Informace o zpracování osobních údajů ve sdružení CESNET

Informace o zpracování osobních údajů platné do 11. 11. 2021 jsou k dispozici zde: https://www.cesnet.cz/sdruzeni/ochrana-osobnich-udaju/.


Informace o zpracování osobních údajů ve sdružení CESNET platné od 12. 11. 2021:

V souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“) vás tímto informujeme o tom, jak zpracováváme osobní údaje při poskytování služeb e‑infrastruktury CESNET.

Kdo je správcem osobních údajů a kdo subjektem údajů:

Správcem osobních údajů ve smyslu GDPR je CESNET, zájmové sdružení právnických osob (dále jen „sdružení CESNET“). Správce nese odpovědnost za řádné a zákonné zpracování osobních údajů.

Kontakt na sdružení CESNET a jeho pověřence pro ochranu osobních údajů naleznete zde: https://www.cesnet.cz/kontakty/.

E‑infrastruktura CESNET, kterou sdružení CESNET provozuje, je velkou výzkumnou infrastrukturou ve smyslu zákona č.130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací, a poskytuje služby organizacím, které splňují Podmínky přístupu k e‑infrastruktuře CESNET. Přístupem do e‑infrastruktury CESNET získává organizace (a jejím prostřednictvím jednotlivé fyzické osoby – například zaměstnanci a studenti, tj. subjekty údajů ve smyslu GDPR) přístup k unikátnímu souboru služeb v oblasti informačních a komunikačních technologií: nadstandardní vysokorychlostní přístup do sítě Internet a do partnerských sítí pro vědu, výzkum a vzdělávání po celém světě, prostředí pro ukládání dat, náročné výpočty, podporu spolupráce, bezpečnost, správu identit a další služby.

Zpracování osobních údajů v e-INFRA CZ:

E‑infrastruktura CESNET je součástí unikátní e-infrastruktury pro výzkum, vývoj a inovace v ČR s názvem e-INFRA CZ, kterou tvoří:

  • e-infrastruktura CESNET, kterou provozuje CESNET, zájmové sdružení právnických osob, IČO: 63839172;
  • CERIT Scientific Cloud, který provozuje Masarykova univerzita, IČO: 00216224; a
  • IT4Innovations národní superpočítačové centrum, které provozuje Vysoká škola báňská – Technická univerzita Ostrava, IČO: 61989100.

Jedním z cílů e-INFRA CZ je propojit její jednotlivé části tak, aby uživatelé získali jednotný přístup ke službám e-INFRA CZ, a jednotnou uživatelskou podporu při užívání těchto služeb. Služby e-INFRA CZ mohou čerpat uživatelé, kteří v souladu s Podmínkami přístupu k infrastruktuře e-INFRA CZ mají status uživatele e-INFRA CZ.

Za účelem provozu a plnění cílů e-INFRA CZ jsou vybrané osobní údaje uživatelů e-infrastruktury CESNET, u kterých to je nezbytné, zpracovávány společně všemi provozovateli e-INFRA CZ v režimu tzv. společných správců ve smyslu čl. 26 GDPR. Společné zpracování osobních údajů se nebude týkat uživatelů, u kterých je to právně vyloučeno (viz čl. II odst. 3 Podmínek přístupu k infrastruktuře e-INFRA CZ).

Podrobné informace o společném zpracování osobních údajů v e-INFRA CZ naleznete zde: www.e-infra.cz/zpracovani-osobnich-udaju.

Účely a právní základ zpracování osobních údajů v  e‑infrastruktuře CESNET:

Zpracováváme pouze takové údaje, které jsou nezbytné pro poskytování služeb a uživatelské podpory, pro splnění povinností vyplývajících z legislativních předpisů a dalších povinností (např. podmínky poskytovatelů podpory v rámci projektů). Zpracováváme údaje uživatelů našich služeb (aktuálních i bývalých), v omezené míře pak potenciálních uživatelů, kteří o služby projevili zájem, a se kterými je o zpřístupnění služeb navázána komunikace. Bez poskytnutí osobních údajů, které jsou vyžadovány pro zajištění provozu e-infrastruktury CESNET, není možné využívat její služby.

Při poskytování služeb e‑infrastruktury CESNET zpracováváme vaše základní osobní a kontaktní údaje, údaje z provozu a o využití služeb, údaje z komunikace s vámi, případně další údaje tak, aby okruh těchto údajů byl přiměřený a omezený na nezbytný rozsah ve vztahu k účelu, pro který vaše osobní údaje shromažďujeme a zpracováváme.

Není-li uvedeno jinak, zpracováváme dále uvedené kategorie osobních údajů na základě oprávněného zájmu sdružení CESNET na poskytování služeb, které budou:

  • v odpovídající kvalitě, proto sledujeme provoz služeb a provádíme jejich hodnocení;
  • bezpečné, proto monitorujeme síť i aplikace a obratem reagujeme na detekované hrozby;
  • poskytované v souladu s pravidly poskytovatelů dotací, proto upravujeme pravidla pro užívání služeb a uchováváme záznamy o nich v požadovaném rozsahu;
  • ve spolupráci s národními i mezinárodními organizacemi a infrastrukturami s obdobným zaměřením.

Zajištění přístupu ke službě

Pro přístup ke službám, které za účelem zajištění kvality a bezpečnosti vyžadují autentizaci a autorizaci, je třeba, aby si uživatel vytvořil uživatelskou identitu v některém z provozovaných IdM systémů. Při poskytování těchto služeb potřebujeme znát vaše základní identifikační a kontaktní údaje a informace o domovské organizaci. Tyto údaje nám jsou poskytnuty při vašem prvním přístupu do e-infrastruktury CESNET. Dále pak za účelem provádění autorizace a autentizace evidujeme různé interní identifikátory a informace o uživatelských oprávněních.

V rámci přístupu ke službám e infrastruktury CESNET, které nevyžadují autentizaci a autorizaci, jsou zpracovávány osobní údaje, jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami.

Zajištění vlastního provozu služby

Abychom vám dokázali zajistit přístup ke službám e‑infrastruktury CESNET, nabídnout kvalitní služby, rozvíjet je, řešit provozní a bezpečnostní problémy a mj. také ochránit vaše osobní údaje, provádíme analýzu a zpracování záznamů z provozu systémů a služeb (logů), provozních a lokalizačních údajů z provozního a bezpečnostního monitoringu a optimalizaci běhu dílčích úloh a služby jako takové.

Monitoring a bezpečnost

Pro zajištění stability provozu a bezpečnosti služeb, pro ochranu uživatelů a jejich dat i pro řešení kybernetických bezpečnostních událostí a incidentů zpracováváme informace ze síťového provozu i z přístupu uživatelů k jednotlivým službám (tzv. provozní a lokalizační údaje, logy). Tyto informace mohou obsahovat např. technologické identifikátory uskutečněného provozu, informace o použité uživatelské identitě, která o přístup ke službě žádá, výsledek autentizačního procesu nebo časové známky přístupu nebo pokusu o přístup.

Výše uvedené informace zpracováváme nejen na základě našeho oprávněného zájmu, ale také za účelem plnění právních povinností. Tyto právní povinnosti vyplývají např. ze zákona č. 127/2005 Sb., o elektronických komunikacích, a ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti, které stanovují povinnosti v oblasti uchovávání provozních a lokalizačních údajů a detekci a hlášení kybernetických bezpečnostních incidentů.

Statistiky

Z důvodu udržitelnosti provozu e‑infrastruktury CESNET a jejích služeb, rozvoje, bezpečnosti a zlepšování kvality služeb a z důvodu vykazování vůči poskytovatelům účelové podpory a členům zpracováváme primární data statistickými metodami. Tato data obsahují typicky míru využití e‑infrastruktury CESNET, způsob využití e‑infrastruktury CESNET, využití služeb, počty detekovaných a ohlášených provozních a bezpečnostních problémů, typy a závažnost provozních a bezpečnostních problémů apod.

Komunikace

Zpracováváme informace z uskutečněné komunikace, ze schůzek, konzultací, z telefonních hovorů (ve formě zápisů a záznamů), z e‑mailové komunikace při řešení provozních nebo bezpečnostních problémů (v prostředí tiketovacích systémů) včetně řešení stížností, servisních požadavků nebo informace z komunikace při zajišťování přístupu ke službě apod. Díky těmto informacím můžeme zkvalitňovat služby, interní procesy a uživatelskou podporu. Jako osobní údaje zpracováváme i zpětnou vazbu, připomínky, návrhy a výsledky neanonymních průzkumů.

Doba uchovávání osobních údajů:

  • Při zpracování vašich osobních údajů dodržujeme pravidlo minimalizace. Udržujeme pouze ty údaje, které jsou nezbytné pro zajištění služeb e‑infrastruktury CESNET a vašich práv.
  • Vlastní zpracování osobních údajů je zahájeno při prvním využití služby e‑infrastruktury CESNET a osobní údaje, kterými jsou jméno, příjmení, e-mail, telefonní číslo, název domovské organizace, uživatelská identita v externím IdM systému (např. EPPN) jsou v neanonymizované podobě uchovávány po celou dobu využívání služby e‑infrastruktury CESNET.
  • Osobní údaje: jméno, příjmení, e-mail, název domovské organizace, uživatelská identita v externím IdM systému (např. EPPN), uživatelská identita vytvořená pro e‑infrastrukturu CESNET a unikátní identifikátor uživatele pro e-infrastrukturu CESNET, jsou uchovávány i po skončení využívání služeb e‑infrastruktury CESNET z důvodu bezpečnostních (zejména zabránění duplicitě identit uživatelských účtů) a z důvodu vykazování využití zdrojů e‑infrastruktury CESNET. Správce stanoví technické a organizační podmínky pro zabezpečení osobních údajů tak, aby byla zajištěna jejich integrita a důvěrnost.
  • Osobní údaje mající povahu provozních a lokalizačních údajů (tzv. logy) jako je IP adresa (jakož i další identifikátory umožňující dohledání zdroje a cíle komunikace) a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury CESNET, jsou uchovávány po dobu 18 měsíců a poté smazány, není-li v podmínkách provozu konkrétní služby stanoveno jinak.
  • Osobní údaje vyskytující se v hlášeních bezpečnostních incidentů spolu s celým průběhem řešení bezpečnostního incidentu, tzn. včetně komunikace s osobou zodpovědnou za řešení (která obvykle obsahuje tyto údaje – jméno, příjmení, e‑mail, název domovské organizace) uchováváme v nezměněné podobě a nemažeme je. Obdobně v případě hlášení a řešení provozních problémů.
  • Informace z monitoringu komunikační infrastruktury, tzn. informace získané sběrem dat z aktivních síťových prvků a informace o IP tocích, uchováváme v plné kvalitě (beze ztráty informační hodnoty) 6 měsíců, sumarizované (se ztrátou informační hodnoty) do podoby statistických dat 5 let. Osobní údaje související s informacemi o využití zdrojů e‑infrastruktury CESNET uchováváme po dobu, po kterou jsou potřebné pro provozování a zkvalitňování služby, nebo, v případě projektů, po dobu stanovenou jednotlivými poskytovateli účelové podpory, nejméně však 5 let od ukončení projektů.

Příjemci osobních údajů

Sdružení CESNET předává osobní údaje jiným subjektům pouze v nezbytných případech. Je-li to možné (tj. pokud to neodporuje dále uvedeným účelům předání), předáváme pouze anonymizovaná data.

Předání na základě právního předpisu

Dle zákona o kybernetické bezpečnosti je sdružení CESNET povinno hlásit detekované kybernetické bezpečnostní incidenty. Hlášení kybernetických bezpečnostních incidentů může obsahovat IP adresy týkající se hlášeného incidentu, v menší míře další technické identifikátory, ve velmi omezené míře mohou mít informace takový charakter, že je možné je spojit se subjektem údajů.

Dle zákona o elektronických komunikacích je sdružení CESNET povinno ve stanovených případech předat provozní a lokalizační údaje určeným subjektům. Tyto údaje sdružení CESNET předává v případě služeb, které spadají pod tento zákon.

Záznam z provozu sítě, které mohou obsahovat identifikátory jako je IP adresa, MAC adresa, případně další technické identifikátory, jsme povinni na vyžádání předat také orgánům činným v trestním řízení.

Předání na základě oprávněného zájmu

Osobní údaje mající podobu provozních a lokalizačních údajů a další jedinečné identifikátory využívané jednotlivými službami e‑infrastruktury CESNET, mohou být sděleny administrátorům sítí a služeb z organizací připojených do e‑infrastruktury CESNET a členům bezpečnostních týmů v rámci procesu řešení provozních problémů a bezpečnostních incidentů.

Sdružení je členem národních i mezinárodních bezpečnostních infrastruktur (Fenix, TF‑CSIRT, Pracovní skupina CSIRT.CZ), kde neformální podmínkou účasti je sdílení zkušeností a informací z oblasti bezpečnosti, což zahrnuje sdílení informací o detekovaných bezpečnostních událostech, anomáliích a zranitelnostech.

Osobní údaje mající charakter statisticky zpracovaných dat o využití zdrojů e‑infrastruktury CESNET předáváme členům sdružení CESNET a poskytovatelům účelové podpory.

Práva subjektů údajů:

Ve vztahu ke zpracovávaným osobním údajům v e-infrastruktuře CESNET můžete u sdružení CESNET uplatnit následující práva:

  • právo na informace a přístup k osobním údajům (čl. 15 GDPR),
  • právo na opravu (čl. 16 GDPR),
  • právo na  výmaz (čl. 17 GDPR),
  • právo na  omezení zpracování (čl. 18 GDPR),
  • právo vznést námitku (čl. 21 GDPR),
  • právo podat stížnost na Úřad pro ochranu osobních údajů – můžete se kdykoli se žádostí, podnětem nebo stížností obrátit na Úřad pro ochranu osobních údajů, pplk. Sochora 27, 170 00 Praha 7.

V případě, že se rozhodnete uplatnit svá práva v záležitostech ochrany osobních údajů, budeme vyžadovat vaši identifikaci. Uplatnění práv je bezplatné. Sdružení CESNET může vyžadovat poplatek za vyřízení žádosti v případě, že žádost je zjevně nedůvodná nebo nepřiměřená (v takové situaci také máme právo žádosti nevyhovět). Uplatněním některého z práv nesmí být dotčena práva třetích stran.

Uplatníte-li některé z práv ve vztahu ke zpracovávaným osobním údajům, vyrozumíme vás o vyřešení vašeho požadavku nejpozději do jednoho měsíce od doručení žádosti. Tuto lhůtu můžeme s ohledem na složitost a počet vyřizovaných žádostí prodloužit o dva měsíce, v takovém případě vás o tom budeme informovat.

Kontakty pro uplatnění práv najdete na https://www.cesnet.cz/kontakty/.


Výše uvedené informace o zpracování osobních údajů jsou platné od 12. 11. 2021.


Další informace o zpracování osobních údajů ve sdružení CESNET:

Poslední změna: 2.11.2021