Tato příručka poskytuje univerzitním kupujícím pokyny, jak identifikovat osobně identifikovatelné informace (PII) při vyjednávání smluv o službách nebo vydávání nákupních příkazů pro práci, kterou mají provádět externí prodejci., Pokud prodejce bude zpracovávat, zpracovávat nebo mít přístup k PII, pak kupující musí provést následující kroky:
- minimalizovat používání, shromažďování a uchovávání PII dodavatele k tomu, co je nezbytně nutné k dosažení jejich obchodního účelu a rozsahu práce–zvažte proveditelnost de-identifikace nebo anonymizace informací.
- požadovat, aby prodejce získal dodatečné zabezpečení informací/pojištění kybernetické odpovědnosti v částkách doporučených řízením rizik.,
- požadovat, aby prodejce provedl dodatek o ochraně osobních údajů (kromě příslušné smlouvy o službách nebo objednávky).
co jsou osobní identifikační údaje (PII)?,
osobní identifikační údaje(PII) zahrnují:
„(1) veškeré informace, které lze použít k rozlišení nebo sledování totožnosti jednotlivce, jako je jméno, číslo sociálního zabezpečení, datum a místo narození, rodné jméno matky nebo biometrické záznamy; a (2) jakékoli další informace, které jsou propojeny nebo propojeny s jednotlivcem, jako jsou lékařské, vzdělávací, finanční a pracovní informace.,al telefonní čísla
Biometrické údaje: scanner sítnice, hlas, podpis, nebo obličeje geometrie
Informace o identifikaci osobním vlastnictví nemovitosti: číslo VIN nebo číslo listu vlastnictví,
následující příklady na jejich vlastní nepředstavují PII jako více než jedna osoba mohla sdílet tyto vlastnosti., Nicméně, když spojené nebo korelace k jedné z výše uvedených příkladů, tyto by mohly být použity k identifikaci konkrétní osoby:
- Datum narození
- Místo narození
- Obchodní telefonní číslo,
- Obchodní poštovní nebo e-mailovou adresu
- Závodní
- Náboženství
- Geografické ukazatele
- informace o Zaměstnanosti
- Zdravotní information2
- Vzdělávání informace3
- Finanční informace
, Když By Prodávající Mít Přístup k PII?,
Příklady služeb nebo činnost zahrnující dodavatele přístup k PII patří:
- dodavatel je najat, aby vyvinout software na pomoc Institucionální Rozvoj fundraisingových aktivit. Existuje možnost, že dodavatel má přístup k PII absolventů/dárců, jako jsou jména, domácí poštovní adresy, osobní telefonní čísla a informace o finančním účtu.
- licence je získána pro nástroj průzkumu založený na cloudu, který používají univerzitní vědci., V závislosti na povaze průzkumu, Licence cloud-based služeb mohou mít přístup k nebo hostitele PII, jako jsou jména respondentů, e-mailové adresy demografické údaje (např. věk, úroveň příjmů, lékařské informace, nebo vzdělání).
- dodavatel je najat na vývoj nebo upgrade systémů kontroly fyzického přístupu(např. Potenciál existuje pro dodavatele mít přístup k jakémukoli PII shromážděných prostřednictvím přejetí karty, jako jsou jména, čísla sociálního zabezpečení, a univerzitní ID čísla.,
zdroje a další otázky
Máte-li jakékoli dotazy týkající se této příručky, kontaktujte kancelář University of Pittsburgh University Counsel: http://ouc.pitt.edu/
Další zdroje: