Политика Google Fit в отношении данных пользователей и медицинских исследований

Условия и положения Google Fit , Политика в отношении пользовательских данных и разработчиков , а также Руководство для разработчиков посвящены защите конфиденциальности и безопасности, а также содействию исследованиям в области здоровья и фитнеса. API Google Fit можно использовать только для исследований в области здравоохранения, именуемых в настоящей политике исследованиями в области здравоохранения, только в том случае, если исследование рассматривается или утверждается независимым советом, целью которого является 1) защита прав, безопасность и благополучие участников и 2) с полномочиями проверять, изменять, одобрять или не одобрять исследования людей. Независимые советы включают Институциональный наблюдательный совет (IRB), подробно описанный в 45 CFR §§ 46.101-115, Комитет по этике (EC), подробно описанный в Директиве 2001/20/EC или Директиве 2005/28/EC, или другую организацию, придерживающуюся по существу аналогичных требований. ("Доска обзоров").

Утвержденные Google приложения и веб-службы, использующие Google Fit API для исследований в области здравоохранения, будут обозначаться как «Приложения для исследований в области здравоохранения» или «Веб-службы для исследований в области здравоохранения» и совместно именоваться «Приложения и веб-службы для исследований в области здравоохранения». Используемые в настоящем документе термины «вы» и «ваш» относятся к данным приложениям и веб-службам Health Research. В случае противоречия между этой политикой или любыми другими условиями в отношении доступа к пользовательским данным настоящая политика исследований в области здравоохранения контролирует приложения и/или веб-службы в области исследований в области здравоохранения.

Приложения и веб-сервисы для медицинских исследований:

  1. несут ответственность за получение одобрения или отказа от Наблюдательного совета;
  2. Должны соблюдать приведенную ниже политику, политику Google Fit в отношении данных разработчика и пользователя , если иное не указано в настоящем документе, а также другие применимые политики Google, включая Условия использования Google API, Условия и положения Google Fit для разработчиков и Политики OAuth 2.0 , а также
  3. Должны соответствовать всем применимым законам и нормативным актам, включая, помимо прочего, Закон штата Калифорния о конфиденциальности потребителей, HIPAA, GDPR (ЕС и Великобритания), DPA 2018), Общее правило, положения FDA о защите людей.

Вы несете ответственность за регулярный мониторинг и обеспечение соблюдения этих условий. Если в какой-то момент вы не сможете выполнить эти условия (или если существует значительный риск того, что вы не сможете их выполнить), вы должны немедленно прекратить использование наших услуг. Мы также оставляем за собой право отказать или отозвать ваше разрешение на проведение исследований в области здравоохранения, если вы не соблюдаете эту политику или у нас есть разумные опасения относительно ее соблюдения вами.

Аттестация исследований в области здравоохранения

Приложения и веб-службы для исследований в области здравоохранения должны выбрать «Исследования в области здравоохранения» в процессе подачи заявки Разработчиком. Приложения и веб-службы для исследований в области здравоохранения должны предоставить:

  1. Заполненная форма приема
  2. IRB/EC (или аналогичный эквивалент) Письмо об одобрении/отказе от прав
  3. IRB/EC (или практически аналогичный эквивалент) Аккредитация
  4. Требуемые точные данные и обоснование использования

Определение права на участие в исследованиях в области здравоохранения

Приложения и веб-службы Health Research должны подтвердить право участника перед получением информированного согласия и запросом разрешения на доступ к данным участника.

Прозрачное и точное уведомление и контроль медицинских исследований

После подтверждения права вы должны соблюдать требования раздела «Прозрачное и точное уведомление и контроль» Политики Google Fit в отношении данных разработчиков и пользователей .

Кроме того, приложения для медицинских исследований или веб-службы должны раскрывать информацию через диалоговое окно или дополнительные диалоговые окна, которые включают:

  1. Характер, цель и продолжительность исследования;
  2. Риски и выгоды для участника;
  3. Принятые меры конфиденциальности, безопасности и обработки данных для защиты данных;
  4. Контактное лицо для любых вопросов;
  5. Период(ы) хранения данных, собранных для исследования;
  6. Как выйти из исследования;
  7. Как удалять свои данные из исследования на протяжении всего жизненного цикла исследования, в том числе разрешает ли исследование удаление после того, как данные станут общедоступными; а также,
  8. Любые другие соответствующие документы или информация, требуемые вашим IRB/EC.

Вы также должны предоставить участнику возможность сохранять, хранить или отправлять по электронной почте указанную выше информацию, документы об информированном согласии и любые другие документы, требуемые IRB/EC. Каждый участник должен подписать и предоставить необходимые раскрытия информации и согласия до участия в исследовании. Копии всех подписанных документов должны быть отправлены участнику.

Приложения и веб-службы для исследований в области здравоохранения будут соответствовать стандарту FDA « Использование электронных вопросов и ответов на основе информированного согласия» или аналогичным стандартам. Например, включите простой язык в свои объяснения с диаграммами/инфографикой и потребуйте от участников правильных ответов на вопросы об исследованиях в области здравоохранения до их зачисления.

Ограниченное использование пользовательских данных для медицинских исследований

Приложения или веб-службы для медицинских исследований должны соответствовать приведенным ниже требованиям. Эти требования применяются к данным участников, включая необработанные данные, полученные из API Google Fit, а также данные, агрегированные, обезличенные или полученные из данных участников или необработанных данных.

  1. Ограничьте использование данных участников их предполагаемой целью сбора.
  2. Немедленно обезличьте данные участников, насколько это возможно для вашего исследования.
  3. Не используйте и не делитесь данными участников с третьими лицами для новых исследований или для любых целей, отличных от первоначальных целей исследования, без получения отдельного информированного согласия от участников, если только IRB прямо не отказывается от требования отдельного информированного согласия.
  4. Не используйте и не делитесь данными с членами вашей команды, у которых нет реальной необходимости знать.
  5. Только передавать данные участников третьим лицам:
    1. Если это необходимо для достижения первоначальной цели исследования, и третьи стороны обязаны ограничить доступ и использование данных участников для достижения этой цели;
    2. Если участник дал явное согласие на обмен определенными данными; например, в подписанном документе об информированном согласии, представленном участнику;
    3. если это необходимо в целях безопасности (например, при расследовании злоупотреблений); или же,
    4. для соблюдения применимых законов или правил.

Любая другая передача, использование или продажа данных участников прямо запрещена, в том числе:

  1. Передача, продажа или использование данных участников для показа рекламы, включая контекстную, ретаргетинговую, персонализированную рекламу или рекламу на основе интересов.
  2. Передача или продажа данных участников третьим лицам, таким как рекламные платформы, брокеры данных или любые другие торговые посредники.
  3. Передача, продажа или использование данных участников для определения кредитоспособности или в целях кредитования.
  4. Передача, продажа или использование данных участника с любым продуктом или услугой, которые могут квалифицироваться как медицинское устройство в соответствии с разделом 201 (h) Федерального закона о пищевых продуктах, лекарствах и косметике (FD&C), если данные участника будут использоваться медицинским устройством. выполнять свою сертифицированную функцию.
  5. Передача, продажа или использование данных участников для любых целей или каким-либо образом, связанных с защищенной медицинской информацией (согласно определению HIPAA), за исключением случаев, когда вы получили их в соответствии с действующим разрешением HIPAA, которое было проверено IRB или EC, в зависимости от обстоятельств.

В вашем приложении или на веб-сайте, принадлежащем вашему веб-сервису или приложению, должно быть указано подтверждение того, что использование вами данных соответствует ограничениям ограниченного использования Google Fit API для медицинских исследований; например, абзац в вашем документе об информированном согласии или ссылка на главной странице на специальную страницу или политику конфиденциальности с отметкой: «Использование информации, полученной от API Google Fit, будет соответствовать Политике данных разработчиков и пользователей Google Fit , включая Требования ограниченного использования ». Если вы не можете добавить раскрытие, политика конфиденциальности вашего приложения должна соответствовать требованиям, изложенным в этой политике. Этот параметр может увеличить время проверки вашего приложения.

Рекомендации по безопасной обработке данных для медицинских исследований

Приложения и веб-службы Health Research должны соответствовать разделу «Безопасная обработка данных» Google Fit «Данные пользователя и политика разработчиков» .

Приложениям и веб-службам для исследований в области здравоохранения также рекомендуется следовать передовым методам, рекомендованным Министерством здравоохранения и социальных служб США, правилами Управления по санитарному надзору за качеством пищевых продуктов и медикаментов США или Руководящими принципами надлежащей клинической практики ICH , такими как подача заявки на получение сертификата конфиденциальности от национальных институтов. здравоохранения, которые могут защитить данные от принудительного раскрытия третьим лицам.

Публикация данных

Приложения и веб-службы, занимающиеся исследованиями в области здравоохранения, могут публиковать результаты своих исследований, но не могут предлагать Google одобрить дизайн исследования, научную обоснованность исследования или иным образом подтверждать результаты исследования, если они не предоставлены Google в письменной форме. Приложения и веб-службы для медицинских исследований должны соответствовать соответствующим законам и правилам, а также следующим требованиям, если вы планируете опубликовать свое исследование или сделать его общедоступным в любой форме:

  1. Зарегистрируйте свое исследование в публичном реестре; например, Clinictrials.gov .
  2. Уведомить Google Fit о включении исследования в библиотеку публикаций Google Fit;
  3. Публично раскрыть источник информации.
  4. Воздержитесь от публикации индивидуальных данных, которые могут быть идентифицированы, и снизьте риск повторной идентификации. Примеры передовой практики по снижению риска повторной идентификации включают:
    1. По возможности предоставьте агрегированные данные сводного уровня, а не обезличенные данные индивидуального уровня.
    2. Если вы должны поделиться обезличенными данными на индивидуальном уровне, вместо того, чтобы публиковать данные публично, предоставляйте их другим выборочно только для целей экспертной оценки, при условии соблюдения договорных обязательств получателя не раскрывать и не пытаться повторно идентифицировать данные.
    3. Если вам необходимо опубликовать деидентифицированные данные на индивидуальном уровне, вы должны сделать это в соответствии со всеми применимыми законами и, как минимум, использовать общепринятый метод деидентификации, такой как дифференциальная конфиденциальность, для сохранения конфиденциальности, или получить экспертное заключение о том, что риск повторной идентификации очень мал.