По-долу Ви информираме за обработката на Вашите лични данни в платформата за сътрудничество на столицата на провинция Висбаден, която се базира на Nextcloud, както и за правата, които Ви принадлежат съгласно разпоредбите за защита на личните данни. 

Отговорното лице по смисъла на Общия регламент за защита на данните (GDPR) и други национални закони за защита на данните на държавите-членки, както и други разпоредби в областта на защитата на данните, е  

По отношение на обработката на данни във връзка с регистрацията и експлоатацията на Nextcloud от столицата на провинция Висбаден: 

Столицата на провинция Висбаден
, представлявана от магистрата

Отдел за иновации, организация и дигитализация
Организационна единица: 150230
Hasengartenstraße 21
65189 Висбаден
Телефон: 0611 314163
E-mail: appservicewiesbadende 

По отношение на съхранението на личните данни, съдържащи се в споделените файлове, както и тяхното предаване от столицата на провинция Висбаден:

Съответните служби и отдели на столицата на провинцията Висбаден
Schlossplatz 6
65183 Висбаден
Телефон: 0611 310
E-mail: buergerreferatwiesbadende 

Доколкото външни лица качват данни чрез Nextcloud, отговорността по отношение на защитата на личните данни за предаването им на столицата на провинция Висбаден лежи върху тях. Същото важи и по отношение на по-нататъшното използване на данните, получени чрез Nextcloud. 

Длъжностно лице по защита на личните данни на столицата на провинцията Висбаден
Длъжностно лице по защита на личните данни на столицата на провинцията Висбаден
Wilhelmstraße 32
65183 Висбаден
Телефон: 0611 313083
Е-поща: datenschutzwiesbadende

Отговорникът по информационна сигурност на столицата на провинцията Висбаден
Hasengartenstraße 21
65189 Висбаден
Телефон: 0611 31780
Е-поща: it-sicherheitwiesbadende

Платформата, базирана на приложението с отворен код Nextcloud (наричано по-нататък „Nextcloud“), представлява централизирана услуга за съхранение в облак с вградени допълнителни функции за съхранение и споделяне на документи. Тя е достъпна за всички служители на столицата на провинция Висбаден и служи за дигитално сътрудничество както в рамките на администрацията, така и с външни партньори. Избрани външни лица получават достъп до платформата за сътрудничество на столицата на провинцията Висбаден, базирана на Nextcloud, за да обменят файлове, свързани с проекти, и да работят съвместно.

Системата „Nextcloud“ с модула „Nextcloud Files“ служи за съхранение и споделяне на файлове и е на разположение на всички служители на столицата на провинция Висбаден. Технологичната основа е софтуерът с отворен код „Nextcloud“ на германската компания Nextcloud GmbH.

Предоставянето и техническата експлоатация на Nextcloud се осъществяват от WIVERTIS GmbH в градския център за данни. За техническата поддръжка на системата отговарят служителите на Отдела за иновации, организация и дигитализация, секция „ИТ-управление“ на столицата на провинцията Висбаден.

Приложението „Keycloak“ отговаря за удостоверяването и оторизацията на потребителите и се използва във връзка с Nextcloud. То служи по-специално за удостоверяване и оторизация на външни потребителски акаунти, както и за управление на идентичността.  

Обработката на Вашите данни в Nextcloud се извършва за следните служебни цели:

• Съхранение на файлове за служебно съвместно ползване в рамките на администрацията на столицата на провинцията Висбаден.
• Споделяне на файлове между отдели и служби.
• Временно предоставяне на файлове на външни партньори за услуги или сътрудничество на столицата на провинцията Висбаден.
• Управление на правата за достъп до файлове, които са били предоставени на външни лица, или за споделяне в рамките на градската администрация.
• Осигуряване на сигурността и функционалността на всички услуги, необходими за функционирането на системата.

При използването на приложенията „Nextcloud“ са необходими следните видове данни или те се генерират в резултат на работата с приложението.

а. Данни за профила и автентификацията:

• Потребителско име: идентификационният номер (вътрешен), както и имейл адресът (външен), с който е била извършена промяна във файловете;
• Потребителска група само за служителите на LHW;
• Контактна информация (служебна) (например имейл адрес, телефон) или (лична/външна) (например имейл адрес);
• Лични данни: Име и фамилия:
• Роля и принадлежност към екип: организационна единица за служителите на LHW;
• Данни, въведени на доброволен принцип в личната информация на Nextcloud (телефонен номер, град, дата на раждане, език, регионални настройки, първи ден от работната седмица, уебсайт, X-Handle, онлайн име във Fediverse, профилна снимка).

б. Административни данни:

Всеки достъп до страница на приложението „Nextcloud“ и всяко изтегляне на съхранен файл се регистрира от уеб сървър в лог файлове. Съхранението служи за вътрешни и системни цели. Регистрира се:

• кой файл е бил поискан;
• името на файла;
• датата и часът на заявката;
• предаденият обем данни;
• статусът на достъпа (файлът не е намерен, файлът е прехвърлен и т.н.).

в. Технически данни:

• IP адресът на крайното устройство, което осъществява достъп (външно или вътрешно) към уеб сървъра/уеб проксито;
• типът на използвания уеб браузър;
• дата на влизане;
• начало на сесията;
• Технически данни за използването (например съдържание на кеша, генерирани индексни данни, версии, съобщения за грешки, лог файлове);
• Технически данни в базата данни (например дата на регистрация, начало на сесията), които се извличат директно от градския AD (Active Directory) или други системи, подобни на AD (например Keycloak). Не се извършва съхранение в процеса и на участващите системи.
• Бисквитки: На вътрешния сайт: https://cloud.wiesbaden.de (Отваря се в нов раздел) и на външния сайт https://ext.cloud.wiesbaden.de/login (Отваря се в нов раздел) се използват изключително бисквитки, които са абсолютно необходими за използването на Nextcloud. Под следния линк ще намерите допълнителна информация за бисквитките: https://docs.nextcloud.com/server/latest/admin_manual/gdpr/cookies.html (Отваря се в нов раздел)

г. Данни за съдържанието и специални категории лични данни:

• Данни за съдържание и комуникация, генерирани от вътрешни и външни потребители (например документи, графики, изображения, аудио- и видеофайлове, бележки и коментари).
• Непряко засегнато е съдържанието на документите, съхранявани в Nextcloud. Технически не може да се изключи възможността съхраняваните документи да съдържат лични данни. Освен това е възможно тези документи или други файлове със съдържание да съдържат чувствителна, поверителна или лична информация по смисъла на член 4, параграф 1 от ОРЗД. Към тях спадат по-специално данни, които съгласно член 9, параграф 1 от ОРЗД подлежат на специална защита, както и информация за уязвими физически лица, по-специално деца. Не се извършва автоматично разпознаване или обработка на такова съдържание.

Обработката на лични данни на служителите на общината се извършва въз основа на трудовия договор или с цел изпълнение на служебни задължения в рамките на ежедневната работа.

Отговорността по отношение на защитата на личните данни за обработката (по-специално съхранението и предаването) на личните данни, съдържащи се в документите, качени от страна на общината, лежи върху съответните отдели и служби. Те трябва по-специално да гарантират, че съществува правно основание за предаване на данни чрез Nextcloud. Същото важи и за съхранението и по-нататъшната обработка на данните, качени от външни лица.

Правната основа за обработката на данни е:

• чл. 6, ал. 1, буква а) от Общия регламент за защита на данните (GDPR), доколкото обработката се извършва въз основа на съгласието на засегнатото лице.
• Чл. 6, ал. 1, буква б) от ОРЗД, доколкото обработката е необходима за изпълнението на договор, по който засегнатото лице е страна, или за предприемането на преддоговорни мерки, които се извършват по искане на засегнатото лице.
• Чл. 6, ал. 1, буква в) от Общия регламент за защита на данните (GDPR) във връзка с разпоредба от правото на Европейския съюз или националното право, доколкото обработката е необходима за изпълнението на правно задължение;
• Чл. 6, ал. 1, буква е) от ОРЗД във връзка с правно основание от правото на Европейския съюз или националното право, доколкото обработката е необходима за изпълнението на задача от обществен интерес или за упражняването на публична власт, възложена на администратора.

За посочените по-горе цели е абсолютно необходимо да се събират и обработват посочените лични данни, тъй като отделните етапи на процеса се основават един на друг. Обработват се само данните, които са необходими за създаването на профил, както и за безпроблемното техническо функциониране на софтуера. 

По принцип обработваме и съхраняваме Вашите лични данни само толкова дълго, колкото е необходимо за постигане на целта на обработката.

Освен ако по-долу не е посочен изричен срок за съхранение, Вашите данни се изтриват или блокират веднага щом отпадне целта на съхранението. 

Съхранението на личните данни на служителите на общината се извършва за периода на служебното им ползване и принадлежност към общинската администрация. Това важи по-специално в следните случаи:

• при активно използване на Nextcloud,
• по време на принадлежността към служба, отдел или дирекция на столицата на провинция Висбаден (LHW),

При напускане личните данни в Nextcloud се изтриват автоматично.

Данните на външни потребители без потребителски профил се съхраняват, докато е изпълнено поне едно от следните условия:

• Има активни споделяния на папки или файлове от служители на общината.
• Налице е законово задължение за съхранение.
• Определената в рамките на споделянето дата на изтичане все още не е настъпила.

След отпадане на всички посочени условия потребителските данни се изтриват, освен ако няма други правни причини, които да пречат на изтриването.

Данните на външните потребители, които имат потребителски акаунт, се съхраняват по същия начин, както и данните на външните потребители без потребителски акаунт. Освен това при външните потребителски акаунти се събират следните потребителски данни:

• Личните данни на външни потребители се събират и съхраняват само доколкото това е необходимо за създаването на потребителски акаунт с пълен достъп до външната Nextcloud инстанция.
• Управлението и предоставянето на права се извършва от отдела за поддръжка чрез отделен външен потребителски интерфейс.
• Външните потребителски акаунти се деактивират след три месеца неактивност и се изтриват след определен период на блокиране.
• Реактивирането на деактивирани външни потребителски акаунти е възможно единствено от отдела за поддръжка в специализираната служба, който отговаря за администрирането на външните потребители.

След отпадане на всички горепосочени условия потребителските данни се изтриват, освен ако няма други правни причини, които да пречат на изтриването.

• В интерфейса на Nextcloud потребителите могат по свое желание да предоставят лична информация (например данни за профила).
• Тези данни могат да бъдат изтрити по всяко време по собствено желание.
• Ако не се извърши ръчно изтриване, доброволно предоставените данни се премахват автоматично при изтриването на съответния потребителски акаунт.

Изтриването на лични данни се извършва в съответствие с изискванията на законодателството за защита на личните данни. То зависи от конкретната цел на използване, организационните отговорности и техническите характеристики на системата.

Изтриване на документи

• Изтриването на документи от администраторите по принцип не се извършва на системно ниво.
• Отговорността за изтриването на съдържание и комуникационни данни (например файлове в папки на групи или проекти) лежи върху съответните потребители. Те имат възможност по всяко време самостоятелно да изтриват създаденото от тях съдържание.
• Документите, съхранявани в личните папки на служителите на общината, се изтриват след напускането им от служба в съответствие с изискванията на процеса за управление на потребителите.

Изтриване и промяна на потребителски права

• Промяната или изтриването на потребителски права, както и промяната на принадлежността към групи, се извършва в рамките на стандартизирания процес на общинското управление на потребителите. Изтриването на лично съдържание се извършва автоматично с премахването на потребителския акаунт при напускане на общинската администрация.
• Този процес е установен от организационна и техническа гледна точка и се наблюдава непрекъснато от отговорните органи.
• Процесите и сроковете за изтриване на външни потребителски акаунти са включени в информацията за защита на данните на приложението „Keycloak“.

Протоколни и лог данни

• Лог файловете, създадени в рамките на използването на системата, се съхраняват безопасно на всички участващи системи на WIVERTIS GmbH за около 30 дни.
• Изтриването на тези данни от логовете се извършва по ротационен принцип: старите данни автоматично се заменят с нови.
• Анализът или обединяването на информацията от протоколите се извършва изключително в рамките на анализ на грешки, доколкото това е технически необходимо.
• Пряка връзка с конкретно лице обикновено не е възможна; не се извършва систематично свързване с други бази данни.
• Не се извършва съхранение или анализ на логовете извън това.

Съхранение обаче може да се извърши в случай на (заплашващ) правен спор с Вас или друго съдебно производство, или ако съхранението е предвидено от законови разпоредби, на които ние, като отговорни лица, сме подчинени. Блокиране или изтриване на данните се извършва и когато изтече предвиденият в посочените норми срок за съхранение, освен ако не е необходимо по-нататъшно съхранение от наша страна и за това съществува правно основание.

Личните данни на служителите на общината се интегрират в Nextcloud изключително чрез общинската Active Directory. Личните данни на външните потребители с външен потребителски акаунт се съхраняват изключително в приложението „Keycloak“. Освен това понастоящем в Nextcloud не се събират и съхраняват други лични данни.

Създадените лог файлове са сведени до технически необходимия минимум и се съхраняват безопасно в продължение на около 30 дни във всички системи на WIVERTIS GmbH, участващи в обработката. След това те се записват върху старите данни чрез автоматизирана процедура на ротационен принцип. Времената на влизане и излизане на градските потребители не се съхраняват. Анализът или обединяването на съдържащата се в тях информация се извършва изключително в рамките на необходим анализ на грешки. Не е възможно да се направи извод за конкретни лица и не се извършва съхранение или обединяване с други данни извън това.

Изтриването на документи в папките на групите или проектите не се извършва на административно ниво. Потребителите имат възможност по всяко време самостоятелно да изтриват създадените от тях данни за съдържание и комуникация. Документите, съхранени в личната папка, се изтриват съответно при напускане на общинския служител или при изтриване на акаунта на външния потребител.

Данните, споделени от столицата на провинцията Висбаден чрез Nextcloud, се предават на получателите на споделените файлове. В останалите случаи данните, съхранявани от нас, по правило не се предоставят на трети лица.

За изпълнението на нашите задачи и задължения обаче може да се наложи да разкрием съхраняваните лични данни за Вас пред физически и юридически лица, власти, институции или други органи. 

В този случай се имат предвид по-специално следните категории получатели:

В рамките на градския ИТ-доставчик WIVERTIS GmbH всички администратори на Nextcloud имат достъп до всички данни на всички лица. WIVERTIS GmbH е обработващ лични данни по поръчка на столицата на провинцията Висбаден съгласно чл. 28 от Общия регламент за защита на данните (GDPR).

WIVERTIS GmbH не използва подизпълнители за експлоатацията на Nextcloud и следователно не предоставя данни на трети лица в рамките на техническата експлоатация.

В рамките на общинските служби, отдели, дирекции и специализирани звена достъпът до данните във връзка с използването на Nextcloud се регулира чрез концепцията за права и роли.

Използването на услугата е обект на диференцирана концепция за роли и права, която регулира достъпа до данни и функции в зависимост от възложената роля. Служителите на общината получават основен достъп до служебни и лични папки, които са от значение за тях.

Разширените административни права за управление на проектни папки, групи или за техническа системна администрация са запазени изключително за специализирани роли като проектни, служебни или системни администратори. На външни потребители може да бъде предоставен достъп до съдържание, което е изрично одобрено за тях, или временно чрез публични линкове без собствен акаунт, или постоянно чрез отделен потребителски акаунт с достъп до уеб интерфейса.

Всеки потребител е длъжен да използва услугата изключително в рамките на възложената му роля и свързаните с нея права.

Външни лица, които имат достъп до Nextcloud извън градската мрежа, получават достъп до данни само ако съществува правно основание за разкриване на данните или е налице съгласие.

По принцип съхраняваните от нас данни не се предоставят на органи в трети държави или на международни организации. Това може да се случи само в изключителни случаи при спазване на условията, предвидени в чл. 44 и следващите от ОРЗД.

Ако се обработват ваши лични данни, вие сте субект на данни по смисъла на ОРЗД и имате следните права спрямо администратора:

Можете да поискате информация за вашите лични данни, обработвани от нас, в съответствие с член 15 от ОРЗД. В искането си за информация трябва да уточните искането си, за да ни улесните при събирането на необходимите данни. Моля, имайте предвид, че правото Ви на информация е ограничено от разпоредбите на чл. 24, ал. 2, чл. 25, ал. 2, чл. 26, ал. 2 и чл. 33 от HDSIG.

Ако информацията, която се отнася до вас, не е (или вече не е) вярна, можете да поискате корекция в съответствие с член 16 от ОРЗД. Ако данните ви са непълни, можете да поискате те да бъдат попълнени.

Можете да поискате изтриване на личните си данни при условията на чл. 17 от ОРЗД и чл. 34 от ЗЗЛД. Правото Ви на изтриване зависи, наред с другото, от това дали данните, които Ви засягат, все още са необходими за нас, за да изпълняваме законовите си задължения.

В рамките на разпоредбите на чл. 18 от ОРЗД имате право да поискате ограничаване на обработката на данни, които ви засягат.

В съответствие с член 21 от ОРЗД имате право да възразите срещу обработката на данни, които ви засягат, по всяко време по причини, произтичащи от вашата конкретна ситуация. Въпреки това не винаги можем да се съобразим с това, например ако правна разпоредба ни задължава да обработваме данни по смисъла на раздел 35 от ЗЗЛД като част от изпълнението на нашите официални задачи.

Ако обработката на данни се основава на Вашето съгласие (чл. 6, ал. 1, изр. 1, буква а) от Общия регламент за защита на данните (GDPR), чл. 9, ал. 2, буква а) от Общия регламент за защита на данните (GDPR)), имате право да оттеглите това съгласие по всяко време с действие за в бъдеще. Моля, имайте предвид, че оттеглянето не засяга законността на обработката на данни, извършена въз основа на съгласието до момента на оттеглянето, т.е. тя не става незаконна със задна дата вследствие на оттеглянето. 

Отговорният за нас орган за надзор в областта на защитата на личните данни е:
Комисарят по защита на личните данни и свободата
на информацията на провинция Хесен Gustav-Stresemann-Ring 1
65189 Висбаден
Телефон: 0611 14080
Е-поща: poststelledatenschutz.hessende