Privacy Policy
Straits International School, Malaysia
Personal Data Protection Policy: January 2014
The Personal Data Protection Act 2010 gives individuals the right to know what information is held about them. It provides a framework to ensure that personal information is handled properly.
The Act gives the public a general right of access to information held by public bodies and outlines the requirements that must be followed when responding to requests. It also outlines reasons for withholding information, which are known as exemptions from the right to know.
Straits International School aims to fulfill its obligations under the Personal Data Protection Act 2010 by ensuring that anyone who processes personal information complies with the Act.
To ensure the implementation of the Act, a Data Protection Officer will be appointed in Straits International School and within the Corporate Office.
The Act states that anyone who processes personal information must comply with eight principles, these are that personal information is:
- Fairly and lawfully processed and that the individual has given consent
- Processed for the specified purposes
- Adequate, relevant and not excessive
- Accurate and up to date
- Not kept for longer than is necessary
- Processed in line with an individual’s legal rights
- Secure
- Not transferred to other countries without adequate protection
Security Measures In Place
The school has procedures in place to ensure appropriate use, disclosure and protection of personal data, including sensitive data relating to members of staff and students’ records. The school uses physical and electronic safeguards to ensure the security of data.
These include:
- Locks to filing cabinets
- Locks to doors, to offices, filing rooms and computer rooms
- Secure management of the holding and storage of keys
- Installation of anti-virus software
- Installation of firewall software/hardware
- Secure data backup procedures
- Good practice relating to passwords, clear screens, locking of computers
- Separate administration and teaching computer areas
Personal Data Covered by the Act
This includes, but is not limited to:
- School admission and attendance registers
- Students’ curricular records
- Annual returns to the relevant authorities
- Reports to parents on the achievements of their children
- Records in connection with students entered for public examinations
- Staff records, including disciplinary and payroll records
- Student disciplinary records
- Records of contractors and suppliers
- Personal information for teaching purposes (assessment data, teacher mark books)
Sensitive Data
Sensitive data can only be processed if the information has been lawfully and fairly obtained and that the subject has consented, sensitive data includes:
- Ethnic origin
- Political opinions
- Religious beliefs
- Other beliefs of a similar nature
- Membership of a trade union
- Physical or mental health condition
- Alleged and/or criminal offence
- Proceedings or court sentence
The School’s Data Protection Officer is responsible for deciding how any personal data is to be processed and ensuring that it complies with the Personal Data Protection Act 2010.
Access to Information
The second area covered by the Data Protection Act provides individuals with important rights, including the right to find out what personal information is held on computer and most paper records. With regard to students, there are two distinct rights to information held by the school:
- The subject access right – where a student has the right to a copy of his/her own information. Requests may also be made by a parent/guardian on behalf of his/her child. All students and parents are entitled to have their records disclosed to them on written request, unless it is obvious that they do not understand what they are asking for, or if disclosure would be likely to cause them or anyone else serious physical or mental harm.
- Rights to the educational record – under the Act 2010 a parent/guardian has the right to access his/her child’s educational record.
All requests should be addressed to the Data Protection Officer at the relevant Straits International School. The request should be made in writing and describe the information to which access is required. If practicable and reasonable, the information will be copied or printed and posted to the person making the request. Arrangements can be made to view the information by an individual as an alternative. The School will comply with the request within a period of 14 working days.
There are certain circumstances, where access will be denied. This includes cases where the information might cause serious harm to the physical or mental health of the students or another individual or the request would entail releasing examination marks before they are officially announced.
When a student transfers to another Straits International school, the new school should be sent a completed transfer form and all educational records relating to the student, including copies of their student reports. When a student transfers to a new school other than Straits International School, all educational records relating to the student, including copies of their student reports should be provided to the parents/guardians.
Charging
Straightforward requests for information are provided free of charge. More complex requests will be charged; the school’s Data Protection Officer will provide details regarding charges on request.
Sharing of Data and Student consent
The interests of the student should remain paramount at all times. Whenever possible, students should be consulted and their wishes taken into account concerning the sharing of information about them. The exceptions to this are:
When there is a legal obligation to share information without the
consent and/or knowledge of the student, e.g., child protection; when the student is deemed to be unable to make a competent decision concerning the sharing of information about them. In such instances, those who are responsible for the student should be consulted.
It should be made clear as early as possible that absolute confidentiality cannot be guaranteed if a student’s own safety or the safety of others is at risk. Where a member of staff believes that there is a risk to the health, safety or welfare of a young person or others, which is so serious as to outweigh the young person’s right to privacy, they should clearly explain this to the student and inform the Principal.
Sharing data within the school
Those responsible for sharing personal or confidential information about students or staff should work together to ensure that such sharing is handled in line with statutory guidance. Responsible staff should meet to discuss and agree on what information should be shared, for what legal or proper purpose, to whom it should be shared and how much information should be reasonably disclosed. Sensitive data such as medical information on staff and students should not be displayed in ‘public’ areas where guests to the school may be admitted.
Who needs to know?
Potentially, those who work directly with students may need to be informed of confidential information. Those responsible for the running and administration of the school may also need to be informed. These include:
- Form Tutors
- Teaching Staff,
- Pastoral and Support Staff,
- Parents,
- Guardians or Carers,
- School Principals,
- School Board Members,
- Outside Agencies
Basis for sharing information
Information may be shared
- for information only (e.g. to ensure others may respond appropriately in the case of classroom management, potential problems)
- because action is required (e.g. to inform the Principal in the case of possible Child Protection issues)
Information should only be shared
- on a ‘need to know’ basis
- in accordance with legal requirements
Where an individual faces a conflict of interest about whether to disclose information or not
- the interests of the students take priority
- other staff who share the information should be consulted
When in doubt, information should not be shared unless
- there is a legal requirement to do so
- there is a clear benefit to the student to do so
- that the student will be protected from harm by the disclosure
Disclosure of Data – Staff
Personal data cannot be released to third parties without the individual’s consent, unless for specific reasons such as prevention or detection of crime, the health, safety and welfare of other employees or where disclosure is to protect the vital interests of the individual. Ideally, the individual’s consent should be obtained in writing. If the school wishes to obtain personal data from a third party, e.g. an employee’s medical records, the individual’s permission should be requested and obtained.
All requests for disclosure should be submitted in writing on headed paper and given full reasons.
Accurate information should be given when supplying a reference for an employee or ex-employee.
Rights of Individuals
When the School requests personal data they must inform individuals as to why the personal data is being processed and to whom it is being disclosed. Personal data held by the school is reviewed and updated annually as necessary. Personal data is held by the school for seven years.
Personal information given in confidence must not be disclosed without consent. Employees should not be the subject of monitoring without good cause.
Individuals have the right to prevent processing, which is damaging or distressing to themselves or others, to prevent processing for direct marketing, ensure that no decision significantly affecting them is based solely on the automatic (electronic) processing of data relating to them e.g. assessing their performance at work. The individual also has the right to rectify, block, erase or destroy inaccurate data on application to the school.
Exemptions
Individuals are not entitled to have access to the following:
- References given by an employer
- Personal data processed for the purposes of management planning e.g. pay reviews, promotion Information about or provided by a third party where the third party could be identified and does not agree to a disclosure
Sekolah Straits International
Dasar Perlindungan Data Peribadi: Januari 2014
Akta Perlindungan Data Peribadi 2010 memberikan hak individu untuk mengetahui segala bentuk maklumat yang dipegang mengenai mereka. Ia menyediakan satu rangka kerja untuk memastikan bahawa maklumat peribadi ditangani dengan betul.
Akta ini memberi hak umum kepada orang ramai untuk mengakses kepada maklumat yang dipegang oleh badan-badan awam dan menggariskan syaratsyarat yang perlu dipatuhi ketika bertindakbalas kepada permintaan. Ia juga menggariskan sebab-sebab penyimpanan maklumat yang dikenali sebagai
pengecualian daripada hak untuk tahu.
Sekolah Straits International School bertujuan untuk memenuhi kewajibannya di bawah Akta Perlindungan Data Peribadi 2010 dengan memastikan sesiapa yang memproses maklumat peribadi hendaklah mematuhi Akta ini.
Untuk memastikan pelaksanaan Akta ini, seorang Pegawai Perlindungan Data akan dilantik di setiap Sekolah Straits International dan di Pejabat Korporat.
Akta ini menyatakan bahawa sesiapa yang memproses maklumat peribadi mesti mematuhi lapan prinsip, bagi memastikan maklumat peribadi adalah :
- Diproses dengan adil dan mengikut undang-undang dan individu berkenaan telah memberikan persetujuan
- Diproses untuk tujuan spesifik
- Mencukupi, relevan dan tidak berlebihan
- Tepat dan terkini
- Tidak disimpan lebih lama daripada yang diperlukan
- Diproses selaras dengan hak-hak undang-undang individu
- Selamat
- Tidak dipindahkan ke negara-negara lain tanpa perlindungan yang mencukupi
Langkah-langkah Keselamatan Yang Berkuatkuasa
Sekolah mempunyai prosedur-prosedur yang berkuatkuasa untuk memastikan penggunaan yang sesuai, pendedahan dan perlindungan data peribadi, termasuk data sensitif yang berkaitan dengan kakitangan dan rekodrekod pelajar-pelajar. Sekolah menggunakan perlindungan fizikal dan
elektronik untuk memastikan keselamatan data.
Ini termasuk:
- Kunci-kunci kepada kabinet-kabinet fail
- Kunci-kunci untuk pintu-pintu, ke pejabat-pejabat, bilik-bilik fail dan bilikbilik komputer
- Pengurusan selamat dari segi pegangan dan penyimpanan kunci-kunci
- Perisian Anti-virus dipasang
- Firewall dipasang kepada perisian/ perkakasan
- Prosedur-prosedur yang selamat kepada sandaran data
- Amalan yang baik berkaitan dengan kata-kara laluan, mengosongkan skrin-skrin , mengunci komputer-komputer
- Kawasan-kawasan pentadbiran dan pengajaran komputer yang berasingan
Data peribadi yang dilindungi oleh Akta
Ini termasuk, tetapi tidak terhad kepada:
- Kemasukan sekolah dan daftar-daftar kehadiran
- Rekod-rekod kokurikulum pelajar-pelajar
- Penyata-penyata tahunan kepada pihak-pihak berkuasa yang relevan
- Laporan-laporan kepada ibu bapa terhadap pencapaian-pencapaian anak-anak mereka
- Rekod-rekod yang berkaitan dengan pelajar-pelajar yang didaftar untuk peperiksaan-peperiksaan awam
- Rekod-rekod kakitangan, termasuk rekod-rekod disiplin dan gaji
- Rekod-rekod disiplin pelajar
- Rekod-rekod kontraktor-kontraktor dan pembekal-pembekal
- Maklumat peribadi untuk tujuan-tujuan pengajaran (data penilaian/peperiksaan, buku-buku yang disemak)
Data Sensitif
Data sensitif hanya boleh diproses jika maklumat telah diperolehi secara sah dan adil dan bahawa telah bersetuju terhadap subjek tersebut. Data-data sensitif termasuk:
- Etnik asal
- Pendapat-pendapat politik
- Kepercayaan-kepercayaan keagamaan
- Kepercayaan-kepercayaan lain yang serupa
- Keahlian kesatuan sekerja
- Keadaan kesihatan fizikal atau mental
- Tuduhan kesalahan dan / atau kesalahan jenayah
- Prosiding atau hukuman mahkamah
Pegawai Perlindungan Data Sekolah adalah bertanggungjawab untuk membuat keputusan bagaimana mana-mana data peribadi akan diproses dan memastikan bahawa ia mematuhi Akta Perlindungan Data Peribadi 2010.
Akses kepada Maklumat
Bahagian kedua yang diliputi oleh Akta Perlindungan Data menyediakan individu dengan hak-hak yang penting, termasuk hak untuk mengetahui apa maklumat peribadi yang disimpan dalam komputer dan kebanyakan rekodrekod atas kertas. Dengan mengambil kira kepada para pelajar, terdapat dua hak yang ketara kepada maklumat yang dipegang oleh sekolah:
- Hak untuk mengakses – yang mana pelajar mempunyai hak untuk mempunyai salinan kepada maklumat mereka sendiri. Dalam keadaankeadaan tertentu permintaan-permintaaan boleh dibuat oleh ibu bapa bagi pihak anak mereka. Semua pelajar dan ibu bapa berhak untuk
rekod mereka didedahkan kepada mereka atas permintaan bertulis, melainkan jika ia adalah jelas mereka tidak memahami apa yang mereka minta , atau jika pendedahan mungkin akan menyebabkan mereka atau sesiapa sahaja mengalami kecederaan fizikal atau mental yang serius. Hak ini tidak lagi dikaitkan dengan umur pelajar. - Hak kepada rekod pendidikan – di bawah Akta 2010 ibu bapa/penjaga mempunyai hak untuk mengakses rekod pendidikan anak mereka.
Semua permohonan hendaklah dialamatkan kepada Pegawai Perlindugan Data di Sekolah Straits International yang berkaitan. Permintaan hendaklah dibuat secara bertulis dan menjelaskan maklumat yang perlu untuk diakseskan. Sekiranya praktikal dan munasabah, maklumat akan disalin atau dicetak dan diposkan kepada orang yang membuat permintaan itu. Urusan boleh dibuat untuk melihat maklumat oleh individu sebagai alternatif. Sekolah akan mematuhi permintaan itu dalam tempoh 14 hari bekerja.
Terdapat keadaan-keadaan tertentu, akses akan ditolak. Ini termasuk kes-kes yang mana maklumat yang mungkin akan menyebabkan kemudaratan kepada kesihatan fizikal atau mental pelajar-pelajar atau individu lain atau permintaan akan melibatkan pengeluarkan markah-markah peperiksaan
sebelum ianya diumumkan secara rasmi.
Apabila pelajar berpindah ke Sekolah Straits International yang lain, sekolah baru perlu menghantar borang pemindahan berkanun yang lengkap dan semua rekodrekod pendidikan yang berkaitan dengan pelajar, termasuk salinan-salinan laporan-laporan pelajar mereka. Jika pelajar tersebut berpindah ke solah yang baru selain daripada Sekolah Straits International, semua rekod yang berkaitan dengan pendidikan peajar, termasuk salinan laporan pelajar mereka perlu disediakan kepada ibu bapa/penjaga.
Caj dan bayaran
Permintaan untuk maklumat yang ringkas disediakan percuma. Permintaan yang lebih kompleks akan dikenakan bayaran, Pegawai Perlindungan Data akan menyediakan butiran-butiran terperinci mengenai caj-caj.
Perkongsian Data dan Persetujuan Pelajar
Kepentingan-kepentingan pelajar harus diutamakan pada setiap masa. Jika boleh, pelajar-pelajar perlu dirujuk dan hasrat-hasrat mereka diambil kira mengenai perkongsian maklumat tentang mereka. Pengecualian kepada ini adalah:
Apabila terdapat obligasi undang-undang untuk berkongsi maklumat tanpa kebenaran dan / atau pengetahuan pelajar, contohnya, perlindungan kanak-kanak. Apabila pelajar itu dianggap tidak dapat
membuat keputusan yang kompeten mengenai perkongsian maklumat tentang mereka. Dalam keadaan itu, pihak yang bertanggungjawab bagi pelajar tersebut perlu dirujuk.
Ia perlu dijelaskan seawal mungkin bahawa kerahsiaan mutlak tidak boleh dijamin jika keselamatan mereka sendiri atau orang lain adalah berisiko. Jika seorang ahli kakitangan percaya bahawa terdapat risiko kepada kesihatan, keselamatan atau kebajikan seorang pemuda atau orang lain yang begitu serius sehingga melebihi hak untuk privasi seseorang pemuda,Ini perlu jelas diterangkan kepada pemuda berkenaan dan memaklumkan kepada Pengetua.
Perkongsian data dalam sekolah
Mereka yang bertanggungjawab untuk berkongsi maklumat peribadi atau kerahsiaan mengenai pelajar-pelajar atau kakitangan perlu bekerjasama untuk memastikan bahawa perkongsian itu ditangani selari dengan garis panduan berkanun. Kakitangan yang bertanggungjawab perlu bertemu untuk membincangkan dan bersetuju dengan maklumat apa yang harus dikongsi bersama, untuk undang-undang mana atau tujuan yang tepat, kepada siapa ia harus berkongsi dan berapa banyak maklumat yang semunasabah didedahkan. Data sensitif seperti maklumat perubatan mengenai kakitangan dan pelajar-pelajar tidak harus dipaparkan dalam kawasan ‘awam’ di mana tetamu-tetamu ke sekolah boleh diterima.
Siapakah yang perlu tahu?
Secara berpotensi, mereka yang bekerja secara langsung dengan pelajarpelajar mungkin perlu dimaklumkan mengenai maklumat rahsia. Mereka yang bertanggungjawab untuk pengendalian dan pentadbiran sekolah juga mungkin perlu dimaklumkan. Ini termasuk:
- Tutor-tutor Tingkatan,
- Tenaga Pengajar,
- Kakitangan Pastoral dan Sokongan,
- Ibu bapa,
- Penjaga-penjaga
- Pengetua-pengetua Sekolah,
- Ahli-ahli Lembaga Sekolah,
- Agensi-agensi Luar.
Asas perkongsian maklumat
Maklumat boleh dikongsi
- untuk maklumat sahaja (contohnya bagi memastikan orang lain dapat bertindak balas dengan sewajarnya dalam hal pengurusan bilik darjah, masalah-masalah yang berkemungkinan)
- kerana tindakan diperlukan (contohnya untuk memberitahu Pengetua untuk mengendalikan kes mengenai isu-isu Perlindungan Kanak-kanak)
Maklumat hanya perlu dikongsi
- atas asas ‘perlu tahu’
- selaras dengan keperluan-keperluan undang-undang
Mana individu menghadapi percanggahan kepentingan sama ada untuk mendedahkan maklumat atau tidak
- kepentingan-kepentingan pelajar mengambil keutamaan
- kakitangan lain yang berkongsi maklumat perlu dirujuk
Apabila dalam keraguan, maklumat harus tidak dikongsi kecuali
- terdapat keperluan undang-undang untuk berbuat demikian
- terdapat manfaat yang jelas kepada pelajar untuk berbuat demikian
- bahawa pelajar akan dilindungi daripada bahaya oleh pendedahan itu
Pendedahan Data – Kakitangan
Data peribadi tidak boleh dilepaskan kepada pihak-pihak ketiga tanpa persetujuan individu, melainkan atas sebab-sebab tertentu seperti pencegahan atau pengesanan jenayah, hal kesihatan, keselamatan dan kebajikan pekerja-pekerja lain atau untuk melindungi kepentingankepentingan penting individu itu. Sebaik-baiknya, persetujuan individu itu perlu diperolehi secara bertulis. Jika sekolah ingin mendapatkan maklumat peribadi daripada pihak ketiga, contohnya rekod-rekod perubatan pekerja,
kebenaran individu itu harus diminta dan diperolehi.
Semua permintaan untuk pendedahan hendaklah dikemukakan secara bertulis di atas kertas yang bersurat dan sebab-sebab penuh diberikan.
Maklumat yang tepat harus diberikan apabila membekalkan rujukan kepada seseorang pekerja atau bekas pekerja.
Hak-hak Individu-individu
Apabila sekolah meminta data peribadi mereka perlu memaklumkan kepada individu-individu tentang mengapakah data peribadi diproses dan kepada siapakah ia didedahkan. Data peribadi yang dipegang oleh sekolah dikaji semula dan dikemaskinikan setiap tahun seperti mana yang diperlukan. Data peribadi dipegang oleh sekolah selama tujuh tahun.
Maklumat peribadi yang diberikan tidak boleh didedahkan tanpa kebenaran. Pekerja tidak harus menjadi subjek pemantauan tanpa sebab yang baik.
Individu-individu mempunyai hak untuk menghalang pemprosesan, yang merosakkan atau menyedihkan kepada diri mereka sendiri atau orang lain, untuk menghalang pemprosesan bagi tujuan pemasaran secara langsung termasuk memastikan bahawa tiada keputusan ketara yang mempengaruhi mereka adalah berdasarkan semata-mata atas pemprosesan automatik (elektronik) data berkaitan dengan mereka contohnya mentaksir prestasi mereka di tempat kerja. Individu juga mempunyai hak untuk membetulkan, menyekat, memadam atau memusnahkan data yang tidak tepat melalui permohonan kepada sekolah.
Pengecualian
Individu-individu tidak berhak untuk mempunyai akses kepada yang berikut:
- Rujukan-rujukan yang diberikan oleh majikan
- Data peribadi yang diproses bagi tujuan perancangan pengurusan seperti kajian semula gaji, kenaikan pangkat. Maklumat yang mengenai atau disediakan oleh pihak ketiga di mana pihak ketiga dapat dikenal pasti dan tidak bersetuju dengan pendedahan