私隱與資料保護政策

生效日期：2024 年 10 月 13 日

更新日期：2026 年 5 月 12 日

在 Dr Tiffany Leung 心理服務（以下簡稱「本服務」）中，您的私隱及個人資料安全至為重要。
本《私隱與資料保護政策》說明我們如何根據以下法例及專業標準收集、使用、儲存及保護您的個人資料：

《英國通用資料保護法規（UK GDPR）》
《2018 年資料保護法（Data Protection Act 2018）》
英國 Health and Care Professions Council（HCPC）及 British Psychological Society（BPS）之專業標準與倫理指引

就 UK GDPR 及相關資料保障法例而言，Dr Tiffany Leung 為本服務中個人資料處理之資料控制者（Data Controller）。

當您使用本網站或參與相關服務時，您的個人資料將按照本政策所列之法律基礎及資料保障原則進行處理。

1. 我們收集的資料

我們僅收集及處理提供心理服務所需的資料，並履行法律及專業責任。

個人資料

姓名、出生日期、性別、聯絡方式（電郵、電話、地址）及緊急聯絡人。

健康及治療資料

在初步諮詢或治療過程中提供的心理健康相關資料、求助內容、治療過程中披露的資訊，以及相關臨床紀錄。

財務資料

付款相關資訊（例如 Stripe／Wix 付款資料）。

技術資料

網站使用紀錄、IP 地址、瀏覽器類型及 Cookies （詳見 Cookies 政策）。
通訊紀錄: 包括透過電郵、簡訊、WhatsApp 或 WeChat 等方式交換的行政性訊息（例如預約安排）。
這些訊息僅用於行政聯絡，一般不會用作正式心理治療或臨床討論用途，並以符合 GDPR 標準之方式安全儲存。

2. 我們如何使用您的資料

我們處理個人資料以達成下列目的：

提供、管理及評估心理治療、督導或教練服務；
安排及確認預約；
進行服務相關之行政及溝通事宜；
開立發票及處理付款；
履行法律、專業或倫理責任（例如紀錄保存、保障及風險管理相關責任）；
改善網站安全性及功能。
跨境服務: 若客戶位於英國以外（如歐盟、香港或中國大陸），我們將依國際資料傳輸保障機制（見第 9 節）處理相關資料。

3. 處理資料的法律依據

我們依以下法律基礎處理個人資料：

同意（Consent）：當您透過網站表格或 Cookies 同意收集資料時。
合約（Contract）：為履行心理服務或督導協議所必需。
法律義務（Legal Obligation）：為遵守法定稅務、記錄或監管要求。
合理專業需要（Legitimate Interests）：為改善服務及管理風險之正當需要，且不影響您的權利。
重要利益（Vital Interests）：當需要保障生命安全或防止嚴重傷害時。

4. 我們如何保護您的資料

我們採取嚴謹的技術與組織措施以防止未經授權的存取、洩漏或遺失。

加密保護：所有資料於傳輸過程中以 SSL／TLS 加密，並儲存於加密伺服器（例如 Wix）。
存取控制：只有 Dr Tiffany Leung 及經授權之行政人員可存取資料。
設備安全：所有裝置皆設有密碼、加密及防毒保護。
定期審核：系統、平台及資料保障措施將定期檢視，並按需要更新，以維持安全及合規性。
通訊平台保障措施
- Zoom：所有會談透過受密碼保護的 Zoom 連結進行，除非經書面同意，否則不會錄影。
  Zoom 為標準會談平台，具端對端加密及密碼保護，符合 NHS Digital 及 UK GDPR 安全規範。
- 簡訊／WhatsApp：僅限於安排時間或行政聯絡；不會討論敏感或臨床資訊。
- WeChat（微信）：僅於中國大陸客戶無法使用其他平台時採用。
  使用 WeChat 前，客戶將收到有關平台私隱限制及資料保障考量之說明文件。由於 WeChat 受中國本地法律及數據監管制度規管，其資料保障水平可能與 UK GDPR 標準有所不同。
  客戶於使用前亦將收到並簽署獨立的《WeChat 資料保護影響評估及同意書（DPIA Notice）》。

5. 資料保存

個人資料僅於提供服務及符合法律要求之期間內保存。
臨床紀錄通常於最後一次會談後保存 7 年（若為未成年者，則保存至其 25 歲）。
財務紀錄依法需保存至少 6 年。
期滿後資料將永久刪除或以安全方式銷毀。
雲端備份與加密存儲
- 電子文件（包括筆記、發票及通訊紀錄）儲存於符合 GDPR 之加密雲端伺服器（如 Wix 或 Google Workspace）。
- 不會於未加密的個人裝置上保存任何資料。
資料將盡可能儲存於英國或歐洲經濟區（EEA）境內。如需於其他地區處理或儲存資料，將採用 Standard Contractual Clauses（SCCs）或其他合法保障機制，以維持符合 GDPR 原則之資料保護水平。

6. 資料分享

我們不會出售或未經授權分享您的個人資料。
僅在以下情況下，資料可能有限度地分享：

付款處理：經 Wix Payments 等安全平台。
網站託管及技術支援：由具 GDPR 合規義務的服務商提供。
法律或倫理要求：在法律或保障責任要求下提供相關資料。

所有第三方均須簽署資料處理協議，確保符合法律規範。

7. 您的權利

依 UK GDPR 規定，您享有以下權利：

查閱個人資料；
要求更正不準確資料；
要求刪除資料（符合法律條件時）；
限制或反對資料處理；
要求以可攜格式取得資料副本；
隨時撤回同意（若以同意為基礎）。

如欲行使上述權利，請以電郵 admin@tiffany-leung.com 聯絡，我們將於合理時限內，並按照 UK GDPR 規定作出回覆。

8. Cookies 政策

本網站使用 Cookies 以提升瀏覽體驗。

必要 Cookies：維持網站安全及功能。
分析 Cookies：匿名追蹤使用數據，以改善網站內容。

您可於瀏覽器設定中管理或停用 Cookies，惟可能影響部分功能。

9. 跨境資料傳輸

您的資料有機會因網站託管、雲端服務或國際服務安排，而於英國以外地區進行傳輸、儲存或處理。

資料將盡可能儲存於英國或歐洲經濟區（EEA）境內；如需跨境處理，將採用 Standard Contractual Clauses（SCCs）或其他合法保障機制，以維持符合 GDPR 原則之資料保護水平。
所有跨境傳輸皆依 GDPR 之標準合約條款（SCCs）或其他合法機制執行。

針對中國大陸 WeChat 使用者特別聲明：由於 WeChat 運行於不同的數據監管體系，雖然我們已採取合理保密措施，但無法完全保證與 GDPR 等同的資料保護水平。在使用 WeChat 前，客戶將獲提供相關資料保障說明及風險資訊，以協助了解平台之私隱限制及使用安排，並將獲提供《WeChat 資料保護影響評估及同意書》以簽署確認。

10. 政策更新

本政策將因應法律、科技或服務之變更不時更新。
更新內容將公佈於本網站，如屬重大變更，將以電郵通知。
持續使用本服務即視為接受最新政策。

11. 聯絡方式

如您對資料處理有任何疑問，請聯絡：

電郵：admin@tiffany-leung.com
電話：0161 850 3557

Dr Tiffany Leung Psychological Services 已於英國資訊專員辦公室（Information Commissioner’s Office, ICO）完成資料保障登記。

ICO Registration Number：ZB516372

如未能獲得滿意回覆，您有權向英國資訊專員公署（Information Commissioner’s Office, ICO）投訴。
網站：www.ico.org.uk

本政策按照英國資料保障法規、HCPC 及 BPS 專業標準，以及線上心理服務相關要求制定，並納 Zoom、WhatsApp 及 WeChat 使用條款。