Poniżej przedstawiamy informacje dotyczące przetwarzania Państwa danych osobowych na platformie współpracy miasta Wiesbaden, opartej na Nextcloud, a także dotyczące roszczeń i praw przysługujących Państwu zgodnie z przepisami o ochronie danych. 

Administratorem danych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO) oraz innych krajowych przepisów o ochronie danych państw członkowskich, a także pozostałych przepisów dotyczących ochrony danych jest  

W odniesieniu do przetwarzania danych związanych z rejestracją i obsługą serwisu Nextcloud przez miasto Wiesbaden: 

Stolica kraju związkowego Wiesbaden
reprezentowana przez magistrat

Urząd ds. Innowacji, Organizacji i Cyfryzacji
Jednostka organizacyjna: 150230
Hasengartenstraße 21
65189 Wiesbaden
Telefon: 0611 314163
E-mail: appservicewiesbadende 

W odniesieniu do przechowywania danych osobowych zawartych w udostępnionych plikach oraz ich przekazywania przez miasto Wiesbaden:

Odpowiednie urzędy i wydziały stolicy kraju związkowego Wiesbaden
Schlossplatz 6
65183 Wiesbaden
Telefon: 0611 310
E-mail: buergerreferatwiesbadende 

W przypadku, gdy osoby zewnętrzne przesyłają dane za pośrednictwem Nextcloud, odpowiedzialność za przekazanie tych danych do miasta Wiesbaden spoczywa na nich. To samo dotyczy dalszego wykorzystywania danych otrzymanych za pośrednictwem Nextcloud. 

Inspektor ochrony danych miasta Wiesbaden
Inspektor ochrony danych miasta Wiesbaden
Wilhelmstraße 32
65183 Wiesbaden
Telefon: 0611 313083
E-mail: datenschutzwiesbadende

Inspektor ds. bezpieczeństwa informacji miasta Wiesbaden
Hasengartenstraße 21
65189 Wiesbaden
Telefon: 0611 31780
E-mail: it-sicherheitwiesbadende

Platforma oparta na aplikacji open source Nextcloud (zwana dalej „Nextcloud”) stanowi centralną usługę przechowywania danych w chmurze z wbudowanymi dodatkowymi funkcjami służącymi do przechowywania i wspólnego korzystania z dokumentów. Jest ona dostępna dla wszystkich pracowników miasta Wiesbaden i służy do cyfrowej współpracy zarówno w ramach administracji, jak i z partnerami zewnętrznymi. Wybrane osoby z zewnątrz otrzymują w tym celu dostęp do platformy współpracy stolicy kraju związkowego Wiesbaden opartej na Nextcloud, aby wymieniać pliki związane z projektami i współpracować.

System „Nextcloud” z modułem „Nextcloud Files” służy do przechowywania i udostępniania plików i jest dostępny dla wszystkich pracowników stolicy kraju związkowego Wiesbaden. Podstawą technologiczną jest oprogramowanie open source „Nextcloud” niemieckiej firmy Nextcloud GmbH.

Udostępnianie i obsługa techniczna Nextcloud są realizowane przez firmę WIVERTIS GmbH w miejskim centrum danych. Za wsparcie merytoryczne rozwiązania odpowiedzialni są pracownicy Urzędu ds. Innowacji, Organizacji i Cyfryzacji, działu zarządzania IT, stolicy kraju związkowego Wiesbaden.

Aplikacja „Keycloak” służy do uwierzytelniania i autoryzacji użytkowników i jest wykorzystywana w połączeniu z Nextcloud. Służy ona w szczególności do uwierzytelniania i autoryzacji zewnętrznych kont użytkowników, a także do zarządzania tożsamością.  

Przetwarzanie Państwa danych w Nextcloud odbywa się w następujących celach służbowych:

• Przechowywanie plików do celów służbowej współpracy w ramach administracji stolicy kraju związkowego Wiesbaden.
• Wymiana plików między wydziałami i urzędami.
• Udostępnianie plików na czas określony zewnętrznym partnerom usługowym lub współpracującym ze stolicą kraju związkowego Wiesbaden.
• Zarządzanie prawami dostępu do plików udostępnionych osobom z zewnątrz lub w ramach administracji miejskiej.
• Zapewnienie bezpieczeństwa i funkcjonalności wszystkich usług niezbędnych do działania systemu.

Podczas korzystania z aplikacji „Nextcloud” wymagane są następujące rodzaje danych lub powstają one w wyniku pracy z aplikacją.

a. Dane inwentaryzacyjne i uwierzytelniające:

• Nazwa użytkownika: identyfikator (wewnętrzny) oraz adres e-mail (zewnętrzny), za pomocą którego wprowadzono zmiany w plikach;
• Grupa użytkowników wyłącznie dla pracowników LHW;
• Dane kontaktowe (służbowe) (np. adres e-mail, numer telefonu) lub (prywatne/zewnętrzne) (np. adres e-mail);
• Dane osobowe: imię i nazwisko:
• Rola i przynależność do zespołu: jednostka organizacyjna dla pracowników LHW;
• Dane wprowadzone dobrowolnie w informacjach osobistych Nextcloud (numer telefonu, lokalizacja, data urodzenia, język, ustawienia regionalne, pierwszy dzień tygodnia pracy, strona internetowa, X-Handle, nazwa użytkownika w Fediverse, zdjęcie profilowe).

b. Dane administracyjne:

Każde wejście na stronę aplikacji „Nextcloud” oraz każde wywołanie zapisanego pliku jest rejestrowane przez serwer WWW w plikach dziennika. Przechowywanie służy celom wewnętrznym i związanym z systemem. Rejestrowane są:

• który plik został wywołany;
• nazwa pliku;
• datę i godzinę żądania;
• ilość przesłanych danych;
• status dostępu (plik nie znaleziony, plik przesłany itp.).

c. Dane techniczne:

• adres IP urządzenia końcowego uzyskującego dostęp (zarówno zewnętrznego, jak i wewnętrznego) do serwera WWW/proxy WWW;
• typ używanej przeglądarki internetowej;
• data logowania;
• początek sesji;
• dane techniczne dotyczące użytkowania (np. zawartość pamięci podręcznej, wygenerowane dane indeksowe, wersje, komunikaty o błędach, pliki dziennika);
• dane techniczne w bazie danych (np. data logowania, początek sesji), które są odczytywane bezpośrednio z miejskiego AD (Active Directory) lub innych systemów podobnych do AD (np. Keycloak). Nie następuje zapisywanie w ramach procedury ani w zaangażowanych systemach.
• Pliki cookie: Na stronie wewnętrznej: https://cloud.wiesbaden.de (Otwiera się w nowej karcie) oraz stronie zewnętrznej https://ext.cloud.wiesbaden.de/login (Otwiera się w nowej karcie) stosowane są wyłącznie pliki cookie, które są absolutnie niezbędne do korzystania z Nextcloud. Pod poniższym linkiem można znaleźć więcej informacji na temat plików cookie: https://docs.nextcloud.com/server/latest/admin_manual/gdpr/cookies.html (Otwiera się w nowej karcie)

d. Dane dotyczące treści i szczególne kategorie danych osobowych:

• Dane dotyczące treści i komunikacji generowane przez użytkowników wewnętrznych i zewnętrznych (na przykład dokumenty, grafiki, zdjęcia, pliki audio i wideo, notatki i komentarze).
• Pośrednio dotyczy to treści dokumentów przechowywanych w Nextcloud. Nie można technicznie wykluczyć, że przechowywane dokumenty zawierają dane osobowe. Ponadto możliwe jest, że dokumenty te lub inne pliki zawierające treści zawierają informacje wrażliwe, poufne lub osobowe w rozumieniu art. 4 ust. 1 RODO. Obejmuje to w szczególności dane podlegające szczególnej ochronie zgodnie z art. 9 ust. 1 RODO, a także informacje dotyczące osób fizycznych wymagających szczególnej ochrony, w szczególności dzieci. Nie odbywa się automatyczne rozpoznawanie ani przetwarzanie takich treści.

Przetwarzanie danych osobowych pracowników miejskich odbywa się na podstawie umowy o pracę lub w celu wykonywania obowiązków służbowych w ramach codziennej pracy.

Odpowiedzialność za przetwarzanie (w szczególności przechowywanie i przekazywanie) danych osobowych zawartych w dokumentach przesłanych przez stronę miejską spoczywa na odpowiednich wydziałach i urzędach. Muszą one w szczególności zapewnić, że istnieje podstawa prawna do przekazywania danych za pośrednictwem Nextcloud. To samo dotyczy przechowywania i dalszego przetwarzania danych przesłanych przez osoby z zewnątrz.

Podstawą prawną przetwarzania danych są:

• art. 6 ust. 1 lit. a RODO, o ile przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą.
• art. 6 ust. 1 lit. b RODO, o ile przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
• art. 6 ust. 1 lit. c RODO w związku z przepisem prawa wspólnotowego lub prawa krajowego, o ile przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego;
• Art. 6 ust. 1 lit. e RODO w związku z podstawą prawną wynikającą z prawa wspólnotowego lub prawa krajowego, o ile przetwarzanie jest niezbędne do wykonania zadania leżącego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Do wyżej wymienionych celów konieczne jest gromadzenie i przetwarzanie wymienionych danych osobowych, ponieważ poszczególne etapy procesu opierają się na sobie nawzajem. Przetwarzane są wyłącznie dane niezbędne do stworzenia profilu oraz do sprawnego działania technicznego oprogramowania. 

Zasadniczo przetwarzamy i przechowujemy Państwa dane osobowe tylko tak długo, jak jest to konieczne do realizacji celu przetwarzania.

O ile poniżej nie podano wyraźnie okresu przechowywania, Państwa dane zostaną usunięte lub zablokowane, gdy tylko cel przechowywania przestanie mieć zastosowanie. 

Przechowywanie danych osobowych pracowników miejskich odbywa się przez okres wykonywania obowiązków służbowych i zatrudnienia w administracji miejskiej. Dotyczy to w szczególności:

• w przypadku aktywnego korzystania z Nextcloud,
• w trakcie przynależności do urzędu, wydziału lub działu stolicy kraju związkowego Wiesbaden (LHW),

Wraz z odejściem z pracy dane osobowe w Nextcloud są automatycznie usuwane.

Dane użytkowników zewnętrznych nieposiadających konta użytkownika są przechowywane tak długo, jak długo spełniony jest co najmniej jeden z poniższych warunków:

• Istnieją aktywne udostępnienia folderów lub plików przez pracowników miejskich.
• Istnieje ustawowy obowiązek przechowywania danych.
• Nie upłynął jeszcze termin ważności określony w ramach udostępnienia.

Po ustaniu wszystkich wymienionych warunków dane użytkowników zostaną usunięte, o ile nie stoją temu na przeszkodzie inne przyczyny prawne.

Dane użytkowników zewnętrznych posiadających konto użytkownika są przechowywane w taki sam sposób, jak dane użytkowników zewnętrznych nieposiadających konta użytkownika. Ponadto w przypadku kont użytkowników zewnętrznych gromadzone są następujące dane użytkownika:

• Dane osobowe użytkowników zewnętrznych są gromadzone i przechowywane wyłącznie w zakresie niezbędnym do utworzenia konta użytkownika z pełnym dostępem do zewnętrznej instancji Nextcloud.
• Zarządzanie i przyznawanie uprawnień odbywa się przez dział wsparcia technicznego za pośrednictwem oddzielnego zewnętrznego interfejsu użytkownika.
• Zewnętrzne konta użytkowników są dezaktywowane po trzech miesiącach braku aktywności i usuwane po upływie określonego okresu blokady.
• Reaktywacja dezaktywowanych kont użytkowników zewnętrznych jest możliwa wyłącznie przez dział wsparcia technicznego w urzędzie, który jest odpowiedzialny za administrację użytkownikami zewnętrznymi.

Po ustaniu wszystkich wyżej wymienionych warunków dane użytkownika zostaną usunięte, o ile nie stoją temu na przeszkodzie żadne inne przyczyny prawne.

• W interfejsie Nextcloud użytkownicy mogą dobrowolnie podawać dane osobowe (np. informacje profilowe).
• Dane te można w dowolnym momencie samodzielnie usunąć.
• O ile nie nastąpi ręczne usunięcie, dane podane dobrowolnie zostaną automatycznie usunięte wraz z usunięciem danego konta użytkownika.

Usunięcie danych osobowych odbywa się zgodnie z wymogami przepisów o ochronie danych. Jest ono uzależnione od konkretnego celu wykorzystania danych, kompetencji organizacyjnych oraz uwarunkowań technicznych systemu.

Usuwanie dokumentów

• Administratorzy zasadniczo nie usuwają dokumentów na poziomie systemu.
• Odpowiedzialność za usuwanie treści i danych komunikacyjnych (np. plików w folderach grupowych lub projektowych) spoczywa na poszczególnych użytkownikach. Mają oni w każdej chwili możliwość samodzielnego usunięcia treści, które sami stworzyli.
• Dokumenty zapisane w folderze osobistym pracowników miejskich są usuwane po ich odejściu ze służby zgodnie z wytycznymi procesu zarządzania użytkownikami.

Usuwanie i zmiana uprawnień użytkowników

• Zmiana lub usunięcie uprawnień użytkowników, a także dostosowanie przynależności do grup odbywa się w ramach standardowego procesu zarządzania użytkownikami w urzędzie miasta. Usunięcie treści osobistych odbywa się automatycznie wraz z usunięciem konta użytkownika w momencie odejścia z urzędu miasta.
• Proces ten jest ugruntowany pod względem organizacyjnym i technicznym oraz jest stale monitorowany przez odpowiedzialne jednostki.
• Procesy i terminy usuwania zewnętrznych kont użytkowników są zawarte w informacjach o ochronie danych aplikacji „Keycloak”.

Dane protokołów i logów

• Pliki dziennika powstające w ramach korzystania z systemu są bezpiecznie przechowywane na wszystkich zaangażowanych systemach WIVERTIS GmbH przez około 30 dni.
• Usuwanie tych danych logowania odbywa się w ramach procedury cyklicznej: stare dane są automatycznie nadpisywane nowymi.
• Analiza lub łączenie informacji z protokołów odbywa się wyłącznie w ramach analizy błędów, o ile jest to technicznie konieczne.
• Z reguły nie jest możliwe bezpośrednie powiązanie z konkretną osobą; nie następuje żadne systematyczne łączenie z innymi zbiorami danych.
• Nie ma miejsca żadne dalsze przechowywanie ani analiza protokołów.

Przechowywanie może jednak nastąpić w przypadku (grożącego) sporu prawnego z Państwem lub innego postępowania prawnego lub jeśli przechowywanie jest przewidziane przez przepisy prawne, którym podlegamy jako administrator danych. Zablokowanie lub usunięcie danych następuje również w przypadku upływu terminu przechowywania określonego w wyżej wymienionych normach, chyba że dalsze przechowywanie przez nas jest konieczne i istnieje ku temu podstawa prawna.

Dane osobowe pracowników miejskich są wprowadzane do Nextcloud wyłącznie za pośrednictwem miejskiego Active Directory. Dane osobowe użytkowników zewnętrznych posiadających konto użytkownika zewnętrznego są przechowywane wyłącznie w aplikacji „Keycloak”. Poza tym obecnie żadne inne dane osobowe nie są gromadzone ani przechowywane w Nextcloud.

Generowane pliki dziennika są ograniczone do technicznego minimum i są bezpiecznie przechowywane przez około 30 dni na wszystkich systemach firmy WIVERTIS GmbH uczestniczących w przetwarzaniu danych. Następnie są one nadpisywane w ramach zautomatyzowanego, cyklicznego procesu. Nie przechowuje się informacji o godzinach logowania i wylogowania użytkowników miejskich. Analiza lub łączenie zawartych w nich informacji odbywa się wyłącznie w ramach niezbędnej analizy błędów. Nie jest możliwe ustalenie tożsamości poszczególnych osób, a ponadto nie ma miejsca dalsze przechowywanie ani łączenie tych danych z innymi danymi.

Usuwanie dokumentów z folderów grupowych lub projektowych nie odbywa się na poziomie administracyjnym. Użytkownicy mają w każdej chwili możliwość samodzielnego usunięcia wygenerowanych przez siebie danych dotyczących treści i komunikacji. Dokumenty zapisane w folderze osobistym są odpowiednio usuwane w momencie odejścia pracownika miejskiego lub usunięcia konta użytkownika zewnętrznego.

Dane udostępniane przez miasto Wiesbaden za pośrednictwem platformy Nextcloud są przekazywane odbiorcom tych udostępnień. Poza tym dane przechowywane przez nas zasadniczo nie są przekazywane osobom trzecim.

Jednak w celu wypełnienia naszych zadań i obowiązków może zaistnieć konieczność ujawnienia przechowywanych danych osobowych dotyczących Państwa osobom fizycznym i prawnym, organom, instytucjom lub innym podmiotom. 

W szczególności w grę wchodzą następujące kategorie odbiorców:

W ramach miejskiego dostawcy usług IT, firmy WIVERTIS GmbH, wszyscy administratorzy Nextcloud mają dostęp do wszystkich danych wszystkich osób. Firma WIVERTIS GmbH jest podmiotem przetwarzającym dane na zlecenie stolicy kraju związkowego Wiesbaden zgodnie z art. 28 RODO.

WIVERTIS GmbH nie korzysta z usług podwykonawców w zakresie obsługi Nextcloud i w związku z tym nie przekazuje danych stronom trzecim w ramach obsługi technicznej.

W ramach miejskich urzędów, wydziałów, działów i sekcji dostęp do danych związanych z korzystaniem z Nextcloud regulowany jest przez koncepcję uprawnień i ról.

Korzystanie z usługi podlega zróżnicowanej koncepcji ról i uprawnień, która reguluje dostęp do danych i funkcji w zależności od przypisanej roli. Pracownicy miejscy otrzymują podstawowy dostęp do folderów urzędowych i osobistych, które są dla nich istotne.

Rozszerzone uprawnienia administracyjne do zarządzania folderami projektowymi, grupami lub do technicznej administracji systemem są zarezerwowane wyłącznie dla wyspecjalizowanych ról, takich jak administratorzy projektów, urzędów lub systemów. Użytkownikom zewnętrznym można przyznać dostęp do treści wyraźnie udostępnionych dla nich, albo tymczasowo poprzez publiczne linki bez własnego konta, albo na stałe poprzez oddzielne konto użytkownika z dostępem do interfejsu internetowego.

Każdy użytkownik jest zobowiązany do korzystania z usługi wyłącznie w ramach przypisanej mu roli i związanych z nią uprawnień.

Osoby zewnętrzne, które uzyskują dostęp do Nextcloud spoza sieci miejskiej, otrzymują dostęp do danych tylko wtedy, gdy istnieje podstawa prawna do ich ujawnienia lub uzyskano zgodę.

Przechowywane przez nas dane zasadniczo nie są przekazywane podmiotom w państwach trzecich ani organizacjom międzynarodowym. Może to mieć miejsce jedynie w szczególnych, wyjątkowych przypadkach, zgodnie z warunkami określonymi w art. 44 i następnych RODO.

Jeśli Twoje dane osobowe są przetwarzane, jesteś osobą, której dane dotyczą w rozumieniu RODO i przysługują Ci następujące prawa wobec administratora:

Użytkownik może zażądać informacji o swoich danych osobowych przetwarzanych przez nas zgodnie z art. 15 RODO. We wniosku o udzielenie informacji należy sprecyzować swoje żądanie, aby ułatwić nam zebranie niezbędnych danych. Należy pamiętać, że prawo do informacji jest ograniczone przepisami sekcji 24 (2), 25 (2), 26 (2) i 33 HDSIG.

Jeśli informacje dotyczące użytkownika nie są (lub przestały być) prawidłowe, użytkownik może zażądać ich poprawienia zgodnie z art. 16 RODO. Jeśli dane użytkownika są niekompletne, użytkownik może zażądać ich uzupełnienia.

Użytkownik może zażądać usunięcia swoich danych osobowych na warunkach określonych w art. 17 RODO i § 34 HDSIG. Prawo użytkownika do usunięcia danych zależy między innymi od tego, czy dane dotyczące użytkownika są nam nadal potrzebne do wypełniania naszych obowiązków ustawowych.

W ramach postanowień art. 18 RODO użytkownik ma prawo zażądać ograniczenia przetwarzania dotyczących go danych.

Zgodnie z art. 21 RODO użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących go danych z przyczyn wynikających z jego szczególnej sytuacji. Nie zawsze jednak możemy się do tego zastosować, np. jeśli przepis prawny zobowiązuje nas do przetwarzania danych w rozumieniu sekcji 35 HDSIG w ramach wykonywania naszych oficjalnych zadań.

Jeżeli przetwarzanie danych opiera się na Państwa zgodzie (art. 6 ust. 1 pkt 1 lit. a RODO, art. 9 ust. 2 lit. a RODO), mają Państwo prawo w każdej chwili wycofać tę zgodę ze skutkiem na przyszłość. Należy pamiętać, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania danych, które miało miejsce na podstawie zgody do momentu jej cofnięcia, a zatem nie powoduje, że przetwarzanie to staje się z mocą wsteczną niezgodne z prawem. 

Organem nadzorującym ochronę danych, właściwym dla naszej organizacji, jest:
Urząd ds. Ochrony Danych i Wolności
Informacji w Hesji, Gustav-Stresemann-Ring 1
, 65189 Wiesbaden
, tel.: 0611 14080
, e-mail: poststelledatenschutz.hessende