隐私政策

目的

Signant Health 承诺在采集和使用个人数据时保持透明。本通知列出了 Signant Health 在个人数据方面对隐私、数据保护、个人权利和义务的承诺。

本通知适用于通过以下来源获得的所有个人数据:客户、临床试验参加者、供应商、求职者、职员、承包商、前职员、访问 Signant Health 的网站的访客(例如通过 cookies 和互联网标签),即,提供给 Signant Health 或由 Signant Health 采集并处理的所有个人数据。

Signant Health 尊重个人隐私,并珍视客户、职员、临床试验参加者、消费者、商业伙伴和其他人的信任。Signant Health 努力以遵守业务所在国法律的方式收集、使用和披露个人数据,同时,Signant Health 的优良传统是在业务实践中坚持最高的道德标准。

Signant Health 已任命 Paul Drake 担任数据保护官。他的职责是为 Signant Health 提供数据保护义务方面的信息和建议。数据保护官的联络方式为 paul.drake@signanthealth.com。

如果您对本通知有任何疑问,或需要获取更多信息,请直接与数据保护官联络。Signant Health 遵守通用数据保护条例 (GDPR),并且自我认证符合欧盟-美国隐私护盾框架的规定。

本通知可能会不定期更新。在做出实际更新后,最后一次修改的日期将反映在最后一页。

定义

“Signant Health”是多个公司的商标名称,其中包括但不限于 Bracket Global LLC, CRF Inc.、Motentia, LLC, CRF Health Management Limited,以及上述公司相应的附属公司、继任者和子公司。

“数据控制者”是指单独或与他人共同决定处理个人数据的目的和方法的自然人或法人、公共部门、机构或其他团体。

“数据主体”是指已识别或可识别的在世自然人。

“GDPR”是指欧盟的通用数据保护条例

“个人数据”是指与在世的个人有关的、可用于识别其身份的任何信息。根据 GDPR 规定,该数据为“可识别个人信息”。

“处理”是指对数据的使用,包括数据的收集、存储、修改、披露或销毁。

“数据处理者”是指代表数据控制者处理数据的自然人或法人、公共部门、机构或其他团体。

“特殊类别的个人数据”是指有关个人的种族或民族、犯罪记录数据、政治观点、宗教或哲学信仰、工会成员资格、健康状况、性生活或性取向以及生物识别数据的信息。

“犯罪记录数据”是指有关个人的刑事定罪和犯罪的信息,以及有关刑事指控和诉讼的信息。

数据保护原则

Signant Health 根据以下数据保护原则处理个人数据:

  • Signant Health 以公平、合法和透明的方式处理个人数据。
  • Signant Health 仅出于特定、明确和合法的目的收集个人数据。
  • Signant Health 仅在充分、相关并且处理目的所需的范围内处理个人数据。
  • Signant Health 会保存准确的个人数据,并采取一切合理步骤确保及时修正或删除不准确的个人数据。
  • Signant Health 仅在处理流程所需的时间内保存个人数据。
  • Signant Health 会采取适当的措施,以确保个人数据的安全,并防止未经授权的或非法的处理,以及意外丢失、销毁或损坏。

Signant Health 对获取、处理和处置个人数据的方式负责,并对确保遵守上述原则负责

  • Signant Health 以公平、合法和透明的方式处理个人数据。
  • Signant Health 仅出于特定、明确和合法的目的收集个人数据。
  • Signant Health 仅在充分、相关并且处理目的所需的范围内处理个人数据。
  • Signant Health 会保存准确的个人数据,并采取一切合理步骤确保及时修正或删除不准确的个人数据。
  • Signant Health 仅在处理流程所需的时间内保存个人数据。
  • Signant Health 会采取适当的措施,以确保个人数据的安全,并防止未经授权的或非法的处理,以及意外丢失、销毁或损坏。
  • Signant Health 对获取、处理和处置个人数据的方式负责,并对确保遵守上述原则负责。

在 Signant Health 被视作数据控制者的情况下,Signant Health 会在其隐私声明中告知个人处理其个人数据的原因、使用这些数据的方式以及处理数据的法律依据。它不会因其他原因而处理个人的个人数据。Signant Health 以其合法利益作为处理数据的基础,它将进行评估,以确保这些利益并未侵害个人的权利和自由。如果有人指出他/她的信息发生了变化或不准确,Signant Health 将及时更新个人数据。

在 Signant Health 被视为数据处理者或二级处理者的情况下,Signant Health 仅会根据适用的法律、规则、法规以及数据控制者的特别指示来处理个人数据。

在雇佣和承包关系存续期间收集的个人数据以硬拷贝或电子形式保存在个人的人事档案中,记录在 Signant Health 的 HR 系统中。Signant Health 保管上述人力资源相关个人数据的期限将载于发送给个人的隐私声明中。

Signant Health 的运营和维护承包商在提供产品或服务的过程中,可能会获得访问个人数据的有限权限。承包商访问个人数据仅限于为 Signant Health 履行有限职能而合理需要的资料。Signant Health 要求其运营和维护承包商:(1) 根据本通知保护任何个人数据的隐私,以及 (2) 不得出于为 Signant Health 提供产品和服务之外的目的,及法律规定之外的目的使用或披露个人数据。

Signant Health 根据 GDPR 的规定保存个人数据处理工作的记录。

个人权利

作为数据主体,个人对其个人数据享有多项权利:

主体访问请求

个人有权知道 Signant Health 正在控制和处理哪些关于他们的个人信息,并且确保该等个人数据是准确的,与 Signant Health 收集该等数据的目的是相关的。在收到个人的合理请求之后,Signant Health 将告知他/她:

  • 他/她的个人数据是否被处理,以及被处理的原因;此类个人数据所属的类别;在数据并非从个人处收集时,此类数据的来源;
  • 他/她的数据已经或可能披露给谁,包括位于欧洲经济区 (EEA) 以外的接收者,以及适用于此类传输的保障措施;
  • 他/她的个人数据的保存期限(或确定该保存期限的依据);
  • 他/她纠正或删除数据,或限制或反对处理数据的权利;
  • 在他/她认为 Signant Health 未能遵守其数据保护权利时,他/她向相关数据隐私监管机构投诉的权利;以及
  • Signant Health 是否进行自动决策,以及此类决策所涉及的逻辑。

Signant Health 也会向个人提供一份在处理过程中收集的个人数据的副本。如果个人以电子方式提出此类要求,相关个人数据通常会以电子形式提供,个人另有要求的情况除外。

如果个人需要多份副本,Signant Health 将根据提供多份副本的综合成本,收取合理的费用。

要提出主体访问请求,个人应访问 Signant Health 的联络页面 https://signanthealth.com/contact-us/,或直接发送电子邮件至 paul.drake@signanthealth.com。在大多数情况下,Signant Health 在处理请求之前,会依法要求个人提供身份证明。同时,在某些情况下,如果 Signant Health 为数据处理者(或二级处理者),则可能需要联络数据控制者(视情况而定)。

Signant Health 通常会在收到请求之日起一个月内作出答复。在某些情况下,例如 Signant Health 处理了大量的个人数据,则可能在收到请求之日起三个月内作出答复。Signant Health 将在收到原始请求之日起一个月内书面告知个人他/她是否属于此类情况。

如果主体访问请求明显没有依据或过当,则 Signant Health 无义务遵守该请求。作为替代方案,Signant Health 可以同意回应,但将基于回应请求的综合成本收取一定的费用。主体访问请求可能被视为明显没有依据或过当的示例之一就是 Signant Health 之前已经回应过的重复请求。在个人提交没有依据或过当的请求时,Signant Health 将通知他/她是否该请求属于此类情况,以及其是否会做出回应。

其他权利

个人还享有与个人数据有关的其他多项权利。个人可以要求 Signant Health:

  • 告知他们有关其个人数据的收集和使用情况;
  • 纠正不准确的个人数据;
  • 停止处理,或擦除不再需要用于处理目的的个人数据;
  • 继续存储他们的个人数据,但不使用它;
  • 尊重个人在某些情况下反对处理其个人数据的权利,例如用于直接营销;
  • 以便携的形式向他们提供个人数据,以便于将其转移到另一个 IT 环境。我们通常会以“逗号分隔值”(csv) 文件的形式提供数据,以满足这一要求。
  • 尊重个人根据其个人数据进行自动决策的权利;
  • 如果个人的利益高于 Signant Health 处理个人数据的正当理由(在 Signant Health 以正当利益作为处理个人数据的依据时),停止处理或擦除个人数据;
  • 如果处理流程是非法的,停止处理或擦除个人数据;以及
  • 如果数据不准确,或对于个人的利益是否高于 Signant Health 处理个人数据的正当理由存在争议时,停止处理个人数据。

在要求 Signant Health 采取上述任何步骤时,个人应访问 Signant Health 的联络页面 https://signanthealth.com/contact-us/,直接发送电子邮件至 paul.drake@signanthealth.com,
或与 Signant Health 的 HR 代表或数据隐私官联络(视具体情况而定)。

位于欧盟区的个人(欧盟数据主体)可向其所属国家的数据保护主管部门投诉,对一些未能通过其他补救机制解决的未决索赔援引有约束力的仲裁(请参阅下文,了解更多详细信息:https://edps.europa.eu/node/75_enhttps://www.privacyshield.gov/article?id=ANNEX-I-introduction)

如果您的意见或疑虑无法通过我们直接解决,您也可以联络当地数据保护主管部门。

数据安全

Signant Health 重视个人数据的安全。Signant Health 制定了内部政策和控制措施,以防止个人数据丢失、意外毁坏、误用或披露,并确保除员工在适当履行职责之外,不会访问这些数据。在遵守 GDPR 的同时,Signant Health 还遵守欧盟-美国隐私护盾框架,它是由美国商务部制定的关于收集、使用和保存从欧盟传输到美国的个人数据的规定。Signant Health 已向商务部证明它遵守隐私护盾原则。如需了解隐私护盾计划的更多详情,或查看我们的证明,请访问 https://www.privacyshield.gov/。此外,Signant Health 受联邦贸易委员会 (FTC) 的调查和执法权力的约束。

Signant Health 在聘请第三方代为处理个人数据时,上述第三方应依照书面指示完成处理,并负有保密义务,同时还有义务采取适当的技术和组织措施,以确保数据的安全。

Signant Health 认识到在个人数据可能传输给第三方时的潜在责任。在确保第三方遵守隐私护盾原则或要求提供充分和同等水平保护的类似法律之前,Signant Health 不会将任何个人数据传输给第三方。除非在客户或其他数据控制者的合法指示下,或在欧盟-美国隐私护盾框架规定的某些有限或特殊的情况下,否则 Signant Health 不会将个人数据转移给无关第三方。比如,这些情况包括根据法律或法律程序要求披露客户的个人数据,或为了某个可识别个人的重要利益而披露,如涉及生命、健康或安全的利益。Signant Health 在按照要求向无关第三方传输个人数据时,将确保上述第三方受到欧盟-美国隐私护盾协议的约束,或受到要求提供充分和同等水平保护的类似法律的约束。如果上述两种情况均不适用于该无关第三方,Signant Health 将于该第三方达成书面协议,要求其依照欧盟-美国隐私护盾框架及本通知提供保护。如果 Signant Health 了解到从 Signant Health 接收个人数据的某个无关第三方使用或披露个人数据时违反了本通知,Signant Health 将采取合理的步骤防止或停止上述使用或披露。

影响评估

Signant Health 开展的一些处理流程可能会使隐私处于风险之中。在处理流程可能导致个人的权利和自由面临较高风险时,Signant Health 将开展数据保护影响评估,以判断处理流程的必要性和恰当性。这将包括考虑开展本项工作的目的、个人面临的风险以及为减轻这些风险可以采取的措施。

数据泄露

在发现个人数据发生泄露,导致个人的权利和自由面临风险后,Signant Health 将在发现后的 72 小时内向信息专员报告。Signant Health 将记录所有数据泄露,无论它们的影响如何。

如果泄露可能导致个人的权利和自由面临较高风险,它将告诉受影响的个人已经发生的泄露事件,并向他们提供有关可能的后果和已采取的缓解措施的信息。

国际数据传输

Signant Health 可能将其控制或处理的个人数据传输至欧洲经济区之外的国家。

Signant Health 将开展全面的调查,并尝试解决违反本通知使用和披露个人数据的有关投诉和纠纷,以确保遵守本通知和欧盟-美国隐私护盾框架。

Signant Health 遵守隐私护盾原则,承诺会解决与采集或使用个人数据有关的投诉。位于欧盟区的个人如对我们的隐私政策有任何疑问或投诉,请首先通过以下方式联络 Signant Health:

Paul Drake

合规主管和安全官

Signant Health

Ground Floor, Waterfront Embankment

Manbre Road

Hammersmith, London, England W6 9RU

电话:+44 203 882 9370

电子邮件: paul.drake@signanthealth.com

Signant Health 还承诺将未解决的隐私护盾投诉提交给美国仲裁协会/国际争端解决中心,一家位于美国的替代性争端解决机构。如果您没有及时收到我们对您的投诉的确认信息,或者我们解决投诉并未使您满意,请联络或访问 http://go.adr.org/privacyshield.html 了解更多信息或提交投诉。美国仲裁协会/国际争议解决中心提供的服务是免费的。

Signant Health 职员的责任

Signant Health 的职员在任职期间可能会接触到其他个人以及我们的客户和顾客的个人数据。在这种情况下,Signant Health 信赖个人能够履行对员工、客户和顾客的数据保护义务。

访问个人数据的职员需要:

  • 只访问他们有权访问的数据,并且只用于授权的目的;
  • 不会向授权人员之外的 Signant Health 内部或外部的个人披露数据;
  • 保证数据安全,例如遵守有关进入场所、计算机权限(包括密码保护)以及妥善储存和销毁文档的规定;
  • 在未采取适当的安保措施的情况下(例如用于保障数据和设备安全的加密或密码保护),不会将个人数据,包含个人数据或用于访问此类数据的设备从 Signant Health 的场所移除;
  • 不会将个人数据存储到本地驱动或用于工作目的的个人设备上;以及
  • 在意识到发生数据泄露后及时报告给数据保护官 Paul Drake, paul.drake@signanthealth.com。

不遵守这些要求可能构成违纪行为,需要按照 Signant Health 的纪律政策和程序接受处理。

作为入职程序的一部分,Signant Health 将向所有员工提供有关其数据保护责任的培训,并在此后定期举行培训。

因为工作职责需要定期访问个人数据的员工,或负责执行本通知或根据本通知回应当事人访问请求的员工,将接受额外培训,以帮助他们了解自己的职责和如何遵守这些职责。

互联网隐私

Signant Health 或其指定的第三方可能会通过其网站及访客与网站元素的互动收集个人数据,此类个人数据也受本通知的约束。此类资料可以在个人提交其姓名和/或地址时进行收集。Signant Health 或其指定的第三方还可以在无需个人主动提交信息的情况下,通过多种自动化数字方式收集访问 Signant Health 网站的访客的信息,例如 IP 地址、cookie 标识、像素以及最终用户网站活动。尽管通过上述自动化数字方式收集的信息无法直接用于识别特定个人,互联网浏览器将自动向 Signant Health 网站传输与用户计算机正在运行的软件有关的信息,例如 IP 地址和浏览器版本。在缺少更多可识别信息的情况下,通过这些技术收集的信息无法用于识别个人。

Cookies

Signant Health 使用 cookies,它们是由我们的平台提供并存储在您的设备上的小型数据文件。我们的网站将我们或第三方部署的 cookies 用于各种目的,包括操作和个性化网站,以改善用户的体验和有针对性地投放广告。Cookies 可能会在您的浏览会话结束时过期,或者可能会存储在您的计算机上,以便您下次访问网站时使用。您可以调整您的浏览器设置来阻止 cookies 的设置(请参阅您的浏览器“帮助”部分,了解具体的步骤)。禁用 cookies 将影响您在我们网站的使用体验。