Patakaran sa Pagiging Kumpidensyal
Sinuri: 07/12/2025
Takdang-araw: 07/12/2027
Panimula
Ang Elm Foundation ay nakatuon sa pagprotekta sa lahat ng personal, sensitibo, at kumpidensyal na impormasyon na hawak, pinoproseso, o ibinabahagi nito. Ang Patakaran sa Pagiging Kumpidensyal na ito ay nagbabalangkas ng mga legal, etikal, at operasyonal na kinakailangan na naaangkop sa lahat ng empleyado, boluntaryo, kontratista, at mag-aaral.
Pinapalakas ng bersyong ito ang pagsunod sa:
- UK GDPR at Batas sa Proteksyon ng Datos 2018
- Karaniwang Tungkulin ng Kumpidensyalidad sa Batas
- Human Rights Act 1998 (Artikulo 8)
- Batas sa Pag-abuso sa Kompyuter 1990
- Mga Kodigo ng Gawi ng ICO
- Batas Pangkaligtasan (Bata at Matanda)
Ang organisasyon ay naaayong sa batas at etikal na tungkulin na tiyakin ang proteksyon ng kumpidensyal na impormasyon laban sa hindi awtorisadong pagsisiwalat, aksidenteng pagkawala, maling paggamit, o hindi angkop na pag-access. Ang tungkuling ito ay para sa lahat ng empleyado, hindi alintana ang kanilang posisyon.
2. Saklaw
Ang patakarang ito ay naaangkop sa:
- Lahat ng empleyado (permanent at pansamantala)
- Mga boluntaryo, trustee, mag-aaral, at kontraktor
- Sinumang taong nakaka-access ng kumpidensyal na impormasyon sa kanilang tungkulin
Sakop nito ang lahat ng uri ng impormasyon, kabilang ang:
- Papel at mga talaan sa elektronik
- Impormasyong berbal
- Mga email, sistema ng pagmemensahe, naitalang media
- Mga mobile phone, laptop, tablet, USB device
- Mga larawan, CCTV, at digital na imahe
3. Mga Tungkulin at Responsibilidad
3.1 Punong Tagapamahala (CEO)
- May lubos na pananagutan para sa pagsunod sa confidentiality at information governance
- Gampanan bilang Senior Information Risk Owner (SIRO)
- Mga pahintulot ng mga desisyon ng organisasyon tungkol sa panganib sa impormasyon
3.2 Pinuno ng Operasyon
- Tinitiyak na ang patakarang ito ay nakapaloob sa mga operational system
- Nangangasiwa sa pagsunod at sinisigurong naipararating ang mga paglabag
- Tinitiyak na ang mga empleyado ay may sapat na pagsasanay at superbisyon
3.3 Mga Tagapamahala ng Serbisyo
- Siguraduhing isasama sa mga kontrata ng empleyado ang mga kasunduan sa pagiging kompidensyal
- Magbigay ng induction at patuloy na superbisyon na sumasaklaw sa confidentiality
- Ipagbigay-alam agad ang mga paglabag
3.4 Lahat ng Empleyado
Ang bawat empleyado ay kinakailangang:
- Kumpletong kumpidensyalidad at pagsasanay sa GDPR
- Sundin ang lahat ng mga polisiya ng organisasyon at mga legal na kinakailangan
- Palaging pangalagaan ang kumpidensyal na impormasyon
- I-report agad ang mga paglabag o alalahanin
Ang paglabag sa pagiging kumpidensyal ay maaaring magresulta sa aksyong pandisiplina hanggang sa pagpapatalsik at maaaring humantong sa mga usaping sibil o kriminal.
4. Mga Pangunahing Prinsipyo ng Kumpidensyalidad
Lahat ng empleyado ay dapat sumunod sa mga sumusunod:
- Ang kumpidensyal na impormasyon ay dapat palaging protektado.
- Ang pag-access ay dapat lamang mangyari batay sa mahigpit na ‘pangangailangang malaman’.
- Ang impormasyon ay dapat gamitin lamang para sa layunin kung saan ito kinolekta.
- Ang pagbabahagi ng impormasyon ay dapat naaayon sa batas, minimal, may katwiran, at nakadokumento..
- Ang lahat ng desisyon na ibahagi o isapubliko ay dapat naitala.
- Ang mga alalahanin tungkol sa pagbabahagi ay dapat i-escalate sa isang manager, Head of Operations, o CEO.
Dapat palaging maipagtanggol ng organisasyon ang anumang desisyon sa pagbabahagi ng impormasyon.
5. Mga Kinakailangan sa Pangangasiwa at Seguridad ng Impormasyon
Dapat tiyakin ng mga empleyado:
- Malinis ang mga workpace
- Ang mga kumpidensyal na dokumento ay nakaimbak sa mga naka-lock na lugar kapag hindi ginagamit.
- Ang elektronikong impormasyon ay nakaimbak lamang sa mga awtorisado at naka-encrypt na sistema.
- Walang kumpidensyal na impormasyon na nai-save sa mga personal na aparato
- Ang mga personal na email account ay hindi kailanman ginagamit para sa impormasyon sa trabaho
- Ang mga nakalimbag na kumpidensyal na dokumento ay ginigilit.
Hindi dapat kailanman: Mga Empleyado
- Iwanang nakikita o hindi binabantayan ang mga tala
- Talakayin ang mga kumpidensyal na bagay sa pampubliko o bukas na mga lugar
- Ibahagi ang mga password o payagan ang iba na gamitin ang kanilang login
- Pag-access ng mga talaan dahil sa kuryosidad o walang lehitimong layunin
Ang hindi awtorisadong pag-access ay malubhang pagsuway at maaaring isang krimen.
6. Pagbubunyag ng Personal o Kumpidensyal na Impormasyon
Ang impormasyon ay dapat lamang ibunyag kapag isa sa mga sumusunod na kondisyon ang nalalapat:
6.1 Sa Pahintulot
- Wasto, may kaalaman, at nakasulat na pahintulot mula sa indibidwal
6.2 Kapag Kinakailangan ng Batas
- Mga utos ng korte, mga kahilingan ayon sa batas, o mga legal na tungkulin
6.3 Pangangalaga
- Kung saan ang isang bata o matanda ay nasa panganib na mapinsala
- MARAC o mga referral para sa pangangalaga
6.4 Interes ng Publiko
- Upang maiwasan ang malubhang krimen o panganib sa publiko
- Dapat awtorisado ng isang Pinuno ng Serbisyo
6.5 Datos na Naka-anonimo
- Impormasyon na ginawang anonymous alinsunod sa mga pamantayan ng ICO
Lahat ng mga pagsisiwalat ay dapat na nararapat na maitala at mabigyan ng katwiran.
7. Paggawa mula sa Malayò o Labas ng Pook
Ang mga empleyadong nagtatrabaho sa labas ng mga lugar ng organisasyon ay dapat:
- Bawasan ang dami ng kumpidensyal na impormasyong dadalhin sa labas ng opisina
- Siguraduhing nakalagay ang mga dokumento sa mga lalagyang selyado at hindi nasisilip.
- Laging ilagay sa sarili ang kumpidensyal na materyal habang naglalakbay
- Itago ang mga dokumento nang ligtas sa bahay (hal., naka-lock na drawer)
- Huwag mag-iwan ng mga dokumento na nakikita sa mga sasakyan, pampublikong lugar, o mga tahanang pinaghahatian.
Ang mga electronic device ay dapat:
- Maging naka-encrypt
- Huwag ibahagi sa mga miyembro ng pamilya
- I-lock kapag hindi ginagamit
Ang pagtatanggal ng mga pisikal na dokumento mula sa mga pasilidad ay dapat aprubahan muna ng manager.
8. Kapabayaan at mga Paglabag na Maiiwasan
Maaaring personal na managot ang mga empleyado para sa mga paglabag na dulot ng kapabayaan.
Halimbawa nito ay:
- Naiwang walang bantay ang mga talaan
- Hindi pag-lock ng mga screen
- Pagtalakay ng kumpidensyal na impormasyon kung saan maaaring marinig ng iba
- Pagkawala ng mga kagamitang naglalaman ng sensitibong impormasyon
Ang pagbabahagi ng password o pag-iwan sa mga sistema na naka-log in ay malubhang maling pag-uugali at maaaring humantong sa pagpapatalsik.
Pagsasamantala sa Pribilehiyo
Sa ilalim ng walang kalagayan maaaring ang mga empleyado:
- Ma-access ang mga tala ng mga kaibigan, pamilya, o kakilala
- Makuha ang impormasyon dahil sa personal na pagka-usyoso
Ang ganitong pag-access ay:
- Paglabag sa kontrata
- Paglabag sa Data Protection Act 2018
- Maaaring isang kriminal na paglabag sa ilalim ng Computer Misuse Act 1990
Magsasagawa ng mga audit upang matukoy ang hindi naaangkop na pag-access.
10. Pag-uulat ng mga Paglabag
Lahat ng empleyado ay dapat agad na iulat ang paglabag sa confidentiality sa:
- Ang kanilang Service Manager
- Pinuno ng Operasyon
- CEO (lahat ng paglabag ay dapat iparating sa kaalaman ng CEO)
Kasama sa mga dapat i-report na paglabag:
- Hindi awtorisadong pag-access sa sistema
- Pagkawala o pagnanakaw ng mga dokumento o aparato
- Mga maling naipadala na email
- Mga maling pahayag
- Pagbabahagi ng password
- Maling pagtatapon ng kumpidensyal na basura
11. Pagsasanay
Lahat ng empleyado ay dapat kumpletuhin:
- Pagsasanay sa confidentiality ng induction
- Pagrepaso ng pagsasanay sa GDPR
- Karagdagang pagsasanay kung saan nalalapat ang mga panganib na tukoy sa tungkulin
Susubaybayan ang pagsunod sa pagsasanay.
12. Pagsubaybay at Pagsusuri
Ang pagtalima sa patakarang ito ay susubaybayan sa pamamagitan ng:
- Panloob na auditing
- Panlabas na mga pagtatasa ng mga komisyoner at mga accreditation body
- Pangangasiwa sa pamamahala ng linya
- Mga ulat ng insidente at mga aral na natutunan
Susuriin ng Board of Trustees ang mga natuklasan sa audit.
13. Mga Dapat at Hindi Dapat Gawin
Gawin:
- Protektahan ang lahat ng personal at kumpidensyal na impormasyon
- Patunayan ang pagkakakilanlan bago ibahagi ang impormasyon
- Ibahagi ang kinakailangang pinakamababa
- Mag-record ng mga desisyon upang ibahagi nang walang pahintulot
- Ipagbigay-alam agad ang mga paglabag
Huwag:
- Magbahagi ng impormasyon nang walang legal na batayan
- Itago ang mga kumpidensyal na materyal sa bahay maliban kung awtorisado
- Gamitin ang mga personal na aparato para sa gawaing pang-organisasyon
- Panatilihin ang impormasyon nang mas matagal kaysa sa kinakailangan
- Ipasa ang mga email sa trabaho sa mga personal na account
14. Mga Apendise (Napanatili at Pinalawak)
Apendise A: Buod ng Batas
Apendiks B: Mga Halimbawa ng Paglabag
Apendiks C: Mga Kahulugan
Apendise A
Ang Elm Foundation ay obligado na sumunod sa lahat ng nauugnay na batas ng UK at European Union
batas. Ang obligasyong sumunod sa batas na ito ay ipapasa sa
mga empleyado ng The Elm Foundation, na maaaring personal na managot sa anumang
mga paglabag sa seguridad ng impormasyon kung saan sila ay maaaring managot. Ang Elm
Ang pundasyon ay dapat sumunod sa mga sumusunod na batas at gabay kung naaangkop:
GDPR at DPA 2018
Regulahin ang paggamit ng “personal na data” at nagtatakda ng anim na prinsipyo upang matiyak na
ang personal na data ay:
1. Napoproseso nang naaayon sa batas, patas at sa paraang malinaw hinggil sa mga indibidwal
2. Nakolekta para sa tiyak, malinaw at lehitimong mga layunin at hindi pa karagdagan
napoproseso sa paraang hindi tugma sa mga layuning iyon; karagdagan
pagproseso para sa mga layuning arkibo para sa kapakinabangan ng publiko, siyentipiko o historikal
mga layuning pangpananaliksik o mga layuning pang-estadistika ay hindi ituturing na
hindi tugma sa mga paunang layunin
3. Sapat, kaugnay at limitado sa kailangan hinggil sa
mga layunin kung saan sila pinoproseso
4. Tumpak at kung kinakailangan ay napapanatiling napapanahon
5. Napanatili sa isang anyo na nagpapahintulot sa pagtukoy ng mga paksa ng datos nang hindi lalampas sa
kinakailangan para sa mga layunin kung saan pinoproseso ang personal na data
6. Pinoproseso sa paraang tinitiyak ang naaangkop na seguridad ng personal na datos,
kasama ang proteksyon laban sa hindi awtorisado o ilegal na pagpoproseso at laban sa
aksidenteng pagkawala, pagkasira, o pinsala, gamit ang angkop na teknikal o
mga panukalang pang-organisasyon.
▪ Ang tungkuling magbahagi ng impormasyon ay maaaring maging kasinghalaga ng tungkuling magprotekta
pagiging kumpidensyal ng pasyente
Artikulo 8 ng Human Rights Act (1998)
Tumutukoy sa “karapatan ng isang indibidwal na igalang ang kanyang pribado at pampamilyang buhay, para sa kanyang
at tahanan at para sa kanilang korespondensya”. Ito ay nangangahulugan na dapat gawin ng mga pampublikong awtoridad
at ang kanilang mga ginagawa ay hindi makasagabal sa mga aspetong ito ng buhay ng isang indibidwal. 11
Ang Computer Misuse Act (1990)
Ginagawang ilegal ang pag-access sa data o mga computer program nang walang pahintulot at
nagtatatag ng apat na paglabag:
▪ Hindi awtorisadong pag-access sa data o mga programa na nasa isang computer hal. upang makakuha o
tingnan ang impormasyon tungkol sa mga kaibigan at kamag-anak.
▪ Hindi awtorisadong pag-access na may layuning gumawa o magpadali ng mga karagdagang paglabag
hal. para mangloko o manlanta.
▪ Mga hindi awtorisadong kilos na may layuning makapinsala, o may kapabayaan na makapinsala,
ang pagpapatakbo ng isang computer halimbawa upang baguhin ang data o mga programang nakaimbak sa computer
nang walang pahintulot; at
▪ Paggawa, pagsuplay, o pagkuha ng mga kagamitan para sa paggamit sa mga paglabag 1-3
Karaniwang Tungkulin ng Kumpidensyalidad sa Batas
Ang impormasyong ibinigay nang kumpidensyal ay hindi dapat ibunyag nang walang pahintulot maliban kung
isang makatuwirang dahilan halimbawa, isang kinakailangan ng batas o mayroong nangingibabaw na pampublikong
interesadong gawin ito.
Apendise B
Ano ang dapat iulat?
Ang maling paggamit ng personal na datos at mga insidente sa seguridad ay kailangang i-report upang ang mga hakbang ay maaaring
ginawa upang maitama ang problema at masiguro na ang ganitong problema ay hindi na maulit
ulit.
Lahat ng paglabag ay dapat iulat sa isang Service Manager, Head of Operations o CEO.
Dapat ipagbigay-alam sa CEO ang lahat ng paglabag.
Kung hindi sigurado ang mga empleyado kung ang isang partikular na aktibidad ay bumubuo ng paglabag sa isang impormasyon
patakaran sa pamamahala o seguridad ng IT, dapat nilang pag-usapan ang kanilang mga alalahanin sa kanilang
Tagapamahala ng serbisyo. Ang sumusunod na listahan ay nagbibigay ng mga halimbawa ng paglabag sa patakarang ito na
dapat i-report:
Pagbabahagi ng mga password
Hindi awtorisadong pag-access sa mga sistema, maging ng mga empleyado o ng isang ikatlong partido
Hindi awtorisadong pag-access sa impormasyong makatutukoy sa isang tao kung saan ang miyembro ng
ang mga empleyado ay hindi nangangailangan ng access o hindi kailangan malaman 12
Pagbubunyag ng impormasyong nagpapakilala sa isang tao sa third party kung saan walang
katwiran at mayroon kang mga alalahanin na hindi ito naaayon sa datos
batas sa proteksyon.
Pagpapadala ng impormasyong makapagpapakilala sa tao o kumpidensyal sa paraang lumalabag
pagiging kumpidensyal
▪ Pag-iiwan ng impormasyong nagpapakilala sa tao o kumpidensyal na impormasyon sa pampublikong lugar
lugar
▪ Pagnanakaw o pagkawala ng impormasyong makakakilala sa isang tao o kumpidensyal na impormasyon
▪ Pagtatapon ng impormasyong makikilala ang pagkatao o kumpidensyal sa paraang
nilalabag ang confidentiality ibig sabihin, itinatapon ang impormasyon na makakapagpakilala ng isang tao sa isang
ordinaryong basurahan.
Naghahanap ng Gabay
Hindi posible na magbigay ng detalyadong gabay para sa bawat posibleng mangyari. Kaya naman, kung saan
Kailangan ng karagdagang kalinawan, dapat humingi ng payo mula sa isang Service Manager.
Apendise C
Ang impormasyong makakapagpakilala ng isang tao ay anumang bagay na naglalaman ng paraan upang matukoy ang isang
tao, halimbawa, pangalan, tirahan, postcode, petsa ng kapanganakan, NHS number, National
Numero ng seguro atbp. Anumang datos o kumbinasyon ng datos at iba pang impormasyon, na
ay hindi direkta na matukoy ang tao, ay makakasatisfy din sa kahulugan.
Pagiging Kumpidensyal
Nagkakaroon ng tungkulin ng pagiging kumpidensyal kung saan ang isang tao ay naglalahad ng impormasyon sa iba (hal.
pasyente sa clinician) sa mga pangyayari kung saan makatuwirang asahan na ang
Ang impormasyon ay mananatiling kumpidensyal.
Mga espesyal na kategorya ng personal na impormasyon (dating kilala bilang ‘sensitibo’)’
k personal na data) ayon sa kahulugan ng GDPR at DPA 2018 ay tumutukoy sa personal
impormasyon tungkol sa:
Lahi o etnisidad
Mga opinyong pampulitika
▪ Pananampalataya o pilosopikal na paniniwala 13
▪ Pagiging miyembro ng unyon ng manggagawa
▪ Datos henetiko at biyometriko
Datos pangkalusugan
▪ Kasaysayang sekswal at/o oryentasyong sekswal
▪ Datos ng mga hatol sa krimen
Ang impormasyong hindi nakakakilanlan ng tao ay maaari ding uriin bilang kumpidensyal tulad ng
kumpidensyal na impormasyon ng negosyo hal. mga ulat pinansyal; sensitibong komersyal
impormasyon, halimbawa, mga kontrata, mga lihim ng kalakalan, impormasyon sa pagkuha, dapat din
maging may parehong antas ng pag-aalaga.