恩信浸信会隐私政策和程序
1. 政策目标:
恩信浸信会 (恩信) 在运营和管理期间必须涉及收集、储存、分发和存档信息的过程。作为一个法定的"信息处理机构",2020年新西兰隐私法要求恩信必须采取积极措施,保护相关信息拥有者、会友、供应商、直接和间接第三方以及教会本身的利益。因此,恩信在发生违规案件时,必须立即进行评估和补救措施,以尽量减少相应的责任和风险。本文档提供清晰实用的参考,以指导教会在不同处境中有合乎法理的执行。
2. 政策范围:
隐私保护是教会内部的一项整体性的合作工作。此项政策旨在指导和教育信息处理代表和恩信的一般会友真正实践良好的信息保护。它将涵盖:
a. 领导支持的承诺
b. 信息隐私执行原则
c. 教育和沟通
d. 违规上报和处理
e. 年度隐私影响评估 (APIA)
恩信必须分配特定资源,以确保在整个隐私保护框架的设计、组织、启动和持续审查中合符最新的法律要求和会友的期望。
本政策适用于教会领袖、信息拥有者、信息使用者、教会会友以及第三方人士或机构,他们对信息保护的关注已明确向恩信表达重视 。
3. 隐私保护原则和框架:
3.1 领导支持的承诺
恩信必须实施内部管理结构,以培育尊重隐私的文化,根据外部法律和内部组织条例以负责任的方式指示领导者和会友。
教会领袖的责任就是透过执事会议委任教会隐私主任,批核有关隐私保护的方案,分配足够的资源(包括财政和人力),并积极参与有关不断变化的操作环境的方案的评估和审查。
2020年新西兰隐私法要求教会任命一名教会隐私职员。该职位的任期应为2年,最终必须得到年度会友大会的批准。该职位必须负责至少下列工作:
• 确保各会友遵守第3.2节规定的信息隐私原则,
• 处理信息管理的申请和提问,
• 在调查侵犯隐私的个案期间,教会隐私主任如在需要时应向其他教会领袖寻求意见,
• 培养负责任的组织文化,引领每位领袖和会友都尊重信息隐私的保护。
3.2 信息隐私执行原则
i. 恩信收集信息要有合法的理由,是必需的, 不能过分过量,
ii. 除非信息的拥有者允许从其他信息源头收取其信息,否则,恩信应直接向当事人收集其个人信息,
iii. 恩信应采取合理步骤向收集信息的人保证: a) 收集信息的理由; b) 谁将接触到信息:c) 收集是强制性的还是自愿的:d) 如拒决提供信息的结果,
iv. 恩信只应以合法、公平和不侵害性的方式收集信息,并在收集有关儿童和青少年的信息时特别小心,以遵守Oranga Tamariki Act 1989的法例,
v. 恩信必须确保有合理的安全保障措施,以防止丢失、滥用、未经授权的接触和披露所收集的信息,
vi. 恩信必须让信息拥有者知道他是有权利去接触其信息,以便对已提供的信息作更正、更新和删除,
vii. 恩信保存信息的时间不得超过必要储存的时间,
viii. 恩信只能按最初收集信息时的理由使用信息,
ix. 恩信只能在原先收集信息的目的容许下,或经信息拥有者授权后;或以匿名方式,才可披露有关信息。
3.3 教育和沟通
教会隐私主任负责培育教会会友了解信息隐私保护的重要性。沟通渠道包括:
i. 分别在英,中语崇拜中分享和解释此政策,
ii. 在教会内一个当眼的布告板位置张贴本政策和程序,也同时存放在教会的网页www.epsombaptistchurch.org.nz 当需要时以供参考,
iii. 告知会友若存信息隐私的问题或疑虑时,可向教会隐私主任或教会牧师提出,
iv. 建议会友如要接触,更新或更正其信息时,可向教会隐私主任提出及申请,
v. 透过定期性的小题测验,以培育和确认会友对隐私政策的理解及日后的任何更新
,
vi. 在教会领袖多数共识下,违规案件的内容可按"需要通告"的理据上向会友汇报,以释除误解和疑虑。
3.4 违规上报和处理
会友和信息持份者应有一个既定的渠道和程序来上报违规个件。教会隐私主任联同牧师应及时处理案件,以减低因案件可能引起的相应风险和责任。在严重的情况下,执事也应被邀请参与牧师和隐私主任的调查及处理。
3.5 年度隐私影响评估 (APIA)
APIA 应由教会隐私主任负责每年一次的评估,其实用目的为:
a. 当教会有关键人员转变、政策和程序或法规更改时,评估能指出信息违规处理的潜在风险,
b. 审查各隐私原则和程序,以确保会友正确遵守、理解和执行,或找出需要精简的部分,或可能需要更多的讲解,
c. 年度会友大会向教会领袖和会友汇报评估结果,分享教会的遵守程度,和提议会友在仍存有的潜在风险领域中携手解决的。
评估应涉及以下范畴:
a. 数据保护原则 / 信息收集的目的和方式:
b. 信息的准确性和应存档时间:
c. 信息的正确使用:
d. 信息的保安处理:
e. 信息的合规披露:
f. 接触和更正信息处理:
g. 异样的处理:
h. 沟通和培训:
4. 程序和流程:
4.1 接触教会信息的程序
a. 打算接触教会信息的人士必先填写接触信息申请表(附件A),表格可从教会网页下载,也可直接向教会隐私主任或透过其电邮 该 Email 地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 索取,
b. 表格填写后可亲自或通过电邮发给教会隐私主任,
c. 教会隐私主任和教会牧师将会对申请共同批核和签字,
d. 申请结果(接受或拒绝)由教会隐私主任亲自或通过电邮件通知申请者,
e. 教会隐私主任会对向申请者通知申请不获接纳的理由,
f. 当申请被接受时,教会隐私主任将通知申请者相关渠道提取批核的信息。
4.2 违规上报和处理程序
a. 上报违规个案的人士必先填写违规上报表(附件 B)。表格可从教会网页下载,也可直接向教会隐私主任或透过其电邮 该 Email 地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 索取,
b. 教会隐私主任和教会牧师收到表格后将联系上报人,以澄清和进一步收集有关个案的资料,
c. 或者,上报人也可以预约教会隐私主任和/或牧师在电话上或面对面直接述说个案内容。如有须要,教会隐私主任可代上报人填写表格,
d. 个案成立后,教会隐私主任会同教会牧师成立小组作出客观审查。若个案·较为严重,小组可邀请执事参与审查。一旦个案定论后,小组将决定会否采取以下一项或多项的跟进行动:
i. 通知信息拥有者对他的潜在影响,
ii. 立即采取相应措施,遏制违规行为所带来的损害,
iii. 如有必要,通知监管机构/执法机构,
iv. 进行事后审查检讨,防止同样个案重犯的机会,
v. 如有必要,向会友汇报并解释个案的内容与处理。
4.3 信息管理程序
a. 教会的信息管理是指以下几个方面:
i. 任何人士打算向教友收集隐私或个人信息,
ii. 分配或转变信息储存地方,
iii. 教会隐私主任、牧师、领袖或执事对过时和冗余的信息建议删除。
b. 程序:
i. 任何需要作出信息管理及更改的人士必须填写信息更改表(附件 C)。表格可从教会网页下载,也可直接向教会隐私主任或透过其电邮 该 Email 地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。 索取,
ii. 表格填写后可亲自或通过电邮发给教会隐私主任,
iii. 教会隐私主任和教会牧师将会对申请共同批核和签字,
iv. 申请结果(接受或拒绝)由教会隐私主任亲自或通过电邮件通知申请者,
v. 教会隐私主任会向申请者通知申请不获接纳的理由,
vi. 当申请被接受后,教会隐私主任或透过适当的指定方将执行相应行动。
5. 结论:
在天父的祝福下,恩信在会友会籍、牧养的复杂性和活动多样性方面不断增长,亦因教会与不同社群的内部和外部互动和交往日益繁多,因此收集的信息也将激增。面对今后进一步满有希望的丰盛发展,恩信在教会领袖和会友的坚定支持下,必须继续努力建立和维护良好的隐私操守,以保障信息持份者的利益,同时亦能免去教会或要承担的潜在责任。
*** 结束 ***
附件 A – 接触信息申请表
附件 B – 违规上报表
附件 C – 信息管理表