隐私政策
美国心脏协会相信,它从其项目、产品和服务中收集的数据是促进我们建设远离心血管疾病和中风的更健康生活的重要资源。由于这一重要资源的潜力可以加深我们对这些疾病的风险、后果和未来治疗方法的理解,美国心脏协会寻求以一种能够使其以最有利于推进其使命和公众利益的方式使用收集的数据的方式获得数据。同时,AHA尊重个人了解和指导他们的私人信息如何被使用的权利。
在实现这些目标的过程中,美国心脏协会收集个人身份信息(PII)和至少与PII同样敏感的其他信息的所有项目和活动的设计和实施应确保收集、存储、使用、披露和销毁该PII: (a)完全遵守任何适用的隐私法律和法规;(b)只在授予的许可范围内,如需要许可;(c)根据信息类型提供商业上合理的安全保护;(d)符合美国心脏协会建立没有心脏病和中风的健康生活的使命,并承诺尊重个人保护隐私的愿望。所有设计和执行收集、存储、使用、披露或销毁PII程序的工作人员和志愿者必须按照本隐私政策、以下隐私标准和适用的AHA隐私与安全程序进行。
隐私标准
美国心脏协会收集个人身份信息或至少与PII一样敏感的任何信息的所有程序和活动,应使用当前行业标准实践来设计和执行,旨在确保PII按照隐私政策和本隐私标准被收集、存储、使用、披露和销毁。在任何AHA项目或活动收集或使用PII之前,负责项目或活动的业务单位应以所需格式制定并记录具体的隐私与安全程序,以确保符合隐私政策和本标准。除其他要求外,隐私与安全程序应概述:
- PII如何被AHA项目或活动收集;
- 收集什么类型的PII;
- 它将从哪里收集;
- 如何使用和共享;
- 如何控制AHA人员对PII的访问;
- 如何保持PII的准确性、完整性和安全性;
- PII将保存多久,将如何销毁;而且
- 个人如何获取、确认、更正或请求永久删除(在法律要求删除的范围内)AHA控制下的任何PII。
在收集或使用PII之前,每个项目或活动的隐私与安全程序必须得到业务技术、法务和相关业务部门首席执行官的批准,无论PII是以电子形式收集还是以硬拷贝形式收集。
标准1-遵守法律和问责:
AHA将遵守所有适用的隐私和安全法律法规。AHA将要求其供应商、志愿者和员工遵守适用的法律法规、AHA隐私政策、本AHA隐私标准和任何适用的隐私与安全程序。
标准2 -透明度:
美国心脏协会将向向美国心脏协会提供自己的PII的个人提供隐私政策和隐私标准,并将在其网站上发布一份概述其隐私政策和隐私标准的声明。当向个人请求同意时,无论是在线上还是离线,AHA将描述将收集什么信息,AHA向他们请求什么权限,以及该个人如何选择不收集此类PII或稍后撤回同意。当个人要求同意收集或使用PII时,AHA将以在当时情况下合理的方式记录同意。
标准3 -披露限制:
由于AHA重视并尊重个人对某些个人信息保密的愿望,AHA不会向第三方披露PII,但以下情况除外:1)在法律要求同意的情况下,仅用于提供其PII的个人同意范围内的目的;2)与获得批准的原始明确目的一致或必须实现的目的,并与AHA的总体使命有关的目的;(三)法律另有规定的。如果需要获得个人同意,则应在收集信息时或之前获得这种个人同意,或在以个人事先同意以外的方式使用信息之前获得这种个人同意。
标准4 -安全措施:
AHA将采用合理和适当的安全措施,保护PII免受未经授权的访问、使用、修改或披露,并应确保其负责的所有PII至少在任何适用法律要求的安全环境中进行维护。在销毁PII时,AHA将使用适用的合理行业标准以防止未经授权的披露。