
    1. 为指定及合法用途而收集,并在此之前已确定及声明, 或在收取款项后在合理可行范围内尽快收取, 然后以一种与此类声明兼容的方式进行处理, 目的明确合法,合法;
    2. 经过公平合法的处理
    3. 准确的, 相关和, 在必要的情况下,为其使用的目的处理个人信息, kept up to date; inaccurate or 不完整的 data must be rectified, 补充, 销毁或限制其进一步处理;
    4. 就收集和处理这些资料的目的而言,适当而不过分;
    5. 仅在为实现获取数据的目的或为建立所需要的时间内予以保留, 对法律要求的行使或辩护, 或者为了合法的商业目的, or as provided by law; and
    6. 以容许识别资料当事人的格式保存,保存时间不得长于收集及处理该等资料的目的所需要的时间, 出于其他目的收集的个人信息可能会被处理为历史信息, 统计或科学用途, 在法律规定的情况下,可储存较长时间, 进一步, 充分的保障措施是由上述法律授权他们的处理.

    个人信息控方必须确保本协议所述个人信息处理原则的实施.

  2. 合法处理个人信息的标准. -只有在法律不禁止的情况下,才允许处理个人信息, 且至少存在下列条件之一:

    1. 资料当事人已表示同意;
    2. 处理个人资料是必要的,且与履行与资料当事人订立的合同有关,或在资料当事人订立合同之前,处理个人资料是为了应要求采取步骤;
    3. 该处理是为了遵守个人信息控制人所受的法律义务所必需的;
    4. 数据处理对于保护数据主体的重要利益是必要的, 包括生命和健康;
    5. 为了应对国家紧急情况,必须进行处理, 遵守公共秩序和安全的要求, or to fulfill functions of public authority which necessary includes the processing 的个人资料 for the fulfillment of its mandate; or
    6. 为了个人信息控制人或向其披露数据的第三方所追求的合法利益,处理是必要的, 除非这些利益被需要根据菲律宾宪法保护的数据主体的基本权利和自由所压倒.

  3. 敏感个人信息和特权信息. -禁止处理敏感的个人信息和特权信息, 除下列情况外:

    1. 资料当事人已表示同意, 特定于加工前的目的, 或者在保密信息的情况下, 交易所各方在处理交易前已表示同意;
    2. 其处理由现行法律法规规定, 此类监管法规保证敏感个人信息和特权信息的保护:提供, 进一步, 允许处理敏感个人信息或特权信息的法律或法规并不要求数据主体同意;
    3. 为了保护数据主体或其他人的生命和健康,必须进行处理, 在处理之前,数据主体在法律上或身体上无法表达他或她的同意;
    4. 这一过程对于实现公共组织及其协会的合法和非商业性目标是必要的, 此类处理仅局限于并与这些组织或其协会的真诚成员有关, 进一步, 个人敏感信息不转移给第三方:最后提供, 在处理数据之前已获得资料当事人的同意;
    5. 为医疗目的而必须进行的处理, 是由医生或医疗机构进行的吗, and an adequate level of protection of personal information is ensured; or
    6. 个人信息的处理涉及法庭诉讼中保护自然人、法人合法权益所必需的个人信息, 或建立, 对法律要求的行使或辩护, 或者提供给公共权力的政府.

  4. 集合

    个人资料及敏感个人资料的收集均以合法的方式及合法的目的进行,对大学的愿景及使命的实现有直接关系及必要.

    通过数据主体填写官方表格,公开、直接获取数据主体的个人信息,没有任何隐藏动机. 这些表格在向客户提供服务时是必不可少的,例如奖学金和研究补助金, 申请认证, 身份验证和验证, 等.

    类似的, 学校官员及员工(包括项目及/或机构员工)个人资料, 空缺职位及认可技术小组成员的申请人, 咨询师和其他人通过必要的个人资料表(PDS)和完成培训和其他发展干预中必不可少的表格获得.

  5. 使用

    学校收集应使用个人数据的唯一目的是收集和报告和文件的目的. 在这一切的事, 未被视为资料的个人,须以统计表格形式显示. 委员会须确保不会有人操纵个人资料,而该等资料亦不得用于对付任何个人.

  6. 储存、保留和销毁

    沙巴体育APP应确保其保管的个人资料受到保护,不受任何意外或非法破坏, 争吵和披露以及任何其他非法处理. 在存储所收集的个人信息时,应当采取相应的安全措施, 这取决于信息的性质. 收集的个人信息的保留期如下:

    沙巴体育APP官员和雇员——10年
    前沙巴体育APP官员及雇员-受CSC备忘录编号. 8、2007系列
    技术小组成员和顾问- 10年
    职位空缺申请人-一年
    数据对象(奖学金和研究资助人,Sos的申请者,CAVs) - 10年

    说段时间后, 所有个人信息的硬拷贝和软拷贝将被处理和销毁, 通过担保方式.

  7. 访问

    有关教育署官员及雇员及职位空缺申请人的个人资料,须限于教育署署长或委员会, 行政、财务和管理司司长, 人力资源和发展司司长, 它的区域对应方和其他授权员工. 任何人在任何时候都不允许接触其他员工的个人档案. 有关资料当事人的个人资料, 只有数据主体, DPO及大学授权代表应获准查阅该等个人资料, 为任何目的, 违反法律的除外, 公共政策, 公共秩序或道德.

  8. 信息披露和分享

    学校的所有员工和人员应对其所了解和拥有的所有个人资料保密, 即使辞职, 合同终止, 或者其他合同关系. 由大学保管的个人资料只会在合法目的下披露, 以及这些数据的授权接受者.

  9. 个人信息的转包个人信息控制人可以转包个人信息的处理, 个人信息控制人应负责确保适当的保障措施到位,以确保所处理的个人信息的机密性, 防止未经授权使用, 和一般, 遵守本法和其他法律对个人信息处理的要求. 个人信息处理人应遵守本法及其他适用法律之规定.

7. 资料当事人的权利-本资料当事人应享有第16条规定的权利, 第10173号法令第17和18条

8. 安全措施

学校应实施合理、适当的物理措施, 技术, 以及保护个人数据的组织措施. 这些安全措施旨在保持可用性, 个人资料的完整性和保密性,并保护它们免受意外损失或破坏等自然危险, 还有人的危险,比如非法进入, 欺诈滥用, 非法破坏, 改变和污染.

  1. 组织的安全措施
    1. 数据保护官员
      OPKRM的董事须为指定的数据保护官(DPO)
      区域办事处主任应任命首席行政官为私隐合规官(COP)
    2. DPO/COP功能
      1. 监控个人信息控制器(PIC)或个人信息处理器(PIP)是否符合DPA, 它的IRR, 发行人大, 其他适用的法律和政策. 因此,他/她可能:
        • 收集信息以识别处理操作, 活动, 措施, 项目, 项目, PIC或PIP的系统, 并记录下来;
        • 分析和检查加工活动的符合性, 包括向第三方服务提供商颁发安全许可和遵守规定;
        • 向PIC或PIP提供信息、建议和建议;
        • Ascertain renewal of accreditations or certifications necessary to maintain the required standards in personal data processing; and
        • 就与第三方签署数据共享协议的必要性向PIP或PIC提供咨询, 并确保其符合法律规定;
        • 增加关于个人信息责任的规定
      2. 确保进行与活动相关的隐私影响评估, 措施, 项目, 项目, PIC或PIP的系统;
      3. 就投诉和/或数据主体行使其权利向PIC或PIP提供咨询(e.g.,要求提供资料、澄清、更正或删除个人资料);
      4. 确保全国人大在规定的时间内对涉及安全事件或数据泄露的报告和其他文件进行妥善的数据泄露和安全事件管理;
      5. 告知并培养组织内部的隐私和数据保护意识, 包括所有相关法律, 全国人民代表大会的规章和公告;
      6. 倡导发展, 检讨和/或修订政策, 的指导方针, PIC或PIP与隐私和数据保护有关的项目和/或程序, 采用隐私设计方法;
      7. 作为PIC或PIP对数据主体的合同人, 全国人民代表大会和其他有关部门就所有涉及数据隐私或安全问题或关切以及PIC或PIP的事项;
      8. 合作, coordinate and seek advice of the NPC regarding matters concerning data privacy and security; and
      9. 执行PIC或PIP可能分配的其他职责和任务,以促进数据隐私和安全的利益,并维护数据主体的权利.
      除第(1)至第(3)项外,缔约方会议应履行DPO的所有其他职能. 在适当的地方, 他或她还应协助监督该部履行其职能.
    3. 开展培训,记录和记录由DPO或委员会开展的活动. 大学每年至少主办一次关于数据隐私和安全的强制性培训. 直接参与处理个人资料的人员, 如有必要,应确保他们经常参加相关的培训和培训.
    4. 进行私隐影响评估
      大学应对所有活动进行隐私影响评估(PIA), 涉及个人数据处理的项目和系统.
    5. 保密义务
      所有员工应被要求签署保密协议. 在严格保密的情况下,所有能接触到个人资料但不打算公开的雇员.
    6. 检讨私隐手册
      本手册应每年进行审查和评估. 大学内部的隐私和安全政策和实践应更新,以保持与数据隐私最佳实践的一致性.

  2. 物理安全措施
    1. 格式的数据
      由大学保管的个人资料可采用数码/电子格式及纸张/实物格式.
    2. 存储类型和位置
      沙巴体育APP官员和员工的所有个人数据,包括项目和机构员工的纸质文件,应存储在档案办公室的一个上锁的文件柜中,该档案柜位于弗洛雷斯大厅大楼的2”层.
      记录客户个人信息的文件或文件应上锁存放在档案室档案柜内.
      数字/电子文件应储存在有密码保护的计算机中,只有获得授权的人员才能访问.
    3. 机构人员的准入程序
      只有DPO或COP, 行政、财务和管理司司长, 人力资源和发展司司长, 其区域对应方和其他授权雇员应有权访问沙巴体育APP现任和前任官员、工作人员和空缺职位申请人的存储的个人信息. 为了这个目的, 档案柜及人事档案室钥匙副本各一份.
      希望查看个人档案(201档案)中的文件的官员/雇员应填写一份申请表格,由DPO或COP批准. 中央办事处人力资源和发展司司长和(区域办事处)首席行政干事应保管所要求的文件, 是否复印了相同的文件, 把这个/这些交给有关的官员/雇员.
      防止不恰当地泄露机密信息, 某些记录,包括包含不止一个人的机密信息的记录和医疗记录不得被访问.
      主管及部门负责人, 除前款明确规定的以外, 可能在需要知道的基础上获得个人档案信息.
      无人认领的201份前沙巴体育APP员工的档案以及他们的服务记录, 根据CSC备忘录通告第号保存于办事处的清拆财产及金钱帐目副本及转递地址及电话号码. 8, s. 2007年与现有员工的201文件同等对待.
      至于已储存的个人资料当事人/客户, 只有______的董事和_的负责人有权使用该文件.
      任何时候,经授权的官员/人员在访问沙巴体育APP人员的个人文件时,都不应携带任何形式的电子设备或存储设备, 申请人和客户.
    4. 监控和访问限制
      所有访问储存的个人资料的获授权人员必须在日志中填写和登记访问详情. 它们应说明每次访问的日期、时间、持续时间和目的.
    5. 办公空间/工作站的设计
      计算机被放置在员工的工作站上,这样就没有计算机与其他计算机并排放置. 这是为了确保个人资料的处理受到保障.
    6. 维护机密性
      参与处理的人员应始终保持个人资料的机密性和完整性.
    7. 在沙巴体育APP内或向其他方转移个人资料的方式.
      通过电子邮件传输个人数据应使用加密的安全电子邮件设施, 包括任何或所有附件. 传真技术不得用于传送包含个人资料的文件.
    8. 保留及处置程序
      沙巴体育APP应按照项目存储中确定的时间表保管个人数据, 保存和销毁在本手册的数据处理. 期满后, 个人数据的所有实体和电子副本均应使用安全技术予以销毁和处理.

  3. 技术安全措施
    1. 监察违反保安的情况
      公安机关应当自行采购和安装防病毒软件, 按年度计算, 对经常访问Internet的设备(桌面), 移动PC, 苹果和安卓设备).
      IT管理员应定期阅读防火墙日志,以监控安全漏洞,并在任何未经授权的尝试访问沙巴体育APP网络时向沙巴体育APP官员发出警报.
    2. 所使用的软件和应用的安全特性

      规划办公室, 研究与知识管理(OPKRM)在将软件应用部署到沙巴体育APP官员的计算机和设备之前,应首先进行审查和评估,以确保安全特性与数据隐私政策的兼容性.

      在现有软件应用程序上, 涉及处理沙巴体育APP雇员的个人资料, 应遵守以下规定:

      • 最终用户, 在OPKRM的技术援助下, 对系统的安全协议进行存储方面的评估和评估, 备份和数据恢复. 如果该协议违反了2012年数据隐私法案中规定的数据隐私原则, 应该采取补救措施来纠正这些缺陷.

      • 的OPKRM, 在资讯科技学期的维护活动期间, 须检查安装在所有资讯科技硬件及设备上的软件应用程序是否符合委员会的资料私隐政策. 如果发现某个软件/应用程序存在安全风险,则可能会干扰或中断沙巴体育APP网络的正常运行, IT技术人员应将风险通知最终用户,并立即卸载该软件/应用程序. 此后,IT人员应准备一份事件报告.

    3. 定期测试、评估和评估安全措施有效性的过程

      OPKRM的单位应定期从沙巴体育APP房舍外部和内部对防火墙设备进行渗透测试,以便对其进行脆弱性评估.

IX. 违反及保安事件

  1. 成立数据泄露应急小组

    由DPO组成的数据泄露响应小组, OPKRM主任, OPKRM的首席行政官和管理信息系统人员, 在执行主任的直接监督下,负责确保在发生保安事故或个人资料遭泄露时立即采取行动. 小组应对事件或违约行为进行初步评估,以确定其性质和程度. 还应采取措施减轻事故或违约的不利影响.

  2. 防止和减少违反和安全事件的发生的措施

    数据泄露响应团队应定期进行隐私影响评估,以识别处理系统中的风险,并监测计算机网络的安全漏洞和漏洞扫描. 直接参与处理个人资料的人员应参加能力建设的培训和研讨会. 应对沙巴体育APP内正在实施的政策和程序进行定期审查.

  3. 恢复和恢复个人资料的程序

    沙巴体育APP应始终为其保管的所有个人资料保留一份备份档案. 如果发生安全事故或数据泄露, 它应始终将备份文件与受影响的文件进行比较,以确定是否存在因事件或违约而导致的任何不一致或变更.

  4. 通知协议

    数据泄露应对小组负责人应在其知情的72小时内,将需要通知国家隐私保护委员会及受事件或信息泄露影响的数据主体的情况通知执行主任.

  5. 安全事故或个人资料泄露的文件和报告程序

    数据违约响应团队应就所遇到的每一起事件或违约事件准备一份详细的文档, 以及年度报告, 在规定期限内提交执行主任和全国人大. 报告应包括下列内容:

    1. 对违约性质的说明;
    2. 可能涉及的个人资料;
    3. Measures undertaken by the team to address the breach and reduce the harm or its negative consequences; and
    4. 个人信息控制器的名称, 包括沙巴体育APP, 数据主体可从其获取有关违约的额外信息以及向受影响的数据主体提供的任何协助
  6. 数据共享

    沙巴体育APP可以通过数据共享协议将其控制或保管的个人数据共享或转移给第三方, 本手册的任何内容均不应被解释为禁止或限制共享或转让法律已授权或要求的任何个人数据. 此规定仅适用于在沙巴体育APP控制或保管下与第三方共享或转移给第三方的个人数据, 为了履行公共职能, 或提供公共服务:

    提供, that it shall also cover personal data under the control or custody of a private entity or of another 机构 that is being shared with or transferred to the 沙巴体育APP; 提供 进一步, 个人数据由个人信息处理器保管, 只有在相关的个人信息控制人指示下,才允许共享或转移个人数据. 数据共享协议应符合《沙巴体育APP》, 或国家隐私委员会的其他公告.

数据主体的权利、查询和投诉

每一位资料当事人均有权:
  1. 当该等数据无法用于直接销售时,在进入处理系统前48小时内被通知并提供他或她的信息, 分析, 或历史或科学目的. 通知应通过办公室备忘录及/或电子邮件发出.

  2. 查看他或她正在处理的数据并建议更正. 数据主体也可以在沙巴体育APP写信或发邮件给沙巴体育APP.简要讨论询问和/或更正,以及他/她的沙巴体育APP,以供参考.

  3. 如因数据主体提出的更正其数据的建议不准确而导致损害,则投诉并获得赔偿, 不完整的, 过时和虚假的信息, 非法获得或未经授权使用个人资料. 投诉一式三份,或寄至___________. 有关部门或部门应与信访人确认已收到投诉.

违反本CMO的任何规定,应根据RA 7722第8条采取适当的行动

功效

本手册在官方公报或普通发行报纸刊登十五(15)天后生效.