Kaplan International 隐私政策

个人信息保护政策

范围

本政策旨在遍布全球的Kaplan国际学院及Kaplan全球语言的国际办公室和Kaplan开放学习中心内,建立统一的个人信息和隐私保护准则。

本政策适用于对电子形式(包括使用文字处理软件创建的电子邮件和文档)和可随时访问的纸质形式文档中个人信息的处理。

本政策的颁布旨在对Kaplan国际预科/桥梁课程旗下的一切公司、代表处、办公室等法律实体(以下合称“我们”)确立一个全球性的标准。如任何Kaplan国际预科/桥梁课程旗下的公司、代表处、办公室或法律实体所在国家的法律规定比本政策中要求更为严格,或其对本政策中未予规定的内容加以限制,则应适用该等法律规定。如本政策要求与该等法律规定有冲突,请咨询数据保护官。

政策声明

每个自然人有权选择处理其个人信息的方式。在我们经营期间,我们将收集、存储并处理与员工、客户、商业伙伴、供应商和其他第三方相关的数据和个人信息。我们深知依法并合理地处理此类数据及个人信息是我们保护商业秘密和成功经营的重要保障。

任何代表我们处理个人信息的自然人、法人和其他组织需遵守本政策中的所有规定。

个人信息保护术语之定义

个人信息主体,指我们持有其个人信息的自然人。个人信息主体无需是我们运营所在国的公民或居民。所有个人信息主体对其个人信息享有法定权利。

个人信息,指任何可识别特定自然人的信息。个人信息可为事实信息(如,姓名、地址或生日),亦或为个人观点、行为和品行。个人信息通常不独立存在,且可能被包含于多份不同的文件和记录中。

数据控制者,指确定个人信息处理目的和方式的自然人、法人或其他组织。对为我们商业目的而在业务过程中使用的个人信息而言,我们是其数据控制者。

数据使用者,指我们涉及个人信息处理工作的董事、高管及工作人员。数据使用者须始终依照本政策及其他适用的数据安全程序,保护其经手的个人信息。

数据处理者,指按照我们指示并代表我们处理个人信息的自然人、法人或其他组织(数据使用者除外)。数据控制者本不应包含在此定义中,但代表我们处理个人信息的商业伙伴及供应商应包含在内。

处理,指任何涉及个人信息处理的活动,包括收集、记录及储存个人信息;或就个人信息展开的一个或一系列操作,包括整理、修改、提取、使用、披露、删除、销毁、浏览、或向第三方传输个人信息。

特殊类或敏感性个人信息,指种族或民族;政治观点;宗教信仰;工会会员身份;遗传和生物特征数据;生理或心理健康情况;性生活;犯罪、涉嫌犯罪、相关法律程序、判决及法院量刑等信息。此类个人信息应在最严格的要求下进行处理,参见下文第15条。

同意,指个人信息主体通过其声明或行为,自由、明确地告知或清晰地表示其同意对其个人信息进行处理。同意并非总是直接获取的—参见下文第13条。

识别分析,指用于评估自然人特殊或一般特征而使用的自动处理形式,尤其是用于分析或预测自然人工作绩效、经济状况、健康、个人偏好、兴趣、可信度、品行、位置或动向的自动处理形式。

个人信息泄露,指因数据安保被破坏而导致被传输、储存或以其他方式处理的个人信息被意外或非法地破坏、丢失、更改、或在未经授权的情况下被披露或访问。

加密,指将个人信息转化为编码的流程,以此防止未经授权的访问。

假名化,指修改个人信息,并使其在没有“密钥”的情况下,无法被(直接或间接地)用于识别相关自然人。“密钥”的使用可使该等信息重新被用于识别相关自然人。

匿名化,指修改个人信息,并使其无法被任何人通过任何手段(直接或间接地)用于识别相关自然人。

政策推广及执行

处理个人信息的所有董事、高管和工作人员均需了解并遵循本政策的规定。违反本政策项下规定可能会导致纪律处分。

所有代表我们处理个人信息的第三方均需了解并遵守本政策的规定。在授权任何第三方(无论是自然人、法人或其他法律实体)访问我们管理的个人信息前,需收到第三方提供的合规保证。

系统/程序设计中的保护个人信息

在设计新系统或程序,和/或审核或扩展现有系统或程序时,为确保提出并满足所有个人信息保护的要求,应事先将相关系统/程序提交至审批流程,获得批准后方可继续实施。

我们应与信息科技团队和法务/合规团队进行配合,确保对我们所负责的一切新系统和流程,和/或经修改的系统和流程展开个人信息保护影响评估(DPIA)。个人信息保护影响评估的结果应提交至数据保护官进行审批。如有必要,作为信息技术系统和应用程序设计审核流程的一部分,信息技术团队将与法务/合规团队合作,评估新技术对于个人信息安全的影响。详情请参考格雷厄姆集团系统/程序设计和影响评估政策。

合规监督

为确保我们的业务操作符合本政策项下规定,法务/合规和信息科技团队将根据数据保护官的指示,定期对Kaplan国际预科/桥梁课程旗下的法律实体开展数据保护合规审查。

法务/合规和信息技术监督团队将与Kaplan国际预科/桥梁课程旗下法律实体中的业务负责人一同,在合理时间内对发现的问题制定整改计划。如发现的重大问题,应上报至Kaplan国际预科/桥梁课程的高管团队,并由其对相关问题进行监督。

个人信息保护原则

处理个人信息需遵守以下七项强制性的实践原则:

  • 合法、合理和透明。个人信息需以合法、合理的方式处理,且处理方式应告知对相关个人信息主体
  • 目的限制。收集的个人信息仅可用于明确、特定、合法目的,不得为其他目的处理个人信息。
  • 最小化原则。个人信息与其处理目的间应有充分性、相关性及必要性。
  • 准确性。个人信息应准确,如有必要,应不时被更新。根据个人信息处理之目的,需采取合理措施,确保及时删除或更正有失准确性的个人信息。
  • 存储限制。在实现个人信息处理目的后,不得将可识别个人信息主体的个人信息继续保存。
  • 完整性和机密性。为确保个人信息的安全,应采取适当方式处理个人信息,包括针对未经授权或非法处理、意外丢失、毁损和损坏的相关安全措施。
  • 举证责任。数据控制者应对其遵守个人信息保护原则承担举证责任。
  • 公平、合法地处理个人信息

    个人信息保护法及本政策的目的不是阻止我们在业务需要时处理个人信息,而是保证我们对于个人信息的处理是合法的、合理的、且不侵犯任何个人信息主体的权利。

    合法处理个人信息,需根据下述任一法律依据,包括:

  • 个人信息主体的处理许可(参见下文第13条);
  • 应个人信息主体的要求,履行与个人信息主体间的合同,或为签订该等合同采取措施;
  • 作为数据控制者,为履行法定义务而必须处理的个人信息;
  • 保护个人信息主体或他人重大权益时必须处理的个人信息;
  • 为数据控制者或第三方的合法权利、权益和利益处理个人信息,且该等处理不得损害个人信息主体的权利、权益、利益和自由。(尤其是个人信息主体为儿童时);或
  • 处理特殊类或敏感性个人信息时,应满足附加要求。作为数据控制者,在业务过程中处理个人信息时,应确保处理特殊类或敏感性个人信息的要求予以满足。
  • 处理目的之限制

    在业务过程中,我们应根据本政策中的法律依据收集并处理个人信息,包括直接从个人信息主体处收到的个人信息(例如:通过表格填写,或与我们通过邮件、电话、电子邮件或其他方式沟通),及从其他来源处收到的个人信息(例如:商业伙伴、技术分包商、付款和物流服务商、信用调查机构等)

    我们仅为法律依据项下的特定目的,或《通用个人信息保护条例》项下特别允许的其他目的处理个人信息,并在首次收集个人信息时/尽快通知个人信息主体相关处理目的。

    通知个人信息主体

    如果您未能按要求提供某些个人信息,我们可能无法履行与您签订的合同,或者我们可能会因为无法履行我们的法律义务而无法向您提供服务。

    如直接向个人信息主体收集其个人信息,我们在绝大多数情况下负有法定义务向其告知我们的基本信息、所需收集的个人信息、及我们处理个人信息的方式。该通知名为“合理处理通知”。

    如从其他来源收集个人信息,我们在绝大数情况下负有法定义务向个人信息主体尽快提供第10.1条中所列的相关信息。

    我们应使用清楚、易懂的语言向个人信息主体提供信息,且保证该等信息是准确、易懂、易取得的(尤其是个人信息主体为儿童时)。

    合理处理通知可为纸质或电子形式。如有必要,相关信息可以口述提供。通知的形式、日期、内容、披露方式、有关事实应一并予以保留。

    我们起草了示范性的合理处理通知(例如:经数据保护官事先批准的网络隐私政策或电话销售话术模板),便于在不同业务中使用,以确保提供所需的适当信息并符合法律和监管合规性的要求。

    如实践中遵守本条项下的通知要求确有困难时,应咨询法务/合规团队及数据保护官。特定情况下,通知义务可被免除,如个人信息主体已经获得相关信息,详情请见下文第12条个人信息来源。

    个人信息安全

    考虑到个人信息处理相关的风险,尤其是有关个人信息主体权利和自由的风险,包括传输、存储、或以其他方式处理个人信息过程中的意外或非法毁坏、损失、更改、未经授权的披露或访问,我们采取了适当的技术、硬件和管理安全措施。

    我们通过依照信息技术安全和其他政策进行业务运营,及对第三方进行适当的尽职调查以检查其个人信息保护有关的技术、硬件和管理安全措施之落实情况,来实施Kaplan国际预科/桥梁课程的技术、硬件和管理安全措施。此外,我们的全体工作人员还应在其岗位采取必要的安全措施,以协助保护个人信息(如适用)。

    为保护个人信息安全,我们将保护个人信息的机密性、完整性和可用性,定义如下:

  • 机密性,指仅经授权使用个人信息的人员可对个人信息进行访问。
  • 完整性,指个人信息应准确无误,且适用于相关的处理目的。
  • 可用性,指仅可以授权目的为限访问个人信息。个人信息应储存于Kaplan国际预科/桥梁课程的中央计算机系统上,而非个人计算机上。
  • 安全程序包括:

  • 登录控制。如在登录控制区发现任何陌生人,应立即上报。
  • 确保储物柜安全。如储物柜内存有任何机密信息,应为储物柜上锁 。(个人信息应始终被视为机密信息。)
  • 销毁方式。纸质文档应放入碎纸机中销毁。当数据存储介质不再需要时,应进行实体销毁。
  • 设备。数据使用者应确保不通过个人显示屏向非授权人员显示机密信息,并确保电脑在无人看管时应予以注销。
  • 个人信息来源

    除非下述任一条款适用,否则应仅从个人信息主体处收集其个人信息:

  • 业务目的和性质使我们必须通过他人收集个人信息;或
  • 为保护个人信息主体的权益,或防止他人遭受重大人身伤害或财产损失,在紧急情况下收集个人信息。
  • 如果个人信息不是从个人信息主体处收集而得,除非下述任一条款适用,否则需将该等收集行为向个人信息主体告知:

  • 个人信息主体已经通过其他方式收到所需信息;
  • 所负保密义务要求对相关信息保密;或
  • 国家法律明确规定了该等情况下,个人信息的收集、处理或传输。
  • 如已确定需要通知个人信息主体,那么应及时发出通知。发出通知的时间在任何情况下不得晚于:

  • 首次收集或记录个人信息后的一个自然月;
  • 首次沟通的时间(如与个人信息主体进行沟通);或
  • 披露的时间(如向其他接收者披露)。
  • 同意

    在适当情况下,经个人信息主体知晓并同意后,我们将通过合法、合理的方式获取个人信息。收集、使用或披露个人信息前,我们应以合理、透明的方式征得相关个人信息主体的同意。

    法务/合规团队、数据保护官及Kaplan国际预科/桥梁课程旗下相关业务代表应共同合作建立一个体系,对个人信息主体同意收集、处理和/或传输其个人信息进行记录。此体系应包含以下内容:

  • 决定征得有效同意的相关话术;
  • 确保同意的请求方式区别于其他事项的请求方式,且形式简单易懂,语言清晰明了;
  • 确保同意是在自由状态下作出(如:不得以处理个人信息为履行合同项下服务的条件——无论处理该等个人信息是否为履行合同项下服务之必须;个人信息主体和Kaplan国际预科/桥梁课程间的关系不得存在明显的不对等);
  • 记录请求日期、方式和内容,同意的有效期和范围,及作出同意的意思表示是否自由意志;
  • 为个人信息主体提供可随时撤销其同意的简便方法。
  • 个人信息处理

    使用个人信息时,应从个人信息主体角度充分考虑所用信息是否在其预料之中,或其是否会提出反对。例如,对于学生来说,其个人信息被我们用于回复录取通知相关的请求应属意料之中的。然而,如我们在未经学生同意的情况下,将其个人信息以营销为目的提供至第三方,则应认为超出了学生的合理预期。

    我们将根据一切当前适用的法律规定和合同义务处理个人信息。具体而言,除非基于前文第8.2条所载的任何一项法律依据,我们不得处理个人信息主体的个人信息。

    在特定情况下,个人信息可能被进一步处理,而该等处理目的可能超出其在被收集时的处理目的。当新的处理目的被确定后且任何处理措施被实施前,应从法务/合规团队和/或数据保护官处获得指导和批准。

    在尚未就相关处理取得同意的情况下,我们将依据以下条件,评估超出个人信息收集原始目的之处理的合理性及透明性:

  • 收集个人信息目的和进一步处理个人信息目的之关联性;
  • 收集个人信息的环境,特别是我们和个人信息主体间的关系
  • 个人信息的性质、特别是特殊类或敏感性个人信息、或有关犯罪记录和违法行为的个人信息是否将被处理;
  • 进一步处理个人信息对相关个人信息主体可能产生的后果;
  • 有关进一步处理的安全保护措施,可能包括加密、匿名或假名化。
  • 特殊类或敏感性个人信息

    仅在个人信息主体同意或适用下列任一条件的情况下,我们才会对特殊类或敏感性个人信息进行处理:

  • 处理的个人信息已被个人信息主体公开;
  • 处理个人信息是提出法律诉求、行使法律权利或进行抗辩所必须的;
  • 处理个人信息的过程经法律特别授权或要求;或
  • 处理个人信息是保护个人信息主体重大权益所必要的,或对保护另一自然人(该等自然人缺乏表示同意的民事行为能力或身体能力)的重大权益所必要的。
  • 根据处理遗传个人信息、生物特征个人信息或与健康相关个人信息的法律规定,处理特殊类或敏感性个人信息应适用更多条件及限制。
  • 处理特殊类或敏感性个人信息时,我们应采取额外的保护措施。我们亦应采取其他措施,以满足个人信息处理地有关特殊类或敏感性个人信息处理的习惯和社会期望。其他个人信息,如儿童个人信息(参见下文第16条)或个人财务信息(例如,银行业务明细、信用卡信息和交易记录——通常受限于单独的合同、保密和监管要求)可能不包含在特殊类或敏感性个人信息的定义中,但我们仍应更为谨慎地对其进行处理。

    儿童个人信息

    我们深知保护少儿权利和权益的重要性。特殊类或敏感性个人信息保护要求和相关监管规定适用于处理儿童个人信息,特别是与在线服务有关的儿童个人信息。不同国家对于儿童个人信息处理有不同规定,包括但不限于对于儿童年龄的定义。

    《通用个人信息保护条例》中儿童的年龄被定义为16岁以下,但该条例允许各成员国在13至16岁范围内调整这一定义。我们承诺遵守上述规定,并认为一般而言,处理儿童个人信息应征得其监护人同意。但需要注意的是,在特定法律规定下,如儿童个人信息的处理依据合法,则无需征得儿童或其监护人的同意。

    处理儿童个人信息前,所有有关同意的文件和公平处理通知应经法务/合规团队和/或数据保护官批准同意。

    个人信息的质量

    我们将采取一切必要措施,确保所收集、处理的个人信息是完整和准确的,并不断更新个人信息以符合当前个人信息主体的状况。

    为确保个人信息的质量,我们采取的措施包括:

  • 即使个人信息主体未要求更正其个人信息,我们应更正错误、不准确、不完整、不明确、存在误导性或过时的个人信息;
  • 仅在符合同意范围及法定储存期间的必要时间内,储存个人信息;
  • 如存在违反个人信息保护原则的行为,或已无需再使用个人信息,则需删除所储存的个人信息;
  • 如遇以下情形,应限制使用而非删除所收集的个人信息:
  • 法律禁止删除相关个人信息;
  • 删除个人信息可能损害个人信息主体的合法权益;或
  • 个人信息主体对其个人信息的正确性提出异议,但我们无法明确确认其个人信息正确与否。
  • 识别分析与自动决策

    仅在个人信息主体明确同意、或签订、履行与个人信息主体间合同之必要时、亦或法律另有规定的情况下,我们才会采用识别分析与自动决策。识别分析与自动决策将会对个人信息主体产生显著影响。

    当我们采用识别分析与自动决策时,应向相关个人信息主体予以披露。在此情况下,个人信息主体将有机会:

  • 表达其观点;
  • 获得有关自动决策的解释;
  • 审查自动决策系统所用逻辑;
  • 为使用自动决策系统补充个人信息;
  • 对自动决策进行人为审查;
  • 对自动决策提出异议;及
  • 反对进行自动决策。
  • 我们还需确保所有与个人信息主体有关的识别分析与自动决策均基于准确的个人信息。

    数字化营销

    隐私保护及电子营销活动应适用个人信息保护规定、广告与宣传通用控制条例及其他特殊监管条例。不同国家的法律规定和监管条例内容可能会有所不同。

    一般而言,我们不会在未事先征得学生同意的情况下,通过电子渠道(如手机、电子邮件和互联网)将宣传或营销材料向位于任何国家的Kaplan国际预科/桥梁课程的学生发送。如果我们希望在未事先征得个人信息主体同意的情况下,开展数字化营销活动,应经法务/合规团队和/或数据保护官批准。

    如以数字化营销为目的的个人信息处理已被批准,则应在第一时间向个人信息主体通知其有权在任何时间,反对我们以此目的使用其个人信息。如个人信息主体明确提出反对,则应立即停止为该等目的使用其个人信息。同时,我们应将个人信息主体的反对详情及其退出数字化营销的决定记录在禁止名单中,而非将其个人信息进行删除。

    个人信息的储存

    为确保个人信息处理的合理性,我们不会在实现收集个人信息的目的后保留该等个人信息或将其进行进一步处理。这一规定已被载入Kaplan国际预科/桥梁课程个人信息储存政策中。

    个人信息储存的时长要求已载入Kaplan国际预科/桥梁课程个人信息储存政策中。政策中的规定已考虑到最严格和最宽松的法定和约定要求,并将其反映于规定的个人信息储存时长要求中。当个人信息经确认无需被保留后,应尽快将其删除或销毁。

    个人信息主体权利和请求

    根据法律规定,个人信息主体就其个人信息享有法定权利。我们应尊重该等权利,并对与之相关的请求予以及时、合规的回复。因此,法务/合规团队和数据保护官制定了相关程序,以便个人信息主体行使下列权利:

  • 访问权;
  • 反对处理权;
  • 自动决策与识别分析权;
  • 限制处理权利;
  • 数据可携权;
  • 更正权;
  • 被遗忘权。
  • 如个人信息主体就上述权利提出请求,我们将根据相关程序和当前适用的个人信息保护规定对该等请求予以评估。除非该等请求在本质上被认定为不必要的或数量过多的,否则不得就评估和/或回复该等请求收取管理费。

    在数据保护官向个人信息主体发送身份验证请求,且成功验证其身份信息后,个人信息主体有权获得以下信息:

  • 收集、处理和存储其个人信息的目的;
  • 其个人信息的来源(如个人信息不是从个人信息主体处直接获得);
  • 其被储存的个人信息的类别;
  • 已传输或可能传输其个人信息的接收者或接收者类别,及接收者地址;
  • 其个人信息的预计储存时长,或决定其个人信息储存时长的依据;或
  • 任何针对其个人信息的自动决策的使用,包括识别分析。

    个人信息主体有权:

  • 反对处理其个人信息;
  • 请求访问其个人信息;
  • 向个人信息保护主管部门提出投诉;
  • 反对进行自动决策
  • 请求对其个人信息进行其他目的的利用、更正或删除;
  • 请求限制其个人信息处理。
  • 所有个人信息访问和更正请求均须交由法务/合规团队和/或数据保护官进行记录。在收到该等请求后的30日内应向相关请求者进行回复。我们应对请求者进行合理的身份验证以确认其为个人信息主体或其授权的法定代表。个人信息主体有权要求我们对错误的、有误导性的、过时的或不完整的个人信息进行更正或补充。有关个人信息主体请求权利的详情,请参见个人信息主体权利之处理政策。

    法律执行与披露

    在某些特定条件下,我们可以在个人信息主体不知晓或未同意的情况下共享个人信息。这些情况下,披露个人信息是为实现以下目的所必须的:

  • 预防或侦查犯罪;
  • 逮捕或起诉罪犯;
  • 评估或征收税款;
  • 根据法院裁定或任何法律规则;
  • 根据监管机构的请求或要求。
  • 如我们因上述某一个目的而处理个人信息,该等处理不应适用本政策所载的处理规则。在此情况下,处理以不对相关案件产生损害为限。

    如我们的工作人员收到法院或任何监管机构、税务或执法机构有关提供Kaplan国际预科/桥梁课程的学生、员工或其他个人信息主体的个人信息之请求时,应立即通知法务/合规团队,其将在数据保护官的协同帮助下提供回复请求的全面指导。

    照片和视频

    根据当前适用法律和本政策的规定,可识别自然人的图像可构成个人信息。未经相关个人信息主体同意,不得将其照片在学院或语言中心展出、不得用于教学资料、宣传材料、招生说明等,亦不得在网站中发布其照片,或以其他任何方式将其照片进行公开。上述限制条件同样适用于视频(或音频),例如:含有可识别自然人图像的视频或含有可识别自然人声音的音频不得在教学或宣传过程中使用。如允许他人在您组织的活动中拍照或录像,建议您在相关活动的宣传中提及这一点,并事先告知活动参与者。如果活动参与者因任何原因提出反对,您应确保他们未被拍照或录像。

    个人信息传输

    当相关国家有能力为个人信息主体的权利和自由提供适当保护时,我们可将在欧洲经济区内持有的个人信息传输至欧洲经济区以外的国家。如需向无法提供适当法律保护的国家(以下简称“第三国家”)传输个人信息,则应根据当前适用法律的规定,按照经审核通过的传输方案对个人信息进行传输。个人信息传输方案可能因涉及第三国家的法律规定和传输的具体情况不同而有所不同。我们仅会在下列情况下传输个人信息:

  • 个人信息的接收国可为个人信息主体的权利和自由提供适当保护;
  • 个人信息主体同意;
  • 个人信息传输对于履行与个人信息主体签订的合同是必要的;
  • 个人信息传输是必要的缔约前措施,且用于回复个人信息主体的请求;
  • 个人信息传输是基于《通用个人信息保护条例》项下的法律依据,包括履行我们与个人信息主体之间的合同,或保护个人信息主体的重大权利、权益与利益;
  • 个人信息传输是基于重大公共利益的合法要求,或为提出法律诉求、行使法律权利及进行抗辩;或
  • 相关个人信息保护主管部门已就保障个人信息主体的隐私、基本权利和自由,及其权利的行使采用了足够的保障措施,且相关个人信息保护主管部门授权我们对该等个人信息进行传输。
  • 上述情况适用于将个人信息传输至欧洲经济区以外的Kaplan国际预科/桥梁课程的工作人员(例如,履行与个人信息主体间的合同、处理付款详情和提供支持服务),及我们的供应商和第三方。

    将个人信息传输至第三国家前,我们的工作人员应及时通知法务/合规团队,其将在数据保护官的协同帮助下为该等个人信息传输提供全面指导。

    传输至第三方

    仅在确保接收者会合法处理和保护个人信息的情况下,我们才会向第三方传输个人信息,或允许第三方访问个人信息。第三方处理个人信息前,我们将首先根据当前适用法律的规定,确认第三方是正在传输的个人信息的数据控制者或数据处理者。

    如第三方是数据控制者,我们应在数据保护官的指导下,与数据控制者签订协议,阐明各方对所传输的个人信息的义务和责任。

    个人信息泄露报告

    如任何人因任何原因(例如,由于盗窃或网络安全漏洞,或存储设备丢失)怀疑出现个人信息泄露的情况,应立即通知数据保护官,并提供一份情况说明。相关通知可通过拨打电话+44 (0)207 0454955或向dpo@kaplaninternational.com发送电子邮件向数据保护官发送。

    数据保护官将调查所上报的事件,确认是否出现个人信息泄露的情况。如确认已出现个人信息泄露,法务/合规团队和/或数据保护官会根据所涉及的个人信息的重要性及数量,按照经审批的程序进行处理。对于严重的个人信息泄露事件,格雷厄姆公司总法律顾问应成立并组织紧急处理小组,协调并管理个人信息泄露事件的相关工作。

    根据《通用个人信息保护条例》第31条,除非个人信息泄露的情况“不会对个人的权利和自由造成威胁”,我们应在72小时内就个人信息泄露的情况通知相关监管部门。因我们有通知有关主管部门的义务,故数据使用者在内部上报环节应采取紧急行动。

    执行及处理投诉

    我们致力于解决员工、客户和其他联系人合法的隐私问题。如员工认为他/她的行为违反本个人信息保护政策,其应联系数据保护官并报告相关违反事项。未对违规行为进行报告可能会导致比报告该等事项更为严重的后果。

    员工亦可就违反本政策或任何其他破坏个人信息隐私性的行为,私下向数据保护官递交善意投诉。为便于提交投诉,董事、管理人员及员工可使用致电+44 (0)207 0454955或向dpo@kaplaninternational.com发送电子邮件与数据保护官取得联系。数据保护官将调查该等投诉,并作出适当的回复。

    员工亦可通过工作场所发布的格雷厄姆股公司道德热线匿名举报违规行为——更多详情请咨询人力资源部。

    如任何人根据本政策对其个人信息或他人信息的处理提出投诉,但通过内部程序未得到妥善处理,我们将与相关个人信息保护主管部门合作,并依照其意见,解决尚未妥善处理的投诉。如数据保护官或个人信息保护主管部门认为,Kaplan国际预科/桥梁课程或其一个或多个董事、高管或员工未能遵守本政策或个人信息保护法的规定,经有关部门或数据保护官建议,我们将采取适当措施消除不利影响,以确保将来个人信息处理的合规性。

    政策审阅

    法务/合规团队应负责审阅并修订本政策,并确保其内容的准确性。本政策将不断被审阅,以符合法院及监管机构不时发出的指导、最优方法、行为准则、个人信息保护认证机制,及新出台的个人信息保护法律法规。

    相关文件

    本政策应与以下政策和文件一同使用:

  • 处理个人信息的法律依据
  • 个人信息保留政策及计划表
  • 个人信息保护影响评估
  • 个人信息主体权利之处理政策
  • 隐私声明
  • Kaplan Interantional隐私声明

    本文件的目的

    Kaplan国际预科/桥梁课程中国办公室(“Kaplan”或“我们”)始终致力于维护您个人信息的隐私和安全性。本《隐私声明》阐述了我们收集、使用、共享和保护您个人信息的方式。

    Kaplan是一个“数据管理者”。这意味着我们有责任决定如何保存和使用您的个人信息。根据个人信息保护相关法律法规的要求,当我们作为数据管理者开展相关工作时,必须向任何个人信息的提供者(无论这些个人信息是由个人信息主体直接提供给我们,还是通过第三方提供给我们)告知本《隐私声明》中的有关信息。

    请务必认真阅读本《隐私声明》,以便了解我们使用您个人数据的方式和原因。一旦您选择使用我们的服务(就本《隐私声明》而言,包括但不限于学习一项或多项我们的课程/学术项目、接受我们提供的住宿服务、本人直接或通过代理针对我们的服务、课程或宿舍提出要求、进行咨询或作出申请),则您已经同意本《隐私声明》的所有条款。

    什么是个人信息?

    个人信息系指以单独或者与其他信息结合可识别特定自然人身份的各种信息。例如,您的姓名、地址、电话号码和银行账号都属于个人信息。

    但个人信息不包括已经永久移除可识别个人身份信息的数据(匿名化数据)。

    个人信息保护原则

    我们会遵守个人信息保护相关的法律规定。这意味着,关于您的个人信息,我们必须做到:

  • 合法、合理、透明地使用您的个人信息;
  • 事先清晰地向您说明收集个人信息的合理的用途,并且不得将收集到的个人信息用于任何其他用途;
  • 个人信息的使用必须、且仅限于我们已告知您的相关用途;
  • 确保个人信息的准确性并及时进行更新;
  • 仅以事先我们已向您告知的用途为限,在必要的时间内保存您的个人信息;
  • 安全保存您的个人信息。
  • 我们如何使用您的个人信息

    我们仅在法律允许的范围内使用您的个人信息。关于我们使用您的个人信息,以下是几种最常见的情况:

  • 当我们需要履行已与您签订的合同时;
  • 当您使用我们的服务,而我们需要履行与此相关的法律义务时;
  • 当我们因您使用我们的服务而拥有相关合法权益,为实现我们的合法权益(或者第三方的合法权益),且这些合法权益不受您的权益和基本权利限制时,我们可能会使用您的个人数据。
  • 在您明确同意我们使用您个人信息的其他情况下。
  • 在根据法律规定、或在法律允许的范围内,我们也可能在以下情况下使用您的个人信息,但这些情况比较少见:

  • 当我们需要保护您的基本权利(或其他人的基本权利)时;
  • 出于公共利益的需要或在官方要求时。
  • 涉及到使用您个人信息的情况

    咨询

    当您针对我们的服务或课程要求我们提供相关信息或向我们进行咨询时,我们可能会使用您提供的个人信息,用以满足您的要求或就您的咨询进行回答。为了回复您的咨询问题而使用您的个人信息是我们的合法权益。

    申请

    如果您申请我们的课程/项目或住宿,我们可能会收集您的以下个人信息:

  • 个人的联系方式,如姓名、称谓、地址、电话号码和个人电子邮箱地址;
  • 出生日期;
  • 性别;
  • 国籍和居住国;
  • 护照号码;
  • 签证信息和移民状态;
  • 教育背景;
  • 工作经历;
  • 资金信息。
  • 为了考虑并处理您的申请而收集和使用以上信息是我们的合法权益。

    作为您申请的一部分,我们还可能要求您披露您的犯罪记录。我们需要使用这些信息,以在处理您申请的过程中遵守我们的法律义务。

    学习和住宿

    如果我们与您签订了有关学习或住宿的合同,我们可能会收集您的其他个人信息,包括:

  • 银行账户详情;
  • 账单地址;
  • 信用卡或其他支付信息,以便处理您的付款。
  • 为了履行和您签订的合同,我们将使用这些信息和在申请阶段您提供给我们的个人信息。

    在履行与您签订的合同过程中,为了履行我们的法律义务,我们还将进一步收集关于您签证申请和移民状态的相关信息。

    在您进行学习期间,我们将收集关于您学术情况和学习进展的相关信息。这样做的目的在于履行我们与您签订的合同,同时,通过使用这些个人信息对我们向您提供服务的情况进行追踪也是我们的合法权益。

    我们还可能收集有关您身体情况的个人信息,以便对您的福利、出勤及住宿做出适当的安排和合理的调整。我们使用这些信息来履行与您签订的合同,且我们这样做也符合您的切身利益。

    如果某人指定您作为他(她)的紧急联系人,我们可能也会收集您的个人信息。我们使用这些信息是为了保障指定人的切身利益。

    如果您通过代理来提出入学申请并参加我们的课程,我们可能会从您的代理人处收集并使用上述类别的个人信息。

    营销

    在您明示同意的前提下,我们可能会使用您的个人信息,向您发送我们认为您可能会感兴趣的优惠活动、新推出的或现有的服务信息,或者向您发送调查或问卷,以便我们可以进一步了解您的需求和兴趣。

    如果您希望我们不要向您发送此类宣传信息,请参阅下文中“您作为个人信息主体的权利”一节的内容。

    用于内部管理

    我们也可能出于内部管理的目的使用您的个人信息。在公司运营过程中,我们会使用您的个人信息对我们所提供的服务进行追踪和改进,这是我们的合法权益。如有可能,我们将对这些信息进行匿名化处理。如果您想了解关于这方面的更多信息,请通过以下联系方式联系我们。

    如果您未能提供个人信息

    如果您未能按要求提供某些个人信息,我们可能无法履行与您签订的合同,或者我们可能会因为无法履行我们的法律义务而无法向您提供服务。

    我们与第三方共享您个人信息的情况和方式

    在适用法律允许的范围内,在相关法律要求时、或当履行与您签订的合同之必要时、或我们拥有合法权益时,我们可能会与第三方共享您的个人信息。

    此类第三方可能包括以下机构或个人:

  • 我们的服务提供商:我们可能会与代表我们提供某些服务的其他公司共享您的个人信息。这些服务可能包括付款处理、提供客户服务和营销支持、进行业务和销售分析、以及对我们网站和IT功能提供技术支持。我们可能会向这些服务提供商提供您的个人信息或者授权他们访问您的个人信息,但仅供他们向我们提供以上服务或者代表我们提供以上服务所用。在这个过程中,Kaplan将履行数据管理者的职责,并对您的个人信息负责。
  • 我们的业务合作伙伴:为了保证您可以入学或参与我们的课程学习,我们可能会与我们的大学合作伙伴或您的签证申请发起方共享您的个人信息。我们已与您的签证申请方签订有一份有关您学习计划的合同。
  • 代理:如果您通过代理来提交入学申请或参加我们的学习课程,我们可能会与您的代理人共享您的个人信息。
  • 父母和监护人:如果您未满18岁,为了履行我们的合同、遵守我们的法律义务、及保证您和您的父母/监护人的相关利益,我们可能会与您的父母或监护人共享您的个人信息。
  • Kaplan International集团中的其他机构:在定期汇报公司运营情况时、在业务重组或集团机构重组时、或者为了系统维护支持和数据配置时,我们可能会与集团内的其他实体共享您的个人信息。
  • 监管机构:在监管机构的要求下,或在为符合法律要求的其他情况下,我们可能需要与监管机构共享您的个人信息。
  • 其他第三方:我们还可能会与其他第三方共享您的个人信息,例如,当我们可能出售与您使用的服务相关的业务时。如果我们因为向您提供服务而遭受损失,为了寻求补救措施或限制损失,我们也可能需要与其他第三方共享您的个人信息。
  • 将您的个人信息传送到其他国家

    鉴于我们是一家国际公司,我们的员工、机构和服务提供商遍布全球,您在此同意:出于向您提供服务的需要,我们可能会将您提供的个人信息传送到中华人民共和国以外的其他国家。我们将采取适当的措施,确保您的个人信息按照本《隐私声明》的规定得到妥善处理。这些措施将包括适当的合约机制。如果您想了解更多信息,请通过以下联系方式联系我们。

    您个人信息的安全性

    我们已经制定并实施适当的安全措施,防止您的个人信息出现意外丢失、在未经授权的情况下被访问或使用、遭到篡改或被泄露。我们仅对有必要的的员工、服务提供商、业务合作伙伴、代理人和其他第三方开放关于您个人信息的访问权限。这些机构和个人将仅根据我们的指示、或采用经我们同意的其他方式处理您的个人信息,并且他们对您的个人信息负有保密义务。

    我们已经制定了处理任何可疑数据安全漏洞的方案,并且会在法律要求的情况下,向您和相关监管机构通报可疑数据安全漏洞的情况。

    我们对您个人信息的保存

    我们将在实现收集您个人信息之目的(包括履行法律、会计或报告要求之目的)的必要期间内保存您的个人信息。为确定适当的个人信息保存期限,我们会综合考虑以下因素:个人信息的数量、性质和敏感度,未经授权使用或披露您个人信息可能造成的危害,我们使用您个人信息的目的及我们是否可以通过其他方式实现这些目的,以及适用的法律要求。如果您想了解更多信息,请通过以下联系方式联系我们。

    我们必须准确地掌握关于您的个人信息,且及时获得相关更新,这一点非常重要。因此,在您使用我们的产品/服务期间,如果您的个人信息发生任何变化,请随时通知我们。

    在某些情况下,我们可能会对您的个人信息进行匿名化处理,永久移除这些信息与您个人身份之间的关联,在这种情况下,我们可能会使用这些信息且不再向您另行通知。

    您作为个人信息主体的权利

    在特定情况下,根据法律规定,您有权:

  • 要求访问您的个人信息(即通常所称的“个人信息主体访问请求”)。通过提出该要求,您可以收到一份我们保存的您个人信息的副本,还可以检查我们对这些个人信息的处理是否合法。
  • 要求更正我们保存的您的个人信息。通过提出该要求,您可以对我们保存的您个人信息中的任何不完整或者不准确的信息进行更正。
  • 要求删除您的个人信息。当我们不再有合理的理由继续处理您的个人信息时,您可以要求我们删除您的个人信息。当您行使反对使用权时(见下文),您也有权要求我们删除您的个人信息。
  • 反对使用您的个人信息(反对处理权)。通过提出该要求,您有权反对我们使用您的个人信息。当我们基于合法权益使用您的个人信息向您提供服务时,如您因特殊原因希望我们停止使用您的个人信息,您可以基于反对处理权对我们提出该等要求。您亦有权反对我们以营销为目的使用您的个人信息。
  • 要求限制使用您的个人信息。通过提出该要求,您可以要求我们暂停使用您的个人信息。例如,当您需要我们确定个人信息的准确性或提供处理个人信息的理由时,您可以要求我们暂停使用您的个人信息。/li>
  • 要求将您的个人信息传送给第三方。
  • 如果您需要检查、核对、更正您的个人信息或要求删除您的个人信息,反对我们使用您的个人信息,或者要求我们将您的个人信息副本传送给第三方,请以书面方式通过以下联系方式与我们取得联系,或填写本《隐私声明》随附的表格。

    通常情况下无需付费

    通常情况下,您无需付费即可访问您的个人信息(或行使任何其他您作为个人信息主体的权利)。但是,如果您的访问要求明显没有合理理由、次数过多或范围过广,我们可能会对此收取合理的费用,或拒绝满足您的要求。

    需要您提供的信息

    我们可能会要求您提供特定信息,以帮助我们确认您的身份并确保您有权访问您的个人信息(或行使其他您作为个人信息主体的权利)。这也是我们采取的适当的安全措施之一,以确保个人信息不会被泄露给任何无权获取这些信息的人。

    撤销授权的权利

    在您已经授权为特定目的收集、使用和传送您个人信息的情况下,您有权随时撤销该等授权。如果您需要撤销您的授权,请通过以下联系方式联系我们。一旦我们收到您已撤销授权的通知,我们将不再为您当初授权的一个或多个目的处理您的个人信息,除非我们有其他合法的法律依据。

    数据保护官

    我们已任命一名数据保护官(DPO)来监督本《隐私声明》的执行情况。如果您对本《隐私声明》或我们处理您个人信息的方式有任何疑问,请通过以下联系方式联系数据保护官。

    联系方式:

    数据保护官:Rachael Convery

    邮箱地址: dpo@kaplaninternational.com

    邮寄地址:2nd Floor, Warwick Building, Kensington Village, Avonmore Road, London W14 8HQ

    对本《隐私声明》的修订

    我们保留随时对本《隐私声明》进行修订的权利,当我们对本《隐私声明》作出任何实质性的修订时,我们将向您提供最新修订版的《隐私声明》。我们也可能会不时以其他方式就您个人信息的使用情况向您进行通报。在我们就本《隐私声明》中的任何修订向您进行通报后,如果您选择继续使用我们的服务,则视为您已同意修订版的《隐私声明》。