网络隐私政策

2019年4月
校园这政策
  1. 概述

  2. 目的

  3. 范围

  4. 需要链接

  5. 何谓“个人资料”或“个人资料”?

  6. 大学如何收集和处理个人资料?

  7. 饼干

  8. UT网站上的第三方内容

  9. 处理个人资料的理由及大学如何使用个人资料

  10. 谷歌分析

  11. 机密信息的安全性和准确性

  12. 计划应对数据泄露

  13. 电子商务

  14. 开放记录、请求和其他信息共享

  15. 公众论坛

  16. 在线调查

  17. 谁来处理我的个人信息?

  18. 哪些个人信息将被处理?

  19. 我有什么权利与我的个人信息有关?

  20. 我的信息保存多久?

  21. 我可以联系谁寻求帮助或投诉?

  22. 本网页是否有更改?

  23. 附加信息:重新IT使用和安全

 

1. 概述

这份文件阐明了 数据隐私标准 bat365奥斯丁分校(University of 德州 at 奥斯丁,简称“大学”)的教授,并提供有关这些藏品的信息, 保存及使用由大学提供或以其他方式收集或处理的个人资料或资料.

2. 目的

这项政策的目的,是订立一套全校普遍适用的资料私隐标准,并向有兴趣的人士提供有关大学所收集的资料, 维护和使用个人信息或数据,不论该等信息是基于何种合法基础或出于何种合法目的而获得的.  服从州和联邦法律, 大学希望本政策符合欧盟(“欧盟”)一般数据保护条例(“GDPR”)。. 

3. 范围

资料私隐标准适用于大学网站内的所有域名,以及任何其他有关收集的大学行为或过程, 处理, 对个人信息的分析和其他数据处理,而不管该等信息是如何由大学拥有和/或控制的.

大学, 通过它的学术, 研究和管理单位和项目, 拥有, 控制, 运营和/或维护多个域名下的网站, “网络大学”). 而这个政策在整个校园都适用, 一些大学网站可能有额外的隐私政策和做法,也必须遵守.  任何此类“本地”政策在实施前,大学的数据保护主任必须与首席信息官协商批准. 

大学网站可能包含与大学无法控制的第三方外部网站的链接.  对于外部网站的私隐行为或内容,大学概不负责,无论该等网站是否已在大学网页上显示.

为了政策的目的,”处理”是指获得, 记录或保存信息或数据,或对信息或数据执行任何操作或一组操作, 包括,组织, 对信息或数据的修改或改变, 检索, 对信息或数据的咨询或使用, 通过传输披露信息或数据, 传播或以其他方式提供, 或校准, 结合, 阻塞, 删除或销毁信息或数据.  A “数据对象是一个短语,指与个人资料有关的人.

每个大学Web应用程序或网站都应包含本隐私政策的链接.

5. 何谓“个人资料”或“个人资料”?

个人信息的 or ‘个人数据” 指任何与个人有关或可识别个人身份的信息.

6. 大学如何收集和处理个人资料?

当一个人填写并提交在大学就读或工作的申请时,大学就会获得个人信息,以及他在提交申请之前或之后提交给大学的任何额外信息.  当人们从大学申请EID、寻求经济援助、访问大学网站的某些部分、使用大学医疗服务或类似的学生或员工服务时,也可以提供大学的个人信息. 

除了申请程序或个人要求的大学服务, 当任何人寻求与大学交流或做生意,或参与大学提供的研究或其他活动时,大学也可能获取个人信息.  正如本政策其他部分所讨论的, 一些大学网站(以及第三方网站)使用“cookies”来收集网络用户的信息.  大学网站服务器("网站服务器")也可以通过生成可能包含以下信息的临时日志来"收集"有关人员的信息:

  • 正在使用的计算机的互联网地址(IP地址)
  • Web页面请求
  • 引用的Web页面
  • 浏览器使用
  • 日期和时间
  • UIN(仅适用于基于eid的服务的唯一个人标识符)

资讯科技管理人员会将大学网站上收集的数据汇总,以调整大学网站的效率,通常不会与特定的个人联系在一起. 来自Web服务器日志的原始数据只与每个大学网站的管理员共享. 由日志生成的摘要报告可以帮助大学Web发布者确定哪些大学Web浏览器和页面最流行. 例如, 如果汇总的报告显示某所大学的网页非常受欢迎,或者大一学生比大四学生使用得更多, 发布者可以使用这些信息定制页面的内容,使其更容易被找到.

通过特定过程收集的个人数据, 例如提交入学申请, 相关的提交, 以及随后与招生人员的互动, 将只用于其预定用途, 比如对申请者入学或就业决定的考虑, 或者某些存档, 研究, 或以下描述的统计目的.  个人信息也可能来自授权向大学提供个人信息的第三方.

大学可将所收集的个人资料用于特定目的,并可进一步处理,以供存档,以维护公众利益, 科学或历史研究目的, 或统计目的(“研究目的”).  用于研究目的的加工将受到适当的保障措施, 包括尽可能减少使用数据和使用假名.  大学会匿名化所使用作研究用途的个人资料,只要大学可在不需要辨识个人资料当事人的情况下,履行有关目的.  大学在进一步处理个人资料作研究用途时,无须向资料当事人发出通知.    

只有在为支持大学的目的而进一步处理个人资料作研究用途时,才会获准许.  除非研究人员遵循大学有关人体研究的程序,否则不得为研究目的进一步处理个人资料, 如果适用的话, 研究人员向数据受试者提供任何必要的通知.

7. 饼干

饼干是由大学网络浏览器存储的小块数据. cookie通常用来记住用户的偏好和访问过的页面信息. 例如, 当一个人访问大学网站时,他们可能会看到一条“欢迎回来”的消息. 第一次访问网站, a cookie was probably set on their computer; when they return, 再次读取cookie. 用户可以将其web浏览器配置为拒绝接受cookie, 禁用饼干, 并在需要时从他们的硬盘上删除cookie.

大学Web服务器在称为UT EID的集中认证系统中使用cookie. 大学使用这些cookies,以便用户在进入大学网站的不同部分时,不必反复输入用户名和密码. 正常情况下, 当要求提供自己的数据或确保自己是大学社区的一员时,需要输入UT EID. 例如, 想要查看入学状态的学生或完成考勤表的工作人员必须输入他们的UT EID,以便系统知道是谁在要求这些数据. 这个登录过程使用安全套接字层(SSL),因此用户名和密码在Web浏览器和Web服务器之间是加密的.

一些Web服务器还可能使用cookie来保留用户首选项信息. 与外部第三方分享这些信息是违反大学政策的.

8. UT网站上的第三方内容

其中的一些页 dohing.com 域名可能包含外部第三方提供的内容. 例如,一个 dohing.com 网站可能包括一个图形标志或来自第三方的脚本. 具体地说,下面的代码 dohing.com Page将代表第三方内容的一个例子:

http://www.other-org.com/标志.gif" alt="Sample" />

在这个例子中, 标志.gif 第三方内容将从一个网络服务器以外的德州.edu域(www.other-org.com 在这种情况下). 第三方内容 dohing.com 不限于图形,但这是最常用的吗.

大学不会将任何信息作为此类请求的一部分传递给这些第三方. 然而,当一个人来访时 dohing.com 包含第三方内容的页面, 信息, 例如IP地址, 日期, 浏览器, 和请求的页面, 从你的电脑传送到第三方.

9. 处理个人资料的理由及大学如何使用个人资料

大学处理个人数据的原因有很多, 包括履行合同义务, 其合法的经营行为, 并遵守适用的法律.  有时,同意将是处理个人数据的基础.  在这些情况下, 大学会要求资料当事人同意处理其个人资料,并与第三者分享该等资料. 处理由资料当事人或授权第三者提供给大学的个人资料, 比如他们的高中或国家考试服务, enables the University to identify the 数据对象; engage in 处理 an application or other submission to the University; or verify 信息 already provided to the University.

大学 may also use or disclose personal data for the following statutory or public interest purposes:  to prevent or detect fraud; to monitor equal opportunity; to better serve the needs of students with disabilities with reasonable accommodations; or for 研究 and statistical purposes, 后面的目的只依赖于聚合数据.

此外, 大学处理个人资料,这些资料是大学为与某人(例如.g. 评估向大学提供的服务)或为大学追求的合法利益的目的(例如.g. 机会均等监控).  大学要求申请人在申请过程中向大学提供某些信息,以便正确评估他们的申请,除非提供个人信息被标记为可选.  录取和雇佣决定都不是自动的.

10. 谷歌分析

Some University Web websites use 谷歌分析; a web analytics service provided by Google, Inc. 谷歌Analytics使用cookie收集url等信息, 互联网域名和主机名, 浏览器软件, 以及用户访问网站的日期和时间. 该信息用于监控网站的有效性,并考虑网站的潜在改进. 这些信息是非个人的,并被传送到谷歌的服务器上并存储在谷歌的服务器上. 大学不分享任何关于特定用户的特定信息.  

有关谷歌分析的更多信息,请访问以下页面 使用条款 和谷歌的 隐私惯例. 要选择退出谷歌的数据收集,请阅读更多关于 谷歌Analytics选择退出浏览器插件.

11. 机密信息的安全性和准确性

大学尽其所能确保其拥有的个人信息是准确的. 持有UT EID的用户可以查看和更新个人信息,如他们的地址和电子邮件地址 UT直接.

虽然没有电脑系统是100%安全的, 大学已部署了广泛的安全措施,以防止损失, 滥用, 或在bat365控制下的信息的改变. 这些安全措施和bat365的系统由经过认证的独立安全专家审计.  请参阅信息资源使用和安全策略 http://security.dohing.com/policies/irusp # standard12

12. 计划应对数据泄露

大学有相应的政策和程序,以防数据泄露或其他事件危及大学持有的信息.  任何认为发生数据泄露的个人必须立即通知首席信息安全官, 谁将调查所谓的违反和, 如果有必要的话, 谘询大学的数据泄露应变计划小组及受影响的部门,以补救该事件, 包括提供任何必要的通知.

请参阅以下两项政策,了解大学的完整数据泄露政策(UT EID Required).

事件管理程序

http://security.dohing.com/iso-procedural-documents/incident-management-procedures

个人身份数据泄露通知计划

http://security.dohing.com/iso-procedural-documents/data-breach-notification-plan

在某些情况下, 如因资料泄露而导致个人资料泄露,大学可能会被要求向受影响的个人或某些管理当局发出通知.

13. 电子商务

大学网站中的几个网站允许用户使用信用卡在线支付产品或服务. 除非另有说明,这些交易都是加密的. 大学的政策是只使用用户在交易期间输入的机密信息用于交易中描述的目的, 除非该网站特别说明了其他用途.

14. 开放记录、请求和其他信息共享

《bat365在线平台》(“FERPA”)管辖的教育记录或其他法律保密的信息除外, 所有已提供及从大学网页收集的资料, 包括摘要服务器日志信息, 发送到大学网站的电子邮件, 以及从大学网上表格收集的信息, 连同载有个人资料的任何其他形式或类型的文件或其他文书一并递交, 可能受制于 德克萨斯州公共信息法.  这些信息还可能, 在法律上, 受发现要求或其他法律要求的约束,个人数据或信息必须被公布和公开.  大学通过其他方式(如书面提交或与以前的学校或雇主沟通)获得的个人资料亦属如此.

这所大学, 根据用户的明确要求, 与其他各方共享信息,并从其他私人数据提供商收集信息. 例如, 大学从考试机构收到考试成绩,并将成绩单寄给其他学校. 只有在用户要求时才会这样做.

并向大学及各院系的有关职员传阅申请及有关资料, 大学会与下列人士分享有关及有需要的个人资料:

  • 学校/学院或培训机构;
  • 考试委员会或测试服务;
  • 如果是国际申请人,则是适当的州和联邦机构;
  • 作为签证保证人入境的;
  • 政府机构, 包括 local authorities; the Teachers’ Retirement System; UT Workers Compensation; and other agencies or private actors, 例如卫生保健提供者, 在这种情况下,bat365需要知道某些个人信息
  • 其他高等教育机构, in order to assist with tracking and 研究 into access to Higher Education; and
  • 向…提供特定服务的公司或组织, 或代表, 该大学和/或一个或多个组成学院, 学校, 部门或项目.

除非根据《bat365》提交的公共信息请求特别要求或通过合法手段强制要求, 或作为法律诉讼的一方, 公布通过大学网站收集的机密信息是违反大学政策的, 例如访问的页面, 或个性化偏好. 例如, 该大学的门户, UT直接, 允许用户自定义他们在个人页面上看到的内容. 该信息不能与外部第三方共享,除非法律要求.

符合FERPA和其他适用的隐私法, 大学不会公布学生的个人信息, 除了公共目录信息, ,除非大学获得明确的书面同意, 是法律规定的吗, 或为大学的其他合法目的.  大学学生可以阅读更多的目录信息 大学一般信息目录. 目录信息的示例包括姓、名、地址和出生日期. 已注册的学生可联络教务主任办公室,限制公布他们的通讯录信息.

15. 公众论坛

这所大学开设了一些公共聊天室, 论坛, 留言板, 以及可供用户使用的bat365在线平台组. 这所大学 not ordinarily log public chat sessions; however, 用户在这些领域披露的任何信息都将成为公共信息, 因此,用户在决定在这些地方披露机密信息时应谨慎行事.

学术聊天会话和讨论论坛,如在Canvas,可能会被记录. 然而,FERPA一般禁止公开这些教育记录.

16. 在线调查

这所大学是一个研究机构. 在任何时候,大学都在大学网站上进行大量的在线调查. 大学的政策是只将在这些在线调查中收集的个人信息用于调查所指明的研究目的. 除非在指定的检验中另有注明, 答案是保密的,个人的回答不会与其他各方分享,除非德克萨斯公共信息法要求或法律强制. 调查的汇总数据可以与外部第三方共享.

17. 谁来处理我的个人信息?

根据大学的政策和惯例,大学将在内部共享从申请中收到的个人信息和提交给大学的其他信息.  为了大学取得个人资料的目的,可能会涉及不同的大学教职员处理个人资料.  在某些情况下, 由大学雇用协助处理资料的第三方供应商可能会处理个人资料.  资料当事人有权在第三方处理其个人资料时得到通知.

18.  哪些个人信息将被处理?

为学生, 大学将使用他们的申请资料, 连同申请人在申请时可能提供的任何证明文件或其他形式的资料.  就本政策而言,“申请”包括在线申请, 申请费, 一篇文章, 三个简短的回答提示, 你的高中成绩单, 任何大学成绩单, 考试成绩, major-specific物品, 的简历, 推荐信(不是必需的),, 如果适用的话, 永久居留卡, 学生信息表, 课程工作表和居住证明. 不同的申请表格可以根据不同的公民/居住身份申请. 

除了申请表之外, 大学将使用申请人曾就读的每一所高级学院的成绩单中的详细信息.  在哪里申请会计和护理专业的研究生课程, 大学将利用申请人在所有初级和/或社区学院就读的成绩单以及过去的考试成绩的信息.  单独的研究生项目有额外的要求,可能要求大学使用额外的材料.  这同样适用于收到的推荐信.  大学也可能依靠学生进行调查或听证会产生的个人信息.  

教职员工, 大学将处理通过就业申请或面试以及其他方式收到的个人信息, 正式和非正式, 并维护员工的记录.  例如, 教师可能希望参加由第三方供应商提供的某些医疗保健/保险项目, 谁与大学签订了提供这些东西的合同.  参加这些计划可能需要与相关第三方共享敏感日期, 比如保险公司.  大学亦会透过测试或评核,评估教职员在各方面的表现.  这类信息可能是申诉或纪律程序的一部分.

19. 我有什么权利与我的个人信息有关?

资料当事人有权查阅大学所持有的有关其个人资料. 资料当事人亦有权要求大学更正所持有的有关他们的不准确个人资料.  在某些情况下, 资料当事人可要求大学删除个人资料, 要求校方限制处理他们的个人信息, 或反对校方处理其个人信息.

有几条定律, 包括《bat365在线平台》和《bat365在线平台》,赋予数据主体与个人信息有关的某些权利.

FERPA

FERPA提供更正个人资料的权利,并有权查阅有关他们的个人资料.  http://www2.ed.gov/policy/gen/guid/fpco/ferpa/index.html

也, 作为一般规则,但也有例外, 学校必须得到家长或成年学生的书面许可才能公布学生的任何部分教育记录.

HIPAA

HIPAA为在所涉实体接受医疗保健服务的患者提供某些个人数据权.  这所大学是一个混合的实体, 这意味着大学的某些部门, 包括, 但不限于, 大学保健服务(UHS)和戴尔医学院, 是否符合HIPAA.  受HIPAA约束的每个大学部门将向患者提供一份隐私实践通知,详细说明他们在HIPAA下的权利, 包括个人资料权利.  例如, 资料当事人可在以下连结查阅大学保健处提供的《bat365在线平台》: http://healthyhorns.dohing.com/images/pdf/privacypractices.pdf

德克萨斯州公共信息法

的 德克萨斯州公共信息法, 除了少数例外, 使人们有权获知大学收集的关于他们的信息. 它还赋予了人们要求获得该信息副本的权利, 并要求校方纠正任何错误的信息. 要求接收和审查任何信息, 或者要求更正, 可向大学公共资讯主任查询, 财务办公室, 邮政信箱8179, 奥斯丁, 德州, 78713(电子邮件: cfo@www.dohing.com).

GDPR

GDPR是欧盟通用数据保护条例,于2018年5月25日生效.  GDPR的目的是规范这次集会, 使用和保存自然人的个人可识别信息,并向数据主体提供某些权利, 例如删除个人资料的权利和反对使用个人资料的权利.  这条法律适用于任何人, 公民或不, 在收集数据时谁位于欧盟.  它不需要实体, 就像大学, to be located or acting within the EU for jurisdiction to attach; however, 像大学这样的非欧盟实体必须处理与在欧盟提供商品或服务或在欧盟监控个人行为相关的个人数据,以获得司法管辖权. 

你有权请求访问, 的一个副本, 整改, 限制使用, 或根据所有适用法律删除您的信息. 您的信息的删除将受制于适用的联邦和州法律的保留期限以及大学的记录保留时间表. 如果您已同意使用您的信息, 在收到您的请求之前,您有权在不影响大学使用这些信息的合法性的情况下撤销同意.  资料当事人可联络大学资料保障主任行使其权利. 

如果您认为大学没有遵守有关此类信息的适用外国法律, 你有权向欧盟相应的监管机构提出投诉.

德克萨斯州和美国也有涉及一般隐私和某些类型记录使用的法律, 例如教育和健康记录(如上所述), 包含个人身份信息的.  德州有法律来管理记录的保存最后, 根据美国/德州法律, 大学可能有很好的理由保留这些信息,尽管与GDPR有冲突.

作为一般规则, 如果德克萨斯州或联邦法律与其他国家的法律在处理方面发生冲突, 使用或维持资料当事人的个人资料, 包括GDPR的规定, 大学将视德州和联邦法律为控制.

大学雇员如收到资料当事人要求忘记其资料的要求,或对GDPR提供的资料当事人的权利有其他问题,应联系大学的资料保护主任.

20. 我的信息保存多久?

该大学是德克萨斯州的一个机构,必须遵循记录保留时间表, 可于以下网址查阅: http://financials.dohing.com/hbp/part-20/2-1-records-management-services-documents.  一般, 大学会保存申请人在下列期间的入学或就业记录:

  • 未被大学录取的入学申请人:申请入学的学期后一年;
  • 入学申请:毕业五年后或到校最后一日;
  • Applicants for employment who are not hired: two years from the end of the fiscal year during which the individual applies for employment; and
  • 被录用的求职者:离职后五年.

有些部门可能会受到其他法律的约束,这些法律要求部门在规定的时间内保留某些个人信息.   

请参阅记录保留时间表以了解更多信息.  大学会不时更新记录保留时间表.

21. 我可以联系谁寻求帮助或投诉?

学生对他们的个人信息如何被使用有疑问, 或希望行使任何权利的人, 可以咨询此政策并联系教务长吗, 一个监察员 http://ombuds.dohing.com/,或者监督他们主要学习领域(专业)的办公室.  他们也可与书记官长办公室联系.  http://registrar.dohing.com/ 

教员可以向他们的系主任寻求帮助, 学院院长或同等职位, 学院理事会或教务长办公室的代表或监察专员 http://ombuds.dohing.com/.

一个员工, 应该先联系他们的直接主管吗, 然后如果有必要的话,继续向上级指挥.  员工也可以自由联系Ombuds的办公室 http://ombuds.dohing.com/.

如需进一步协助,请联络大学合规服务部 Compliance@austin.dohing.com 或致电该大学的数据保护官员克里斯·赫托, 克里斯.hutto@austin.dohing.com,或适当的学院、办公室或部门.

22. 本网页是否有更改?

本网页最后一次更新是在2018年6月. 必要时,至少每年进行一次审查. 大学会在此公布有关更改,并可透过本网页及/或电邮通知使用者.

23. 附加信息:重新IT使用和安全

 

更改日志

更改此策略的日志.
日期 改变的描述 原始文本

9/7/2007

更新文档结构以匹配IT策略,添加更改日志、权威来源、范围. 将ARL添加到已批准的部门政策列表中. 在“bat365收集的信息”一栏增加了资讯科技保管人的概念. 更新后的“目的”一节.

删除了在Web浏览器中修改cookie设置的说明.

11/3/2008

更新了计算机科学系政策页面的链接.

 

1/27/2012

更新了计算机科学系政策页面的链接.

 

8/31/2012

更新了ISO技术和安全术语表和通用信息目录的链接. 增加了一段,明确了UT网站上链接的要求. 增加了一段,包括在Web隐私政策本身的更改日志.

 

9/14/2012

更新所需的链接部分,更新的风格,以匹配作家的指南.

每个包含大学官方信息的大学网站必须包含一个链接到本页的“网络隐私”链接.

11/10/2014

增加了谷歌分析的使用章节.

4/13/2016

删除 应用研究实验室(ARL)例外.

 

4/26/2019

调整政策以与GDPR保持一致.