Informace o ochraně osobních údajů – verze 11/2017
Upozornění: Toto je archivované historické znění dokumentu, doporučujeme vaší pozornosti jeho aktuální verzi.
-
V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen GDPR – informuje CESNET, z. s. p. o. subjekty údajů o podmínkách, za jakých jsou zpracovávány osobní údaje při poskytování služeb e‑infrastruktury. Subjektem údajů je fyzická osoba, která využívá služeb e‑infrastruktury.
-
Správcem osobních údajů dle GDPR je CESNET, z. s. p. o., Zikova 1903/4, 160 00 Praha 6, IČO: 63839172, DIČ: CZ63839172 (dále jen sdružení CESNET).
-
E‑infrastruktura CESNET je velkou výzkumnou infrastrukturou ve smyslu zákona č. 130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací z veřejných prostředků a o změně některých souvisejících zákonů a poskytuje služby organizacím, které splňují Podmínky přístupu k e‑infrastruktuře CESNET. Přístupem do e‑infrastruktury CESNET získává organizace (a jejím prostřednictvím jednotlivé fyzické osoby – například zaměstnanci a studenti, tj. subjekty údajů dle GDPR) přístup k unikátnímu souboru služeb v oblasti informačních a komunikačních technologií: nadstandardní vysokorychlostní přístup do sítě Internet a do partnerských sítí pro vědu výzkum a vzdělávání po celém světě, prostředí pro ukládání dat, náročné výpočty, podporu spolupráce, bezpečnost, správu identit a další služby.
-
V rámci přístupu ke službám e-infrastruktury můžeme rozlišit dva druhy služeb: služby, které pro přístup nevyžadují autentizaci a autorizaci, a služby, které ke svému přístupu autentizaci a autorizaci vyžadují. Pro přístup ke službám, které vyžadují autentizaci a autorizaci, je třeba, aby si uživatel vytvořil uživatelský účet.
-
V rámci přístupu ke službám e‑infrastruktury, které vyžadují autentizaci a autorizaci, jsou zpracovávány následující osobní údaje: jméno, příjmení, e-mail, telefonní číslo, jméno organizace, uživatelská identita v externím IdM systému1 (např. EPPN), IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury.
-
V rámci přístupu ke službám e‑infrastruktury, které nevyžadují autentizaci a autorizaci, jsou zpracovávány následující osobní údaje: IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury.
-
Vlastní zpracování osobních údajů je zahájeno při prvním využití služby e‑infrastruktury CESNET a osobní údaje, kterými jsou jméno, příjmení, e-mail, telefonní číslo, jméno organizace, uživatelská identita v externím IdM systému (např. EPPN) jsou v neanonymizované podobě uchovávány po celou dobu využívání služby e‑infrastruktury. Osobní údaje: jméno, příjmení, e-mail, telefonní číslo, jméno organizace, uživatelská identita v externím IdM systému (např. EPPN) jsou uchovávány i po skončení využívání služeb e‑infrastruktury z důvodu bezpečnostních (zejména zabránění duplicitě identit uživatelských účtů). Správce stanoví technické a organizační podmínky pro zabezpečení osobních údajů tak, aby byla zajištěna jejich integrita a důvěrnost.
-
Osobní údaje mající povahu provozních a lokalizačních údajů2, jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury, jsou po 18 měsících smazány.
-
Osobní údaje související s informacemi o využití zdrojů e‑infrastruktury uchováváme po dobu, po kterou jsou potřebné pro provozování a zkvalitňování služby, nebo, v případě projektů, po dobu stanovenou jednotlivými poskytovateli účelové podpory, nejméně však 5 let od ukončení projektů.
-
Osobní údaje jsou u služby e‑infrastruktury zpracovávány za účelem:
- poskytování vlastní služby spočívající v nutnosti autentizace a autorizace oprávněného uživatele,
- administrativy,
- zajištění vlastního provozu služby e‑infrastruktury,
- statistik,
- monitoringu služby,
- optimalizaci běhu dílčích úloh a služby jako takové,
- bezpečnosti,
- výročních zpráv, monitorovacích zpráv a vykazování výsledků projektů a jiných obdobných dokumentů.
-
Osobní údaje mohou být u služby e‑infrastruktury sděleny:
- Organizačním složkám (útvarům či oddělením) v rámci sdružení CESNET z důvodů uvedených v čl. 4.
- Osobní údaje mající podobu provozních a lokalizačních údajů3, jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury mohou být sděleny administrátorům sítí a služeb z organizací připojených do e‑infrastruktury a členům bezpečnostních týmů v rámci procesu řešení provozních problémů a bezpečnostních incidentů.
- Dalším subjektům, za předpokladu, že dojde k anonymizaci či pseudonymizaci osobních údajů subjektu údajů.
-
Služby e‑infrastruktury je možné využít na základě splnění podmínek uvedených v příslušných pravidlech služeb e‑infrastruktury a na základě souhlasu se zpracováním osobních údajů. Právní důvody pro zpracování osobních údajů jsou následující:
- souhlas subjektu údajů
- oprávněný zájem správce, který spočívá zejména v:
- zamezení podvodům,
- předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely,
- pro zajištění bezpečnosti sítě a informací, které mimo jiné spočívá v zabránění neoprávněného přístupu k sítím elektronických komunikací a službám a šíření škodlivých kódů a zamezení útokům, jejichž důsledkem je odepření služby, a škodám na počítačových systémech a systémech elektronických komunikací.
-
Subjekt údajů je oprávněn uplatnit svá práva vyplývající z GDPR. Práva, která vznikají v souvislosti s účinností GDPR, je možné uplatňovat od 26. 5. 2018. Práva musí subjekt údajů uplatňovat vůči správci osobních údajů. Postup pro uplatnění práv je uveden na https://www.cesnet.cz/kontakty/.
-
Tato pravidla jsou dostupná v české a anglické verzi. Dojde-li k rozporu mezi těmito verzemi, přednost má verze česká.
Tato pravidla ve verzi 1.0 byla zveřejněna dne 29. 11. 2017.
1 IdM je systém pro centrální správu uživatelských účtů, který umožňuje řízení celého životního cyklu (elektronické) identity uživatele.
2 Viz § 90 a 91 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).
3 Viz § 90 a 91 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).
Poslední změna: 23.5.2018