Prometric 隐私政策

最近更新:2023年9月

一般信息

Prometric LLC 是一家注册于美国特拉华州的有限责任公司,主要经营地址位于美国马里兰州巴尔的摩市南克林顿街1501号(以下简称“公司”、“我们”或“Prometric”)。根据与数据主体的关系,Prometric 可能作为数据控制者或数据处理者。

本隐私政策(“政策”)依据此处所列原则起草并实施,旨在描述我们在收集和处理考生、客户、承包商和合作伙伴的个人数据方面的做法。Prometric特别注重保护隐私和个人数据,并承诺遵守本政策和适用法律。

特别是,公司承诺遵守公司运营所在地的所有数据保护法律,包括:

  • 欧洲议会和欧盟理事会于 2016 年 4 月 27 日发布的关于在个人数据处理和自由流动时保护自然人的第 2016/679 号条例(欧盟)并废除第 95/46/EC 号指令的《一般数据保护条例》(GDPR);
  • 在《2018 年加州消费者隐私权法案》(CCPA)基础上修订的《2020 年加州隐私权法案》(CPPA);
  • 《中华人民共和国个人信息保护法》(PIPL);
  • 公司运营所在地的其他相关数据保护法规。

“适用法律 "是指相关国家的数据保护法或与数据保护有关的适用法规。

“个人信息”是指与已识别或可识别的自然人相关的任何信息。

“处理”是指对个人数据或个人数据集进行的任何操作或操作集合,无论是否通过自动化手段,包括收集、记录、组织、构建、存储、调整或更改、检索、查询、使用、通过传输披露、传播或以其他方式提供、对齐或合并、限制、删除或销毁。

1. 我们收集哪些类型的个人信息?

Prometric 根据您与公司的关系以及适用法律收集以下个人信息:

  • 联系信息,包括姓名、地址、电话号码、国家特定的身份证号码、电子邮件地址、登录账号和密码信息
  • 出生日期
  • 性别
  • 考生考试预约信息
  • 考试项目信息,包括考生编号ID、所参加的考试及时间、与这些考试相关的分数、参加考试或具体考试部分的次数
  • 按考试主办方要求的考生社会安全号码(美国)
  • 付款和金融机构信息
  • 居住地和国籍
  • 照片
  • 签名
  • 视频录制
  • 音频录制(在法律允许的情况下,仅在特定的管辖范围内)
  • 来自身份证件、核验或资格文件的信息
  • 交易和关系信息,包括显示考生考试模式、考试地点、考试结果的信息,以及有关Prometric网站和应用程序使用情况的信息。

此外,Prometric可能会根据适用法律处理特殊类别的个人数据,包括:

  • 生物识别(指纹图像和模板、面部图像和模板)
  • 与考生申请考试特殊调整有关的健康信息或医疗数据
  • 种族或民族,依据适用法律的规定

2. 我们如何收集您的个人信息?

在大多数情况下,Prometric 直接从个人数据主体收集此类个人信息。

但在其他情况下,我们可能会从考试主办方或第三方数据供应商处获得信息,以帮助我们更好地了解客户。当考生访问Prometric网站、注册或参加考试、使用我们的应用程序或联系我们时,我们也会出于客户服务目的收集交易信息。

Prometric通过我们的移动应用程序收集的所有个人数据均按照本政策的条款进行保护和处理。 我们还仅向选择接收我们此类通知的用户提供自动(“推送”)通知。个人无需向Prometric提供位置信息,也无需启用推送通知即可使用我们的任何移动应用程序。

生物数据的收集

生物识别启用的检录系统和 Prometric 的远程监考平台(称为 ProProctor)旨在提高考试过程的安全性和完整性,在确认考生身份的同时保护考生隐私。这些技术用于身份验证,检测和防止欺诈和虚假陈述,维护考试过程的完整性,提高考试中心和远程监考的安全性。

3. 我们为什么收集您的个人信息?

Prometric代表我们的考试主办方收集您的个人信息,用于以下目的:

  • 预约考试
  • 验证身份
  • 管理考试和付款
  • 处理客户服务请求
  • 检测和防止未获授权的人员的欺诈和虚假陈述
  • 进行数据分析以维护考试过程的完整性
  • 向考生和考试主办方报告考试结果
  • 依照适用法律进行市场活动

对于供应商和其他第三方,Prometric会出于以下目的收集您的个人信息:

  • 供应商管理和后勤
  • 发票处理
  • ”了解您的供应商“的尽职调查和其他法律要求

4. 处理您的个人信息的法律依据是什么?

个人信息的收集和处理一般基于以下法律依据:

  • 您同意收集和处理特殊类别的个人数据。
  • 您同意按照适用法律要求进行跨境数据传输。
  • 合同的履行,包括注册和预约考试、执行考试、防止舞弊和处理考试结果。
  • 出于合法业务目的,如发票处理和财务账户管理、促进业务连续性的备份目的、考试中心管理、业务规划、合同管理、改进向客户提供的考试服务、向现有考生提供相关服务和产品、网站管理、执行、分析、安全和防止舞弊、公司治理、灾难恢复规划、审计和报告。
  • 遵守任何法律或监管义务。

5. 个人信息的披露

出于与所提供服务相关的合法业务原因,或在适用法律允许或要求的情况下,可能会与公司其他附属机构、政府机构或第三方共享个人数据。

公司可能会分享个人数据:

  • 在我们的集团内部,例如子公司
  • 与我们的附属机构和授权考试中心
  • 与商业合作伙伴,例如考试主办方和服务提供商,以促进请求并改善我们的服务
  • 在必要时或根据权威要求与政府机关共享

生物数据仅在以下情况下可能披露给第三方:

  • 仅为调查作弊、未经授权的考试或其他考生不当行为而进行的与被指控的不当行为有关的调查。
  • 与有管辖权和/或有权提出此类要求的监管、法律或政府机构的合法要求有关。

我们根据适用法律的要求与第三方签订合同,以确保个人数据的处理符合本政策及任何其他适当的保密和安全措施。

6. 我们如何存储您的个人信息?

根据您与 Prometric 关系的性质以及适用法律,我们会将您的个人信息存储在安全的 Oracle 云基础设施中,服务器位于美国弗吉尼亚州阿什本。

Prometric 遵循全面的记录管理计划和相关的保留计划,旨在保留、存储和销毁在其业务过程中创建的所有记录,包括包含个人数据的记录。我们还实施了一项数据管理策略,根据区域数据服务器隔离数据。

根据适用法律,我们公司将保留您的个人数据,直至处理结束,保留时间按如下适用的较短时间计:

  • 自最后一次服务、考试或评估之日起五(5)年;或
  • 收集个人数据的目的的到期;或
  • 收集个人数据的适用司法管辖区的法律。

Prometric 不会将个人数据保存超过上述目的所需的时间。然而,如果需要遵守适用法律或为了保护或行使其权利,Prometric 可能会保留个人数据更长时间。

生物识别数据的存储

在计算机化考试中心收集的所有生物识别数据将安全传输并安全存储在 Prometric 位于欧盟的安全数据中心,并根据收集数据所在司法管辖区的适用法律予以保留。生物识别数据在 Microsoft Azure 中的存储和保护期为三十 (30) 天。

7. 个人数据的转移

在某些情况下,使用第三方可能涉及将个人数据转移到其他国家。我们的业务流程通常需要在公司及其关联实体之间进行国际个人数据转移。

如果个人数据在欧盟/欧洲经济区内处理,并且在个人数据披露给第三方或披露至不被认为提供足够保护水平的国家时,公司将确保:

  • 实施欧盟委员会可能批准的标准合同条款;
  • 采取适当的组织、技术和法律保障措施来管理上述转移,并确保根据适用法律提供必要和充分的保护。
  • 如有必要,将评估转移的情况和第三国的法律,并在必要时完成数据转移影响评估,以确定是否需要实施补充措施。

对于未在欧盟/欧洲经济区处理的个人数据,并且在个人数据披露给位于数据主体司法管辖区之外的第三方时,公司将确保采取必要的保障措施,以通过实施适当的法律机制保护个人数据,包括(如适用)标准合同条款和/或获得数据主体的适当同意。这些机制可能因国家和相关适用法律而异。

8. 您有哪些权利?

根据司法管辖区和适用法律的不同,您可能享有以下与您的个人数据相关的权利:

  • 访问权
  • 更正权
  • 删除权
  • 限制处理权
  • 反对处理权
  • 数据可携权
  • 决定您的个人数据在您去世后如何使用的权利

这些权利的行使须依照适用法律和监管机构的相关指南。

要行使您的权利,数据主体可以按照“如何联系我们”部分的说明与公司联系。我们可能会要求提供身份证明,以便回应请求。如果我们不能满足您的请求(拒绝或限制),我们将以书面形式解释我们的决定。

加利福尼亚隐私权

加利福尼亚民法典第1798条允许加利福尼亚居民要求与他们建立业务关系的公司提供某些信息,说明该公司出于直接营销目的与第三方共享个人数据的情况。 未经同意,Prometric不会出于营销目的与第三方共享任何加州消费者的个人数据。 如果您是考生,Prometric将向您的考试主办方提供您的个人资料,考试主办方可根据其自身的隐私政策使用这些信息。

9. 我们如何保护您的个人数据?

Prometric 实施多种安全措施,例如技术、物理和管理保障措施,以保护所有个人数据免受安全事件或未经授权的披露,也就是广义上说的防止个人数据泄露。这些安全措施被公认为行业内的适当安全标准,包括但不限于访问控制、密码、加密、严格的删除时限、日志记录机制和定期的安全评估等。

如果发生可能影响到您的个人数据的个人数据泄露事件,Prometric将遵循其事件响应计划,并及时采取适当措施以降低数据主体面临的风险。 此类措施可能包括通知适当的监管机构和受影响的数据主体,同时提供事件的相关详情以及适用法律(如:GDPR 或 PIPL)可能规定的缓解措施。

Prometric的信息安全计划每年由多家第三方机构进行多次审查,以确保其达到或超过安全、数据隐私和保护方面的最高基准。此外,员工和承包商有义务及时报告任何已知或可疑的滥用、丢失或未经授权的访问。

10. 根据中华人民共和国个人信息保护法(PIPL)处理个人数据

本节适用于个人数据位于中华人民共和国(中国)境内或个人数据由我们位于中国的公司处理的情况。

根据《个人信息保护法》第13条,个人数据可以出于以下目的收集:

  • 基于个人的同意;
  • 为履行合同、出于合法商业目的;
  • 履行法定职责和责任或法定义务;
  • 处理公开可用的数据;
  • 满足法律要求。

根据《个人信息保护法》第23条的要求以及第4节提到的内容,未经(1)您的特别同意(如适用)或(2)履行适用法律规定的法定义务,您的个人数据不会转移和共享给第三方。

根据本政策规定的目的,个人数据可能会被转移到您居住地以外的国家或地区进行处理。在此情况下,公司将根据适用法律保护个人数据的安全,包括但不限于实施访问控制、密码、加密标准、严格的保留期限、日志记录机制和定期安全评估。

在将您的个人数据传输到中国境外之前,公司将根据《个人信息保护法》第39条的要求,充分告知您有关跨境数据传输的信息并征得您的同意,告知您以下信息:境外接收方的名称、联系信息、处理目的、处理方法、个人数据类型,并提醒您行使《个人信息保护法》项下权利的方法和程序。为此,我们将征求您的明确和单独同意。

如有必要,公司在将个人数据转移到中国境外时,根据适用法律进行跨境数据转移风险评估。

根据《个人信息保护法》,敏感个人数据是指一旦泄露或非法使用,可能会严重损害自然人尊严、个人或财产安全的个人数据,包括生物特征信息、宗教信仰、特殊身份、医疗健康、金融账户、个人位置追踪等,以及14岁以下未成年人的个人数据。

根据《个人信息保护法》的规定,如第2节所述,处理敏感个人数据须经个人的单独同意,并用于特定的商业目的。

未经父母或其他监护人的单独同意,Prometric不会收集14岁以下未成年人的个人数据。我们只会在法律允许的范围内,根据适用法律和法规,在征得父母同意或保护儿童的情况下使用或披露儿童的个人数据。

在发生个人数据泄露事件时,如果Prometric侵犯了数据主体的个人数据权利,Prometric应向数据主体承担民事责任,但不影响数据控制方根据《个人信息保护法》应承担的行政、刑事或其他法律责任。

11. 隐私政策的变更

公司可能需要更新其政策,以符合新的或不同的隐私惯例。本政策的更新版本将通过适当渠道提供,并适用于生效日期之后收集的数据。

12. 如何联系我们

如对本政策有任何疑问、意见或关注,或为了行使适用法律允许的与个人数据相关的隐私权,请联系我们的数据保护官,联系方式如下: joseph.srouji@contractor.prometric.com

您还可以通过点击以下链接并填写表单中的所有必填字段来提交与您的个人数据相关的请求: 个人数据请求

您还可以通过邮寄方式与我们联系:

Prometric隐私项目经理
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

在用尽Prometric的内部投诉程序后,如果考生对解决方案不满意,他或她可以向美国的替代性争议解决机构大马里兰州商业促进局(“BBB”)投诉。

BBB网站: http://www.bbb.org/greater-maryland/

BBB电话: 410-347-3990

BBB传真: 410-347-3936

数据主体还有权直接向其相关司法管辖区的主管监管机构提出投诉,或根据适用法律采取法律行动。