什么是GDPR?
通用数据保护条例(GDPR)是一项欧洲法律 它建立了对个人隐私和安全的保护 欧洲经济区(EEA)国家的个人数据. It 适用于个人信息的收集和使用:

1. 通过在欧洲经济区国家境内的活动，
2. 这与向欧洲经济区提供商品和服务有关 居民,或
3. 这包括监控欧洲经济区居民的行为.

GDPR将于2018年5月25日生效.

 

哪些国家采用了GDPR?

组成欧洲经济区(EEA)的国家都是 采用GDPR. 这包括所有欧盟(EU)国家，如 以及其他一些国家:奥地利、比利时、保加利亚、克罗地亚、塞浦路斯、 捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、 匈牙利、冰岛、爱尔兰、意大利、拉脱维亚、列支敦士登、立陶宛、 卢森堡、马耳他、荷兰、挪威、波兰、葡萄牙、罗马尼亚、 斯洛伐克、斯洛文尼亚、西班牙、瑞典和英国.

 

这是一项欧洲法规. 它对我在美国有影响吗.S.?

是的. 个人资料收集于或转移自任何 上述国家均受GDPR的约束.

 

我为什么要关心GDPR?

研究人员必须遵守所有的法规和政策 覆盖你的研究. 如果做不到这一点，大学和 您将面临违规、罚款和声誉的风险 伤害. 与GDPR违规相关的罚款是 特别是巨额. 罚款最高可达2000万欧元，相当于罚款总额的4% 大学上一财政年度全球年收入.

 

GDPR如何定义“个人资料”??

GDPR定义了“个人资料作为“任何信息” 与已识别或可识别的自然人(“数据主体”)有关的.”

An ‘可识别的人的定义是“某人” 可以直接或间接地识别，特别是通过参考 到一个标识符，如名称、标识号、位置 数据，一个在线标识符或一个或多个特定的因素 生理的、生理的、基因的、心理的、经济的、文化的或社会的 自然人的身份.”

根据GDPR，个人数据还包括:种族或民族 出身、政治观点、宗教信仰、工会会员资格、 健康(身体或精神)、遗传数据和性取向/性活动.

一般来说，GDPR与研究有什么关系?

1. 它确定了在何种情况下，它是合法的 收集、使用、披露、销毁或以其他方式处理个人数据.’
2. 它确立了个人在欧洲经济区的某些权利，包括 查阅、修改和删除的权利.e.(被遗忘的权利).
3. 它要求研究人员实施适当的技术和 组织安全措施，以确保一定程度的数据安全 这与数据的风险是合适的.
4. 它需要通知数据保护机构和 受影响的人在发现病毒72小时内 个人数据泄露，这是一个安全漏洞导致 意外或非法破坏、遗失、篡改、未经授权 披露或查阅传输、储存或 否则加工.

 

哪些活动受GDPR约束?

1. 涉及可识别资料的活动，如个人资料是 收集自一个或多个研究参与者的信息 物理位置 在欧洲经济区的数据 收集(即使参与者不是欧洲经济区居民).
2. 涉及 个人资料的转移 根据GDPR从欧洲经济区国家向非欧洲经济区国家收集的数据.

 

有哪些活动不受GDPR的约束?

涉及收集可识别个人资料的活动 这些人 实际位于美国境内 州 在数据收集时(即使 参与者为欧洲经济区公民).

 

如果数据是事先收集的，GDPR是否适用于我的项目 至条例于2018年5月25日生效?

是的，如果您仍在处理和/或存储原始数据 在欧洲经济区国家收集，大学仍然需要满足 作为数据控制者在GDPR下的义务. 然而，它是 没有必要重新同意研究参与者的数据 是在2018年5月25日之前收取的吗.

请注意，如果还在从 2018年5月24日之后的欧洲经济区参与者，这些新收集的数据 受GDPR的约束，您需要更新您的同意书吗 在收集新数据之前. 请与…办公室联系 研究合规及诚信((电子邮件保护), (616) 331-3197)更新同意书.

 

我可以采取哪些步骤来帮助确保我的项目符合gdpr要求?

研究人员:

1. 应该 收集 只有绝对最少的个人/人口统计数据 需要完成这项研究. 如果一项研究只能使用 强烈鼓励去标识的数据. (注:网上有很多 调查网站收集个人信息，包括IP地址， 默认情况下. 确保你设置你的学习只接收 您正在寻找的信息.)
2. 只能使用 主动(“选择加入”)知情同意. 同意必须是自由的，具体的，知情的，明确的，并且 显式的. 数据处理和传输的描述 要执行的活动，如适用，必须包括在 知情同意文件. 根据知情同意 说明，“点击下一步继续调查”按钮或 对于在线数据的“主动”同意，等效是足够的 集合. 沉默、预先打勾和不活动则不然 构成“主动”同意.
3. 在可能的范围内，必须核实任何 第三方 网站或应用程序被用于数据 收集是符合gdpr的.
4. 必须包括 隐私声明 作为 知情同意文件. ORCI目前正在起草 模板语言包括任何研究涉及 以互联网为媒介的研究和/或信息收集 欧洲经济区的个人.
5. 必须在 知情同意即数据泄露 是一个潜在的风险 研究的内容.
6. 对于收集可识别数据的活动，必须具有 an 在事件a中删除数据的可执行计划 参与者请求删除他们的数据. (注意: 知情同意文件要求参与者是 通知他们的参与是自愿的，他们可以 leave the study at any point; 知情同意文件 does not 要求研究人员提供文件 如何 数据擦除 会发生吗.)
7. 必须 如果发生意外，立即通知学校 数据泄露.

GDPR是否只适用于经过审核的项目 经GVSU机构审查委员会(IRB)批准?

No. GDPR是一个完全独立的法规 监督人体实验的机构. 在某些情况下 项目可能不属于IRB审查，但仍需要遵守 GDPR.

 

我的项目之前得到了IRB的批准. 我需要做什么 任何进一步符合GDPR的事情?

可能. 下一步的行动将取决于你是谁以及你的表现 招募参与者和收集数据. 请联系 研究合规及诚信办公室((电子邮件保护); (616) 331-3197) to 如果你的研究涉及以下任何一项，请讨论你的研究方案 2018年5月24日以后:

1. 通过社交媒体网站招聘
2. 使用第三方互联网网站(如Qualtrics、Skype、 等.)或应用程序收集数据
3. 直接接收来自个人(参与者，研究)的数据 合作者等.)在欧洲经济区国家.

如果在与ORCI讨论了您的协议后确定 协议变更是必要的，这些变更需要正式进行 通过《博天堂官方》提交，并经委员会批准 IRB. ORCI将与IRB合作，加快对变更的审查 尽快调整到受gdp影响的协议，以努力 在你的研究中避免任何延误.

GDPR是否有特殊的同意要求?

是的. 被收集或转移资料的参加者必须 积极“选择加入”所有涉及gdp的研究. 这意味着他们必须 在表格上签名，在方框里打勾，或者以其他方式 积极 表明他们将允许他们的数据被用于拟议的 研究活动. 收集资料时不允许使用“选择退出”同意书 的gdp数据. 沉默、预先打勾和不活动则不然 构成同意. 点击这里 对于知情同意模板 可以用于IRB研究.

 

我的研究包括从欧洲经济区参与者那里收集数据，但是 所收集的数据不是私人身份信息. Is 我的项目仍然受GDPR的约束?

不可以，只要所收集的资料不能直接用于或 间接识别参与者. 但是请注意，某些第三方 数据收集站点(如调查托管站点)可能会收集 受GDPR保护的个人数据，即使这些信息不受GDPR保护 作为研究员传给了你. 使用第三方网站时， 您作为研究人员(以及获得研究同意的人) 参与者)负责确保第三方网站的安全性 以符合gdpr的方式运作. 这可以通过审查来完成 (在可能的范围内)网站的隐私和安全政策 你正在使用.

 

我将去一个受GDPR保护的国家旅行 在旅途中向美国发送数据. 这是 受GDPR影响?

是的，如果您正在发送GDPR定义的任何“个人数据”. 当您实际位于欧洲经济区国家时，您发送的任何个人数据 受GDPR的约束，即使你是美国人.S. 公民. 任何数据下降 根据GDPR要求，数据主体必须提供同意才能允许 要发生的数据传输. 因此，如果这个同意不是 获取后，数据无法传输.

 

我的研究项目包括招募参与者和/或 通过互联网网站收集数据. 这是否属于GDPR?

可能. 由于在线调查/访谈可以从任何 有互联网接入的地点，参加者可能正在从事您的工作 在你不知情的情况下从欧洲经济区的地点进行研究项目. 因此, 所有涉及在线收集个人身份信息的活动 信息的设计应符合gdpr.

你是 强烈建议 的后面加一个问题 开始你的调查，以确定个人是否 从欧洲经济区地点参加. 这个问题的答案是a 一种简单的方法来确定你的活动中是否有参与者 受GDPR保护. 或者，你可以用这个问题来 在收集之前从参与者池中删除EEA参与者 任何可识别的数据，从而确保您的活动不会下降 根据GDPR.

 

我正在与欧洲经济区的研究参与者直接联系 为我的研究获取信息. 这是否属于GDPR?

是的，如果参与者向你提供定义上的“个人资料” GDPR. 请联系研究合规和办公室 完整性((电子邮件保护); (616) 331-3197)来讨论你的具体项目.

 

保护gdp数据的最佳方法是什么?

根据GDPR，适当的技术和组织 措施必须到位，以确保适当的安全级别 的风险. 人权委员会已经要求采取类似的措施 对人类受试者的研究. (见 IRB 730年政策 了解更多信息.)此外，GVSU有安全 为收集私人信息的研究人员提供服务器 identifiable information; researchers are encourage to use those 用于存储任何项目的项目数据的安全服务器 涉及个人或敏感资料. 只要有可能，研究人员 还应将可识别数据转换为非可识别数据 最早可能在项目和个人破坏点 尽可能识别数据. (注:如果数据销毁是一个 作为研究计划的一部分，参与者必须被告知这一点 知情同意文件.使用这些服务器可以帮助确保 在请求删除数据时，数据将被适当地销毁. 请联络霍奇曼((电子邮件保护); (616) 331-2441) 有关访问和使用安全服务器的详细信息.

 

什么是“删除权”??

根据GDPR，个人有权要求他们的 以前提供的数据将被删除. 如果个人受保 GDPR在数据收集后的任何时候都会联系你，要求你提供他们的数据 如需删除资料，请联络研究合规办公室 诚信((电子邮件保护); (616) 331-3197).

GVSU为研究人员提供安全的服务器 收集ing private identifiable information; researchers are encourage 使用这些安全服务器来存储他们的项目数据. 使用 这些服务器可以帮助确保在事件中正确销毁数据 要求删除数据. 请联络霍奇曼((电子邮件保护); (616) 331-2441) 有关访问和使用安全服务器的详细信息.

 

如果有数据泄露的研究受GDPR的影响，怎么办 需要发生?

GDPR对数据报告有严格的规定和时间表 违反. 因此，在项目中发生的任何数据泄露都涉及 GDPR-covered研究 必须在24小时内报告 向负责研究的副教务长报告漏洞的识别信息 政府 (罗伯特·聪明, (电子邮件保护); (616) 331-) 以及研究合规和诚信办公室 ((电子邮件保护); (616) 331-3197). 应传达以下信息:

1. 破口类型
2. 个人资料的性质、敏感性及数量
3. 个人后果的严重性
4. 受影响个体的数量和特征
5. 易于识别个人
6. IRB协议号，如适用

负责研究管理的副教务长将评估 并采取适当的下一步措施. 研究人员不应该 就数据泄露直接联系受影响的个人，除非 由负责研究管理的副教务长明确指示这样做.

如果违反了IRB协议，也必须报告给 在7个日历日内通过可报告事件表向IRB报告.

如果有进一步的问题，我可以联系谁?

请联络研究合规及诚信办公室((电子邮件保护); (616) 331-3197) regarding 任何与研究和GDPR相关的问题.