Varovanje zasebnosti uporabnikov storitev omrežja ARNES

Ljubljana, 21. 1. 2019

Arnes za članice omrežja ARNES obdeluje tudi osebne podatke uporabnikov v okviru storitev, ki jih zagotavlja članicam. Pri tem Arnes skrbi za zasebnost uporabnikov in upošteva slovensko zakonodajo o varovanju podatkov, kot tudi Splošno uredbo EU o varovanju podatkov (GDPR).

Kako/komu Arnes nudi storitve?

Arnes nudi storitve članicam omrežja ARNES, preko njih pa njihovim končnim uporabnikom (zaposlenim, šolajočim ipd.). Poleg tega lahko Arnes v dogovoru z ustreznimi resornimi ministrstvi nudi storitve tudi nekaterim posebnim kategorijam posameznikov (samostojni raziskovalci in kulturni delavci, invalidi).

Članice omrežja Arnes (v nadaljevanju tega besedila tudi članice) same upravljajo e-identitete svojih uporabnikov in pri tem obdelujejo njihove osebne podatke. Z izdajanjem teh identitet (AAI-računov) članica omogoča svojim uporabnikom uporabo Arnesovih storitev. Storitve Arnesa so praviloma dostopne preko mehanizma t.im. federacije – ArnesAAI (v nadaljevanju besedila tudi federacija). Zasnova AAI (mednarodna infrastruktura za avtentikacijo in avtorizacijo v raziskovalnih in izobraževalnih omrežjih) teži k minimizaciji obdelave osebnih podatkov: le-ti ostanejo pod nadzorom članice – matične organizacije uporabnika (npr. šole, univerze, ipd.), ob prijavi v konkretno storitev pa se prenesejo (ob dodatni potrditvi uporabnika) le tisti podatki, ki so potrebni za delovanje storitve.

Arnes storitve članici zagotavlja v okviru Sporazuma o članstvu v omrežju ARNES, v skladu s Splošnimi pogoji uporabe storitev tega omrežja. Z zagotavljanjem storitev Arnes nastopa kot pogodbeni obdelovalec osebnih podatkov končnih uporabnikov članic, pri tem pa upošteva Pravilnik o varovanju osebnih podatkov in veljavno zakonodajo v Republiki Sloveniji ter na nivoju Evropske unije.

Arnes lahko vaše osebne podatke obdeluje v okviru pogodbe o obdelovanju osebnih podatkov za naslednje namene:

Ker jih potrebuje za zagotavljanje storitve, ki ste jo zahtevali

Če Arnesu ne sporočite potrebnih osebnih podatkov, vam bo vseeno poskušal zagotoviti storitev, vendar to morda ne bo mogoče.

Vaše podatke bo hranil, dokler jih potrebuje za zagotavljanje storitve, in še dodatnih 6 mesecev v primeru morebitnih dodatnih poizvedb.

Če Arnesu storitev pomaga zagotoviti druga organizacija, lahko te podatke obdeluje tudi ta organizacija. Če je pri tem potreben prenos podatkov v tretjo državo, za katero se ne priznava, da zagotavlja ustrezno raven zaščite, bo Arnes uporabil dodatne zaščitne ukrepe, ki so jih odobrili regulatorji v Sloveniji in Evropski uniji.

Od vseh organizacij, s katerimi Arnes sodeluje, zahteva, da te poskrbijo za vsaj enako raven varstva podatkov, kot jo zagotavlja Arnes.

Ker jih potrebuje za prepoznavanje morebitnih težav ali načinov, kako lahko Arnes izboljša storitev

Takšne podatke bo Arnes lahko hranil do šest mesecev po prenehanju uporabe storitve. Po tem obdobju jih bo izbrisal, razen če dodatno hrambo od nas zahteva zakon.

Če pride do napada na Arnesove storitve ali do drugih kaznivih dejanj, lahko podatke razkrije pristojnim organom.

Katere osebne podatke obdeluje Arnes v imenu članice?

Imenik uporabnikov

Članice upravljajo imenike uporabnikov, katerim izdajo AAI-račune. Ti imeniki vsebujejo vse podatke o uporabniku, ki se lahko uporabljajo pri različnih storitvah v federaciji. Ti podatki so določeni s standardi federacije in z dogovorom članic federacije: https://aai.arnes.si/ldap/atributi

Arnes članicam ponuja gostovanje in orodje za upravljanje z identitetami svojih uporabnikov ter s tem podatke iz AAI-računov za članice hrani na svojih strežnikih. Članica, ki uporabniku izda digitalno identiteto (AAI-račun), sama upravlja osebne podatke svojih uporabnikov, ki jih vodi v imeniku oz. v sistemu za upravljanje identitet (Arnes IdM). Pri uporabi storitev v federaciji ArnesAAI se osebni podatki iz imenika matične organizacije ne posredujejo storitvam brez vednosti in pristanka uporabnika.

Arnes lahko za omejeno število uporabnikov, oz. za organizacije, ki niso članice federacije ArnesAAI ter za posebne kategorije posameznikov prevzame tudi upravljanje t.im. gostujoče identitete. Gostujoča identiteta poleg kontaktnih podatkov organizacije vsebuje naslednje podatke posameznega uporabnika: ime in priimek, naslov, telefon, vloga uporabnika, uporabniško ime ter naslov elektronske pošte. Naslov in telefon nista potrebna, če komunikacija z uporabnikom poteka preko organizacije.

Podatki, ki jih obdelujejo posamezne storitve

Ob prijavi v posamezno storitev se ob uporabnikovem pristanku iz imenika uporabnikov prenesejo le podatki, ki so potrebni za izvajanje konkretne storitve. Podatke se hranijo, z namenom omogočanja uporabe, komunikacije in dostopa do vsebin, ki jih ustvarite z uporabo storitve.

Posamezne storitve Arnesa imajo lahko tudi svoja obvestila o zasebnosti z dodatnimi informacijami o tem, kako obdeluje vaše osebne podatke pri čemer so v tem primeru uporabljajo obvestila, ki se nanašajo na to specifično storitev.

Vaše pravice glede osebnih podatkov

Zakonodaja vam daje določene pravice glede vaših osebnih podatkov: zahtevate lahko dostop do osebnih podatkov, oziroma od upravljavca zahtevate, da popravi morebitne napake v njih ali podatke izbriše, ko jih ne potrebuje več.

Če želite uveljaviti katero od svojih pravic, se obrnite na pooblaščeno osebo svoje matične organizacije, ki vam je izdala AAI-račun, Arnes pa ji bo pri tem pomagal.

Za vse dodatne informacije se lahko obrnete na pooblaščeno osebo za varstvo podatkov v Arnesu na naslov ali na Arnesov poštni naslov.

Če menite, da vaša zahteva ni bila pravilno obravnavana, se lahko pritožite na urad informacijskega pooblaščenca.

Pomoč uporabnikom

01 479 88 00
(delavniki, 8:00–20:00)