Connecting passions. Creating futures.

Sarah Lawrence College GDPR Data Policy

萨拉劳伦斯学院承认通用数据保护条例(GDPR)和欧盟公民的权利,其信息可能驻留在其数据处理系统中. 学院正在积极努力,以显示符合这些欧盟公民个人信息的数据处理. 本文件包含的信息显示了学院在为欧盟公民处理个人数据方面的准备和努力.

Contact

有关您的资料或行使您的资料私隐权利的任何具体问题,可向:

Sarah Lawrence College
Data Protection
ITS—Library Lower Level
Bronxville, NY 10708

or

DataProtection@sarahlawrence.edu

Data Subjects

学院将“资料当事人”界定为与个人资料有关的任何自然人. 就书院而言,资料当事人可分为以下几类:

  • Students (prospective, current, alumni)
  • Employees (applicants, current, past)
  • Other contacts (agents, partners, vendors, etc.)

Personal Data

根据GDPR的定义,与自然人(数据主体)直接或间接相关的任何数据. 个人资料包括可将个人资料与资料当事人联系起来的任何可识别的个人资料.g. name, citizen ID, phone number, e-mail address, gender, nationality, address, interests, career details, etc.

Sensitive Personal Data

学院可能会不时被要求处理敏感的个人资料. 敏感个人数据包括与医疗信息有关的数据, gender, religion, race, sexual orientation, trade union membership, and criminal records and proceedings.

Processing Personal Data

学院须在合理可行的范围内,尽一切努力确保所有个人资料:

  • Fairly and lawfully processed
  • Processed for a lawful purpose
  • Adequate, relevant, and not excessive
  • Accurate and up-to-date
  • 根据数据主体的权利进行处理
  • Secure
  • 在向海外项目传输数据时采取充分的预防和保护措施

The Lawful Basis for Processing Data

GDPR要求处理个人数据有合法依据. The College houses personal data to recognize, process, 并与潜在学生的数据主体进行沟通, current students, prospective employees, current employees, and alumni. 这些数据的处理是合法和必要的,并且属于以下一个或多个类别:

  1. Consent: 我们在处理与潜在学生和潜在员工沟通的数据时使用个人信息. 虽然我们目前还没有与这些数据主体签订隐含合同, 数据主体通过填写一份申请表示他们默示同意我们与他们进行通信, which is an intent to come to the College. (students, employees)
  2. Contract: 我们在处理学院与个人签订的默示合同所必需的数据时使用个人信息.g.
    • Academic Processing for students,
    • 处理员工的工资、财务和税务
  3. Legal obligation: We will share personal information with companies, organizations, 或学院以外的个人,如果我们有一个真诚的信念,访问, use, preservation, 或披露信息是合理必要的,以便:
    • 满足任何适用的法律、法规、法律程序或可执行的政府要求.g. 这一过程对于学院遵守美国联邦法律是必要的, 以及纽约州和联邦的报告要求;
    • 执行适用的服务条款,包括调查潜在的违规行为;
    • 检测、预防或以其他方式解决欺诈、安全或技术问题;
    • protect against harm to the rights, property, or safety of the College, 我们的用户或公众在法律要求或允许的情况下.
  4. Public task: 这一过程对于学院执行公共利益任务或作为纽约州和美国私立学院的官方职能是必要的, 该任务或职能具有明确的法律依据. Examples of these are:
    • 向全国学生信息中心提供学生统计信息;
    • IPEDS reporting

Confidential Data

任何资料如属个人资料的定义而并非获豁免,将会保密,并只会在获得适当同意的情况下向第三者披露.

Cookies and Other Technology

Information Gathered Automatically

除非你采取措施匿名浏览互联网, Sarah Lawrence College, 像互联网上的大多数机构和组织一样, 跟踪网页浏览模式,以了解我们的网站是如何被使用的. 一般信息是通过使用“cookie”收集的,” which are text files placed on your computer, 评估使用模式,以便我们可以改进内容和分发. You may refuse the use of cookies by selecting the appropriate settings on your browser; however, 这样做可能会使您无法使用我们所有网站的全部功能. 我们收集的一般信息是基于IP地址的, which is the location of a computer or network.

萨拉劳伦斯学院旗下网站的某些部分使用谷歌分析, a web analytics service provided by Google, Inc. 谷歌分析使用cookie来帮助我们分析用户如何使用我们的网站. 由cookie生成的有关您使用网站的信息包括您的IP地址. 这些信息将被传输并存储在谷歌的服务器上. 谷歌将使用这些信息来评估您对本网站的使用情况, compiling reports on website activity, 以及提供与互联网使用有关的其他服务. 谷歌也可以在法律要求的情况下将这些信息转移给第三方, 或此类第三方代表谷歌处理信息. 谷歌不会将您的IP地址与谷歌持有的任何其他数据相关联. By using this website, 您同意谷歌以上述方式和目的处理有关您的数据.

请访问以下页面了解更多fun88乐天使谷歌分析的信息 terms of use and Google’s privacy practices.

US Laws of FERPA, GLBA, and HIPAA

学院还必须根据美国法律保护个人数据,并根据这些法律向州和联邦当局提供信息. 学院遵守美国FERPA(家庭教育权利和隐私法案)的数据要求。, GLBA (The Gramm-Leach-Bliley Act), HIPAA(1996年健康保险流通与责任法案)

数据控制器,数据处理器和外部数据处理器

本院为其资料当事人的所有个人资料的资料控制者. The data is processed by two parties.

  1. 学院充当自己的数据处理器,学院拥有的内部系统用于处理学院的数据.
  2. In certain cases, 数据被转移到代表学院处理数据的外部供应商. 学院将尽一切合理努力使其外部数据处理者遵守此政策.
  3. 学院将尽一切合理努力处理其内部和外部处理者对个人数据请求的所有批准更改.

Rights of Access to Information

资料当事人有权查阅学院所持有的资料. 任何资料当事人如欲查阅其个人资料,应以书面形式向上述书院联络人提出要求.

  • 学院将尽力在30天内对任何此类书面请求作出回应.
  • 学院将需要核实提出要求的资料当事人的身份.
  • 一旦数据主体的身份得到验证, 书院将根据现行规例或资料当事人与书院之间的合约义务,决定是否可以执行有关要求,或必须拒绝有关要求.
  • If the request is approved, 该请求将在学院的内部和外部数据处理区域内处理.
  • 如要求被拒绝,资料当事人会被告知拒绝要求的原因.

Exemptions

某些数据不受GDPR下获取信息权利的规定的约束. Below are examples of some of the exceptions:

  • 国家安全和预防或侦查犯罪
  • The assessment of any tax or duty
  • 在什么情况下,处理程序是为了行使法律赋予或强加给学院的权利或义务所必需的
  • Data that may violate another person’s privacy

Accuracy

书院会尽一切合理努力,确保所持有的有关所有资料当事人的个人资料均属准确. 资料当事人如有任何更改,必须通知学院有关部门.

Data from Minors

学院致力于保护儿童的隐私. Therefore, 学院不会故意收集或处理16岁以下儿童的数据,除非符合儿童在线隐私保护法. Accordingly, 16岁以下的儿童只有在父母的许可和监督下才能使用学院提供的服务和项目. Additionally, 学院的教师和部门在课堂上为16岁以下的儿童提供课程和服务,必须根据适用法律获得这些儿童父母的明确同意, 在允许这些儿童访问或使用服务或程序之前.

与监管机构的合规性和合作

如果个人认为学院没有遵守本政策或采取其他行动,而不是按照GDPR, 有关人士应按上述地址与书院联络,并以书面提出投诉. 我们将与相关监管机构合作, including local data protection authorities, 解决我们无法直接与资料当事人解决的有关个人权利或个人资料转移的任何投诉.

Data Security

当您将您的信息传输给我们以及当我们将其存储在我们的信息技术系统中时,我们将实施适当的技术和组织安全措施来保护您的信息.

Secure Destruction

当根据此策略保存的数据被销毁时, 它必须在销毁时按照最佳做法安全销毁.

Retention of Data

学院可以根据法规或最佳实践的要求,为不同的目的保留数据的不同时期, 各个部门将这些保留时间合并到流程和手册中. Other statutory obligations, legal processes, 调查也可能需要保留某些数据. The College may store some data such as registers, photographs, exam results, achievements, books, works, etc. indefinitely in its archive.

Updates to this Policy

学院可随时更新或更改此政策. 如果您在任何此类更改后继续使用学院网站和第三方应用程序,则表示您接受这些更改.

Revised: May 25, 2018