Sidste opdatering: September 2023
Generel information
Prometric LLC er et Delaware, USA, selskab med begrænset ansvar med hovedkontor beliggende på 1501 South Clinton Street, Baltimore, Maryland 21224 USA (herefter, “Selskabet”, “os” eller “vi”). Prometric kan fungere som datakontrolør eller som databehandler afhængigt af forholdet til den registrerede.
Denne privatlivspolitik (“Politik”) er blevet udarbejdet og implementeret i overensstemmelse med de principper, der er fastsat heri, for at beskrive vores praksis vedrørende indsamling og behandling af personoplysninger om testkandidater, kunder, kontraktører og partnere. Prometric lægger særlig vægt på respekt for privatlivets fred og personoplysninger og er forpligtet til at overholde denne politik og i overensstemmelse med gældende lov.
Specifikt er Selskabet forpligtet til at overholde alle databeskyttelseslove, hvor selskabet opererer, herunder:
- Forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri bevægelighed for sådanne oplysninger, og ophævelse af direktiv 95/46/EF (Generel databeskyttelsesforordning) (“GDPR”);
- California Consumer Privacy Act fra 2018 (“CCPA”), som ændret af California Privacy Rights Act fra 2020 (“CPPA”);
- Loven om beskyttelse af personlige oplysninger i Folkerepublikken Kina (“PIPL”);
- Andre relevante databeskyttelsesregler, hvor Selskabet opererer.
“Gældende lov” refererer til den relevante nationale databeskyttelseslov eller gældende regulering vedrørende databeskyttelse.
“Personoplysninger” betyder enhver information, der vedrører en identificeret eller identificerbar fysisk person.
“Behandling” betyder enhver operation eller sæt af operationer, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det er ved automatiserede midler eller ej, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, konsultation, brug, videregivelse ved transmission, spredning eller på anden måde tilgængeliggørelse, justering eller kombination, begrænsning, sletning eller destruktion.
1. Hvilke typer personoplysninger indsamler vi?
Prometric indsamler følgende personoplysninger afhængigt af dit forhold til Selskabet og gældende lov:
- Kontaktoplysninger, herunder navn, adresse, telefonnummer, landsspecifik identifikationsnummer, e-mailadresse, login og adgangskodeinformation
- Fødselsdato
- Køn
- Detaljer om testkandidaters tidsplanlægning
- Testvurderingsdetaljer, herunder testkandidat-ID-nummer, beståede eksamener og hvornår, score relateret til disse eksamener, hvor mange gange en eksamen eller en bestemt sektion af eksamener er blevet taget
- Sociale sikkerhedsnumre, hvor det kræves af testsponsoren for kandidater (USA)
- Betalings- og finansinstitutionsoplysninger
- Adresse og statsborgerskab
- Fotografi
- Underskrift
- Videooptagelser
- Lydbånd (som tilladt ved lov og kun i specifikke jurisdiktioner)
- Oplysninger fra identifikations-, verifikations- eller berettigelsesdokumenter
- Transaktions- og relationsoplysninger, herunder elementer, der afslører kandidatens testmønstre, teststeder, testresultater og oplysninger om, hvordan Prometric-websteder og -applikationer anvendes.
Derudover kan Prometric behandle særlige kategorier af personoplysninger, som tilladt ved gældende lov, der kan omfatte:
- Biometriske data (fingeraftryk billeder og skabeloner, ansigtsbilleder og skabeloner)
- Sundhedsoplysninger eller medicinske data relateret til testkandidaters anmodninger om testtilpasninger
- Race eller etnicitet, som tilladt ved gældende lov
2. Hvordan indsamler vi dine personoplysninger?
I de fleste tilfælde indsamler Prometric sådanne personoplysninger direkte fra den enkelte registrerede.
Men i andre tilfælde kan vi modtage oplysninger fra testsponsorer eller fra tredjeparters dataleverandører for at hjælpe os med bedre at forstå vores kunder. Når en kandidat besøger Prometrics hjemmeside, registrerer sig eller tager en eksamen, bruger vores applikationer eller kontakter os, indsamler vi også transaktionsoplysninger til kundeserviceformål.
Alle personoplysninger, der indsamles af Prometric via vores mobilapplikationer, er beskyttet og behandlet i overensstemmelse med vilkårene i denne politik. Vi tilbyder også automatiske ("push") meddelelser kun til dem, der vælger at modtage sådanne meddelelser fra os. Ingen person er forpligtet til at give lokationsoplysninger til Prometric eller at aktivere push-notifikationer for at bruge nogen af vores mobilapplikationer.
Indsamling af biologiske data
Det biometrisk aktiverede check-in system og Prometrics fjernovervågningsplatform (kendt som ProProctor) er designet til at forbedre sikkerheden og integriteten af testprocessen på en måde, der beskytter testkandidaters privatliv, samtidig med at identiteten bekræftes. Disse teknologier anvendes til identitetsbekræftelse, til at opdage og forhindre svig og misrepræsentation, til at opretholde integriteten af testprocessen og forbedre sikkerheden for testcentre og fjernovervågede eksamener.
3. Hvorfor indsamler vi dine personoplysninger?
På vegne af vores testsponsorer indsamler Prometric dine personoplysninger med henblik på:
- At planlægge testeksamener
- At verificere identitet
- At administrere tests og betalinger
- At håndtere kundeserviceanmodninger
- At opdage og forhindre svig og misrepræsentation af uautoriserede kandidater
- At udføre dataanalyse for at opretholde integriteten af testprocessen
- At rapportere testresultater til kandidat og testsponsor
- At udføre markedsføringsaktiviteter, underlagt gældende lov
For leverandører og andre tredjeparter indsamler Prometric dine personoplysninger til følgende formål:
- Leverandørstyring og administration
- Fakturabehandling
- Kend-din-leverandør due diligence og andre juridiske krav
4. Hvad er de juridiske grundlag for behandling af dine personoplysninger?
Personoplysninger indsamles og behandles generelt i henhold til følgende juridiske grundlag:
- Dit samtykke til indsamling og behandling af særlige kategorier af personoplysninger.
- Dit samtykke, hvis det kræves af gældende lov til grænseoverskridende dataoverførsler.
- Udførelsen af en kontrakt, der inkluderer registrering og planlægning af en test, administration af den test, svigforebyggelse og behandling af resultaterne.
- For legitime forretningsformål såsom fakturabehandling og finansiel kontoadministration, backupformål for at facilitere forretningskontinuitet, testcenteradministration, forretningsplanlægning, kontraktforvaltning, forbedring af testtjenester, der leveres til vores kunder, forslag om relaterede tjenester og produkter til eksisterende testkandidater, webadministration, opfyldelse, analyse, sikkerhed og svigforebyggelse, selskabsledelse, katastrofeberedskabsplanlægning, revision og rapportering
- Overholdelse af eventuelle juridiske eller reguleringsmæssige forpligtelser.
5. Videregivelse af personoplysninger
Personoplysninger kan deles med andre selskabsaffiliater, offentlige myndigheder eller tredjeparter af legitime forretningsgrunde relateret til de leverede tjenester eller som ellers tilladt eller krævet af gældende lov.
Selskabet kan dele personoplysninger:
- Inden for vores gruppe, såsom datterselskaber
- Med vores affiliates og autoriserede testcentre
- Med forretningspartnere såsom testsponsorer og tjenesteudbydere for at lette anmodninger og forbedre vores tjenester
- Med offentlige myndigheder, når det er nødvendigt eller krævet af myndigheden
Biometriske data kan kun videregives til en tredje part:
- Til en undersøgelse relateret til påstået misbrug udelukkende med henblik på en undersøgelse af snyd, uautoriseret testning eller andet misbrug af testkandidater.
- I forbindelse med lovlige anmodninger fra regulerende, juridiske eller offentlige myndigheder med jurisdiktion og/eller beføjelse til at foretage sådanne anmodninger.
Vi udfører kontrakter, som krævet af gældende lov, med vores tredjeparter for at sikre, at personoplysninger behandles i overensstemmelse med denne politik og eventuelle andre passende fortroligheds- og sikkerhedsforanstaltninger.
6. Hvordan opbevarer vi dine personoplysninger?
Afhængigt af arten af dit forhold til Prometric og i henhold til gældende lov opbevarer vi dine personoplysninger på vores sikre Oracle cloud-infrastruktur med servere beliggende i Ashburn, Virginia, USA.
Prometric følger et omfattende opbevaringsprogram og relateret opbevaringsplan, som det overholder med henblik på opbevaring, opbevaring og destruktion af alle registre, der oprettes i løbet af sin forretning, herunder dem, der indeholder personoplysninger. Vi implementerer også en datastyringsstrategi, der adskiller data baseret på regionalt placerede dataservere.
Underlagt gældende lov vil vores selskab opbevare dine personoplysninger i løbet af behandlingen, i den kortere periode af:
- fem (5) år fra datoen for den seneste service, test eller vurdering; eller
- udløbet af formålet, hvortil personoplysningerne blev indsamlet; eller
- de love i den relevante jurisdiktion, hvor personoplysningerne blev indsamlet.
Prometric vil ikke opbevare personoplysninger længere end nødvendigt for de ovennævnte formål. Dog kan Prometric opbevare personoplysninger længere, hvis det er nødvendigt for at overholde gældende lov eller hvis det er nødvendigt for at beskytte eller udøve sine rettigheder.
Opbevaring af biometriske data
Alle biometriske data indsamlet i computerbaserede testcentre overføres sikkert til og opbevares sikkert inden for Prometrics sikre datacenter i Den Europæiske Union og opbevares i henhold til gældende lov i den jurisdiktion, hvor det blev indsamlet. Biometriske data opbevares og sikres i Microsoft Azure i en periode på tredive (30) dage.
7. Overførsler af personoplysninger
I nogle tilfælde kan brugen af tredjeparter involvere overførsel af personoplysninger til andre lande. Vore forretningsprocesser kræver ofte overførsel af personoplysninger mellem Selskabet og dets tilknyttede enheder internationalt.
Hvis personoplysninger behandles inden for EU/EEA, og i tilfælde af at personoplysninger videregives til tredjeparter eller i et land, der ikke betragtes som at yde et tilstrækkeligt beskyttelsesniveau i henhold til gældende lov, vil Selskabet sikre:
- Implementeringen af standardkontraktbestemmelser, som måtte være godkendt af EU-kommissionen;
- Vedtagelsen af passende organisatoriske, tekniske og juridiske beskyttelser til at styre den nævnte overførsel og sikre det nødvendige og tilstrækkelige niveau af beskyttelse i henhold til gældende lov.
- Hvis nødvendigt, vil evaluere omstændighederne ved overførslen og lovgivningen i det tredje land, og hvis det kræves, udføre en vurdering af datatransferensindvirkning for at afgøre, om supplerende foranstaltninger skal implementeres.
For personoplysninger, der ikke behandles inden for EU/EEA, og i tilfælde af at personoplysninger videregives til tredjeparter, der ligger uden for den registreredes jurisdiktion, vil Selskabet sikre, at nødvendige sikkerhedsforanstaltninger er på plads for at beskytte personoplysninger ved at implementere passende juridiske mekanismer, herunder, som relevant, standardkontraktbestemmelser og/eller opnå passende samtykke fra de registrerede. Disse mekanismer kan variere afhængigt af landet og relevant gældende lov.
8. Hvad er dine rettigheder?
Afhængigt af jurisdiktionen og gældende lov kan du have følgende rettigheder relateret til dine personoplysninger:
- Ret til adgang
- Ret til berigtigelse
- Ret til sletning
- Ret til at begrænse behandling
- Ret til at gøre indsigelse mod behandling
- Ret til dataportabilitet
- Ret til at beslutte, hvordan dine personoplysninger anvendes posthumt
Udøvelsen af sådanne rettigheder er underlagt begrænsninger fastsat af gældende lov og relevant vejledning fra tilsynsmyndigheder.
For at udøve dine rettigheder kan den registrerede kontakte Selskabet som beskrevet i afsnittet “Hvordan kontakter du os.” Vi kan anmode om bevis for identitet for at kunne besvare anmodningen. Hvis vi ikke kan imødekomme din anmodning (afvisning eller begrænsning), vil vi begrunde vores beslutning skriftligt.
California Privacy Rights
California Civil Code Section 1798 giver indbyggere i Californien ret til at anmode virksomheder, som de har et etableret forretningsforhold til, om at give visse oplysninger om virksomhedernes deling af personoplysninger med tredjeparter til direkte markedsføringsformål. Prometric deler ikke nogen personoplysninger fra Californiske forbrugere med tredjeparter til markedsføringsformål uden samtykke. Hvis du er en testkandidat, vil Prometric give dine personoplysninger til din testsponsor, som kan bruge oplysningerne i overensstemmelse med sine egne privatlivspolitikker.
9. Hvordan beskytter vi dine personoplysninger?
Prometric implementerer en række sikkerhedsforanstaltninger, såsom tekniske, fysiske og administrative beskyttelser for at beskytte alle personoplysninger mod sikkerhedshændelser eller uautoriseret videregivelse og mere generelt mod et brud på personoplysninger. Disse sikkerhedsforanstaltninger anerkendes som passende sikkerhedsstandarder i branchen og omfatter blandt andet adgangskontrol, adgangskode, kryptering, strenge tidsgrænser for sletning, logningsmekanismer og regelmæssige sikkerhedsvurderinger.
I tilfælde af et brud på personoplysninger, der potentielt påvirker dine personoplysninger, følger Prometric sin incident response-plan og vil straks tage passende skridt for at mindske risiciene for de registrerede. Sådanne foranstaltninger kan inkludere at underrette den relevante tilsynsmyndighed og de berørte registrerede, samtidig med at relevante detaljer om hændelsen og afbødningsforanstaltninger gives, som måtte være påkrævet i henhold til gældende lov (dvs. GDPR eller PIPL).
Prometrics informationssikkerhedsprogram gennemgås flere gange årligt af flere tredjepartsorganisationer for at sikre, at det opfylder eller overgår de højeste benchmark, der er tilgængelige for sikkerhed og databeskyttelse. Derudover er medarbejdere og kontraktører forpligtet til straks at rapportere enhver kendt eller mistænkt forekomst af misbrug, tab eller uautoriseret adgang.
10. Behandling af personoplysninger i henhold til Loven om beskyttelse af personlige oplysninger i Folkerepublikken Kina (’PIPL’)
Dette afsnit gælder, når personoplysninger er beliggende inden for grænserne af Folkerepublikken Kina (PRC) eller når personoplysninger behandles af et af vores selskaber beliggende i PRC.
I overensstemmelse med artikel 13 i PIPL kan personoplysninger indsamles til følgende formål:
- På grundlag af en individuel samtykke;
- Til udførelse af kontrakter, til legitime forretningsinteresser;
- Til at opfylde lovbestemte pligter og ansvar eller lovbestemte forpligtelser;
- Til at behandle offentligt tilgængelige data;
- Til at opfylde lovkrav.
Følger kravene i henhold til artikel 23 i PIPL og indholdet nævnt i afsnit 4, vil overførsel og deling af dine personoplysninger til en tredje part ikke finde sted uden (1) dit specifikke samtykke, hvis gældende, eller (2) for at opfylde de lovbestemte pligter i henhold til gældende lov.
Baseret på formålene beskrevet i denne politik kan personoplysninger overføres til et land eller en region uden for din bopæl til behandling. På det tidspunkt vil Selskabet beskytte sikkerheden af personoplysninger i overensstemmelse med gældende lov, herunder men ikke begrænset til at implementere adgangskontrol, adgangskoder, krypteringsstandarder, strenge tidsgrænser for opbevaringsperioder, logningsmekanismer og regelmæssige sikkerhedsvurderinger.
Selskabet vil fuldt ud informere dig om den grænseoverskridende dataoverførsel i henhold til artikel 39 i PIPL, før der overføres dine personoplysninger uden for PRC og vil indhente dit samtykke, idet du informeres om følgende: navnet på den udgående modtager, kontaktoplysningerne, formålet med behandlingen, metoden for behandlingen, typen af personoplysninger, og minde dig om metoderne og procedurerne, hvormed du kan udøve dine rettigheder under PIPL. Vi vil anmode om dit eksplicitte og separate samtykke til dette.
Som det måtte være nødvendigt vil Selskabet udføre en risikovurdering af grænseoverskridende dataoverførsel i henhold til gældende lov, hvis personoplysninger overføres uden for PRC.
Under PIPL defineres følsomme personoplysninger som personoplysninger, der, når de lækkes eller ulovligt anvendes, let kan forårsage skade på værdigheden af fysiske personer og alvorlig skade på personlig eller ejendomssikkerhed, herunder oplysninger om biometriske egenskaber, religiøse overbevisninger, specielt udpeget status, medicinsk sundhed, finansielle konti, individuel lokaliseringssporing osv., samt personoplysninger om mindreårige under 14 år.
I overensstemmelse med PIPL og som beskrevet i afsnit 2 er behandlingen af følsomme personoplysninger underlagt den enkelte persons separate samtykke og udføres til et specifikt forretningsrelateret formål.
Prometric vil ikke indsamle personoplysninger fra mindreårige under 14 år uden den separate samtykke fra forældre eller anden værge. Vi vil kun bruge eller videregive personoplysninger om et barn i det omfang, det er tilladt ved lov, i henhold til gældende love og reguleringer, for at søge forældres samtykke eller for at beskytte et barn.
I tilfælde af et brud på personoplysninger skal Prometric påtage sig civilretligt ansvar over for den registrerede, hvis det krænker rettighederne til den registreredes personoplysninger, uden at dette påvirker de administrative, strafferetlige eller andre juridiske ansvar, som datakontroløren skal påtage sig i henhold til PIPL.
11. Ændringer i privatlivspolitikken
Selskabet kan have brug for at opdatere sin politik for at overholde nye eller forskellige privatlivspraksis. En opdateret version af denne politik vil blive gjort tilgængelig via en passende kanal og vil gælde for data indsamlet efter dens ikrafttrædelsesdato.
12. Hvordan kontakter du os
For spørgsmål, kommentarer eller bekymringer vedrørende denne politik, eller for at udøve de privatlivsrettigheder, der er tilladt i henhold til gældende lov relateret til personoplysninger, bedes du kontakte vores databeskyttelsesansvarlige på følgende adresse: joseph.srouji@contractor.prometric.com
Du kan også indsende en anmodning relateret til dine personoplysninger ved at klikke på følgende link og udfylde alle de krævede felter i formularen: Anmodninger om personoplysninger
Du kan også kontakte os via post på:
Prometric Privacy Program Manager
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA
Efter at have udtømmet Prometrics interne klagebehandlingsproces, hvis en eksamenskandidat ikke er tilfreds med løsningen, kan han eller hun indgive en klage til Better Business Bureau of Greater Maryland (“BBB”), en alternativ tvistbilæggelsesudbyder baseret i USA.
BBB hjemmeside: http://www.bbb.org/greater-maryland/
BBB telefon: 410-347-3990
BBB fax: 410-347-3936
Dataregistrerede har også ret til at indgive en klage direkte til den kompetente tilsynsmyndighed i deres relevante jurisdiktion eller kan tage retlige skridt i henhold til gældende lov.