Polityka prywatności

 

1. Wprowadzenie

Prywatność uczestników jest dla nas ważna!

Wraz z partnerami uczestniczącymi w konsorcjum CoroPrevention staramy się w pełni przestrzegać ogólnego rozporządzenia o ochronie danych osobowych (RODO)

Aplikacja mobilna CoroPrevention jest dostępna i przeznaczona wyłącznie dla uczestników spersonalizowanego programu profilaktyki CoroPrevention. Aplikacja mobilna pozwala uczestniczyć w programie i wspomaga proces wspólnego podejmowania decyzji, przypominając o uzgodnionych celach i przyjmowaniu leków. W tym celu konieczne jest regularne przekazywanie pielęgniarce z zespołu badawczego informacji dotyczących osobistego zachowania, leków i parametrów. Odbywa się to poprzez podawanie informacji w aplikacji oraz podczas wizyt w ramach badania.  

Jako producent aplikacji CoroPrevention Tool Suite, firma UniWeb BV stawia sobie za priorytet zapewnienie bezpieczeństwa i poufności wszystkich naszych usług, systemów i zawartych w nich danych. W tym celu opracowaliśmy wszechstronny, skuteczny system zarządzania bezpieczeństwem informacji, za który otrzymaliśmy certyfikat zgodności z normą ISO 27001:2013.

Nasze wysokie standardy bezpieczeństwa informacji pozwalają nam chronić krytyczne i wrażliwe informacje zawarte w naszych systemach informatycznych przed ujawnieniem lub wykorzystaniem bez upoważnienia. Ponadto pomagają nam one chronić dane osobowe przed błędami, wypadkami lub złośliwymi działaniami, które mogłyby spowodować nieuprawnioną publikację, ujawnienie, zmianę, utratę lub zniszczenie danych.

Szersze informacje o prywatności programu CoroPrevention są dostępne w witrynie internetowej CoroPrevention. W przypadku sprzeczności między niniejszą polityką a Informacją o ochronie prywatności CoroPrevention, Informacja o ochronie prywatności CoroPrevention zastąpi niniejszą politykę prywatności aplikacji mobilnej CoroPrevention. 

2. Kto ma dostęp?

Spersonalizowany program profilaktyczny CoroPrevention jest prowadzony przez partnerów konsorcjum CoroPrevention. 

Dostęp do rzeczywistej tożsamości uczestników badania będzie miał tylko personel ośrodka badawczego. Dane zebrane w okresie trwania badania będą przechowywane w postaci zanonimizowanej (za pomocą identyfikatora uczestnika) i zaszyfrowanej, co umożliwi dostęp do nich tylko upoważnionym osobom z konsorcjum CoroPrevention. Wszystkie zapisy oprócz identyfikatora uczestnika, które mogłyby identyfikować uczestnika badania (np. podpisany dokument świadomej zgody) muszą być utrzymywane przez badacza w ścisłej tajemnicy, z wyjątkiem zakresu niezbędnego do umożliwienia wymaganego prawem monitorowania, audytów i kontroli związanych z badaniem.

Pełna lista współadministratorów danych jest dostępna w Informacji o ochronie prywatności CoroPrevention, opublikowanej w witrynie internetowej CoroPrevention. 

Strony trzecie

UniWeb nigdy nie sprzedaje ani nie udostępnia danych osobowych stronom trzecim innym niż wymienione powyżej podmioty zaangażowane w program CoroPrevention.

W celu świadczenia niektórych usług UniWeb korzysta z usług dostawców zewnętrznych (np. scentralizowanego rozwiązania do rejestrowania danych, hostingu w centrum danych). Zgodnie ze standardowymi procedurami operacyjnymi UniWeb wszyscy dostawcy są dokładnie sprawdzani przed skorzystaniem z ich usług. W wymaganiach stawianych wszystkim dostawcom uwzględniona jest oczywiście zgodność z RODO. UniWeb regularnie analizuje współpracę ze swoimi dostawcami oraz warunki tej współpracy. Gdy dostawca przestaje spełniać wymagania określone przez system zarządzania bezpieczeństwem informacji UniWeb, współpraca zostaje przerwana.

W zakresie dozwolonym przez obowiązujące prawo dane osobowe uczestnika mogą zostać ujawnione następującym podmiotom:

● organom administracji rządowej, ● audytorom.

3.   Jakie dane przetwarzamy i dlaczego?

UniWeb tworzy aplikacje i witryny internetowe oraz prowadzi ich konserwację i hosting zgodnie ze specyfikacjami dostarczonymi przez administratora danych i partnerów konsorcjum CoroPrevention. Dane osobowe przetwarzane przez te aplikacje i witryny internetowe różnią się w zależności od różnych ról użytkowników i związanych z nimi celów określonych przez administratora danych. 

Aplikacje CoroPrevention i system EDC gromadzą informacje takie jak:

-        Identyfikator pacjenta (pseudonim)

-        Informacje o stanie zdrowia, lekach i ćwiczeniach fizycznych

-        Informacje na temat odżywiania i palenia tytoniu 

-        Statystyki użytkowania aplikacji, w tym informacje o logowaniu i połączeniu (np.

przeglądarka, adres IP).

Działania związane z przetwarzaniem danych mogą mieć cele takie jak:

-        Korzyści zdrowotne i cele badania klinicznego zgodnie z protokołem badania 

-        Uwierzytelnianie, bezpieczeństwo pacjentów i monitorowanie cyberbezpieczeństwa  -         Umożliwienie użytkownikom konfigurowania przypomnień i alarmów -     Optymalizacja działania aplikacji.

-        Wypełnianie umów z partnerami konsorcjum w zakresie umowy konsorcjum i wymogów prawnych.

Aby ocenić ryzyko i wdrożyć działania łagodzące, przeprowadzono ocenę wpływu ochrony danych na poziomie konsorcjum.  

Aby zapoznać się z wykazem lub uzyskać więcej informacji na temat celu przetwarzania danych, należy skontaktować się z pielęgniarką z lokalnego zespołu badawczego.

4.   Gdzie      przechowujemy       dane   osobowe uczestnika?

UniWeb ma pełną kontrolę nad sprzętem używanym do przechowywania danych osobowych uczestników i stanowi on jej własność. Nasze serwery produkcyjne, przejściowe i zapasowe znajdują się w Belgii, w bezpiecznym centrum danych naszego dostawcy usług hostingowych, który ma certyfikaty ISO 27001:2013 i ISO 22301:2012. Dane osobowe pozostają na tych serwerach, ale w określonych sytuacjach mogą być eksportowane przez sponsora wyłącznie w celach badawczych, związanych z bezpieczeństwem oraz z analizami użytkowania. Dane logowania będą tymczasowo przechowywane u scentralizowanego dostawcy logowania, w centrum danych na terenie UE. 

5.   Jak długo przechowujemy dane osobowe?

Domyślny okres zatrzymania danych

Standardowy okres przechowywania i procedura usuwania są uzgadniane podczas procesu projektowania wszystkich stron i aplikacji internetowych tworzonych przez UniWeb ze wspólnymi administratorami danych zgodnie z wymogami prawnymi opisanymi w Informacji o ochronie prywatności CoroPrevention. 

W przypadku klientów UniWeb wszystkie dane osobowe, które były przetwarzane przez nasze serwery produkcyjne zgodnie z umową zostaną usunięte z naszych systemów wkrótce po wygaśnięciu umowy. Dane zostaną również całkowicie usunięte z naszych kopii zapasowych w ciągu 180 dni (lub w terminie określonym w umowie).

W ramach naszych standardowych procedur operacyjnych opisanych w naszym systemie zarządzania bezpieczeństwem informacji UniWeb regularnie sprawdza potrzebę przechowywania informacji, aby nie przechowywać danych dłużej niż jest to bezwzględnie konieczne.

Wyjątki

Odstępstwa od domyślnego okresu przechowywania mogą być wymagane:

-        przez prawo;

-        na jednoznaczne żądanie administratora danych (za które administrator danych przyjął pełną odpowiedzialność).

Aby uzyskać więcej informacji na temat tych wyjątków, należy skontaktować się z pielęgniarką z lokalnego zespołu badawczego lub zapoznać się z Informacją o ochronie prywatności CoroPrevention opublikowaną w witrynie internetowej CoroPrevention.

 

6.   Jak zapewniamy bezpieczeństwo?

Jako firma zaangażowana w tworzenie bezpiecznych i wydajnych aplikacji mobilnych i internetowych, producent, firma UniWeb, nieustannie aktualizuje i ulepsza środki bezpieczeństwa wdrożone w celu ochrony danych osobowych i innych informacji przed nieautoryzowanym dostępem, zmianą, utratą lub zniszczeniem. Poniżej podano przykłady środków bezpieczeństwa stosowanych przez UniWeb: 

●      Wszystkie dane przechowywane przez UniWeb są szyfrowane zarówno podczas magazynowania, jak i w trakcie przesyłania między naszą usługą a przeglądarką lub aplikacją.

●      Wszystkie dane są w pełni zabezpieczone kopiami zapasowymi.

●      Nasze usługi są poddawane testom penetracyjnym i chronione skanami Nessus.

●      Stosujemy scentralizowane rozwiązanie rejestrowania danych w celu monitorowania wydajności aplikacji i cyberbezpieczeństwa.

●      Nasze usługi obsługują zaawansowane uwierzytelnianie, w tym korzystanie z G-Suite, uwierzytelnianie kont Office 365 i uwierzytelnianie wieloskładnikowe Duo.

Jeśli dojdzie do zdarzenia związanego z bezpieczeństwem informacji, firma UniWeb zajmie się nim szybko i odpowiednio, zgodnie ze standardowymi procedurami operacyjnymi opisanymi w jej systemie zarządzania bezpieczeństwem informacji. Podobnie jak nasze środki bezpieczeństwa, procedury te są regularnie analizowane i aktualizowane, aby sprostać ciągle zmieniającym się wyzwaniom związanym z bezpieczeństwem informacji.

Wszyscy pracownicy UniWeb są regularnie szkoleni w zakresie najlepszych praktyk bezpieczeństwa i procedur firmowych. Tego samego poziomu zaangażowania oczekujemy od naszych dostawców, których usługi są regularnie analizowane (patrz: Strony trzecie).

7.   Jakie są prawa uczestnika jako osoby, której dane dotyczą?

Prawa uczestnika jako osoby, której dane dotyczą, zostały wyjaśnione i wymienione w dokumencie świadomej zgody w ramach procesu uzyskiwania świadomej zgody. 

Przykłady tych praw:

●      Prawo do zażądania informacji na temat swoich danych osobowych.

●      Prawo do zażądania kopii wszystkich swoich danych w standardowym formacie.

Można z łatwością skorzystać ze swoich praw, zapoznając się z formularzem świadomej zgody lub kontaktując się z pielęgniarką z zespołu badawczego.

8.   W jaki sposób można wyrazić zgodę?

Przekazując swoje dane osobowe za pośrednictwem aplikacji mobilnej lub internetowej oraz zgodnie z wyjaśnieniami zawartymi w procesie świadomej zgody, osoba, której dane dotyczą, jednoznacznie wyraża zgodę na przetwarzanie danych przez współadministratorów danych w podanych celach.

W przypadku gdy administrator danych wprowadza dane osobowe do aplikacji mobilnej lub internetowej, uznaje się, że jest on odpowiedzialny za odpowiednie poinformowanie osoby, której dane dotyczą i uzyskanie jej zgody podczas procesu świadomej zgody. Niezastosowanie się do tego wymogu będzie stanowiło niezgodność wymagającą od UniWeb podjęcia odpowiednich działań określonych w standardowych procedurach operacyjnych systemu zarządzania bezpieczeństwem informacji. Wszelkie wydatki poniesione przez UniWeb w celu wykonania tych działań naprawczych obciążą administratora danych.

Jeśli UniWeb lub partner konsorcjum CoroPrevention zechce przekazać określone dane osobowe stronom trzecim, uczestnik zostanie poproszony o dodatkową zgodę. Powyższe dotyczy również przetwarzania danych osobowych uczestnika poza UE.

9. Do kogo można się zwrócić?

W razie jakichkolwiek pytań dotyczących niniejszej polityki prywatności lub w celu skorzystania z dowolnego z wyżej wymienionych praw osoby, której dane dotyczą należy skontaktować się z pielęgniarką z lokalnego zespołu badawczego.