數據隱私政策

數據保護和《GDPR》合規性

數據保護是了義學院管理中特別重要的一項。在不提交任何個人數據的情况下,可以使用了義學院的互聯網頁面;然而,如果使用我們的網站提供的服務,個人數據的處理可能是必要的。如果個人數據的處理是必要的,且此類處理沒有法定依據,我們通常需要取得數據主體的同意。個人數據的處理,如數據提交者的姓名、地址、電子郵件地址或電話號碼,應始終符合《通用數據保護條例》(以下簡稱《GDPR》),幷符合適用于特定國家數據保護條例。通過本數據保護聲明,我們學院希望告知公衆我們收集、使用和處理的個人數據的性質、範圍和目的。此外,通過本聲明,數據主體被告知他們享有的權利。作爲數據控制者,了義學院所實施了多項技術和組織措施,以確保通過本網站處理的個人數據得到最全面的保護。然而,基于互聯網的數據傳輸原則上可能存在安全漏洞,因此可能無法保證絕對保護。因此,每個數據主體都可以自由選擇方式(如電話)向我們提供個人數據。

1. 定義

了義學院的數據保護聲明基于歐盟法律,采用《通用數據保護條例》(《GDPR》)。我們的數據保護聲明應清晰易讀,便于公衆、客戶和業務合作夥伴理解。爲了確保這一點,我們首先要解釋使用的術語。在本數據保護聲明中,除其他外,我們使用以下術語:

a) 個人資料

個人數據是指與已識別或可識別自然人(“數據主體”)有關的任何信息。可識別自然人是指可直接或間接識別的自然人,尤其是通過參考標識符,如姓名、識別號、位置數據、在綫標識符或特定于身體、生理、遺傳、心理、經濟、,自然人的文化或社會身份。

b) 數據主體

數據主體是任何已識別或可識別的自然人,其個人數據由負責處理的控制者處理。

c) 處理

“處理”是指針對個人數據或個人數據集合的任何一個或一系列操作,諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、諮詢、使用、披露、傳播或其他的利用,排列、組合、限制、删除或銷毀,無論此操作是否采用自動化的手段。

d) 處理限制

限制處理是指對存儲的個人數據進行標記,以限制其在未來的處理。

e) 剖析

剖析是指任何形式的個人數據自動處理,包括使用個人數據評估與自然人有關的某些個人方面,尤其是分析或預測與自然人的工作表現、經濟狀况、健康、個人偏好、興趣、可靠性有關的方面,行爲、位置或動作。

f) 匿名化

匿名化是指在不使用額外信息的情况下,個人數據不能再歸屬于特定的數據主體,前提是此類附加信息單獨保存,幷受技術和組織措施的約束,以確保個人數據不屬已識別或可識別的自然人。

g) 控制者或負責處理的控制者

負責處理的控制者或控制人是指單獨或與他人共同决定個人數據處理目的和方式的自然人或法人、公共當局、機構或其他機構;如果此類處理的目的和方式由歐盟或成員國法律確定,則歐盟或成員國法律可能會規定控制人或其提名的具體標準。

h) 處理者

處理者是代表控制方處理個人數據的自然人或法人、公共機構、機構或其他機構。

i) 接收者

接收者是向其披露個人數據的自然人或法人、公共機構、機構或其他機構,無論是否爲第三方。但是,根據歐盟或成員國法律,可能在特定調查框架內接收個人數據的公共機構不應被視爲接收者;根據處理目的,這些公共機構對這些數據的處理應符合適用的數據保護規則。

j) 第三方

第三方是除數據主體、控制者、處理者以及在控制者或處理者的直接授權下被授權處理個人數據的人以外的自然人或法人、公共機構、機構或團體。

k) 同意

同意是數據主體通過聲明或確認行動,以自由給出的、具體的、知情的、明確的表示同意處理與他或她有關的個人數據。

2. 控制者的姓名和地址

就《通用數據保護條例》(《GDPR》)、適用于歐盟成員國的其他數據保護法律以及與數據保護相關的其他規定而言,控制者爲:

了義學院 Nitartha Institute
3902 Woodland Park Ave N
Seattle, WA 98103
USA

電話:720-310-0422
電子郵件:info@nitarthainstitute.org
網站: https://nitarthainstitute.org/, http://summer.nitarthainstitute.org/

3. Cookies

了義學院網頁使用cookies。Cookie是通過Internet瀏覽器存儲在計算機系統中的文本文件。許多互聯網網站和服務器使用cookie。許多cookie都包含所謂的cookie ID。cookie ID是cookie的唯一標識符。它由一個字符串組成,通過該字符串,可以將Internet頁面和服務器分配給存儲cookie的特定Internet瀏覽器。這允許訪問的Internet站點和服務器將數據主題的單個瀏覽器與包含其他cookie的其他Internet瀏覽器區分開來。使用唯一的cookie ID可以識別和識別特定的Internet瀏覽器。通過使用cookie,了義學院可以爲該網站的用戶提供更友好的服務,而沒有cookie設置,這是不可能的。通過cookie,我們網站上的信息和優惠可以根據用戶的想法進行優化。正如前面提到的,Cookies允許我們識別我們的網站用戶。這種認可的目的是讓用戶更容易使用我們的網站。例如,使用cookie的網站用戶不必在每次訪問網站時輸入訪問數據,因爲這是由網站接管的,因此cookie存儲在用戶的計算機系統中。另一個例子是網上商店購物車的cookie。在綫商店會記住顧客通過cookie放在虛擬購物車中的物品。數據主體可隨時通過使用的互聯網瀏覽器的相應設置阻止通過我們的網站設置cookie,幷因此永久拒絕cookie設置。此外,可以隨時通過互聯網瀏覽器或其他軟件程序删除已設置的cookie。這在所有的互聯網瀏覽器中都是可能的。如果數據主體在使用的互聯網瀏覽器中禁用cookie設置,則幷非我們網站的所有功能都可以完全使用。

4. 一般數據和信息的收集

當數據主體或自動系統調用網站時,了義學院的網站收集一系列一般數據和信息。這些常規數據和信息存儲在服務器日志文件中。收集的信息可能包括(1)使用的瀏覽器類型和版本,(2)訪問系統使用的操作系統,(3)訪問系統訪問我們網站的網站(所謂的參考者),(4)子網站,(5)訪問互聯網網站的日期和時間,(6)互聯網協議地址(IP地址),(7)接入系統的互聯網服務提供商,以及(8)在信息技術系統遭受攻擊時可能使用的任何其他類似數據和信息。在使用這些一般數據和信息時,了義學院不會對數據主體得出任何結論。相反,這些信息是爲了(1)正確交付我們網站的內容,(2)優化我們網站的內容及其廣告,(3)確保我們的信息技術系統和網站技術的長期可行性,(4)向執法機構提供網絡攻擊情况下刑事起訴所需的信息。因此,了義學院對匿名收集的數據和信息進行統計分析,旨在提高我們企業的數據保護和數據安全性,幷確保我們處理的個人數據得到最佳保護。服務器日志文件的匿名數據與數據主體提供的所有個人數據是分開存儲的。

5. 網站注册

數據主體有可能在控制者的網站上注册個人數據。哪些個人數據被傳輸到控制器由用于注册的相應輸入掩碼確定。數據主體輸入的個人數據的收集和存儲僅供控制者內部使用,幷用于其自身目的。控制者可請求將個人數據傳輸至一個或多個處理器(例如包裹服務),該處理器也將個人數據用于可歸屬于控制人的內部目的。通過在控制器的網站上注册,還存儲了由互聯網服務提供商(ISP)分配幷由數據主體日期和注册時間使用的IP地址。這些數據的存儲是在這樣的背景下進行的,即這是防止濫用我們的服務的唯一方法,幷且在必要時,使調查犯罪行爲成爲可能。到目前爲止,這些數據的存儲對于保護控制器是必要的。除非有法定義務傳遞數據,或者如果傳遞數據有助于刑事起訴,否則該數據不會傳遞給第三方。注册數據主體,幷自願顯示個人數據,旨在使控制者能够提供數據主體內容或服務,這些內容或服務可能只提供給注册用戶,因爲相關事項的性質。注册人可隨時更改注册期間指定的個人數據,或將其從控制人的數據庫中完全删除。數據控制者應在任何時候根據請求向每個數據主體提供關于數據主體的個人數據存儲情况的信息。此外,在沒有法定存儲義務的情况下,數據控制者應在數據主體的要求或指示下更正或删除個人數據。在需要的時候,控制者需向數據主體提供聯絡人。

6. 訂閱通訊簡報

在了義學院的網站上,用戶有機會訂閱我們學院的通訊簡報。用于此目的的輸入數據屏蔽確定傳輸哪些個人數據,以及何時從控制器訂閱通訊。了義學院定期通過通過通訊簡報通知學員和商業夥伴課程和服務信息。只有(1)數據主體擁有有效的電子郵件地址,幷且(2)數據主體訂閱了通訊簡報,數據主體才能收到。出于法律原因,在雙重選擇加入程序中,確認電子郵件將被發送到數據主體首次注册的通訊發送電子郵件地址。此確認電子郵件用于證明作爲數據主體的電子郵件地址的所有者是否有權接收通訊。在注册通訊期間,我們還存儲了由互聯網服務提供商(ISP)分配幷由數據主體在注册時使用的計算機系統的IP地址,以及注册日期和時間。收集這些數據是必要的,以瞭解數據主體的電子郵件地址在日後被(可能)濫用,因此有助于實現對控制者的法律保護。作爲訂閱通訊的一部分收集的個人數據將僅用于發送我們的通訊。此外,可以通過電子郵件通知通訊的訂閱者,只要這對通訊服務的運營或相關注册是必要的,因爲在通訊報價發生修改或技術情况發生變化時可能會出現這種情况。通訊服務不會將收集的個人數據傳輸給第三方。數據主體可隨時終止訂閱我們的通訊簡報。數據主體爲發送時事通訊而同意存儲個人數據的,可隨時撤銷。爲了撤銷同意,每個通訊中都有相應的鏈接。也可以隨時直接在控制者的網站上取消訂閱時事通訊,或以不同的方式將其傳達給控制人。

7. 通訊追踪

了義學院的通訊包含所謂的像素跟踪。跟踪像素是嵌入此類電子郵件中的微型圖形,以HTML格式發送,以便記錄和分析日志文件。這允許我們對在綫營銷活動的成敗進行統計分析。根據嵌入的跟踪像素,了義學院可以看到數據主體是否以及何時打開了電子郵件,以及數據主體調用了電子郵件中的哪些鏈接。控制器存儲幷分析在新聞稿中包含的跟踪像素中收集的此類個人數據,以便優化新聞稿的發送,以及使未來新聞稿的內容更好地適應數據主體的興趣。這些個人數據不會傳遞給第三方。數據主體有權隨時撤銷通過雙重選擇加入程序發布的單獨同意聲明。撤銷後,控制員將删除這些個人數據。了義學院將自動收到通訊訂閱的取消通知視爲撤銷。

8. 通過網站聯繫的可能性

了義學院的網站包含的信息能够快速與我們的學院進行綫上聯絡,以及與我們的直接聯絡,其中還包括所謂的電子郵件(電子郵件地址)。如果數據主體通過電子郵件或聯繫表格與控制者聯繫,則數據主體傳輸的個人數據將自動存儲。由數據主體自願向數據控制者傳輸的此類個人數據被存儲用于處理或聯繫數據主體。不得將此個人數據傳輸給第三方。

9. 個人數據的例行删除和屏蔽

數據控制者應僅在達到存儲目的所需的時間內,或在歐洲立法者或控制者所受法律或法規中的其他立法者允許的範圍內,處理和存儲數據主體的個人數據。如果存儲目的不適用,或者如果歐洲立法者或其他主管立法者規定的存儲期限到期,個人數據將按照法律要求定期被屏蔽或删除。

10. 數據主體的權利

a) 許可權

每個數據主體應有權獲得歐洲立法者的授權,從控制人處獲得有關其個人數據是否正在處理的確認。如果數據主體希望使用這一許可權,他或她可以隨時聯繫控制員。

b) 訪問權

各數據主體應有權獲得歐洲立法者授予的權利,隨時從控制員處獲取有關其個人數據的免費信息以及該信息的副本。此外,歐洲指令和法規允許數據主體訪問以下信息:

o 處理的目的;
o 有關的個人資料類別;
o 已向或將向其披露個人數據的接收者或接收者類別,尤其是第三國或國際組織的接收者;
o 在可能的情况下,個人數據存儲的預期期限,或者,如果不可能,用于確定該期限的標準;
o 有權要求控制人更正或删除個人數據,或限制處理與數據主體有關的個人數據,或反對此類處理;
o 是否存在向監管機構投訴的權利;
o 如果個人數據不是從數據主體收集的,則提供有關其來源的任何可用信息;
o 是否存在《GDPR》第22條第(1)款和第(4)款所述的自動决策,包括分析,以及至少在這些情况下,有關所涉及邏輯的有意義信息,以及此類處理對數據主體的重要性和預期後果。

此外,數據主體應有權獲取個人數據是否轉移至第三國或國際組織的信息。在這種情况下,數據主體應有權被告知與傳輸有關的適當保障措施。

如果數據主體希望使用這種訪問權,他或她可以隨時聯繫控制員。

c) 糾正權

每個數據主體都有權獲得歐洲立法者的授權,從控制人處獲得有關其不準確個人數據的更正,不得無故拖延。考慮到處理目的,數據主體有權填寫不完整的個人數據,包括通過提供補充聲明的方式。

如果數據主體希望行使糾正權,他或她可以隨時聯繫控制員。

d) 删除權(被遺忘權)

每個數據主體應有權獲得歐洲立法者的授權,在不存在不當延遲的情况下,從控制人處獲得有關其個人數據的删除,幷且控制人有義務在不存在不當延遲的情况下删除個人數據,前提是以下任何一種理由適用:,只要不需要處理:

o 就收集或以其他方式處理個人數據的目的而言,不再需要這些數據。
o 數據主體根據《GDPR》第6(1)條第(a)點或《GDPR》第9(2)條第(a)點撤回處理所依據的同意,且處理無其他法律依據。
數據主體根據《GDPR》第21(1)條反對處理,且無壓倒一切的合法理由進行處理,或數據主體根據《GDPR》第21(2)條反對處理。
o 個人數據已被非法處理。
o 必須删除個人數據,以遵守聯盟或成員國法律中的法律義務,控制者受其約束。
o 已收集與《GDPR》第8(1)條所述信息社會服務相關的個人數據。

如果上述原因之一適用,幷且數據主體希望要求删除了義學院存儲的個人數據,他或她可以隨時聯繫控制員。了義學院應立即確保立即遵守删除請求。

如果控制者已公開個人數據,幷根據第17(1)條有義務删除個人數據,控制者應考慮到可用技術和實施成本,采取合理措施,包括技術措施,通知處理個人數據的其他控制者,只要不需要處理,數據主體已要求此類控制者删除這些個人數據的任何鏈接、副本或複製。了義學院將根據具體情况安排必要的措施。

e) 限制處理權

在下列情况之一適用的情况下,每個數據主體應有權獲得歐洲立法者授予的從控制者處獲得處理限制:

o 數據主體對個人數據的準確性提出質疑,在一段時間內,控制者可以驗證個人數據的準確性。
o 處理是非法的,數據主體反對删除個人數據,幷要求限制其使用。
o 控制者不再需要用于處理目的的個人數據,但數據主體需要這些數據來建立、行使或辯護法律主張。
o 在核實控制人的合法理由是否淩駕于數據主體的合法理由之前,數據主體已根據《GDPR》第21(1)條反對處理。

如果滿足上述條件之一,幷且數據主體希望請求限制了義學院所存儲的個人數據的處理,他或她可以隨時聯繫控制員。了義學院將安排對加工的限制。

f) 數據可携權

每個數據主體應有權獲得歐洲立法者的授權,以結構化、常用和機器可讀的格式接收提供給控制者的有關其個人數據。他或她有權將這些數據傳輸給另一個控制者,而不受向其提供個人數據的控制者的阻礙,只要處理是基于《GDPR》第6(1)條第(a)點或《GDPR》第9(2)條第(a)點的同意,或根據《GDPR》第6(1)條第(b)點的規定簽訂合同,且處理通過自動化方式進行,只要處理不是爲了公共利益或行使授予控制人的官方權力而執行任務所必需的。

此外,在根據《GDPR》第20(1)條行使其數據可携權時,數據主體應有權在技術上可行且不會對他人的權利和自由産生不利影響的情况下,將個人數據從一個控制者直接傳輸到另一個控制者。爲了維護數據可携權,數據主體可隨時聯繫了義學院。

g) 反對權

根據《GDPR》第6(1)條第(e)點或第(f)點,每個數據主體都有權在任何時候以其特定情况爲理由,反對處理其個人數據。這也適用于基于這些規定的分析。

如果數據主體有异議,了義學院將不再處理數據主體的個人數據,除非我們能够證明處理個人數據的正當理由,該理由淩駕于數據主體的利益、權利和自由之上,或者證明、行使或辯護法律主張。

如果了義學院出于直接營銷目的處理個人數據,數據主體有權在任何時候反對爲此類營銷處理與其相關的個人數據。這適用于與此類直接營銷相關的評測。如果數據主體反對了義學院出于直接營銷目的進行處理,了義學院將不再出于這些目的處理個人數據。

此外,數據主體有權基于其特定情况,反對了義學院出于科學或歷史研究目的,或出于《GDPR》第89(1)條規定的統計目的,對其個人數據進行處理,除非處理是爲了執行出于公共利益而執行的任務所必需的。

爲了行使反對權,數據主體可以聯繫了義學院。此外,在使用信息社會服務的情况下,儘管有2002/58/EC號指令的規定,數據主體可以自由使用其使用技術規範通過自動方式提出异議的權利。

h) 自動化的個人决策與處理

每個數據主體應有權不受僅基于自動處理(包括概述)的决定的約束,該决定會對其産生法律效力,或對其産生類似的重大影響,只要該决定(1)不是簽訂協議所必需的,或履行數據主體與數據控制者之間的合同,或(2)未經控制者所受的歐盟或成員國法律授權,且該法律還規定了保護數據主體權利、自由和合法權益的適當措施,或(3)幷非基于數據主體的明確同意。

如果决定(1)是數據主體和數據控制者之間簽訂或履行合同所必需的,或(2)是基于數據主體的明確同意,了義學院應采取適當措施,以保障數據主體的權利、自由和合法權益,至少控制者有權獲得人爲干預,表達自己的觀點,幷對决定提出質疑。

如果數據主體希望行使有關自動個人决策的權利,他或她可以隨時聯繫了義學院。

i) 撤回數據保護同意的權利

每個數據主體都有權在歐洲立法者授權的情况下,隨時撤回其對其個人數據處理的同意。

如果數據主體希望行使撤銷同意的權利,他或她可以隨時聯繫了義學院。

11. 申請數據保護和申請程序

數據控制員應收集和處理申請人的個人數據,以便處理申請程序。處理也可以通過電子方式進行。尤其是,如果申請人通過電子郵件或網站上的網絡表單向控制員提交相應的申請文件,情况就是如此。如果數據控制員與申請人簽訂了雇傭合同,則提交的數據將被存儲,以便按照法律要求處理雇傭關係。如果控制人未與申請人簽訂雇傭合同,申請文件應在收到拒絕决定通知兩個月後自動删除,前提是控制人的其他合法權益不反對删除。這一關係中的其他合法利益是,例如,根據《一般平等待遇法》(AGG)規定的程序中的舉證責任。

12. 處理的法律依據

第6(1)條闡明。《GDPR》是我們爲特定加工目的獲得同意的加工操作的法律依據。如果個人數據的處理是履行數據主體爲當事方的合同所必需的,例如,當爲供應貨物或提供任何其他服務而需要進行處理操作時,處理基于第6(1)條b 《GDPR》。這一點同樣適用于執行合同前措施所需的此類加工操作,例如關于我們産品或服務的查詢。我們學院是否有法律義務要求處理個人數據,例如爲了履行稅務義務,處理基于第6條(1)闡明c 《GDPR》。在極少數情况下,爲了保護數據主體或其他自然人的重大利益,可能需要對個人數據進行處理。例如,如果一名訪客在我們學院,他的姓名、年齡、醫療保險數據或其他重要信息必須傳遞給醫生、醫院或其他第三方。然後處理將基于第6(1)條d 《GDPR》。最後,處理操作可以基于第6(1)條f 《GDPR》。本法律依據用于處理上述任何法律依據未涵蓋的操作,如果爲了我院或第三方追求的合法利益需要進行處理,除非該等利益被需要保護個人數據的數據主體的利益或基本權利和自由所淩駕。這種處理操作是特別允許的,因爲歐洲立法者已經特別提到了它們。他認爲,如果數據主體是控制人的客戶,則可以假定存在合法權益(引言47第2句《GDPR》)。

13. 控制人或第三方追求的合法利益

個人數據的處理基于第6(1)條。對于《GDPR》,我們的合法利益是爲了所有員工和股東的福祉開展業務。

14. 儲存個人資料的期限

用于確定個人數據存儲期限的標準是各自的法定保留期。在該期限到期後,只要履行合同或啓動合同不再需要,相應的數據就會被定期删除。

15. 根據法律或合同要求提供個人數據;

簽訂合同所必需的條件;數據主體提供個人數據的義務;未能提供此類數據的可能後果我們澄清,提供個人數據部分是法律(如稅務法規)要求的,也可能是合同條款(如合同夥伴的信息)導致的。有時可能有必要簽訂合同,要求數據主體向我們提供個人數據,這些數據隨後必須由我們處理。例如,當我們學院與數據主體簽訂合同時,數據主體有義務向我們提供個人數據。不提供個人數據將導致無法與數據主體簽訂合同。在數據主體提供個人數據之前,數據主體必須聯繫學院。學院向數據主體澄清提供個人數據是法律或合同要求的,還是簽訂合同所必需的,是否有義務提供個人數據以及不提供個人數據的後果。

16. 自動决策的存在

作爲一家負責任的組織,我們不使用自動决策或分析。本隱私政策由德國數據保護協會(German Association for Data Protection)的隱私政策制定機構制定,該機構與德國科隆WILDE BEUGER SOLMECKE律師事務所合作制定。