欧盟通用数据保护条例（GDPR）

 

《通用数据保护条例》（简称 GDPR）于 2018年5月25日生效。这是过去20年来数据安全和隐私方面最全面的法规，大幅改进、拓展及协调了整个欧盟/欧洲经济区的数据保护立法工作。

更多GDPR详情，请点击这里。

10多年来ManageBac始终致力于数据隐私保护并积极遵守新法规。自 2018年5月ManageBac已经实现GDPR合规。

谁必须遵守GDPR?

个人、机构及公司管控或处理个人信息均须遵守GDPR。在广义层面涉及三大主体：

• 数据主体（学生，家庭，学校员工）
• 数据控制者（学校）
• 数据处理者（像ManageBac、OpenApply和Atlas这样的系统）

作为数据处理者，我们受客户委托代表其处理和存储数据，不决定其用途或合法性。学校作为数据控制者对数据归档及如何录入系统承担最终责任。然而，GDPR 法规确实对数据处理者实施了新的更严格的法规。我们将严格保障自身（包括ManageBac， OpenApply、Atlas以及集成伙伴）所提供的服务遵从该法规要求。

GDPR和以往的数据保护法相比有何区别？

主要的区别集中在以下方面：增强公司的责任感，自然人对于个人数据拥有更多的访问权以及更高的不合规行为罚款。

GDPR明确列出了数据主体的关键权利：

• 知情权
• 修正权
• 删除权
• 限制处理权
• 数据迁移权
• 异议权
• 访问权

这些权利组成了数据主体，数据控制者和数据处理者之间互动的框架。 在控制者（学校）仍然负责尊重这些权利的同时，处理者（我们）可以协助完成这些任务。

违规的处罚并非无足轻重。 被发现违反GDPR规定的学校可能会被处以年度营收4％的罚款。信息专员办公室（ICO）负责执行GDPR，并具有广泛的权力。

条例涉及哪些数据、经授权？学校能够收集哪些信息？

GDPR下对个人数据的定义囊括了与自然人（“数据主体”）相关的任何信息。 具体而言，GDPR包含可以识别自然人的个人数据，例如：姓名、地址、电话号码、照片等。

即使个人数据已被加密，假名化或匿名化，如果仍可以用来识别某个人，则该数据仍可能属于GDPR管辖的范围。

我们学校收集和存储的个人数据包括：

• 姓名
• 地址
• 邮箱地址
• 电话号码
• 身份证号（护照、居民身份证、社会保险号）

就个人数据收集的合法性，GDPR明确规定了六个法律基础：

• 同意
• 书面合同
• 法律义务
• 切身利益
• 公众义务
• 合法利益

对于大多数学校而言，数据收集的法律依据与其作为教学机构承担的法律义务或者与其合法权益是相互吻合的。

大多数依据都要求证明数据处理是必须的，即，如果不处理数据就可以合理地实现相同的结果和目的，那么您就丧失了法律基础。

ManageBac是否达成GDPR合规？

是的。从创立之初，ManageBac就考虑到个人数据保护，我们为学校、学生和家长提供最高级别的数据安全保障，并引以为豪。

我们一直在为2018年5月努力准备：分析新的法规要求、积极调整自身服务和内部工作流程。

为恪守我们对GDPR作出的承诺，ManageBac将竭诚：

• 确保所有服务的组织和技术安全
• 协助数据存档以体现合规性并通知用户
• 提供符合GPDR数据处理协议（DPA）要求的合同规范文件
• 为用户行使数据主体权利提供支持

我的学校如何达到GDPR合规？

我们不能直接建议合作学校遵循GDPR要求，但建议您尽快征询法律意见，并委任相关团队对当前的数据处理进行审核。大多数在欧洲的合作学校被要求任命一名数据保护官（DPO）以监督合规性工作并直接向高级管理层汇报。

一般来说，GDPR要求您明确记录并评估个人数据的处理及使用的方式。 至少，您将需要全面审核端到端的用户数据，说明保留数据的理由（援引一种法律依据），保留数据的时间，并进行安全性审查且必须定义您持有的每个数据点的用途。

当采用涉及个人数据的新技术平台时，您将需要执行数据保护影响评估（DPIA）。您应该监督并确保您使用的系统符合GDPR要求。

最后，基于GDPR强调个人权利，我们强烈建议您让用户知悉他们享有的权利，并建立明确的流程以在用户行使权利时更好地进行响应。

我听说ManageBac遵守GDPR仍然不够安全！是真的吗？

GDPR没有专门针对云端服务给出安全要求。但作为数据处理者，我们与学校（数据控制者）肩负共同的责任，即提供恰当的组织和技术安全措施并加以论证。对于无法证明这些安全协议的公司，GDPR会对其加强法律制约及加大惩治力度。

十多年来，ManageBac已成功保护了数百万用户的数据。我们将继续加大在组织安全性、网络和基础结构安全性以及应用程序安全性上的投入，以确保我们可以提供超出标准要求的世界一流的安全保障。 我们定期邀请第三方审核我们的安全措施，并邀请客户进行自我审核。

我们非常谨慎：不提供有关安全措施的明确细节，但我们的标准协议包括：

• 应用程序安全：追踪篡改，散列密码，针对易被攻破的漏洞：比如跨站点脚本、SQL注入、网络钓鱼等加强安全措施。
• 网络安全：防火墙和系统用于检测可疑行为，终止恶意访问以获得访问权限或破坏服务弹性（例如DDOS攻击）的行为。
• 组织安全性：访问策略、审核日志和机密性协议。
• 物理安全性：防止未经授权访问个人数据处理器的基础架构。
• 流程安全性：IT管理流程以极大化地减少人为错误风险，或者可以在将新功能发布到我们的云服务平台之前，通过测试机制以识别软件弱点，或者可以采取相关政策以确保仅仅根据客户的指令进行数据处理。

ManageBac如何获取有关用户的个人数据，以及如何使用它？

用户数据通过三种方式提交到我们的平台：

1. 用户直接提交
2. 通过用户授权的代表（例如，学校技术总监获得数据，然后将其上传到我们的平台）
3. 通过与第三方系统集成

数据通常通过由客户学校独立维护和管控的“学生信息系统”录入我们的系统。 我们仅在客户直接指示下才从第三方系统导入数据。

仅当我们收到客户的直接指示时，我们才会将个人数据纳入我们的保护下。 我们系统上存储的数据直接属于我们的客户，而且出于严格的机密性和安全性，仅有少数ManageBac员工可以访问个人数据。 我们仅仅在数据对服务的完整性或安全性至关重要时，或为了分析或评估所提供服务的质量，才会独立处理个人数据。

我们的任何用户是否都可以依据”被遗忘的权利”请求删除数据？?

很可能不行。仅仅在该处理的合法依据为“同意”时（见上文）或原始目的不再有效时，数据删除请求才被视为有效。

我们强烈建议我们的学校执行清晰的流程来评估这些要求。我们的数据保护员可以在您遇到困难的情况下提供建议。如果授予数据主体删除权，则ManageBac将通过我们的软件或我们的支持服务来帮助执行这些权利并确认删除。

ManageBac何时删除个人数据？

ManageBac在客户指示下删除个人数据，或者当我们与客户终止合同。有关在服务终止时删除客户数据的程序应以书面形式载入到在数据处理协议中。

在我们的服务中删除某个用户既可以由客户代表在平台上手动完成或要求我们的支持团队来完成。

当在我们的系统中删除用户时，我们有安全措施，以防止错误导致不可替代的数据丢失。在许多情况下，客户必须手动确认删除客户数据，包括个人数据。

当被要求提供我们存储的用户个人数据时，我们是否必须提供？

一定程度上来说，是的。您的用户享有强大的信息透明度权利、以及信息和数据访问权。任何数据主体都可以请求拷贝一份我们存储的他的所有个人数据，但前提是：这不会对其他用户产生负面影响；或者数据并不是不能直接获取的。

请注意，这不是绝对的权利。还有其他法律要求您保护数据主体和其他人不访问某些类型的信息。同样，我们强烈建议您实施一个明确的流程来评估此类请求，我们的数据保护官可以在困难情况下提供帮助。如果您授予数据主体访问权限，我们将通过我们的软件或支持服务帮助执行这些权利。

我们的系统是为所有利益相关者群体的信息透明而构建的，因此，有关用户的大部分数据存储数据都可以通过单个用户配置文件直接访问。

用户（例如学生、家长、教师）能否直接联系 ManageBac以行使GDPR规定的权利？

不能。根据GDPR，数据主体（用户）的权利存在于他和数据控制者（我们的客户）之间。任何由终断用户向ManageBac提出的数据主体请求都将移交交给客户。ManageBac将与客户竭诚合作，确保他们能够及时行使数据主体的权利。

ManageBac 是否会将数据发送给第三方？

不会，除非我们收到客户的指示/确认，或者法律义务要求这样做。

学校经常要求我们集成第三方工具、服务或使用我们的公共API自行设置集成。我们采取措施防止客户在未遵守这一数据保护法规的情况下，向第三方传送数据。但是，我们的客户必须自己实施数据安全保护，以确保数据传输符合法规要求。

如果出现数据泄露，ManageBac 是否会通知用户？

取决于数据泄露的性质，必要时，我们的客户可能需要及时通知受影响的用户以及相关监管机构。ManageBac在发现数据泄露时必须通知其客户，并协助他们履行通知用户的义务。

我能要求像ManageBac这样的云服务供应商仅在我的国家托管数据吗？

GDPR 的主要目标之一是在统一的法规框架管辖下实现欧洲经济区 （EEA） 内个人数据的自由流动。大多数情况中，GDPR 不允许限制供应商在整个欧盟经济区内处理数据的行为。

ManageBac是否在EEA以外地区处理数据？是否被允许这么做？

GDPR 并不禁止个人数据流出欧盟经济区，但在欧盟经济区以外地区的任何数据处理均遵循相同的数据保护原则。

此外，欧洲经济区以外的数据控制者或数据处理者必须提供的详细资料，证明信息处理的性质：必要时包含允许客户或用户拒绝对其个人信息处理的内容。

请注意，欧盟委员会已将加拿大认定为具有”适当”数据保护权的司法管辖区。更多信息请点此处。

GDPR法规是否会影响欧盟地区以外的用户？

法律层面来说，不会。显然，欧盟对其他司法管辖区没有立法权。GDPR 不能赋予身处欧盟地区以外的数据主体任何权利或自由，如非欧盟用户并为处理欧盟/欧洲经济区的数据主体的数据也无须承担相应义务。

但是，ManageBac在极大程度上为所有用户提供同等的以及相同安全级别的服务。换言之，无论您的学校位于何处，我们都能为您提供等同GDPPR法规要求的个人数据安全保护措施。

如有其他问题，我可以联系谁？

发送邮件至系统支持团队[email protected]，他们讲为您解答ManageBac系统相关问题。合同或商务问题，请联系账号经理。

作为我们的客户，如果您有GDPR相关的具体问题，请联系我们的数据保护员。除了管控我们自己的合规性，并为我们的员工提供建议和培训外，我们的数据保护员服务于我们的客户及其数据保护员，共同探讨数据隐私问题。

数据保护员的邮件是[email protected]。请注意，与我们数据保护员的所有沟通都必须用英语进行。