个人信息保护政策
范围
本政策旨在遍布全球的Kaplan国际学院及Kaplan全球语言的国际办公室和Kaplan开放学习中心内,建立统一的个人信息和隐私保护准则。
本政策适用于对电子形式(包括使用文字处理软件创建的电子邮件和文档)和可随时访问的纸质形式文档中个人信息的处理。
本政策的颁布旨在对Kaplan国际预科/桥梁课程旗下的一切公司、代表处、办公室等法律实体(以下合称“我们”)确立一个全球性的标准。如任何Kaplan国际预科/桥梁课程旗下的公司、代表处、办公室或法律实体所在国家的法律规定比本政策中要求更为严格,或其对本政策中未予规定的内容加以限制,则应适用该等法律规定。如本政策要求与该等法律规定有冲突,请咨询数据保护官。
政策声明
每个自然人有权选择处理其个人信息的方式。在我们经营期间,我们将收集、存储并处理与员工、客户、商业伙伴、供应商和其他第三方相关的数据和个人信息。我们深知依法并合理地处理此类数据及个人信息是我们保护商业秘密和成功经营的重要保障。
任何代表我们处理个人信息的自然人、法人和其他组织需遵守本政策中的所有规定。
个人信息保护术语之定义
个人信息主体,指我们持有其个人信息的自然人。个人信息主体无需是我们运营所在国的公民或居民。所有个人信息主体对其个人信息享有法定权利。
个人信息,指任何可识别特定自然人的信息。个人信息可为事实信息(如,姓名、地址或生日),亦或为个人观点、行为和品行。个人信息通常不独立存在,且可能被包含于多份不同的文件和记录中。
数据控制者,指确定个人信息处理目的和方式的自然人、法人或其他组织。对为我们商业目的而在业务过程中使用的个人信息而言,我们是其数据控制者。
数据使用者,指我们涉及个人信息处理工作的董事、高管及工作人员。数据使用者须始终依照本政策及其他适用的数据安全程序,保护其经手的个人信息。
数据处理者,指按照我们指示并代表我们处理个人信息的自然人、法人或其他组织(数据使用者除外)。数据控制者本不应包含在此定义中,但代表我们处理个人信息的商业伙伴及供应商应包含在内。
处理,指任何涉及个人信息处理的活动,包括收集、记录及储存个人信息;或就个人信息展开的一个或一系列操作,包括整理、修改、提取、使用、披露、删除、销毁、浏览、或向第三方传输个人信息。
特殊类或敏感性个人信息,指种族或民族;政治观点;宗教信仰;工会会员身份;遗传和生物特征数据;生理或心理健康情况;性生活;犯罪、涉嫌犯罪、相关法律程序、判决及法院量刑等信息。此类个人信息应在最严格的要求下进行处理,参见下文第15条。
同意,指个人信息主体通过其声明或行为,自由、明确地告知或清晰地表示其同意对其个人信息进行处理。同意并非总是直接获取的—参见下文第13条。
识别分析,指用于评估自然人特殊或一般特征而使用的自动处理形式,尤其是用于分析或预测自然人工作绩效、经济状况、健康、个人偏好、兴趣、可信度、品行、位置或动向的自动处理形式。
个人信息泄露,指因数据安保被破坏而导致被传输、储存或以其他方式处理的个人信息被意外或非法地破坏、丢失、更改、或在未经授权的情况下被披露或访问。
加密,指将个人信息转化为编码的流程,以此防止未经授权的访问。
假名化,指修改个人信息,并使其在没有“密钥”的情况下,无法被(直接或间接地)用于识别相关自然人。“密钥”的使用可使该等信息重新被用于识别相关自然人。
匿名化,指修改个人信息,并使其无法被任何人通过任何手段(直接或间接地)用于识别相关自然人。
政策推广及执行
处理个人信息的所有董事、高管和工作人员均需了解并遵循本政策的规定。违反本政策项下规定可能会导致纪律处分。
所有代表我们处理个人信息的第三方均需了解并遵守本政策的规定。在授权任何第三方(无论是自然人、法人或其他法律实体)访问我们管理的个人信息前,需收到第三方提供的合规保证。
系统/程序设计中的保护个人信息
在设计新系统或程序,和/或审核或扩展现有系统或程序时,为确保提出并满足所有个人信息保护的要求,应事先将相关系统/程序提交至审批流程,获得批准后方可继续实施。
我们应与信息科技团队和法务/合规团队进行配合,确保对我们所负责的一切新系统和流程,和/或经修改的系统和流程展开个人信息保护影响评估(DPIA)。个人信息保护影响评估的结果应提交至数据保护官进行审批。如有必要,作为信息技术系统和应用程序设计审核流程的一部分,信息技术团队将与法务/合规团队合作,评估新技术对于个人信息安全的影响。详情请参考格雷厄姆集团系统/程序设计和影响评估政策。
合规监督
为确保我们的业务操作符合本政策项下规定,法务/合规和信息科技团队将根据数据保护官的指示,定期对Kaplan国际预科/桥梁课程旗下的法律实体开展数据保护合规审查。
法务/合规和信息技术监督团队将与Kaplan国际预科/桥梁课程旗下法律实体中的业务负责人一同,在合理时间内对发现的问题制定整改计划。如发现的重大问题,应上报至Kaplan国际预科/桥梁课程的高管团队,并由其对相关问题进行监督。
个人信息保护原则
处理个人信息需遵守以下七项强制性的实践原则:
公平、合法地处理个人信息
个人信息保护法及本政策的目的不是阻止我们在业务需要时处理个人信息,而是保证我们对于个人信息的处理是合法的、合理的、且不侵犯任何个人信息主体的权利。
合法处理个人信息,需根据下述任一法律依据,包括:
处理目的之限制
在业务过程中,我们应根据本政策中的法律依据收集并处理个人信息,包括直接从个人信息主体处收到的个人信息(例如:通过表格填写,或与我们通过邮件、电话、电子邮件或其他方式沟通),及从其他来源处收到的个人信息(例如:商业伙伴、技术分包商、付款和物流服务商、信用调查机构等)
我们仅为法律依据项下的特定目的,或《通用个人信息保护条例》项下特别允许的其他目的处理个人信息,并在首次收集个人信息时/尽快通知个人信息主体相关处理目的。
通知个人信息主体
如果您未能按要求提供某些个人信息,我们可能无法履行与您签订的合同,或者我们可能会因为无法履行我们的法律义务而无法向您提供服务。
如直接向个人信息主体收集其个人信息,我们在绝大多数情况下负有法定义务向其告知我们的基本信息、所需收集的个人信息、及我们处理个人信息的方式。该通知名为“合理处理通知”。
如从其他来源收集个人信息,我们在绝大数情况下负有法定义务向个人信息主体尽快提供第10.1条中所列的相关信息。
我们应使用清楚、易懂的语言向个人信息主体提供信息,且保证该等信息是准确、易懂、易取得的(尤其是个人信息主体为儿童时)。
合理处理通知可为纸质或电子形式。如有必要,相关信息可以口述提供。通知的形式、日期、内容、披露方式、有关事实应一并予以保留。
我们起草了示范性的合理处理通知(例如:经数据保护官事先批准的网络隐私政策或电话销售话术模板),便于在不同业务中使用,以确保提供所需的适当信息并符合法律和监管合规性的要求。
如实践中遵守本条项下的通知要求确有困难时,应咨询法务/合规团队及数据保护官。特定情况下,通知义务可被免除,如个人信息主体已经获得相关信息,详情请见下文第12条个人信息来源。
个人信息安全
考虑到个人信息处理相关的风险,尤其是有关个人信息主体权利和自由的风险,包括传输、存储、或以其他方式处理个人信息过程中的意外或非法毁坏、损失、更改、未经授权的披露或访问,我们采取了适当的技术、硬件和管理安全措施。
我们通过依照信息技术安全和其他政策进行业务运营,及对第三方进行适当的尽职调查以检查其个人信息保护有关的技术、硬件和管理安全措施之落实情况,来实施Kaplan国际预科/桥梁课程的技术、硬件和管理安全措施。此外,我们的全体工作人员还应在其岗位采取必要的安全措施,以协助保护个人信息(如适用)。
为保护个人信息安全,我们将保护个人信息的机密性、完整性和可用性,定义如下:
安全程序包括:
个人信息来源
除非下述任一条款适用,否则应仅从个人信息主体处收集其个人信息:
如果个人信息不是从个人信息主体处收集而得,除非下述任一条款适用,否则需将该等收集行为向个人信息主体告知:
如已确定需要通知个人信息主体,那么应及时发出通知。发出通知的时间在任何情况下不得晚于:
同意
在适当情况下,经个人信息主体知晓并同意后,我们将通过合法、合理的方式获取个人信息。收集、使用或披露个人信息前,我们应以合理、透明的方式征得相关个人信息主体的同意。
法务/合规团队、数据保护官及Kaplan国际预科/桥梁课程旗下相关业务代表应共同合作建立一个体系,对个人信息主体同意收集、处理和/或传输其个人信息进行记录。此体系应包含以下内容:
个人信息处理
使用个人信息时,应从个人信息主体角度充分考虑所用信息是否在其预料之中,或其是否会提出反对。例如,对于学生来说,其个人信息被我们用于回复录取通知相关的请求应属意料之中的。然而,如我们在未经学生同意的情况下,将其个人信息以营销为目的提供至第三方,则应认为超出了学生的合理预期。
我们将根据一切当前适用的法律规定和合同义务处理个人信息。具体而言,除非基于前文第8.2条所载的任何一项法律依据,我们不得处理个人信息主体的个人信息。
在特定情况下,个人信息可能被进一步处理,而该等处理目的可能超出其在被收集时的处理目的。当新的处理目的被确定后且任何处理措施被实施前,应从法务/合规团队和/或数据保护官处获得指导和批准。
在尚未就相关处理取得同意的情况下,我们将依据以下条件,评估超出个人信息收集原始目的之处理的合理性及透明性:
特殊类或敏感性个人信息
仅在个人信息主体同意或适用下列任一条件的情况下,我们才会对特殊类或敏感性个人信息进行处理:
处理特殊类或敏感性个人信息时,我们应采取额外的保护措施。我们亦应采取其他措施,以满足个人信息处理地有关特殊类或敏感性个人信息处理的习惯和社会期望。其他个人信息,如儿童个人信息(参见下文第16条)或个人财务信息(例如,银行业务明细、信用卡信息和交易记录——通常受限于单独的合同、保密和监管要求)可能不包含在特殊类或敏感性个人信息的定义中,但我们仍应更为谨慎地对其进行处理。
儿童个人信息
我们深知保护少儿权利和权益的重要性。特殊类或敏感性个人信息保护要求和相关监管规定适用于处理儿童个人信息,特别是与在线服务有关的儿童个人信息。不同国家对于儿童个人信息处理有不同规定,包括但不限于对于儿童年龄的定义。
《通用个人信息保护条例》中儿童的年龄被定义为16岁以下,但该条例允许各成员国在13至16岁范围内调整这一定义。我们承诺遵守上述规定,并认为一般而言,处理儿童个人信息应征得其监护人同意。但需要注意的是,在特定法律规定下,如儿童个人信息的处理依据合法,则无需征得儿童或其监护人的同意。
处理儿童个人信息前,所有有关同意的文件和公平处理通知应经法务/合规团队和/或数据保护官批准同意。
个人信息的质量
我们将采取一切必要措施,确保所收集、处理的个人信息是完整和准确的,并不断更新个人信息以符合当前个人信息主体的状况。
为确保个人信息的质量,我们采取的措施包括:
识别分析与自动决策
仅在个人信息主体明确同意、或签订、履行与个人信息主体间合同之必要时、亦或法律另有规定的情况下,我们才会采用识别分析与自动决策。识别分析与自动决策将会对个人信息主体产生显著影响。
当我们采用识别分析与自动决策时,应向相关个人信息主体予以披露。在此情况下,个人信息主体将有机会:
我们还需确保所有与个人信息主体有关的识别分析与自动决策均基于准确的个人信息。
数字化营销
隐私保护及电子营销活动应适用个人信息保护规定、广告与宣传通用控制条例及其他特殊监管条例。不同国家的法律规定和监管条例内容可能会有所不同。
一般而言,我们不会在未事先征得学生同意的情况下,通过电子渠道(如手机、电子邮件和互联网)将宣传或营销材料向位于任何国家的Kaplan国际预科/桥梁课程的学生发送。如果我们希望在未事先征得个人信息主体同意的情况下,开展数字化营销活动,应经法务/合规团队和/或数据保护官批准。
如以数字化营销为目的的个人信息处理已被批准,则应在第一时间向个人信息主体通知其有权在任何时间,反对我们以此目的使用其个人信息。如个人信息主体明确提出反对,则应立即停止为该等目的使用其个人信息。同时,我们应将个人信息主体的反对详情及其退出数字化营销的决定记录在禁止名单中,而非将其个人信息进行删除。
个人信息的储存
为确保个人信息处理的合理性,我们不会在实现收集个人信息的目的后保留该等个人信息或将其进行进一步处理。这一规定已被载入Kaplan国际预科/桥梁课程个人信息储存政策中。
个人信息储存的时长要求已载入Kaplan国际预科/桥梁课程个人信息储存政策中。政策中的规定已考虑到最严格和最宽松的法定和约定要求,并将其反映于规定的个人信息储存时长要求中。当个人信息经确认无需被保留后,应尽快将其删除或销毁。
个人信息主体权利和请求
根据法律规定,个人信息主体就其个人信息享有法定权利。我们应尊重该等权利,并对与之相关的请求予以及时、合规的回复。因此,法务/合规团队和数据保护官制定了相关程序,以便个人信息主体行使下列权利:
如个人信息主体就上述权利提出请求,我们将根据相关程序和当前适用的个人信息保护规定对该等请求予以评估。除非该等请求在本质上被认定为不必要的或数量过多的,否则不得就评估和/或回复该等请求收取管理费。
在数据保护官向个人信息主体发送身份验证请求,且成功验证其身份信息后,个人信息主体有权获得以下信息:
个人信息主体有权:
所有个人信息访问和更正请求均须交由法务/合规团队和/或数据保护官进行记录。在收到该等请求后的30日内应向相关请求者进行回复。我们应对请求者进行合理的身份验证以确认其为个人信息主体或其授权的法定代表。个人信息主体有权要求我们对错误的、有误导性的、过时的或不完整的个人信息进行更正或补充。有关个人信息主体请求权利的详情,请参见个人信息主体权利之处理政策。
法律执行与披露
在某些特定条件下,我们可以在个人信息主体不知晓或未同意的情况下共享个人信息。这些情况下,披露个人信息是为实现以下目的所必须的:
如我们因上述某一个目的而处理个人信息,该等处理不应适用本政策所载的处理规则。在此情况下,处理以不对相关案件产生损害为限。
如我们的工作人员收到法院或任何监管机构、税务或执法机构有关提供Kaplan国际预科/桥梁课程的学生、员工或其他个人信息主体的个人信息之请求时,应立即通知法务/合规团队,其将在数据保护官的协同帮助下提供回复请求的全面指导。
照片和视频
根据当前适用法律和本政策的规定,可识别自然人的图像可构成个人信息。未经相关个人信息主体同意,不得将其照片在学院或语言中心展出、不得用于教学资料、宣传材料、招生说明等,亦不得在网站中发布其照片,或以其他任何方式将其照片进行公开。上述限制条件同样适用于视频(或音频),例如:含有可识别自然人图像的视频或含有可识别自然人声音的音频不得在教学或宣传过程中使用。如允许他人在您组织的活动中拍照或录像,建议您在相关活动的宣传中提及这一点,并事先告知活动参与者。如果活动参与者因任何原因提出反对,您应确保他们未被拍照或录像。
个人信息传输
当相关国家有能力为个人信息主体的权利和自由提供适当保护时,我们可将在欧洲经济区内持有的个人信息传输至欧洲经济区以外的国家。如需向无法提供适当法律保护的国家(以下简称“第三国家”)传输个人信息,则应根据当前适用法律的规定,按照经审核通过的传输方案对个人信息进行传输。个人信息传输方案可能因涉及第三国家的法律规定和传输的具体情况不同而有所不同。我们仅会在下列情况下传输个人信息:
上述情况适用于将个人信息传输至欧洲经济区以外的Kaplan国际预科/桥梁课程的工作人员(例如,履行与个人信息主体间的合同、处理付款详情和提供支持服务),及我们的供应商和第三方。
将个人信息传输至第三国家前,我们的工作人员应及时通知法务/合规团队,其将在数据保护官的协同帮助下为该等个人信息传输提供全面指导。
传输至第三方
仅在确保接收者会合法处理和保护个人信息的情况下,我们才会向第三方传输个人信息,或允许第三方访问个人信息。第三方处理个人信息前,我们将首先根据当前适用法律的规定,确认第三方是正在传输的个人信息的数据控制者或数据处理者。
如第三方是数据控制者,我们应在数据保护官的指导下,与数据控制者签订协议,阐明各方对所传输的个人信息的义务和责任。
个人信息泄露报告
如任何人因任何原因(例如,由于盗窃或网络安全漏洞,或存储设备丢失)怀疑出现个人信息泄露的情况,应立即通知数据保护官,并提供一份情况说明。相关通知可通过拨打电话+44 (0)207 0454955或向dpo@kaplaninternational.com发送电子邮件向数据保护官发送。
数据保护官将调查所上报的事件,确认是否出现个人信息泄露的情况。如确认已出现个人信息泄露,法务/合规团队和/或数据保护官会根据所涉及的个人信息的重要性及数量,按照经审批的程序进行处理。对于严重的个人信息泄露事件,格雷厄姆公司总法律顾问应成立并组织紧急处理小组,协调并管理个人信息泄露事件的相关工作。
根据《通用个人信息保护条例》第31条,除非个人信息泄露的情况“不会对个人的权利和自由造成威胁”,我们应在72小时内就个人信息泄露的情况通知相关监管部门。因我们有通知有关主管部门的义务,故数据使用者在内部上报环节应采取紧急行动。
执行及处理投诉
我们致力于解决员工、客户和其他联系人合法的隐私问题。如员工认为他/她的行为违反本个人信息保护政策,其应联系数据保护官并报告相关违反事项。未对违规行为进行报告可能会导致比报告该等事项更为严重的后果。
员工亦可就违反本政策或任何其他破坏个人信息隐私性的行为,私下向数据保护官递交善意投诉。为便于提交投诉,董事、管理人员及员工可使用致电+44 (0)207 0454955或向dpo@kaplaninternational.com发送电子邮件与数据保护官取得联系。数据保护官将调查该等投诉,并作出适当的回复。
员工亦可通过工作场所发布的格雷厄姆股公司道德热线匿名举报违规行为——更多详情请咨询人力资源部。
如任何人根据本政策对其个人信息或他人信息的处理提出投诉,但通过内部程序未得到妥善处理,我们将与相关个人信息保护主管部门合作,并依照其意见,解决尚未妥善处理的投诉。如数据保护官或个人信息保护主管部门认为,Kaplan国际预科/桥梁课程或其一个或多个董事、高管或员工未能遵守本政策或个人信息保护法的规定,经有关部门或数据保护官建议,我们将采取适当措施消除不利影响,以确保将来个人信息处理的合规性。
政策审阅
法务/合规团队应负责审阅并修订本政策,并确保其内容的准确性。本政策将不断被审阅,以符合法院及监管机构不时发出的指导、最优方法、行为准则、个人信息保护认证机制,及新出台的个人信息保护法律法规。
相关文件
本政策应与以下政策和文件一同使用:
-1.jpg)