Politica de confidențialitate pentru utilizatorii EduGain / Privacy Policy for EduGain users

Ultima actualizare / Last Update: 22.03.2022

 

 

Termeni

Definitions

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor - RGPD);

Date cu caracter personal (DCP) - înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;  Prelucrare - înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea; Restricționarea prelucrării - înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

Operator – înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
of 27 April 2016
on the protection of natural persons with regard to the processing of personal data and on the free
movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) – GDPR;

Personal data - means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Processing - means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

Restriction of processing - means the marking of stored personal data with the aim of limiting their processing in

the future;

Controller - means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

Introducere și obiective

Introduction and objectives

Universitatea Politehnica din București, în calitatea sa de operator, prelucrează datele cu caracter personal ale clienților, angajaților, partenerilor și altor persoane care interacționează sau sunt antrenate în relații contractuale.

Prezenta politică descrie modul în care DCP trebuie prelucrate, în conformitate cu RGPD, principiile de prelucrare a DCP, precum și drepturile și obligațiile angajaților implicați în procesul de prelucrare a DCP.

 

Obiective:

      Conformitatea cu RGPD și bunele practici în materie de protecția DCP;

      Protecția drepturilor persoanelor vizate (clienților, angajaților, partenerilor etc);

      Transparență privind modul în care sunt protejate DCP;

      Protecția împotriva riscurilor de încălcare a securității DCP.

University Politehnica of Bucharest, in its capacity as operator, processes the personal data of customers, employees, partners and other persons who interact or are involved in contractual relationships.

This policy describes how personal data must be processed in accordance with the GDPR, the principles of personal data processing, as well as the rights and obligations of employees involved in the processing of data personal.

 

Objection:

      Compliance with GDPR and good practices in the field of personal data protection;

      Protection of the rights of data subjects (customers,

employess, partners, etc);

      Transparency on how personal data is protected;

      Protection against risks of personal data breach.

Numele și descrierea serviciului

Name and description of the service

Portalul de autentificarea în cadrul serviciilor UPB a utilizatorilor EduGain - sp.upb.ro

 

Portalul de autentificarea în cadrul serviciilor UPB a utilizatorilor EduGain permite autentificarea utilizatorilor EduGain în cadrul serviciilor UPB.

 

Platforma online facilitează colaborarea dintre instructorii și studenții din cadrul UPB, precum și din cadrul altor instituții de educație sau cercetare participante în EduGain.

UPB EduGain login portal - sp.upb.ro

 

 

The UPB EduGain login portal allows EduGain users to authenticate into UPB web services.

 

This online platform enables the collaboration between trainers and students from UPB and other Educational/Research institutions which are members of EduGain.

Operatorul de date cu caracter personal

The controller

Operatorul datelor personale obținute la autentificarea în serviciu sunt administrate de către organizația a cărui membru este utilizatorul sau în numele căreia accesează acest serviciu.

 

Procesarea acestor date este realizată pentru acesta de către echipa UPB (contact: sp-admin@upb.ro) precum și de către echipele responsabile pentru serviciile accesate.

The controller of the personal data retrieved at user authentication is the organization which the user is a member of or in whose name they are using the service.

 

 

The data processing is carried out for the controller by the UPB Team (contact: sp-admin@upb.ro) as well as the managing teams of the services that the user accesses.

Scopul procesării datelor cu caracter personal

The purpose of the processing of personal data

Procesăm date personale pentru a:

      administra controlul accesului în cadrul sistemului

      trimite notificări prin email

      monitoriza capacitatea sistemului

      investiga probleme tehnice sau cazuri de utilizare necorespunzătoare

      realiza furnizarea și dezvoltarea serviciului

      a produce statistici

We process personal data when:

      administering access control

      sending email notifications

      monitoring service capacity

      investigating technical problems and misuse

      carrying out service maintenance and development

      producing statistics

 

Datele procesate

Processed data

Următoarele date personale sunt preluate de la serviciul de furnizare a identității (eng. IdP) din cadrul organizației părinte de fiecare dată când utilizatorul se autentifică:

 

-       numele

-       adresa de email

-       identificatori unici pentru identificarea utilizatorului (eduPersonAffiliation și eduPersonScopedAffiliation)

-       afilierea utilizatorului  (eduPersonAffiliation și  eduPersonScopedAffiliation)

-       numele și tipul organizației părinte (schacHomeOrganization și schacHomeOrganizationType)

 

Pentru mai multe detalii, vedeți descrierea atributelor preluate de la IdP.

 

Pe lângă informațiile introduse în mod direct de către utilizator, anumite informații sunt stocate de către serviciu atunci când acesta utilizează serviciul. Aceste informații includ:

-       adresa IP de pe care este accesat serviciul

-       sistemul de operare și browserul utilizat

-       jurnale ale acțiunilor realizate.

The following personal data is retrieved from the Identity Provider server of the user's home organization each time the user logs on to the service:

 

-       name

-       email address

-       unique identifier for user identification (eduPersonPrincipalName and eduPersonTargetedID)

-       user affiliation (eduPersonAffiliation and eduPersonScopedAffiliation)

-       the name and the type of the home organization (schacHomeOrganization and schacHomeOrganizationType)

 

For more details, see IdP attributes descriptions.

 

 

Beside any direct input of the user, some other information is stored when the user accesses the service. Those information include:

-       terminal IP addresses

-       browser and operating systems

-       logs of actions

Durata de păstrare a datelor personale

Retention time of personal data

Datele personale sunt păstrate pe durata existenței profilului utilizatorului în sistem și până la 31 de zile după aceasta, atât timp cât utilizatorul nu cere ștergerea acestora.

The personal data is retained for the lifespan of the user profile and 31 days after this period, unless the user deletes their data before this.

Principii de protecție a datelor personale

Principles of protecting of personal data

Datele cu caracter personal pot fi:

- prelucrate în mod legal, echitabil și transparent față de persoana vizată;

- colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

- adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;

- exacte și actualizate în termen;

- păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;

- prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegal și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

 

Datele personale sunt protejate în acord cu politicile din Codul de Conduită pentru Furnizorii de Servicii și conform RGPD. Codul de Conduită pentru Furnizorii de Servicii este un standard comun pentru protejarea intimității în sectoarele de cercetare și învățământ superior.

 

Datele sunt protejate de tehnologia TLS atunci când sunt transferate prin rețea. Serverul este protejat de firewall, canalele de comunicație sunt limitate, iar actualizările de software sunt atent monitorizate.

Personal data shall be:

 

- processed lawfully, fairly and in a transparent manner in relation to the data subject;

- collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes;

- adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed;

- accurate and, where necessary, kept up to date;

- kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed;

- processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures.

 

Personal data are protected according to the policies in Code of Conduct for Service Providers. Code of Conduct for Service Providers is a common standard for privacy protection for research and higher education sectors.

 

When transferring over an information network, the data is protected by TLS technology. The server is protected by a firewall, communication channels are limited, and software security updates are monitored.

Stocarea datelor

Data location

Datele colectate sunt stocate în centrele de date ale Universității Politehnica din București în România.

 

În funcție de specificul serviciilor accesate, stocate și procesate și în alte locații decât cea menționată anterior. Utilizatorul trebuie să consulte politica de procesare a datelor pentru fiecare serviciu în parte.

The collected data is located in the datacenters of University Politehnica of Bucharest in România.

 

For some of the accessed services, data might be also stored and processed in other locations. The user should consult the data management policy for each service.

Temeiul juridic al prelucrării datelor

Basis for the data processing

Justificarea prelucrării datelor este dată de interesul legitim al procesatorului datelor. Acesta are dreptul de a administra utilizarea serviciului, de a restricționa accesul la acesta și de a proteja serviciul și datele aferente. Procesarea datelor cu caracter personal este necesară pentru implementarea și administrarea serviciului.

The processing of information is based on the legitimate interest of the controller. The controller has the right to administer the use of the service, restrict access to the service and protect the service and its data. The processing of personal data is necessary for the implementation and administration of the service.

Drepturile persoanei vizate

Data subject rights

Persoana vizată are următoarele drepturi:

      dreptul de a fi informat despre procesarea datelor cu caracter personal;

      dreptul de acces la date;

      dreptul de rectificare a datelor

      dreptul la ștergerea datelor (dreptul de a fi uitat);

      dreptul de a restricționa prelucrarea datelor;

      obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării;

      dreptul la opoziție;

      dreptul la portabilitate;

      dreptul de a depune o plângere în fața unei autorități de supraveghere.

 

 

În vederea exercitării acestor drepturi, persoana vizată trebuie să ia legătura cu operatorul datelor cu caracter personal, care este instituția de care aparține sau în numele căreia accesează serviciul.

The data subject has the following rights:

 

      right to receive information on the processing of personal data;

      right of access to data;

      right to rectify data;

      right to erase data (right to be forgotten);

      right to restrict the processing of data;

      notification obligation regarding rectification or erasure of personal data or restriction of processing;

      right to object to the processing of data;

      right to data portability;

      the right to lodge a complaint with a supervisory authority.

 

 

 

In order to exercise their rights, the data subject must contact the controller, which is the organization which the user is a member of or in whose name they are using the service.

 

Rectificarea datelor incorecte

Rectification of incorrect data

Dacă sunt erori în datele personale obținute de la organizația căreia îi aparține utilizatorul (operatorul datelor personale), acesta trebuie să ia legătura cu aceștia.

If there are errors in the personal data that is retrievable from the user's home organization (controller), the user should contact their home organization about this.