Polityka prywatności aplikacji ABAStroke

1. Cel dokumentu

Aplikację ABAStroke obsługujemy my, ABAStroke sp. z o.o.

Abastroke to aplikacja mobilna do domowej rehabilitacji neurologicznej w przypadku deficytów poznawczych po udarze. Łącząc metodologię Stosowanej Analizy Behawioralnej (ABA) i algorytmy uczenia maszynowego (AI), ABAStroke oferuje pacjentom praktycznie nieograniczone możliwości ćwiczeń w ramach samodzielnego, spersonalizowanego i skutecznego leczenia.

Poniższa polityka prywatności wyjaśnia, w jaki sposób przetwarzamy Twoje dane, tzw. dane osobowe, podczas korzystania z aplikacji ABAStroke (dalej: „Aplikacja”). Informujemy Cię również o tym, jak chronimy Twoje dane, kiedy są one usuwane oraz jakie prawa przysługują Ci na mocy przepisów o ochronie danych.

Administrator nie jest podmiotem leczniczym w rozumieniu obowiązujących przepisów prawa i nie prowadzi działalności leczniczej.

Usługi świadczone w ramach aplikacji nie stanowią świadczeń zdrowotnych, w szczególności nie obejmują udzielania porad medycznych, stawiania diagnoz, prowadzenia leczenia ani podejmowania decyzji terapeutycznych.

Wszelkie informacje udostępniane w serwisie mają charakter wyłącznie informacyjny i nie mogą być traktowane jako substytut profesjonalnej konsultacji medycznej. W przypadku potrzeby uzyskania porady medycznej lub diagnozy należy skontaktować się z odpowiednim specjalistą lub podmiotem leczniczym.

2. Administrator danych osobowych

• *Imię i nazwisko oraz dane kontaktowe administratora danych**

Administratorem danych dla tej aplikacji jest:

ABAStroke sp. z o.o. ul. Warszawska 3/3 31-155 Kraków

• *Inspektor Ochrony Danych**

W przypadku pytań dotyczących naszych środków ochrony danych, przetwarzania danych lub ochrony praw osób, których dane dotyczą, możesz skontaktować się z naszym inspektorem ochrony danych w następujący sposób: michal@abastroke.com

3. Zakres przetwarzanych danych osobowych

Administrator przetwarza dane osobowe w zakresie niezbędnym do realizacji celów przetwarzania, zgodnie z zasadą minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO oraz z uwzględnieniem wymogów bezpieczeństwa informacji wynikających z normy ISO/IEC 27001.

W związku z zastosowaniem mechanizmu uwierzytelniania opartego na jednorazowych kodach aktywacyjnych, Administrator nie przetwarza standardowych danych identyfikacyjnych użytkownika. Aktywacja aplikacji odbywa się wyłącznie poprzez wprowadzenie tego kodu, a następnie jego automatyczną weryfikację w systemie.

Proces weryfikacji ma charakter zautomatyzowany i ogranicza się do sprawdzenia poprawności oraz ważności kodu, bez konieczności pozyskiwania lub przetwarzania dodatkowych danych identyfikacyjnych użytkownika.

W konsekwencji aplikacja nie przetwarza innych danych umożliwiających bezpośrednią identyfikację pacjenta, takich jak imię, nazwisko, numer PESEL czy adres zamieszkania, a zakres przetwarzania danych pozostaje ograniczony do minimum niezbędnego do świadczenia usługi. Zakres przetwarzanych danych obejmuje w szczególności:

• dane niezbędne do aktywacji dostępu ( kod),
• dane techniczne i eksploatacyjne (np. adres IP, identyfikatory sesji, znaczniki czasu),
• dane wynikające z korzystania z usługi.

Administrator przetwarza szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, na podstawie art. 9 ust. 2 lit. a RODO oraz przy zastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających ich ochronę, zgodnie z art. 32 RODO.

Przetwarzanie danych odbywa się z uwzględnieniem zasad poufności, integralności i dostępności danych oraz z zastosowaniem środków bezpieczeństwa adekwatnych do zidentyfikowanego ryzyka, w tym mechanizmów kontroli dostępu, rejestrowania operacji oraz zarządzania incydentami bezpieczeństwa.

Użytkownicy mogą opcjonalnie wyrazić zgodę na anonimizację danych w celu dalszego rozwoju, aby zapewnić funkcjonalność techniczną i łatwość obsługi. Zgodę tę można w każdej chwili odwołać bez podania przyczyny. Współpracujemy z uznanymi instytucjami medycznymi i naukowo-badawczymi w zakresie dalszego rozwoju naszych produktów. Dane niezbędne do celów naukowych są przekazywane wyłącznie w formie zanonimizowanej, aby badacze nie mogli wyciągać żadnych wniosków na temat konkretnego użytkownika. Naszym wspólnym celem jest dalszy rozwój, aby nasi użytkownicy otrzymywali jak najlepsze wsparcie i wskazówki w trakcie terapii.

4. Integracja z systemem zewnętrznym oraz weryfikacja kodu aktywacyjnego

Administrator informuje, że aplikacja korzysta z integracji z zewnętrznym systemem twojej kasy chorych.

Logowanie do aplikacji odbywa się wyłącznie poprzez wprowadzenie kodu aktywacyjnego, który następnie podlega automatycznej weryfikacji w systemie. W tym celu użytkownicy muszą wystąpić o indywidualny kod do swojego ubezpieczyciela zdrowotnego. Proces weryfikacji ma charakter zautomatyzowany i polega na sprawdzeniu ważności oraz poprawności wprowadzonego kodu w systemie zewnętrznym.

W ramach tego procesu aplikacja przekazuje do systemu wyłącznie dane niezbędne do realizacji weryfikacji, tj. w szczególności kod aktywacyjnego oraz informacje techniczne związane z żądaniem (takie jak znacznik czasu lub dane niezbędne do zabezpieczenia komunikacji). System nie przekazuje do aplikacji danych identyfikujących użytkownika w postaci imienia, nazwiska ani innych danych umożliwiających bezpośrednią identyfikację pacjenta.

Weryfikacja kodu w systemie stanowi warunek uzyskania dostępu do funkcjonalności aplikacji. W przypadku braku możliwości pozytywnej weryfikacji kodu, użytkownik nie uzyska dostępu do systemu.

Przekazywanie danych do systemu odbywa się wyłącznie w zakresie niezbędnym do realizacji procesu uwierzytelniania i na podstawie prawnie uzasadnionego interesu Administratora polegającego na zapewnieniu bezpieczeństwa dostępu do aplikacji oraz jej prawidłowego funkcjonowania (art. 6 ust. 1 lit. f RODO). W zakresie, w jakim dane mogą być przetwarzane przez system jako odrębnego administratora lub podmiot przetwarzający, odpowiedzialność za ich dalsze przetwarzanie regulowana jest odrębnymi ustaleniami pomiędzy stronami.

Administrator zapewnia, że integracja z systemem kasy chorych została zaprojektowana w sposób minimalizujący zakres przekazywanych danych oraz ograniczający ryzyko ich nieuprawnionego ujawnienia, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO (GDPR).

5. Cele i podstawy prawne przetwarzania danych

Administrator przetwarza dane osobowe użytkowników zgodnie z przepisami RODO (GDPR), wyłącznie w zakresie niezbędnym do realizacji określonych celów oraz w oparciu o odpowiednie podstawy prawne wskazane w art. 6 ust. 1 oraz – w przypadku szczególnych kategorii danych – art. 9 ust. 2 tego rozporządzenia.

Dane osobowe przetwarzane są w celu umożliwienia korzystania z aplikacji oraz jej funkcjonalności, w tym w szczególności uwierzytelniania użytkownika, obsługi sesji oraz zapewnienia dostępu do zasobów systemu. Podstawą prawną tego przetwarzania jest art. 6 ust. 1 lit. b RODO, tj. niezbędność do wykonania umowy o korzystanie z aplikacji lub podjęcia działań przed jej zawarciem.

Dane mogą być również przetwarzane w celu zapewnienia prawidłowego działania oraz bezpieczeństwa aplikacji, w tym monitorowania aktywności, wykrywania nadużyć, prowadzenia logów systemowych oraz zarządzania incydentami bezpieczeństwa. Podstawą prawną przetwarzania w tym zakresie jest art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes Administratora polegający na zapewnieniu bezpieczeństwa i integralności systemu oraz ochronie przed nadużyciami.

W zakresie obsługi zgłoszeń użytkowników oraz kontaktu z użytkownikiem, dane przetwarzane są w celu udzielenia odpowiedzi na zapytania lub rozwiązania problemów technicznych. Podstawą prawną przetwarzania jest art. 6 ust. 1 lit. b RODO lub art. 6 ust. 1 lit. f RODO, w zależności od charakteru zgłoszenia.

Administrator przetwarza dane również w celu realizacji obowiązków prawnych wynikających z przepisów prawa, w szczególności w zakresie ochrony danych osobowych oraz bezpieczeństwa informacji. W takim przypadku podstawą przetwarzania jest art. 6 ust. 1 lit. c RODO.

W przypadku danych dotyczących zdrowia, stanowiących szczególne kategorie danych osobowych w rozumieniu art. 9 ust. 1 RODO (GDPR), Administrator wskazuje, że aplikacja nie świadczy usług medycznych. Przetwarzanie takich danych odbywa się wyłącznie na podstawie wyraźnej zgody użytkownika, zgodnie z art. 9 ust. 2 lit. a RODO oraz art. 6 ust. 1 lit. a RODO. Podanie danych medycznych jest dobrowolne i następuje wyłącznie w zakresie wynikającym z funkcjonalności aplikacji.

Użytkownik ma prawo do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

6. Jakie masz prawa?

Możesz skontaktować się z nami w dowolnym momencie, jeśli masz pytania dotyczące swoich praw w zakresie ochrony danych lub chcesz skorzystać z następujących praw:

• Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) ( możesz skontaktować się z nami, jeśli chcesz odwołać wcześniej udzieloną zgodę) Możesz cofnąć swoją/swoje zgody na przetwarzanie danych w aplikacji. Cofnięcie zgody może nastąpić w szczególności poprzez:
• skorzystanie z odpowiedniej funkcjonalności dostępnej w aplikacji, umożliwiającej zarządzanie zgodami,
• kontakt z Administratorem za pośrednictwem wskazanych danych kontaktowych.

W przypadku cofnięcia zgody na przetwarzanie danych dotyczących zdrowia, dalsze korzystanie z funkcjonalności aplikacji wymagających przetwarzania tych danych może być ograniczone lub niemożliwe.

Administrator realizuje żądanie cofnięcia zgody niezwłocznie, nie później niż w terminie wynikającym z przepisów prawa, oraz zapewnia, aby proces cofnięcia zgody był równie łatwy jak jej wyrażenie.

Cofnięcie zgody skutkuje zaprzestaniem przetwarzania danych w zakresie, w jakim przetwarzanie odbywało się na jej podstawie, chyba że dalsze przetwarzanie jest dopuszczalne na innej podstawie prawnej.

Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych dokonanego przed jej cofnięciem. Wycofanie zgody nie wpływa na przetwarzanie danych osobowych, które odbywa się na podstawie innych przesłanek prawnych przewidzianych w art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), w szczególności gdy przetwarzanie jest niezbędne do wykonania umowy, wypełnienia obowiązku prawnego ciążącego na administratorze lub realizacji jego prawnie uzasadnionych interesów.

Jeśli nie życzysz sobie już przetwarzania danych niezbędnego do prawidłowego korzystania z aplikacji, możesz również sprzeciwić się temu w aplikacji, a tym samym trwale usunąć swoje konto użytkownika i wszystkie powiązane z nim dane.

• Prawo dostępu (art. 15 RODO) (np. możesz się z nami skontaktować, jeśli chcesz wiedzieć, jakie dane o Tobie przechowujemy)
• Prawo do sprostowania (art. 16 RODO) (np. możesz się z nami skontaktować, jeśli Twoje dane uległy zmianie i powinniśmy je sprostować)
• Prawo do usunięcia danych (art. 17 RODO) (np. możesz się z nami skontaktować, jeśli chcesz, abyśmy usunęli określone dane, które o Tobie przechowujemy)
• Prawo do ograniczenia przetwarzania (art. 18 RODO)

Użytkownik ma prawo żądania ograniczenia przetwarzania jego danych osobowych w przypadkach przewidzianych przepisami prawa, w szczególności gdy:

• użytkownik kwestionuje prawidłowość danych – na okres pozwalający Administratorowi na ich sprawdzenie,
• przetwarzanie jest niezgodne z prawem, a użytkownik sprzeciwia się usunięciu danych, żądając zamiast tego ograniczenia ich wykorzystania,
• Administrator nie potrzebuje już danych do celów przetwarzania, ale są one potrzebne użytkownikowi do ustalenia, dochodzenia lub obrony roszczeń,
• użytkownik wniósł sprzeciw wobec przetwarzania – do czasu ustalenia, czy prawnie uzasadnione podstawy Administratora są nadrzędne wobec podstaw sprzeciwu użytkownika.

W okresie ograniczenia przetwarzania dane mogą być jedynie przechowywane lub przetwarzane w zakresie niezbędnym do ustalenia, dochodzenia lub obrony roszczeń albo w innych przypadkach przewidzianych przepisami prawa. Każde ograniczenie przetwarzania jest odpowiednio oznaczane w systemach Administratora.

• Prawo do przenoszenia danych (art. 20 RODO) (np. możesz się z nami skontaktować, aby otrzymać przechowywane u nas dane w formacie skompresowanym, na przykład dlatego, że chcesz je przekazać innej aplikacji)
• Prawo do sprzeciwu (art. 21 RODO) gdy podstawą przetwarzania jest prawnie uzasadniony interes Administratora
• Prawo do wniesienia skargi do właściwego organu nadzorczego (art. 77 ust. 1 RODO) (jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy prawa, w szczególności przepisy RODO, w celu złożenia skargi skontaktuj się z Prezesem Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/

7. Usuwanie i okres przechowywania danych

O ile nie określono inaczej, usuwamy Twoje dane, gdy tylko nie będą już potrzebne:

Dane osobowe użytkowników są przetwarzane przez okres nie dłuższy niż 90 dni od dnia ich pozyskania, zgodnie z zasadą ograniczenia przechowywania określoną w art. 5 ust. 1 lit. e RODO, chyba że dalsze ich przechowywanie jest wymagane na podstawie przepisów prawa, w szczególności w związku z realizacją obowiązków wynikających z art. 6 ust. 1 lit. c RODO.

Po upływie tego okresu dane są definitywnie i nieodwracalnie usuwane lub poddawane anonimizacji, w sposób uniemożliwiający ich dalsze przypisanie do konkretnej osoby. W związku z powyższym, po upływie wskazanego okresu Administrator nie posiada już danych osobowych użytkownika i nie ma możliwości ich odtworzenia.

Administrator informuje, że nie jest podmiotem leczniczym ani administratorem dokumentacji medycznej. Twoje dane osobowe (wraz z raportem z terapii ) są przekazywane do ePA, jeśli wyrazisz taką zgodę. Dane z terapii mogą być przekazywane do ePA wyłącznie, jeśli użytkownik skorzysta z takiej funkcji lub wyrazi wymaganą zgodę. Zakres i częstotliwość przekazywania danych zależą od dostępnej funkcji ePA oraz ustawień użytkownika.

Z chwilą skutecznego przekazania danych, ePA staje się odrębnym administratorem danych osobowych w zakresie realizowanych przez siebie celów przetwarzania. W takim przypadku wszelkie żądania dotyczące danych osobowych, w tym realizacja praw, o których mowa w art. 15–22 RODO, należy kierować bezpośrednio do tego podmiotu.

Dane Twojego konta użytkownika są automatycznie usuwane po zakończeniu terapii. Alternatywnie, usuniemy Twoje dane natychmiast po Twoim żądaniu z poziomu aplikacji Abastroke lub w inny sposób.

Oczywiście możesz w dowolnym momencie zażądać informacji o przechowywanych danych. Zapytania dotyczące ochrony danych i inne kwestie prawne mogą być również przechowywane przez dłuższy okres w ramach obowiązujących prawnie okresów przechowywania i przedawnienia.

8. Usuwanie konta i danych użytkownika

Zgodnie z interpretacją DiGAV (§ 4 ust. 2) przez organ BfArM, konto wraz ze wszystkimi danymi osobowymi jest automatycznie usuwane po upływie terminu ważności (90 dni) dla użytkowników DiGA w Niemczech.

Użytkownik ma prawo do usunięcia swojego konta w dowolnym momencie, bez konieczności podawania przyczyny.

W przypadku zgłoszenia żądania usunięcia konta, Administrator niezwłocznie podejmuje działania zmierzające do jego usunięcia, wraz z przypisanymi do niego danymi osobowymi, zgodnie z art. 17 RODO (prawo do usunięcia danych, tzw. „prawo do bycia zapomnianym”).

Usunięcie konta skutkuje trwałym i nieodwracalnym usunięciem danych osobowych użytkownika, z zastrzeżeniem przypadków, w których dalsze przetwarzanie danych jest wymagane na podstawie przepisów prawa, w szczególności w celu wywiązania się z obowiązków prawnych lub dochodzenia, ustalenia bądź obrony roszczeń (art. 6 ust. 1 lit. c oraz f RODO).

Niezależnie od powyższego, w przypadku gdy dane zostały przekazane właściwym organom publicznym lub innym uprawnionym podmiotom, podmioty te stają się odrębnymi administratorami danych. W takim przypadku realizacja praw związanych z dalszym przetwarzaniem danych powinna być kierowana bezpośrednio do tych podmiotów.

9. Dane techniczne

Gromadzone przez nas dane techniczne informują nas o systemie operacyjnym i wersji aplikacji, z których korzystasz, aby uzyskać dostęp do Abastroke. Poniższe informacje są gromadzone automatycznie, jeśli aktywnie korzystasz z aplikacji Absastroke. Tam, gdzie jest to prawnie dozwolone i technicznie wykonalne, zbieramy te dane dopiero po wyrażeniu przez Ciebie aktywnej zgody w aplikacji.

• Platforma (np. iOS lub Android) i wersja systemu operacyjnego na urządzeniu
• Dane urządzenia (np. język, strefa czasowa, model)
• Adres IP
• Czas użytkowania

Ze względów bezpieczeństwa dane te są przesyłane za pośrednictwem szyfrowanego połączenia. Twoje dane są zazwyczaj przechowywane tak długo, jak długo posiadasz aktywną licencję na korzystanie z aplikacji, czyli 90 dni. Alternatywnie, dane są przechowywane do momentu, aż zdecydujesz się usunąć poszczególne dane lub całe konto użytkownika. Dane są gromadzone w celu zapewnienia Ci możliwości korzystania z aplikacji zgodnie z przeznaczeniem.

10. Konfiguracja aplikacji

Korzystanie z aplikacji wymaga konfiguracji poprzez podanie danych. Do konfiguracji wymagany jest kod aktywacyjny.

Pierwsza aktywacja dostępu do aplikacji odbywa się poprzez wprowadzenie kodu aktywacyjnego, który jest weryfikowany w systemie. Po pozytywnej weryfikacji kodu aplikacja może utworzyć konto techniczne użytkownika oraz powiązać aktywną instalację aplikacji z urządzeniem użytkownika.

Przy późniejszym korzystaniu z aplikacji dostęp do aktywnej instalacji może być zabezpieczony mechanizmami właściwymi dla urządzenia, takimi jak device binding, blokada systemowa, PIN urządzenia lub uwierzytelnienie biometryczne, jeżeli użytkownik je włączył i urządzenie je obsługuje. Aplikacja oferuje możliwość uwierzytelnienia (po uzyskaniu świadomej zgody) za pomocą metod uwierzytelniania biometrycznego (np. odcisk palca, Face ID) obsługiwanych przez Twój smartfon. Odpowiedzialność za Twoje dane biometryczne spoczywa na odpowiednim dostawcy usług uwierzytelniania. Otrzymujemy wyłącznie wynik uwierzytelniania.

Ze względów bezpieczeństwa, zebrane dane są przesyłane za pośrednictwem szyfrowanego połączenia. Twoje dane są zazwyczaj przechowywane tak długo, jak długo posiadasz aktywną licencję na korzystanie z aplikacji Abastroke Alternatywnie, dane są przechowywane do momentu, aż zdecydujesz się usunąć pojedyncze dane lub całe konto użytkownika. Celem żądania danych jest utworzenie konta użytkownika, które jest niezbędne do bezpiecznego i prawidłowego korzystania z aplikacji.

11. Powiadomienia push

Obecnie nie wprowadziliśmy powiadomień push.

12. Funkcjonalność/Przyjazność dla użytkownika

Wyrażając zgodę na korzystanie z funkcji technicznych, wyrażasz zgodę na przetwarzanie przez nas informacji podanych w aplikacji w celu zapewnienia jej ciągłej funkcjonalności technicznej, przyjazności dla użytkownika i dalszego rozwoju.

13. Oprogramowanie podmiotów trzecich

W celu zapewnienia prawidłowego, bezpiecznego i stabilnego działania aplikacji Administrator wykorzystuje również komponenty programistyczne pochodzące od podmiotów trzecich, w tym komponenty open source oraz inne elementy określane jako SOUP (Software of Unknown Provenance), tj. oprogramowanie, które nie zostało wytworzone bezpośrednio przez Administratora, lecz jest wykorzystywane jako część systemu.

Komponenty te są dobierane z należytą starannością oraz podlegają regularnemu monitorowaniu, walidacji i aktualizacji zgodnie z obowiązującą u Administratora polityką zarządzania bezpieczeństwem oprogramowania oraz zarządzania ryzykiem. Celem tych działań jest ograniczenie ryzyka wystąpienia błędów, podatności bezpieczeństwa oraz zakłóceń w funkcjonowaniu aplikacji.

W przypadku ujawnienia istotnych podatności, incydentów bezpieczeństwa lub zmian w komponentach SOUP, które mogą wpływać na bezpieczeństwo danych lub sposób korzystania z aplikacji, Administrator może podejmować odpowiednie działania techniczne i organizacyjne, w szczególności:

• instalować poprawki bezpieczeństwa i aktualizacje,
• wdrażać środki ograniczające ryzyko,
• czasowo ograniczać dostępność wybranych funkcjonalności,
• modyfikować sposób działania aplikacji w zakresie niezbędnym do zapewnienia
• bezpieczeństwa i ciągłości usług.

Jeżeli charakter zdarzenia na to pozwala oraz jest to uzasadnione, użytkownicy mogą zostać poinformowani o istotnych zmianach za pośrednictwem komunikatów wyświetlanych w aplikacji.

W zakresie wymaganym przez przepisy prawa lub wynikającym z charakteru stosowanych technologii Administrator może udostępniać dodatkowe informacje dotyczące wykorzystywanych komponentów, w tym informacji o licencjach open source oraz stosowanych rozwiązaniach technicznych. Informacje te mogą być zawarte w dokumentacji technicznej, dokumentacji użytkownika lub udostępniane na uzasadnione żądanie uprawnionych podmiotów.

Korzystanie z aplikacji oznacza akceptację faktu, że jej funkcjonowanie może w ograniczonym zakresie zależeć od komponentów zewnętrznych, nad którymi Administrator nie sprawuje pełnej kontroli, przy jednoczesnym zapewnieniu, że stosowane są odpowiednie środki organizacyjne i techniczne służące ochronie danych oraz minimalizacji ryzyka dla użytkowników.

14. Odbiorcy danych osobowych

Zgodnie z powyższym opisem i celami udostępniamy Twoje dane następującym odbiorcom, którzy są niezbędni do świadczenia naszych usług i komunikacji z Tobą:

• dostawcy usług technicznych i infrastrukturalnych -podmioty świadczące na rzecz Administratora usługi hostingowe, utrzymaniowe, informatyczne, bezpieczeństwa systemów, wsparcia technicznego, monitorowania błędów, tworzenia kopii zapasowych oraz inne usługi niezbędne do prawidłowego i bezpiecznego działania Aplikacji;
• Podmioty uczestniczące w obsłudze niemieckiej ścieżki DiGA - w zakresie niezbędnym do aktywacji refundowanego dostępu, potwierdzenia uprawnienia do korzystania z Aplikacji lub rozliczenia świadczenia; może to obejmować w szczególności właściwą kasę chorych, jej usługodawców lub inne podmioty technicznie obsługujące ten proces;
• Podmioty uczestniczące w obsłudze GesundheitsID, ePA lub innych elementów niemieckiej infrastruktury zdrowia cyfrowego - jeżeli użytkownik korzysta z takich funkcji - wyłącznie w zakresie niezbędnym do realizacji wybranej funkcji;
• Podmioty wspierające obsługę zgłoszeń i komunikację z użytkownikiem - jeżeli użytkownik kontaktuje się z Administratorem, dane mogą być przetwarzane w zakresie niezbędnym do udzielenia odpowiedzi lub rozwiązania zgłoszonego problemu;

Ponadto Administrator może powierzać przetwarzanie danych osobowych podmiotom trzecim świadczącym na jego rzecz usługi niezbędne do zapewnienia prawidłowego funkcjonowania aplikacji oraz realizacji celów wskazanych w niniejszej Polityce.

Powierzenie przetwarzania danych odbywa się wyłącznie na podstawie pisemnej lub elektronicznej umowy zawartej zgodnie z art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), która zobowiązuje podmiot przetwarzający do stosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę danych osobowych oraz do przetwarzania danych wyłącznie na udokumentowane polecenie Administratora.

Administrator korzysta wyłącznie z podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków bezpieczeństwa, zgodnych z wymaganiami RODO, norm branżowych oraz zasadami zarządzania bezpieczeństwem informacji. Podmioty te mogą przetwarzać dane osobowe wyłącznie w zakresie i przez okres niezbędny do realizacji powierzonych usług.

Obecnie nie stosujemy żadnych operacji, w ramach których dochodziłoby do zautomatyzowanego podejmowania decyzji wywołujących po stronie ich adresatów skutki prawne lub w podobny sposób istotnie na nich wpływających.

15. Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG)

Dane osobowe nie są przekazywane poza Europejski Obszar Gospodarczy.

16. Przetwarzanie w procesach obejmujących zautomatyzowane podejmowanie decyzji, w tym profilowania

Obecnie nie stosujemy żadnych operacji, w ramach których dochodziłoby do zautomatyzowanego podejmowania decyzji wywołujących po stronie ich adresatów skutki prawne lub w podobny sposób istotnie na nich wpływających.

17. Jak chronimy Twoje dane?

Aby zagwarantować ochronę i bezpieczeństwo danych, podejmujemy kompleksowe środki bezpieczeństwa, aby zapewnić poufność, integralność i dostępność Twoich danych osobowych. Uwzględniamy przy tym aktualny stan wiedzy technicznej i obowiązujące przepisy o ochronie danych. Twoje dane są przechowywane wyłącznie w zaszyfrowanym obszarze pamięci w aplikacji. Integralność tego obszaru pamięci jest gwarantowana przez system operacyjny Twojego smartfona. Dane są synchronizowane z naszym systemem zarządzania bazą danych. Wszystkie dane są dodatkowo szyfrowane w bazie danych za pomocą klucza przydzielonego użytkownikowi. Regularne kopie zapasowe chronią przed przypadkową utratą danych.

W ramach systemu zarządzania bezpieczeństwem informacji Administrator wdrożył i utrzymuje procedury oraz zabezpieczenia zgodne z wymaganiami normy 27001 (System Zarządzania Bezpieczeństwem Informacji). Administrator posiada certyfikat zgodności z normą ISO/IEC 27001, potwierdzający stosowanie uznanych na świecie standardów w zakresie ochrony informacji, zarządzania ryzykiem oraz ciągłego doskonalenia stosowanych zabezpieczeń.

Stosowane środki bezpieczeństwa obejmują w szczególności kontrolę dostępu do danych, szyfrowanie, monitorowanie systemów, regularne testowanie i ocenę skuteczności zabezpieczeń, zarządzanie incydentami bezpieczeństwa oraz szkolenia osób upoważnionych do przetwarzania danych osobowych.

Administrator na bieżąco analizuje zagrożenia i podejmuje działania mające na celu minimalizację ryzyka naruszenia ochrony danych osobowych.

18. Co możesz zrobić, aby zapewnić bezpieczeństwo swoich danych?

Aby zapewnić najwyższy możliwy poziom bezpieczeństwa swoich danych, musisz podjąć odpowiednie środki w celu ochrony aplikacji i przesyłanych za jej pośrednictwem danych.

Należą do nich:

• Bezpieczne środowisko i połączenia: Upewnij się, że korzystasz z aplikacji za pośrednictwem bezpiecznego połączenia internetowego, aby zmniejszyć ryzyko utraty danych. Unikaj korzystania z publicznych sieci Wi-Fi podczas wprowadzania lub pobierania poufnych informacji. Połączenia przez sieci publiczne mogą wiązać się z zagrożeniami bezpieczeństwa, których twórca aplikacji nie jest w stanie w pełni wyeliminować.
• Utrzymuj aplikację i system operacyjny na bieżąco, aby korzystać z najnowszych aktualizacji zabezpieczeń.
• Aktywuj blokadę ekranu: Użyj kodu PIN, hasła lub blokady biometrycznej, aby domyślnie odblokować urządzenie.
• Uważaj na podejrzane wiadomości: Nie otwieraj żadnych linków ani załączników w wiadomościach e-mail lub wiadomościach, które proszą o podanie danych logowania lub wydają się podejrzane.

19. Zmiany w Polityce Prywatności

Administrator zastrzega sobie prawo do zmiany lub aktualizacji niniejszej Polityki Prywatności w dowolnym czasie, w szczególności w przypadku zmiany przepisów prawa, rozwoju technologicznego, wdrożenia nowych funkcjonalności aplikacji lub zmian w sposobie przetwarzania danych osobowych.

W przypadku wprowadzenia istotnych zmian w treści Polityki Prywatności, w tym zmian w jej tłumaczeniach udostępnianych użytkownikom, użytkownik zostanie poinformowany o nowej wersji dokumentu przy pierwszym uruchomieniu aplikacji po jej opublikowaniu. Do czasu zapoznania się z aktualną treścią Polityki Prywatności oraz wyrażenia ponownej zgody poprzez zaznaczenie odpowiedniego pola wyboru, dostęp do funkcjonalności aplikacji może zostać ograniczony lub całkowicie zablokowany.

Pole wyboru służące do akceptacji zaktualizowanej Polityki Prywatności jest domyślnie odznaczone, a przycisk umożliwiający kontynuowanie korzystania z aplikacji pozostaje nieaktywny do momentu wyrażenia zgody przez użytkownika.

Użytkownik ma możliwość zapoznania się z pełną treścią aktualnej Polityki Prywatności poprzez funkcję „View Privacy Policy/Read more”, która otwiera dedykowane okno lub panel zawierający obowiązującą wersję dokumentu.

Dalsze korzystanie z aplikacji po zaakceptowaniu nowej wersji Polityki Prywatności oznacza potwierdzenie zapoznania się z jej treścią oraz akceptację wprowadzonych zmian. Administrator zaleca regularne zapoznawanie się z aktualną treścią Polityki Prywatności w celu uzyskania bieżących informacji dotyczących zasad przetwarzania i ochrony danych osobowych.

20. Jak można się z nami skontaktować?

W razie jakichkolwiek pytań dotyczących sposobu wykorzystania przez nas Państwa danych osobowych, można się z nami skontaktować pocztą elektroniczną lub listownie pod następującymi adresami:

ABAStroke sp. z o.o. ul. Warszawska 3/3 31-155 Kraków - z dopiskiem: „ochrona danych osobowych”

e-mail: contact@abastroke.com, michal@abastroke.com