罗伯茨卫斯理学院GDPR隐私政策
学院承认通用数据保护条例(GDPR)和欧盟公民的权利,其信息可能驻留在其数据处理系统中,并积极努力表明这些欧盟公民个人信息数据处理的合规性. 本文件包含的信息显示了学院在为欧盟公民处理个人数据方面的准备和努力.
数据对象(s)
学院将“数据主体”定义为与个人数据相关的任何自然人. 在学院的背景下,数据主体分为以下几类:
- 学生(准学生、在校生、校友).
- 员工(申请人,现在,过去)
- 其他联系人(代理商、合作伙伴、供应商等.)
个人资料
根据GDPR的定义,与自然人(数据主体)直接或间接相关的任何数据. 个人资料包括可将个人资料与资料当事人联系起来的任何可识别的个人资料.g. 名字, 公民身份证, 电话号码, 电子邮件地址, 性别, 国籍, address, 利益, 职业详情等.
敏感个人资料
学院可能会不时被要求处理敏感的个人资料. 敏感个人数据包括与医疗信息有关的数据, 性别, 宗教, 比赛, 性取向, 工会会员资格、刑事记录和诉讼.
处理个人资料
学院须在合理可行的范围内,尽一切努力确保所有个人资料:
- 公平合法地处理
- 为合法目的而处理的
- 适当、相关且不过度
- 准确和最新
- 根据数据主体的权利进行处理
- 安全
- 然而,目前没有数据转移到其他国家, 如果将来有需要的话, 学院将采取充分的预防措施,防止数据在没有充分保护的情况下转移到其他国家
处理数据的合法依据
GDPR要求处理个人数据有合法依据. 学院存放个人资料以供识别, 处理并与潜在学生的数据主体进行沟通, 当前的学生, 未来的员工, 在职员工和校友. 这些数据的处理是合法和必要的,并且属于以下一个或多个类别:
(一)同意: 美高梅mgm平台在处理与潜在学生和潜在员工沟通的数据时使用个人信息. 虽然美高梅mgm平台目前还没有与这些数据主体签订隐含合同, 数据主体通过填写一份申请表格表示有意来美高梅mgm平台学院学习,从而暗示美高梅mgm平台同意与他们进行沟通. (学生,空单继刚).
(b)合同: 美高梅mgm平台在处理学院与个人签订的默示合同所必需的数据时使用个人信息.g.
- 学生的学术处理;
- 处理员工的工资、财务和税务.
(c)法律义务: 美高梅mgm平台将与公司共享个人信息, 学院以外的组织或个人,如果美高梅mgm平台有善意的信念,访问, 使用, 保存或披露信息是合理必要的,以便:
- 符合任何适用的法律、法规、法律程序或可执行的政府要求.g. 这是学院遵守美国联邦法律以及纽约州和联邦报告要求所必需的.
- 执行适用的服务条款,包括调查潜在的违规行为;
- 检测、预防或以其他方式解决欺诈、安全或技术问题;
- 保护权利不受损害, 学校的财产或安全, 美高梅mgm平台的用户或公众在法律要求或允许的情况下.
(d)公共任务: 对于学院执行公共利益任务或作为纽约州和美国私立学院的官方职能来说,处理是必要的, 该任务或职能具有明确的法律依据. 这些例子有:
- 向国家学生信息中心提供学生统计信息.
- 爱浦多报道.
机密数据
任何属于个人资料定义的资料,否则不会获豁免, 是否会保密,并只会在获得适当同意的情况下向第三方披露.
美国FERPA, GLBA和HIPAA法律
学院还必须根据美国法律保护个人数据,并根据这些法律向州和联邦当局提供信息. 学院符合美国FERPA (《美高梅mgm平台》, 《美高梅mgm平台》和《美高梅mgm平台》. 美高梅mgm平台对这些美国法律法规的遵守优先于GDPR.
数据控制器,数据处理器和外部数据处理器
书院为其资料当事人的所有个人资料担任资料控制者. 数据由双方处理.
- 学院作为自己的数据处理器,使用内部学院拥有的系统来处理学院的数据.
- 在某些情况下, 数据被转移到代表学院处理数据的外部供应商. 学院指定的GDPR团队拥有学院目前将个人数据传递给的当前外部数据处理器组织的列表, 谁代表学院处理个人资料. 学院将尽一切合理的努力使其外部数据处理器遵守此政策.
- 学院将尽一切合理努力处理其内部和外部处理者批准的所有个人数据更改请求.
获取信息的权利
资料当事人有权查阅学院所持有的资料. 任何资料当事人如欲查阅其个人资料,应以书面形式向下述的个人资料管理机构提出要求.
- 学院将尽力在30天内对任何此类书面请求作出回应.
- 学院将需要核实提出要求的资料当事人的身份.
- 一旦数据主体的身份得到验证, 学院将根据现行法规或资料当事人与学院之间的合同义务,决定是否可以执行该要求,或者学院是否必须拒绝该要求.
- 如果请求被批准, 该请求将在学院的内部和外部数据处理区域进行处理.
- 如要求被拒绝,资料当事人会获通知拒绝要求的原因.
豁免
某些数据不受GDPR下获取信息权利的规定的约束. 下面是一些例外的例子:
- 国家安全和预防或侦查犯罪
- 税评税任何税或关税的评税
- 在什么情况下,处理程序是为了行使法律赋予或强加给学院的权利或义务所必需的
- 可能侵犯他人隐私的数据
- 有关豁免的更多信息,请联系RCM.
精度
书院会尽一切合理努力,确保所持有的有关所有资料当事人的个人资料均属准确. 资料当事人必须通知有关学院院系任何有关其资料的更改.
未成年人数据
学院致力于保护儿童的隐私,因此学院不会故意收集或处理16岁以下儿童的数据 除符合儿童在线隐私保护法规定外. 相应的, 16岁以下的儿童只有在父母的许可和监督下才能使用学院提供的服务和项目. 另外, 学院的教师和部门在课堂上为16岁以下的儿童提供课程和服务时,必须根据适用法律获得这些儿童父母的明确同意, 在允许这些儿童访问或使用服务或程序之前.
与监管部门的合规性和合作
如果个人认为学院没有遵守本政策或采取与GDPR不同的行动, 该人员应联系RCM并以书面形式提交投诉,并利用学院的申诉程序.
学院定期审查美高梅mgm平台遵守本政策的情况. 美高梅mgm平台非常重视您的反馈,因此美高梅mgm平台可能会与您联系以索取更多信息或跟进. 美高梅mgm平台将与相关监管机构合作, 包括当地数据保护机构, 解决美高梅mgm平台无法直接与资料当事人解决的有关个人权利或个人资料转移的任何投诉.
数据安全
学院非常重视数据安全,并采取了多层行业适当的步骤,以确保学院委托的个人数据的保护和安全. 学院采用多种行业标准解决方案和流程进行检测, 报告和调查个人数据泄露.
美高梅mgm平台努力保护学院和美高梅mgm平台的数据主体免受未经授权的访问或未经授权的更改, 披露或销毁美高梅mgm平台所掌握的信息. 特别是:
- 美高梅mgm平台在可能的情况下使用SSL加密美高梅mgm平台的服务,无论是在传输中还是在静止状态.
- 美高梅mgm平台审查美高梅mgm平台收集的信息, 存储和处理实践, 包括物理安全措施, 防止对系统的未经授权访问.
- 美高梅mgm平台限制访问个人信息的学院授权的工作人员, 第三方需要知道这些信息以便为美高梅mgm平台处理, 他们有严格的合同保密义务,如果不履行这些义务,可能会受到纪律处分或被解雇.
学院有一个安全事件响应小组(SIRT),是学院应急响应小组的一部分. 该团队使用安全事件响应计划(SIRP). 该计划旨在在发现数据安全漏洞或向学院报告的情况下执行.
GDPR规定,所有组织都有义务向ICO报告某些类型的数据泄露,在某些情况下也有义务向受影响的个人报告. 如果数据泄露属于这些类别, 学院将在SIRT的帮助下做出相应的报告.
GDPR员工培训
该学院定期为员工提供多层数据安全培训. 5月25日起, 2018年起, 与欧盟公民互动的员工和办公室也将包括GDPR定义的个人数据以及如何确保有效保护这些数据的培训.
安全的破坏
当根据此策略保存的数据被销毁时, 它必须在销毁时按照最佳做法安全销毁.
资料的保留
学院可以根据法规或最佳实践的要求,为不同的目的保留数据的不同时期, 各个部门将这些保留时间合并到流程和手册中. 其他法定义务, 法律程序和调查也可能需要保留某些数据. 学院可能会存储一些数据,如寄存器, 照片, 考试成绩, 成就, 书籍、作品等. 无限期地保存在档案中.
数据主体联系点
学院风险与合规经理(RCM)将作为中心人员接受数据主体的个人数据权利请求.
- 如果个人认为学院没有遵守本政策或采取与GDPR不同的行动, 有关人士应联络投诉专员,并以书面提出投诉.
- 学院任命了一个跨职能的GDPR团队,管理与GDPR合规性相关的所有文件,并监督RCM从数据主体收到的所有请求的处理.
- GDPR团队和RCM确保来自数据主体的所有请求在这些请求的30天规定期限内得到解决.
- 注册部协助GDPR团队履行这些职责, 信息技术部, 招生管理处和人力资源部.
学院位置
学院位于西侧大道2301号, 纽约罗切斯特, 美国及其所有主要数据保护监管机构都在这里开展业务.