Przetwarzanie danych osobowych użytkowników w związku z korzystaniem z zewnętrznych usług autoryzowanych za pośrednictwem Centralnego Punktu Logowania prowadzonego przez Uniwersytet Mikołaja Kopernika w Toruniu

Terminologia

1. UMK – Uniwersytet Mikołaja Kopernika w Toruniu
2. Usługa - zewnętrzna usługa autoryzowana - usługa oparta na modelu tzw. federacyjnego logowania
3. Centralny Punkt Logowania UMK - usługa jednokrotnego logowania do aplikacji WWW za pomocą kont użytkownika Sieci Komputerowej UMK
4. Użytkownik – osoba fizyczna korzystająca z usług zewnętrznych za pośrednictwem Centralnego Punktu Logowania UMK.
5. Usługodawca - instytucja prowadząca zewnętrzną usługę autoryzowaną

Administrator danych osobowych

1. Administratorem danych osobowych przetwarzanych w związku z zapewnieniem dostępu do zewnętrznych usług autoryzowanych jest Uniwersytet Mikołaja Kopernika, ul. Gagarina 11, 87-100 Toruń.
2. Administratorem danych przekazanych do usługi zewnętrznej jest Usługodawca, zgodnie z Polityką Prywatności danej usługi.

Legalność i cel przetwarzania danych

1. Przetwarzanie danych ma na celu zapewnienie użytkownikowi dostępu do konkretnej usługi zewnętrznej.
2. Centralny Punkt Logowania UMK jest technicznym narzędziem zapewniającym poświadczenie związku użytkownika z UMK, oraz w przypadku gdy usługa tego wymaga, przekazania dodatkowych informacji na temat tego użytkownika, z jednoczesnym potwierdzeniem zgodności tych informacji ze stanem odnotowanym w bazach użytkowników UMK.
3. Zachowywanie i późniejsze przetwarzanie informacji związanej z dostępem do Usług jest zgodne z ogólnymi zasadami przyjętymi w prowadzeniu usług w modelu federacyjnym, tzn. możliwości potwierdzenia faktu zalogowania do usługi przez konkretnego użytkownika.
4. Informacje o logowaniu w usługach - czas, identyfikator użytkownika, identyfikator Usługi.
5. Zachowanie wartości identyfikatora spseudonimizowanego jest niezbędne, by zapewnić tę samą wartość przy każdym dostępie użytkownika do Usługi.
6. Cel, w jakim dane są przetwarzane u Usługodawcy zależy od konkretnej Usługi i nie jest tutaj rozważany.

Zakres przetwarzania danych osobowych

1. Kategoria osób, których dane dotyczą – Użytkownik.
2. Kategorie danych
   1. imię i nazwisko
   2. identyfikator i hasło konta użytkownika
   3. adres email użytkownika
   4. typ użytkownika - pracownik, student
   5. trwały identyfikator spseudonimizowany tworzony odrębnie dla każdego użytkownika i każdej usługi
   6. identyfikator usługi, z której korzysta użytkownik
   7. czas każdego logowania do usługi
   8. lista zgód wydanych na udostępnianie atrybutów i czasu, kiedy zostały wydane

Okres retencji danych

Dane dotyczące logowania do usług są przechowywane przez okres 12 miesięcy.

Odbiorcy danych

Administratorzy Centralnego Punktu Logowania UMK Administratorzy Usługi

Udostępnianie danych na zewnątrz

1. Dane są udostępniane Usłudze przy każdym logowaniu Użytkownika
2. Pierwsze przekazanie danych jest zawsze poprzedzone wyświetleniem Użytkownikowi ekranu informacyjnego, na którym znajduje się lista danych, które mają zostać udostępnione, odsyłacz do polityki prywatności Usługi, o ile taka jest publikowana przez usługę, pytanie o potwierdzenie woli skorzystania z usługi i jednoczesnego przekazania danych.
3. Użytkownik musi podjąć świadomą decyzję, czy życzy sobie, by usługa, z której zamierza korzystać ma dysponować jego danymi.
4. Użytkownik podejmuje decyzję, czy życzy sobie, by przy kolejnych dostępach to danej usługi dane były przekazywane automatycznie, bez ponownego wyświetlania ekrany informacyjnego.
5. Użytkownik ma możliwość wyświetlenia listy udzielonych zgód i ich wycofania, w tym celu może skorzystać z usługi wewnętrznej https://skrypty2.uci.umk.pl/zgoda.
6. UMK działa w roli zaufanego pośrednika przy przekazaniu danych użytkownika do Usługodawcy i nie odpowiada za proces przetwarzania danych osobowych w Usłudze. Ewentualne zapytania o proces przetwarzania, wnioski o bycie zapomnianym itp. Użytkownik powinien kierować bezpośrednio do Usługodawcy.
7. UMK nie ma możliwości potwierdzenia, czy Usługodawca ma siedzibę na terenie Europejskiego Obszaru Gospodarczego i czy dane są przetwarzane w usłudze zgodnie z RODO. Takie informacje powinny być dostępna w Polityce Prywatności usługi. W przypadku wątpliwości Użytkownik powinien zakładać, że jego dane mogą być przetwarzane poza terenem Europejskiego Obszaru Gospodarczego.

Opis technicznych i organizacyjnych środków bezpieczeństwa

Dostęp do serwerów oraz infrastruktury sieciowej wymaganej do świadczenia usługi eduroam przetwarzających dane eduroam na terenie UMK jest chroniony w następujący sposób:

1. Systemy znajdują się w wydzielonej sieci chronionej przez firewall;
2. Dostęp jest ograniczony tylko dla uprawnionych osób (administratorów);
3. Dostęp jest możliwy tylko z uprawnionych zasobów sieciowych;
4. Wprowadzono politykę bezpieczeństwa sieci komputerowej UMK.

Komunikacja pomiędzy urządzeniem użytkownika a serwerem uwierzytelniającym jest szyfrowana TLS.

Wszystkie Instytucje udostępniające, które mają swoją siedzibę na terenie Europejskiego Obszaru Gospodarczego zobowiązane są do wdrożenia polityki ochrony danych osobowych zgodnie z RODO.

Wszystkie Instytucje udostępniające, które mają swoją siedzibę na poza terenem Europejskiego Obszaru Gospodarczego zobowiązane są do przestrzegania Zasad działania europejskiej konfederacji eduroam [eduroam-org].

Źródła

• [eduroam-pl] http://www.eduroam.pl/Dokumenty/Regulamin_eduroam_v2_18_10_2013.pdf
• [eduroam-org] http://www.eduroam.pl/Dokumenty/GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf
• [eduroam-complience] https://www.eduroam.org/wp-content/uploads/2016/05/eduroam_Compliance_Statement_v1_0.pdf
• [deklaracja-pl] http://www.eduroam.pl/Dokumenty/eduroam_policy_v2_pl.pdf
• [deklaracja] http://www.eduroam.pl/Dokumenty/Deklaracja_eduroam_v2_18_10_2013.docx
• [rfc7593] https://tools.ietf.org/html/rfc7593