niniejszy przewodnik zawiera wskazówki dla nabywców uniwersyteckich dotyczące identyfikacji danych osobowych (PII) podczas negocjowania umów o świadczenie usług lub wydawania zamówień na prace wykonywane przez zewnętrznych dostawców., Jeśli sprzedawca będzie obsługiwać, przetwarzać lub mieć możliwość dostępu do IIP, kupujący muszą podjąć następujące kroki:
- zminimalizować wykorzystanie, gromadzenie i przechowywanie IIP przez Sprzedawcę do tego, co jest ściśle niezbędne do osiągnięcia ich celu biznesowego i zakresu prac–rozważyć możliwość usunięcia lub anonimizacji informacji.
- wymagają od sprzedawcy uzyskania dodatkowego ubezpieczenia od Odpowiedzialności Cywilnej/zabezpieczeń informacji w kwotach zalecanych przez zarządzanie ryzykiem.,
- zażądać od sprzedawcy wykonania aneksu o Ochronie Danych Osobowych (oprócz odpowiedniej umowy o świadczenie usług lub zamówienia zakupu).
Co to są dane osobowe (PII)?,
dane osobowe (PII) obejmują:
„(1) Wszelkie informacje, które mogą być wykorzystane do rozróżnienia lub prześledzenia tożsamości danej osoby, takie jak imię i nazwisko, numer ubezpieczenia społecznego, Data i miejsce urodzenia, nazwisko panieńskie matki lub dane biometryczne; oraz (2) wszelkie inne informacje, które są powiązane lub łączone z daną osobą, takie jak informacje medyczne, edukacyjne, finansowe i informacje o zatrudnieniu.,al numery telefonów
dane biometryczne: skany siatkówki, podpisy głosowe lub geometria twarzy
informacje identyfikujące własność osobistą: Numer VIN lub numer tytułu
przykłady same w sobie nie stanowią PII, ponieważ więcej niż jedna osoba może dzielić te cechy., Jednak, gdy można powiązać lub powiązać z jednym z powyższych przykładów, można użyć następujących danych do identyfikacji konkretnej osoby:
- data urodzenia
- miejsce urodzenia
- numer telefonu służbowego
- adres pocztowy lub adres e-mail służbowy
- Rasa
- wskaźniki geograficzne
- Informacje o zatrudnieniu
- Informacje Medyczne2
- Informacje Edukacyjne3
- informacje finansowe
kiedy sprzedawca miałby dostęp do PII?,
przykłady usług lub prac związanych z dostępem dostawcy do PII obejmują:
- wykonawca jest zatrudniony do opracowania oprogramowania wspomagającego rozwój instytucjonalny w działaniach związanych z pozyskiwaniem funduszy. Wykonawca może mieć dostęp do IIP absolwentów/darczyńców, takich jak nazwiska, adresy do korespondencji domowej, osobiste numery telefonów i informacje o rachunkach finansowych.
- uzyskuje się licencję na narzędzie do badania w chmurze, które może być używane przez naukowców uniwersyteckich., W zależności od charakteru badania Licencjodawca usługi opartej na chmurze może mieć dostęp lub hostować IIP, takie jak nazwiska respondentów, adresy e-mail, dane demograficzne (np. wiek, poziom dochodów, informacje medyczne lub wykształcenie).
- wykonawca jest zatrudniony do opracowania lub modernizacji fizycznych systemów kontroli dostępu(np. czytników kart). Istnieje możliwość, że Wykonawca będzie miał dostęp do wszelkich III zebranych za pośrednictwem machnięcia karty, takich jak nazwiska, numery ubezpieczenia społecznego i numery identyfikacyjne uczelni.,
zasoby i dodatkowe pytania
Jeśli masz jakiekolwiek pytania dotyczące tego przewodnika, skontaktuj się z Biurem Rady Uniwersytetu w Pittsburghu: http://ouc.pitt.edu/
dodatkowe zasoby: