Zpracování osobních údajů sdružením CESNET

Obsah:

Správce Vašich osobních údajů

Správcem osobních údajů dle GDPR je CESNET, zájmové sdružení právnických osob (dále jen „Sdružení“), Zikova 1903/4, 160 00 Praha 6, IČ: 63839172, DIČ: CZ63839172.

Správce Vaše údaje shromažďuje, disponuje jimi a nese odpovědnost za jejich řádné a zákonné zpracování. Vůči správci můžete uplatňovat svá práva způsobem uvedeným dále.

Kontakt na pověřence pro ochranu osobních údajů

Zpracovávané osobní údaje

Zpracováváme pouze takové údaje, které jsou nezbytné pro poskytování služeb a uživatelské podpory, pro splnění povinností vyplývajících z legislativních předpisů a dalších povinností (např. podmínky poskytovatelů podpory v rámci projektů). Zpracováváme údaje uživatelů našich služeb (aktuálních i bývalých), v omezené míře pak potenciálních uživatelů, kteří o služby projevili zájem, a se kterými je o zpřístupnění služeb navázána komunikace.

Při poskytování služeb e‑infrastruktury CESNET zpracováváme Vaše základní osobní a kontaktní údaje, údaje z provozu a o využití služeb, údaje z komunikace s Vámi, případně další údaje tak, aby okruh těchto údajů byl přiměřený a omezený na nezbytný rozsah ve vztahu k účelu, pro který Vaše osobní údaje shromažďujeme a zpracováváme. Kompletní výčet účelů, pro které Vaše údaje zpracováváme, jakož i upřesnění konkrétních zpracovávaných údajů pro daný účel, naleznete v části Důvody zpracování.

V závislosti na konkrétní službě a účelu zpracováváme zejména tyto kategorie údajů:

Základní identifikační údaje

Do této kategorie spadá např. jméno a příjmení, číslo průkazu totožnosti (pas, občanský průkaz), datum narození, název domovské organizace (zaměstnavatele), afilace k domovské organizaci.

Kontaktní údaje

Kontaktním údajem může být např. e-mailová adresa, telefonní číslo, adresa domovské organizace (zaměstnavatele), uživatelská identita v externím (z hlediska Sdružení) IdM (Identity Management) systému (např. Edu Person Principal Name, dále jen „EPPN“). Pro zajištění přístupu k těm službám e-infrastruktury CESNET, které jsou poskytovány na individuální bázi, je nezbytné mít údaje tohoto typu k dispozici – v opačném případě by nebylo možné službu poskytnout.

Přístupové údaje

Identifikační a kontaktní údaje jsou nezbytnou prerekvizitou pro zajištění bezpečného a důvěryhodného přístupu k některým službám e-infrastruktury CESNET, typicky pro ověření uživatele na základě uživatelského jména a hesla při přístupu ke službě. Přístupové údaje sestávající z uživatelského jména a hesla (tzv. uživatelská identita) v kombinaci se základními identifikačními a kontaktními údaji a zvoleným unikátním identifikátorem uživatele pro e-infrastrukturu jsou uloženy v IdM systémech Sdružení, které slouží pro centrální správu uživatelských identit (uživatelských účtů) a umožňují řízení celého životního cyklu uživatele.

Informace o přístupu ke službám

Pro zajištění stability provozu a bezpečnosti služeb, pro ochranu uživatelů a jejich dat i pro řešení kybernetických bezpečnostních událostí a incidentů zpracováváme informace ze síťového provozu i z přístupu uživatelů k jednotlivým službám (tzv. provozní a lokalizační údaje, logy). Tyto informace mohou obsahovat např. technologické identifikátory uskutečněného provozu (IP adresy, MAC adresy apod.), informace o použité uživatelské identitě, která o přístup ke službě žádá, výsledek autentizačního procesu nebo časové známky přístupu nebo pokusu o přístup.

Informace o využití služeb e‑infrastruktury CESNET

Pro efektivní plánování zdrojů, optimalizaci a systematický rozvoj služeb e-infrastruktury CESNET, dále pro potřeby poskytovatele účelové podpory i pro potřeby členů Sdružení zpracováváme informace o využití e‑infrastruktury CESNET.

Informace z monitoringu komunikační infrastruktury CESNET

Komunikační infrastruktura je síťová komponenta e-infrastruktury CESNET. Zajišťuje datovou komunikaci uživatelů a služeb v rámci e-infrastruktury CESNET i vůči externím sítím a zdrojům. V souvislosti se správou této komunikační infrastruktury zpracováváme celou řadu informací, z nichž některé mají charakter osobních údajů. Děje se tak následujícími způsoby:

  • Zpracování informací z jednotlivých aktivních síťových prvků v rámci monitoringu komunikační infrastruktury sítě. V tomto případě se jedná prakticky výlučně o technologické informace využívané dominantně pro vyhodnocení míry využití síťových zdrojů, chybovost, překročení provozních limitů apod. Pouze velmi malá část některých informací popisného charakteru může vykazovat znaky osobních údajů. To se týká především IP adres a MAC adres síťových rozhraní jednotlivých zařízení, nicméně tyto informace reprezentují v tomto případě technologickou, nikoli osobní identifikaci.

  • Zpracování informací o IP provozu. V tomto případě se jedná o plošný sběr (v některých případech i vytváření), zpracování informací o provozu na bázi toků (tzv. NetFlow, případně sFlow). Významná část zpracovávaných informací má charakter osobních údajů. Toto se týká především IP adres a MAC adres, které jsou zásadními údaji v provozních informacích tohoto typu (a nelze u nich na této úrovni pozorování rozlišit, zda se jedná o uživatelskou nebo pouze technologickou identifikaci).

Bezpečnost

Součástí péče o služby e‑infrastruktury CESNET je i bezpečnost a ochrana uživatelů. Kromě monitoringu komunikační infrastruktury popsaném v předchozím odstavci sem patří také řešení bezpečnostních incidentů, událostí, zranitelností a jiných anomálií, které detekujeme vlastními nástroji umístěnými v e‑infrastruktuře CESNET, které nám hlásí třetí strany (např. v rámci procesu incident handling – rešení a koordinace řešení bezpečnostního incidentu), nebo které získáváme od třetích stran. Účelem zpracování těchto informací je zajištění bezpečného provozu e‑infrastruktury CESNET a ochrana uživatelů. V této oblasti pracujeme typicky s následujícími údaji – IP adresa, MAC adresa, URL, geolokační údaje a další technické identifikátory, které však obvykle samy o sobě neidentifikují fyzickou osobu, ale zařízení připojené do sítě.

Údaje z akcí

Organizujeme řadu vzdělávacích a komunitních aktivit – konference, semináře, školení apod. Na každou takovou akci se účastníci musí registrovat prostřednictvím webového registračního formuláře a dochází ke zpracování údajů typu jméno, příjmení, název domovské organizace, pracovní pozice, e‑mail. Tyto údaje používáme v souvislosti s organizací akce. Z některých akcí také pořizujeme on-line stream a záznamy z akce poté dáváme veřejně k dispozici. Na akcích pro reportážní účely a také pro účely prokazování výsledků v projektech pořizujeme fotografie, které používáme v rámci PR aktivit (na webu Sdružení, v prostředí sociálních sítí apod.).

Údaje z komunikace

Zpracováváme také informace z uskutečněné komunikace – ze schůzek, konzultací a telefonních hovorů (ve formě zápisů a záznamů), z e‑mailové komunikace při řešení provozních nebo bezpečnostních problémů (v prostředí tiketovacích systémů) včetně řešení uživatelských požadavků, stížností, servisních požadavků nebo informace z komunikace při zajišťování přístupu ke službě apod. Tyto záznamy z komunikace jsou uchovávány také za účelem zpětného prošetření uskutečněné komunikace a mohou být použity jako důkazní prostředek v případě sporů.

Další údaje

Z bezpečnostních důvodů pořizujeme v hlavním sídle Sdružení (Zikova 1903/4, Praha 6, Česká republika) a v režimových pracovištích (laboratořích, výpočetních sále aj.) umístěných v prostorách členů kamerové záznamy.

Důvody zpracování

Údaje zpracováváme, abychom Vám mohli poskytnout konkrétní službu e‑infrastruktury CESNET, zajistili provoz a rozvoj komplexu služeb e‑infrastruktury CESNET a komunikační síťové infrastruktury, a dále z důvodů zajištění provozu sítě a služeb, zvyšování kvality a péče o uživatele a pro zajištění ochrany Vašich osobních údajů.

Údaje zpracováváme v nezbytném rozsahu a pro příslušný účel.

Povinnost zpracovávat údaje nám stanoví řada právních předpisů, některé údaje musíme zpracovávat pro účely výkaznictví v projektech, některé údaje zpracováváme, neboť je to nezbytné pro ochranu práv a právem chráněných zájmů Sdružení (správce) či třetích stran. Při zpracování osobních údajů z tohoto důvodu vždy pečlivě zvažujeme existenci oprávněného zájmu.

Oprávněný zájem správce spočívá zejména v zajištění provozu služeb, jejich rozvoj, optimalizaci, zamezení podvodům, předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, a pro zajištění bezpečnosti sítě a informací, které mimo jiné spočívá v zabránění neoprávněného přístupu k sítím elektronických komunikací a službám a šíření škodlivých kódů a zamezení útokům a škodám na počítačových systémech a systémech elektronických komunikací.

Osobní údaje jsou u služeb e‑infrastruktury CESNET zpracovávány především za účelem:

Poskytování vlastní služby

Abychom Vám mohli poskytovat služby e‑infrastruktury CESNET, které vyžadují autentizaci a autorizaci, potřebujeme znát Vaše základní a kontaktní údaje, mimo jiné abychom Vám dokázali vytvořit uživatelskou identitu (přístupové údaje). Vlastní zpracování osobních údajů je zahájeno při prvním využití služby e‑infrastruktury CESNET.

Důvod zpracování údajů:

  • vlastní provoz služby
  • bezpečnost
  • plnění povinností z právních předpisů
  • oprávněný zájem

Autentizace a autorizace oprávněného uživatele

Některé služby e‑infrastruktury CESNET vyžadují autentizaci a autorizaci uživatele. Za tímto účelem tedy pro Vás vytváříme uživatelskou identitu v některém z provozovaných IdM systémů. Spravujeme tedy Vaše přístupové údaje (přihlašovací jméno a heslo), které slouží k autentizaci Vaší osoby.

Důvod zpracování údajů:

  • vlastní provoz služby
  • bezpečnost
  • plnění povinností z právních předpisů
  • oprávněné zájmy

Zajištění vlastního provozu služby e‑infrastruktury CESNET

Abychom Vám dokázali zajistit přístup ke službám e‑infrastruktury CESNET, nabídnout kvalitní služby, rozvíjet je, řešit provozní a bezpečnostní problémy, ochránit Vaše osobní údaje, které jste nám svěřili nebo které jsme získali, provádíme řadu činností, které obnáší analýzu a zpracování záznamů z provozu systémů a služeb (logů), provozních a lokalizačních údajů z provozního a bezpečnostního monitoringu (více v sekci Bezpečnost) a optimalizaci běhu dílčích úloh a služby jako takové.

Pomocí externí služby Google Analytics sledujeme pohyb a počet návštěvníků ve webových prezentacích Sdružení, a to za účelem jejich optimalizace a zkvalitnění. Služba je nakonfigurována standardním způsobem.

Důvod zpracování údajů:

  • vlastní provoz služby
  • bezpečnost
  • plnění povinností z právních předpisů
  • oprávněné zájmy

Monitoring a bezpečnost

GDPR ukládá povinnost zajistit ochranu zpracovávaných osobních údajů. Sdružení proto provádí řadu činností a vyvíjí řadu aktivit k naplnění této povinnosti od aplikace technologicky vyspělých obranných mechanismů, přes systematické vzdělávání zaměstnanců, po provozní a bezpečnostní monitoring prováděný na síťové a aplikační úrovni.

Data získaná v rámci zpracování informací z jednotlivých aktivních síťových prvků v rámci monitoringu komunikační infrastruktury sítě jsou nezbytná pro správu, zajištění chodu a stability komunikační infrastruktury, ostatních komponent e‑infrastruktury CESNET, dále pro dosažení optimálního využití zdrojů, vysledování trendů chování a stavu jednotlivých technologických celků. Kromě jiného také pro splnění závazků vůči profesním uskupením, např. projektu Fenix na platformě českého peeringového centra NIX.CZ a v neposlední řadě pro statistické vyhodnocení využití komponent e‑infrastruktury CESNET požadované poskytovatelem podpory.

Data získaná ze zpracování informací o IP provozu, kde se jedná o plošný sběr (v některých případech i vytváření) a zpracování informací o provozu na bázi toků (tzv. NetFlow, případně sFlow) slouží pro účely zajištění správy a bezpečnosti provozu sítě a služeb e‑infrastruktury CESNET. Zpracování těchto informací naplňuje, kromě jiného, i povinnosti vyplývající z obecných legislativních předpisů – např. ze zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „ZEK“) a ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů (dále jen „ZKB“). ZEK a ZKB stanoví povinnosti v oblasti uchovávání provozních a lokalizačních údajů a detekci a hlášení kybernetických bezpečnostních incidentů. V neposlední řadě musíme plnit závazky vůči profesním uskupením (např. projekt FENIX [fe.nix.cz] na platformě NIX.CZ) a požadavky poskytovatele podpory na statistické vyhodnocení využití e-infrastruktury CESNET.

Za účelem včasné detekce hrozeb a zranitelností zpracováváme data o zjištěných bezpečnostních anomáliích, událostech a incidentech majících vztah k e‑infrastruktuře CESNET a připojeným sítím. Tato data obohacená o další informace získané od třetích stran využíváme v procesu řešení bezpečnostních incidentů a zpřístupňujeme je administrátorům a členům bezpečnostních týmů z připojených organizací a bezpečnostním týmům z celého světa při řešení bezpečnostních incidentů. Tato data mají charakter bezpečnostních událostí, a byť v sobě nesou identifikátory typu IP adresa zdroje a cíle útoku, případně další technické identifikátory, sama o sobě tato data nejsou schopna identifikovat konkrétní osobu.

Jako subjekt spadající pod ZKB [§ 3 písm. b) ZKB] jsme kromě jiného povinni detekovat kybernetické bezpečnostní události a incidenty a hlásit je Národnímu CSIRT České republiky. (Národní CSIRT České republiky, tým CSIRT.CZ provozuje sdružení CZ.NIC.)

Důvod zpracování údajů:

  • vlastní provoz služby
  • bezpečnost
  • plnění povinností z právních předpisů
  • oprávněné zájmy

Statistiky

Z důvodu udržitelnosti provozu e‑infrastruktury CESNET a jejích služeb, rozvoje, bezpečnosti a zlepšování kvality služeb a z důvodu vykazování vůči poskytovatelům účelové podpory a členům zpracováváme primární data statistickými metodami. Tato data obsahují typicky míru využití e‑infrastruktury CESNET, způsob využití e‑infrastruktury CESNET, využití služeb, počty detekovaných a ohlášených provozních a bezpečnostních problémů, typy a závažnost provozních a bezpečnostních problémů apod.

Důvod zpracování údajů:

  • vlastní provoz služby
  • bezpečnost
  • oprávněný zájem
  • plnění povinností z právních předpisů

Komunikace

Zpracováváme informace z uskutečněné komunikace, ze schůzek, konzultací, z telefonních hovorů (ve formě zápisů a záznamů), z e‑mailové komunikace při řešení provozních nebo bezpečnostních problémů (v prostředí tiketovacích systémů) včetně řešení stížností, servisních požadavků nebo informace z komunikace při zajišťování přístupu ke službě apod. Díky těmto informacím můžeme zkvalitňovat služby, interní procesy a uživatelskou podporu. Jako osobní údaje zpracováváme i zpětnou vazbu, připomínky, návrhy a výsledky neanonymních průzkumů.

Důvod zpracování údajů:

  • vlastní provoz služby
  • bezpečnost
  • oprávněný zájem
  • plnění povinností z právních předpisů
  • zvyšování kvality poskytovaných služeb
  • uživatelská podpora a péče o uživatele

Doba uchovávání

Při zpracování Vašich osobních údajů dodržujeme pravidlo minimalizace. Udržujeme pouze ty údaje, které jsou nezbytné pro zajištění služeb e‑infrastruktury CESNET a Vašich práv.

Vlastní zpracování osobních údajů je zahájeno při prvním využití služby e‑infrastruktury CESNET a osobní údaje, kterými jsou jméno, příjmení, e-mail, telefonní číslo, název domovské organizace, uživatelská identita v externím IdM systému (např. EPPN) jsou v neanonymizované podobě uchovávány po celou dobu využívání služby e‑infrastruktury CESNET.

Osobní údaje: jméno, příjmení, e-mail, název domovské organizace, uživatelská identita v externím IdM systému (např. EPPN), uživatelská identita vytvořená pro e‑infrastrukturu CESNET a unikátní identifikátor uživatele pro e-infrastrukturu CESNET, jsou uchovávány i po skončení využívání služeb e‑infrastruktury CESNET z důvodu bezpečnostních (zejména zabránění duplicitě identit uživatelských účtů) a z důvodu vykazování využití zdrojů e‑infrastruktury CESNET. Správce stanoví technické a organizační podmínky pro zabezpečení osobních údajů tak, aby byla zajištěna jejich integrita a důvěrnost.

Osobní údaje mající povahu provozních a lokalizačních údajů (tzv. logy) jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury CESNET, jsou uchovávány po dobu 18 měsíců a poté smazány.

Osobní údaje vyskytující se v hlášeních bezpečnostních incidentů spolu s celým průběhem řešení bezpečnostního incidentu, tzn. včetně komunikace s osobou zodpovědnou za řešení (která obvykle obsahuje tyto údaje – jméno, příjmení, e‑mail, název domovské organizace) uchováváme v nezměněné podobě a nemažeme je. Obdobně v případě hlášení a řešení provozních problémů.

Informace z monitoringu komunikační infrastruktury, tzn. informace získané sběrem dat z aktivních síťových prvků a informace o IP tocích, uchováváme v plné kvalitě (beze ztráty informační hodnoty) 6 měsíců, sumarizované (se ztrátou informační hodnoty) do podoby statistických dat 5 let. Osobní údaje související s informacemi o využití zdrojů e‑infrastruktury CESNET uchováváme po dobu, po kterou jsou potřebné pro provozování a zkvalitňování služby, nebo, v případě projektů, po dobu stanovenou jednotlivými poskytovateli účelové podpory, nejméně však 5 let od ukončení projektů.

Osobní údaje související s organizacemi akcí (semináře, školení, konference) uchováváme po dobu, po kterou jsou potřebné pro provozování a zkvalitňování služby, maximálně však po dobu 5 let od uskutečnění akce.

Údaje, které zpracováváme s Vaším souhlasem, uchováváme po dobu, po kterou nám je souhlas platně udělen, tzn. do doby, než je souhlas odvolán, nebo do zániku účelu, pro který byl udělen.

Pro vyloučení pochybností, samotný souhlas a změnu či odvolání souhlasu uchováváme z titulu našich oprávněných zájmů po celou dobu platnosti souhlasu a 10 let poté, co zanikl.

Jste povinni nám osobní údaje předávat?

Předání osobních údajů, které nám předáváte se svým souhlasem, je dobrovolné.

Předání ostatních osobních údajů vyžadujeme, jelikož jejich zpracování je nezbytné pro zajištění plnění našich právních povinností, pro poskytnutí služeb e‑infrastruktury CESNET, kterou chcete využívat nebo pro ochranu našich oprávněných zájmů. Pokud nám své osobní údaje nepředáte, nemůžeme Vám příslušnou službu, jejíž fungování je vázáno na poskytnutí osobních údajů, poskytnout.

Zdroje osobních údajů

Zpracováváme především údaje, které jsme obdrželi od Vás, např. v okamžiku zřizování Vašeho přístupu ke službě e‑infrastruktury CESNET, při vytváření uživatelské identity (přístupových údajů) v IdM systému, při přístupu ke službám (autentizovaným), v okamžiku přihlašování na akce (konference, semináře, školení), v okamžiku přihlašování do veřejných poštovních elektronických konferencí, při komunikaci s Vámi apod.

Zpracováváme také údaje, které svou aktivitou sami vytváříte, do této kategorie patří záznamy z provozu služeb (tzv. logy), které obsahují informace o tom, kdy a ke kterým službám přistupujete. Dále záznamy z provozu síťové komunikační infrastruktury a záznamy mající bezpečnostní charakter (bezpečnostní události a bezpečnostní incidenty).

Dále pak zpracováváme údaje z veřejně dostupných zdrojů (registry, webové stránky apod.) i údaje od třetích stran.

V případech, kdy je to k dosažení účelu zpracování údajů nezbytné a vhodné, obohacujeme tyto údaje o data z dalších zdrojů – interních, veřejných i neveřejných. Jedná se zejména o tyto případy:

Marketing

Používáme údaje, které jsme získali od Vás, které jsme shromáždili sami, ale i veřejně dostupné údaje.

Bezpečnost

Data získaná z bezpečnostního monitoringu e‑infrastruktury CESNET doplňujeme o data, která nám reportují (v rámci procesu hlášení a řešení bezpečnostních incidentů) třetí strany, nebo která získáváme z veřejně i neveřejně (s jasně definovaným omezeným přístupem) dostupných zdrojů. Tyto informace shromažďujeme za účelem obohacení hlášení bezpečnostních incidentů, která zasíláme do připojených sítí a v celkovém kontextu za účelem zajišťování bezpečnosti e‑infrastruktury CESNET a připojených sítí a uživatelů.

Registry

Pro svou práci používáme data z veřejných registrů provozovatelů národních domén a z RIR (Regionální internetový registr). Typickým příkladem je databáze národní domény .cz, kterou spravuje sdružení CZ.NIC a databáze RIPE NCC (RIR pro Evropu a Blízký východ).

Příjemci osobních údajů

Vaše osobní údaje zpracovává Sdružení. Údaje předáváme mimo Sdružení pouze tehdy, pokud k tomu máme Váš souhlas nebo pokud to vyžaduje právní předpis nebo pokud se jedná o oprávněný zájem správce či třetí strany. Sdružení poskytuje přístup k Vašim osobním údajům jiným osobám jen v případě, že tyto osoby poskytují Sdružení služby zajišťující funkcionalitu některých systémů.

Předání na základě souhlasu

Pro některé služby (např. eNews, systémy pro sběr zpětné vazby, dotazníky a průzkumy, webová analytika) používáme existující služby a aplikace třetích stran, které mohou vyústit k předání osobních údajů do třetích zemí. Při výběru takového dodavatele služby (zpracovatele) vždy dbáme, aby disponoval nezbytnou profesionalitou a splnil podmínky uvedené v GDPR.

Předání na základě právního předpisu

Z titulu ZKB je Sdružení povinno hlásit detekované kybernetické bezpečnostní incidenty Národnímu CSIRT České republiky4. Hlášení kybernetických bezpečnostních incidentů může obsahovat IP adresy týkající se hlášeného incidentu, v menší míře další technické identifikátory, ve velmi omezené míře mohou mít informace takový charakter, že je možné je spojit se subjektem údajů.

Z titulu ZEK je Sdružení povinno v případech uvedených v tomto zákoně předat provozní a lokalizační údaje subjektům uvedeným v § 97 odst. 3 tohoto zákona. Tyto údaje předává, pokud se jedná o službu spadající pod tento zákon.

Záznam z provozu sítě, které mohou obsahovat identifikátory jako je IP adresa, MAC adresa, případně další technické identifikátory, jsme povinni předat také orgánům činným v trestním řízení.

Předání na základě oprávněného zájmu

Osobní údaje mající podobu provozních a lokalizačních údajů (viz § 90 a 91 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů – zákon o elektronických komunikacích), jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury CESNET, mohou být sděleny administrátorům sítí a služeb z organizací připojených do e‑infrastruktury CESNET a členům bezpečnostních týmů v rámci procesu řešení provozních problémů a bezpečnostních incidentů.

Sdružení je členem národních i mezinárodních bezpečnostních infrastruktur (Fenix, TF‑CSIRT, Pracovní skupina CSIRT.CZ), kde neformální podmínkou účasti je sdílení zkušeností a informací z oblasti bezpečnosti, což zahrnuje sdílení informací o detekovaných bezpečnostních událostech, anomáliích a zranitelnostech.

Osobní údaje mající charakter statisticky zpracovaných dat o využití zdrojů e‑infrastruktury CESNET předáváme členům Sdružení a poskytovatelům účelové podpory.

Vaše práva

Vaše osobní údaje zpracováváme s péčí řádného hospodáře, korektně a v souladu s platnými právními předpisy. Ve vztahu ke svým osobním údajům máte řadu práv – na přístup ke svým osobním údajům, jejich opravu, výmaz, omezení zpracování, přenositelnost, vznesení námitky, pokud se domníváte, že zpracování není v pořádku. Také můžete podat stížnost u Úřadu pro ochranu osobních údajů. Svá práva můžete uplatnit u správce osobních údajů, kterým je Sdružení.

Ve vztahu ke zpracovávaným osobním údajům můžete na Sdružení uplatnit následující práva:

  • Právo na přístup k osobním údajům – máte právo požadovat potvrzení, zda zpracováváme Vaše osobní údaje, a pokud ano, uvedení účelu zpracování, kategorie dotčených osobních údajů, kdo je příjemcem osobních údajů nebo o jaké kategorie příjemců jde, informace o předání osobních údajů do třetích zemí, dobu uchování osobních údajů, informace o zdroji osobních údajů, informaci, zda dochází k automatizovanému zpracování či profilování.

  • Právo na opravu – v případě, že jsou Vaše údaje nesprávné, nepřesné, samozřejmě je opravíme. S přihlédnutím k účelům, pro které jsou údaje zpracovávány, máte právo, abychom doplnili neúplné údaje.

  • Právo na výmaz (právo být zapomenut) – máte právo na výmaz svých osobních údajů, a to v následujících případech: zánik účelu, odvolání souhlasu (a neexistuje další právní důvod zpracování), námitka, protiprávní zpracování, právní povinnost, údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.

  • Právo na omezení zpracování – máte právo žádat, abychom omezili zpracování Vašich osobních údajů, jestliže nastane některý z těchto případů:

    • Vaše osobní údaje jsou nepřesné,
    • zpracování Vašich osobních údajů je protiprávní, ale údaje nechcete vymazat, pouze jejich zpracování omezit,
    • potřebujete osobní údaje, které o vás zpracováváme, pro určení, výkon nebo obhajobu právních nároků, i když my je již pro zpracování nepotřebujeme,
    • vznesl jste námitku proti zpracování.
  • Právo na přenositelnost osobních údajů – můžete požadovat, aby Sdružení tam, kde mu v tom nebrání zákonná překážka, předalo osobní údaje Vámi určenému správci.

  • Právo vznést námitku – osobní údaje, které od Vás požadujeme, nám můžete odmítnout poskytnout. Pokud jde ale o takové údaje, jejichž poskytnutí je z Vaší strany povinné, nemůžeme Vám související službu poskytnout.

  • Právo na odvolání souhlasu – v případech, kdy ke zpracování Vašich údajů vyžadujeme Váš souhlas, jste oprávněni tento souhlas kdykoli odvolat. Odvolání souhlasu nemá vliv na zpracování Vašich údajů po dobu, co byl tento souhlas platně udělen, ani na zpracování Vašich údajů z jiných legitimních důvodů, pokud se aplikují (např. dodržování právních povinností nebo pro účely našich oprávněných zájmů).

  • Právo podat stížnost na Úřad pro ochranu osobních údajů – můžete se kdykoli se žádostí, podnětem nebo stížností obrátit na Úřad pro ochranu osobních údajů, pplk. Sochora 27, 170 00 Praha 7.

  • Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování.

  • Právo na omezení marketingových sdělení – pokud jste nám udělili souhlas pro marketing nebo Vám z jiného oprávněného titulu od nás chodí obchodní nabídky, můžete svůj souhlas kdykoli odvolat nebo tuto činnost omezit či zrušit, a to:

    • odpovědí na obchodní sdělení, ve které jasně vyjádříte své přání, abychom Vás z takového sdělení vynechali,
    • pokud již nechcete, abychom Vám telefonovali, v rámci hovoru nám to řekněte,
    • můžete nám e-mailem, osobně nebo telefonicky sdělit, že si již nepřejete být kontaktováni žádným způsobem, viz kontakty.

Dovolujeme si upozornit, že pokud si přejete omezit marketingová sdělení, můžeme Vás nadále kontaktovat kvůli obsluze, podpoře a řešení provozních a bezpečnostních incidentů, tedy můžeme stále využívat Vaše kontaktní údaje za účelem zasílání servisních zpráv a pro jiné účely, než je marketingová činnost.

Uplatněním některého z práv nesmí být dotčena práva třetích stran.

V případě, že se rozhodnete uplatnit svá práva v záležitostech ochrany osobních údajů, vyžadujeme Vaši identifikaci.

Uplatníte-li některé z práv ve vztahu ke zpracovávaným osobním údajům, vyrozumíme Vás o vyřešení Vašeho požadavku nejpozději do jednoho měsíce od doručení žádosti. Tuto lhůtu můžeme s ohledem na složitost a počet vyřizovaných žádostí prodloužit o dva měsíce, v takovém případě Vás o tom budeme informovat.

Uplatnění práv je bezplatné. Sdružení může vyžadovat poplatek za vyřízení žádosti v případě, že žádost je zjevně nedůvodná nebo nepřiměřená.

Pokud máte otázky – viz kontakty.

Slovníček pojmů

Citlivý údaj

Zvláštní kategorie osobních údajů vypovídající o rasovém či etnickém původu, vyznání, politických názorech, členství v odborech či jiných organizacích, sexuální orientaci, spáchání deliktů a potrestání za ně, genetické údaje, biometrické údaje, údaje o zdravotním stavu.

Geolokační údaje

Údaj o geografické poloze počítačového systému připojeného k internetu (ať už přesné, či na úrovni země).

Oprávněný zájem

Zájem správce nebo třetí strany například v situaci, kdy subjekt údajů je zákazníkem správce.

Osobní údaj

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Služba

Znamená kteroukoli ze služeb e‑infrastruktury CESNET (www.cesnet.cz/sluzby), včetně jejich podpory.

Správce

Osoba, která určuje účel a prostředky zpracování osobních údajů; zpracováním může správce pověřit zpracovatele.

Subjekt údajů

Fyzická osoba, která údaje o sobě poskytla nebo o níž získal údaje správce/zpracovatel od jiného správce/zpracovatele.

Účel

Důvod, ke kterému správce využívá Vaše osobní údaje.

Zpracování

Činnost, kterou správce nebo zpracovatel provádějí s osobními údaji.

Zpracovatel

Osoba, která pro správce zpracovává osobní údaje.

Seznam relevantních zákonů

Při zpracování osobních údajů se řídíme platnými právními předpisy České republiky, zejména zákonem o ochraně osobních údajů, občanským zákoníkem, nařízením GDPR a antispamovým zákonem, který upravuje problematiku zasílání nevyžádaných obchodních sdělení.

Antispamový zákon Zákon č. 480/2004 Sb., o některých službách informační společnosti Obchodní sdělení v e-mailech, SMS
Evropská listina základních práv EU 2012/C 326/02 Ochrana osobních údajů
Listina základních práv a svobod Usnesení předsednictva ČNR 2/1993 Sb. o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky Právo na soukromí a ochrana osobních údajů
Občanský zákoník Zákon č. 89/2012 Sb., občanský zákoník Ochrana soukromí
Obecné nařízení EU o ochraně osobních údajů – GDPR Nařízení 2016/679/EU Ochrana osobních údajů v EU účinné od 25. 5. 2018
Zákon o elektronických komunikacích („ZEK“) Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) Plošné uchovávání provozních a lokalizačních údajů
Zákon o kybernetické bezpečnosti („ZKB“) Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů Detekce a hlášení kybernetických bezpečnostních incidentů a událostí

Tento dokument ve verzi 1.0 byl zveřejněn dne 24. května 2018.
Tento dokument bude pravidelně aktualizován.

Poslední změna: 24.5.2018