Kot je podrobneje opisano v dokumentu Eduroam Privacy Notice, je storitev eduroam zasnovana na načelu minimalne obdelave osebnih podatkov.
S kakšnim namenom se obdelujejo osebni podatki?
Različni osebni podatki se obdelujejo z namenom zagotavljanja storitve, reševanja težav uporabnikov, obravnave varnostnih incidentov ali zlorab, pa tudi za meritve in statistiko delovanja omrežja. Za zagotavljanje storitve ni potrebno, da omrežje oz. ustanova gostiteljica pozna identiteto uporabnika, zato lahko le-ta svoje uporabniško ime anonimizira. Matična organizacija pa lahko pri razreševanju težav ali incidentov uporabnika identificira in ustrezno ukrepa.
Kateri osebni podatki se obdelujejo?
Matična ustanova (univerza, šola …), ki uporabniku izda digitalno identiteto za vključitev v eduroam, vodi imenik vseh svojih uporabnikov in obdeluje njihove osebne podatke na način, ki ji omogočajo identifikacijo uporabnika posamezne identitete. Pri tem matična ustanova beleži dnevnik gostovanja svojih uporabnikov (naslov MAC, uporabniško ime).
Ustanova gostiteljica v svojem omrežju sicer beleži nekatere podatke uporabnika (lokalni naslov IP, naslov MAC naprave in gostujoči identifikator uporabnika, ki je lahko anonimiziran, vsebuje pa domeno, ki določa matično ustanovo), ne more pa določiti njegove identitete. Lahko pa te podatke uporabi v sodelovanju z matično organizacijo uporabnika v primeru jasno predpisanih postopkov (podpora uporabniku, razreševanje varnostnih incidentov ali zlorab), kjer lahko te podatke na ustrezno zakonito zahtevo posreduje tudi organom pregona.
Ti podatki o gostovanju se v obliki dnevniških datotek obdelujejo tudi na ravni upravljanja omrežja eduroam (v Sloveniji Arnes, mednarodno GÉANT) za namen spremljanja delovanja storitve, statističnih obdelav in poročanj. Hranijo se od 6 do 13 mesecev.
Nacionalno omrežje (Arnes) obdeluje tudi kontaktne podatke oseb, ki jih članica pooblasti ob vstopu v federacijo. Ti podatki se obdelujejo izključno z namenom zagotavljanja storitve oz. podporo uporabnikom in za razreševanje težav delovanja ali drugih incidentov (zlorabe). V ta namen Arnes posreduje podatke tudi operativni ekipi GÉANT, ki zagotavlja delovanje eduroam-a na globalni ravni.
Kdo ima dostop do podatkov o uporabi storitve eduroam?
Dostop do podatkov imajo pooblaščene osebe operativnih ekip, ki zagotavljajo delovanje in pomagajo pri razreševanju incidentov ali težav delovanja storitve na utemeljeno zahtevo uporabnika oz. organizacije članice.
Arnes v skladu s svojo politiko zasebnosti pomaga matičnim ustanovam – članicam eduroam – pri uveljavljanju pravic uporabnikov glede obdelave njihovih osebnih podatkov.
Podatki se ne posredujejo tretjim osebam, razen v primeru zakonite zahteve pooblaščenih organov.