Privacy Policy

Thank  you  for  your  interest  in  the  Afya  Foundation.  Data  protection  is  of  a  particularly  high priority  for  the  management  of  the  Afya  Foundation.  The use  of  the  Internet  pages  of  the  Afya Foundation  is  possible  without  any  indication  of  personal data;  however,  if  a  data  subject  wants to  use  special  enterprise  services  via  our  website,  processing  of  personal  data  could  become necessary.  If  the  processing  of  personal  data  is  necessary  and  there  is  no  statutory  basis  for  such processing,  we  generally  obtain  consent  from  the  data  subject. 

The  processing  of  personal  data,  such  as  the  name,  address,  e-mail  address,  or  telephone  number of  a  data  subject  shall  always  be  in  line  with  the  General Data  Protection  Regulation  (GDPR), and in accordance  with  the  country-specific  data  protection  regulations  applicable  to  the  Afya Foundation.  By  means  of  this  data  protection  declaration, our  enterprise  would  like  to  inform  the general  public  of  the  nature,  scope,  and  purpose  of  the  personal  data  we  collect,  use  and  process. Furthermore,  data  subjects  are  informed,  by  means  of  this  data  protection  declaration,  of  the rights  to  which they  are  entitled. As  the  controller,  the  Afya  Foundation  has  implemented  numerous  technical  and  organizational measures  to  ensure  the  most  complete  protection  of  personal  data  processed  through  this  website. 

However,  Internet-based  data  transmissions  may  in  principle  have  security  gaps,  so  absolute protection  may  not  be  guaranteed.  For  this reason,  every  data  subject  is  free  to  transfer  personal data  to  us  via  alternative  means,  e.g.  by  telephone. 

1.  Definitions 

The  data  protection  declaration  of  the  Afya  Foundation  is  based  on  the  terms  used  by  the European  legislator  for  the  adoption  of  the  General  Data Protection  Regulation  (GDPR).  Our data  protection  declaration  should  be  legible  and  understandable  to  the  general  public, as  well  as our  customers  and  business  partners.  To  ensure  this,  we  would  like  to  first  explain  the terminology  used. 

In  this  data  protection  declaration,  we  use,  inter  alia,  the following  terms: 

a)  Personal  data 

Personal  data  means  any  information  relating  to  an  identified  or  identifiable  natural  person  (data subject).  An  identifiable  natural person  is  one  who  can  be  identified,  directly  or  indirectly,  in particular  by  reference  to  an  identifier  such  as  a  name, an identification  number,  location  data,  an online  identifier  or  to  one  or  more  factors  specific  to  the  physical,  physiological,  genetic, mental, economic,  cultural  or  social  identity  of  that  natural person. 

b)  Data  subject 

The  data  subject  is  any  identified  or  identifiable  natural  person,  whose  personal  data  is  processed by  the  controller  responsible  for  the processing. 

c)    Processing 

Processing  is  any  operation  or  set  of  operations  which  is  performed  on  personal  data  or  on  sets  of personal  data,  whether  or  not  by automated  means,  such  as  collection,  recording,  organization, structuring,  storage,  adaptation  or  alteration,  retrieval,  consultation,  use, disclosure  by transmission,  dissemination  or  otherwise  making  available,  alignment  or  combination, restriction,  erasure  or  destruction. 

d)   Restriction  of  processing 

Restriction  of  processing  is  the  marking  of  stored  personal  data  with  the  aim  of  limiting  their processing  in  the  future. 

e)   Profiling 

Profiling  means  any  form  of  automated  processing  of  personal data  consisting  of  the  use  of personal  data  to  evaluate  certain  personal aspects  relating  to  a  natural  person,  in  particular  to analyze  or  predict  aspects  concerning  that  natural  person’s  performance  at work,  economic situation,  health,  personal  preferences,  interests,  reliability,  behavior,  location  or  movements. 

f)     Pseudonymisation 

Pseudonymisation  is  the  processing  of  personal  data  in  such a  manner  that  the  personal  data  can no  longer  be  attributed  to  a  specific data  subject  without  the  use  of  additional  information, provided  that  such  additional  information  is  kept  separately  and  is  subject to  technical  and organizational  measures  to  ensure  that  the  personal  data  are  not  attributed  to  an  identified  or identifiable  natural person. 

g)   Controller  or  controller  responsible  for  the  processing 

Controller  or  controller  responsible  for  the  processing  is  the  natural  or  legal  person,  public authority,  agency  or  other  bodies  which, alone  or  jointly with  others,  determines  the  purposes and  means  of  the  processing  of  personal  data;  where  the purposes  and  means  of  such processing are  determined  by  Union  or  Member  State  law,  the  controller  or  the  specific  criteria  for  its nomination  may  be  provided  for  by  Union  or  Member  State  law. 

h)   Processor 

The  processor  is  a  natural  or  legal  person,  public  authority,  agency  or  another  body  which processes  personal  data  on  behalf  of  the controller. 

i)   Recipient 

The  recipient  is  a  natural  or  legal  person,  public  authority,  agency  or  another  body,  to  which  the personal  data  are  disclosed,  whether  a third  party  or  not.  However,  public  authorities  which  may receive  personal  data  in  the  framework  of  a  particular  inquiry  in  accordance with Union or Member  State  law  shall  not  be  regarded  as  recipients;  the processing  of  those  data  by  those public  authorities shall  be  in  compliance  with  the  applicable  data  protection  rules  according  to the  purposes  of  the  processing. 

j)    Third  party 

The  third  party  is  a  natural  or  legal  person,  public  authority,  agency  or  body  other  than  the  data subject,  controller,  processor  and persons  who,  under  the  direct  authority  of  the  controller  or processor,  are  authorized  to  process  personal  data. 

k)    Consent 

Consent  of  the  data  subject  is  any  freely  given,  specific,  informed  and  unambiguous  indication  of the  data  subject’s  wishes  by  which  he or  she,  by  a  statement  or  by  a  clear  affirmative  action, signifies  agreement  to  the  processing  of  personal  data  relating  to  him  or  her. 

2.  Name  and  Address  of  the  controller 

Controller  for  the  purposes  of  the  General  Data  Protection  Regulation  (GDPR),  other  data protection  laws  applicable  in  Member  states  of the  European  Union  and  other  provisions  related to  data  protection  is: 

The  Afya  Foundation  of  America,  Inc
140  Sawmill River Rd.
Yonkers,  NY  10701 

Phone:  914-920-5081

3.  Collection  of  general  data  and  information 

The  website  of  the  Afya  Foundation  collects  a  series  of  general  data  and  information  when  a  data subject  or  automated  system  calls  up the  website.  This  general  data  and  information  are  stored  in the  server  log  files.  Collected  may  be  (1)  the  browser  types  and  versions used,  (2)  the  operating system  used  by  the  accessing  system,  (3)  the  website  from  which  an  accessing  system  reaches our  website  (so-called  referrers),  (4)  the  sub-websites, (5)  the  date  and  time  of  access  to  the Internet  site,  (6)  an  Internet  protocol  address  (IP  address),  (7)  the  Internet  service  provider  of  the accessing  system,  and  (8)  any  other  similar  data  and  information  that  may  be  used  in the  event  of attacks  on  our  information  technology  systems. 

When  using  these  general  data  and  information,  the  Afya  Foundation  does  not  draw  any conclusions  about  the  data  subject.  Rather,  this information  is  needed  to  (1)  deliver  the  content  of our  website  correctly,  (2)  optimize  the  content  of  our  website  as  well  as  its advertisement,  (3) ensure  the  long-term  viability  of  our  information  technology  systems  and  website  technology, and  (4)  provide  law enforcement  authorities  with  the  information  necessary  for  criminal prosecution  in  case  of  a  cyber-attack.  Therefore,  the  Afya Foundation  analyzes  anonymously collected  data  and  information  statistically,  with  the  aim  of  increasing  the  data  protection  and data security  of  our  enterprise,  and  to  ensure  an  optimal level  of  protection  for  the  personal  data we  process.  The  anonymous  data of the  server  log  files  are  stored  separately  from  all  personal data  provided  by  a  data  subject. 

4.  Contact  possibility  via  the  website 

a) The  website  of  the  Afya  Foundation  contains  information that  enables  a  quick  electronic contact  to  our  enterprise,  as  well  as  direct communication  with  us,  which  also  includes  general  address  of  the  so-called  electronic  mail  (e-mail  address).  If  a  data  subject contacts  the controller  by  e-mail  or  via  a  contact  form,  the  personal  data  transmitted  by  the  data  subject are  automatically  stored. Such  personal  data  transmitted  on  a  voluntary  basis  by  a  data subject  to  the  data  controller  are  stored  for  the  purpose  of processing  or  contacting  the  data subject.  There  is  no  transfer  of  this  personal  data  to  third  parties. 

b) All  data  processed  by  the  Afya  Foundation  must  be  done  on  one  of  the  following  lawful bases:  consent,  contract,  legal  obligation,  vital interests,  public  task  or  legitimate  interests 

c) The  Afya  Foundation  shall  note  the  appropriate  lawful  basis  in  the  Register  of  Systems. 

d) Where  consent  is  relied  upon  as  a  lawful  basis  for  processing  data,  evidence  of  opt-in  consent shall  be  kept  with  the  personal  data.    

e) Where  communications  are  sent  to  individuals  based  on  their  consent,  the  option  for  the individual  to  revoke  their  consent  shall  be  clearly  available  and  reflected  accurately  in  the Afya  Foundations  registrar  systems.      

5.  Comments  function  in  the  blog  on  the  website 

The  Afya  Foundation  offers  users  the  possibility  to  leave  individual  comments  on  individual blog  contributions  on  a  blog,  which  is  on  the website  of  the  controller.  A  blog  is  a  web-based, publicly-accessible  portal,  through  which  one  or  more  people  called  bloggers  or  webbloggers may  post  articles  or  write  down  thoughts  in  so-called  blog  posts.  Blog  posts  may  usually  be commented  on  by  third  parties. 

If  a  data  subject  leaves  a  comment  on  the  blog  published  on this  website,  the  comments  made  by the  data  subject  are  also  stored  and published,  as  well  as  information  on  the  date  of  the commentary  and  on  the  user’s  (pseudonym)  chosen  by  the  data subject.  In addition,  the  IP address  assigned  by  the  Internet  service  provider  (ISP)  to  the  data  subject  is  also  logged.  This storage  of  the  IP address  takes  place  for  security  reasons,  and  in  case  the  data  subject  violates  the rights  of  third  parties  or  posts  illegal  content through a  given  comment.  The  storage  of  these personal  data  is,  therefore,  in  the  own  interest  of  the  data  controller,  so  that  he can  exculpate  in the  event  of  an  infringement.  This  collected  personal  data  will  not  be  passed  to  third  parties unless  such  a  transfer  is required  by  law  or  serves  the  aim of  the  defense  of  the  data  controller. 

6.  Subscription  to  comments  in  the  blog  on  the  website 

The  comments  made  in  the  blog  of  the  Afya  Foundation  may  be  subscribed  to  by  third  parties.  In particular,  there  is  the  possibility  that a  commenter  subscribes  to  the  comments  following  his comments  on  a  particular  blog  post. 

If  a  data  subject  decides  to  subscribe  to  the  option,  the  controller  will  send  an  automatic confirmation  e-mail  to  check  the  double  opt-in procedure  as  to  whether  the  owner  of  the specified  e-mail  address  decided  in  favor  of  this  option.  The  option  to  subscribe  to comments may  be  terminated  at  any  time. 

7.  Routine  erasure  and  blocking  of  personal  data 

The  data  controller  shall  process  and  store  the  personal  data  of  the  data  subject  only  for  the period  necessary  to  achieve  the  purpose  of storage,  or  as  far  as  this  is  granted  by  the  European legislator  or  other  legislators  in  laws  or  regulations  to which  the  controller  is  subject  to. 

If  the  storage  purpose  is  not  applicable,  or  if  a  storage  period  prescribed  by  the  European legislator  or  another  competent  legislator  expires,  the  personal  data  are  routinely  blocked  or erased  in  accordance  with  legal  requirements. 

8.  Rights  of  the  data  subject 

a)  Right  of  confirmation 

Each  data  subject  shall  have  the  right  granted  by  the  European legislator  to  obtain  from  the controller  the  confirmation  as  to  whether  or not  personal  data  concerning  him  or  her  are  being processed.  If  a  data  subject  wishes  to  avail  himself  of  this  right  of  confirmation, he  or  she  may,  aany  time,  contact  the  Office  Manager  of  the  controller. 

b)  Right  of  access 

Each  data  subject  shall  have  the  right  granted  by  the  European  legislator  to  obtain  from  the controller-free  information  about  his  or  her personal  data  stored  at  any  time  and  a  copy  of  this information.  Furthermore,  the  European  directives  and  regulations  grant  the  data subject  access to  the  following  information: 

The  purposes  of  the  processing; 

The  categories  of  personal  data  concerned;

The  recipients  or  categories  of  recipients  to  whom  the personal  data  have  been  or  will  be disclosed,  in  particular  recipients  in  third  countries  or  international  organizations; 

Where  possible,  the  envisaged  period  for  which  the  personal  data  will  be  stored,  or,  if  not possible,  the  criteria  used  to  determine  that period; 

The  existence  of  the  right  to  request  from  the  controller  rectification  or  erasure  of  personal data,  or  restriction  of  processing  of  personal data  concerning  the  data  subject,  or  to  object to  such  processing; 

The  existence  of  the  right  to  lodge  a  complaint  with  supervisory  authority; 

Where  the  personal  data  are  not  collected  from  the  data subject,  any  available  information  as to  their  source; 

The  existence  of  automated  decision-making,  including  profiling,  referred  to  in  Article  22(1) and  (4)  of  the  GDPR  and,  at  least  in  those cases,  meaningful  information  about  the  logic involved,  as  well  as  the  significance  and  envisaged  consequences  of  such  processing for the  data  subject. Furthermore,  the  data  subject  shall  have  a  right  to  obtain information  as  to  whether  personal  data are transferred  to  a  third  country  or  to  an  international  organization.  Where  this  is  the  case,  the data  subject  shall  have  the  right  to  be  informed  of  the  appropriate  safeguards  relating  to  the transfer. 

If  a  data  subject  wishes  to  avail  himself  of  this  right  of  access,  he  or  she  may,  at  any  time, contact  the  Office  Manager  of  the  controller. 

c)  Right  to  rectification 

Each  data  subject  shall  have  the  right  granted  by  the  European  legislator  to  obtain  from  the controller  without  undue  delay  the rectification  of  inaccurate  personal  data  concerning  him  or her.  Taking  into  account  the  purposes  of  the  processing,  the  data  subject shall  have  the  right  to have  incomplete  personal  data  completed,  including  by  means of  providing  a  supplementary statement. 

If  a  data  subject  wishes  to  exercise  this  right  to  rectification,  he  or  she  may,  at  any  time,  contact the  Office  Manager  of  the  controller. 

d)  Right  to  erasure  (Right  to  be  forgotten) 

Each  data  subject  shall  have  the  right  granted  by  the  European  legislator  to  obtain  from  the controller  the  erasure  of  personal  data  concerning  him  or  her  without  undue  delay,  and  the controller  shall  have  the  obligation  to  erase  personal  data  without  undue  delay where  one  of  the following  grounds  applies,  as  long  as  the  processing  is  not necessary: 

The  personal  data  are  no  longer  necessary  in  relation to  the  purposes  for  which  they  were collected  or  otherwise  processed. 

The  data  subject  withdraws  consent  to  which  the  processing  is  based  according  to  the  point  (a) of  Article  6(1)  of  the  GDPR,  or  point  (a) of  Article  9(2)  of  the  GDPR,  and  where  there  is no  other  legal  ground  for  the  processing. 

The  data  subject  objects  to  the  processing  pursuant  to  Article  21(1)  of  the  GDPR  and  there  are no  overriding  legitimate  grounds  for  the processing  or  the  data  subject  objects  to  the processing  pursuant  to  Article  21(2)  of  the  GDPR. 

The  personal  data  have  been  unlawfully  processed. 

The  personal  data  must  be  erased  for  compliance  with  a  legal  obligation  in  Union  or  Member State  law  to  which  the  controller  is subject. 

The  personal  data  have  been  collected  in  relation  to  the  offer  of  information  society  services referred  to  in  Article  8(1)  of  the  GDPR.