《通用数据保护条例》(简称GDPR)于2018年5月25日生效。这是过去二十年来最全面的数据安全与隐私立法,它显著地更新、扩展并统一了整个欧盟/欧洲经济区的数据保护立法。
欲了解更多关于GDPR的信息,请点击此处。
OpenApply致力于数据隐私保护并欢迎新法规。OpenApply自2018年5月起已符合GDPR要求。
控制或处理个人数据的个人、组织和公司均受GDPR管辖。广义上说,涉及三类不同的主体:
数据主体(学生、家庭、学校员工)
数据控制者(学校)
数据处理者(如ManageBac、OpenApply & Atlas等系统)
作为数据处理者,我们不决定我们所处理和存储数据的目的或合法性。我们是代表客户行事的受托方。作为数据控制者,学校最终负责记录和决定数据如何进入我们的系统。然而,GDPR法规确实对处理者施加了新的、更严格的规定。我们将在所有服务中(包括ManageBac、OpenApply、Atlas以及集成合作伙伴)完全遵守这些要求。
主要区别领域集中在加强公司的问责制、赋予个人更大的个人数据访问权以及对不合规行为处以更高的罚款。
GDPR明确列出了数据主体的关键权利:
知情权
更正权
删除权(被遗忘权)
限制处理权
数据可携权
反对权
访问权
这些权利构成了数据主体、控制者和处理者之间互动的框架。虽然控制者(学校)仍有责任尊重这些权利,但处理者(我们)可以协助完成这些任务。
不合规的处罚并非微不足道。被发现违反GDPR的学校可能被处以最高达年总收入4%的罚款。信息专员办公室负责执行GDPR,并拥有广泛的权力。
所有关于个人(数据主体)的个人数据都包含在GDPR范围内。具体来说,允许识别个人身份的个人数据——例如姓名、地址、电话号码、照片等——都包含在GDPR内。
即使个人数据已被加密、假名化或匿名化,如果该数据仍可用于识别特定个人,则可能仍属于GDPR的范围。
我们学校收集和存储的个人数据示例包括:
姓名
地址
电子邮件地址
电话号码
身份证号码(护照、国民身份证、社会安全号码)
GDPR规定了收集个人数据的六个合法依据:
同意
书面合同
法律义务
重大利益
公共任务
合法利益
对于大多数学校来说,数据收集的法律依据要么与作为教育机构的法律义务相关,要么与合法利益相关。
大多数依据要求数据处理是必要的,即,如果您可以在不处理数据的情况下合理地达到相同的结果和目的,那么您就没有合法的依据。
是的。OpenApply从一开始设计时就考虑到个人数据保护,我们为能够向学校、学生和家长提供最高级别的安全性而感到自豪。
在2018年5月之前,我们一直在分析新要求并对我们的服务和内部工作流程进行更改。
作为我们对GDPR承诺的一部分,OpenApply将:
确保所有服务的组织和技术安全。
协助提供文件以证明合规性并让用户知情。
提供符合GDPR要求的数据处理协议附录。
在您的用户行使其数据主体权利时提供支持。
除了建议您尽快寻求法律建议并任命一个团队开始审查您当前的数据处理实践外,我们无法直接就GDPR合规性向我们的学校提供建议。我们在欧洲的大多数学校都需要任命一名数据保护官,负责监督您的合规要求并直接向高级管理层报告。
总的来说,GDPR要求您明确记录和评估个人数据是如何被处理和使用的。至少,您需要全面端到端地审查用户数据,证明您持有数据的理由(使用合法依据之一),确定您将保留数据多长时间,并进行安全审查。您持有的每个数据点的目的都必须被定义。
在采用涉及个人数据的新技术平台时,您需要执行数据保护影响评估。您需要监控并确保您使用的系统符合GDPR。
最后,由于GDPR加强了个人权利,我们强烈建议让您的用户了解他们的权利,并建立清晰的程序以在用户行使这些权利时作出响应。
GDPR并未为基于云的服务规定精确的安全要求。作为数据处理者,我们与我们的学校(控制者)共同承担提供适当组织和技术安全的责任,并能够证明这一点。GDPR加强了对无法证明这些安全协议的公司的责任和处罚。
十多年来,OpenApply已成功保护了数百万用户的数据。我们持续投资于组织安全、网络和基础设施安全以及应用程序安全,以确保我们能够提供超越标准要求的世界级安全性。我们定期允许第三方审计我们的安全措施,并邀请客户执行他们自己的审计。
我们注意不提供安全措施的具体细节,但我们的标准协议包括:
应用程序安全:流量加密、强哈希密码、防范跨站脚本、SQL注入、网络钓鱼等漏洞的保障措施。
网络安全:防火墙和系统,用于检测可疑行为、阻止恶意访问企图或损害服务的弹性(例如DDoS攻击)。
组织安全:访问政策、审计日志和保密协议。
物理安全:防止对处理个人数据的基础设施进行未经授权的访问。
流程安全:IT管理流程,以最小化人为错误的风险;或在将新功能发布到我们的云服务之前识别软件弱点的测试机制;确保仅根据客户指示处理数据的政策。
用户数据通过三种方式提交到我们的平台:
由用户直接提交
由用户授权的代表提交(例如,学校技术主管获取数据然后上传到我们的平台)
通过与第三方系统的集成
数据通常通过由我们客户学校独立维护和控制的”学生信息系统”进入我们的系统。我们仅在客户的直接指示下从第三方系统导入数据。
我们仅在收到客户的直接指示时使用我们保护下的个人数据。我们系统上存储的数据直接属于我们的客户,只有少数OpenApply员工在严格的保密和安全条件下可以访问个人数据。我们仅在对于服务的完整性或安全性至关重要,或者为了分析或评估所提供服务的质量时,才会独立处理个人数据。
可能不行。数据删除请求仅在处理的合法依据是”同意”(见上文),或者原始目的不再有效时才有效。
我们强烈建议我们的学校实施清晰的流程来评估此类请求。我们的数据保护官也可以在疑难情况下提供建议。如果数据主体被授予删除权,OpenApply将通过我们的软件或我们的支持服务,帮助执行这些权利并确认删除。
OpenApply在收到客户指示时,或者我们与客户之间的合同终止时,会删除个人数据。服务终止时删除客户数据的程序应以书面形式或在数据处理协议中提供。
在我们的服务中删除用户的指令可以由客户代表在平台中手动执行,也可以应请求由我们的支持团队处理。
当用户在我们的系统中被删除时,有保障措施防止错误导致不可替代的数据丢失。在许多情况下,客户必须手动确认客户数据(包括个人数据)的删除。
在有限程度上,是的。您的用户拥有强大的透明度、信息和数据访问权。任何数据主体都可以请求获取存储的所有个人数据的副本,前提是这不会对其他用户产生不利影响,或者数据尚未直接可用。
请注意,这不是一项绝对权利。还有其他法律要求您保护数据主体和他人免受访问某些类型信息的影响。再次强调,我们强烈建议您实施清晰的流程来评估此类请求,我们的数据保护官可以在疑难情况下提供协助。如果您授予数据主体访问权,我们将通过我们的软件或支持服务帮助执行这些权利。
我们的系统是为所有利益相关者群体的透明度而构建的,因此存储的关于用户的大部分数据可以通过个人用户资料直接访问。
不行。根据GDPR,数据主体(用户)的权利是他与控制者(我们的客户)之间的事情。任何最终用户向OpenApply提出的数据主体请求都将转交给客户。OpenApply将真诚地与客户合作,确保他们能够及时行使数据主体的权利。
不,除非我们收到客户的指示/确认,或者有法律义务这样做。
学校经常要求我们与第三方工具或服务集成,或者使用我们公开的API自行直接设置此集成。我们采取措施防止客户在不遵守数据保护法规的情况下向第三方发送数据。然而,重要的是我们的客户自己也实施保障措施,以确保数据传输符合法规。
根据数据泄露的性质,我们的客户可能需要 promptly 通知受影响的用户和监督机构。OpenApply在意识到数据泄露时需要通知其客户,并帮助他们履行通知用户的义务。
GDPR的主要目标之一是在一个共同法规下实现个人数据在欧洲经济区内的自由流动。在大多数情况下,GDPR不允许限制供应商在EEA范围内处理数据。
GDPR不禁止个人数据流向EEA之外,但期望在EEA之外进行的任何数据处理都遵循相同的原则。
此外,在EEA之外处理数据的控制者或处理者必须提供有关处理性质的详细信息。在某些情况下,他们还必须允许客户或用户反对该处理。
请注意,欧盟委员会已承认加拿大为具有”充分”数据保护的司法管辖区。欲了解更多信息,请点击此处。
法律上不会。显然,欧盟对其他司法管辖区没有立法权。GDPR不向位于欧盟以外的数据主体提供任何权利或自由,也不对不处理欧盟/EEA数据主体数据的非欧盟客户施加义务。
然而,OpenApply在绝大多数情况下向所有客户提供相同的服务和相同级别的安全性。换句话说,无论您的学校位于何处,您都将受益于我们在GDPR下对个人数据安全的方法。
对于与OpenApply相关的一般问题,您可以随时联系我们的支持团队:[email protected]。对于合同或商业问题,请联系您的客户经理。
对于来自我们客户的特定GDPR相关问题,请联系我们的数据保护官。除了监控我们自身的合规性并向我们自己的员工提供建议和培训外,我们的DPO将可供我们的客户及其DPO讨论数据隐私问题。
可以通过 [email protected] 联系DPO。请注意,与我们的DPO的任何通信必须使用英语。
