Izvješće o provedenom savjetovanju - Savjetovanje sa zainteresiranom javnošću o Području primjene i korištenje informacijskog sustava Hrvatske vatrogasne zajednice, prava, dužnosti i odgovornosti korisnika te sadržaj i zaštita osobnih podataka

Redni broj
Korisnik
Područje
Komentar
Status odgovora
Odgovor
1 JUG PULJIZEVIĆ II. INFORMACIJSKI SUSTAV HVZ, Članak 2. U čl. 2. jasno se navodi da podatke (pa tako i osobne podatke) HVZ obrađuje na temelju Zakona o vatrogastvu i ostalih pozitivnih propisa iz sustava civilne zaštite, obrane i nacionalne sigurnosti. Stoga se postavlja pitanje zašto HVZ obradu osobnih podataka (pogrešno) temelji na privoli (čemu je posvećen dio ovog dokumenta), o čemu će više riječi biti kasnije. Primljeno na znanje HVZ ne temelji obradu svih osobnih podataka na privoli. Određeni podaci mogu se prikupljati od strane drugih korisnika IS HVZ, temeljem privole osobe čiji podaci se prikupljaju.
2 JUG PULJIZEVIĆ II. INFORMACIJSKI SUSTAV HVZ, Članak 3. "Interaktivna baza opasnih tvari" postoji samo na papiru. Na poveznici https://hazmat.193.hr/ (navedenoj na webu Hrvatske vatrogasne zajednice) ne može se pristupiti nikakvom sadržaju, a zadnje "ažuriranje" je bilo 2017. Prilično neozbiljno. Djelomično prihvaćen Pristup interaktivnoj bazi opasnih tvari je ograničen te isti imaju samo ovlaštene osobe, stoga je u tekstu članka 3. brisana mogućnost javnog pristupa
3 JUG PULJIZEVIĆ III. KORISNICI IS HVZ, Članak 5. Trebalo bi preciznije definirati "izvanredne korisnike", jer se ovom općenitom formulacijom ne može dokučiti o kome je riječ. Isto je problematično kada uzmemo u obzir čl. 13. Opće uredbe o zaštiti podataka koja se odnosi na informacije koje se pružaju u trenutku prikupljanja podataka. Primljeno na znanje izvanredni korisnici se mogu odrediti sukladno opsegu posla koji obavljaju, no nije moguće taksativno navesti nazive tijela ili pravnih osoba koje doprinose učinkovitom obavljanju vatrogasne djelatnosti zbog razvoja i napretka društva koje je kontinuirano.
4 JUG PULJIZEVIĆ IV. FIZIČKE OSOBE – OPERATERI, Članak 9. Način ovlašćivanja zauzima 1 od 9 članaka spomenutog Pravilnika. Isti je mogao biti integriran u ovaj dokument ili obrnuto. Ovako imamo loptanje između dva dokumenta, a posljedica je nepreglednost i nejasnoće za korisnike. Primljeno na znanje odredbe Zakona o vatrogastvu propisuju donošenje dva odvojena podzakonska akta
5 JUG PULJIZEVIĆ VI. DUŽNOSTI REDOVITIH KORISNIKA VEZANE UZ UNOS I AŽURIRANJE PODATAKA U IS HVZ, Članak 23. Pravilnik o sadržaju osobnih podataka, svrsi prikupljanja, roku čuvanja evidencije i načinu ovlašćivanja za korištenje podataka dobrovoljnih i profesionalnih vatrogasaca u računalnim aplikacijama Hrvatske vatrogasne zajednice u čl. 3. navodi da se uz ime oca obrađuje i djevojačko prezime o čemu ovdje nema ni riječi pa je potrebno usklađenje. Nadalje, pravilnik ne poznaje kategoriju "ako je primjenjivo" koja se ovdje koristi za JMBG, broj telefona, adresu elektroničke pošte... potrebno je usklađenje. Vatrogasci koji vrše dužnost zapovjednika ili zamjenika su u neravnopravnom položaju u odnosu na ostale vatrogasce jer se samo za njih traže preslike akta o stručnoj spremi. Pogotovo kada se u sustav unose samo podaci, ali ne i sama preslika (koja se valjda drži u registratoru?) Dodatno, čemu preslike kada je dovoljno zapisati broj diplome, ustanovu i datum izdavanja, te eventualno akt na uvid? Na kraju se unosi čitav niz podataka o privolama(!), pri čemu privola nije primjenjiva na barem pola navedenih obrada. Da li se uz navedeno upisuje datum i način davanja privole? Uz to, gdje su podaci o eventualnom povlačenju privole? Djelomično prihvaćen Djevojačko prezime (i ostali podaci koji nisu navedeni u ovom članku) unose pojedini Korisnici (vatrogasne organizacije ili postrojbe) ako imaju vlastitu potrebu u bazi podataka evidentirati taj podatak. Hrvatska vatrogasna zajednica nema navedenu potrebu, stoga taj podatak nije naveden u ovom članku. Budući da Pravilnik o sadržaju osobnih podataka, svrsi prikupljanja, roku čuvanja evidencije i načinu ovlašćivanja za korištenje podataka dobrovoljnih i profesionalnih vatrogasaca u računalnim aplikacijama Hrvatske vatrogasne zajednice navodi cjelokupni set podataka koji se može (ali ne mora) obrađivati u IS HVZ, djevojačko prezime je navedeno u tom pravilniku. Članci u kojima se spominju "primjenjivi" podaci dodatno su pojašnjeni sukladno komentarima. Pojedini podaci, kao što je preslika o stručnoj spremi, navedeni su zato što se isti traže od strane HVZ tijekom obavljanja redovitih poslova HVZ. Konkretna preslika potrebna je inspektorima vatrogastva tijekom vršenja njihovih poslova, i to samo za zapovjednike ili zamjenike, te se radi smanjenja administrativnog opterećenja Operatera u ovom pravilniku samo za navedene osobe i navodi kao obavezni podatak. Vezano uz privole - IS HVZ je platforma kojom HVZ obrađuje podatke, ali i platforma kojom Korisnici (druge vatrogasne organizacije) mogu pohranjivati i obrađivati podatke, sukladno vlastitim potrebama. U tom pogledu, HVZ Korisnicima pruža uslugu pohrane ili obrade podataka sukladno njihovim vlastitim potrebama ili zahtjevima te su oni voditelji obrade takvih podataka i dužni su osigurati zakonitost obrade odnosno dokazivu privolu osobe čije podatke oni na taj način obrađuju. Podaci o pojedinim privolama koji se spominju i unose u IS HVZ unose se isključivo iz razloga da IS HVZ može automatiziranim procesima spriječiti oblike obrade osobnih podataka za koje pojedine osobe nisu dale privolu, a ne iz razloga što HVZ kao pravna osoba treba imati navedenu privolu. Ako privola bude povučena, Korisnik mora u IS HVZ ažurirati podatak o tome postoji li još uvijek privola osobe za navedeni oblik obrade, sukladno stavku 1 članka gdje piše da su obavezni osigurati ispravnost podatka. Pojašnjeni su dijelovi teksta u člancima u kojima se spominje unos podataka o privolama.
6 JUG PULJIZEVIĆ VI. DUŽNOSTI REDOVITIH KORISNIKA VEZANE UZ UNOS I AŽURIRANJE PODATAKA U IS HVZ, Članak 28. Zbog čega bi operateri trebali dati privolu za čitav niz obrada koji nema veze sa pozicijom operatera (npr. privola za obradu u procesu izrade vatrogasnih iskaznica ili privola za javnu objavu kontakt podataka, ako dotična osoba vrši dužnost tajnika, zapovjednika ili predsjednika vatrogasne organizacije - koja je ionako već navedena u odgovarajućoj kategoriji). Nepotrebno gomilanje teksta, koji utječe na preglednost i jasnoću dokumenta. Prihvaćen Brisano
7 JUG PULJIZEVIĆ VII. MJERE ZAŠTITE OSOBNIH PODATAKA, Članak 37. Zakon o zaštiti osobnih podataka prestao je važiti 25.05.2018., a zamijenio ga je Zakon o provedbi Opće uredbe o zaštiti podataka. Djelomično prihvaćen briše se članak
8 JUG PULJIZEVIĆ VII. MJERE ZAŠTITE OSOBNIH PODATAKA, Članak 39. Krenimo redom: 1) Kako će Korisnici osigurati dokazivu privolu? Papirnato - sken? Izjava? Da li svaki Korisnik može autonomno odrediti kako će osigurati dokazivu privolu? Kako je uređeno povlačenje privole koje mora biti jednako jednostavno kao i davanje privole? 2) Problematični čl. 9. Zakona o vatrogastvu kaže: "Dobrovoljni vatrogasci upisom u dobrovoljno vatrogasno društvo, a profesionalni vatrogasci prilikom zapošljavanja, daju suglasnost da se njihovi osobni podaci mogu upisivati i koristiti u računalnim aplikacijama Hrvatske vatrogasne zajednice." Iz te rečenice ovaj dokument izvlači ovu tvrdnju: "Privolu nije potrebno posebno prikupljati ako se radi o obradi osobnih podataka navedenih u članku 23. ovog Područja primjene gdje vlasnici osobnih podataka suglasnost za obradu daju zaposlenjem u vatrogasnoj organizaciji ili vatrogasnoj postrojbi ili upisom u dobrovoljno vatrogasno društvo." Sam čin upisa ili zaposlenja nije i ne može biti privola. Nadalje, kada govorimo o odnosu poslodavac, Agencija za zaštitu osobnih podataka (AZOP) navodi: "Za većinu takve obrade podataka na radnom mjestu, zakonita osnova ne može i ne bi smjela biti privola zaposlenika (zbog prirode odnosa između poslodavca i zaposlenika) već se obrada osobnih podataka radnika prvenstveno temelji na ugovoru o radu koji radnik sklapa sa poslodavcem te na obvezu izvršavanja pravnih obveza voditelja obrade (poslodavca) propisanih posebnim propisima (Zakon o radu, Zakon o mirovinskom osiguranju, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima i dr.)." Nije prihvaćen Za sve unose osobnih podataka odnosno sve oblike obrade osobnih podataka koje od strane Hrvatske vatrogasne zajednice nisu propisane kao obavezne, a koje se mogu inicirati u IS HVZ od strane pojedinih ostalih Korisnika IS HVZ sukladno njihovim vlastitim potrebama, potrebno je sukladno odredbama GDPR-a osigurati dokazivu privolu osobe čiji podaci se obrađuju. Podaci o privolama odnosno informacija o tome je li osoba dala ili nije dala privolu određeni oblik obrade njezinih osobnih podataka u IS HVZ unose se isključivo iz razloga da IS HVZ automatiziranim postupcima spriječi obradu tih osobnih podataka u svrhe za koje osoba nije dala privolu. Obaveza čuvanja dokazive privole ostaje i dalje na strani Korisnika koji je započeo obradu i koji je ovdje voditelj takve obrade osobnih podataka. Odredbe Zakona o vatrogastvu razlikuju profesionalnog vatrogasca, dobrovoljnog vatrogasca, člana dobrovoljnog vatrogasnog društva, za kategorije osoba koje nisu obuhvaćene odredbama članka 9. Zakona o vatrogastvu potrebna je privola.
9 JUG PULJIZEVIĆ VII. MJERE ZAŠTITE OSOBNIH PODATAKA, Članak 40. Što je sa povlačenjem privole? Potrebno je uspostaviti sustav upravljanja privolama, umjesto rečenice - privole čuvamo trajno. Primljeno na znanje osoba može povući privolu te Operater IS HVZ može i treba u IS HVZ naznačiti da više ne postoji važeća privola za pojedine oblike obrade njezinih osobnih podataka, no neće se privola vratiti davatelju
10 JUG PULJIZEVIĆ VII. MJERE ZAŠTITE OSOBNIH PODATAKA, Članak 41. Termini su neusklađeni, pa se tako Opća uredba o zaštiti podataka naziva svakojako.. tekst je potrebno ujednačiti. Prihvaćen Usklađeno
11 JUG PULJIZEVIĆ VIII. OBRADA OSOBNIH PODATAKA, Članak 46. Prijedlogom Pravilnika, "svrha obrade osobnih podataka u aplikacijama HVZ je zadovoljavanje svih zakonom propisanih obaveza te obavljanje poslova iz nadležnosti Hrvatske vatrogasne zajednice koji proizlaze iz Zakona o vatrogastvu". Čemu onda privola kao temelj za obradu osobnih podataka? Nije prihvaćen privola je potrebna za osobe i oblike obrade osobnih podataka koje nisu obuhvaćene člankom 9. Zakona o vatrogastvu.
12 JUG PULJIZEVIĆ VIII. OBRADA OSOBNIH PODATAKA, Članak 47. Da li se i ovi podaci čuvaju trajno? Prihvaćen Uvršten novi članak
13 JUG PULJIZEVIĆ VIII. OBRADA OSOBNIH PODATAKA, Članak 48. Kako je dužan osigurati brisanje kada se podaci čuvaju trajno? Počevši od privole, pa dalje? Nadalje, Europski odbor za zaštitu podataka (EDPB) u smjernicama o privoli, obrađuje i temu međudjelovanja privole i drugih pravnih temelja pa tako navodi: "U članku 6. GDPR-a utvrđeni su uvjeti zakonite obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu. Važno je napomenuti da ako voditelj obrade odluči pozvati se na privolu za bilo koji dio obrade, mora biti spreman pridržavati se te odluke i zaustaviti taj dio obrade ako ispitanik povuče privolu. Slanje poruke o tome da će se podaci obrađivati na temelju privole, uz istodobno pozivanje na neku drugu zakonitu osnovu, bilo bi u osnovi nepošteno prema pojedincima. Drugim riječima, voditelj obrade ne može zamijeniti privolu drugom zakonitom osnovom. Na primjer, nije dopušteno naknadno upotrijebiti osnovu legitimnog interesa kako bi se opravdala obrada ako je bilo problema s valjanošću privole. Zbog obveznog navođenja zakonite osnove na koju se poziva voditelj obrade u trenutku prikupljanja osobnih podataka, voditelji obrade moraju prije prikupljanja donijeti odluku o primjenjivoj zakonitoj osnovi." Jedino na taj način ovakav članak može biti valjan (između ostalog, u ovim situacijama koristi evidencija aktivnosti obrade). Prihvaćen uvršten je novi članak koji dodatno uređuje materiju
14 JUG PULJIZEVIĆ XI. OGRANIČENJE I ISKLJUČENJE ODGOVORNOSTI, Članak 64. Ovaj članak je upitan jer se voditelj obrade osobnih podataka ne može izuzeti od odgovornosti npr. povrede osobnih podataka putem elektroničke pošte. Prihvaćen brisan članak