“数据保护要求”:在适用情况下指:(i) 《2018年数据保护法》、欧洲议会和理事会2016年4月27日关于在处理个人数据和此类数据自由流动方面保护自然人的条例(EU)2016/679(《通用数据保护条例》)或等效立法、《2003年隐私与电子通信(EC指令)条例》、欧洲议会指令2002/58/EC(《电子隐私指令》)以及所有其他适用的涉及个人数据处理、数据隐私、电子通信、营销和数据安全的法律(包括任何相关法院的判决)和法规,在每种情况下均可能不时修订、扩展或重新颁布,以及在任何司法管辖区不时根据其制定的所有命令、条例、法规、文书或其他附属立法;以及 (ii) 欧盟委员会、欧洲数据保护委员会、英国信息专员办公室和/或任何其他监管机构或数据保护机构就不时发布的关于个人数据处理、数据隐私、电子通信、营销和数据安全的指南、建议、最佳实践、意见、指示、决定、行为守则和操守准则。
“跨境处理”或”学校个人数据传输” 指向第三国进行的任何学校个人数据的通信、复制或传输。
“学校个人数据” 指学校就本服务协议及与服务相关而处理或传输给OpenApply的任何个人数据。
“第三国” 指不在欧盟内的任何国家,或未被欧盟委员会认定为根据数据保护要求为个人数据提供足够保护水平的任何国家。
1. 总则
1.1. 就本服务协议(包括本隐私与数据保护附录)而言,个人数据以及处理、数据主体、数据控制者、控制者、数据处理者、处理者、次级处理者、个人数据泄露和监管机构等术语应具有适用的数据保护要求中赋予它们的含义。
1.2. 双方确认,对于学校个人数据,学校是数据控制者,OpenApply是数据处理者。
1.3. 学校仍全权负责维护数据主体在此类学校个人数据处理方面的权利,特别是其访问权、要求更正和/或删除的权利,以及在必要时反对处理的权利。学校应将其从数据主体处收到的任何相关请求及时通知OpenApply。
1.4. 各方保证其将遵守数据保护要求下因其与服务相关的或因任一方履行其义务而产生的所有义务,并且就其所处理的任何学校个人数据而言,不得做出任何使另一方违反数据保护要求下其义务的行为或疏忽。
1.5. 学校应确保其已获得数据主体的所有必要同意,或满足数据保护要求下的其他法律依据,以便OpenApply对学校个人数据的处理符合数据保护要求,包括但不限于为向学生、家长、学校和考试委员会提供用于课程规划、评估、报告和招生的国际教育系统及相关服务而进行的处理。
1.6. 学校关于学校个人数据处理的指示应符合数据保护要求,且客户应对学校个人数据的准确性、质量、完整性、可靠性和合法性独自承担责任。
1.7. 如果学校知悉任何违反数据保护要求的行为或其他不合规情况,应迅速通知OpenApply。
2.1. 一般义务
2.1.1. OpenApply应仅为向学校及任何成员提供服务的目的处理学校个人数据,并且在本服务协议期限内,仅应根据学校关于学校个人数据处理的商业上合理的书面指示行事。
2.1.2. 如果OpenApply认为学校的书面数据处理指示违反了数据保护要求,OpenApply应及时通知学校,并且有权在不承担罚则的情况下暂停执行相关指示,直至学校书面确认该等指示。OpenApply根据本条款发出的任何通知不应视为法律建议,且不应要求OpenApply对学校的指示进行法律评估。学校应就适用的数据保护要求自行寻求法律意见。如果OpenApply无法遵守从学校收到的任何指示,应在无法遵守的范围内及时相应地通知学校。
2.1.3. OpenApply处理学校个人数据的目的是根据本隐私与数据保护附录履行服务。本附录所涉及的数据主体类别和处理的学校个人数据类型载于附录1(学校个人数据)。
2.1.4. 考虑到处理的性质和OpenApply可获得的信息,OpenApply应向学校提供合理协助,以确保学校遵守数据保护要求和/或应对监管机构的检查。
2.1.5. OpenApply应及时回应学校关于其进行的学校个人数据处理的任何请求,并向学校提供所有合理信息,以便学校能够:(i) 告知数据主体并回应其访问、反对、更正、限制或删除学校个人数据的请求;和/或 (ii) 就此类个人数据的处理向监管机构回应任何行政手续;和/或 (iii) 遵守任何行政或司法当局关于根据服务协议进行的处理的所有请求。
2.1.6. OpenApply应及时更正由学校或数据主体通知其的学校个人数据中的任何错误或不准确之处,或应为数据主体提供自我更正此类个人数据中任何错误或不准确之处的方法,以确保此类学校个人数据保持准确和最新。
2.1.7. OpenApply应向学校提供合理协助,以确保其遵守维护所有类别学校个人数据处理活动记录的责任。特别是,OpenApply应记录此类学校个人数据并在服务协议到期或终止之日起十八(18)个月内可供查询,并应确保在此期限内定期备份学校个人数据记录。此后,除非适用法律要求保留任何或部分学校个人数据,否则OpenApply应销毁所有包含学校个人数据的文件,或将所有此类学校个人数据返还给学校。
2.2. 安全
2.2.1. OpenApply应实施处理学校个人数据和履行本服务协议项下服务所必需的适当技术和组织安全措施,以确保学校个人数据的机密性和安全性,特别是防止此类学校个人数据被歪曲、损坏或泄露给未经授权的第三方,并保护学校个人数据免受任何意外或非法破坏、意外丢失、篡改、传播和/或未经授权的访问以及所有非法形式的处理,但前提是此类措施应确保与处理过程中固有风险及待保护学校个人数据性质相称的安全水平。
2.2.2. 如果发生涉及学校个人数据的个人数据泄露,OpenApply应:
(i) 在知悉实际的涉及学校个人数据的个人数据泄露后立即通知学校;并且
(ii) 尽快采取措施补救此类涉及学校个人数据的个人数据泄露,以最大限度地减少任何个人数据泄露对所有相关数据主体的影响。
2.2.3. 该通知必须包含:
a) 对个人数据泄露性质的描述,包括:
所涉学校个人数据的类别;
涉及的大致数据主体数量;
所涉学校个人数据记录的类别;
涉及的大致学校个人数据记录数量;以及
b) 对涉及学校个人数据的个人数据泄露可能造成的后果的描述;以及
c) 对OpenApply已采取或建议采取的用于应对此类个人数据泄露的措施的描述,包括在适当时为减轻其可能的不利影响而采取的措施。
2.2.4. OpenApply应记录任何涉及学校个人数据的个人数据泄露,包括与之相关的事实、其影响和已采取的补救措施。
2.3. 对个人数据的访问
2.3.1. 根据服务协议中定义的保密义务,OpenApply不得以任何方式向任何第三方传输、通信或披露任何个人数据,但向为向学校提供服务而必需的次级承包商和人员(以下简称”授权接收方”)披露除外,且唯一目的是使该等授权接收方履行服务协议下的服务。如果OpenApply聘用了次级承包商,应确保其根据下文第2.4条的规定获得任命。
2.3.2. OpenApply应确保负责履行服务的授权接收方仅在需要知情的基础上处理学校个人数据,并受到适当的保密和安全义务的约束,且受至少与双方之间现行协议同样严格的保密协议的约束。
2.3.3. 如果政府官员、监管机构或任何执法机构对学校个人数据进行任何调查或扣押,OpenApply应在其能力范围内采取合理措施保护学校个人数据的机密性。
2.3.4. 如果一方被法律强制要求披露学校个人数据,该方应及时将披露命令通知另一方(如果法律和/或法规允许并在允许的范围内)。
2.4. 个人数据传输
2.4.1. 作为服务的一部分,学校确认OpenApply在其业务运营中向全球各地传输学校个人数据,以便利向学校提供服务。当OpenApply将个人数据传输至第三国时,其应采取措施确保已根据数据保护要求实施了适当的保障措施来保护学校个人数据。关于这些传输及其依据的进一步信息在本第2.4条中阐明。
2.4.2. 学校事先同意OpenApply在其位于英国、美国、台湾和香港的集团公司之间,以及位于加拿大、美国、香港、新加坡、爱尔兰和英国的数据中心之间传输学校个人数据。在数据保护要求有规定时,应实施适当的保障措施以涵盖此类传输,当个人数据转移到欧盟以外时,OpenApply已根据数据保护要求的要求签订了欧盟委员会发布的标准合同条款。
2.4.3. 学校普遍授权OpenApply使用第三方供应商(列于并在OpenApply网站上通过以下链接更新:https://www.managebac.com/terms/privacy-policy/subprocessors, https://openapply.com/terms/privacy-policy/subprocessors, https://www.onatlas.com/terms/privacy-policy/subprocessors, https://www.schoolsbuddy.com/terms/privacy-policy/subprocessors, 以及 https://www.pamojaeducation.com/terms/privacy-policy/subprocessors),这些供应商可能代表OpenApply处理学校个人数据(”次级处理者”),以便OpenApply向学校提供服务。
2.4.4. OpenApply应通过 https://www.managebac.com/terms/privacy-policy/subprocessors, https://openapply.com/terms/privacy-policy/subprocessors, https://www.onatlas.com/terms/privacy-policy/subprocessors, https://www.schoolsbuddy.com/terms/privacy-policy/subprocessors 和 https://www.pamojaeducation.com/terms/privacy-policy/subprocessors 提供次级处理者名单和拟议次级处理者的更新。学校可在次级处理者名单更新后三十(30)天内书面反对新的次级处理者处理其个人数据,此类反对应描述学校的合法反对理由。如果学校未在此时间段内提出反对,则新的次级处理者应被视为已被接受。
2.4.5. OpenApply应在其与将处理学校个人数据的任何次级处理者签订的合同中纳入要求该等次级处理者承担与本隐私与数据保护附录中施加于OpenApply的义务同等的义务。OpenApply应对其次级处理者的作为和不作为承担责任,其程度与OpenApply根据本隐私与数据保护附录的条款直接履行每个次级处理者的服务时所承担的责任相同。
2.4.6. 当次级处理者位于第三国时,OpenApply应实施适当的保障措施以保护学校个人数据,并确保此类学校个人数据的传输始终符合数据保护要求。这应包括签订并维持准确的欧盟委员会通过的标准合同条款,或者,如果次级处理者位于美国,在数据保护要求(如适用)认为这些数据传输机制合法的情况下,OpenApply可以依赖次级处理者的隐私盾认证。
2.5. 信息请求与审查
2.5.1. 学校有权请求信息和审查Faria Education Group的ISO 27001认证及其与其内部数据保护与合规标准及本隐私与数据保护附录中规定义务相关的文件、流程和工作流。学校也有权要求OpenApply配合并允许学校进行审计和检查。学校在任何十二个月期间内行使审计权不得超过一次。学校应尽一切合理努力确保学校或其授权代理人进行的任何审计不会不合理地干扰OpenApply或其业务。学校或其授权代理人进行的任何审计将仅限于对学校个人数据及与学校个人数据相关的流程的审计,并且不包括与OpenApply任何其他客户或任何其他第三方相关的任何信息。学校将负责进行此类审计所产生的任何费用或成本。
任何信息和审查请求可发送至OpenApply信息安全官邮箱:[email protected]。
3.1. OpenApply的服务器位置
3.1.1. OpenApply告知学校,个人数据将托管在位于以下国家的服务器中:加拿大、美国、香港、新加坡、爱尔兰和英国。
3.1.2. OpenApply对服务器位置的任何更改应及时通知学校,并应根据本服务协议的条件以书面修正案的形式纳入。
3.2. OpenApply的信息安全认证
3.2.1. Faria Education Group已通过BSI的ISO/IEC 27001:2022认证,证书号为IS 664562。实施ISO 27001表明了我们组织在各个层面对信息安全的承诺。
附录1
学校个人数据
数据主体类别
数据主体包括:
学生、学生家长/监护人、教师、学校管理员(”Admin”)和外部顾问。
学校个人数据类型
学校个人数据可能包括以下类型的数据:
学生姓名
学生年级
学生电子邮件地址
学生密码
学生身份证号码
学生性别
学生出生日期
学生语言
学生国籍
学生IBIS个人代码
学生免费校餐/免费或减价午餐状态
学生助学津贴/特殊教育需求状态
学生社会安全号码后四位
学生活动
学生成绩
学生大学名单
学生地址和电话
家长姓名
家长电子邮件地址
家长密码
家长电话号码
教师姓名
教师电子邮件地址
教师密码
教师电话号码
管理员姓名
管理员角色
管理员电子邮件地址
管理员密码
管理员电话号码
学校名称
学校地址
地理位置:粗略(城市级)位置数据
浏览器类型
机器型号
访问时间
来源网址
页面浏览量
IP地址
设备ID
设备类型和操作系统
目的
OpenApply为以下目的处理学校个人数据:
提供用于课程规划、评估、报告、招生、活动管理、交通管理和在线支付的国际教育系统,以及为学生、家长、学校和考试委员会提供相关服务。
