最近更新:2023年9月
一般信息
Prometric LLC 是一家註冊與美國特拉華州的有限責任公司,主要經營地址位於美國馬里蘭州巴爾的摩南克林頓街1501號(以下簡稱“公司”、“我們”或“Prometric”)。根據與數據主體的關係,Prometric 可能作為數據控制者或數據處理者。
本隱私政策(“政策”)依據此處所列原則起草並實施,旨在描述我們在收集和處理考生、客戶、承包商和合作夥伴的個人數據方面的做法。Prometric特別注重保護隱私和個人數據,並承諾遵守本政策和適用法律。
特別是,公司承諾遵守公司運營所在的所有數據保護法律,包括:
- 歐洲議會和理事會與2016年4月27日發布的關於在個人數據處理和自由流動時保護自然人的第2016/679號條例(歐盟)並廢止第95/46/EC號指令的《一般數據保護條例》(GDPR);
- 在《2018年加州消費者隱私權法案》(CCPA)基礎上修訂的《2020年加州隱私權法案》(CPPA);
- 中華人民共和國個人信息保護法(PIPL);
- 公司運營所在地的其他相關數據保護法規。
“適用法律”指與相關國家的數據保護法或與數據保護相關的適用法規。
“個人數據”是指任何與已識別或可識別的自然人相關的信息。
“處理”是指對個人數據或個人數據集進行的任何操作或操作集合,不論是否通過自動化手段,例如收集、記錄、組織、構建、儲存、調整或更改、檢索、查詢、使用、通過傳輸披露、傳播或以其他方式提供、對齊或合併、限制、刪除或銷毀。
1. 我們收集哪些類型的個人信息?
Prometric 根據您與公司的關係和適用法律收集以下個人信息:
- 聯繫信息,包括姓名、地址、電話號碼、國家特定的身份證號碼、電子郵件地址、登錄帳號和密碼信息
- 出生日期
- 性別
- 考生考試預約信息
- 考試項目信息,包括考生 ID 編號、所參加的考試及時間、與這些考試相關的分數、參加考試或具體考試部分的次數
- 按考試主辦方要求的考生社會安全號碼(美國)
- 付款和金融機構信息
- 居住地和國籍
- 照片
- 簽名
- 視頻錄像
- 音頻錄音(根據法律許可並僅在特定司法管轄區)
- 來自身份證件、核驗或資格文件的信息
- 交易和關係信息,包括顯示考生考試模式、考試地點、考試結果的信息,以及有關 Prometric 網站和應用程序使用情況的信息。
此外,Prometric 可能會根據適用法律處理特殊類別的個人數據,包括:
- 生物識別(指紋圖像和模板、面部圖像和模板)
- 與考生申請考試特殊調整相關的健康信息或醫療數據
- 種族或民族,根據適用法律的規定
2. 我們如何收集您的個人信息?
在大多數情況下,Prometric 直接從個人數據主體收集此類個人數據。
但在其他情況下,我們可能會從考試主辦方或第三方數據供應商處獲取信息,以幫助我們更好地了解客戶。當考生訪問 Prometric 的網站、註冊或參加考試、使用我們的應用程序或聯繫我們時,我們也會處於客戶服務目的收集交易信息。
Prometric 通過我們的移動應用程序收集的所有個人數據均按照本政策的條款受到保護和處理。我們還僅向選擇接收此類通知的用戶提供自動(“推送”)通知。個人無需向 Prometric 提供位置信息,也無需啟用推送通知即可使用我們的任何移動應用程序。
生物數據的收集
生物識別啟用的登錄系統和 Prometric 的遠程監考平台(稱為 ProProctor)旨在提高考試過程的安全性和完整性,在確認考生身份的同時保護考生隱私。這些技術用於身份驗證,檢測和防止欺詐和虛假陳述,維護考試過程的完整性,提高考試中心和遠程考試的安全性。
3. 我們為什麼收集您的個人數據?
代表我們的考試贊助商,Prometric 收集您的個人數據以達到以下目的:
- 安排考試
- 驗證身份
- 管理考試和付款
- 處理客戶服務請求
- 檢測並防止未經授權的候選人欺詐和虛假陳述
- 進行數據分析以維護測試過程的完整性
- 向候選人和考試贊助商報告考試結果
- 進行市場活動,遵循適用法律的規定
對於供應商和其他第三方,Prometric 收集您的個人數據以達到以下目的:
- 供應商管理和管理
- 發票處理
- 了解您的供應商的盡職調查和其他法律要求
4. 處理您的個人數據的法律依據是什麼?
個人數據通常根據以下法律依據進行收集和處理:
- 您對特殊類別個人數據的收集和處理的同意。
- 如果適用法律要求跨境數據轉移,則需要您的同意。
- 執行包括註冊和安排考試、管理該考試、欺詐防範和結果處理的合同。
- 出於合法業務目的,例如發票處理和金融賬戶管理、備份目的以促進業務持續性、考試中心管理、業務規劃、合同管理、改善提供給我們客戶的測試服務、向現有考生提出相關服務和產品、網站管理、履行、分析、安全和欺詐防範、公司治理、災難恢復計劃、審計和報告。
- 遵守任何法律或監管義務。
5. 個人數據的披露
個人數據可能會與其他公司附屬機構、政府機構或第三方分享,以便與提供的服務相關的正當商業原因或根據適用法律的其他允許或要求。
公司可能會分享個人數據:
- 在我們的集團內,例如子公司
- 與我們的附屬機構和授權考試中心
- 與商業夥伴,例如考試贊助商和服務提供商,以促進請求並改善我們的服務
- 在必要或根據當局要求時與政府機構和公共機構
生物數據僅可披露給第三方:
- 針對與涉嫌不當行為相關的調查,僅用於檢查作弊、未經授權的測試或其他考生不當行為的調查。
- 根據相關法規、法律或政府機構的合法要求。
我們根據適用法律與我們的第三方簽訂合同,以確保個人數據按照本政策及任何其他適當的保密和安全措施進行處理。
6. 我們如何儲存您的個人數據?
根據您與 Prometric 的關係性質和適用法律,我們將您的個人數據儲存在我們位於美國維吉尼亞州阿什本的安全 Oracle 雲基礎架構中。
Prometric 遵循全面的記錄管理計劃和相關的保留時間表,以便於保留、儲存和銷毀所有在業務過程中創建的記錄,包括那些包含個人數據的記錄。我們還部署數據管理策略,根據地區位置的數據伺服器對數據進行隔離。
根據適用法律,我們公司將在處理期間保留您的個人數據,保留期限以較短者為準:
- 自最後一項服務、考試或評估之日起五(5)年;或
- 達成收集個人數據的目的的期限;或
- 收集個人數據的適用法律規定的期限。
Prometric 不會將個人數據保留超過上述目的所需的時間。然而,若需遵守適用法律或保護或行使其權利,Prometric 可能會更長時間保留個人數據。
生物數據的儲存
在計算機基礎的考試中心收集的所有生物數據會安全轉移並安全儲存於 Prometric 位於歐盟的安全數據中心,並根據收集地的適用法律保留。生物數據將在 Microsoft Azure 中儲存和保護三十(30)天。
7. 個人數據的轉移
在某些情況下,使用第三方可能涉及將個人數據轉移到其他國家。我們的業務流程通常需要在公司及其附屬實體之間進行國際個人數據轉移。
如果個人數據在 EU/EEA 內處理,並且在向第三方或在不被認為根據適用法律提供足夠保護水平的國家披露個人數據的情況下,則公司將確保:
- 實施歐盟委員會可能批准的標準合同條款;
- 採取適當的組織、技術和法律保障措施以管理該轉移並確保根據適用法律的必要和充分的保護水平。
- 如有必要,將評估轉移的情況及第三國的立法,並如有要求,完成數據轉移影響評估,以確定是否需要實施補充措施。
對於未在 EU/EEA 內處理的個人數據,並且在向位於數據主體司法管轄區以外的第三方披露個人數據的情況下,公司將確保採取必要的保障措施以保護個人數據,並實施適當的法律機制,包括(如相關)標準合同條款和/或從數據主體那裡獲得適當的同意。這些機制可能根據國家和相關的適用法律而有所不同。
8. 您的權利是什麼?
根據司法管轄區和適用法律,您可能擁有與您的個人數據相關的以下權利:
- 訪問權
- 更正權
- 擦除權
- 限制處理權
- 反對處理權
- 數據可攜帶權
- 決定您的個人數據在死後如何使用的權利
行使這些權利需遵循適用法律及監管機構的相關指導中的限制。
要行使您的權利,數據主體可以按照“如何聯繫我們”部分的描述聯繫公司。我們可能會要求提供身份證明以便回應請求。如果我們無法滿足您的請求(拒絕或限制),我們將以書面方式說明我們的決定。
加州隱私權
加州民法典第1798條允許加州居民要求與其建立業務關係的公司提供有關這些公司與第三方共享個人數據以進行直接行銷的某些信息。Prometric 不會在未經同意的情況下與第三方分享任何加州消費者的個人數據進行行銷。如果您是考試候選人,Prometric 將把您的個人數據提供給您的考試贊助商,後者可能根據其自身的隱私政策使用該信息。
9. 我們如何保護您的個人數據?
Prometric 實施各種安全措施,例如技術、物理和管理保障,以保護所有個人數據免受安全事件或未經授權的披露,並更普遍地防止個人數據洩露。這些安全措施被認可為行業中適當的安全標準,包括但不限於訪問控制、密碼、加密、嚴格的刪除時間限制、日誌機制和定期的安全評估。
如果發生可能影響您個人數據的個人數據洩露事件,Prometric 將遵循其事件響應計劃,並將迅速採取適當措施以減少對數據主體的風險。此類措施可能包括通知相關的監管機構和受影響的數據主體,同時提供事件的相關細節和可能根據適用法律(即 GDPR 或 PIPL)要求的緩解措施。
Prometric 的信息安全計劃每年由多個第三方組織進行多次審查,以確保其達到或超過可用的最高安全和數據隱私及保護基準。此外,員工和承包商有義務立即報告任何已知或懷疑的濫用、遺失或未經授權的訪問事件。
10. 根據中華人民共和國個人信息保護法(“PIPL”)處理個人數據
當個人數據位於中華人民共和國(PRC)境內或由我們位於中國的公司處理時,本部分適用。
根據 PIPL 第13條,可能會出於以下目的收集個人數據:
- 基於個人的同意;
- 為了執行合同,為合法商業利益;
- 履行法定職責和責任或法定義務;
- 處理公開可用的數據;
- 滿足法律要求。
根據 PIPL 第23條的要求和第4節提到的內容,個人數據在未經(1)您的具體同意(如適用)或(2)為履行適用法律下的法定職責而轉移和共享給第三方。
根據本政策規定的目的,個人數據可能會轉移到您居住地以外的國家或地區進行處理。在此情況下,公司將根據適用法律保護個人數據的安全,包括但不限於實施訪問控制、密碼、加密標準、嚴格的保留期限、日誌機制和定期的安全評估。
公司將在將您的個人數據轉移到中國以外之前,根據 PIPL 第39條充分告知您跨境數據轉移,並將獲得您的同意,告知您以下信息:外部接收者的名稱、聯繫信息、處理的目的、處理的方法、個人數據的類型,並提醒您可以根據 PIPL 行使權利的方法和程序。我們將要求您明確且單獨的同意。
如有需要,公司將根據適用法律對個人數據轉移到中國以外的風險進行評估。
根據 PIPL,敏感個人數據定義為一旦洩露或非法使用,可能會對自然人的尊嚴、個人或財產安全造成重大傷害的個人數據,包括生物特徵信息、宗教信仰、特殊身份、醫療健康、金融賬戶、個人位置跟蹤等,以及14歲以下未成年人的個人數據。
根據 PIPL 的規定,如第2節詳細說明,敏感個人數據的處理需經個人單獨同意,並為特定的商業目的進行。
Prometric 不會在未經父母或其他監護人單獨同意的情況下收集14歲以下未成年人的個人數據。我們僅在法律允許的範圍內使用或披露有關兒童的個人數據,根據適用法律和法規尋求父母同意或保護兒童。
如果發生個人數據洩露事件,Prometric 將對數據主體承擔民事責任,如果其侵犯了數據主體的個人數據權利,並不影響根據 PIPL 由數據控制者承擔的行政、刑事或其他法律責任。
11. 隱私政策的變更
公司可能需要更新其政策,以遵守新的或不同的隱私實踐。更新版本的政策將通過適當的渠道提供,並適用於其生效日期後收集的數據。
12. 如何聯繫我們
如對本政策有任何疑問、意見或擔憂,或為行使根據適用法律與個人數據相關的隱私權,請聯繫我們的數據保護官,地址為:joseph.srouji@contractor.prometric.com
您也可以通過點擊以下鏈接提交與您的個人數據相關的請求,並填寫表單中的所有必填字段:個人數據請求
您也可以通過郵寄聯繫我們:
Prometric 隱私計劃經理
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA
在耗盡 Prometric 的內部投訴程序後,如果考試候選人對解決方案不滿意,他或她可以向美國的替代爭端解決提供者大馬里蘭州更大商業局(“BBB”)提出投訴。
BBB 網站: http://www.bbb.org/greater-maryland/
BBB 電話: 410-347-3990
BBB 傳真: 410-347-3936
數據主體還有權直接向其相關司法管轄區的主管監管機構提出投訴,或根據適用法律採取法律行動。