Pembaruan terakhir: September 2023
Informasi Umum
Prometric LLC adalah perusahaan terbatas yang didirikan di Delaware, AS, dengan tempat usaha utama yang berlokasi di 1501 South Clinton Street, Baltimore, Maryland 21224 AS (selanjutnya, “Perusahaan”, “kami” atau “kita”). Prometric dapat bertindak sebagai pengendali data atau sebagai pemroses data tergantung pada hubungannya dengan subjek data.
Kebijakan Privasi ini (“Kebijakan”) telah disusun dan diterapkan sesuai dengan prinsip-prinsip yang ditetapkan di sini, untuk menggambarkan praktik kami terkait pengumpulan dan pemrosesan Data Pribadi tentang kandidat ujian, klien, kontraktor, dan mitra. Prometric sangat memperhatikan penghormatan terhadap privasi dan Data Pribadi dan berkomitmen untuk mematuhi Kebijakan ini dan sesuai dengan Hukum yang Berlaku.
Secara khusus, Perusahaan berkomitmen untuk mematuhi semua undang-undang perlindungan data di mana perusahaan beroperasi, termasuk:
- Peraturan (EU) 2016/679 dari Parlemen Eropa dan Dewan pada 27 April 2016 tentang perlindungan orang alami sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut, dan mencabut Direktif 95/46/EC (Regulasi Perlindungan Data Umum) (“GDPR”);
- Undang-Undang Privasi Konsumen California tahun 2018 (“CCPA”), yang diubah oleh Undang-Undang Hak Privasi California tahun 2020 (“CPPA”);
- Undang-Undang Perlindungan Informasi Pribadi Republik Rakyat Tiongkok (“PIPL”);
- Peraturan perlindungan data relevan lainnya di mana Perusahaan beroperasi.
“Hukum yang Berlaku” mengacu pada hukum perlindungan data negara yang relevan atau peraturan yang berlaku terkait perlindungan data.
“Data Pribadi” berarti informasi apa pun yang berhubungan dengan orang alami yang teridentifikasi atau dapat diidentifikasi.
“Pemrosesan” berarti setiap operasi atau serangkaian operasi yang dilakukan pada Data Pribadi atau pada kumpulan Data Pribadi, terlepas dari apakah dilakukan dengan cara otomatis, seperti pengumpulan, pencatatan, pengorganisasian, penyusunan, penyimpanan, adaptasi atau perubahan, pengambilan, konsultasi, penggunaan, pengungkapan melalui transmisi, penyebaran atau cara lain yang membuat tersedia, penyelarasan atau penggabungan, pembatasan, penghapusan atau penghancuran.
1. Jenis Data Pribadi apa yang kami kumpulkan?
Prometric mengumpulkan Data Pribadi berikut tergantung pada hubungan Anda dengan Perusahaan dan Hukum yang Berlaku:
- Detail kontak termasuk nama, alamat, nomor telepon, nomor identifikasi spesifik negara, alamat email, informasi login dan kata sandi
- Tanggal lahir
- Jenis kelamin
- Detail penjadwalan ujian kandidat
- Detail penilaian ujian, termasuk nomor ID kandidat ujian, ujian yang diambil dan kapan, skor terkait ujian tersebut, berapa kali ujian atau bagian tertentu dari ujian telah diambil
- Nomor Jaminan Sosial jika diperlukan oleh sponsor ujian untuk kandidat (AS)
- Informasi pembayaran dan lembaga keuangan
- Tempat tinggal dan negara kewarganegaraan
- Foto
- Tanda tangan
- Perekaman video
- Perekaman audio (sebagaimana diizinkan oleh hukum dan hanya di yurisdiksi tertentu)
- Informasi dari dokumen identifikasi, verifikasi, atau kelayakan
- Informasi Transaksi dan Hubungan termasuk elemen yang mengungkap pola ujian kandidat, lokasi ujian, hasil ujian, dan informasi tentang bagaimana situs web dan aplikasi Prometric digunakan.
Selain itu, Prometric dapat memproses kategori khusus Data Pribadi, sebagaimana diizinkan oleh Hukum yang Berlaku, yang dapat mencakup:
- Biometrik (gambar dan template sidik jari, gambar dan template wajah)
- Informasi kesehatan atau data medis terkait permintaan akomodasi pengujian kandidat ujian
- Ras atau etnis, sebagaimana diizinkan oleh Hukum yang Berlaku
2. Bagaimana kami mengumpulkan Data Pribadi Anda?
Dalam sebagian besar kasus, Prometric mengumpulkan Data Pribadi tersebut langsung dari subjek data individu.
Namun, dalam kasus lain kami mungkin menerima informasi dari sponsor ujian atau dari pemasok data pihak ketiga untuk membantu kami lebih memahami pelanggan kami. Ketika seorang kandidat mengunjungi situs web Prometric, mendaftar atau mengikuti ujian, menggunakan aplikasi kami, atau menghubungi kami, kami juga mengumpulkan informasi transaksi untuk tujuan layanan pelanggan.
Semua Data Pribadi yang dikumpulkan oleh Prometric melalui aplikasi seluler kami dilindungi dan diproses sesuai dengan ketentuan Kebijakan ini. Kami juga menawarkan notifikasi otomatis ("push") hanya kepada mereka yang memilih untuk menerima notifikasi tersebut dari kami. Tidak ada individu yang diharuskan untuk memberikan informasi lokasi kepada Prometric atau mengaktifkan notifikasi push untuk menggunakan aplikasi kami yang peka terhadap lokasi.
Pengumpulan Data Biometrik
Sistem Check-In Berbasis Biometrik dan platform proctoring jarak jauh Prometric (dikenal sebagai ProProctor) dirancang untuk meningkatkan keamanan dan integritas proses pengujian dengan cara yang melindungi privasi kandidat ujian sambil mengonfirmasi identitas kandidat ujian. Teknologi ini digunakan untuk tujuan verifikasi identitas, untuk mendeteksi dan mencegah penipuan dan penyajian yang salah, untuk mempertahankan integritas proses pengujian, dan meningkatkan keamanan pusat ujian dan ujian yang diproktor jarak jauh.
3. Mengapa kami mengumpulkan Data Pribadi Anda?
Atas nama sponsor ujian kami, Prometric mengumpulkan Data Pribadi Anda untuk tujuan:
- Menjadwalkan ujian
- Memverifikasi identitas
- Mengelola ujian dan pembayaran
- Menangani permintaan layanan pelanggan
- Mendeteksi dan mencegah penipuan dan penyajian yang salah oleh kandidat yang tidak sah
- Melakukan analisis data untuk mempertahankan integritas proses pengujian
- Melaporkan hasil ujian kepada kandidat dan sponsor ujian
- Melakukan aktivitas pemasaran, sesuai dengan Hukum yang Berlaku
Untuk pemasok dan pihak ketiga lainnya, Prometric mengumpulkan Data Pribadi Anda untuk tujuan berikut:
- Manajemen dan administrasi pemasok
- Pemrosesan faktur
- Due diligence pemasok dan persyaratan hukum lainnya
4. Apa dasar hukum pemrosesan Data Pribadi Anda?
Data Pribadi umumnya dikumpulkan dan diproses sesuai dengan dasar hukum berikut:
- Persetujuan Anda untuk pengumpulan dan pemrosesan kategori khusus Data Pribadi.
- Persetujuan Anda jika diperlukan oleh Hukum yang Berlaku untuk transfer data lintas batas.
- Pelaksanaan kontrak yang mencakup pendaftaran dan penjadwalan ujian, pelaksanaan ujian tersebut, pencegahan penipuan dan pemrosesan hasil.
- Untuk tujuan bisnis yang sah seperti pemrosesan faktur dan manajemen akun keuangan, tujuan cadangan untuk memfasilitasi kelangsungan bisnis, manajemen pusat ujian, perencanaan bisnis, manajemen kontrak, perbaikan layanan pengujian yang diberikan kepada pelanggan kami, menawarkan layanan dan produk terkait kepada kandidat ujian yang ada, administrasi situs web, pemenuhan, analitik, keamanan dan pencegahan penipuan, tata kelola perusahaan, perencanaan pemulihan bencana, audit, dan pelaporan
- Kepatuhan terhadap kewajiban hukum atau regulasi apa pun.
5. Pengungkapan Data Pribadi
Data Pribadi dapat dibagikan dengan afiliasi Perusahaan lainnya, lembaga pemerintah atau pihak ketiga untuk alasan bisnis yang sah terkait dengan layanan yang diberikan atau sebagaimana diizinkan atau diharuskan oleh Hukum yang Berlaku.
Perusahaan dapat membagikan Data Pribadi:
- Di dalam grup kami seperti anak perusahaan
- Dengan afiliasi kami dan pusat ujian yang berwenang
- Dengan mitra bisnis seperti sponsor ujian dan penyedia layanan untuk memfasilitasi permintaan dan meningkatkan layanan kami
- Dengan otoritas pemerintah dan otoritas publik jika diperlukan atau diharuskan oleh otoritas tersebut
Data biometrik dapat diungkapkan kepada pihak ketiga hanya:
- Untuk penyelidikan terkait dugaan pelanggaran hanya untuk tujuan penyelidikan kecurangan, pengujian tidak sah, atau pelanggaran lainnya oleh kandidat ujian.
- Sehubungan dengan permintaan yang sah oleh lembaga pengatur, hukum, atau pemerintah yang memiliki yurisdiksi dan/atau wewenang untuk membuat permintaan tersebut.
Kami mengeksekusi kontrak sesuai dengan Hukum yang Berlaku dengan pihak ketiga kami untuk memastikan bahwa Data Pribadi diproses sesuai dengan Kebijakan ini dan langkah-langkah kerahasiaan dan keamanan yang sesuai.
6. Bagaimana kami menyimpan Data Pribadi Anda?
Tergantung pada sifat hubungan Anda dengan Prometric dan sesuai dengan Hukum yang Berlaku, kami menyimpan Data Pribadi Anda di infrastruktur cloud Oracle kami yang aman dengan server yang berlokasi di Ashburn, Virginia, Amerika Serikat.
Prometric mengikuti Program Manajemen Rekaman yang komprehensif dan jadwal retensi terkait yang dipatuhinya untuk tujuan retensi, penyimpanan, dan penghancuran semua catatan yang dibuat dalam menjalankan usahanya termasuk yang mengandung Data Pribadi. Kami juga menerapkan strategi Manajemen Data yang memisahkan data berdasarkan server data yang terletak secara regional.
Dengan tunduk pada Hukum yang Berlaku, Perusahaan kami akan menyimpan Data Pribadi Anda selama waktu pemrosesan, untuk periode yang lebih sedikit dari:
- lima (5) tahun dari tanggal layanan, ujian atau penilaian terakhir; atau
- masa kadaluarsa tujuan untuk mana Data Pribadi dikumpulkan; atau
- hukum dari yurisdiksi yang berlaku di mana Data Pribadi dikumpulkan.
Prometric tidak akan menyimpan Data Pribadi lebih lama dari yang diperlukan untuk tujuan yang disebutkan di atas. Namun, Prometric dapat mempertahankan Data Pribadi lebih lama jika diperlukan untuk mematuhi Hukum yang Berlaku atau jika diperlukan untuk melindungi atau melaksanakan haknya.
Penyimpanan Data Biometrik
Semua data biometrik yang dikumpulkan di pusat ujian berbasis komputer ditransfer dengan aman dan disimpan dengan aman di pusat data aman Prometric di Uni Eropa dan dipertahankan sesuai dengan Hukum yang Berlaku di yurisdiksi tempat data tersebut dikumpulkan. Data biometrik disimpan dan diamankan di Microsoft Azure selama periode tiga puluh (30) hari.
7. Transfer Data Pribadi
Dalam beberapa kasus, penggunaan pihak ketiga dapat melibatkan transfer Data Pribadi ke negara lain. Proses bisnis kami sering membutuhkan transfer Data Pribadi antara Perusahaan dan entitas afiliasinya secara internasional.
Jika Data Pribadi diproses di dalam UE/EEA, dan jika Data Pribadi diungkapkan kepada pihak ketiga atau di negara yang tidak dianggap memberikan tingkat perlindungan yang memadai sesuai dengan Hukum yang Berlaku, maka Perusahaan akan memastikan:
- Pelaksanaan klausul kontrak standar sebagaimana mungkin disetujui oleh Komisi UE;
- Adopsi langkah-langkah organisasi, teknis, dan hukum yang sesuai untuk mengatur transfer tersebut dan untuk memastikan tingkat perlindungan yang diperlukan dan memadai sesuai dengan Hukum yang Berlaku.
- Jika perlu, akan mengevaluasi keadaan transfer dan undang-undang negara ketiga, dan jika diperlukan, menyelesaikan penilaian dampak transfer data untuk menentukan apakah langkah tambahan diperlukan untuk diterapkan.
Untuk Data Pribadi yang tidak diproses di dalam UE/EEA, dan jika Data Pribadi diungkapkan kepada pihak ketiga yang berada di luar yurisdiksi subjek data, Perusahaan akan memastikan bahwa langkah-langkah perlindungan yang diperlukan ada untuk melindungi Data Pribadi dengan menerapkan mekanisme hukum yang sesuai termasuk, jika relevan, klausul kontrak standar dan/atau memperoleh persetujuan yang sesuai dari subjek data. Mekanisme tersebut dapat berbeda tergantung pada negara dan Hukum yang Berlaku yang relevan.
8. Apa hak Anda?
Tergantung pada yurisdiksi dan Hukum yang Berlaku, Anda mungkin memiliki hak berikut terkait Data Pribadi Anda:
- Hak untuk mengakses
- Hak untuk perbaikan
- Hak untuk penghapusan
- Hak untuk membatasi pemrosesan
- Hak untuk menolak pemrosesan
- Hak untuk portabilitas data
- Hak untuk memutuskan bagaimana Data Pribadi Anda digunakan setelah meninggal
Pelaksanaan hak-hak tersebut tunduk pada batasan yang ditetapkan oleh Hukum yang Berlaku dan pedoman terkait dari Otoritas Pengawas.
Untuk melaksanakan hak Anda, subjek data dapat menghubungi Perusahaan seperti yang dijelaskan dalam bagian “Cara menghubungi kami.” Kami mungkin meminta bukti identitas untuk menanggapi permintaan. Jika kami tidak dapat memenuhi permintaan Anda (penolakan atau pembatasan) maka kami akan membenarkan keputusan kami secara tertulis.
Hak Privasi California
Pasal 1798 Kode Sipil California memungkinkan penduduk California untuk meminta perusahaan dengan siapa mereka memiliki hubungan bisnis yang mapan untuk menyediakan informasi tertentu tentang pembagian Data Pribadi perusahaan dengan pihak ketiga untuk tujuan pemasaran langsung. Prometric tidak membagikan Data Pribadi konsumen California dengan pihak ketiga untuk tujuan pemasaran tanpa persetujuan. Jika Anda adalah kandidat ujian, Prometric akan memberikan Data Pribadi Anda kepada sponsor ujian Anda, yang dapat menggunakan informasi tersebut sesuai dengan kebijakan privasinya sendiri.
9. Bagaimana kami melindungi Data Pribadi Anda?
Prometric menerapkan berbagai langkah keamanan, seperti langkah-langkah teknis, fisik, dan administratif untuk melindungi semua Data Pribadi dari insiden keamanan atau pengungkapan yang tidak sah, dan secara umum dari Pelanggaran Data Pribadi. Langkah-langkah keamanan ini diakui sebagai standar keamanan yang sesuai di industri dan mencakup, antara lain, kontrol akses, kata sandi, enkripsi, batas waktu yang ketat untuk penghapusan, mekanisme pencatatan dan penilaian keamanan secara berkala.
Dalam hal terjadi Pelanggaran Data Pribadi yang mungkin berdampak pada data pribadi Anda, Prometric mengikuti Rencana Tanggap Insiden dan akan segera mengambil tindakan yang tepat untuk mengurangi risiko bagi subjek data. Langkah-langkah tersebut dapat mencakup memberi tahu Otoritas Pengawas yang sesuai dan subjek data yang terkena dampak, sambil memberikan rincian relevan tentang insiden dan langkah-langkah mitigasi sebagaimana mungkin diamanatkan berdasarkan Hukum yang Berlaku (yaitu GDPR atau PIPL).
Program Keamanan Informasi Prometric ditinjau beberapa kali setiap tahun oleh berbagai organisasi pihak ketiga untuk memastikan bahwa program tersebut memenuhi atau melampaui tolok ukur tertinggi yang tersedia untuk keamanan dan perlindungan privasi data. Selain itu, karyawan dan kontraktor wajib segera melaporkan setiap kasus penyalahgunaan, kehilangan, atau akses tidak sah yang diketahui atau dicurigai.
10. Pemrosesan Data Pribadi berdasarkan Undang-Undang Perlindungan Informasi Pribadi Republik Rakyat Tiongkok ('PIPL')
Bagian ini berlaku ketika Data Pribadi berada di dalam batas Republik Rakyat Tiongkok (PRC) atau ketika Data Pribadi diproses oleh salah satu perusahaan kami yang berlokasi di PRC.
Sesuai dengan Pasal 13 PIPL, Data Pribadi dapat dikumpulkan untuk tujuan berikut:
- Berdasarkan persetujuan individu;
- Untuk pelaksanaan kontrak, untuk kepentingan bisnis yang sah;
- Untuk memenuhi tugas dan tanggung jawab hukum atau kewajiban hukum;
- Untuk memproses data yang tersedia untuk umum;
- Untuk memenuhi persyaratan hukum.
Dengan mengikuti persyaratan yang ditetapkan dalam Pasal 23 PIPL dan isi yang disebutkan di Bagian 4, transfer dan pembagian Data Pribadi Anda kepada pihak ketiga tidak akan dilakukan tanpa (1) persetujuan spesifik Anda jika berlaku, atau (2) untuk memenuhi tugas hukum berdasarkan Hukum yang Berlaku.
Berdasarkan tujuan yang ditetapkan dalam Kebijakan ini, Data Pribadi dapat ditransfer ke negara atau wilayah di luar tempat tinggal Anda untuk Pemrosesan. Pada saat tersebut, Perusahaan akan melindungi keamanan Data Pribadi sesuai dengan Hukum yang Berlaku, termasuk tetapi tidak terbatas pada penerapan kontrol akses, kata sandi, standar enkripsi, batas waktu yang ketat untuk periode retensi, mekanisme pencatatan dan penilaian keamanan secara berkala.
Perusahaan akan memberi tahu Anda sepenuhnya tentang transfer data lintas batas sesuai dengan Pasal 39 PIPL sebelum mentransfer Data Pribadi Anda ke luar PRC dan akan memperoleh persetujuan Anda, memberi tahu Anda tentang hal berikut: nama penerima keluar, informasi kontak, tujuan Pemrosesan, metode Pemrosesan, jenis Data Pribadi, dan mengingatkan Anda tentang metode dan prosedur yang dapat Anda lakukan untuk menjalankan hak Anda berdasarkan PIPL. Kami akan meminta persetujuan eksplisit dan terpisah Anda untuk melakukan ini.
Jika diperlukan, Perusahaan akan melakukan penilaian risiko transfer data lintas batas sesuai dengan Hukum yang Berlaku jika Data Pribadi ditransfer ke luar PRC.
Menurut PIPL, Data Pribadi Sensitif didefinisikan sebagai Data Pribadi yang, jika bocor atau digunakan secara ilegal, dapat dengan mudah menyebabkan kerugian pada martabat orang alami, kerugian besar pada keamanan pribadi atau properti, termasuk informasi tentang karakteristik biometrik, keyakinan agama, status yang ditentukan khusus, kesehatan medis, akun keuangan, pelacakan lokasi individu, dll., serta Data Pribadi anak di bawah usia 14 tahun.
Sejalan dengan PIPL dan sebagaimana dijelaskan di Bagian 2, pemrosesan Data Pribadi Sensitif tunduk pada persetujuan terpisah individu dan dilakukan untuk tujuan terkait bisnis tertentu.
Prometric tidak akan mengumpulkan Data Pribadi dari anak di bawah usia 14 tahun tanpa persetujuan terpisah dari orang tua atau wali lainnya. Kami hanya akan menggunakan atau mengungkapkan Data Pribadi tentang anak sejauh yang diizinkan oleh hukum, sesuai dengan hukum dan peraturan yang berlaku, untuk meminta persetujuan orang tua atau untuk melindungi anak.
Dalam hal terjadi Pelanggaran Data Pribadi, Prometric akan menanggung tanggung jawab sipil kepada subjek data jika melanggar hak Data Pribadi subjek data, tanpa mengurangi tanggung jawab administratif, pidana, atau hukum lainnya yang harus dipikul oleh Pengendali Data berdasarkan PIPL.
11. Perubahan pada Kebijakan Privasi
Perusahaan mungkin perlu memperbarui Kebijakannya untuk mematuhi praktik privasi yang baru atau berbeda. Versi terbaru dari kebijakan ini akan tersedia melalui saluran yang tepat dan akan berlaku untuk data yang dikumpulkan setelah tanggal efektifnya.
12. Cara Menghubungi Kami
Untuk pertanyaan, komentar, atau kekhawatiran tentang Kebijakan ini, atau untuk menjalankan hak privasi yang diizinkan oleh Hukum yang Berlaku terkait Data Pribadi, silakan hubungi Petugas Perlindungan Data kami di alamat berikut: joseph.srouji@contractor.prometric.com
Anda juga dapat mengajukan permintaan terkait Data Pribadi Anda dengan mengklik tautan berikut dan melengkapi semua kolom yang diperlukan dalam formulir: Permintaan Data Pribadi
Anda juga dapat menghubungi kami melalui pos di:
Manajer Program Privasi Prometric
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 AS
Setelah menyelesaikan proses pengaduan internal Prometric, jika seorang kandidat ujian tidak puas dengan resolusi tersebut, ia dapat mengajukan keluhan kepada Better Business Bureau of Greater Maryland (“BBB”), penyedia resolusi sengketa alternatif yang berbasis di Amerika Serikat.
Situs Web BBB: http://www.bbb.org/greater-maryland/
Telepon BBB: 410-347-3990
Faks BBB: 410-347-3936
Subjek data juga memiliki hak untuk mengajukan keluhan langsung kepada Otoritas Pengawas yang kompeten di yurisdiksi yang relevan atau dapat mengambil tindakan hukum sesuai dengan Hukum yang Berlaku.