Przetwarzanie danych osobowych użytkowników w związku z korzystaniem z zewnętrznych usług autoryzowanych za pośrednictwem Centralnego Punktu Logowania prowadzonego przez Uniwersytet Mikołaja Kopernika w Toruniu

Terminologia

1. UMK – Uniwersytet Mikołaja Kopernika w Toruniu
2. Usługa - zewnętrzna usługa autoryzowana - usługa oparta na modelu tzw. federacyjnego logowania
3. Centralny Punkt Logowania UMK - usługa jednokrotnego logowania do aplikacji WWW za pomocą kont użytkownika Sieci Komputerowej UMK
4. Użytkownik – osoba fizyczna korzystająca z usług zewnętrznych za pośrednictwem Centralnego Punktu Logowania UMK
5. Usługodawca - instytucja prowadząca zewnętrzną usługę autoryzowaną

Administrator danych osobowych

1. Administratorem danych osobowych przetwarzanych w związku z zapewnieniem dostępu do zewnętrznych usług autoryzowanych jest Uniwersytet Mikołaja Kopernika, ul. Gagarina 11, 87-100 Toruń.
2. Administratorem danych przekazanych do usługi zewnętrznej jest Usługodawca, zgodnie z Polityką Prywatności danej usługi.

Legalność i cel przetwarzania danych

1. Przetwarzanie danych ma na celu zapewnienie użytkownikowi dostępu do konkretnej usługi zewnętrznej.
2. Centralny Punkt Logowania UMK jest technicznym narzędziem zapewniającym poświadczenie związku użytkownika z UMK, a w przypadku gdy usługa tego wymaga, przekazania dodatkowych informacji na temat tego użytkownika, z jednoczesnym potwierdzeniem zgodności tych informacji ze stanem odnotowanym w bazach użytkowników UMK.
3. Zachowywanie i późniejsze przetwarzanie informacji związanej z dostępem do Usług możliwość potwierdzenia faktu zalogowania do usługi przez konkretnego użytkownika w przypadku wątpliwości zgłaszanych przez Usługodawcę.
4. Zachowanie wartości identyfikatora spseudonimizowanego jest niezbędne, by zapewnić tę samą wartość przy każdym dostępie użytkownika do Usługi.
5. Cel, w jakim dane są przetwarzane u Usługodawcy zależy od konkretnej Usługi i nie jest tutaj rozważany.

Zakres przetwarzania danych osobowych

1. Kategoria osób, których dane dotyczą – Użytkownik.
2. Kategorie danych
   • imię i nazwisko
   • identyfikator i hasło konta użytkownika
   • adres email użytkownika
   • typ użytkownika - pracownik, student
   • trwały identyfikator spseudonimizowany tworzony odrębnie dla każdego użytkownika i każdej usługi
   • identyfikator usługi, z której korzysta użytkownik
   • czas każdego logowania do usługi
   • stałe zgody na udostępnianie atrybutów i czas ich udzielenia

Okres retencji danych

1. Dane dotyczące logowania do usług są przechowywane przez okres 12 miesięcy.
2. Dane dotyczące stałych zgód są przechowywane przez okres ważności zgody.
3. Okres przechowywania kopii zapasowych jest ustalony zgodnie z zasadami Polityki Bezpieczeństwa Sieci Komputerowej UMK.

Odbiorcy danych

1. Administratorzy Centralnego Punktu Logowania UMK
2. Administratorzy Usługi

Udostępnianie danych na zewnątrz

1. Dane są udostępniane Usłudze przy każdym logowaniu Użytkownika
2. Pierwsze udostępnienie danych do konkretnej Usługi jest poprzedzone wyświetleniem Użytkownikowi ekranu informacyjnego, na którym znajduje się:
   • lista danych, które mają zostać udostępnione,
   • odsyłacz do polityki prywatności Usługi (o ile taka jest publikowana przez usługę),
   • pytanie o potwierdzenie chęci skorzystania z usługi i jednoczesnego przekazania danych.
3. Niewyrażenie zgody na przekazanie danych do Usługi oznacza dla Użytkownika brak dostępu do tej Usługi. Przy wyrażaniu zgody na przekazanie danych do Usługi Użytkownik wskazuje wybrany przez siebie tryb działania w przyszłości. Domyślnie zgoda ma charterer stały, tj. przy kolejnych dostępach dane będą przekazywane automatycznie, bez ponownego wyświetlania ekranu informacyjnego. Zgoda stała jest odnotowywana w bazie Centralnego Punktu Logowania UMK.
4. Użytkownik ma możliwość wyświetlenia listy udzielonych zgód stałych i ich wycofania, w tym celu może skorzystać z usługi wewnętrznej https://skrypty2.uci.umk.pl/zgoda.
5. UMK działa w roli zaufanego pośrednika przy przekazaniu danych użytkownika do Usługodawcy i nie odpowiada za proces przetwarzania danych osobowych w Usłudze. W szczególności:
   • wycofanie stałej zgody na przekazywanie danych przez Centralny Punkt Logowania nie powoduje automatycznego skasowania wcześniej przekazanych danych w Usłudze;
   • ewentualne zapytania o proces przetwarzania, wnioski o bycie zapomnianym itp. Użytkownik powinien kierować bezpośrednio do Usługodawcy;
   • UMK nie ma możliwości potwierdzenia, czy Usługodawca ma siedzibę na terenie Europejskiego Obszaru Gospodarczego i czy dane są przetwarzane w usłudze zgodnie z RODO. Takie informacje powinny być dostępne w Polityce Prywatności usługi. W przypadku wątpliwości Użytkownik powinien zakładać, że jego dane mogą być przetwarzane poza terenem Europejskiego Obszaru Gospodarczego.

Opis technicznych i organizacyjnych środków bezpieczeństwa

1. Dostęp do serwerów oraz infrastruktury sieciowej Centralnego Punktu Logowania UMK jest chroniony w następujący sposób:
   • Systemy znajdują się w wydzielonej sieci chronionej przez firewall;
   • Dostęp jest ograniczony tylko dla uprawnionych osób (administratorów);
   • Dostęp jest możliwy tylko z uprawnionych zasobów sieciowych;
   • Wprowadzono Regulamin korzystania z zewnętrznych usług sieciowych dostępnych poprzez Centralny Punkt Logowania;
   • Wprowadzono Politykę Bezpieczeństwa sieci komputerowej UMK.
2. Tożsamość usługodawcy jest potwierdzana za pomocą certyfikatu, zgodnie z listą publikowaną przez współpracujące ze sobą krajowe federacje zarządzania tożsamością.
3. Wszyscy Usługodawcy, którzy mają siedzibę na terenie Europejskiego Obszaru Gospodarczego zobowiązani są do wdrożenia polityki ochrony danych osobowych zgodnie z RODO.