Empatica S.r.l.

Meddelande om integritet

Senast uppdaterad: [2 april 2025]

Detta integritetsmeddelande ("meddelande") beskriver hur Empatica S.r.l. (gemensamt "Empatica", "vi", "vår" eller "oss") samlar in, använder, lämnar ut och på annat sätt behandlar information som rör identifierbara personer ("personuppgifter") och vilka rättigheter och val som enskilda personer har avseende sådana personuppgifter.

Behandlingen av personuppgifter kommer att ske i enlighet med förordning (EU) 2016/679 (den allmänna dataskyddsförordningen, eller "GDPR") och nationella dataskyddslagar (gemensamt kallade "dataskyddslagarna"). Empatica är "personuppgiftsansvarig" för den behandling som beskrivs i detta meddelande. Detta innebär att vi är ansvariga för sådan behandling och du kan kontakta oss om du har några frågor eller vill utöva några rättigheter enligt tillämpliga dataskyddslagar. Information om hur du kontaktar Empatica finns i avsnitt14 nedan.

Detta meddelande ska läsas tillsammans med "Villkor och bestämmelser" för användning av tjänsterna (definieras nedan), som finns tillgängliga [här].

Innehållsförteckning

1. Omfattning
2. Vår insamling och användning av personuppgifter
3. Delning av dina personuppgifter med andra
4. Laglig grund för behandling
5. Aggregerad och avidentifierad information
6. Cookies och spårning
7. Dina rättigheter som registrerad
8. Kvarhållande
9. Behandling av barns personuppgifter
10. Internationella överföringar av personuppgifter
11. Säkerhet
12. Länkar till tredje part
13. Ändringar av detta integritetsmeddelande
14. Kontakta oss

1. Omfattning

Om inte annat anges nedan gäller detta meddelande för de personuppgifter som Empatica samlar in och behandlar i samband med EmbracePlus-klockan, de tillhörande EpiMonitor-mobiltelefonapplikationerna ("App") och den tillhörande EpiMonitor-kontosidan ("Portal") (tillsammans "Tjänsterna").

När "du" och "dina" används i detta meddelande avser de främst nuvarande eller potentiella användare av tjänsterna och omfattar även: minderåriga och andra personer för vilkas räkning du agerar, samt vårdgivare (enligt definitionen nedan) och andra personer vars personuppgifter vi kan ta emot i samband med tjänsterna.

1. Vår insamling och användning av personuppgifter

Såsom beskrivs närmare nedan samlar vi in personuppgifter direkt från dig, från tredje part och automatiskt genom din användning av våra tjänster.

Hur vi samlar in personuppgifter

I de flesta fall kommer vi att samla in personuppgifter direkt från dig eller från din användning av tjänsterna.

Vi kan också samla in personuppgifter på annat sätt än från dig under vissa omständigheter, t.ex:

• om du är en registrerad vårdgivare i förhållande till Tjänsterna ("Vårdgivare") kommer vi att få dina kontaktuppgifter från en användare av Tjänsterna i enlighet med Villkoren;
• Om du lägger upp information om oss eller samarbetar med oss på tredjepartsplattformar, t.ex. via ditt konto på sociala medier, kan vi samla in personuppgifter om dig från den tredjepartsplattformen eller det tredjepartskontot (t.ex. ditt användarnamn och/eller handtag på sociala medier). Dessa tredjepartsplattformar och -tjänster kontrollerar den information som de samlar in och delar om dig. För information om hur de kan använda och lämna ut din information, inklusive all information som du offentliggör, se deras respektive integritetspolicy.

Hur vi behandlar personuppgifter

I tabellen nedan sammanfattas de syften för vilka vi behandlar dina personuppgifter, tillsammans med den lagliga grund som vi förlitar oss på för denna behandling i enlighet med dataskyddslagarna. För mer information om tillämpningen av laglig grund, se avsnitt4 nedan.

Ändamålet med behandlingen

Kategorier av personuppgifter

Laglig grund

Tillhandahålla tjänsterna, inklusive drift av EmbracePlus-klockan och tillhandahållande av appfunktionalitet; skicka varningar till vårdgivare; tillhandahålla support angående din användning av våra tjänster; och skicka servicekommunikation.

Personuppgifter, inklusive namn, födelsedatum, kön, ålder, andra demografiska uppgifter och eventuella personuppgifter som på annat sätt lämnas till oss som en del av din registrering och användning av Tjänsterna.

Kontaktuppgifter, inklusive namn, adress, telefonnummer, e-postadress, postadress, namn på mottagning.

Hälsorelaterad information, inklusive fysiologisk information, fysiska tillstånd och diagnoser, biometrisk information (kroppsfunktioner, vitala tecken, symtom, temperatur, EDA-data), beräknade biomarkörer (t.ex. sömn, rörelse) samt mediciner och andra behandlingar eller interventioner.

Platsinformation: geolokaliseringsinformation via dina enhetsinställningar

Fullgörande av ett avtal med dig, ditt uttryckliga samtycke (för hälsorelaterad information och geolokaliseringsdata) och berättigat intresse (skicka varningar till vårdgivare)

Konto- och relationshantering; hantera vår relation med dig, inklusive kommunikation med dig och hantering av transaktioner, konto- och prenumerationshantering; svara på dina frågor, feedback och uppfylla förfrågningar; och skräddarsy innehåll.

Personuppgifter och kontaktinformation (enligt vad som anges ovan).

Transaktionsinformation, avseende köp och betalningar i samband med Tjänsterna, inklusive ett register över dina köp, kortnummer, utgångsdatum, faktureringsadress, leveransinformation och register över dina tidigare köp.

Våra interaktioner med dig, inklusive kommunikation och information om din användning av tjänsterna och dina preferenser.

Fullgörande av ett avtal med dig

Skydd: övervakning och bedömning av prestanda och säkerhet för EmbracePlus Watch och relaterade tjänster, inklusive diagnostik och avhjälpande, samt bedömning och svar på rapporter om negativa händelser.

Hälsorelaterad information och enhetsinformation (enligt vad som anges ovan).

Andra personuppgifter som finns i rapporter om biverkningar.

Enhetsinformation, inklusive IP-adress, EmbracePlus-identifierare, datum och tid för åtkomst till appen, typ av telefon/enhet samt programvaruversion, operativsystem, Bluetooth®- och WiFi-inställningar (på/av).

Efterlevnad av våra rättsliga och regulatoriska skyldigheter som leverantör av medicintekniska produkter och/eller vårt berättigade intresse (för vanliga personuppgifter).

Genomföra forskning och analys avseende Tjänsterna, inklusive genom anonymisering av personuppgifter, för att utvärdera och förbättra våra tjänster och vår affärsverksamhet.

Personuppgifter, enhetsinformation, aktiviteter och användning, transaktionsinformation. Hälsorelaterad information.

Vårt berättigade intresse och, när det gäller hälsorelaterad information, ditt föregående samtycke.

Marknadsföring, reklam och PR, inklusive att erbjuda kampanjer, planera och leda evenemang samt genomföra marknadsundersökningar och enkäter.

Personuppgifter och kontaktinformation (enligt ovan)

Svar på enkäter: all information som du kan tillhandahålla, t.ex. demografiska uppgifter, preferenser och din åsikt om våra produkter och tjänster.

Ditt uttryckliga samtycke till att skicka direktmarknadsföring.

Affärsverksamhet inklusive: redovisning, revision, efterlevnad, registerhållning och juridiska ändamål; för att förhindra och upptäcka bedrägerier och säkerhetsincidenter; för att försvara och upprätthålla våra juridiska och avtalsenliga rättigheter; kreditåtervinning inklusive överlåtelse till auktoriserade företag; och transaktioner såsom försäljning eller omorganisation av vår verksamhet.

Någon av ovanstående kategorier av personuppgifter när det är tillämpligt för vår affärsverksamhet.

Våra legitima intressen, och där det är nödvändigt för att följa lagar eller för att försvara eller göra gällande rättsliga anspråk.

1. Delning av dina personuppgifter med andra

Utöver vad som anges av dig, lämnar vi endast ut de personuppgifter som vi samlar in för att tillhandahålla våra tjänster, svara på och uppfylla dina transaktioner eller förfrågningar, och enligt följande:

• Globala dotterbolag, filialer eller associerade kontor. Vi kan komma att lämna ut de personuppgifter som vi samlar in till våra globala dotterbolag, filialer eller associerade kontor som kommer att använda och lämna ut dessa personuppgifter i enlighet med principerna i detta meddelande. Vi kan särskilt komma att överföra dina personuppgifter till vårt moderbolag Empatica Inc, ett bolag bildat enligt Delawares lagar med säte på 1 Broadway, 14th Floor Cambridge, MA 02142, USA, i syfte att förbättra våra tjänster, öka effektiviteten i verksamheten, säkerställa efterlevnad av internationella lagar och standarder samt stödja forsknings- och utvecklingssamarbeten. För mer information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet, se avsnitt .10
• Försäljare och tjänsteleverantörer. Vi kan lämna ut de personuppgifter som vi samlar in till våra tjänsteleverantörer och andra som utför funktioner för vår räkning eller tillhandahåller oss tjänster endast i syfte att förse dig med tjänsterna, som personuppgiftsbiträden eller personuppgiftsansvariga. Dessa kan till exempel omfatta tjänsteleverantörer som är värd för eller driver tjänsterna, betalningsbehandlare, analysleverantörer, leverantörer av informationstekniktjänster, leverantörer av kommunikationstjänster, kundtjänstleverantörer, konsulter, revisorer och juridiska rådgivare. Vi utser endast tjänsteleverantörer som ger tillräckliga garantier för att de kommer att skydda dina personuppgifter och endast behandla uppgifter som tillåts enligt våra avtal med dem. Vi kan i synnerhet lämna ut de personuppgifter som nämns ovan till de tredje parter som anges nedan:

• https://emp.is/epimonitor-third-parties

Under alla omständigheter kommer vi på din begäran att förse dig med en uppdaterad lista över de leverantörer och tjänsteleverantörer till vilka vi lämnar ut dina personuppgifter.

• Allmän affärsverksamhet. Om vi, våra närstående bolag eller våra dotterbolag förvärvas av, fusioneras med, finansieras av eller investeras i av ett annat företag, eller om några av våra tillgångar överförs eller kan komma att överföras till ett annat företag, oavsett om det sker som en del av ett konkurs- eller insolvensförfarande eller på annat sätt, kan vi komma att överföra den information vi har samlat in om dig till det andra företaget. Vi kan också komma att dela vissa personuppgifter som är nödvändiga innan en sådan transaktion eller företagstransaktioner som finansieringar eller omstruktureringar genomförs, till långivare, revisorer, och andra rådgivare, inklusive advokater och konsulter, som en del av due diligence eller som nödvändigt för att planera för en transaktion.
• Andra enligt vad som är tillåtet eller krävs enligt tillämplig lag. Vi kan lämna ut personuppgifter till andra parter i den utsträckning som tillåts eller krävs enligt tillämplig lag. Detta kan omfatta tillsynsmyndigheter, statliga enheter och brottsbekämpande myndigheter. Det kan också innefatta vissa utlämnanden som vi är skyldiga att göra.
• Säkerhet och skydd av rättigheter. Vi kan lämna ut dina personuppgifter när vi anser att det är lämpligt att göra det för att utreda, förhindra eller vidta åtgärder avseende olagliga aktiviteter, misstänkt bedrägeri, situationer som innebär potentiella hot mot säkerheten för någon person, överträdelser av våra användarvillkor eller detta meddelande, eller som bevis i rättstvister där vi är inblandade.
• Med tillstånd. Vi kan lämna ut personuppgifter på sätt som inte beskrivs ovan. Om vi gör det kommer vi att meddela dig och vid behov inhämta ditt samtycke. Till exempel om du har en utsedd vårdgivare, eller om vi kan dela information med den vårdgivaren.
• Om personuppgifterna rör barn: vi kan dela ett barns personuppgifter med föräldrar, vårdnadshavare och/eller vårdgivare enligt vad som anges i avsnitt9 nedan.

1. Laglig grund för behandling

Den lagliga grund på vilken vi behandlar dina personuppgifter för specifika ändamål är den som anges i tabellen i avsnitt 2 ovan och kompletteras av den ytterligare informationen i detta avsnitt.

Behandling på grundval av att fullgöra avtalet med dig

När vi anger att vi behandlar dina personuppgifter för att fullgöra avtalet med dig innebär det att sådan behandling är nödvändig för att vi ska kunna fullgöra våra avtalsförpliktelser gentemot dig. I dessa fall krävs inte ditt samtycke för att vi ska få behandla dina personuppgifter, eftersom behandlingen är nödvändig för att tillhandahålla dig de tjänster eller produkter som du har begärt.

Behandling på grundval av våra berättigade intressen

När vi anger att vi behandlar personuppgifter på grundval av våra berättigade intressen har vi fastställt och dokumenterat att (a) behandlingen är nödvändig för berättigade affärsändamål och (b) vårt intresse av att göra det inte uppvägs av en risk för de registrerades rättigheter och friheter som uppstår genom sådan behandling. Du har en kvalificerad rätt att invända mot vår behandling på denna grund - se avsnitt 7 nedan.

Behandling av hälsorelaterad information

Behandling av din hälsorelaterade information är en integrerad del av tillhandahållandet av tjänsterna. Denna typ av personuppgifter är föremål för ytterligare skydd enligt dataskyddslagarna. Vi kommer endast att behandla din hälsorelaterade information när det är nödvändigt:

• Att tillhandahålla Tjänsterna på grundval av ditt samtycke. Vi kommer att inhämta detta samtycke från dig när du använder Tjänsterna för de syften som anges i detta Meddelande och i Villkoren. Se nedan för mer information om samtycke.
• För att uppfylla våra skyldigheter som leverantör av en medicinteknisk produkt att övervaka den operativa och tekniska prestandan och säkerheten hos EmbracePlus Watch och relaterade tjänster, inklusive via rapporter om negativa händelser.
• Om du ger ditt förhandsgodkännande, för att genomföra forskning och analys avseende Tjänsterna, inklusive genom anonymisering av personuppgifter, för att utvärdera och förbättra våra tjänster och vår affärsverksamhet.
• för att försvara eller genomdriva våra lagliga rättigheter och uppfylla andra lagkrav.

Behandling baserad på ditt samtycke

Om vi kräver ditt samtycke för behandling av dina personuppgifter som en del av tjänsterna kan du när som helst återkalla ditt samtycke genom att kontakta oss (se kontaktuppgifter i avsnitt14 nedan) eller via appen (i förhållande till platsdata). Om du återkallar ditt samtycke kommer du dock inte längre att kunna använda funktionerna i EmbracePlus-klockan och relaterade tjänster, inklusive meddelanden till vårdgivare, eftersom dessa kräver behandling av hälsouppgifter och platsdata. Om du återkallar ditt samtycke till att utföra forskning och analys avseende tjänsterna, inklusive genom anonymisering av personuppgifter, kommer vi inte längre att kunna utföra databehandlingsaktiviteter för detta ändamål.

Behandling för marknadsföringsändamål

Vi kan komma att behandla dina personuppgifter som en del av våra marknadsföringsaktiviteter. Vi kommer endast att skicka direktmarknadsföring till dig med ditt föregående samtycke. Du kan när som helst avregistrera dig från sådan kommunikation via den länk som finns i varje meddelande. Om du väljer att inte ta emot e-postmeddelanden med marknadsföring från oss kan vi fortfarande skicka meddelanden till dig som du har begärt att få från oss.

1. Aggregerad och avidentifierad information

Vi kan använda och lämna ut anonymiserade uppgifter som rör vår verksamhet och tjänsterna för kvalitetskontroll, analys, forskning, utveckling och andra ändamål. Denna behandling baseras på våra legitima intressen, utom när det gäller hälsouppgifter, i vilket fall vi förlitar oss på ditt förhandsgodkännande (se ovan).

1. Cookies och spårning

Vi använder cookies på vissa delar av vår webbplats. Vi ber dig att läsa meddelandet om cookies som finns tillgängligt [här] och som ska läsas tillsammans med detta meddelande.

1. Dina rättigheter som registrerad och ditt dataskyddsombud

Du kan när som helst utöva de rättigheter som dataskyddslagarna ger dig avseende dina personuppgifter genom att skriva tillprivacy@empatica.com och/eller kontakta de kontaktpersoner som anges i avsnitt14 . Du kan i synnerhet utöva följande rättigheter:

• För att få tillgång till dina personuppgifter
• Rättelse/radering av dina personuppgifter
• Begränsa behandlingen av dina personuppgifter
• För att överföra dina personuppgifter till en annan personuppgiftsansvarig ("dataportabilitet")
• Att invända mot behandlingen av dina personuppgifter
• För att få information om och/eller en kopia av de skyddsåtgärder för personuppgifter som används vid överföringar utanför EU/EES till länder som inte är lämpliga för ändamålet
• För att lämna in ett klagomål till din lokala tillsynsmyndighet

Vi kan be dig om ytterligare information för att bekräfta din identitet och av säkerhetsskäl innan vi lämnar ut de begärda personuppgifterna till dig. Vi förbehåller oss rätten att ta ut en avgift om det är tillåtet enligt lag, t.ex. om din begäran är uppenbart ogrundad eller orimlig.

Du kan utöva dina rättigheter genom att kontakta oss. Med förbehåll för juridiska och andra tillåtna överväganden kommer vi att göra alla rimliga ansträngningar för att uppfylla din begäran snabbt och, under alla omständigheter, inom den tidsram som anges i dataskyddslagarna. Om vi behöver ytterligare information för att uppfylla din begäran kommer vi att informera dig om detta.

Vi kanske inte alltid kan tillmötesgå din begäran fullt ut, till exempel om det skulle påverka den sekretessplikt vi har gentemot andra, eller om vi har laglig rätt att hantera begäran på ett annat sätt. Vi har utsett ett personuppgiftsombud som ansvarar för att övervaka efterlevnaden av bestämmelserna om skydd av personuppgifter och som fungerar som kontaktpunkt för förfrågningar från de personer som personuppgifterna avser. Det dataskyddsombud som Empatica har utsett i enlighet med avsnitt 37 i GDPR kan också kontaktas på följande e-postadress: [privacy@empatica.com ]

1. Kvarhållande

Vi behåller dina personuppgifter så länge som det är nödvändigt för att uppfylla de syften för vilka de samlades in eller som annars är nödvändigt för att uppfylla våra rättsliga skyldigheter, lösa tvister, upprätthålla lämpliga affärsregister och verkställa våra avtal.

I synnerhet kommer följande lagringstider att gälla:

• Tillhandahållande tjänster/konto- och relationshantering: en period som motsvarar löptiden för det avtal som ingåtts med oss, samt i 10 (tio) år därefter (den period under vilken preskriptionstiden för Empaticas eventuella avtalsrättsliga ansvar löper), utom då lagring under en längre period krävs för eventuella tvister, begäran från behöriga myndigheter eller enligt tillämplig lag.
• Skydd: den period som föreskrivs i tillämplig lag. Detta omfattar bland annat övervakning efter marknadsintroduktion, diagnostik och sanering samt bedömning av och svar på rapporter om negativa händelser, liksom andra lagstadgade skyldigheter.
• Forskning och analys: en lagringsperiod på 1 (ett) år gäller för personuppgifter, utan någon särskild lagringsperiod för anonymiserade uppgifter.
• Marknadsföring, reklam och PR: tills du återkallar ditt samtycke till behandling för sådana ändamål och under alla omständigheter inte längre än 24 (tjugofyra) månader.
• Affärsverksamhet: för bokföring, revision, efterlevnad, registerhållning och juridiska ändamål, under den period som föreskrivs i tillämplig lag; för att förebygga och upptäcka bedrägerier och cybersäkerhetsincidenter under en period om 7 (sju) dagar från insamlingstillfället, såvida inte ytterligare lagring är nödvändig för att fastställa ansvar vid cyberbrott mot Empatica, för att efterkomma begäran från myndigheter och/eller för att säkerställa efterlevnad av tillämpliga kvalitets- och säkerhetsstandarder; för att försvara och genomdriva våra lagliga och avtalsenliga rättigheter samt kreditåtervinning, inklusive överlåtelse till auktoriserade företag, under den period som anges i stycket "Tillhandahållande av tjänsterna/Konto och relationshantering" ovan eller den ytterligare period som krävs för att genomdriva sådana rättigheter och intressen; och för transaktioner såsom försäljning eller omorganisation av vår verksamhet, under den tillämpliga lagringstiden för de relevanta databehandlingsaktiviteterna.

1. Behandling av barns personuppgifter

Vi har åtagit oss att skydda integriteten för barn som använder våra tjänster. Detta avsnitt innehåller kompletterande information om vår behandling av personuppgifter som rör barn.

Åldersgrupper:

• Barn över 6 år men under 18 år: kan ges EmbracePlus men får inte registrera sig som användare av tjänsterna om inte deras föräldrar eller vårdnadshavare gör det för deras räkning.
• När det gäller barn under 6 år är du medveten om - såsom anges i EpiMonitors bruksanvisning - att EpiMonitor är ett receptbelagt medicintekniskt system som består av en bärbar enhet "EmbracePlus" eller "EmbracePlus" och en ihopkopplad mobil programvara "EpiMonitor" avsedd som ett komplement till anfallsövervakning hos vuxna och barn från 6 år och uppåt i hemmiljö eller på vårdinrättningar.

Behandling och delning av barns uppgifter

Vi kommer att behandla personuppgifter som rör barn enligt vad som anges i detta meddelande. Om du är en förälder eller vårdnadshavare med föräldraansvar som agerar som Användare för ett barn under 18 år, har du också tillgång till ditt barns personuppgifter som samlas in av oss och kan välja att ta emot meddelanden om viss aktivitet via Appen; du kan också utse ytterligare Vårdnadshavare att ta emot sådana meddelanden.

Föräldrars ändringar och kontroller. När barn under 18 år skapar ett konto eller på annat sätt använder Tjänsterna, kommer vi att inhämta verifierbart samtycke från föräldrarna innan vi samlar in deras Personuppgifter. Föräldrar kan också granska sitt barns personuppgifter som vi har och för sitt barns räkning utöva någon av sina rättigheter som registrerad som anges i avsnitt7 ovan.

1. Internationella överföringar av personuppgifter

Empatica har sitt huvudkontor i USA och har verksamhet, enheter och tjänsteleverantörer i USA, Europeiska unionen och över hela världen. Empatica och våra tjänsteleverantörer kan komma att överföra dina personuppgifter till, eller få åtkomst till, jurisdiktioner utanför det europeiska territoriet. I detta fall kommer överföringen att ske i enlighet med bestämmelserna i dataskyddslagarna (i synnerhet kommer uppgifterna endast att överföras efter undertecknande av de standardavtalsklausuler som godkänts av EU-kommissionen genom beslut nr 2021/914/EU eller till länder som kan garantera en adekvat nivå av skydd för personuppgifter och därför är mottagare av ett beslut om adekvat nivå som antagits av EU-kommissionen och EU-US Data Privacy Framework med avseende på dataöverföringar till USA). För ytterligare information om dataöverföringar utanför EES/EU kan du kontakta oss (se kontaktuppgifter i avsnitt14 nedan).

1. Säkerhet

Vi har implementerat lämpliga tekniska och organisatoriska skyddsåtgärder som är avsedda att skydda de personuppgifter vi samlar in från förlust, missbruk, obehörig åtkomst, utlämnande, ändring och förstörelse.

1. Länkar till tredje part

Våra tjänster kan innehålla länkar till tredje parts webbplatser. All åtkomst till och användning av sådana länkade webbplatser regleras inte av detta meddelande utan istället av sekretessmeddelandena på dessa tredjepartswebbplatser. Vi ansvarar inte för informationspraxis på sådana tredjepartswebbplatser.

1. Ändringar av detta integritetsmeddelande

Vi kan komma att göra ändringar i detta meddelande från tid till annan, så läs igenom det med jämna mellanrum. Vi kommer att publicera uppdateringar av Meddelandet på vår webbplats. Om vi gör några väsentliga ändringar i detta meddelande kommer vi att sträva efter att meddela dig i förväg, till exempel genom att skicka e-post eller lägga upp ett tydligt meddelande på vår webbplats.

1. Kontakta oss

Empatica välkomnar dina frågor och kommentarer om din integritet eller detta meddelande. Vänligen kontakta oss genom att skicka e-post till privacy@empatica.com.