Kartom COVID poświęcona jest osobna sekcja w Zasadach dopuszczalnego użytkowania stanowiąca uzupełnienie Warunków korzystania z Google Pay API oraz Warunków korzystania z Google Pay API for Passes.
Wybrane fragmenty Zasad dopuszczalnego użytkowania dotyczących kart COVID znajdują się poniżej. Udostępniamy je wyłącznie w celach informacyjnych. Szczegółowe informacje znajdziesz w Zasadach dopuszczalnego użytkowania.
Wymagania
Korzystanie z Google Pay API for Passes w przypadku kart COVID-19 (kart COVID) jest ograniczone do podmiotów z co najmniej jednej z poniższych kategorii. Do wniosku o dostęp do interfejsu API należy dołączyć podpisaną dokumentację na papierze firmowym potwierdzającą, że reprezentujesz odpowiedni podmiot lub masz jego upoważnienie.
W przypadku kart, które zawierają wyłącznie niezinterpretowane dane dotyczące szczepień lub testów, odpowiednimi podmiotami są:
- oficjalne instytucje państwowe;
- systemy opieki zdrowotnej lub dostawcy usług zdrowotnych (np. NFZ, CVS Health, UK National Health Service, UnitedHealth Group, Kaiser Permanente, państwowy system opieki zdrowotnej we Francji, NetCare w Republice Południowej Afryki, One Medical itp.);
- organizacje uprawnione przez instytucje zdrowia publicznego do dystrybucji szczepionek przeciw COVID-19 lub wykonywania testów.
W przypadku kart zawierających zinterpretowane dane (np. w celu ustalenia, czy dana osoba może odbywać podróże lub korzystać z miejsc publicznych) uprawnionymi jednostkami są wyłącznie oficjalne instytucje państwowe lub podmioty, które uzyskały pozwolenie od oficjalnej instytucji państwowej. Rodzaje zinterpretowanych danych są oznaczone gwiazdką w sekcji „Wymagania dotyczące prywatności” poniżej.
Wymagania dotyczące prywatności
Korzystanie z Google Pay API for Passes w przypadku kart COVID-19 (kart COVID) musi być zgodne z tymi wymogami:
- Musisz zadbać o to, by karty COVID-19 zawierały jak najmniejszą ilość informacji umożliwiających identyfikację (np. imię i nazwisko, datę urodzenia) wymaganych do realizacji celu związanego z ich przeznaczeniem.
- Podczas rejestracji musisz szczegółowo wymienić wszystkie rodzaje danych, które zamierzasz ujawnić na karcie COVID-19. Karty mogą, ale nie muszą, zawierać wymienione poniżej rodzaje danych. Wykorzystywanie innych rodzajów danych jest zasadniczo zabronione. Aby uwzględnić inne rodzaje danych niż wymienione poniżej, musisz przesłać prośbę wraz z wyczerpującym uzasadnieniem.
Akceptowane rodzaje danych
- Informacje o szczepieniu przeciw COVID-19
- Kod szczepionki (np. CVX), ogólny opis szczepionki lub nazwa producenta szczepionki
- Data szczepienia
- Numer partii
- Numer dawki
- Punkt szczepienia
- Termin następnej dawki
- Informacje o teście na koronawirusa
- Kod testu (np. LOINC) lub opis testu
- Wynik testu
- Data testu
- Miejsce, w którym przeprowadzono test
- Informacje o wydawcy takie jak nazwa w formie zwykłego tekstu, klucz publiczny, podpis cyfrowy, informacje kontaktowe.
- Imię i nazwisko pacjenta
- Data urodzenia pacjenta
- Rekomendacja dotycząca możliwości wstępu. Jest to interpretacja danych o stanie zaszczepienia użytkownika lub wykonanych testach, która wskazuje, czy dana osoba może wejść na określony teren lub brać udział w określonym wydarzeniu. Pamiętaj, że karty, w których wykorzystywane są te pola danych, muszą spełniać dodatkowe wymagania opisane powyżej.
- Data i godzina upływu ważności. Pamiętaj, że karty, w których wykorzystywane są te pola danych, muszą spełniać dodatkowe wymagania opisane powyżej.
- Poziom potwierdzenia tożsamości
W przypadku użycia interfejsu Passes API z danymi o stanie zaszczepienia użytkownika przeciw COVID-19 lub wykonanych testach na obecność koronawirusa nie można bez wcześniejszej autoryzacji dołączać ani przesyłać żadnych innych informacji poufnych umożliwiających identyfikację, takich jak identyfikatory nadane przez instytucje państwowe, identyfikatory pacjentów czy identyfikatory pracowników ochrony zdrowia.