Y-Prime, LLC
隐私政策

目的
Y-Prime, LLC (YPrime)承诺在收集和使用用户个人数据的过程中保持高度透明。本声明详细说明YPrime 就个人数据的隐私、数据保护及个人权利与义务作出的相关承诺。

本声明适用于由 YPrime 所提供、收集和处理的涉及YPrime客户、临床试验参与者、供应商、求职者、员工、承包商、前员工以及公司网站(如cookie和互联网标签)访客的所有个人数据。

加州隐私权
根据加州《反客户信息披露法》(Shine the Light Law),凡出于个人、家人或家庭需求而获取相关产品或服务时提供特定个人身份信息的加州居民,有权(每日历年一次)索取本公司因其他企业的直营目的而对其分享(如有)的客户信息。如适用,该信息将包括客户信息的类别以及本公司能就上一日历年度客户信息予以分享的企业名称和地址(例如,如在2021年提出请求,则将收到关于2020年分享活动的相关信息,如有的话)。

如需获取此信息,请发送电子邮件至 privacy@yprime.com,并在邮件标题和正文中注明“索取加州隐私信息”。我们将根据您的要求,将相关信息发送到您的电邮地址。

请注意,《反客户信息披露法》(Shine the Light Law)并未涵盖所有共享信息内容,,本公司将仅就该法规定范围内的共享信息予以回复。

YPrime 尊重个人隐私并珍惜本公司客户、员工、临床试验参与者、消费者、业务合作伙伴和其他人的信任。YPrime力求以符合本公司业务所在国法律的方式收集、使用和披露个人数据,同时在业务实践中保持最高道德标准。

如有任何与本声明有关的问题,或需了解更多信息,请发送电子邮件至privacy@yprime.com。YPrime 符合GDPR(《通用数据保护条例》)要求。

本声明可能会不时更新。一旦有重大更新,将在页面底部注明最新修订日期。

定义
“数据控制者”系指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、政府当局、公共机构、机构或其他实体。

“数据主体”系指已识别或可识别的自然人。

“GDPR”系指欧盟的《通用数据保护条例》

“个人数据”是载有可识别生命个体信息的任何相关信息。根据GDPR(《通用数据保护条例》),此类数据被称为“个人身份信息”。

“处理”系指对个人数据的任何使用,包括收集、储存、修改、披露或销毁。

“数据处理者”系指代表数据控制者处理个人数据的自然人或法人、政府当局、机构或其他实体。

“特殊类别的个人数据”系指个人数据的一种形式,包括个人的种族或民族起源、犯罪记录数据、政治观点、宗教或哲学信仰、工会会员资格、健康状况、性生活或性取向以及生物特征数据的信息。

“犯罪记录数据”系指有关个人刑事定罪和犯罪,以及与刑事指控和诉讼相关的信息。

数据保护原则
YPrime 根据以下数据保护原则处理个人数据:

  • 公平、合法、透明地处理个人数据。
  • 仅出于特定、明确和合法的目的收集个人数据。
  • 仅在适当、相关且仅限于处理目的所需的情况下处理个人数据。
  • 保留准确的个人数据,并采取一切合理措施确保及时更正或删除不准确的个人数据。
  • 仅在处理所需期限内保留个人数据。
  • 采取适当措施来确保个人数据的安全,并防止未经授权处理或非法处理,避免意外丢失、破坏或损坏。

YPrime 对其获取、处理和处置个人数据的方式负责,并确保遵守上述原则。

  • 公平、合法、透明地处理个人数据。
  • 仅出于特定、明确和合法的目的收集个人数据。
  • 仅在适当、相关且仅限于处理目的所需的情况下处理个人数据。
  • 保留准确的个人数据,并采取一切合理措施确保及时更正或删除不准确的个人数据。
  • 仅在处理所需期限内保留个人数据。
  • 采取适当措施来确保个人数据的安全,并防止未经授权处理或非法处理,避免意外丢失、破坏或损坏。
  • YPrime 对其获取、处理和处置个人数据的方式负责,并确保遵守上述原则。

一旦被视为数据控制者,YPrime应在其隐私声明中就个人数据的处理原因、使用方式以及处理时所依存的法律依据告知相关个人,且不得出于其他原因处理此等数据。如果 Yprime 基于其合法权益而进行数据处理,则必须先行评估,以确保此类权益不会超过个人的权利和自由。如被告知相关个人信息已更改或不准确,YPrime 将及时更新个人数据。

一旦被视为数据处理者或辅助处理者,YPrime将仅根据适用的法律、规则、法规以及数据控制者的具体指示处理个人数据。

与员工和承包商合约期间收集的个人数据,应以硬拷贝或电子格式保存在个人人事档案中,并保存于YPrime人力资源系统。YPrime对该等人事相关个人数据的保存期限,应在发与相关个人的隐私声明中注明。

YPrime的运营及维护承包商仅在向YPrime提供产品或服务的过程中,享有有限的个人数据查阅权。此类承包商查阅个人数据的范围,仅限于该承包商为履行其对YPrime的有限职责所合理需要范围内。YPrime要求其运营及维护承包商:(1)保护本声明项下的任何个人数据的隐私,以及(2)除根据法律要求向YPrime提供产品和服务外,不得出于其他任何目的使用或披露个人数据。

YPrime应根据GDPR(《通用数据保护条例》)的要求记录其个人数据处理活动。

个人权利
作为资料主体,个人可就其个人数据享有多项权利。

数据主体查阅请求

个人有权了解 YPrime 正在控制和处理的个人数据详情,并确保此类个人数据准确且符合 YPrime 收集数据的相关用途。一旦相关个人提出合理要求,则YPrime须告知:

  • 该相关个人的数据是否经过处理,如果已处理,告知处理的原因,相关个人数据的类别以及数据来源(如数据并非来自该个人);
  • 已被或将被披露的相关个人数据接收方,以及适用于此类传输的保障措施【包括位于欧洲经济区(EEA)以外的接收方】;
  • 该相关个人的个人数据储存期限(或该期限如何确定);
  • 该相关个人纠正或删除数据的权利,或限制或反对处理的权利;
  • 如果该相关个人认为 YPrime 未能遵守其数据保护权利,则有权向有关的数据隐私监管机构投诉;以及
  • YPrime 是否执行自动化决策以及任何此类决策所涉及的逻辑。

YPrime 还将向相关个人提供在处理过程中所收集的个人数据副本。如果该个人以电子方式提出请求,通常副本将以电子表单形式予以提供,但该个人另有要求的除外。

如果该个人需要额外的副本,YPrime可能会收取相应的合理费用;费用取决于提供该额外副本的管理成本。

如需提出主题访问请求,应发送电子邮件至 marketing@yprime.com。几乎在任何情况下,YPrime均须依法在处理请求前要求对方提供身份证明。此外,在某些情况下,如YPrime 属于数据处理者(或辅助处理者),则可能需要联系数据控制者(如适用)。

YPrime 通常会在收到请求之日起一(1)个月内回复。在某些情况下,例如YPrime处理大量个人数据时,可能会在收到请求之日起三(3)个月内作出回复。在此种情况下,YPrime 将在收到首次请求后的一(1)个月内回复请求方,如实说明情况。

如相关查阅请求明显无根据或过量,则YPrime没有义务依从。或者,YPrime可能同意此种请求,但会收取相应费用,该费用取决于请求回应过程中所产生的管理成本。例如, 如果对YPrime已作出回应的事项重复请求,则该主题访问请求可能被视为明显无根据或过量。如果相关个人提交明显无根据或过量的请求,YPrime将通知该个人,如实说明情况,并告知是否会作出回应。

其他权利
个人可就其个人数据享有多项其他权利。个人可要求YPrime:

  • 告知有关收集和使用其个人数据的情况;
  • 纠正不准确的个人数据;
  • 停止处理或删除无需再用于处理目的的个人数据;
  • 继续储存其个人数据但不得使用;
  • 尊重个人在某些情况下反对处理其个人数据的权利,例如直接营销;
  • 提供便携式个人数据,以便能轻松地将数据传输至其他IT环境。本公司通常会通过以“逗号分隔值”(csv)文件的形式提供数据来满足这一要求;
  • 尊重个人在其个人数据自动决策方面的权利;
  • 如果个人权益高于YPrime处理个人数据的合法理由(YPrime以其合法权益作为处理个人数据的理由),则应停止处理或删除个人数据;
  • 如属非法处理,则应停止处理或删除个人数据;以及
  • 如果数据不准确,或者对个人权益是否高于YPrime处理个人数据的合法理由存在争议,则应在一段时间内停止处理个人数据。

如需YPrime采取任何此类措施,请发送电子邮件至 marketing@yprime.com.

欧盟人士(欧盟数据主体)可以向其本国数据保护机构投诉,并可针对其他补救机制无法解决的某些剩余索取权提起具有约束力的仲裁。
对于本公司无法直接解决的问题或担忧,您也可以联系当地的数据保护主管部门。

数据安全
YPrime非常重视个人数据的安全性。YPrime已制定内部政策及控制措施,以保护个人数据免遭遗失、意外毁坏、误用或对外披露,并确保该等数据不为他人访问,但员工在适当履行职责时除外。

如YPrime聘请第三方代其处理个人数据,该等第三方应根据书面指示行事,并负有保密义务,并有义务采取相应的技术和组织措施,来确保数据安全。

YPrime承认,应对可能转移至第三方的个人数据承担相应的潜在责任。在未确保第三方可提供充分和同等程度保护的原则或类似法律的情况下,YPrime不会将任何个人数据传输给第三方。除非有客户或其他数据控制者的合法指示,否则YPrime不会将个人数据传输至不相关的第三方。例如,此类情况包括法律或法律程序要求披露客户的个人数据,或出于可识别人员的切身利益,如涉及生命、健康或安全时的披露。如YPrime被要求将个人数据传输给不相关的第三方,YPrime将确保该第三方提供足够和同等级别的数据保护。如Yprime获悉收到其所发出个人数据的无关第三方正以违反本声明规定的方式使用或披露个人数据,YPrime将采取合理措施防止或停止该使用或披露。

影响评估
YPrime执行的某些处理可能会导致隐私风险。如执行处理会对个人权利和自由造成高风险,YPrime将开展数据保护影响评估,以确定处理的必要性和恰当性。影响评估包括斟酌该活动开展的目的、对个人的风险以及为减轻此类风险可采取的措施。

数据泄露

如YPrime发现存在危及个人权利和自由的个人数据泄露,则将在发现该泄露后七十二(72) 小时内向信息专员报告。无论泄露后果大小,YPrime均将记录所有的数据泄露情况。

如果违规行为可能对个人的权利和自由构成高风险,YPrime将如实告知受影响的个人,并向其提供可能发生的后果和已采取的补救措施。

国际数据传输
YPrime控制或处理的个人数据可能会传输至EEA(欧洲经济区)以外的国家。

YPrime承诺遵守本声明,将启用适用的标准合同条款,充分调查并努力解决有关违反本声明而使用和披露个人数据的任何投诉或争议。

YPrime员工职责

YPrime员工在工作时可能会访问其他个人以及本公司顾客和客户的个人数据。在这种情况下,YPrime依靠该等个人来帮助履行其对员工、顾客和客户的数据保护义务。

有权访问个人数据的员工须:

  • 仅访问有权访问的数据且仅出于授权目的访问数据;
  • 不得向未获适当授权的YPrime内部或外部人员披露数据;
  • 确保数据安全,例如遵守有关场所访问、计算机访问(包括密码保护)以及安全存储和销毁文件的规定;
  • 如未采取适当的安全措施(例如加密或密码保护等措施)来确保数据及设备的安全,不得从YPrime移除个人数据或移除载有或可用于访问个人数据的设备;
  • 不得将个人数据存储在本地驱动器或用于工作用途的个人设备上;以及
  • 一旦发现数据泄露,请立即向 privacy@yprime.com 报告。

未遵守此类要求可能导致违规行为,将根据YPrime的惩处规定和程序处理。

YPrime将向所有员工提供有关其数据保护职责的培训,并将该培训纳入入职流程,后期会定期进行培训。

需要定期访问个人数据的员工,或负责执行本声明或回应本声明项下的主题访问请求的员工,将接受额外的培训,以帮助其了解自己的职责以及应如何履行此类职责。

网络隐私
YPrime或YPrime指定的第三方可能会通过其网站以及访客与其网站元素的互动收集个人数据,此类收集亦受本声明的约束。在提交个人姓名和/或地址时,此类个人信息可能会被收集。YPrime或YPrime指定的第三方也可收集访问YPrime网站的相关信息,而无需个人通过各种自动数字手段(如IP地址、cookie标识符、像素和最终用户网站活动)主动提交信息。虽然通过此类自动数字方式收集的信息并不能直接识别特定个人,但互联网浏览器会自动将正在运行的用户计算机软件信息传输到 YPrime 网站,例如 IP 地址和浏览器版本。如缺乏其他的可识别信息,此类技术收集的信息不可用于识别个人。

Cookies
YPrime使用的cookie是由我方平台提供并存储在您的设备上的小型数据文件。我方网站会将本公司或第三方删除的cookie用于运营、个性化网站、改善用户体验以及定向广告等多种目的。Cookie可能会在您的浏览会话结束时失效,也可能会存储在您的计算机上,以便您下次访问该网站时使用。您可以通过调整浏览器上的设置来阻止cookie的设置(相关执行操作,请参阅浏览器的“帮助”部分)。禁用cookie将影响您的网站体验。

版本 9,最后更新日期:2023 年 3 月 25 日

Scroll to Top