隱私權政策

Aerial view of XCL World Academy football field with residential buildings in the background

前言/目的

學校的主要價值之一是保護學校社區成員所持個人資訊的隱私和機密性,特別是我們收集、處理和儲存其個人資訊的那些人。在此承諾下,保護我們學生的個人資訊被視為至關重要。

本政策旨在透明地說明:
● 我們如何以及為何收集個人資訊,我們可能如何使用這些資訊,以及我們可能與誰分享這些資訊以及原因。
● 我們為保護所收集、處理和儲存的個人資訊安全所採取的措施。
● 家庭如何聯繫學校以獲取有關我們隱私實踐問題的答案,以及家長和學生如何行使其對個人資訊的權利。

學校堅定致力於遵守所有相關法規和公認的最佳實踐,這些法規和實踐涉及個人資訊保護和兒童保護。

範圍

本政策旨在提供有關學校收集、處理和儲存的家長和學生個人資訊處理方式的資訊和指導。

本政策說明學校收集的個人資訊類型、資訊的處理方式、資訊如何以及向誰揭露,以及如何存取這些資訊。

學校處理有關現有、過去和未來學生及其家長、法定代表或監護人(在本政策中稱為「家長」)的個人資訊,以及任何經其同意傳達個人資訊的第三方。

鼓勵學校員工、家長和學生閱讀本政策,並了解學校對其整個社區的義務。

術語與定義

● 個人資訊:指與可識別個人相關的任何資訊,該個人可透過識別碼直接或間接識別。它可適用於單一獨立個體,或可直接或間接連結至某個個體。資訊亦可稱為「資料」或「個人資料」。
● 僱用資訊:為處理學生申請和通行證(如適用)而收集的個人資訊。
● 個人資訊所有者:指由個人資訊識別的個人,例如全名、出生日期、職業、職稱、聯絡地址、電子郵件地址、電話號碼、身分證號碼、護照號碼。
● 敏感個人資訊:指與個人資訊所有者的私生活或個人隱私相關的任何資訊,或與個人家庭隱私相關的資訊,例如郵件、電話、個人的私人電子資訊交換。它也可指個人秘密,例如醫療記錄、信用卡號碼和其他個人秘密。它包括健康資訊、個人的身體和行為特徵、可識別該個人的生物識別資訊(例如指紋等),以及與自然人遺傳特徵相關的資訊,無論是先天或後天,這些資訊提供了該個人的心理或身體健康狀況。敏感個人資訊也與宗教或其他信仰、性取向、健康、種族、民族、犯罪記錄等相關。
● 健康資訊:指關於個人身體、心理或精神健康或殘疾的任何資訊或意見。這可能包括對個人健康狀況和病史、特殊需求、免疫狀況和過敏的意見,以及諮詢記錄。
● 個人:指資訊所指的已識別或可識別的自然人。
● 負責方:決定收集和處理個人資料的目的、個人資訊的類型以及該處理的法律依據。
● 營運者:負責處理個人資訊,但僅限於負責方的明確書面指示。
● 資訊處理:指與所持個人資訊相關的任何操作,例如電子或手動排序、儲存、新增、修改、複製、操作、報告、列印或檢索以電子方式或手動紙本檔案系統持有的個人資訊。
● 資料保護長(DPO):一名獨立的專業人員和員工,其職責是確保學校根據現行法規正確保護個人的個人資訊。
● 機密資訊:指必須保密和私密的資訊。
● 同意:必須理解為任何「自由給予、具體、知情且明確」的意願聲明,表示個人的意願,個人透過聲明或明確的肯定行動,確認同意學校為一個或多個特定目的處理個人資訊。
● 資訊處理:指對個人資訊執行的任何操作,例如收集、編輯、使用、儲存、傳輸、修改、刪除、分享和發布,無論是透過自動化或手動方式。
● 資料保護長(「DPO」):由學校任命的人員,其職責是確保學校根據現行法規和學校政策正確保護個人的個人資訊。
● 假名化:以這樣的方式處理個人資訊,即在不使用額外資訊的情況下,個人資訊無法再歸因於特定個人,前提是此類額外資訊應單獨存放,並受技術和組織措施的約束,以確保個人資訊不歸因於已識別或可識別的自然人。
● 代表:代表個人行事的人,例如未成年人的法定監護人。
● 第三方:指除獲授權處理個人資訊的個人以外的任何自然人或法人、公共機關、機構或任何其他實體。
● 合法利益:指可能受學校處理個人資訊影響的個人的權利和自由。處理個人資訊的目的必須基於法律依據。
● 個人權利:個人資訊所有者有權要求學校更新、更改和刪除學校收集、處理和儲存的其個人資訊;並停止向第三方提供其個人資訊。
● 受影響的個人:此概念與已受損害的個人資訊所有者相關。在學校情境中,它可能指家長、學生、員工等。
● 未成年人:指未滿18歲的人。在此情況下,未成年人需要父母的監督和代表其同意。
● 父母責任:指父母對子女及其教育所擁有的法律權利、義務、權力、責任和權威。對子女負有父母責任的人有權獲知並就其學業資訊、照護和養育做出決定。子女生活中的重要決定必須與其他負有父母責任的人達成一致。

資料保護義務

根據《個人資料保護法》(PDPA),學校有以下義務來保護委託給學校的個人資料。

  1. 課責義務:學校必須採取措施,確保學校履行《個人資料保護法》下的義務,例如應要求提供其資料保護政策、實務和投訴程序的資訊,並指定一名資料保護長(DPO),以及向公眾公開其業務聯絡資訊。
  2. 通知義務:告知個人您的組織打算收集、使用或揭露其個人資料的目的。
  3. 同意義務:僅為個人已同意的目的收集、使用或揭露個人資料。學校將就個人資料的處理(主要為收集、使用或揭露)取得個人的同意,除非法律規定豁免、授予許可或要求收集、使用或揭露個人資訊。
    o 對於收集、使用或揭露個人資訊的同意要求,可能會因情況以及預計收集、使用或揭露的個人資訊類型而異。
    o 在判斷是否需要同意以及如果需要,何種形式的同意是適當時,學校將同時考量個人資訊的敏感性以及學校使用該資訊的目的。
    o 同意可以是明示的、默示的(包括在適當情況下使用「選擇退出」同意)或推定同意。例如,如果個人向學校提供其郵寄地址並要求提供有關特定服務的個人資訊,則使用該地址提供所要求資訊的同意可能被視為默示同意。
    o 個人在向學校發出合理的書面通知後,可撤回對其個人資訊收集、使用或揭露的同意。收到撤回同意的通知後,學校將告知個人撤回同意可能造成的後果,並且除非法律另有規定或允許,學校將停止按要求收集、使用或揭露該個人資訊。
    o 如果某人向學校或其服務提供者或代理商提供有關個人的資訊,則該人聲明其擁有所有必要的授權和/或已獲得該個人的所有必要同意,以使學校能夠為本政策所列目的收集、使用和揭露此類個人資訊。
  4. 目的限制義務:學校僅為在特定情況下,合理人士會認為適當且個人已同意的目的收集個人資訊。

學校不得將個人同意收集、使用或揭露其個人資料作為提供產品或服務的條件,其要求不得超出提供該產品或服務的合理範圍。

  1. 準確性義務:學校會盡合理努力確保所收集的個人資料準確且完整,特別是當這些資料可能被用於做出影響個人的決定,或揭露給其他機構時。
  2. 保護義務:學校必須採取合理的安全措施,保護其持有的個人資料,以防止未經授權的存取、收集、使用、揭露或類似風險。個人資訊應透過技術和組織措施加以保護,確保適當程度的安全性、完整性、機密性和隱私。
  3. 保留限制義務:當個人資料不再用於任何業務或法律目的時,應停止保留或以適當方式處置。
  4. 傳輸限制義務:僅根據法規規定的要求,將個人資料傳輸至其他國家,以確保保護標準與《個人資料保護法》(PDPA) 的保護標準相當,除非經個人資料保護委員會 (PDPC) 豁免。
  5. 存取與更正義務:應要求,學校必須向個人提供其個人資料的存取權限,以及在要求提出前一年內,該資料如何被使用或揭露的資訊。

學校還必須盡快更正個人資料中的任何錯誤或遺漏,並在更正前一年內,將更正後的資料發送給曾揭露該個人資料的其他學校(或個人已同意的指定學校)。

  1. 資料外洩通知義務:若發生資料外洩事件,學校必須採取措施評估是否需要通報。如果資料外洩可能對個人造成重大損害,和/或規模重大,學校必須盡快通知個人資料保護委員會 (PDPC) 和受影響的個人。
  2. 資料可攜性義務:應個人要求,學校必須將其持有或控制的個人資料,以常用且機器可讀的格式傳輸給其他機構。

學校收集哪些資訊?

本校收集以下類型的資訊:

  1. 學生、其家長或導師及其代表的個人資訊,這些資訊由他們本人或其授權人士直接提供。
  2. 志工、訪客、承包商、客戶、顧問,以及其附屬機構和協助學校營運的第三方代理商的相關資訊,這些資訊由他們本人或其代表直接提供。
  3. 關於對學校服務感興趣的第三方或潛在學生或客戶的資訊,且他們已同意為本政策所載目的處理其個人資訊。

我們如何收集個人資訊

  1. 親自和透過電話:來自學生及其家人、教職員工、訪客、承包商及其他人。
  2. 來自電子和紙本文件:包括電子郵件、發票、入學申請表、致學校信函、醫療表格、同意書(例如:入學、課外活動等)、本校網站或學校管理的社群媒體。
  3. 線上工具:例如學校使用的應用程式和其他軟體。
  4. 經個人充分知情並同意後,用於教育或商業目的的照片或其他影音內容。
  5. 學校內的閉路電視攝影機。
  6. 交通工具中的地理定位整合系統(如適用)。

個人資訊保護權利

本校承認個人對其個人資訊擁有以下權利:

  1. 知情權:個人有權知悉其個人資料的收集和使用情況。學校必須在收集個人資訊時,告知其處理個人資訊的目的、資料保留期限以及將與誰共享。這稱為「隱私資訊」。
  2. 存取權:個人有權存取其個人資訊,這通常被稱為「主體存取請求」。此請求可以口頭或書面形式提出,且免費。
  3. 更正權:個人有權在不無故延遲的情況下取得:
    a. 更正不準確的個人資訊。
    b. 補齊不完整的個人資訊,包括透過提供補充聲明的方式。
  4. 刪除權:在下列任一情況下,個人有權要求刪除其個人資訊:
    a. 個人資訊對於其收集或處理目的而言已不再必要。
    b. 個人資訊是在未經同意的情況下收集的,或個人希望撤回同意。
    c. 個人希望行使其反對處理個人資訊的權利,且沒有凌駕一切的合法理由。
    d. 個人資訊遭到非法處理。
    e. 個人資訊需要被刪除以遵守法律義務。
    f. 個人資訊是因網路購物而收集的。
  5. 限制處理權:學校將實施並維持適當的程序,以評估個人限制處理個人資訊的請求是否可執行。若限制處理的請求已執行,學校將書面通知個人,確認限制已實施以及限制解除的時間。
  6. 資訊可攜權:學校處理個人資訊是因為有其法律依據。若學校是透過同意或合約收集個人資訊,則個人有權以電子格式接收資訊或將檔案提供給另一所學校。
  7. 反對權:個人有權在特定情況下反對處理個人資訊。若收到此類反對,學校將根據個案情況進行評估。
  8. 不受自動化決策約束的權利:個人有權不受僅基於自動化處理的決策約束,當此類決策會對個人產生法律或重大影響時。目前學校內部沒有自動化處理。如果未來進行此類處理,學校將確保在系統實施時,提供適當的上訴權利。
  9. 投訴權:學校致力於提供投訴程序,個人可直接聯繫資料保護長(DPO)。資料保護長(DPO)將處理投訴,以達成雙方滿意的結果。
  10. 撤回同意權:個人有權隨時自由撤回同意。撤回同意不影響撤回前基於同意處理個人資訊的合法性。

主體查閱請求程序

個人可隨時透過向學校的資料保護長(DPO)提交書面請求並附上身份證明來行使這些權利。

如果學校教職員工或資料保護長(DPO)收到資訊請求,「個人資訊權利行使表」將首先發送給請求者填寫並歸還。此表格和政策必須在學校的共享資料夾中提供,或由資料保護長(DPO)提供。

資訊或權利必須立即提供或遵守給個人,最遲在收到請求後一個月內。此請求完全免費,除非其明顯缺乏根據(即當個人明顯無意行使其查閱權,例如當請求是為了對學校提出無根據的指控而找藉口時)或過度(即當請求與最近提交的「個人資訊權利行使表」重疊時)。

學校為何需要處理個人資訊

同意是處理個人資訊的基礎,且必須是自由給予、具體、知情、明確的,並在學校始終保證的可靠資訊下授予。同意是我們處理個人資訊的合法依據。

為了履行對學生和家長的日常職責,學校可能會在其日常運作中處理關於個人的廣泛個人資訊(包括現任、過去和潛在的學生或家長)。其中一些活動需要執行,以履行其權利、職責或義務,包括根據與家長或學生簽訂的合約所產生的權利、職責或義務。

個人資訊的其他用途將根據學校的合法利益或他人的合法利益進行,前提是這些用途不會對個人造成過度影響,且不涉及特殊或敏感類型的資訊。學校預期以下用途可能屬於「合法利益」的範疇:

  1. 為了學生選拔(以及確認潛在學生及其家長的身份);
  2. 提供教育服務、體能訓練或心靈發展、職涯服務、課外活動,並監測學生的學習進度與教育需求。
  3. 提供校園交通服務、餐飲服務、專業照護等。
  4. 維繫與校友及學校社群的關係,包括直接行銷或募款活動。
  5. 如適用,為捐贈者盡職調查目的,並確認潛在捐贈者的身份、背景及相關利益。
  6. 為管理規劃與預測、研究及統計分析目的,包括法律規定或允許的 (例如多元性或性別薪資差距分析及稅務紀錄)。
  7. 讓相關主管機關監測學校表現,並在適當情況下介入或協助處理事件。
  8. 提供及接收關於過去、現在及未來學生的資訊和推薦信,給予/來自學生曾就讀或預計就讀的任何教育機構;並向過去學生的潛在雇主提供推薦信。
  9. 讓學生參與全國性或其他評估,並公布公開考試或其他成就的結果。
  10. 為保障學生福祉並提供適當的輔導照護。
  11. 履行學校的合約及法律義務。
  12. 監控 (在適當情況下) 學校的資通訊 (ICT) 及通訊系統的使用情況。
  13. 在學校的出版物、學校網站以及 (在適當情況下) 學校的社群媒體頻道上使用學生的照片。
  14. 為安全目的,包括閉路電視監控。
  15. 在其他合理必要的情況下,為學校目的,包括為學校取得適當的專業建議和保險。

此外,學校可能需要依據法律賦予學校的權利或義務 (包括關於保障和聘用方面),或在必要時經由明確同意,處理特殊類別的個人資訊 (關於健康或宗教) 或犯罪紀錄資訊。這些原因可能包括:

  • 為保障學生福祉,並提供適當的輔導 (必要時包括醫療) 照護,以及在緊急情況、事件或事故發生時採取適當行動,包括在符合個人利益的情況下揭露其醫療狀況詳情,例如用於醫療諮詢、社會服務、保險目的或提供給學校旅行的組織者。
  • 依據學生的特殊教育需求提供教育服務。
  • 依據任何宗教信仰提供靈性教育。
  • 關於其員工的聘用事宜,例如福利或退休金計畫。
  • 為符合法律及法規要求 (例如兒童保護、多元性監測及健康與安全),並履行法律義務及照護責任。

處理的個人資訊類型

這將包括例如:

  1. 姓名、地址、電話號碼、電子郵件地址及其他聯絡資訊。
  2. 車輛詳細資訊(適用於使用本校停車設施者)。
  3. 身分證號碼、護照、保險、背景調查。
  4. 銀行資料及其他財務資訊,例如支付學費給學校的家長相關資訊。
  5. 過去、現在和未來學生的學業、紀律、入學和出勤記錄(包括任何特殊需求資訊)、就業資訊以及考試卷和成績。
  6. 過去、現在和未來家長的就業資訊、家庭狀況、法院或公共機關發布的文件、授權書等。
  7. 在適當情況下,個人的健康資訊及其緊急聯絡人資料。
  8. 學校提供或收到的關於學生的推薦信,以及由先前教育機構和/或其他專業人士或與學生合作的學校所提供的資訊。
  9. 學生(偶爾也包括其他個人)參與學校活動的影像,以及學校閉路電視系統所捕捉的影像(依據學校關於拍攝、儲存和使用學生影像的政策)。
  10. 當使用手機應用程式或類似工具正確執行校車接送服務時,家長或合法授權人士亦可存取學生的位置資訊。

本校亦處理其員工、供應商、實習生、志工、管理人員、代理人、承包商、顧問,以及其附屬機構和協助本校的第三方代理人的個人資訊。本校使用這些個人資訊的目的可能包括但不限於:

  • 管理個人的僱傭合約(包括背景調查)。
  • 保險目的。
  • 行銷目的。
  • 為履行學校的法律、道德和信託義務,特別是與兒童保護和安全相關的義務。

學校間的資訊傳輸

當學生被另一所學校錄取並註冊時,本校會將學生的相關資訊轉移至該新學校。這可能包括學生的學籍記錄和健康資訊副本。

此個人資訊的傳輸使新學校能夠繼續為學生提供教育服務,支持學生的社交和情感健康,並履行法律要求及其他義務。

由於本校已整合至XCL Education國際學校網絡,學生有可能在該集團的任何一所學校就讀,因此學校之間有必要傳遞個人資訊,包括在適當情況下,於相關法律條件下進行個人資訊的國際傳輸。

資訊儲存與安全

學校應採取適當的技術和組織措施,以確保個人資訊的安全性、機密性、完整性和隱私,並防止未經授權的存取或非法處理,以及檔案的意外遺失、損壞或毀損。

更新個人資訊

學校致力於確保我們處理的資訊始終準確、完整且最新。希望更新資訊的個人,可視情況聯繫招生部門和學生的導師。

資訊分享

學校只會在「有必要知情」的基礎上,並在您同意的情況下,與第三方分享您的資訊,但法律要求、兒童保護、犯罪活動,或經合法授權機構(例如法院、警方、社福機構等)要求的情況除外。

如果學校決定在未經家長同意的情況下分享資訊,且嚴格遵守法律規定的情況,我們將在學生的檔案中記錄此事,並清楚說明我們的理由。

學校只會分享準確且最新的相關資訊。我們首要的承諾是確保我們所照顧學生的安全和福祉。

作為我們日常營運的一部分,例如處理薪資和帳務、法律顧問等,部分有限的個人資訊會揭露給我們委託處理的授權第三方。

家長責任

在共同親權的情況下,無論法定監護權歸屬何方,父母雙方都有權獲得關於子女教育過程中發生的相同資訊,這要求學校必須確保提供資訊的副本,除非有司法裁決規定剝奪任何一方家長的親權,或有某種刑事措施禁止其與未成年人及/或其家人通訊。
所有因此可能在父母之間產生的衝突,都必須提交家事及少年法庭處理。

家長有權查閱其子女的學業和教育資訊,即使子女已達法定年齡或已獨立,只要家長仍需支付贍養費、教育費或伙食費,在此情況下,家長合法的知情權將優於已達法定年齡或已獨立學生的隱私權。

發送商業通訊

經同意後,學校可能會透過電子郵件或郵寄方式,向家長和學生發送資訊或資料,例如招生簡章、傳單、通訊等。

個人可隨時以書面形式通知學校撤回同意。學校將採取合理措施,從相關資料庫和發送名單中移除個人資訊。

影像使用同意

學校強調慶祝學生成功的重要性,因此學生的照片和影片經常被用來展示他們的技能和才華,以及學校的日常點滴。

學校致力於保護學生的影像,並非常重視遵守隱私權和兒童保護規定,特別是關於學生、教職員工以及可能出現在我們出版物中的其他人員的影音內容發布同意。

在學年開始時,學校會請求授權,以便在學校網站、行銷、社群媒體管道、新聞媒體及其他宣傳管道上分享學生的影音內容。已達法定年齡的學生可自行同意,無需家長授權,且不影響家長監督權。

未經家長或學生同意,學校絕不會散佈任何照片或影片。

學校對於家長或學生未經明確同意而拍攝和分享的任何影像概不負責。此外,學校不授權第三方使用其出版物內容,對於任何未經授權的使用,學校亦不承擔責任。

學校每年會向家長徵求同意(作為學生合約的附錄),以使用學生的影像和資訊進行宣傳,這包括在學校年鑑中使用照片和姓名。

為維護學校設施內學生和家長的安全與隱私,嚴禁在校園內錄影或拍照,除非是在特定的組織活動或允許的情況下,並受上述限制。

保留期限

個人資訊僅會保留法律要求的期限,或在法律未要求的情況下,保留至達成其收集目的為止。一旦個人資訊不再因法律或業務目的而需要或允許保留時,將會被銷毀或透過假名化處理使其匿名。

個人資訊的準確性和安全性

學校將努力確保所有與個人相關的個人資訊盡可能保持最新和準確。個人必須至少每年通知學校任何關於他們的資訊變更。學生相關資訊變更的責任由家長承擔。

個人有權要求刪除或更正任何關於他們的不準確或過時資訊。

學校將採取適當的技術和組織措施,以確保個人資訊的安全性,包括關於技術和設備使用以及學校系統存取的政策。學校員工將被告知此政策並接受相關培訓。

Cookie

學校網站會追蹤網路瀏覽模式,以更好地了解網站的使用情況。這些一般資訊是透過使用工作階段 Cookie 收集的。我們網站使用的 Cookie 與匿名使用者及其電腦相關聯,且與使用者的個人資訊無關。

我們網站使用的 Cookie 均為暫時性,唯一目的是使未來的傳輸更有效率。在任何情況下,Cookie 都不會用於收集個人資訊。

IP 位址
網站伺服器將自動偵測使用者使用的 IP 位址和網域名稱。所有這些資訊都收集在一個關於伺服器活動的檔案中,以便後續處理個人資訊,其目的僅是收集統計數據,顯示列印頁數、網站服務造訪次數、造訪原因、存取點等。

安全性
本網站採用業界普遍接受的資訊安全技術,例如防火牆、存取控制方法和加密機制。所有這些措施的目標都是為了防止未經授權的資訊存取。為實現這些目的,使用者/客戶同意供應商為存取控制的身份驗證目的而收集資訊。

學校可能會不時透過在網站上發布新版本來更新 Cookie 政策。

教育應用程式

學校使用校務管理資訊系統 (MIS) 以及各種教育和學習平台來輔助教學 (軟體即服務/雲端運算服務)。這些平台嚴格僅為內部和教育目的儲存及處理家長、教師和學生的敏感資訊。

教師在使用前,需向學校申請授權。每次授權申請都涉及從個人資訊保護和資訊安全的角度對應用程式進行評估,以及學校隨後的授權或拒絕。

這些平台的所有使用者都透過業界標準的密碼保護來限制存取。

使用此類教育平台,絕不表示學生的個人資訊會傳輸給應用程式服務供應商,供其用於自身目的或永久儲存。學校將始終保留存取學生個人資訊的權利,並在適當時機予以刪除。

這些平台嚴格遵守個人資訊保護法規,並確保在資訊進行國際傳輸時,採取足夠的保障措施。

與 XWA 保持 聯繫

還沒準備好預約參觀嗎?訂閱以隨時掌握最新活動和入學資訊。

訂閱即表示您同意我們的 隱私權政策
謝謝您!我們已收到您的提交!
哎呀!提交表單時發生錯誤。
CTA 插圖