隐私政策

Istituto Marangoni S.r.l. 希望向您说明在申请《工作学生、学生运动员或残疾运动员、学生照顾者、残疾/SLD/ADHD/SEN 学生、学生家长或孕学生身份认定条例》（以下简称“学术条例”）所规定的某种身份认定）过程中所收集的个人数据（以下简称“数据”）的处理方式，以保障您作为数据主体（以下简称“数据主体”）的基本权利和自由，尤其是涉及数据处理的保密性和安全性。

数据控制者为 Istituto Marangoni S.r.l. – 地址：Via Meravigli, 7, 20123 米兰 (MI)，电子邮箱：privacy@istitutomarangoni.com（以下称为“数据控制者”或简称“控制者”）。

数据控制者已指定一名数据保护官（DPO），可通过以下电子邮箱与其联系：

dpo@istitutomarangoni.com.

数据控制者处理以下个人数据：

a) 由数据主体通过申请表提供的姓名、姓氏、电子邮箱、学号、税号、所在学年及所修读的学术课程。

b) 根据《学术条例》，为向符合规定类别的学生（即“在职学生”、“学生运动员或残奥运动员”、“照护学生”、“学生家长或孕期学生”、“残疾学生”、“具有特定学习障碍、注意力缺陷多动症或特殊教育需求的学生”）分配减免和/或补偿措施所需的特殊性质数据（依据 GDPR 第9条），从中可获取申请数据主体的健康状况相关信息。

数据控制者处理个人数据的目的如下：

a) 向学术委员会提交请求，以分配减免和/或补偿工具，便于进行适当评估并可能批准；

b) 在法庭上确认、行使或维护权利，或在司法机关行使其司法职能时使用。

为上述 a) 点所述的目的，数据的处理是基于以下法律依据进行的：”

• “数据主体的明确同意，可随时撤回，用于学术条例中规定的身份（即‘在职学生’、‘运动员或残疾运动员学生’、‘照护者学生’、‘父母学生’、‘孕期学生’以及‘残障学生’）（《通用数据保护条例》（GDPR）第9条第2款a项）。” 

  在这一点上，应当注意，通过填写表格自愿提供属于特定类别的数据，应视为对上述目的（即获取豁免和/或补偿工具）处理该等数据的明确且具体同意。因此，提供此类属于特定类别的数据是可选择的，且绝不排除使用数据控制者提供的服务的可能性。然而，如果未提供此类数据，将无法享受学术条例中规定的某些身份所认可的权益（豁免和/或补偿措施）。

  数据主体可以随时按照本政策中说明的方式撤回同意；但同意的撤回在任何情况下均不影响在撤回之前基于同意进行的处理的合法性。应当注意，如果在学年中撤回同意，数据主体将失去其在学术条例下所认可身份的相关权益。

  然而，关于上述 b) 项所述的目的，数据处理基于数据控制者或第三方的合法利益（《通用数据保护条例》（GDPR）第6条第1款f项）。

  特别是针对这一目的，应当注意，数据控制者在处理数据主体个人数据时的合法利益与数据主体的利益、权利及基本自由之间是相对平衡的。基于合法利益的处理并非强制性，数据主体可以按照本政策中描述的方式反对此类处理；在此情况下，数据控制者不得为此目的处理数据，除非能够证明存在占优的合法理由。

数据控制者自数据收集之日起，最多处理数据三（3）年，除非数据主体按照下文第10条所述方式提前撤回其同意。

特别是针对上述第4(b)项所述目的的数据处理，数据将仅在严格必要的期间内进行，以便数据控制者在法庭内外维护其权利和合法利益。

在上述期间结束后，数据将被删除或匿名化。

数据控制者使用信息技术工具以及经授权的人员对数据进行收集、使用、记录、查询、存储、删除、提取、传输和限制等操作。

为了确保适当的保护水平，数据控制者在处理数据时采取了技术和组织上的安全措施，例如：

• 采用带有双重身份验证系统的云平台，用于接收、查询、管理和存储数据主体的请求。

• 数据访问仅限于获得授权并专门指定的人员。

根据《通用数据保护条例》（GDPR）第22条，数据不会被用于自动化决策处理。

只有经数据控制者及/或任何外部数据处理方授权和指定的人员才能访问数据，且仅限于前一段第4项中所述的目的，并且这些人员已承诺保密或受适当的法律保密义务约束。

数据也可能由被任命为外部数据处理方的供应商（例如信息技术服务公司）处理，数据控制者使用这些供应商来接收和管理您的请求，同时也可能由外部数据处理方任命的任何次级供应商处理，以便提供相关服务。

除此之外，数据还可能披露给法律规定或主管机关命令要求必须披露的人员、实体或机构。

数据存储在位于欧洲经济区（EEA）的服务器上。如果出于技术和/或操作原因，有必要使用位于欧洲经济区以外的实体，数据的处理将依据《通用数据保护条例》（GDPR）的相关规定进行：因此，将采取一切必要的预防措施以确保数据的保护，符合《GDPR》第44条及以下条款的要求。

提供数据是可选择的，但如果未提供此类数据，数据主体将无法享受学术条例中规定的某些身份所认可的权益（豁免和/或补偿措施）。

根据《通用数据保护条例》（GDPR）的规定，就相关数据处理而言，数据控制者向数据主体保证以下权利：

• 随时撤回同意 [同意的条件，第7条]。

注意： 撤回同意不影响撤回前基于同意进行的数据处理的合法性。应当注意，如果在学年期间撤回同意，数据主体将失去其在学术条例下所认可身份的相关权益。

• 访问权 [《GDPR》第15条]（有权确认数据主体的数据是否存在，并以可理解的形式获取其副本）；
• 更正权 [《GDPR》第16条]（有权要求数据控制者及时更正有关数据主体的不准确数据）；
• 删除权 [《GDPR》第17条]（有权要求删除数据主体的个人数据）。

注意： 如果无法按照上述规定删除数据，数据控制者应告知数据主体无法删除的原因。

• 处理限制权 [《GDPR》第18条]（有权要求限制数据处理，例如当数据准确性存在争议或处理行为违法时）；

• 数据可携权 [《GDPR》第20条]（有权以结构化、常用且可机读的格式接收与数据主体相关的个人数据，并有权在不受原数据控制者阻碍的情况下将该数据传输给另一数据控制者）；

• 反对权 [《GDPR》第21条]（有权反对基于合法利益（依据《GDPR》第6条第1款f项）的数据处理）；

• 不受自动化决策影响权 [《GDPR》第22条]（有权不受仅基于自动化处理而作出的、产生法律效力或对数据主体造成类似重大影响的决定）。

上述权利可通过书面形式行使，即发送电子邮件至： dpo@istitutomarangoni.com orprivacy@istitutomarangoni.com .

可随时通过相同的联系方式请求有关数据处理的更多信息。同时应注意，行使个人权利不得损害和/或侵犯他人的权利与自由。

数据控制者承诺在收到请求后 一（1）个月 内予以回复；若请求特别复杂，最长期限可延长至 三（3）个月。在任何情况下，数据控制者将在收到请求后一个月内说明延迟原因。

请求的结果将以书面形式（应数据主体要求）或电子形式提供（此情况下免费）。数据控制者说明，如数据主体的请求明显无依据、过度或重复，可能要求数据主体分担部分成本；为此，数据控制者将对相关请求进行记录。

根据《GDPR》第19条，数据控制者承诺在可能的情况下，将数据主体所请求的任何更正、删除或处理限制通知已接收该数据的接收方。

https://www.garanteprivacy.it/diritti/come-agire-per-tutelare-i-tuoi-dati-personali/reclamo.