Pravila privatnosti


1. Opće odredbe

Ova obavijest o pravilima privatnosti opisuje svrhu i način rada aplikacije „Stop COVID-19“ (u daljnjem tekstu: Aplikacija), koji podaci se prikupljaju i kako se s njima postupa tijekom korištenja Aplikacije, prava korisnika za zaštitu podataka i kako se štite podaci korisnika Aplikacije.

2. Voditelj obrade

Aplikacija je u nadležnosti Ministarstva zdravstva Republike Hrvatske (u daljnjem tekstu: Ministarstvo), Ksaver 200a, 10000 Zagreb, Republika Hrvatska, tel: 01 46 07 555.

U skladu s propisima o zaštiti podataka, Ministarstvo je voditelj obrade i odgovorno je za obradu podataka u sklopu Aplikacije.

3. Službenik za zaštitu podataka

U slučaju potrebe, službenika za zaštitu podataka Ministarstva možete kontaktirati na gore navedenoj adresi ili slanjem e-pošte na zastita.podataka@miz.hr.

4. Svrha Aplikacije

Svrha Aplikacije jest obavijestiti korisnika Aplikacije da je njegova Aplikacija bila u epidemiološki relevantnom kontaktu s Aplikacijom osobe kojoj je potvrđeno oboljenje od bolesti COVID-19 te omogućiti osobi koja je oboljela da na anoniman način obavijesti druge korisnike Aplikacije o mogućoj izloženosti zarazi bolešću COVID-19.

Aplikacija uključuje primjenu potpuno nove tehnologije i načine obrade podataka, a cilj joj je postizanje poboljšanja zdravstvene zaštite te podizanje svijesti građana o postojanju povećanog rizika od zaraze bolešću COVID-19.

5. Pravna osnova za obradu podataka

Podaci se prikupljaju i obrađuju putem Aplikacije isključivo temeljem privole korisnika (članak 6. stavak 1.(a) EU Opće uredbe o zaštiti podataka (GDPR)).

Privola se može povući u bilo kojem trenutku, a način povlačenja privole opisan je u točki 10. Povlačenje privole. Povlačenjem privole prestaje obrada podataka.

6. Korištenje Aplikacije

Instalacija i korištenje Aplikacije u potpunosti je dobrovoljno. Korisnici samostalno odlučuju hoće li preuzeti instalaciju na svoj mobilni uređaj, kako će koristiti i kada će ukloniti Aplikaciju sa svojeg mobilnog uređaja.

Prilikom instalacije zahtijeva se eksplicitan pristanak korisnika za korištenje tehnologije Bluetooth te Google/Apple servisa „Obavijesti o izloženosti“. Korisnik može odbiti uključivanje Bluetootha i servisa „Obavijesti o izloženosti“ prilikom pokretanja Aplikacije ili samostalno uključiti ili isključiti korištenje ovih servisa u bilo kojem trenutku nakon instalacije Aplikacije.

Pristanak korisnika je potreban jer u suprotnom Aplikacija neće moći pristupiti funkcionalnostima bilježenja izloženosti na mobilnom uređaju korisnika.

Ukoliko korisnik aktivira korištenje ovih servisa, Aplikacija će putem Bluetootha:

Nasumični ključevi koji se prikupljaju i odašilju su nizovi nasumičnih brojeva koji se mijenjaju više puta tijekom jednog sata i ni na koji način ne omogućavaju identifikaciju korisnika Aplikacije prema drugim korisnicima Aplikacije. Nasumični ključevi čuvaju se na mobilnom uređaju korisnika i to u razdoblju od posljednjih 14 dana, nakon čega se brišu.

Aplikacija neće moći bilježiti kontakte s drugim uređajima u blizini ako je korisnik isključio (deaktivirao) Google/Apple servis „Obavijesti o izloženosti“. Aplikacija ni u kojem trenutku ne prikuplja geolokacijske podatke korisnika niti prikuplja bilo koje druge podatke kojima se otkriva identitet korisnika.

Korisnik Aplikacije, samo ako to želi učiniti i tek kada mu je potvrđena bolest COVID-19, može poslati svoje nasumične ključeve na poslužitelj Aplikacije kako bi oni postali dostupni ostalim korisnicima Aplikacije tako da bi njihove Aplikacije mogle izračunati rizike od izloženosti i o tome obavijestiti Korisnike. Kako bi korisnik uopće dobio mogućnost slanja svojih ključeva mora najprije dobiti pozitivan laboratorijski nalaz i obavijestiti nadležnog zdravstvenog djelatnika, odnosno liječnika korisnika da posjeduje Aplikaciju kako bi mu zdravstveni djelatnik, odnosno liječnik putem poslužitelja Aplikacije generirao jednokratni verifikacijski kôd koji korisnik zatim upisuje prije slanja njegovih nasumičnih ključeva na poslužitelj Aplikacije. S poslužiteljem će se podijeliti i dan i trajanje ostvarenog kontakta, bez mogućnosti otkrivanja identiteta.

Korisnici Aplikacije koji su bili izloženi zarazi, na način da su bili u kontaktu s oboljelom osobom sukladno definiranim epidemiološkim parametrima, primit će od Aplikacije obavijest o datumu kontakta i preporuci o sljedećim koracima koje mogu poduzeti. Odgovornost je samo i isključivo na korisniku Aplikacije hoće li poslati svoje nasumične ključeve i tako omogućiti svojim kontaktima da ih njihove Aplikacije na anoniman način obavijeste o mogućoj izloženosti zarazi bolešću COVID-19.

Aplikacija je dostupna na platformama „Google Play Store“ za uređaje Android i „App Store“ za uređaje Apple. Više o servisima Google/Apple koje Aplikacija koristi možete saznati na:

Napomena: Google zahtijeva uključivanje opcije „Use Location“ na uređajima Android kako bi se mogle koristiti funkcionalnosti Bluetootha. Međutim, to ne znači da je time automatski omogućeno praćenje lokacije korisnika. Štoviše, Aplikacija ni na koji način ne prati lokaciju korisnika niti ima ovlasti bilježiti podatke o lokaciji.

7. Sigurnost Aplikacije

Instalacija i korištenje Aplikacije ne zahtijeva registraciju niti se pritom traže ili bilježe ikakvi osobni podaci, pa tako ni podaci poput imena i prezimena, datuma rođenja, broja mobitela ili adrese e-pošte korisnika. Aplikacija ni u kojem trenutku ne prikuplja geolokacijske podatke korisnika.

Nasumične ključeve, nakon što u slučaju potvrđene zaraze bolešću COVID-19 te isključivo ako tako želi korisnik Aplikacije, napuste mobilni uređaj korisnika, ni na koji način nije moguće povezati s identitetom korisnika.

Podaci koje Aplikacija prikuplja prosljeđuju se na obradu Google/Apple servisu „Obavijesti o izloženosti“ na samom mobilnom uređaju.

Komponente poslužiteljske infrastrukture s Aplikacijom komuniciraju kriptiranim i zaštićenim kanalima. Podaci na poslužiteljskoj infrastrukturi čuvaju se u bazi podataka koja je realizirana kao zasebna logička cjelina uz primjenu sigurnosnih politika najvišeg standarda.

8. Pristup podacima

Pristup jednokratnom verifikacijskom kôdu, kojim Korisnik u samoj Aplikaciji potvrđuje pozitivan nalaz na bolest COVID-19, ima samo nadležni zdravstveni djelatnik, odnosno liječnik korisnika u trenutku nakon što poslužitelj Aplikacije generira verifikacijski kôd. Nakon toga zdravstveni djelatnik, odnosno liječnik više nema pristup kôdu. Svi verifikacijski kôdovi se u pozadinskom poslužitelju čuvaju 14 dana, a nakon toga se brišu.

Nasumične ključeve koje su podijelile osobe kojima je potvrđena bolest COVID-19 dnevno automatski preuzimaju Aplikacije svih korisnika i prosljeđuju na obradu Google/Apple servisu „Obavijesti o izloženosti“ na samom mobilnom uređaju.

9. Prijenos podataka u treće zemlje

Podaci koji se obrađuju korištenjem Aplikacije nalaze se na mobilnom uređaju korisnika, isključivo na poslužiteljima Aplikacije u Republici Hrvatskoj ili drugoj zemlji članici Europske unije. Podaci se ne prenose u treće zemlje.

10. Povlačenje privole

Korisnik u bilo kojem trenutku može povući svoju privolu za obradu podataka. Povlačenje privole neće imati utjecaj na zakonitost obrade podataka koja se odvijala prije povlačenja privole.

Za povlačenje privole Aplikaciji za korištenje Bluetootha i Google/Apple servisa „Exposure Notification“ potrebno je u operacijskom sustavu mobilnog uređaja isključiti korištenje navedenih servisa.

Korisnik može u bilo kojem trenutku ukloniti prikupljene nasumične ključeve bliskih kontakata putem postavki operacijskog sustava mobilnog uređaja. Ministarstvo nema nikakvu mogućnost brisanja nasumičnih ključeva s mobilnog uređaja korisnika, kao ni s mobilnih uređaja drugih korisnika s kojima je korisnik razmijenio nasumične ključeve.

11. Prava ispitanika

Korisnici Aplikacije imaju sljedeća prava zaštite osobnih podataka:

Ministarstvo može ispuniti gore navedena prava samo ako se korisniku kao podnositelju zahtjeva mogu jasno odrediti podaci na kojima se temelji njegov zahtjev kao ispitanika. To je moguće samo ako Ministarstvo prikupi osobne podatke koji omogućuju da se gore spomenuti podaci jasno dodijele korisniku ili mobilnom uređaju korisnika. Budući da to nije potrebno, a nije ni namijenjeno za potrebe Aplikacije, Ministarstvo nije dužno prikupljati takve dodatne podatke (članak 11. stavak 2. EU Opće uredbe o zaštiti podataka (GDPR)). Štoviše, ovo bi bilo u suprotnosti s navedenim ciljem, odnosno zadržati količinu prikupljenih podataka za Aplikaciju najmanjom mogućom. U ovom slučaju, nije moguće izravno ispuniti gornja prava zaštite podataka u skladu s člancima 15., 16., 17., 18., 20. i 21. EU Opće uredbe o zaštiti podataka (GDPR), jer bi to zahtijevalo dodatne informacije o korisniku koje nisu dostupne.

Zadnja izmjena: 26. lipnja 2020. godine