Integritetsprinciper för patienter som använder Empatica Health Monitoring Platform (EHMP)
Senast uppdaterad: v1.0 jan 2026
Denna integritetsprincip ("Princip") förklarar hur Empatica S.r.l., med registrerat säte på Via Stendhal 36, 20144 Milano, Italien ("Empatica", "vi", "vår" eller "oss"), behandlar personuppgifter för patienter på sjukhus eller kliniska centra som är kunder hos Empatica ("Kunder") belägna i Europeiska unionen (EU), Europeiska ekonomiska samarbetsområdet (EES) och Förenade kungariket som använder Empatica Health Monitoring Platform ("EHMP") och dess relaterade komponenter och tjänster (tillsammans "Tjänster").
Empatica tillhandahåller digital hälsa- och medicinteknologi som möjliggör fjärrsamling, överföring och analys av fysiologiska data från patienter med Parkinsons sjukdom ("Registrerade", "ni" eller "er") under Kunders kontroll.
Kunderna fungerar som personuppgiftsansvariga när det gäller behandlingen av personuppgifter för registrerade som är nödvändiga för diagnos, vård och behandling. I detta sammanhang utförs alla behandlingsaktiviteter som utförts av Empatica för att stödja dessa ändamål av Empatica i dess egenskap som biträde, å Kunders vägnar. Följaktligen omfattas inte några behandlingsaktiviteter som utförts för diagnos-, vård- och behandlingsändamål av denna princip.
Empatica fungerar dock även som oberoende personuppgiftsansvarig för vissa ändamål relaterade till tjänsterna för vilka Empatica bestämmer ändamål och medel för behandlingen, såsom beskrivs i denna princip. Följaktligen tillhandahåller Empatica genom denna princip registrerade med information om behandlingen av deras personuppgifter, såsom krävs enligt tillämplig dataskyddslag.
1. För vem är denna princip avsedd?
Denna princip beskriver hur Empatica behandlar personuppgifter för patienter hos Kunder som använder tjänsterna.
Om patienten är ett barn kan Empatica behandla begränsade personuppgifter som inte tillhör särskilda kategorier relaterade till patientens förälder, vårdnadshavare eller auktoriserad hälso- och sjukvårdsprofessionell. Följaktligen bör termen "Registrerade" i sådana fall tolkas som att den omfattar dessa personer.
Åldersgrupper
Barn över 6 år men under 18 år: får använda tjänsterna endast under övervakning av en förälder, vårdnadshavare eller auktoriserad hälso- och sjukvårdsprofessionell. De kan inte registrera sig direkt som användare av tjänsterna; registrering och samtycke måste slutföras av deras förälder, vårdnadshavare eller ansvarig forskare eller kliniker.
Barn under 6 år: tjänsterna är inte avsedda för barn under 6 år. Därför kommer Empatica inte att behandla några data relaterade till barn under 6 år.
2. Datakällor och kategorier
Empatica samlar främst personuppgifter från registrerade genom deras användning av tjänsterna. Empatica kan dock samla personuppgifter för registrerade från Kunden under övervakning efter marknadsföring eller teknisk support.
Empatica kan behandla:
Identifierbar kontaktdata såsom namn, efternamn, födelsedatum, ålder, kön, e-postadress;
Enhets- och teknisk information, onlineidentifierare och enhetens användningsdata, såsom IP-adress, enhetsidentifierare, enhetens driftsmått, enhetskalibrering och valideringsrapporter, firmware- och appversion, tidsstämplar, operativsystem, anslutningsloggar, tekniska loggar, mobilenhetsidentifierare (t.ex. IMEI/enhet-ID);
Hälsodata såsom fysiologiska signaler, slitage, rörelser, sömn, Parkinsons-relaterade poäng (t.ex. tremor, bradykinesier, dyskinesier), läkemedelsjournaler och andra enhetsprestandadata.
Specifika data som behandlas kan dock variera beroende på EHMP-konfiguration som valts av Kunden och enheten som används av registrerade.
3. Ändamål och rättslig grund för behandling av personuppgifter
Tabellen nedan anger ändamålen för behandlingsaktiviteter som utförts av Empatica när den fungerar som oberoende personuppgiftsansvarig med avseende på registrerades personuppgifter, tillsammans med motsvarande rättslig grund och annan relevant information.
Behandlingsändamål
Personuppgiftskategorier
Exempel
Hur insamlade
Rättslig grund och möjliga konsekvenser av icke-behandling av data
Säkerhet – övervakning och bedömning av EHMP:s prestanda och säkerhet, inklusive diagnostik, åtgärd och svar på rapporter om biverkningar.
Hälsorelaterad information, enhetsidentifierare och driftsmått.
Genereras automatiskt av enheten eller tillhandahålls av Kunden under övervakning efter marknadsföring eller teknisk support.
Efterlevnad av säkerhets- och tillsynsförpliktelser enligt artikel 6(1)(c) i GDPR för data i icke-speciella kategorier och artikel 9(2)(i) i GDPR för hälsorelaterad data.
Regelefterlevnad och kvalitetsledning.
Hälsorelaterad information och enhetsinformation enligt tillämpliga lagar och kvalitetssäkring.
Enhetsanvändningsdata, kalibrering och valideringsrapporter.
Genereras automatiskt eller tillhandahålls av Kunden för att uppfylla regelkrav.
Efterlevnad av en laglig skyldighet som Empatica är underkastad enligt tillämplig lag enligt artikel 6(1)(c) i GDPR för data i icke-speciella kategorier och artikel 9(2)(i) i GDPR för hälsorelaterad data.
Analys och forskning (om godkänd av registrerad) – Genomförande av analys och forskning på pseudonymiserad eller aggregerad data för att förbättra algoritmer och stödja framtida regulatoriska och kliniska inlämningar.
Data härledda från personuppgifter, enheter och aktiviteter, inklusive hälsorelaterad information, behandlad i pseudonymiserad eller aggregerad form.
Aggregerade eller avidentifierade dataset som används för att validera algoritmer eller förbättra enhetsprestanda.
Härstammar från Empaticas säkra miljö med hjälp av pseudonymiseringsprocedurer.
Registrerades samtycke enligt artikel 6(1)(a) i GDPR för data i icke-speciella kategorier och artikel 9(2)(a) i GDPR för hälsorelaterad data.
Marknadsföring och reklam – Marknadsföring av Empatica-produkter och tjänster genom marknadsföringskommunikation via elektronisk kommunikation. Distribution av utbildningsinnehål via Empatica-hanterade kanaler; marknadsundersökning och analys; mätning och analys.
Identifierings- och kontaktdata, geografiska data, demografiska data, marknadsföringsmöjlighetsdata, kommunikationsinteraktionsdata.
Förnamn och efternamn, e-postadresser, födelsedatum, ålder, kön, opt-in/opt-out-status, land/region för bosättning, språk.
Insamlat direkt från registrerade via Empatica-kanaler (webbformulär / in-app).
Registrerades samtycke enligt artikel 6(1)(a) i GDPR.
Fastställande, utövning eller försvar av rättsliga anspråk
Personuppgifter som behandlas kan variera fall för fall, beroende på föremål för rättslig tvist.
Förnamn och efternamn, e-postadresser, enhetens användningsdata
Personuppgifter samlas in i enlighet med datainsamlingsmetoder som beskrivs i relevanta rader i denna tabell.
Behandling är nödvändig för att tillvarata Empaticas berättigade intresse att fastställa, utöva eller försvara rättsliga anspråk enligt artikel 6(1)(f) i GDPR för data i icke-speciella kategorier och artikel 9(2)(f) där hälsorelaterad data är inblandad.
Affärstransaktioner – Bedömning av genomförbarhet och genomförande av affärstransaktioner, såsom fusioner, omstruktureringar, företagsförvärv eller försäljning av tillgångar som involverar Empatica, och andra relaterade åtgärder.
Personuppgifter som behandlas kan variera beroende på specifik transaktion.
Personuppgifter kan överföras till förvärvande eller efterföljande enhet som en del av denna transaktion.
Personuppgifter samlas in i enlighet med datainsamlingsmetoder som beskrivs i relevanta rader i denna tabell.
Behandling är nödvändig för att tillvarata Empaticas berättigade intresse att genomföra möjliga affärstransaktioner enligt artikel 6(1)(f) i GDPR för data i icke-speciella kategorier och artikel 9(2)(i) där hälsorelaterad data är inblandad.
4. Delning av dina personuppgifter med andra
Empatica kan dela eller avslöja personuppgifter med följande mottagare av data i den omfattning som är nödvändig för att uppfylla ovanstående behandlingsändamål som personuppgifterna är avsedda för.
a) Anknutna företag
Empatica kan dela personuppgifter med sina anknutna företag:
Empatica Inc., beläget i USA; och
Global Kinetics UK Corporation Limited, beläget i Förenade kungariket.
b) Tjänsteleverantörer
Empatica använder noggrant utvalda tjänsteleverantörer från tredje part som utför specifika funktioner å Empaticas vägnar och behandlar personuppgifter endast i enlighet med Empaticas dokumenterade instruktioner.
Dessa inkluderar leverantörer av:
säker molnvärdserver och datalagring;
enhetsanslutnings- och kommunikationstjänster;
underhålls-, kalibrerings- och kvalitetssäkerhetsstöd;
revisions- och certifieringstjänster; och
kundsupport- och incidenthanteringssystem.
säkerhetsövervakning, loggning/observerbarhet och sårbarhetshantering;
identitets- och åtkomshantering / autentiseringstjänster (för att hantera användarkonton, åtkomstkontroller och inloggningssäkerhet).
Empatica säkerställer att alla tjänsteleverantörer är bundna av skriftliga avtal som ålägger lämpliga sekretess-, dataskydds- och säkerhetsobligationer.
c) Juridiska, regulatoriska och säkerhetsrelaterade avslöjanden
Empatica kan avslöja personuppgifter till behörig myndighet, regulatorer eller andra offentliga organ vid behov för att:
följa förpliktelser enligt EU:s förordning om medicinsk utrustning (EU) 2017/745 (MDR) eller annan tillämplig lagstiftning;
rapportera eller undersöka säkerhetshändelser eller biverkningar;
visa överensstämmelse under regulatoriska revisioner eller inspektioner;
svara på lagliga begäranden från brottsbekämpande eller tillsynsmyndigheter; eller
fastställa eller utöva rättsliga anspråk.
Sådana avslöjanden är begränsade till vad som är strikt nödvändigt för att Empatica uppfyller sina juridiska skyldigheter.
d) Affärstransaktioner
Vid en fusion, förvärv, omstrukturering eller försäljning av tillgångar som involverar Empatica kan personuppgifter överföras till förvärvande eller efterföljande enhet som en del av denna transaktion.
Någon sådan överföring kommer endast att ske under villkor som säkerställer kontinuiteten för motsvarande dataskyddssäkerhet.
5. Dina rättigheter som registrerad och dataskyddsamordnare
Du kan när som helst utöva de rättigheter som tilldelas dig under dataskyddslagar angående dina personuppgifter genom att skriva till privacy@empatica.com eller använda de kontaktuppgifter som anges i avsnitt 11 nedan.
I enlighet med dataskyddslagar har du rätt till:
Tillgång till dina personuppgifter – Du har rätt att få bekräftelse på huruvida eller inte dina personuppgifter behandlas, och i så fall tillgång till dina personuppgifter och information om relevant behandling av Empatica;
Rättelse eller radering av dina personuppgifter – Du har rätt att få rättelse av felaktiga personuppgifter om dig eller radering av dina personuppgifter. Empatica är dock inte skyldigt att radera personuppgifter som är nödvändiga för att uppfylla tillämplig lagstiftning;
Begränsning av behandlingen av dina personuppgifter – Du har rätt att få begränsning av behandlingen när något av följande gäller: (i) du bestrider riktigheten av personuppgifter under en period som tillåter Empatica att verifiera personuppgifternas riktighet; (ii) behandlingen är otillåten och du invänder mot radering av personuppgifter och begär begränsning av dess användning i stället; (iii) Empatica behöver inte längre personuppgifterna för behandlingsändamål, men de är nödvändiga för dig för fastställande, utövning eller försvar av rättsliga anspråk; eller (iv) du har gjort invändningar mot behandling i avvaktan på verifiering att Empaticas berättigade intressen överväger dina;
Återkallelse av ditt samtycke, där det tidigare givits. Lagligheten för någon behandling som genomförts före återkallelsen påverkas dock inte;
Överföring av dina personuppgifter till annan personuppgiftsansvarig ("dataöverförbarhet") – Du har rätt att få dina personuppgifter, som du har lämnat till Empatica, i ett strukturerat, allmänt använt och maskinläsbart format och överföra dessa uppgifter till annan personuppgiftsansvarig, där behandlingen: (i) är baserad på ditt samtycke; och (ii) utförs med automatiserade medel;
Invändningar mot behandling av dina personuppgifter motiverad av berättigat intresse – Du har rätt att när som helst invända mot behandling av dina personuppgifter som är baserad på artikel 6(1)(f) i GDPR. Empatica kommer inte längre att behandla dina personuppgifter såvida inte Empatica kan visa tvingande berättigade skäl för behandlingen som överväger dina intressen, rättigheter och friheter eller för fastställande, utövning eller försvar av rättsliga anspråk;
Automatiserat beslutsfattande – Du har rätt att inte bli föremål för ett beslut baserat enbart på automatiserad behandling, inklusive profilering, som får rättsliga effekter för dig eller på liknande sätt väsentligt påverkar dig. Detta gäller inte om beslutet är: (i) auktoriserad av tillämplig lagstiftning som Empatica är underkastad och som också anger lämpliga åtgärder för att skydda dina rättigheter, friheter och berättigade intressen; eller (ii) baserad på ditt uttryckliga samtycke;
Få information och/eller en kopia av de garantier som används för internationella dataöverföringar utanför EU/EES.
Vi kan be dig om ytterligare information för att bekräfta din identitet och av säkerhetsskäl innan vi avslöjar några personuppgifter. Vi förbehåller oss rätten att ta ut en skälig avgift om en begäran är uppenbart ogrundad eller överdriven.
Du kan utöva dina rättigheter genom att använda de kontaktuppgifter som anges i avsnitt 11 nedan. Med förbehål för juridiska och andra tillåtliga överväganden kommer vi att göra alla rimliga ansträngningar för att uppfylla din begäran snabbt och i alla fall inom tidsfristerna i dataskyddslagar. Om ytterligare information krävs för att uppfylla din begäran kommer vi att informera dig därefter.
Observera att vi kanske inte alltid kan fullständigt adressera din begäran, till exempel om vi är juridiskt skyldig att hantera begäran på ett annat sätt.
Empatica har utsett en dataskyddsamordnare (DPO) som är ansvarig för övervakning av efterlevnaden av dataskyddsbestämmelser och fungerar som kontaktpunkt för begäranden från registrerade och tillsynsmyndigheter. Dataskyddsamordnaren, utsedd av Empatica i enlighet med artikel 37 i GDPR, kan kontaktas på: privacy@empatica.com
Du har också rätt att lämna in ett klagomål till din lokala tillsynsmyndighet (dvs. dataskyddsmyndigheten i landet för din vanliga bostad, arbetsplats eller plats för den påstådda överträdelsen) om du anser att dina rättigheter har överträdits. Kontaktuppgifter för tillsynsmyndigheterna i EU-medlemsstater finns på www.edpb.europa.eu/about-edpb/about-edpb/members_en. I Förenade kungariket är den relevanta dataskyddsmyndigheten ICO som kan kontaktas via detta webbformulär, via live-chat här eller per telefon på 0303 123 1113.
6. Datalagring
Vi behåller dina personuppgifter så länge det är nödvändigt för att uppfylla de ändamål för vilka de samlades in. Särskilt gäller följande bevarandeperioder:
Säkerhet, regelefterlevnad och kvalitetsledning – Under den period som föreskrivs i tillämplig lagstiftning, inklusive övervakning efter marknadsföring, diagnostik och åtgärd, vigilansrapporter och annan regelefterlevnadsverksamhet, som kan kräva att Empatica behåller vissa pseudonymiserad data under upp till tjugofem (25) år.
Forskning och analys – Personuppgifter som behandlas för forsknings- eller analyssyften behålls under upp till tjugofem (25) år när det är nödvändigt för att stödja framtida regulatoriska och kliniska inlämningar, i enlighet med tillämpliga skyldigheter för journalföring för medicinsk utrustning och forskning.
Marknadsföring och reklam – Till du återkallar ditt samtycke till sådan behandling eller i alla fall inte längre än tjugofyra (24) månader från senaste interaktion relaterad till marknadsföringskommunikation (t.ex. opt-in-event).
Fastställande, utövning eller försvar av rättsliga anspråk – Personuppgifter som behandlas för detta ändamål kan behållas till utgången av gällande preskriptionstid.
Affärstransaktioner – Personuppgifter som behandlas för detta ändamål behålls under den period som är tillämplig för de specifika behandlingsaktiviteter som beskrivs ovan.
Efter utgången av gällande bevarandeperiod raderar eller avidentifierar Empatica data säkert i enlighet med dess informationssäkerhet och databevarandeprocedurer. Ingen specifik bevarandegräns gäller för data som har permanent avidentifierats.
7. Behandling av personuppgifter för barn
Vi är engagerade i att skydda sekretessen för barn som använder våra tjänster. Det här avsnittet ger tilläggsuppgifter angående vår behandling av personuppgifter relaterade till barn enligt tillämplig lagstiftning.
Empatica använder inte barnens data för något oberoende ändamål, marknadsföring eller profilering, och tillämpar samma eller starkare tekniska och organisatoriska säkerhetsmått på barnens data som på alla andra personuppgifter.
8. Internationella överföringar av personuppgifter
Empatica är baserat i USA och har verksamhet, anknutna företag och tjänsteleverantörer i USA, Europeiska unionen, Förenade kungariket och andra jurisdiktioner runt om i världen.
Som ett resultat kan personuppgifter som behandlas genom tjänsterna överföras till eller nås från platser utanför Europeiska ekonomiska samarbetsområdet (EES).
Sådana överföringar genomförs i full överensstämmelse med tillämpliga dataskyddslagar, och lämpliga garantier tillämpas för att säkerställa att personuppgifter förblir skyddade hela tiden. I synnerhet:
Personuppgifter får endast överföras efter genomförandet av Standardavtalsklausuler godkända av Europeiska kommissionen (Beslut nr 2021/914/EU) – tillsammans med Förenade kuungarikets tillägg för överföring av internationell data eller Avtalet för överföring av internationella data (IDTA) godkänt av Förenade kungarikefs Information Commissioner's Office (ICO), vid behov – eller till länder som erkänts av kommissionen som som att ge en adekvat nivå av dataskydd ("adequathetsbeslut").
Överföringar till USA kan förlita sig på EU-USA Data Privacy Framework, när det är tillämpligt.
Empatica implementerar också tekniska och organisatoriska garantier, såsom kryptering och åtkomstkontroll, för att skydda personuppgifter under överföring.
För mer information om internationell dataöverföring eller för att få en kopia av relevanta garantier, kontakta oss med hjälp av detaljerna i avsnitt 11 nedan.
9. Länkar till tredje parter
Tjänsterna kan innehålla länkar till webbplatser eller program från tredje part. Åtkomst till och användning av sådana länkade resurser styrs inte av denna princip utan av dessa tredje parts integritetsprinciper. Empatica ansvarar inte för informationspraxis eller innehåll på tredje parts webbplatser eller tjänster.
10. Ändringar av denna integritetsprincip
Vi kan uppdatera denna princip från tid till annan för att återspegla förändringar i juridiska krav eller hur vi tillhandahåller våra tjänster. Alla uppdateringar kommer att publiceras på vår webbplats och i mobilappen, och datumet "Senast uppdaterad" överst på denna princip indikerar när de senaste ändringarna gjordes.
Om vi gör väsentliga ändringar kommer vi att försöka ge förvarning i förväg, till exempel via e-post till kunder eller genom att publicera ett framträdande meddelande på vår webbplats.
11. Kontakta oss
Empatica välkomnar dina frågor, kommentarer eller bekymmer angående denna princip eller vår integritetspraxis.
Du kan kontakta oss på:
📧 privacy@empatica.com
📍 Empatica S.r.l.
Via Stendhal 36, 20144 Milano, Italien
Empaticas dataskyddsamordnare (DPO) kan också kontaktas på samma e-postadress.
