Sieć Wi-Fi eduroam w Uniwersytecie Medycznym w Łodzi

eduroam
Ikona zmiany kontrastu strony - wersja kontrastowaZmień kontrast Ikona zmiany kontrastu strony - domyślna wersjaPełna wersja A- A A+
wróć

Polityka prywatności


Przetwarzanie danych osobowych użytkowników korzystających z gościnnego dostępu do sieci eduroam na terenie Uniwersytetu Medycznego w Łodzi

1. Terminologia

  1. Użytkownik – osoba fizyczna uprawniona do korzystania z eduroam.
  2. Instytucja macierzysta – instytucja odpowiedzialna za wydanie poświadczenia o uprawnieniu użytkownika do korzystania z eduroam.
  3. Instytucja udostępniająca sieć – instytucja udostępniająca własną sieć użytkownikom eduroam – Uniwersytet Medyczny w Łodzi.
  4. Instytucja pośrednicząca – instytucja utrzymująca serwer pośredniczący eduroam, są to instytucje utrzymujące światowe, krajowe lub regionalne węzły eduroam we wszystkich państwach włączonych w strukturę eduroam.

2. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem eduroam na terenie Uniwersytetu Medycznego w Łodzi  jest Uniwersytet Medyczny w Łodzi, Al. Kościuszki 4 90-419 Łódź. 
Kontakt z Inspektorem Ochrony Danych jest możliwy pod numerem telefonu 42 2725211, lub za pośrednictwem adresu mailowego: iod@umed.lodz.pl..

 

3. Legalność i cel przetwarzania danych

Dane są przetwarzane w celu zagwarantowania prawnie uzasadnionego interesu wynikającego z udostępnienia użytkownikom łączności internetowej.

Celem usługi eduroam jest umożliwienie upoważnionym użytkownikom korzystania z Internetu w prosty i bezpieczny sposób na terenie wszystkich współpracujących instytucji na świecie. W procesie logowania do sieci niezbędne jest przetwarzanie danych osobowych w następujących celach:

  1. potwierdzenie uprawnienia użytkownika do korzystania z eduroam;
  2. zapewnienie technicznych możliwości korzystania z szyfrowanej transmisji bezprzewodowej;
  3. zapewnienie potencjalnej możliwości powiązania użytkownika z przydzielonym numerem IP w przypadku naruszenia przez niego prawa i wpłynięcia stosowanego wniosku o udostępnienie danych;
  4. zapewnienia wsparcia technicznego użytkownikowi;
  5. zapewnienia możliwości kontaktu z użytkownikiem w przypadku konieczności zwrócenia uwagi na niewłaściwość działań;
  6. zapewnienie możliwości awaryjnego zablokowania dostępu do sieci w przypadku, gdyby działania użytkownika były niezgodne z lokalnym regulaminem sieci;
  7. zapewnienie możliwości tworzenia i raportowania statystyk korzystania z sieci eduroam na potrzeby podmiotów współfinansujących.

4. Dokumenty stanowiące podstawę przetwarzania danych w eduroam

  1. Regulamin usługi eduroam w Polsce [eduroam-pl]
  2. Zasady działania europejskiej konfederacji eduroam [eduroam-org]
  3. Zasady współpracy regionalnych konfederacji eduroam [eduroam-complience]
  4. Deklaracja przystąpienia Polski do europejskiej konfederacji eduroam [deklaracja-pl]
  5. Deklaracje polskich instytucji korzystających z eduroam [deklaracja]
  6. Regulaminy zagranicznych federacji eduroam

5. Zakres przetwarzania danych osobowych

  1. Kategoria osób, których dane dotyczą – Użytkownik.
  2. Kategorie danych:
  3. adres interfejsu sieciowego (MAC) – ta wartość jest udostępniana przez urządzenie użytkownika;
  4. identyfikator połączenia, a w przypadku korzystania z certyfikatów indywidualnych, również cały certyfikat – zazwyczaj dana anonimowa lub spseudonimizowana – wartość tego identyfikatora jest udostępniania przez urządzenie użytkownika;
  5. identyfikator spseudonimizowany CUI – ta wartość może być przekazana przez instytucję macierzystą użytkownika;
  6. czas nawiązania połączenia – informacja generowana przez serwer UMED;
  7. przydzielony adres internetowy – informacja generowana przez serwery UMED;
  8. identyfikator instytucji udostępniającej sieć (czyli wartość umed.lodz.pl  dołączana przez serwery UMED do pakietów uwierzytelniających);
  9. lokalizacja użytkownika na terenie sieci (identyfikator punktu bezprzewodowego obsługującego użytkownika) – informacja generowana przez serwery UMED.

6. Okres retencji danych

Dane są przechowywane przez okres 12 miesięcy. Po tym okresie dokonywana jest redukcja i anonimizacja danych. Dana zanonimizowane mogą być przetwarzane i przechowywane bez ograniczeń.

7. Odbiorcy danych

Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam na terenie UMED.

8. Udostępnianie danych na zewnątrz

W procesie uwierzytelnienia następuje wymiana komunikatów pomiędzy instytucją udostępniającą sieć, a instytucją macierzystą użytkownika. Transmisja danych następuje poprzez serwery instytucji pośredniczących właściwe dla lokalizacji użytkownika oraz jego instytucji macierzystej. Dobór tych serwerów w większości jest poza kontrolą UMED.

Jeżeli instytucja macierzysta użytkownika znajduje się poza terenem Unii Europejskiej, to dane użytkownika są przekazywane do jego instytucji, a zatem  poza obszar Unii Europejskiej.

Udostępniane są:

  1. adres interfejsu sieciowego urządzenia użytkownika (MAC);
  2. identyfikator podłączenia, a w przypadku korzystania z certyfikatów indywidualnych, również cały certyfikat;
  3. identyfikator instytucji udostępniającej sieć.

 

Na potrzeby statystyk udostępniane są następujące dane:

  1. adres interfejsu sieciowego urządzenia użytkownika poddany pseudonimizacji;
  2. adres domenowy instytucji macierzystej użytkownika;
  3. identyfikator odwiedzonego kraju (Polska);
  4. identyfikator instytucji odwiedzanej (UMED.lodz.pl).

Dane te są zachowywane lokalnie oraz przekazywane do ogólnopolskiego serwera prowadzonego przez Uniwersytet Mikołaja Kopernika w Toruniu – koordynatora eduroam w Polsce a za jego pośrednictwem do europejskiego serwera prowadzonego przez ogólnoświatowego operatora eduroam – GÉANT Association.

9. Opis technicznych i organizacyjnych środków bezpieczeństwa

Dostęp do serwerów oraz infrastruktury sieciowej wymaganej do świadczenia usługi eduroam  przetwarzających dane eduroam na terenie UMED jest chroniony w następujący sposób:

  • Systemy znajdują się w wydzielonej sieci chronionej FW;
  • Dostęp jest ograniczony tylko dla uprawnionych osób (administratorów);
  • Dostęp jest możliwy tylko z uprawnionych zasobów sieciowych;
  • Wprowadzono politykę bezpieczeństwa.

Komunikacja pomiędzy urządzeniem użytkownika a serwerem uwierzytelniającym jest szyfrowana TLS.

 

Przetwarzanie danych osobowych użytkowników w związku z korzystaniem z sieci eduroam za pomocą konta użytkownika prowadzonego przez Uniwersytet Medyczny w Łodzi

 

 

1. Terminologia

  1. UMED – Uniwersytet Medyczny w Łodzi
  2. Użytkownik – osoba fizyczna uprawniona do korzystania z eduroam.
  3. Instytucja macierzysta – instytucja odpowiedzialna za wydanie poświadczenia o uprawnieniu użytkownika do korzystania z eduroam – Uniwersytet Medyczny w Łodzi.
  4. Instytucja udostępniająca sieć – instytucja udostępniająca własną sieć użytkownikom eduroam.
  5. Instytucja pośrednicząca – instytucja utrzymująca serwer pośredniczący eduroam, są to instytucje utrzymujące światowe, krajowe lub regionalne węzły eduroam we wszystkich państwach włączonych w strukturę eduroam.

2. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych w związku z korzystaniem eduroam na terenie Uniwersytetu Medycznego w Łodzi oraz danych przetwarzanych w procesie uwierzytelnienia użytkowników korzystających z eduroam poza terenem UMED jest Uniwersytet Medyczny, ul. Al. Kościuszki 4 90-419 Łódź.
Kontakt z Inspektorem Ochrony Danych jest możliwy pod numerem telefonu 42 2725211, lub za pośrednictwem adresu mailowego: iod@umed.lodz.pl.

Jeżeli użytkownik korzysta z eduroam poza UMED, to administratorem danych osobowych jest Instytucja udostępniająca sieć. Dodatkowo, administratorem danych mogą być także Instytucje pośredniczące w procesie uwierzytelnienia Użytkownika.

 

3. Legalność i cel przetwarzania danych

Dane są przetwarzane w celu zagwarantowania prawnie uzasadnionego interesu wynikającego z udostępnienia użytkownikom łączności internetowej.

Celem usługi eduroam jest umożliwienie upoważnionym użytkownikom korzystania z Internetu w prosty i bezpieczny sposób na terenie wszystkich współpracujących instytucji na świecie. W procesie logowania do sieci niezbędne jest przetwarzanie danych osobowych w następujących celach:

  1. potwierdzenie uprawnienia użytkownika do korzystania z eduroam;
  2. zapewnienie technicznych możliwości korzystania z szyfrowanej transmisji bezprzewodowej;
  3. zapewnienie potencjalnej możliwości powiązania użytkownika z przydzielonym numerem IP w przypadku naruszenia przez niego prawa i wpłynięcia stosowanego wniosku o udostępnienie danych;
  4. zapewnienia wsparcia technicznego użytkownikowi;
  5. zapewnienia możliwości kontaktu z użytkownikiem w przypadku konieczności zwrócenia uwagi na niewłaściwość działań;
  6. zapewnienie możliwości awaryjnego zablokowania dostępu do sieci w przypadku, gdyby działania użytkownika były niezgodne z lokalnym regulaminem sieci;
  7. zapewnienie możliwości tworzenia i raportowania statystyk korzystania z sieci eduroam na potrzeby podmiotów współfinansujących.

4. Dokumenty stanowiące podstawę przetwarzania danych w eduroam

  1. Regulamin usługi eduroam w Polsce [eduroam-pl]
  2. Zasady działania europejskiej konfederacji eduroam [eduroam-org]
  3. Zasady współpracy regionalnych konfederacji eduroam [eduroam-complience]
  4. Deklaracja przystąpienia Polski do europejskiej konfederacji eduroam [deklaracja-pl]
  5. Deklaracje polskich instytucji korzystających z eduroam [deklaracja]
  6. Regulaminy zagranicznych federacji eduroam

5. Zakres przetwarzania danych osobowych

  1. Kategoria osób, których dane dotyczą – Użytkownik.
  2. Kategorie danych:
  3. Imię nazwisko, CN certyfikatu przypisany danej osobie, adres email;
  4. adres interfejsu sieciowego (MAC) – ta wartość jest udostępniana przez urządzenie użytkownika;
  5. identyfikator użytkownika pozwalający na jednoznaczne powiązanie go z osobą fizyczną;
  6. identyfikator połączenia, a w przypadku korzystania z certyfikatów indywidualnych, również cały certyfikat – zazwyczaj dana anonimowa lub spseudonimizowana – wartość tego identyfikatora jest udostępniania przez urządzenie użytkownika;
  7. identyfikator spseudonimizowany CUI – ta wartość jest generowana przez UMED o ile instytucja udostępniająca sieć ustawi odpowiedni znacznik.
  8. czas nawiązania połączenia;
  9. przydzielony adres internetowy – wyłącznie w przypadkach, kiedy użytkownik korzysta z sieci na terenie UMED;
  10. identyfikator instytucji udostępniającej sieć, o ile instytucja udostępniająca sieć go przekazuje;
  11. lokalizacja użytkownika na terenie sieci (identyfikator punktu bezprzewodowego obsługującego użytkownika) – wyłącznie w przypadkach, kiedy użytkownik korzysta z sieci na terenie UMED.

6. Okres retencji danych

Dane są przechowywane przez okres 12 miesięcy. Po tym okresie dokonywana jest redukcja i anonimizacja danych. Dana zanonimizowane mogą być przetwarzane i przechowywane bez ograniczeń.

7. Odbiorcy danych

Jeżeli użytkownik korzysta z konta prowadzanego przez UMED oraz:

1.korzysta z eduroam na terenie UMED, to jego dane są przetwarzane wyłącznie przez UMED zaś odbiorcami jego danych są Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam na terenie UMED;

  1. 2.korzysta z eduroam poza UMED, to jego dane są przetwarzane przez UMED w zakresie opisanym w niniejszym dokumencie, a dodatkowo przez instytucję, na terenie której korzysta z eduroam oraz przez instytucje pośredniczące w procesie uwierzytelnienia użytkownika. Odbiorcami jego danych są Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam na UMED, Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam  w instytucji udostępniająca sieć, na terenie której Użytkownik korzysta z eduroam oraz Administratorzy infrastruktury sieciowej i usługowej wymaganej do świadczenia usługi eduroam w instytucjach pośredniczących w procesie uwierzytelnienia Użytkownika.

8. Udostępnianie danych na zewnątrz

W procesie uwierzytelnienia następuje wymiana komunikatów pomiędzy instytucją udostępniającą sieć, a instytucją macierzystą użytkownika. Transmisja danych następuje poprzez serwery pośredniczące właściwe dla lokalizacji użytkownika oraz jego instytucji macierzystej. Dobór tych serwerów w większości jest poza kontrolą UMED.

Jeżeli instytucja udostępniająca sieć, na terenie której jest użytkownik, znajduje się poza terenem Unii Europejskiej, to dane użytkownika są przekazywane do tej instytucji, a zatem  poza obszar Unii Europejskiej.

Udostępniane są:

  1. fakt uprawnienia danego użytkownika do korzystania z eduroam;
  2. identyfikator spseudonimizowany CUI – ta wartość jest generowana przez UMED o ile instytucja udostępniająca sieć ustawi odpowiedni znacznik.

9. Opis technicznych i organizacyjnych środków bezpieczeństwa

Dostęp do serwerów oraz infrastruktury sieciowej wymaganej do świadczenia usługi eduroam  przetwarzających dane eduroam na terenie UMED jest chroniony w następujący sposób:

  • Systemy znajdują się w wydzielonej sieci chronionej FW;
  • Dostęp jest ograniczony tylko dla uprawnionych osób (administratorów);
  • Dostęp jest możliwy tylko z uprawnionych zasobów sieciowych;
  • Wprowadzono politykę bezpieczeństwa.

Komunikacja pomiędzy urządzeniem użytkownika a serwerem uwierzytelniającym jest szyfrowana TLS.

Wszystkie Instytucje udostępniające, które mają swoją siedzibę na ternie Unii Europejskiej zobowiązane są do wdrożenia polityki ochrony danych osobowych zgodnie z RODO.
Wszystkie Instytucje udostępniające, które mają swoją siedzibę na poza terenem Unii Europejskiej zobowiązane są do przestrzegania Zasad działania europejskiej konfederacji eduroam [eduroam-org].

 

Przetwarzanie danych osobowych użytkowników korzystających z gościnnego dostępu do sieci eduroam przez serwery pośredniczące eduroam na terenie Uniwersytetu Medycznego w Łodzi

1. Terminologia

  1. Użytkownik – osoba fizyczna uprawniona do korzystania z eduroam.
  2. Instytucja macierzysta – instytucja odpowiedzialna za wydanie poświadczenia o uprawnieniu użytkownika do korzystania z eduroam.
  3. Instytucja udostępniająca sieć – instytucja udostępniająca własną sieć użytkownikom eduroam .
  4. Instytucja pośrednicząca – instytucja utrzymująca serwer pośredniczący eduroam, są to instytucje utrzymujące światowe, krajowe lub regionalne węzły eduroam we wszystkich państwach włączonych w strukturę eduroam – w tym przypadku UMED.

2. Administrator danych osobowych

Administratorem danych osobowych przetwarzanych na serwerach pośredniczących eduroam na terenie Uniwersytetu Medycznego jest Uniwersytet Medyczny, Al. Kościuszki 4 90-419 Łódź.
Kontakt z Inspektorem Ochrony Danych jest możliwy pod numerem telefonu 42 2725211, lub za pośrednictwem adresu mailowego: iod@umed.lodz.pl.

3. Legalność i cel przetwarzania danych

Dane są przetwarzane w celu zagwarantowania prawnie uzasadnionego interesu wynikającego z udostępnienia użytkownikom łączności internetowej.

Celem usługi eduroam jest umożliwienie upoważnionym użytkownikom korzystania z Internetu w prosty i bezpieczny sposób na terenie wszystkich współpracujących instytucji na świecie. W procesie logowania do sieci niezbędne jest przetwarzanie danych osobowych w następujących celach:

  1. potwierdzenie uprawnienia użytkownika do korzystania z eduroam;
  2. zapewnienie technicznych możliwości korzystania z szyfrowanej transmisji bezprzewodowej;
  3. zapewnienie potencjalnej możliwości powiązania użytkownika z przydzielonym numerem IP w przypadku naruszenia przez niego prawa i wpłynięcia stosowanego wniosku o udostępnienie danych;
  4. zapewnienia wsparcia technicznego użytkownikowi;
  5. zapewnienia możliwości kontaktu z użytkownikiem w przypadku konieczności zwrócenia uwagi na niewłaściwość działań;
  6. zapewnienie możliwości awaryjnego zablokowania dostępu do sieci w przypadku, gdyby działania użytkownika były niezgodne z lokalnym regulaminem sieci;
  7. zapewnienie możliwości tworzenia i raportowania statystyk korzystania z sieci eduroam na potrzeby podmiotów współfinansujących.

4. Dokumenty stanowiące podstawę przetwarzania danych w eduroam

  1. Regulamin usługi eduroam w Polsce [eduroam-pl]
  2. Zasady działania europejskiej konfederacji eduroam [eduroam-org]
  3. Zasady współpracy regionalnych konfederacji eduroam [eduroam-complience]
  4. Deklaracja przystąpienia Polski do europejskiej konfederacji eduroam [deklaracja-pl]
  5. Deklaracje polskich instytucji korzystających z eduroam [deklaracja]
  6. Regulaminy zagranicznych federacji eduroam

5. Zakres przetwarzania danych osobowych

  1. Kategoria osób, których dane dotyczą – Użytkownik.
  2. Kategorie danych:
  3. adres interfejsu sieciowego (MAC) – ta wartość jest udostępniana przez urządzenie użytkownika;
  4. identyfikator połączenia, a w przypadku korzystania z certyfikatów indywidualnych, również cały certyfikat – zazwyczaj dana anonimowa lub spseudonimizowana – wartość tego identyfikatora jest udostępniania przez urządzenie użytkownika;
  5. identyfikator spseudonimizowany CUI – ta wartość może być przekazana przez instytucję macierzystą użytkownika;
  6. czas nawiązania połączenia – informacja generowana przez serwer UMED;
  7. identyfikator instytucji udostępniającej sieć.

6. Okres retencji danych

Dane są przechowywane przez okres 12 miesięcy. Po tym okresie dokonywana jest redukcja i anonimizacja danych. Dana zanonimizowane mogą być przetwarzane i przechowywane bez ograniczeń.

7. Odbiorcy danych

Administratorzy serwera pośredniczącego eduroam na terenie UMED.

8. Udostępnianie danych na zewnątrz

W procesie uwierzytelnienia następuje wymiana komunikatów pomiędzy instytucją udostępniającą sieć, a instytucją macierzystą użytkownika. Transmisja danych następuje poprzez serwery instytucji pośredniczących właściwe dla lokalizacji użytkownika oraz jego instytucji macierzystej. Serwer pośredniczący UMED przekazuje dane pomiędzy zarejestrowanymi w tym serwerze instytucjami korzystającymi z obsługiwanej przez UMED sieci MAN a jednym z dwóch polskich krajowych serwerów pośredniczących eduroam.

Jeżeli instytucja macierzysta użytkownika lub instytucja udostępniająca sieć znajduje się poza terenem Unii Europejskiej, to dane użytkownika są docelowo przekazywane do jego instytucji, a zatem  poza obszar Unii Europejskiej.

Udostępniane są:

  1. adres interfejsu sieciowego urządzenia użytkownika (MAC);
  2. identyfikator podłączenia, a w przypadku korzystania z certyfikatów indywidualnych, również cały certyfikat;
  3. identyfikator spseudonimizowany CUI – ta wartość może być przekazana przez instytucję macierzystą użytkownika;
  4. identyfikator instytucji udostępniającej sieć.

 

Na potrzeby statystyk udostępniane są następujące dane:

  1. adres interfejsu sieciowego urządzenia użytkownika poddany pseudonimizacji;
  2. adres domenowy instytucji macierzystej użytkownika;
  3. identyfikator odwiedzonego kraju (Polska);
  4. identyfikator instytucji odwiedzanej (UMED.lodz.pl).

Dane te są zachowywane lokalnie oraz przekazywane do europejskiego serwera prowadzonego przez operatora eduroam – GÉANT Association.

9. Opis technicznych i organizacyjnych środków bezpieczeństwa

Dostęp do serwerów pośredniczących eduroam przetwarzających dane eduroam na terenie UMED jest chroniony w następujący sposób:

  • Systemy znajdują się w wydzielonej sieci chronionej FW;
  • Dostęp jest ograniczony tylko dla uprawnionych osób (administratorów);
  • Dostęp jest możliwy tylko z uprawnionych zasobów sieciowych;
  • Wprowadzono politykę bezpieczeństwa.

Komunikacja pomiędzy urządzeniem użytkownika a serwerem uwierzytelniającym jest szyfrowana TLS.

10. Źródła

[eduroam-pl] http://www.eduroam.pl/Dokumenty/Regulamin_eduroam_v2_18_10_2013.pdf

[eduroam-org] http://www.eduroam.pl/Dokumenty/GN3-12-192_eduroam-policy-service-definition_ver28_26072012.pdf

[eduroam-complience] https://www.eduroam.org/wp-content/uploads/2016/05/eduroam_Compliance_Statement_v1_0.pdf

[deklaracja-pl] http://www.eduroam.pl/Dokumenty/eduroam_policy_v2_pl.pdf

[deklaracja] http://www.eduroam.pl/Dokumenty/Deklaracja_eduroam_v2_18_10_2013.docx

[rfc7593]  https://tools.ietf.org/html/rfc7593