Informacja o ochronie prywatności – AirView

3. Jaka jest podstawa prawna przetwarzania Danych osobowych użytkownika?

3.1 Ogólne podstawy przetwarzania
W zależności od celu przetwarzania Danych osobowych użytkownika (patrz tabela powyżej) podstawą prawną przetwarzania Danych osobowych użytkownika może być konieczność wypełnienia naszych zobowiązań umownych lub powstających przed zawarciem umowy z użytkownikiem, nasz obowiązek przestrzegania obowiązujących nas przepisów prawa i regulacji albo nasz uzasadniony interes.
Prosimy zwrócić uwagę, że informacje podawane przez użytkownika za pośrednictwem naszej Aplikacji mogą być niezbędne do realizacji umowy oraz do umożliwienia nam spełnienia naszych zobowiązań prawnych. Bez takich informacji realizacja zamówienia użytkownika lub udzielenie odpowiedzi na pytania użytkownika może nie być możliwe.

3.2 Przetwarzanie na podstawie zgody użytkownika
W niektórych przypadkach przetwarzamy Dane osobowe użytkownika na podstawie jego zgody.

• Pliki cookie i inne techniki śledzenia

W sposób automatyczny gromadzimy pewne informacje z urządzenia użytkownika za pośrednictwem plików cookie i innych podobnych technik. Automatycznie gromadzone informacje mogą w szczególności obejmować adres IP użytkownika, typ urządzenia, niepowtarzalne numery identyfikacyjne urządzenia (np. numer IMEI), wersję systemu operacyjnego, daty dostępu do Aplikacji i korzystania z Aplikacji przez użytkownika, informacje o zachowaniu użytkownika (takim jak jego interakcje z Aplikacją), informacje o położeniu geograficznym (np. kraju lub miejscowości) oraz inne informacje techniczne.
Gromadzenie tych informacji pozwala nam lepiej zrozumieć, w jaki sposób użytkownik korzysta z naszej Aplikacji, skąd pochodzi oraz które treści w naszej Aplikacji są dla niego najbardziej istotne. W stosownych przypadkach będziemy prosić o zgodę użytkownika przed uzyskaniem dostępu do jego urządzenia lub przechowywaniem w nim jakichkolwiek informacji. Więcej informacji na temat typów wykorzystywanych przez nas plików cookie i podobnych technik śledzenia zawiera znajdująca się poniżej Informacja o wykorzystywaniu plików cookie.

4. Podmioty, którym udostępniamy Dane osobowe użytkownika

4.1 Możemy udostępniać Dane osobowe użytkownika następującym kategoriom odbiorców:

(a) naszej grupie spółek z siedzibą w Unii Europejskiej w celach opisanych w niniejszej Informacji. Stosujemy środki ostrożności, aby dostęp do Danych osobowych mieli tylko członkowie personelu mający uzasadnioną biznesowo potrzebę i objęci umownym zakazem wykorzystywania Danych osobowych do innych celów.

(b) naszym dostawcom, usługodawcom i partnerom zewnętrznym, którzy świadczą dla nas usługi przetwarzania danych lub przetwarzają Dane osobowe w celach opisanych w niniejszej Informacji lub o których poinformowaliśmy użytkownika podczas gromadzenia jego Danych osobowych. Może to obejmować ujawnianie danych dostawcom i innym usługodawcom będącym osobami trzecimi w związku z usługami świadczonymi dla nas przez te podmioty, w tym w związku ze wsparciem w takich dziedzinach, jak zarządzanie platformą IT i pomoc techniczna, usługi dotyczące infrastruktury i Aplikacji, marketing oraz analiza danych. Dodatkowe informacje na temat naszych Podwykonawców pomocniczych są dostępne na stronie ResMed.com/AirViewSubProcessors.

(c) wszelkim organom ścigania, organom nadzoru, instytucjom administracji publicznej, sądom i innym osobom trzecim, gdy w naszej opinii takie udostępnienie jest konieczne (i) zgodnie z obowiązującym prawem lub przepisami, (ii) w celu ustanowienia lub obrony naszych praw bądź skorzystania z nich, lub (iii) w celu ochrony kluczowych interesów naszych lub innych osób;

(d) naszym audytorom, doradcom, pełnomocnikom prawnym i osobom pełniącym podobne funkcje w związku ze świadczonymi przez nie na naszą rzecz usługami doradczymi w uzasadnionych celach biznesowych i z umownym zakazem wykorzystywania Danych osobowych w innych celach;

(e) potencjalnym nabywcom (i ich pełnomocnikom oraz doradcom) w związku z ewentualnym proponowanym zakupem, fuzją lub przejęciem dowolnej części naszego przedsiębiorstwa pod warunkiem, że poinformujemy nabywcę o tym, iż wolno mu wykorzystywać Dane osobowe użytkownika wyłącznie w celach ujawnionych w niniejszej Informacji;

(f) wszelkim innym osobom, jeśli użytkownik wcześniej wyraził na to zgodę.

5. Stosowane przez nas sposoby ochrony prywatności użytkownika

5.1 Będziemy przetwarzać Dane osobowe zgodnie z następującymi zasadami:

(a) Rzetelność: będziemy przetwarzać Dane osobowe w sposób rzetelny. Oznacza to, że w sposób przejrzysty informujemy o tym, jak przetwarzamy Dane osobowe.

(b) Zgodność z prawem: będziemy przetwarzać Dane osobowe wyłącznie w celach zgodnych z prawem.

(c) Ograniczenie celu: będziemy przetwarzać Dane osobowe w wyraźnie określonych i uzasadnionych celach, i nie będziemy przetwarzać Danych osobowych w sposób niezgodny z tymi celami, z wyjątkiem przypadków dozwolonych przez mające zastosowanie przepisy prawa o ochronie danych.

(d) Minimalizacja danych: będziemy przetwarzać tylko te Dane osobowe, które są adekwatne, istotne i potrzebne dla realizacji celów, dla których dane są przetwarzane.

(e) Prawidłowość danych: podejmujemy odpowiednie kroki w celu zapewnienia prawidłowości, kompletności oraz, w stosownych przypadkach, aktualności Danych osobowych użytkownika, które przechowujemy. Jednak użytkownik powinien niezwłocznie informować nas o wszelkich zmianach lub błędach, w czym wyraża się odpowiedzialność użytkownika za bezbłędność, kompletność i aktualność jego Danych osobowych. Obowiązkiem użytkownika jest powiadamianie nas o wszelkich zmianach jego Danych osobowych, które przechowujemy (np. o zmianie adresu).

(f) Zabezpieczenia danych: stosujemy odpowiednie środki techniczne i organizacyjne, aby chronić gromadzone i przetwarzane przez nas Dane osobowe użytkownika. Stosowane przez nas środki mają na celu zapewnienie poziomu bezpieczeństwa adekwatnego do ryzyka związanego z przetwarzaniem Danych osobowych użytkownika. W szczególności wszystkie dane są chronione odpowiednio do różnych poziomów ryzyka, poprzez stosowanie środków fizycznych, takich jak zabezpieczanie wydzielonych miejsc, środków technicznych, takich jak szyfrowanie oraz środków organizacyjnych, takich jak kontrola i nadzór nad pracownikami pod kątem bezpieczeństwa.

(g) Okres przechowywania: przechowujemy Dane osobowe użytkownika w formie umożliwiającej nam jego identyfikację tak długo, jak jest to konieczne do osiągnięcia celów, dla których przetwarzamy dane użytkownika i nie przechowujemy ich dłużej, chyba że wymagają tego mające zastosowanie przepisy prawa.

6. Przechowywanie, okres przechowywania i usuwanie danych

6.1 Dane osobowe, które gromadzimy od użytkownika, są przechowywane w Niemczech i we Francji (system główny i kopia zapasowa). W rzadkich przypadkach Dane osobowe użytkownika mogą być przechowywane w Stanach Zjednoczonych w określonych celach, takich jak prowadzenie analiz w celu ulepszania naszych produktów i usług.

6.2 Jeśli użytkownik nie chce dłużej korzystać z Aplikacji, może poprosić głównego administratora swojej firmy o dezaktywację swojego konta. Jeśli głównym administratorem jest użytkownik, może on poprosić nas bezpośrednio o dezaktywację lub zarchiwizowanie swojego konta. Po dezaktywacji konta użytkownika będziemy nadal przechowywać jego Dane osobowe przez ograniczony okres czasu, na papierze lub w formie elektronicznej, w celu zachowania zgodności z obowiązującymi zasadami i przepisami prawa.

6.3 W momencie, gdy nie będziemy już potrzebować Danych osobowych użytkownika, zostaną one usunięte.

7. Środki techniczne i organizacyjne

7.1 Korzystamy z różnych środków bezpieczeństwa i ochrony prywatności, aby chronić Dane osobowe użytkownika i zapewniać zgodność z mającymi zastosowanie przepisami w zakresie ochrony danych.

7.2 Dane osobowe użytkownika są przechowywane w zabezpieczonym centrum danych przez podmiot posiadający certyfikat HDS („hébergeurs de données de santé” [w zakresie przechowywania danych medycznych]). Nasz podmiot przetwarzający dane działa zgodnie z naszymi ścisłymi i precyzyjnymi instrukcjami. Wymieniony powyżej podmiot przetwarzający dane jest regularnie kontrolowany przez firmę ResMed i przez niezależnych audytorów, a kontrole te obejmują w szczególności testy penetracyjne i audyty certyfikacyjne. Nasz dostawca usług hostingowych jest odpowiedzialny za utrzymanie systemów firmy ResMed, ich bezpieczeństwo fizyczne, a także za bezpieczeństwo sieci.

7.3 Aplikacja AirView wymaga dwuetapowego uwierzytelniania. Użytkownik może uzyskać dostęp do aplikacji AirView dopiero po uwierzytelnieniu na dwóch poziomach zabezpieczeń, co ma na celu zapobieganie nadużyciom lub kradzieży tożsamości.

7.4 Wszyscy pracownicy firmy ResMed podpisali umowy o zachowaniu poufności i zostali przeszkoleni w zakresie bezpieczeństwa i ochrony prywatności realizowane w różnych formach (m.in. w formie e-learningu lub jako szkolenia Privacy Champion). Realizując te programy szkoleniowe, firma ResMed może dowieść, że jej procesy w obszarze zabezpieczeń i ochrony prywatności są zrozumiałe dla wszystkich pracowników przetwarzających Dane osobowe użytkowników z Europy oraz że są przez nich stosowane.

7.5 Poufność i integralność danych użytkownika jest chroniona za pomocą mechanizmów szyfrowania, które zabezpieczają dane przechowywane oraz dane w trakcie przesyłania i wykorzystywania. Wprowadzono odpowiednie zasady szyfrowania, aby zapewnić skuteczność wdrożonych kontroli.

7.6 Wdrożyliśmy procedury tworzenia kopii zapasowych w celu zapewnienia dostępności danych użytkownika. Procesy tworzenia kopii zapasowych są kontrolowane, zabezpieczane i dokumentowane. Ponadto wdrożyliśmy i przetestowaliśmy plan odzyskiwania danych po awarii oraz plan zapewnienia ciągłości działania.

7.7 Zabezpieczamy się przed szkodliwym oprogramowaniem i złośliwymi atakami, stosując zapory sieciowe, oprogramowanie antywirusowe/chroniące przed szkodliwym oprogramowaniem, jak również skanowanie w poszukiwaniu luk w zabezpieczeniach oraz poprawki instalowane w systemie. Dodatkowo wdrożony został bezpieczny proces utylizacji, który zapewnia bezpieczne usuwanie danych użytkowników.

7.8 Dostęp do komponentów systemów i aplikacji ma wyłącznie upoważniony personel serwisu zgodnie z zasadami zapewnienia cyberbezpieczeństwa: najmniejszych uprawnień niezbędnych do wykonania zadania, dostępu tylko do informacji potrzebnych do wykonania zadania oraz separacji obowiązków. AirView stosuje logiczne mechanizmy kontroli na poziomie Aplikacji, bazy danych i systemu, które wykluczają możliwość przeglądania i zmiany danych należących do jednej organizacji przez inną organizację.

7.9 Wprowadzono mechanizm kontroli w celu badania dzienników i wykrywania złośliwych działań przy użyciu odpowiednich narzędzi.

7.10 Firma ResMed wprowadziła proces zarządzania zmianami, który obejmuje badanie wpływu każdej istotnej zmiany na bezpieczeństwo jeszcze przed jej wprowadzeniem.

7.11 Wdrożony i przetestowany został plan reagowania na incydenty związane z bezpieczeństwem. Dodatkowo firma ResMed wprowadziła narzędzie do zarządzania incydentami i zdarzeniami związanymi z bezpieczeństwem, którego celem jest zgłaszanie dostępu i ostrzeganie w przypadku wystąpienia niedozwolonych działań, co umożliwia szybką i skuteczną reakcję.

7.12 Mimo wysokiego poziomu zastosowanych przez nas środków bezpieczeństwa nie można zagwarantować całkowitego bezpieczeństwa danych przesyłanych w Internecie. Jeśli dowiemy się, że Dane osobowe użytkownika były przedmiotem naruszenia ochrony danych, zastosujemy się do wszystkich odpowiednich przepisów prawnych dotyczących powiadamiania o naruszeniu bezpieczeństwa danych.

8. Przekazywanie Danych osobowych poza UE/EOG

8.1 Dane osobowe użytkownika mogą być przekazywane innym podmiotom grupy ResMed lub naszym dostawcom, usługodawcom i partnerom zewnętrznym, a tym samym przetwarzane w krajach innych niż kraj zamieszkania użytkownika i znajdujących się poza Unią Europejską (UE) oraz Europejskim Obszarem Gospodarczym (EOG) w celu przeprowadzenia analiz danych. W krajach tych mogą obowiązywać inne przepisy dotyczące ochrony danych niż w kraju użytkownika.

8.2 Zawsze, gdy dane użytkownika będę przekazywane poza UE/EOG, firma ResMed zadba o to, by krajem docelowym był kraj uznany przez Komisję Europejską za zapewniający odpowiedni stopień ochrony, a w przeciwnym razie podejmie odpowiednie środki zapewniające ochronę Danych osobowych użytkownika zgodnie z niniejszą Informacją i przepisami dotyczącymi ochrony danych. Firma ResMed lub jej usługodawcy mogą na przykład otrzymywać od rządów spoza EOG nakazy ujawnienia Danych osobowych użytkownika. Firma ResMed i jej usługodawcy upewnią się, że takie nakazy są ważne i wiążące, zanim zezwolą na ujawnienie danych, oraz zażądają od rządów spoza EOG podjęcia środków ochrony danych w stopniu równoważnym do środków stosowanych w EOG. Użytkownik ma prawo zażądać kopii wszelkich środków zapewniających ochronę danych przy ich przekazywaniu poza EOG (można to zrobić, kontaktując się z nami za pomocą danych kontaktowych podanych w niniejszej informacji).

9. Osoby małoletnie

9.1 Usługi oferowane przez nas w Aplikacji nie są przeznaczone dla osób poniżej osiemnastego (18) roku życia. Osoby, które nie ukończyły 18 lat, nie powinny używać tej Aplikacji.

10. Prawa użytkownika dotyczące ochrony danych

10.1 Użytkownik ma następujące prawa dotyczące ochrony danych:

(a) Jeśli użytkownik chce uzyskać dostęp do swoich Danych osobowych, może to zrobić w dowolnym momencie, kontaktując się z nami za pomocą danych kontaktowych podanych poniżej w sekcji Kontakt z nami.

(b) Jeśli użytkownik chce sprostować lub zaktualizować swoje Dane osobowe, może to zrobić bezpośrednio w swoim profilu AirView.

(c) Użytkownik może wymazać swoje Dane osobowe, usuwając je bezpośrednio w swoim profilu AirView. Można również skontaktować się z głównym menedżerem swojej firmy, który może zarchiwizować konto użytkownika. Należy pamiętać, że po zarchiwizowaniu konta nie będzie można korzystać z Aplikacji.

(d) Ponadto, w pewnych okolicznościach, zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych, użytkownik może sprzeciwić się przetwarzaniu swoich Danych osobowych lub zwrócić się do głównego menedżera firmy z prośbą o ograniczenie przetwarzania swoich Danych osobowych. Użytkownik może również zażądać przeniesienia swoich Danych osobowych, kontaktując się z nami za pomocą danych kontaktowych podanych poniżej w sekcji Kontakt z nami.

(e) Jeśli zgromadziliśmy Dane osobowe użytkownika i przetwarzamy je za zgodą użytkownika, użytkownik może w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpłynie na zgodność z prawem przetwarzania dokonanego przed tym wycofaniem ani na przetwarzanie Danych osobowych użytkownika realizowane na podstawach prawnych innych niż zgoda.

(f) Użytkownik ma prawo w dowolnym momencie zrezygnować z otrzymywania wysyłanych przez nas informacji handlowych. Użytkownik może w dowolnym momencie zrezygnować z subskrypcji naszych wiadomości e-mail, biuletynów i innych form komunikacji, klikając na łącze Unsubscribe (Anuluj subskrypcję) zamieszczone na końcu każdego naszego biuletynu i każdej wysyłanej przez nas wiadomości e-mail.

(g) Jeśli użytkownik zgłosi skargę lub wątpliwość dotyczącą sposobu przetwarzania przez nas jego Danych osobowych, dołożymy wszelkich starań, aby rozwiązać takie problemy. Jeśli użytkownik uważa, że nasza reakcja na skargę nie była wystarczająca, ma prawo wniesienia skargi do organu nadzorczego w sprawie gromadzenia i wykorzystania przez nas Danych osobowych. Aby uzyskać więcej informacji, należy skontaktować się z lokalnym organem nadzorczym właściwym w sprawach ochrony danych. Dane kontaktowe organów nadzorczych na terenie Europejskiego Obszaru Gospodarczego, Szwajcarii i niektórych krajów pozaeuropejskich (w tym Stanów Zjednoczonych i Kanady) są dostępne tutaj.

10.2 Użytkownik może w każdej chwili korzystać z dowolnego z powyższych praw, kontaktując się z nami w sposób opisany poniżej w sekcji Kontakt z nami. Odpowiemy na wniosek zgodnie z mającymi zastosowanie przepisami o ochronie danych.

10.3 Odpowiadamy na wszystkie wnioski otrzymane od osób pragnących skorzystać z przysługujących im praw w zakresie ochrony danych osobowych zgodnie z obowiązującymi przepisami.

11. Łącza zewnętrzne

11.1 Jeżeli jakakolwiek część niniejszej Aplikacji zawiera łącza do witryn internetowych osób trzecich, zawarte tam informacje nie wchodzą w zakres niniejszej Informacji. Zachęcamy do zapoznania się z Informacjami o ochronie prywatności publikowanymi w takich witrynach w celu uzyskania wiedzy o procedurach gromadzenia, wykorzystywania i udostępniania Danych osobowych stosowanych przez te witryny.

12. Aktualizacje niniejszej Informacji

12.1 Możemy od czasu do czasu aktualizować niniejszą Informację o ochronie prywatności w reakcji na zmiany przepisów, zmiany techniczne lub zmiany gospodarcze. Po zaktualizowaniu naszej Informacji o ochronie prywatności podejmiemy odpowiednie kroki w celu poinformowania użytkownika o tych zmianach, stosownie do ich istotności.

12.2 Datę ostatniej aktualizacji niniejszej Informacji o ochronie prywatności można zobaczyć, sprawdzając ją na górze niniejszej Informacji o ochronie prywatności.

13. Kontakt z nami

13.1 Wszelkie pytania, wątpliwości lub skargi dotyczące niniejszej Informacji lub sposobu przetwarzania przez nas Danych osobowych użytkownika, a także wnioski w sprawie skorzystania z praw opisanych powyżej można kierować do naszego biura ds. prywatności wysyłając wiadomość na następujący adres e-mail: privacy@resmed.eu lub na następujący adres pocztowy: ResMed SAS, 292 Allée Jacques Monod, 69791 Saint-Priest, France.

Użytkownik może również skontaktować się z naszym pełnomocnikiem ds. ochrony danych, wysyłając wiadomość e-mail na adres: privacy@resmed.eu lub pocztą: Délégué à la protection des données (Pełnomocnik ds. ochrony danych), ResMed SAS, 292 Allée Jacques Monod, 69791 Saint-Priest, Francja.

RH-302022/4 2025-01