Osobní údaje v e‑infrastruktuře CESNET a dalších službách sdružení CESNET

  1. V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen GDPR – informuje CESNET, z. s. p. o. subjekty údajů o podmínkách, za jakých jsou zpracovávány osobní údaje při poskytování služeb e‑infrastruktury CESNET. Subjektem údajů je fyzická osoba, která využívá služeb e‑infrastruktury CESNET.

  2. Správcem osobních údajů dle GDPR je CESNET, zájmové sdružení právnických osob, Zikova 1903/4, 160 00 Praha 6, Česká republika, IČ: 63839172, DIČ: CZ63839172 (dále jen sdružení CESNET).

  3. E‑infrastruktura CESNET je velkou výzkumnou infrastrukturou ve smyslu zákona č. 130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací z veřejných prostředků a o změně některých souvisejících zákonů a poskytuje služby organizacím, které splňují Podmínky přístupu k e‑infrastruktuře CESNET. Přístupem do e‑infrastruktury CESNET získává organizace (a jejím prostřednictvím jednotlivé fyzické osoby – například zaměstnanci a studenti, tj. subjekty údajů dle GDPR) přístup k unikátnímu souboru služeb v oblasti informačních a komunikačních technologií: nadstandardní vysokorychlostní přístup do sítě Internet a do partnerských sítí pro vědu výzkum a vzdělávání po celém světě, prostředí pro ukládání dat, náročné výpočty, podporu spolupráce, bezpečnost, správu identit a další služby.

  4. V rámci přístupu ke službám e-infrastruktury můžeme rozlišit dva druhy služeb: služby, které pro přístup nevyžadují autentizaci a autorizaci, a služby, které ke svému přístupu autentizaci a autorizaci vyžadují. Pro přístup ke službám, které vyžadují autentizaci a autorizaci, je třeba, aby si uživatel vytvořil uživatelský účet.

  5. V rámci přístupu ke službám e‑infrastruktury, které vyžadují autentizaci a autorizaci, jsou zpracovávány následující osobní údaje: jméno, příjmení, e-mail, telefonní číslo, název domovské organizace, afilace k domovské organizaci, uživatelská identita z domovské organizace (např. Edu Person Principal Name), uživatelské jméno vytvořené pro e‑infrastrukturu CESNET a unikátní identifikátor uživatele pro e‑infrastrukturu, IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury CESNET.

  6. V rámci přístupu ke službám e‑infrastruktury, které nevyžadují autentizaci a autorizaci, jsou zpracovávány následující osobní údaje: IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury.

  7. Vlastní zpracování osobních údajů je zahájeno při prvním využití služby e‑infrastruktury CESNET a osobní údaje, kterými jsou jméno, příjmení, e-mail, telefonní číslo, název domovské organizace, afilace k domovské organizaci, uživatelská identita z domovské organizace (např. Edu Person Principal Name), uživatelské jméno vytvořené pro e‑infrastrukturu CESNET a unikátní identifikátor uživatele pro e-infrastrukturu jsou v neanonymizované podobě uchovávány po celou dobu využívání služby e‑infrastruktury. Osobní údaje: jméno, příjmení, e-mail, jméno domovské organizace, afilace k domovské organizaci, uživatelská identita z domovské organizace, uživatelská identita vytvořená pro e‑infrastrukturu CESNET a unikátní identifikátor uživatele pro e-infrastrukturu jsou uchovávány i po skončení využívání služeb e‑infrastruktury z důvodu bezpečnostních (zejména zabránění duplicitě identit uživatelských účtů) a z důvodu vykazování využití zdrojů e‑infrastruktury CESNET. Správce stanoví technické a organizační podmínky pro zabezpečení osobních údajů tak, aby byla zajištěna jejich integrita a důvěrnost.

  8. Osobní údaje mající povahu provozních a lokalizačních údajů2, jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury, jsou po 18 měsících smazány.

  9. Osobní údaje související s informacemi o využití zdrojů e‑infrastruktury uchováváme po dobu, po kterou jsou potřebné pro provozování a zkvalitňování služby, nebo, v případě projektů, po dobu stanovenou jednotlivými poskytovateli účelové podpory, nejméně však 5 let od ukončení projektů.

  10. Osobní údaje jsou u služby e‑infrastruktury zpracovávány za účelem:

    • poskytování vlastní služby spočívající v nutnosti autentizace a autorizace oprávněného uživatele,
    • administrativy,
    • zajištění vlastního provozu služby e‑infrastruktury,
    • statistik,
    • monitoringu služby,
    • optimalizaci běhu dílčích úloh a služby jako takové,
    • bezpečnosti,
    • výročních zpráv, monitorovacích zpráv a vykazování výsledků projektů a jiných obdobných dokumentů.
  11. Osobní údaje mohou být u služby e‑infrastruktury sděleny:

    • Organizačním složkám (útvarům či oddělením) v rámci sdružení CESNET z důvodů uvedených v čl. 4.
    • Osobní údaje mající podobu provozních a lokalizačních údajů3, jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury mohou být sděleny administrátorům sítí a služeb z organizací připojených do e‑infrastruktury a členům bezpečnostních týmů v rámci procesu řešení provozních problémů a bezpečnostních incidentů.
    • Dalším subjektům, za předpokladu, že dojde k anonymizaci či pseudonymizaci osobních údajů subjektu údajů.
  12. Služby e‑infrastruktury je možné využít na základě splnění podmínek uvedených v příslušných pravidlech služeb e‑infrastruktury a na základě souhlasu se zpracováním osobních údajů. Právní důvody pro zpracování osobních údajů jsou následující:

    • souhlas subjektu údajů
    • oprávněný zájem správce, který spočívá zejména v:
      • zamezení podvodům,
      • předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely,
      • pro zajištění bezpečnosti sítě a informací, které mimo jiné spočívá v zabránění neoprávněného přístupu k sítím elektronických komunikací a službám a šíření škodlivých kódů a zamezení útokům a škodám na počítačových systémech a systémech elektronických komunikací.
  13. Subjekt údajů je oprávněn uplatnit svá práva vyplývající z GDPR. Práva musí subjekt údajů uplatňovat vůči správci osobních údajů. Postup pro uplatnění práv je uveden na https://www.cesnet.cz/kontakty/.

  14. Tato pravidla jsou dostupná v české a anglické verzi. Dojde-li k rozporu mezi těmito verzemi, přednost má verze česká.

Tato pravidla ve verzi 1.1 byla zveřejněna dne 23. 5. 2018.

Předchozí verze pravidel: 1.0 z 29. listopadu 2017

1 IdM je systém pro centrální správu uživatelských účtů, který umožňuje řízení celého životního cyklu (elektronické) identity uživatele.

2 Viz § 90 a 91 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).

3 Viz § 90 a 91 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).

Poslední změna: 23.5.2018