Main content
Home - GDPR Privacy Policy

Roberts Wesleyan College GDPR Privacy Policy

学院承认通用数据保护条例(GDPR)和欧盟公民的权利,其信息可能驻留在其数据处理系统中,并积极努力表明这些欧盟公民个人信息数据处理的合规性. 本文件包含的信息显示了学院在为欧盟公民处理个人数据方面的准备和努力.

Data Subject(s)

学院将“数据主体”定义为与个人数据相关的任何自然人. 在学院的背景下,数据主体分为以下几类:

  • Students (prospective, current, alumni).
  • Employees (applicants, current, past)
  • Other contacts (agents, partners, vendors etc.)

Personal Data

根据GDPR的定义,与自然人(数据主体)直接或间接相关的任何数据. 个人资料包括可将个人资料与资料当事人联系起来的任何可识别的个人资料.g. name, citizen Id, phone number, email address, gender, nationality, address, interests, career details etc.

Sensitive Personal Data

学院可能会不时被要求处理敏感的个人资料. 敏感个人数据包括与医疗信息有关的数据, gender, religion, race, sexual orientation, trade union membership and criminal records and proceedings.

Processing Personal Data

学院须在合理可行的范围内,尽一切努力确保所有个人资料:

  • Fairly and lawfully processed
  • Processed for a lawful purpose
  • Adequate, relevant and not excessive
  • Accurate and up to date
  • Processed in accordance with the data subject's rights
  • Secure
  • Currently no data is transferred to other countries however, if the need arises in the future, 学院将采取充分的预防措施,防止数据在没有充分保护的情况下转移到其他国家

Lawful bases for processing data

GDPR requires a lawful basis for processing personal data. The college houses personal data to recognize, 处理并与潜在学生的数据主体进行沟通, current students, prospective employees, current employees and alumni. 这些数据的处理是合法和必要的,并且属于以下一个或多个类别:

(a) Consent: 美高梅mgm平台在处理与潜在学生和潜在员工沟通的数据时使用个人信息. 虽然美高梅mgm平台目前还没有与这些数据主体签订隐含合同, 数据主体通过填写一份申请表格表示有意来美高梅mgm平台学院学习,从而暗示美高梅mgm平台同意与他们进行沟通. ( students, employees).

(b) Contract: 美高梅mgm平台在处理学院与个人签订的默示合同所必需的数据时使用个人信息.g.

  • Academic Processing for students,
  • Payroll and financial and tax processing for employees.

(c) Legal obligation: We will share personal information with companies, 学院以外的组织或个人,如果美高梅mgm平台有善意的信念,访问, use, 保存或披露信息是合理必要的,以便:

  • 符合任何适用的法律、法规、法律程序或可执行的政府要求.g. 这是学院遵守美国联邦法律以及纽约州和联邦报告要求所必需的.
  • 执行适用的服务条款,包括调查潜在的违规行为;
  • 检测、预防或以其他方式解决欺诈、安全或技术问题;
  • protect against harm to the rights, property or safety of the college, our users or the public as required or permitted by law.

 (d) Public task: 对于学院执行公共利益任务或作为纽约州和美国私立学院的官方职能来说,处理是必要的, and the task or function has a clear basis in law. Examples of these are:

  • 向国家学生信息中心提供学生统计信息.
  • IPEDS reporting.

Confidential data

任何属于个人资料定义的资料,否则不会获豁免, 是否会保密,并只会在获得适当同意的情况下向第三方披露.

US laws of FERPA, GLBA and HIPAA

学院还必须根据美国法律保护个人数据,并根据这些法律向州和联邦当局提供信息. 学院符合美国FERPA (The Family Educational Rights and Privacy Act), 《美高梅mgm平台》和《美高梅mgm平台》.  美高梅mgm平台对这些美国法律法规的遵守优先于GDPR. 

Data Controller, Data Processors and External Data Processors

书院为其资料当事人的所有个人资料担任资料控制者. The Data is processed by two parties.

  1. 学院作为自己的数据处理器,使用内部学院拥有的系统来处理学院的数据.
  2. In certain cases, 数据被转移到代表学院处理数据的外部供应商. 学院指定的GDPR团队拥有学院目前将个人数据传递给的当前外部数据处理器组织的列表, who process personal data on the college’s behalf. 学院将尽一切合理的努力使其外部数据处理器遵守此政策.
  3. 学院将尽一切合理努力处理其内部和外部处理者批准的所有个人数据更改请求.  

Rights of Access to Information

资料当事人有权查阅学院所持有的资料. 任何资料当事人如欲查阅其个人资料,应以书面形式向下述的个人资料管理机构提出要求.

  • 学院将尽力在30天内对任何此类书面请求作出回应.
  • 学院将需要核实提出要求的资料当事人的身份.
  • Once the identity of the data subject has been verified, 学院将根据现行法规或资料当事人与学院之间的合同义务,决定是否可以执行该要求,或者学院是否必须拒绝该要求.
  • If the request is approved, 该请求将在学院的内部和外部数据处理区域进行处理.
  • 如要求被拒绝,资料当事人会获通知拒绝要求的原因.  

Exemptions

某些数据不受GDPR下获取信息权利的规定的约束. Below are examples of some of the exceptions:

  • National security and the prevention or detection of crime
  • The assessment of any tax or duty
  • 在什么情况下,处理程序是为了行使法律赋予或强加给学院的权利或义务所必需的
  • Data that may violate another person’s privacy
  • For more information on exemptions please contact the RCM.

Accuracy

书院会尽一切合理努力,确保所持有的有关所有资料当事人的个人资料均属准确. 资料当事人必须通知有关学院院系任何有关其资料的更改.

Data from Minors

学院致力于保护儿童的隐私,因此学院不会故意收集或处理16岁以下儿童的数据 except in compliance with children's online privacy protection law. Accordingly, 16岁以下的儿童只有在父母的许可和监督下才能使用学院提供的服务和项目. Additionally, 学院的教师和部门在课堂上为16岁以下的儿童提供课程和服务时,必须根据适用法律获得这些儿童父母的明确同意, 在允许这些儿童访问或使用服务或程序之前.

Compliance and cooperation with regulatory authorities

如果个人认为学院没有遵守本政策或采取与GDPR不同的行动, 该人员应联系RCM并以书面形式提交投诉,并利用学院的申诉程序.

The college regularly reviews our compliance with this Policy. 美高梅mgm平台非常重视您的反馈,因此美高梅mgm平台可能会与您联系以索取更多信息或跟进. We will work with the appropriate regulatory authorities, including local data protection authorities, 解决美高梅mgm平台无法直接与资料当事人解决的有关个人权利或个人资料转移的任何投诉.

Data Security

学院非常重视数据安全,并采取了多层行业适当的步骤,以确保学院委托的个人数据的保护和安全. 学院采用多种行业标准解决方案和流程进行检测, report and investigate a personal data breach.

美高梅mgm平台努力保护学院和美高梅mgm平台的数据主体免受未经授权的访问或未经授权的更改, disclosure or destruction of information we hold. In particular:

  • 美高梅mgm平台在可能的情况下使用SSL加密美高梅mgm平台的服务,无论是在传输中还是在静止状态.
  • We review our information collection, storage and processing practices, including physical security measures, to guard against unauthorized access to systems.
  • 美高梅mgm平台限制访问个人信息的学院授权的工作人员, 第三方需要知道这些信息以便为美高梅mgm平台处理, 他们有严格的合同保密义务,如果不履行这些义务,可能会受到纪律处分或被解雇.

学院有一个安全事件响应小组(SIRT),是学院应急响应小组的一部分. This team utilizes a Security Incident Response Plan (SIRP). 该计划旨在在发现数据安全漏洞或向学院报告的情况下执行.

GDPR规定,所有组织都有义务向ICO报告某些类型的数据泄露,在某些情况下也有义务向受影响的个人报告. If the data breach falls into these categories, the college with help from the SIRT will make the appropriate reports.

Employee Training on GDPR

该学院定期为员工提供多层数据安全培训. From May 25, 2018 onwards, 与欧盟公民互动的员工和办公室也将包括GDPR定义的个人数据以及如何确保有效保护这些数据的培训.

Secure Destruction

When data held in accordance with this policy is destroyed, 它必须在销毁时按照最佳做法安全销毁.

Retention of Data

学院可以根据法规或最佳实践的要求,为不同的目的保留数据的不同时期, 各个部门将这些保留时间合并到流程和手册中. Other statutory obligations, 法律程序和调查也可能需要保留某些数据. The College may store some data such as registers, photographs, exam results, achievements, books and works etc. indefinitely in its archive.

Data Subject Point of Contact

学院风险与合规经理(RCM)将作为中心人员接受数据主体的个人数据权利请求.   

  • 如果个人认为学院没有遵守本政策或采取与GDPR不同的行动, 有关人士应联络投诉专员,并以书面提出投诉.
  • 学院任命了一个跨职能的GDPR团队,管理与GDPR合规性相关的所有文件,并监督RCM从数据主体收到的所有请求的处理.
  • GDPR团队和RCM确保来自数据主体的所有请求在这些请求的30天规定期限内得到解决.
  • 注册部协助GDPR团队履行这些职责, the Department of Information Technology, 招生管理处和人力资源部.

Location of the College

The College is located at 2301 Westside Drive, Rochester NY, 美国及其所有主要数据保护监管机构都在这里开展业务.