这是本文档的当前版本。您可以向文档作者提供有关此文档的反馈-请参阅文档导航栏上的“状态和详细信息”。
第1节-目的
(1)QUT的职能要求收集、存储、使用和披露有关学生、员工、校友、捐赠者、合作伙伴和其他客户的个人信息。昆士兰理工学院致力于保护个人隐私,并承认个人有合理的期望,即大学将保护并妥善管理其持有的个人信息。
(2)QUT必须符合2009年信息隐私法(昆士兰),规定昆士兰公共机构公平收集和处理个人信息。QUT可能需要遵守其他管辖区适用于其活动的其他隐私法规,包括以下情况:
- QUT同意在与澳大利亚政府或其他APP实体联系时,根据另一项隐私法,例如澳大利亚隐私原则(APP),受合同约束管理个人信息,或
- 隐私或其他法律适用于所涉及的个人信息类型,例如税务文件编号信息;或
- QUT处理位于特定管辖区的个人的个人数据,该管辖区的法律适用于该个人的信息,例如欧盟通用数据保护条例(GDPR)。
页面顶部第2节-应用
(3)本政策适用于昆士兰理工大学个人信息的收集、使用、披露、存储、传输、处理、访问权和修改。
(4)它不适用于:
- 员工日常个人工作信息;
- 保存在公共登记簿上的个人信息;
- 以不可识别的方式记录的信息,不能与已知个人联系(或重新联系);
- 出版物中已有的个人信息或;和
- 其他公开可用的文件;或普遍可用的信息。
页面顶部第3节-角色和责任
|
职位 |
责任 |
|
现任校长 |
|
|
副校长(行政)和大学注册官 |
作为首席行政官,监督整个大学隐私管理的实施,批准隐私协议、指南和强制性培训安排。 |
|
合规、政策和记录经理(QUT治理) |
- 根据《知识产权法》对访问和修改申请作出初步决定;
- 培训员工的大学隐私义务;
- 就隐私问题提供建议;和
- 协调大学对隐私投诉和侵犯行为的调查和回应。
|
|
组织单位负责人 |
|
|
数据保管人 |
实施适当的安全措施,保护信息系统中个人信息的隐私。
确定必须符合隐私要求的用户访问级别。
实施适当的机制,在访问不再合适时,例如在职位或正式职责变更或终止雇佣关系的情况下,撤销对包含个人信息的系统的访问。
|
|
全体员工 |
进行必要的隐私培训。
|
页面顶部第4节-个人信息的收集和使用
收藏
(5)个人信息必须仅在必要且与QUT职能和活动相关的情况下以合理透明的方式收集。除非有具体和即时的用途,否则不应收集个人信息。直接从个人处收集信息时,必须提供适当的隐私声明。
(6)隐私收集通知必须包括以下信息:
- 收集信息的目的;
- 授权收款、法律标题或法院命令细节的任何法律或法院命令;和
- QUT通常向谁披露信息,如果知道,他们将向谁披露。
(7)如果隐私法不是2009年信息隐私法适用于收集的个人信息,隐私声明可能需要包括以下部分或全部信息:
- 处理个人信息的法律依据,以及处理的合法权益(如适用)(GDPR);
- 个人信息的保留期;
- 如果未收集全部或部分信息,对个人造成的主要后果;
- 在澳大利亚境外传输或存储信息的详细信息,以及在这种情况下如何保护隐私;
- 个人如何请求访问或修改其个人信息,或行使其合法权利;
- 大学或组织领域负责人、昆士兰科技大学隐私官员的联系方式以及本信息隐私政策的链接;
- 从第三方收集个人信息的,收集的个人信息的来源和类别;
- 任何相关的自动决策或分析的详细信息。
使用
(8)在使用个人信息之前,员工有责任采取合理措施确保信息准确、最新和完整。个人信息只能在相关的情况下使用,并且只能用于收集信息的目的或直接相关的目的。
(9)有关个人信息使用的进一步指导,请参阅隐私协议(仅限QUT员工访问)。
页面顶部第5节-个人信息的访问和安全
(10)访问和安全保障是保护个人隐私的重要方式。只有在工作需要的情况下才允许员工访问个人信息,并且只有在有工作相关原因的情况下,员工才能访问个人信息。必须保护个人信息,防止丢失、未经授权访问或修改、泄露或滥用。大学的信息安全政策提供了有关如何分类和保护个人信息的更多详细信息。
页面顶部第6节-禁止披露个人信息
(11)员工不得向校外个人或组织披露个人信息。披露是指将个人信息发布给另一个实体(例如,独立于大学的机构、机构或个人),一旦信息发布,昆士兰理工大学将不再对其进行有效控制。
(12)在某些有限的情况下,可以在不侵犯个人隐私的情况下披露个人信息。这些情况包括:
- 有适当的书面证据表明个人同意披露;
- 收集时发出的隐私通知告知个人披露的常规做法;
- 法律要求或授权披露的情况(例如,法院命令或传票、披露的立法义务);
- 为管理或减轻对某人的生命、健康、安全或福利或公共健康、安全和福利的严重威胁而必须披露的信息;和
- 为调查或执行刑事事项或其他执法事项而需要披露的信息。
(13) 隐私协议(仅限QUT员工访问),其中规定了在这些情况下披露个人信息的注意事项和程序,并且必须遵守。在其他情况下披露个人信息必须在隐私官确认披露是必要的且符合2009年信息隐私法.
页面顶部第7节-毕业生登记
(14)昆士兰理工大学,包括其前身院校,保持着毕业生的公共登记册。关于一个人的毕业生身份的信息是一个公共记录问题,可通过资格验证服务。通过这项服务确认的唯一细节是毕业生的姓名(如QUT系统中记录的)、授予或将授予的学位以及授予日期。QUT可能会为此服务收取费用。
页面顶部第8节-根据《2009年信息隐私法》访问和修改个人信息的请求
(15)The 2009年《信息隐私法》还提供访问和修改个人信息的权利信息。个人如何根据2009年信息隐私法可以在大学里找到信息访问策略网页根据信息隐私要求访问和修改您的个人信息.
页面顶部第9节-隐私投诉
(16)如果个人认为QUT没有按照2009年信息隐私法或本政策,他们可以隐私投诉到QUT。投诉必须以书面形式或通过电子邮件向隐私官员提出,如果大学的其他地区收到投诉,则应将投诉提交给隐私官员。
(17)调查和回应投诉的主要责任将由相关组织单位的负责人承担,并根据需要听取隐私专员的建议。大学回应隐私投诉的主要目标是调解投诉人可以接受的结果,并解决可能出现的任何更广泛或系统的隐私问题。
(18)如果投诉人不同意该大学的回应,则可以进行内部审查,或者投诉人可以将此事提交信息专员办公室进行独立调解。
页面顶部第10节-隐私违反管理
(19)相关组织单位负责人必须在发现任何违反本政策的行为后,尽快向隐私官报告。如果事件涉及违反信息安全,隐私专员将与经理联络,信息安全协助回应和报告投诉。
(20)隐私泄露管理包括以下步骤:
- 遏制违约行为;
- 评估相关风险;
- 考虑通知受影响的个人;和
- 防止进一步侵犯隐私。
(21)对于严重违反本政策或相关协议的行为以及任何调查引起的任何行动,必须通知副校长(行政)和大学注册官。
(22)涉及员工滥用或不当访问个人信息的违规行为可能违反员工行为准则并按照纪律或不符合要求的绩效流程进行管理。
页面顶部第11节-隐私义务的履行
(23)保护个人信息必须作为许多大学活动的一部分加以解决。这些活动包括:
- 确保与第三方的商业合同具有适当的保护个人信息的保障措施,符合QUT的政策合同和法律文书管理政策;
- 在澳大利亚境外传输个人信息时,满足《信息隐私法》(IP Act)的要求;和
- 确保不发布唯一标识符或使其普遍可用。
页面顶部第12节-隐私影响评估
(24) 隐私影响评估(PIA)(仅限QUT员工访问)协助项目经理、数据保管人和组织领域负责人适当考虑和管理隐私。在收集、使用或披露个人信息的项目或新业务流程的开发和实施过程中,或在对现有系统或流程进行重大更改时,应进行PIA。
页面顶部第13节-定义
| 期限 |
定义 |
| 澳大利亚隐私原则 |
是指1988年隐私法(联邦)管理个人信息的收集、质量、使用、披露、管理和转让。 |
| 通用数据保护条例(GDPR) |
指管理欧盟(EU)个人个人信息收集和处理的法律框架。 |
| 信息隐私原则 |
是指2009年信息隐私法管理大学等组织对个人信息的收集、使用、披露、管理和传输。 |
| 个人数据 |
含义见GDPR第4条。 |
| 个人信息 |
由定义信息隐私政策作为信息或意见,包括构成数据库一部分的信息或意见。个人信息包括用户名、密码和唯一标识符,如员工和学生编号。它可以以任何格式记录,包括硬拷贝文件、电子文件、数据库、管理系统、照片和其他图像,以及工作人员/学生身份证。 |
| 隐私泄露 |
如果未能遵守信息隐私政策或2009年信息隐私法11隐私原则。通常,这将导致未经授权披露或未经授权访问个人信息。 |
| 隐私投诉 |
是否针对违反本政策或2009年信息隐私法. |
| 唯一标识符 |
包括学生和员工编号在内的唯一标识符被用作记录大量个人信息的基础。其他唯一标识符包括工资单编号、税务文件编号、信用卡编号和银行账户详细信息。 |
| 常规就业信息 |
员工的日常就业信息是指与员工在大学就业的个人方面无关的任何信息。这包括工作人员的职位名称、QUT电子邮件地址、工作电话号码或QUT网站上公开的任何信息。 |
页面顶部第14节-授权
(25)请参阅权力和授权登记册(VC004、VC005)(仅限QUT员工访问)。