Ниже мы информируем вас об обработке ваших персональных данных на платформе для совместной работы администрации города Висбадена, основанной на Nextcloud, а также о ваших правах и требованиях, предусмотренных законодательством о защите данных. 

Контролером в понимании Общего регламента по защите данных (GDPR) и других национальных законов о защите данных государств-членов, а также прочих правовых норм в области защиты данных является  

В отношении обработки данных, связанной с регистрацией и эксплуатацией Nextcloud со стороны столицы земли Висбаден: 

столица земли Висбаден
, представленная магистратом

Управление по инновациям, организации и цифровизации
Организационная единица: 150230
Hasengartenstraße 21
65189 Висбаден
Телефон: 0611 314163
Электронная почта: appservicewiesbadende 

В отношении хранения персональных данных, содержащихся в общих файлах, а также их передачи столицей земли Висбаден:

Соответствующие ведомства и департаменты столицы земли Висбаден
Schlossplatz 6
65183 Висбаден
Телефон: 0611 310
Электронная почта: buergerreferatwiesbadende 

В той мере, в какой внешние лица загружают данные через Nextcloud, ответственность за передачу данных столице земли Висбаден в соответствии с законодательством о защите данных лежит на них. То же самое относится к дальнейшему использованию данных, полученных через Nextcloud. 

Уполномоченный по вопросам защиты данных столицы земли Висбаден
Уполномоченный по вопросам защиты данных столицы земли Висбаден
Wilhelmstraße 32
65183 Висбаден
Телефон: 0611 313083
Электронная почта: datenschutzwiesbadende

Специалист по информационной безопасности администрации города Висбадена
Hasengartenstraße 21
65189 Висбаден
Телефон: 0611 31780
Электронная почта: it-sicherheitwiesbadende

Платформа, основанная на приложении с открытым исходным кодом Nextcloud (далее именуемом «Nextcloud»), представляет собой централизованный облачный сервис хранения данных со встроенными дополнительными функциями для хранения и совместного использования документов. Она доступна всем сотрудникам администрации города Висбадена и служит для цифрового сотрудничества как внутри администрации, так и с внешними партнерами. Для этого отдельные внешние лица получают доступ к платформе для совместной работы столицы земли Висбаден на базе Nextcloud, чтобы обмениваться файлами в рамках проектов и сотрудничать.

Система «Nextcloud» с модулем «Nextcloud Files» служит для хранения и обмена файлами и доступна всем сотрудникам столицы земли Висбаден. Технологической основой является программное обеспечение с открытым исходным кодом «Nextcloud» немецкой компании Nextcloud GmbH.

Предоставление и техническое обслуживание Nextcloud осуществляются компанией WIVERTIS GmbH в городском центре обработки данных. За техническую поддержку системы отвечают сотрудники Управления по инновациям, организации и цифровизации, отдела управления ИТ, администрации столицы земли Висбаден.

Приложение «Keycloak» отвечает за аутентификацию и авторизацию пользователей и используется в сочетании с Nextcloud. Оно служит, в частности, для аутентификации и авторизации учетных записей внешних пользователей, а также для управления идентификацией.  

Обработка ваших данных в Nextcloud осуществляется в следующих служебных целях:

• Хранение файлов для совместного служебного использования в рамках администрации столицы земли Висбаден.
• Обмен файлами между департаментами и ведомствами.
• Временный доступ к файлам для внешних партнеров по оказанию услуг или сотрудничеству столицы земли Висбадена.
• Управление правами доступа к файлам, предоставленным внешним пользователям, или к файлам, предоставленным внутри городской администрации.
• Обеспечение безопасности и функциональности всех служб, необходимых для работы системы.

При использовании приложений «Nextcloud» требуются следующие типы данных или же они образуются в процессе работы с приложением.

a. Данные об учетной записи и аутентификации:

• Имя пользователя: идентификатор (внутренний), а также адрес электронной почты (внешний), с помощью которого было внесено изменение в файлы;
• Группа пользователей только для сотрудников LHW;
• Контактная информация (служебная) (например, адрес электронной почты, телефон) или (личная/внешняя) (например, адрес электронной почты);
• Личные данные: Имя и фамилия:
• Роль и принадлежность к команде: организационная единица для сотрудников LHW;
• Данные, введенные на добровольной основе в личной информации Nextcloud (номер телефона, местоположение, дата рождения, язык, языковые настройки, первый день рабочей недели, веб-сайт, X-Handle, онлайн-имя в Fediverse, аватар).

b. Административные данные:

Каждый доступ к странице приложения «Nextcloud» и каждый запрос сохраненного файла регистрируется веб-сервером в файлах журнала. Хранение данных служит внутренним и системным целям. Регистрируется:

• какой файл был запрошен;
• название файла;
• дата и время запроса;
• объем переданных данных;
• статус доступа (файл не найден, файл передан и т. д.).

c. Технические данные:

• IP-адрес конечного устройства, осуществляющего доступ (как внешнего, так и внутреннего), на веб-сервере/веб-прокси;
• тип используемого веб-браузера;
• дата входа в систему;
• начало сеанса;
• технические данные об использовании (например, содержимое кэша, сгенерированные индексные данные, версии, сообщения об ошибках, файлы журналов);
• Технические данные в базе данных (например, дата входа в систему, начало сеанса), которые считываются непосредственно из городского AD (Active Directory) или других систем, аналогичных AD (например, Keycloak). Сохранение данных в рамках процедуры и на участвующих системах не производится.
• Файлы cookie: На внутреннем сайте: https://cloud.wiesbaden.de (Открывается в новой вкладке) и внешнем сайте https://ext.cloud.wiesbaden.de/login (Открывается в новой вкладке) используются исключительно файлы cookie, которые абсолютно необходимы для использования Nextcloud. По следующей ссылке вы найдете дополнительную информацию о файлах cookie: https://docs.nextcloud.com/server/latest/admin_manual/gdpr/cookies.html (Открывается в новой вкладке)

d. Данные о контенте и особые категории персональных данных:

• Данные о контенте и коммуникации, созданные внутренними и внешними пользователями (например, документы, графики, изображения, аудио- и видеофайлы, заметки и комментарии).
• Косвенно затрагивается содержание документов, хранящихся в Nextcloud. Технически не исключено, что сохраненные документы содержат персональные данные. Кроме того, возможно, что эти документы или другие файлы контента содержат чувствительную, конфиденциальную или персональную информацию в понимании статьи 4, параграфа 1 GDPR. К ним относятся, в частности, данные, подлежащие особой защите в соответствии со статьей 9, параграфом 1 GDPR, а также информация о физических лицах, нуждающихся в защите, в частности о детях. Автоматическое распознавание или обработка такого контента не происходит.

Обработка персональных данных сотрудников городской администрации осуществляется на основании трудового договора или в целях выполнения служебных обязанностей в рамках повседневной работы.

Ответственность за обработку (в частности, хранение и передачу) персональных данных, содержащихся в документах, загруженных городскими властями, в соответствии с законодательством о защите данных лежит на соответствующих департаментах и ведомствах. В частности, они должны обеспечить наличие правового основания для передачи данных с помощью Nextcloud. То же самое относится к хранению и дальнейшей обработке данных, загруженных внешними лицами.

Правовой основой для обработки данных являются:

• ст. 6 п. 1 лит. a Общего регламента по защите данных (GDPR), если обработка осуществляется на основании согласия заинтересованного лица.
• ст. 6 п. 1 лит. b Общего регламента по защите данных (GDPR), если обработка необходима для исполнения договора, стороной которого является заинтересованное лицо, или для осуществления преддоговорных мер, предпринимаемых по запросу заинтересованного лица.
• ст. 6 п. 1 лит. c Общего регламента по защите данных (GDPR) в совокупности с положением законодательства ЕС или национального законодательства, если обработка необходима для выполнения юридического обязательства;
• ст. 6 п. 1 лит. e Общего регламента по защите данных (GDPR) в совокупности с правовой основой, предусмотренной правом Европейского Союза или национальным правом, если обработка необходима для выполнения задачи, которая осуществляется в общественных интересах или в рамках осуществления публичной власти, возложенной на контролера.

Для вышеуказанных целей сбор и обработка указанных персональных данных являются обязательными, поскольку отдельные этапы процесса взаимосвязаны. Обрабатываются только те данные, которые необходимы для создания профиля, а также для бесперебойной технической работы программного обеспечения. 

Как правило, мы обрабатываем и храним ваши персональные данные только в течение периода, необходимого для достижения цели обработки.

Если ниже не указан конкретный срок хранения, ваши данные будут удалены или заблокированы, как только цель хранения отпадет. 

Хранение персональных данных сотрудников городской администрации осуществляется на период их служебной деятельности и пребывания в штате городской администрации. В частности, это относится к следующим случаям:

• при активном использовании Nextcloud,
• во время работы в одном из ведомств, департаментов или отделов столицы земли Висбаден (LHW),

При увольнении персональные данные в Nextcloud автоматически удаляются.

Данные внешних пользователей, не имеющих учетной записи, хранятся до тех пор, пока выполняется хотя бы одно из следующих условий:

• Существуют активные общие папки или файлы, предоставленные сотрудниками городской администрации.
• Существует установленная законом обязанность хранения данных.
• Дата истечения срока, определенная в рамках предоставления доступа, еще не наступила.

После отпадения всех перечисленных условий пользовательские данные удаляются, если этому не противоречат иные правовые основания.

Данные внешних пользователей, имеющих учетную запись, хранятся наравне с данными внешних пользователей, не имеющих учетной записи. Кроме того, в случае учетных записей внешних пользователей собираются следующие данные:

• Персональные данные внешних пользователей собираются и хранятся только в том объеме, в котором они необходимы для создания учетной записи с полным доступом к внешнему экземпляру Nextcloud.
• Управление и предоставление прав осуществляется службой поддержки в специализированном отделе через отдельный внешний интерфейс пользователя.
• Учетные записи внешних пользователей деактивируются после трех месяцев бездействия и удаляются по истечении определенного срока блокировки.
• Реактивация деактивированных учетных записей внешних пользователей возможна исключительно службой поддержки в специализированном отделе, которая отвечает за администрирование внешних пользователей.

После отпадения всех вышеуказанных условий пользовательские данные удаляются, если этому не противоречат иные правовые основания.

• В интерфейсе Nextcloud пользователи могут по собственному желанию указывать личную информацию (например, данные профиля).
• Эти данные можно удалить самостоятельно в любое время.
• Если удаление не производится вручную, добровольно предоставленные данные удаляются автоматически при удалении соответствующей учетной записи пользователя.

Удаление персональных данных осуществляется в соответствии с требованиями законодательства о защите данных. Оно зависит от конкретной цели использования, организационных полномочий и технических особенностей системы.

Удаление документов

• Удаление документов администраторами, как правило, не осуществляется на системном уровне.
• Ответственность за удаление контента и данных связи (например, файлов в групповых или проектных папках) лежит на соответствующих пользователях. Они в любое время могут самостоятельно удалить созданный ими контент.
• Документы, хранящиеся в личных папках сотрудников городской администрации, удаляются после их ухода со службы в соответствии с требованиями процесса управления пользователями.

Удаление и изменение прав доступа пользователей

• Изменение или удаление прав доступа пользователей, а также корректировка принадлежности к группам осуществляется в рамках стандартизированного процесса управления пользователями городской администрации. Удаление личного контента происходит автоматически при удалении учетной записи пользователя в случае ухода из городской администрации.
• Этот процесс устоялся с организационной и технической точки зрения и постоянно контролируется ответственными органами.
• Процессы и сроки удаления учетных записей внешних пользователей указаны в информации о защите данных приложения «Keycloak».

Данные журналов и логов

• Файлы журналов, создаваемые в ходе использования системы, надежно хранятся на всех задействованных системах WIVERTIS GmbH в течение примерно 30 дней.
• Удаление этих данных журнала происходит по принципу «первым пришел — первым ушел»: старые данные автоматически перезаписываются новыми.
• Анализ или объединение информации журналов осуществляется исключительно в рамках анализа ошибок, если это технически необходимо.
• Прямая привязка к конкретному лицу, как правило, невозможна; систематическая связь с другими базами данных не осуществляется.
• Более длительное хранение или анализ журналов не осуществляется.

Однако хранение может продолжаться в случае (угрозы) судебного спора с вами или иного судебного разбирательства, либо если хранение предусмотрено законодательными нормами, которым мы подчиняемся как ответственное лицо. Блокировка или удаление данных происходит также по истечении срока хранения, предписанного указанными нормами, за исключением случаев, когда дальнейшее хранение данных требуется с нашей стороны и для этого имеется правовое основание.

Персональные данные сотрудников городской администрации интегрируются в Nextcloud исключительно через городской Active Directory. Персональные данные внешних пользователей, имеющих внешнюю учетную запись, хранятся исключительно в приложении «Keycloak». Помимо этого, в настоящее время никакие другие персональные данные в Nextcloud не собираются и не хранятся.

Создаваемые файлы журналов сведены к технически необходимому минимуму и надежно хранятся в течение примерно 30 дней на всех системах компании WIVERTIS GmbH, участвующих в обработке данных. Затем они перезаписываются в рамках автоматизированной процедуры с постепенной замены старых данных новыми. Время входа и выхода пользователей из системы не сохраняется. Анализ или объединение содержащейся в них информации осуществляется исключительно в рамках необходимого анализа ошибок. Установить личность отдельных лиц невозможно, и хранение или объединение с другими данными, выходящее за рамки вышеуказанного, не производится.

Удаление документов в папках групп или проектов не осуществляется на административном уровне. Пользователи в любое время имеют возможность самостоятельно удалять созданные ими данные о содержании и коммуникации. Документы, хранящиеся в личной папке, удаляются при увольнении городского сотрудника или при удалении учетной записи внешнего пользователя.

Данные, предоставляемые администрацией города Висбадена через Nextcloud, передаются получателям, которым предоставлен доступ. В остальных случаях данные, хранящиеся у нас, как правило, не передаются третьим лицам.

Однако для выполнения наших задач и обязательств может возникнуть необходимость раскрытия сохраненных персональных данных о вас физическим и юридическим лицам, органам власти, учреждениям или другим организациям. 

В частности, это могут быть следующие категории получателей:

В рамках городского ИТ-провайдера WIVERTIS GmbH все администраторы Nextcloud имеют доступ ко всем данным всех лиц. Компания WIVERTIS GmbH является обработчиком данных по заказу столицы земли Висбаден в соответствии со ст. 28 Общего регламента по защите данных (GDPR).

WIVERTIS GmbH не привлекает субподрядчиков для эксплуатации Nextcloud и, следовательно, не передает данные третьим лицам в рамках технической эксплуатации.

В рамках городских ведомств, департаментов, отделов и специализированных подразделений доступ к данным в связи с использованием Nextcloud регулируется концепцией прав и ролей.

Использование сервиса подчиняется дифференцированной концепции ролей и прав, которая регулирует доступ к данным и функциям в зависимости от назначенной роли. Городские сотрудники получают базовый доступ к служебным и личным папкам, имеющим для них значение.

Расширенные административные права на управление папками проектов, группами или на техническое администрирование системы предоставлены исключительно специализированным ролям, таким как администраторы проектов, ведомств или систем. Внешним пользователям может быть предоставлен доступ к контенту, явно открытому для них, либо временно через общедоступные ссылки без собственной учетной записи, либо на постоянной основе через отдельную учетную запись пользователя с доступом к веб-интерфейсу.

Каждый пользователь обязан использовать сервис исключительно в рамках присвоенной ему роли и связанных с ней прав.

Внешние лица, получающие доступ к Nextcloud из-за пределов городской сети, получают доступ к данным только в том случае, если существует правовое основание для раскрытия данных или имеется согласие.

Хранящиеся у нас данные, как правило, не передаются в третьи страны или международным организациям. Только в особых исключительных случаях такая передача может осуществляться в соответствии с положениями ст. 44 и последующих статей Общего регламента по защите данных (GDPR).

Если ваши личные данные обрабатываются, вы являетесь субъектом данных в смысле GDPR и имеете следующие права по отношению к контроллеру:

Вы можете запросить информацию о ваших персональных данных, обрабатываемых нами в соответствии со ст. 15 GDPR. В своем запросе на получение информации вы должны указать свой запрос, чтобы нам было легче собрать необходимые данные. Обратите внимание, что ваше право на получение информации ограничено положениями разделов 24 (2), 25 (2), 26 (2) и 33 HDSIG.

Если информация о вас неверна (или более не верна), вы можете запросить исправление в соответствии со ст. 16 GDPR. Если ваши данные являются неполными, вы можете запросить их заполнение.

Вы можете запросить удаление ваших персональных данных в соответствии со ст. 17 GDPR и § 34 HDSIG. Ваше право на удаление зависит, в частности, от того, требуются ли нам данные о вас для выполнения наших уставных обязанностей.

В рамках положений ст. 18 GDPR вы имеете право потребовать ограничить обработку касающихся вас данных.

В соответствии со ст. 21 GDPR вы имеете право в любое время возражать против обработки касающихся вас данных по причинам, вытекающим из вашей конкретной ситуации. Однако мы не всегда можем выполнить это требование, например, если правовое положение обязывает нас обрабатывать данные в соответствии с разделом 35 HDSIG в рамках выполнения нашей официальной задачи.

Если обработка данных основана на вашем согласии (ст. 6 п. 1 подп. 1 а Общего регламента по защите данных (GDPR), ст. 9 п. 2 а Общего регламента по защите данных (GDPR)), вы имеете право в любой момент отозвать это согласие с действием на будущее. Обращаем ваше внимание на то, что отзыв не затрагивает законность обработки данных, осуществленной на основании согласия до момента его отзыва, то есть отзыв не делает эту обработку незаконной задним числом. 

Нашим компетентным органом по надзору за защитой данных является:
Уполномоченный по защите данных и свободе
информации земли Гессен Gustav-Stresemann-Ring 1
65189 Висбаден
Телефон: 0611 14080
Электронная почта: poststelledatenschutz.hessende