Przetwarzanie danych osobowych użytkowników w związku z korzystaniem z zewnętrznych usług autoryzowanych za pośrednictwem Centralnego Punktu Logowania prowadzonego przez Uniwersytet Mikołaja Kopernika w Toruniu

Ta strona ma podstrony.
Podstrony

Podstrony

Z Uniwersyteckie Centrum Informatyczne

Wersja Twoln@umk.pl (dyskusja | edycje) z dnia 09:35, 25 maj 2018

(różn.) ← poprzednia wersja | przejdź do aktualnej wersji (różn.) | następna wersja → (różn.)


Spis treści

Terminologia

  1. UMK – Uniwersytet Mikołaja Kopernika w Toruniu
  2. Zewnętrzna usługa autoryzowana - usługa oparta na modelu tzw. federacyjnego logowania
  3. Centralny Punkt Logowania UMK - usługa jednokrotnego logowania do aplikacji WWW za pomocą kont użytkownika Sieci Komputerowej UMK
  4. Użytkownik – osoba fizyczna korzystająca z usług zewnętrznych za pośrednictwem Centralnego Punktu Logowania UMK.
  5. Usługodawca - instytucja prowadząca zewnętrzną usługę autoryzowaną

Administrator danych osobowych

  1. Administratorem danych osobowych przetwarzanych w związku z zapewnieniem dostępu do zewnętrznych usług autoryzowanych jest Uniwersytet Mikołaja Kopernika, ul. Gagarina 11, 87-100 Toruń.
  2. Administratorem danych przekazanych do usługi zewnętrznej jest Usługodawca, zgodnie z Polityką Prywatności danej usługi.

Legalność i cel przetwarzania danych

Przetwarzanie danych ma na celu zapewnienie użytkownikowi dostępu do konkretnej usługi zewnętrznej. Centralny Punkt Logowania UMK jest technicznym narzędziem zapewniającym poświadczenie związku użytkownika z UMK, oraz w przypadku gdy usługa tego wymaga, przekazania dodatkowych informacji na temat tego użytkownika, z jednoczesnym potwierdzeniem zgodności tych informacji ze stanem odnotowanym w bazach użytkowników UMK. Zachowywanie i późniejsze przetwarzanie informacji związanej z dostępem do Usług jest zgodne z ogólnymi zasadami przyjętymi w prowadzeniu usług w modelu federacyjnym, tzn. możliwości potwierdzenia faktu zalogowania do usługi przez konkretnego użytkownika. Cel, w jakim dane są przetwarzane u Usługodawcy zależy od konkretnej Usługi i nie jest tutaj rozważany.

Przekazanie danych następuje dopiero po wyrażeniu przez użytkownika zgody na to przekazanie. Użytkownik może wyrazić zgodę na przekazanie danych

Zakres przetwarzania danych osobowych

  1. Kategoria osób, których dane dotyczą – Użytkownik.
  2. Kategorie danych
    1. imię i nazwisko
    2. identyfikator i hasło konta użytkownika
    3. adres email użytkownika
    4. typ użytkownika - pracownik, student
    5. trwały identyfikator spseudonimizowany tworzony odrębnie dla każdego użytkownika i każdej usługi
    6. identyfikator usługi, z której korzysta użytkownik
    7. czas każdego logowania do usługi
    8. lista zgód wydanych na udostępnianie atrybutów i czasu, kiedy zostały wydane


Okres retencji danych

Dane są przechowywane przez okres 12 miesięcy. Po tym okresie dokonywana jest redukcja i anonimizacja danych. Dana zanonimizowane mogą być przetwarzane i przechowywane bez ograniczeń.

Odbiorcy danych

Jeżeli użytkownik korzysta z konta prowadzanego przez UMK oraz:

  1. korzysta z eduroam na terenie UMK, to jego dane są przetwarzane wyłącznie przez UMK zaś odbiorcami jego danych są Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam na terenie UMK;
  2. korzysta z eduroam poza UMK, to jego dane są przetwarzane przez UMK w zakresie opisanym w niniejszym dokumencie, a dodatkowo przez instytucję, na terenie której korzysta z eduroam oraz przez instytucje pośredniczące w procesie uwierzytelnienia użytkownika. Odbiorcami jego danych są Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam na UMK, Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam w instytucji udostępniająca sieć, na terenie której Użytkownik korzysta z eduroam oraz Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam w instytucjach pośredniczących w procesie uwierzytelnienia Użytkownika.

Udostępnianie danych na zewnątrz

W procesie uwierzytelnienia następuje wymiana komunikatów pomiędzy instytucją udostępniającą sieć, a instytucją macierzystą użytkownika. Transmisja danych następuje poprzez serwery pośredniczące właściwe dla lokalizacji użytkownika oraz jego instytucji macierzystej. Dobór tych serwerów w większości jest poza kontrolą UMK. Jeżeli instytucja udostępniająca sieć, na terenie której jest użytkownik, znajduje się poza terenem Europejskiego Obszaru Gospodarczego, to dane użytkownika są przekazywane do tej instytucji, a zatem poza obszar Europejskiego Obszaru Gospodarczego. Udostępniane są:

  1. fakt uprawnienia danego użytkownika do korzystania z eduroam;
  2. identyfikator spseudonimizowany CUI – ta wartość jest generowana przez UMK o ile instytucja udostępniająca sieć ustawi odpowiedni znacznik.

Opis technicznych i organizacyjnych środków bezpieczeństwa

Dostęp do serwerów oraz infrastruktury sieciowej wymaganej do świadczenia usługi eduroam przetwarzających dane eduroam na terenie UMK jest chroniony w następujący sposób:

  1. Systemy znajdują się w wydzielonej sieci chronionej przez firewall;
  2. Dostęp jest ograniczony tylko dla uprawnionych osób (administratorów);
  3. Dostęp jest możliwy tylko z uprawnionych zasobów sieciowych;
  4. Wprowadzono politykę bezpieczeństwa sieci komputerowej UMK.

Komunikacja pomiędzy urządzeniem użytkownika a serwerem uwierzytelniającym jest szyfrowana TLS.

Wszystkie Instytucje udostępniające, które mają swoją siedzibę na terenie Europejskiego Obszaru Gospodarczego zobowiązane są do wdrożenia polityki ochrony danych osobowych zgodnie z RODO.

Wszystkie Instytucje udostępniające, które mają swoją siedzibę na poza terenem Europejskiego Obszaru Gospodarczego zobowiązane są do przestrzegania Zasad działania europejskiej konfederacji eduroam [eduroam-org].

Źródła

Źródło „https://www.uci.umk.pl/index.php?title=Przetwarzanie_danych_osobowych_federacja&oldid=3169