私隐影响评估
已完成的私隐影响评估清单
SFU的员工可以通过SFU的CAS单点登录访问已完成的pia列表:
什么是私隐影响评估?
SFU的每个员工、部门、计划和项目都必须符合BC的隐私保护要求信息自由和隐私保护法(“FIPPA”)。为了确保SFU的合规性,我们使用了一种重要的法定风险管理和合规性工具,称为隐私影响评估(“PIA”)。
PIA决定一个新的或改变的大学计划(系统、项目、计划、政策或活动)是否符合FIPPA的隐私保护要求。评估在潜在的隐私和安全问题成为问题之前确定并解决它们,从而避免昂贵的计划、流程或服务重新设计、隐私泄露和对机构声誉的损害。
PIAs是如何工作的?
PIA是SFU每一个新的或修订的系统、项目、活动、计划或政策的法定要求。
开展PIAs是以下各方的共同责任和共同努力:
- 实施新计划的部门或计划领域;
- 访问和隐私计划;如果适用,
- 信息安全。
PIA将包括收集以下信息:
- 对计划的描述以及收集、使用和披露的个人信息要素的清单;
- 识别将在加拿大境外访问或存储的敏感个人信息;
- 收集、使用和披露个人信息的法律机构;
- 识别隐私风险并说明已经实施或将要实施的缓解策略;
- 与该倡议有关的物理和技术安全措施的说明;
- 解释确保个人资料准确、更正和保留的程序;而且
- 识别任何系统性的个人信息披露。
当你准备好开始时,安排一次与访问和隐私计划成员的会议。然后,您可以下载并完成私隐影响评估表格.将填妥的表格电邮至privacy@sfu.ca我们团队的一名成员会联系你,告诉你下一步该怎么做。
私隐影响评估程序
第一阶段
考虑一下完成PIA所需的时间。确定你目前拥有多少信息,以及你还需要多少信息。确定利益相关者,并与访问和隐私计划的成员会面。
第二阶段
开始与利益相关者联络。根据需要进行进一步研究。从供应商、IT服务等处获取额外信息。
第三阶段
访问和隐私计划的成员将协助您识别和减轻可能的风险因素。
第四阶段
审查过程是迭代的。风险分析可能会揭示信息缺口,这将需要对PIA进行额外的研究和更新。
5级
PIA获得所有利益相关者的批准。有关部门负责确保建议的完成。
阶段1:计划和范围
确定是否需要PIA
确定所需PIA类型的第一步是检查是否已经完成在这里.如果已经完成,请与隐私和访问团队联系,以审查PIA,并确保先前的评估涵盖了您的计划。如果尚未进行PIA,请填写预评估问卷(PAQ)。PAQ可以快速评估提议项目中任何与隐私相关的风险的严重程度。如果您计划与服务提供商合作,请找到他们的隐私政策并将其附加到PAQ中。与访问和隐私计划的成员分享PAQ的结果。可能会确定一个计划不会触发BC的应用信息自由和隐私保护法或者,如果有,只需要采取最小的步骤来确保合规(即,不涉及个人信息)。如果是后者,我们可以简单地为您提供如何进行的最佳建议。然而,如果隐私风险被认为处于中等至高度范围,则需要填写PIA表格。
访问和隐私计划目前包括:
- 保罗Hebbard,大学档案管理员和信息与隐私协调员,pgh@sfu.ca
- Erika Brimacombe,隐私法律顾问,erika_brimacombe@sfu.ca
- 罗伯特McLelland、资讯及私隐档案主任、robert_mclelland@sfu.ca
你也可以给我们的角色账号发邮件privacy@sfu.ca.
时间预算
完成PIA的时间线取决于几个因素,包括:计划的复杂性;相关利益相关者,特别是服务提供商在其系统收集、使用、披露和存储个人信息方面的合作和透明程度;PIA的主要作者在完成过程中投入的精力和对细节的关注;以及敏感个人信息是否存储在加拿大境外。由于所有这些原因,很难给出一个确切的时间表,但我们通常建议各部门总共留出两到三个月的时间。
早点出发
PIA的规划应该在计划的最开始就开始。不要等到你选择了一个软件解决方案,并准备签署合同。请尽快咨询访问和隐私计划的成员,讨论流程中的后续步骤,以及如何为PIA顺利完成做好最佳准备。
了解你的职责
部门管理员负责确保有足够的提前时间来完成PIA,与其他项目截止日期相关。如果PIA没有完成,部门管理员也应该准备推迟实施新的计划,或者如果PIA确定计划不符合BC的隐私要求,则完全放弃实施信息自由和隐私保护法.
实现遵从性
进行PIA不是一个清单练习。这是一个合规性和风险评估过程和法律规定的责任信息自由和隐私保护法.提议的计划可能被评估为不符合要求,如果是这样,可能需要重新考虑或放弃。不要以为你的主动性不会受到PIA的影响——这是提早开始并提前计划的另一个原因。
第二阶段:收集信息和联系相关方
收集PIA输入
对PIA的投入包括对计划目的的描述;需要收集的个人信息类型以及如何使用和披露这些信息;以及为保护个人信息而采取的物理和技术安全措施的描述。您可以开始收集这些信息,并将其添加到PIA,甚至在大学最终决定采用任何新举措之前。
确定主要利益相关者
开始与确定的利益相关者联络。在涉及采用或更改软件系统的计划开始时,请安排IT服务部门提供支持。IT服务有助于审查与新系统相关的安全风险。他们还可以帮助与服务提供商联系,特别是在技术问题上。如果计划涉及IT项目章程,IT服务的数字化转型办公室将指导您编写PIA。在开始一项计划之前,请确保获得IT支持。
还要确定任何其他相关的涉众,例如将直接参与计划的部门或间接参与的部门(例如,维护需要与新应用程序集成的系统)。采购也可能在RFP的准备中发挥作用,这取决于计划的成本,服务提供商通常会与大学合作提供解决方案。最后,法律顾问可能需要审查与服务提供商的任何协议或合同的条款和条件。
阶段3:分析和降低风险
回顾合同语言
如果您的计划涉及软件或软件即服务的购买或许可,您可能需要聘请法律顾问来审查协议或合同的语言。根据FIPPA,服务提供商被视为大学的“雇员”,其系统代表大学收集的个人信息必须按照FIPPA处理。为此,我们要求服务提供商接受我们的标准隐私保护时间表(PPS)附加于所有协议和合同。“缴费灵”列出了服务提供者在FIPPA下继承的私隐义务。服务提供商,尤其是非加拿大的服务提供商,经常担心承担部分或全部这些义务,在合同谈判中需要法律顾问的支持。谈判是很耗时间的。
识别风险
访问和隐私计划的成员将协助您识别和减轻可能的风险因素。最常见的风险包括一个计划收集的个人信息的数量、信息的敏感性、信息存储的位置、信息的过度保留、信息用于次要目的的使用或披露,以及实施新系统的安全影响。
采用缓解战略
需要通过采取适当的技术、物质和程序保障措施、合同语言、通知或同意机制以及关于基本隐私原则和最佳做法的用户培训等措施来减轻风险。
第四阶段:根据需要收集和分析额外的数据
PIA审查过程是迭代的。风险分析可能会揭示信息缺口,这将需要进一步研究;范围和功能蔓延可能会影响隐私合规性;服务提供商可能不愿意透露他们的信息处理做法。PIA表格在完成并准备签字之前可以经过多次修改。在提交PIA表格初稿后,请确保为后续研究和额外研究做好预算。
第五阶段:建议的最终批准和实施
PIA表格由访问和隐私计划的成员、根据计划的范围和风险指定对PIA负责的SFU员工、计划负责人,以及通常由来自信息安全的审查人员审查和签署。由访问和隐私计划确定的指定责任人可以是SFU副总裁。如果部门管理员想在PIA签署之前进行实施,他们应该首先与他们的副总裁协商。有关部门负责确保PIA中提出的任何条件或建议都得到考虑。
FT我