最后更新:2 年 2021 月 XNUMX 日
作为全球用户用于从事研究、奖学金和创新活动的全球平台, ORCID 致力于解决影响其用户的隐私和安全要求的变化。
15 年 2020 月 XNUMX 日,欧盟法律体系内的最高法院欧洲法院(“ECJ”)在 施雷姆斯二世,根据欧盟的《通用数据保护条例》(“GDPR”),欧盟-美国隐私盾无效,并支持继续使用标准合同条款 (SCC) 将数据传输到第三国。 看 Facebook Ireland 和 Schrems,案例 C-311/18 (待决欧盟法院(“CJEU”)[以下简称“施雷姆斯二世“]. 在其决定中,欧洲法院对从欧盟传输到美国的个人数据一旦存储在美国境内是否能得到充分保护提出了担忧。 鉴于这一决定, ORCID 聘请外部法律顾问对影响进行审查 施雷姆斯二世 关于其业务运营。 以下是有关的附加信息 ORCID对从欧盟到美国的持续跨境数据传输的方法。
儿童在 ORCID 目前将个人数据从欧盟转移到美国?
是的, ORCID 作为其网络基础设施的一部分,确实将个人数据从欧盟传输到美国。 实时注册软件托管在位于美国境内的服务器上。
ORCID 依靠两种机制在 GDPR 下传输个人数据。 第一的, ORCID 在注册时获得其用户的同意,将个人数据从欧盟传输到美国。 第二, ORCID 根据需要与成员组织签订标准合同条款 (SCC)。
ORCID 很高兴与位于欧盟、欧洲经济区或英国的任何成员签订标准合同条款,这些成员将个人数据传输到 ORCID 使用成员 API。 请联系您的 ORCID 参与团队联系以讨论将标准合同条款添加到您的会员协议中。
是的, ORCID 在其网站上维护了许多与其隐私和安全实践相关的文件。 这些文件包括:
隐私政策 - ORCID
ORCID 相信 - ORCID
ORCID、GDPR 以及您作为用户的权利
ORCID TRUSTe 证明书
是的,除了上面讨论的保障措施之外, ORCID 包含以下补充措施以解决数据保护问题。
数据主体控制。 为用户提供了与共享信息相关的高度透明度和控制权 ORCID 和其他用户或成员组织。 ORCID 已采取措施尽量减少建立个人数据所需的个人数据量 ORCID 记录,只需要名字和电子邮件地址。 此外, ORCID 明确表示其工具和服务让用户可以控制注册、连接到 iD 的内容以及谁可以访问用户信息。
第三方处理器协议。 ORCID 与其处理者签订包含数据隐私和安全规定的协议。 在与处理器达成协议之前, ORCID 进行处理隐私和安全组件的尽职调查。 为了进行这项尽职调查, ORCID 首先确定第三方提供商是否有权访问和/或接收任何个人数据的副本。 如果答案是肯定的,那么 ORCID 继续协商符合 GDPR 要求和任何其他适用数据保护要求的数据处理协议。
数据加密。 ORCID 对所有静态和传输中的数据实施合理的加密措施。 此外,所有备份均已加密。
技术和组织措施。 ORCID 实施各种安全控制,以支持对其数据库和基础设施的安全管理。 这些安全控制包括安全补丁管理; 系统访问监控; 审计日志; 访问控制; 和改变控制机制。 此外, ORCID 维护事件响应计划以及灾难和数据恢复过程。
是的, ORCID 向用户明确表示,如果它收到任何政府数据请求,它将“仅提供我们认为在这种情况下必要的数据”。 看 隐私政策,秒。 6.4. 更多 ORCID 明确表示,如果允许,它将“及时向相关记录持有人提供有关收到的任何政府数据请求和受影响账户的信息。”
不太可能 ORCID 将受到 Schrems II 决定中强调的美国监视法要求的约束。 自从 ORCID 不是《美国法典》第 50 条第 1881(b)(4) 条所定义的“电子通信服务提供商”,不受《外国情报服务法》(“FISA”) 的约束。 ORCID 提供一个在线注册表,用于从成员组织中识别研究人员; 因此,FISA 下的第 702 条不适用于 ORCID 及其数据。
是的, ORCID 不区分位于欧盟或欧盟以外的用户。 ORCID 努力根据其隐私政策为所有用户提供隐私保护,位于 https://info.orcid.org/privacy-policy/.