POLITYKA PRYWATNOŚCI – APLIKACJA BADAWCZA UMP
(INTEGRACJA Z HUAWEI HEALTH SERVICE KIT)
1. Cel dokumentu
Niniejsza Polityka prywatności opisuje, w jaki sposób UMP przetwarza dane uczestników projektu badawczego („Uczestnicy”) w związku z integracją z Huawei Health Service Kit. Dokument wprost określa role stron (UMP, Gammasoft, Huawei), zakres i cele przetwarzania, miejsce przetwarzania danych oraz prawa Uczestników.
2. Administrator i dane kontaktowe Administratorem danych osobowych jest:
Uniwersytet Medyczny im. Karola Marcinkowskiego w Poznaniu,
ul. Fredry 10, 61-701 Poznań, REGON: 000288811, NIP: PL 7770003104, www.ump.edu.pl.
Kontakt ogólny: info@ump.edu.pl, tel. 61 8546000
Inspektor Ochrony Danych (IOD): iod@ump.edu.pl
3. Role i odpowiedzialność podmiotów
• UMP – administrator danych: ustala cele i sposoby przetwarzania w ramach projektu badawczego; odpowiada za zgodność z RODO.
• Gammasoft Sp. z o.o. – podmiot przetwarzający (procesor): działa wyłącznie na zlecenie i w imieniu UMP, zapewniając zaplecze techniczne integracji (backend, panel badacza). Nie wykorzystuje danych do własnych celów.
• Huawei – odrębny administrator: gromadzi i przetwarza dane Uczestnika w aplikacji Huawei Health oraz Huawei Cloud zgodnie z własną polityką prywatności i regulaminami. UMP uzyskuje wtórny, ograniczony dostęp do danych poprzez interfejs API, wyłącznie po wyrażeniu zgody przez Uczestnika i w zakresie niezbędnym do celów projektu.
4. Zakres przetwarzanych danych i zasada minimalizacji
Przetwarzamy tylko dane niezbędne do realizacji projektu VIP 2030 zgodnie z protokołem badania i dokumentacją projektową. Zakres obejmuje:
a) Aktywność i dystans: kroki, dystans, intensywność/METs.
b) Sen: sesje snu, fazy snu, wynik/ocena snu.
c) Tętno: pomiary chwilowe oraz uśrednienia (w tym nocne średnie).
d) Saturacja krwi (SpO₂): ze szczególnym uwzględnieniem wartości nocnych.
e) Skład ciała i waga: masa ciała, procent tkanki tłuszczowej, procent masy mięśniowej, impedancja (Ω). Wskaźnik BMI wyliczamy po naszej stronie na podstawie masy ciała i wzrostu.
f) Informacje o urządzeniu: model/typ urządzenia wykorzystywany wyłącznie do zapewnienia kompatybilności i diagnostyki problemów technicznych (bez wykorzystania do identyfikacji osoby).
Podczas przetwarzania danych stosujemy zasadę minimalizacji: jeśli dana kategoria nie jest wymagana przez protokół badania lub zgodę Uczestnika – nie jest pobierana/przetwarzana. Zakres może być zawężany do realnie potrzebnych typów danych.
5. Źródła danych i sposób pozyskania
− Dane są synchronizowane z aplikacji Huawei Health Uczestnika do chmury Huawei, a następnie pobierane przez system UMP poprzez Huawei Health Service Kit (REST, tylko odczyt).
− Uczestnik wyraża dobrowolną zgodę i łączy swoje konto Huawei z systemem UMP poprzez OAuth 2.0 (autoryzacja może zostać w każdej chwili odwołana).
− Wykorzystujemy model łączony: pobrania inkrementalne po zdarzeniach (notyfikacjach) oraz replikę dobową („catch-up”) dla zapewnienia kompletności.
6. Cele i charakter przetwarzania (badawcze, niekomercyjne, niediagnostyczne)
− Prezentacja Uczestnikowi podstawowych wskaźników i trendów (informacyjnie): aktywność, sen, tętno, nocne SpO₂, skład ciała.
− Analizy badawcze: statystyki zagregowane i zanonimizowane, analiza trendów i sezonowości, porównania kohortowe, wskaźniki adherencji (np. regularność noszenia opaski, częstotliwość ważenia).
− Zapewnienie jakości danych i obsługa techniczna: wykrywanie braków/artefaktów, rozwiązywanie problemów synchronizacji, weryfikacja kompatybilności urządzeń.
Dane nie są używane do celów marketingowych ani profilowania komercyjnego; aplikacja nie jest wyrobem medycznym i nie służy do podejmowania decyzji terapeutycznych.
7. Podstawy prawne przetwarzania (RODO)
− Art. 6 ust. 1 lit. a RODO – zgoda osoby, której dane dotyczą (integracja konta Huawei, odczyt danych zdrowotnych).
− Art. 9 ust. 2 lit. a RODO – wyraźna zgoda na przetwarzanie szczególnych kategorii danych (dane o zdrowiu).
− Dodatkowo, w części operacji analitycznych o charakterze badawczym możliwe jest oparcie na art. 6 ust. 1 lit. e RODO w zw. z art. 9 ust. 2 lit. j RODO (interes publiczny w obszarze badań naukowych), o ile wynika to z prawa krajowego i dokumentacji projektowej. W praktyce przeważającą podstawą jest zgoda Uczestnika.
8. Odbiorcy danych i kategorie podmiotów przetwarzających
Po stronie Huawei (odrębny administrator), dane Uczestnika są w pierwszej kolejności gromadzone i przetwarzane w Huawei Health i Huawei Cloud zgodnie z ich polityką i lokalizacją centrów danych określoną przez Huawei, na terenie UE/EOG. Szczegóły w polityce prywatności Huawei:
https://legal.cloud.huawei.com/legal/health/privacy-statement.htm?&code=PL&language=pl-PL Po stronie UMP/Gammasoft, dane są przetwarzane przez upoważnionych pracowników i współpracowników UMP oraz przez Gammasoft jako procesora. Nie udostępniamy danych podmiotom trzecim poza zakresem niezbędnym do realizacji badań i obowiązków prawnych. Nie sprzedajemy danych. Dostawcy technologiczni (np. operatorzy centrów danych) działają jako podmioty przetwarzające na podstawie umów zapewniających wymagane zabezpieczenia.
9. Przekazywanie danych poza EOG
Nie przekazujemy danych poza Europejski Obszar Gospodarczy. Przetwarzanie odbywa się na infrastrukturze UMP w UE (on-premises / centrum danych pod kontrolą UMP). Komunikacja z usługą Huawei odbywa się z użyciem bezpiecznych protokołów; nie inicjujemy dodatkowych transferów poza EOG.
10. Okres przechowywania
Dane są przechowywane nie dłużej niż do 31.12.2030 r., chyba że dokumentacja projektu przewiduje krótsze okresy dla określonych kategorii. Po zakończeniu projektu przechowujemy dane przez 5 lat do celów archiwalnych/dowodowych wymaganych przez grantodawcę i przepisy, po czym dane są anonimizowane lub usuwane zgodnie z polityką retencji UMP. 3
11. Bezpieczeństwo
Stosujemy szyfrowanie transmisji (TLS) i szyfrowanie danych w spoczynku, kontrolę dostępu opartą o role, rejestrowanie dostępu i operacji (audyt), segregację środowisk i zasadę minimalnych uprawnień. Identyfikatory Uczestników w systemie mają charakter pseudonimowy (np. open_id). Dostępy i klucze OAuth są chronione w bezpiecznym repozytorium.
12. Uczestnicy – wymogi wiekowe
Projekt obejmuje osoby pełnoletnie. Dane osób małoletnich nie są przetwarzane.
13. Prawa Uczestnika
Uczestnik ma prawo do: dostępu do danych, sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych (w zakresie technicznie możliwym), wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania sprzed wycofania), a także wniesienia sprzeciwu – o ile podstawa prawna przetwarzania na to pozwala. Uczestnik ma też prawo wnieść skargę do Prezesa UODO.
14. Wycofanie zgody / odłączenie konta Huawei
Uczestnik może w każdej chwili odłączyć konto Huawei w aplikacji (sekcja Połączone konta) lub kontaktując się z UMP/IODe. Po odłączeniu zaprzestajemy dalszego odczytu danych, a dane są usuwane lub anonimizowane zgodnie z sekcją 10.
15. Pliki cookies i logi
Aplikacja mobilna nie wykorzystuje plików cookie. Panel badacza (aplikacja webowa) może używać technicznych cookie niezbędnych do uwierzytelnienia sesji. Logi systemowe nie zawierają treści pomiarów ani danych umożliwiających bezpośrednią identyfikację Uczestnika.
16. Zmiany Polityki
Możemy aktualizować niniejszą Politykę w związku ze zmianami przepisów lub funkcjonalności. Nowa wersja będzie publikowana pod stałym adresem https://vip2030.ump.edu.pl/. W przypadku zmian istotnych poinformujemy Uczestników odpowiednim kanałem.
17. Kontakt
W sprawach prywatności i ochrony danych prosimy o kontakt: info@ump.edu.pl
IOD: iod@ump.edu.pl.
Polityka prywatności dotycząca strony internetowej https://vip2030.ump.edu.pl/
1. Administrator danych
Administratorem danych osobowych przetwarzanych w związku z korzystaniem ze strony internetowej jest:
Uniwersytet Medyczny im. Karola Marcinkowskiego w Poznaniu
ul. Fredry 10, 61-701 Poznań
tel. +48 61 854 60 00
e-mail: ump@ump.edu.pl
W sprawach związanych z ochroną danych osobowych można kontaktować się z Inspektorem Ochrony Danych pod adresem: iod@ump.edu.pl.
2. Zakres przetwarzanych danych
W ramach korzystania ze strony internetowej mogą być gromadzone następujące dane:
-
adres IP urządzenia,
-
informacje o przeglądarce i systemie operacyjnym,
-
dane przekazywane dobrowolnie przez użytkowników w formularzach kontaktowych (np. imię, nazwisko, adres e-mail, numer telefonu).
3. Cele przetwarzania
Dane osobowe przetwarzane są w celu:
-
umożliwienia korzystania z funkcjonalności strony,
-
obsługi zapytań kierowanych przez formularze,
-
zapewnienia bezpieczeństwa i prawidłowego działania serwisu,
-
prowadzenia statystyk odwiedzin.
4. Podstawy prawne
Dane przetwarzane są na podstawie:
-
art. 6 ust. 1 lit. a RODO – zgoda użytkownika,
-
art. 6 ust. 1 lit. e RODO – realizacja zadań w interesie publicznym,
-
art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes administratora (zapewnienie bezpieczeństwa serwisu).
5. Odbiorcy danych
Dane mogą być udostępniane podmiotom świadczącym usługi na rzecz Uniwersytetu (np. obsługa IT, hosting), wyłącznie w zakresie niezbędnym do świadczenia tych usług.
6. Okres przechowywania danych
Dane przechowywane będą przez okres niezbędny do realizacji wskazanych celów lub do czasu wycofania zgody przez użytkownika.
7. Prawa osób, których dane dotyczą
Użytkownik ma prawo do:
-
dostępu do swoich danych,
-
sprostowania, usunięcia lub ograniczenia przetwarzania,
-
przenoszenia danych,
-
wniesienia sprzeciwu wobec przetwarzania,
-
wycofania zgody w dowolnym momencie,
-
wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
8. Pliki cookies
Strona korzysta z plików cookies w celu zapewnienia prawidłowego działania oraz prowadzenia statystyk odwiedzin.
Użytkownik może zarządzać ustawieniami cookies w swojej przeglądarce.
9. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń i kategorii chronionych danych.
10. Zmiany polityki prywatności
Polityka prywatności może być okresowo aktualizowana. Aktualna wersja będzie zawsze publikowana na stronie vip2030.ump.edu.pl.