运动员及职业体育人士的特殊类别数据政策
1. 关于本政策
1.1本“适当政策文件”(“APD”)由 Stats Perform 集团(包括位于伊利诺伊州芝加哥市北拉萨尔街 203 号 2200 室(邮编 60601)的 Stats LLC,以及公司编号为 11584111、注册办公地址为伦敦斯特兰德街 11 号 3 楼(邮编 WC2N 5HR)的 Perform Content Services Limited,连同其各自的子公司)(统称“Stats Perform”、“我们”或“我们的”)代表发布。 11 Strand, London, WC2N 5HR,数据保护注册号 ZA497913,及其各自的子公司)(统称“Stats Perform”、“我们”或“我们的”)。 我们是您个人信息的控制者,并负责:www.statsperform.com;www.soccerway.com;www.scoresway.com; automatedinsights.com; www.optasports.com 以及 www.thuuz.com 以及Stats Perform不时拥有和运营的任何其他网站(统称“网站”)。本《隐私政策》阐述了我们将如何保护特殊类别的个人数据。
1.2本《个人数据处理政策》(APD)符合《2018年数据保护法》的要求,即在处理特殊类别的个人数据以及在特定情况下,必须制定适当的政策文件。
2. 定义
控制者:决定何时、为何以及如何处理个人数据的人或组织。
数据保留政策:说明Stats Perform如何对信息进行分类,以及如何管理信息的保留和销毁。
数据主体:指我们持有其个人数据的在世、已识别或可识别的自然人。数据主体可以是任何国家的国民或居民,并可能对其个人数据享有法律权利。
数据隐私影响评估(DPIA):用于识别和降低数据处理活动风险的工具和评估方法。DPIA可作为“隐私设计”的一部分进行,且应针对所有涉及个人数据处理的重大系统或业务变更项目予以实施。
《2018年数据保护法》(DPA 2018)。
数据保护官(DPO):根据《通用数据保护条例》(GDPR)规定,在特定情况下必须任命的人员。截至本《隐私政策》发布之日,Stats Perform的数据保护官为Lillian Pang。
GDPR:《通用数据保护条例》((EU) 2016/679)。
个人数据:指任何能够识别数据主体身份的信息,或与数据主体相关的信息,只要我们能够仅凭该数据,或结合我们已持有或合理可能持有的其他标识符,直接或间接地识别出该数据主体。个人数据包括特殊类别的个人数据。
《运动员及职业体育人士隐私声明》:这是一份单独的声明,其中列明了可能向数据主体提供的信息,可在此处查阅。
处理或处理活动:指任何涉及使用个人数据的活动。这包括获取、记录或持有数据,或对数据进行任何操作或一系列操作,包括整理、修改、检索、使用、披露、删除或销毁数据。处理还包括向第三方传输或转移个人数据。
特殊类别的个人数据:揭示种族或族裔、政治观点、宗教或类似信仰、工会会员身份、身体或心理健康状况、性生活、性取向、生物识别或基因数据的信息。
3. 我们为何处理特殊类别的个人数据
3.1我们出于以下目的处理特殊类别的个人数据,以核实运动员和职业运动员是否具备参加体育运动的资格。
4. 个人数据保护原则
4.1《通用数据保护条例》(GDPR)要求个人数据的处理须符合第5条第1款规定的六项原则。第5条第2款要求数据控制者能够证明其符合第5条第1款的规定。
4.2我们遵守《通用数据保护条例》(GDPR)中关于个人数据处理的原则,该原则要求个人数据必须:
- 以合法、公平和透明的方式进行处理(合法性、公平性和透明度);
- 仅出于特定、明确且合法的目的而收集(目的限制);
- 充分、相关且仅限于处理目的所必需的范围(数据最小化);
- 准确,并在必要时保持更新(准确性);
- 不得以允许识别数据主体的形式保存数据,其保存时间不得超过为实现数据处理目的所必需的期限(存储限制);以及
- 采用适当的技术和组织措施进行处理,以确保其安全性,防止未经授权或非法的处理,以及防止意外丢失、毁损或损坏(安全性、完整性和保密性)。
4.3我们有责任遵守上述数据保护原则,并必须能够证明已遵守这些原则(问责制)。
5. 遵守数据保护原则
5.1合法性、公平性和透明度个人数据的处理必须合法、公平,并对数据主体保持透明。我们将仅出于特定目的,以公平和合法的方式处理个人数据。《通用数据保护条例》(GDPR)将我们对个人数据的处理行为限制在特定的合法目的范围内。我们仅在具备处理的法律依据,且与特殊类别的个人数据相关的特定处理条件之一适用时,方可处理特殊类别的个人数据。 我们将针对每项处理活动,明确并记录所依据的法律依据及具体处理条件。当从数据主体处收集特殊类别的个人数据时,无论是直接从数据主体处收集还是间接收集(例如来自第三方或公开渠道),我们将向数据主体提供《运动员及职业体育人士隐私声明》,该声明将以简洁、透明、通俗易懂、易于获取且使用清晰平实的语言,列明《通用数据保护条例》(GDPR)要求在隐私声明中包含的所有信息。
| 合法处理依据 | 特殊类别个人数据的处理条件 |
| 关于运动员和职业体育人士参加体育运动的适宜性的数据
这些信息显然是从公开的信息来源中获取并公布的。 |
符合由数据主体或第三方公开的信息这一要求。
(《2018年数据保护法》附表1第32段) |
5.2 目的限制
个人数据的收集必须仅限于特定、明确且合法的目的。不得以任何与这些目的不相符的方式进一步处理该数据。我们将仅为特定目的收集个人数据,并通过面向运动员和职业体育人士的已发布隐私声明,向数据主体告知这些目的。如果我们将个人数据用于新的、相容的目的,我们将通过面向运动员和职业体育人士的已发布隐私声明通知数据主体。
5.3 数据最小化
个人数据应充分、相关,并仅限于处理目的所必需的范围。我们将仅收集或披露实现数据收集或披露目的所必需的最低限度个人数据。我们将确保不收集过量数据,并确保所收集的个人数据对于预期目的而言是充分且相关的。
5.4 准确性
个人数据必须准确,并在必要时保持最新。若数据不准确,必须立即予以更正或删除。我们将确保我们持有和使用的个人数据准确、完整、及时更新,并与我们收集该数据的目的相关。我们在收集个人数据时会核查其准确性,并在之后定期进行核查。 我们将采取一切合理措施,销毁或更正不准确或过时的个人数据。
5.5 存储限制
我们仅在为实现收集目的所必需的期限内,或在我们负有法律义务的情况下,以可识别的形式保留个人数据。一旦不再需要个人数据,我们将予以删除或使其永久匿名化。我们制定了《数据保留政策》及相关程序,以确保在实现数据存储目的所需的合理时间过后删除个人数据,除非法律要求我们必须更长时间保留该数据。我们将确保在针对运动员和职业体育人士的任何适用《隐私声明》中,告知数据主体数据存储的期限以及该期限的确定方式。
5.6 安全性、完整性与保密性
个人数据的处理应确保其安全性,包括采取适当的技术或组织措施,防止未经授权或非法的处理,以及防止意外丢失、毁损或损害。我们将实施并维持合理且适当的安全措施,以防范个人数据遭到非法或未经授权的处理,以及防止个人数据意外丢失或受损。
5.7 问责原则
我们对遵守这些原则负有责任,并能够证明我们已遵守这些原则。我们的数据保护官(DPO)负责确保我们遵守这些原则。关于本政策的任何疑问,请向数据保护官(DPO)提出。我们将:
- 确保对所有个人数据处理活动进行记录,并在信息专员提出要求时向其提供这些记录;
- 对任何高风险的个人数据处理活动进行数据保护影响评估(DPIA),以了解该处理活动可能对数据主体产生的影响,并在适当情况下咨询信息专员;
- 确保任命一名数据保护官(DPO),以就个人数据的处理提供独立建议并进行监督,且该数据保护官能够直接向最高管理层汇报;以及
- 已建立内部流程,以确保个人数据的收集、使用或处理方式均符合数据保护法律的规定。
6. 数据控制者关于个人数据保留和删除的政策
我们高度重视特殊类别的个人数据的安全性。我们已采取行政、物理和技术保障措施,以保护个人数据免遭非法或未经授权的处理,或意外丢失或损坏。在处理特殊类别的个人数据时,我们将确保:
- 处理活动将被记录在案,且该记录将在可行的情况下,根据我们的《数据保留政策》,为不同类别的数据设定一个安全且永久删除的适当时限;
- 当我们不再需要为收集目的而保留特殊类别的个人数据时,我们将尽快将其删除或永久匿名化;以及
- 在销毁记录时,我们将确保其得到安全且彻底的处置。
7. 复习
7.1本《特殊类别个人数据处理政策》将定期进行审查。
7.2当我们处理特殊类别的个人数据时,本政策将予以保留,并在我们停止此类处理后至少保留六个月。
7.3信息专员如提出要求,将免费获得本政策的副本。
日期:2021年1月25日
审查日期:2021年1月25日
下次审查:2021年6月1日
更多信息:
如需进一步了解我们遵守数据保护法律的情况,请联系我们的数据保护官(DPO)Lilian Pang,邮箱地址为 lillian.pang@taceo.co.uk。
