HR kontroluju vstupny formular, skenuj doklad a maju na minitore vyplneny formular, rady na vstupe do HR sa tvoria preto, ze nie vsetci maju formular vyplneny ak by mali, tak kontrola auta so 4 osobami je 20 sekund.
Ja som len pisal svoju osobnu skusenost z 1. 7. 2021 okolo obeda. Schvalne som tam uviedol aj konkretny datum, nakolko situacia sa moze zo dna na den zmenit. A mozno som mal len stastie na nejaky ich “lucky hour”, kedze neboli ziadne kontroly a tym padom ani ziadne kolony.
ak sa vratim k povodnej teme, aky je presne problem s google captcha? ziadne tegistracne udaje nejdu predsa mimo, je to realny problem alebo len extremna poziadavka?
Sluzbu Google reCAPTCHA uz riesim v separatnom vlakne. Tu som chcel primarne riesit inu problematiku, tak skusme s tymto pokracovat tam. Dakujem.
čo sa týka HR formuláru, ak dáte aj vymyslený mail aj tel.číslo tak sa nič nedeje, ten formulár si viete po odoslaní stiahnuť priamo z webu, kedže tam Vám zostane.
Ako som spomínal, vysvetlila mi to pani v chorvátsku, že ak by v danej lokalite, kam ste sa nahlásil že idete, vyskytla choroba napr. COVID, aby Vás notifikovali. to je všetko
rovnako 1-6.7. - cesta SK-HR cez H a späť v noci, uplne žiadne kontroly, len slovinci si preskenovali pasy aj tam aj späť, asi kvôli deťom. hranica madarsko nebol ani nikto v budke, sme prešli 40km/h a rovnako, chorvátska nikto nebol v budke, rýchlosť 40km/h. Rovnako tam a rovnako späť.
Nikde od nás počas celeho výletu nikto nechcel žiadne potvrdenia, žiadne registrácie, žiadne testy … proste sa tešili, že tam ľudia prišli. Nevideli sme jediného policajta, ľudia v rúškach len v obchodoch… proste iný svet, jediné potvrdenie, čo všade radi videli boli tie farebné - kuna alebo evráče 
Dnes konecne prisla nejaka zmysluplna odpoved z chorvatskeho ministerstva, kde narozdiel od toho, co uvadzaju pri formulari:
I agree that my data and information, which I have entered in the form, may be used for the purpose of announcing arrival in the Republic of Croatia, as well as for sending information regarding health care measures, and in the event that an epidemiologist needs to be contacted.
Tak priznali, ze poskytnute udaje uchovavaju po dobu 5 rokov (logicky by som cakal, ze na avizovany ucel ich zmazu 2 tyzdne po ohlasenom odchode, alebo kludne az po mesiaci … ale 5 rokov?) a zdielaju ich s dalsimi 4 instituciami na zaklade ich zakonov, ktore nikde pri tom formulari linkovane neboli (a aj keby boli, tak nam moc nepomozu, lebo su v chorvatstine … ale hlavne, ze predmetny formular je aj v EN aj v SK). Ale tak myslim si, ze to mozme zahrnut pod formulku: “Neznalost zakona neospravedlnuje”.
A mame tu ockovaciu loteriu, ktora je podmienena poskytnutim tel. cisla a e-mailovej adresy. Tymto podmienenim vylucili z loterie cele skupiny obyvatelstva, ktore sa tiez svojimi danami zlozili na vyhry.
Tak nam casom vyplavalo na povrch, ze ten shadow profil je vlastne samotne e-zdravie. Co mam na sebe odsledovane, tak moje prve udaje (tel. cislo a e-mailova adresa) sa tam dostali pravdepodobne uz z MOM (AG testovanie), kde som ale o nicom takomto nebol informovany a ani som neudelil ziaden suhlas. Vychadzam z toho, ze tieto udaje som poskytol MOM (za ucelom dorucenia vysledku a nicoho ineho) a nasledne o par dni som si stiahol DGC, kde po vyplneni tel. cisla a potvrdeni jednej 2FA, mi uz formular predvyplnil moju e-mailovu adresu do druhej 2FA (alebo naopak, uz si presne nepamatam, ktory udaj sa zadava ako prvy). Otazne ale je, ci tento postup bol definovany aj v nejakej vyhlaske alebo to bola len proaktivita zo strany UVZ SR alebo NCZI, rovnako ako pri e-hranici.
Hodim sem este update na pobavenie za tych cca. 6-7 tyzdnov, odkedy som zacal riesit odstranenie udajov v rozsahu tel. cislo a e-mailova adresa poskytnutych v ramci korona formularov.
- Na callcentrum NCZI sa nebolo mozne dovolat (zaciatok jula 2021).
- Podla info z callcentra UVZ SR, e-hranicu (v tej dobe som riesil len nespravne poslany e-mail - k dobrovolnej, resp. dobrovolne-nasilu 14-dnovej karantene mi doslo predvolanie na PCR testovanie) riesi RUVZ SR BA a dostal som tel. kontakt tam.
- Na RUVZ SR BA sa nebolo mozne dovolat.
- Podla odpovede od DPO z RUVZ SR BA, e-hranicu riesi MIRRI (zaujimave, ze v ramci ziadnych mnou udelenych suhlasov, nikde MIRRI nefigurovalo).
- Podla odpovede od DPO z MIRRI, e-hranicu v zmysle GDPR riesi NCZI. MIRRI riesi e-hranicu v zmysle ITVS.
- Podla odpovede od DPO z NCZI, sice oni maju tie udaje, ale podla zmluvy tieto udaje patria UVZ SR, cize sa treba obratit na nich.
Tym sa kruh prehadzovania zodpovednosti a nekompetentnosti uzavrel, ale DPO z UVZ SR je naozaj kompetentny konat - teda len v pripade, ak by chcel chranit zaujmy dotknutych osob, co by malo byt jeho ulohou v danej pozicii.
Podla odpovede od DPO z UVZ SR k mojej ziadosti v zmysle GDPR:
- Podla cl. 16, mi nevykonaju upravu/opravu/aktualizaciu tel. cisla a e-mailovej adresy na prazdny textovy retazec, nakolko nie su opravneny tieto udaje vymazat (to je pri tomto clanku pravda, ale nikto to tu ani nepozadoval), anonymizovat (tiez nikto nepozadoval) a ani ich nahradit za prazdny textovy retazec. Aky udaj ma mat obcan uvedeny, ak nim nedisponuje? Naivne som predpokladal, ze prazdny textovy retazec bude dostatocne vystizny, ale mozno som mal pozadovat zmenu na
NULLalebopostmaster@localhosta+421900000000. - Podla cl. 17, mi tel. cislo a e-mailovu adresu neodstrania, nakolko nebol splneny dovod v zmysle tohto clanku (ale on bol splneny a hned prvy, kedze udaje uz nie su potrebne na ucel, na ktory boli poskytnute - dorucenie vysledku AG testovania z MOM, dorucenie DGC a dorucenie potvrdenia z e-hranice - co bolo vymenovane o 2 riadky nizsie) a ich spracuvanie sa vykonava na splnenie zakonnej povinnosti alebo na splnenie ulohy realizovanej vo verejnom zaujme alebo pri vykone verejnej moci zverenej prevadzkovatelovi, ako aj z dovodov verejneho zaujmu v oblasti verejneho zdravia. Zaverom to cele zhrnuli pod vynimku z vymazu.
- Podla cl. 18, mi neobmedzia spracuvanie tel. cisla a e-mailovej adresy, nakolko nahradenie udajov prazdnym textovym retazcom pre nich nepredstavuje relevantnu poziadavku. Navyse spracuvanie nebolo vyslovene za protizakonne (technicky to je asi pravda, ale diskutabilne je pozadovat vyplnenie formularu s poskytnutim udajov, ktorymi obcan SR ani nemusi disponovat a v pripade ak formular nevyplni, tak mu hrozit pokutou), je vykonavane v medziach pravnych predpisov a vo verejnom zaujme v oblasti verejneho zdravotnictva.
Proaktivne som este skusil prostrednictvom tohto formularu udaje zmenit. Zial nejdu zmenit na prazdny textovy retazec, nakolko je to nevalidny format. Opat, aky udaj ma mat obcan uvedeny, ak nim nedisponuje? Navyse je tam captcha, ktora je opat implementovana v rozpore s podmienkami danej sluzby.
Cize cele by som to mohol zhrnut asi tak, ze na jednoduchu poziadavku na odstranenie udajov, ktorymi ja ako obcan SR ani nemusim disponovat, odpovedali stylom, ze nechceme a nemusime lebo verejny zaujem, resp. vynimka, dovidenia. Skusil som este dalej komunikovat s osobou, ktora bola mojej ziadosti pridelena, ale tato komunikacia taktiez nikam neviedla a to aj napriek tomu, ze som vyjadril svoj explicitny nesuhlas so spracuvanim tychto udajov zo strany UVZ SR ako aj NCZI. Tak si idem pripravovat podnet este aj pre UOOU, ale tam ocakavam rovnake zdovodnenie, resp. potvrdenie vyjadrenia UVZ SR.
Osobne nevidim logicky dovod, preco by UVZ SR mal evidovat tieto udaje, ktore dosli z roznych (neoverenych) zdrojov a to navyse bez vedomia a explicitneho suhlasu obcana. Jedine, co v sucasnom stave vie UVZ SR preukazat je to, ze v danom casovom okamihu mal obcan pravdepodobne pristup k danemu tel. cislu, resp. e-mailovej adrese (a vlastne pri e-hranici nevie ani to, lebo zadat tam mohol ktokolvek cokolvek a tieto udaje sa dalej neoverovali). To ale nic nevypoveda o tom, ci k nim bude mat obcan pristup aj v buducnosti. Navyse UVZ SR uz vobec nema ako preukazat vlastnicke vztahy daneho obcana k danej SIM karte s priradenym konkrentnym tel. cislom alebo k e-mailovej adrese (ak chce tvrdit, ze patria nejakemu obcanovi). Tym padom, vsetky tieto uz nazbierane udaje su im v praxi uplne na nic. Sice mozu skusat napr. na to tel. cislo volat, ale jednak obcan nemusi zdvihnut nezname cislo, jednak obcan nemusi mat zaujem tymto sposobom komunikovat, jednak obcan nemusi potvrdit totoznost volaneho a jednak ani neexistuje mechanizmus, akym by volajuci vedel volanemu preukazat, ze je naozaj tym, za koho sa vydava - co v pripade napr. listinnej formy (doporuceny list na adresu trvaleho pobytu obcana) je uz davno vyriesene (peciatka, podpis, prideleny identifikator, ktory si je mozne u danej institucie overit, atd.). Tym sa opat dostavame k myslienke tohto vlakna a to, ze ak stat pozaduje tieto udaje po obcanoch, mal by im ich poskytnut a tym padom by aj sam garantoval, ze su v case nemenne a v kazdom alebo danom casovom okamihu prisluchaju tej-ktorej konkretnej osobe. V opacnom pripade (sucasny stav) si UVZ SR bude musiet pred kazdou interakciou overovat, ci dany udaj poskytnuty v minulosti je stale platny. Ale v takomto pripade mi unika cela pointa, preco tieto udaje ukladat. Vlastne by to malo byt aj v zaujme UVZ SR, aby vedeli preukazat, ze sprava bola dorucena, co narozdiel od listinnej formy, pri SMS alebo e-maile dokazat nevedia. Jediny legitimny dovod (aj ked osobne s nim nesuhlasim) vidim v trasovani tel. cisiel prichadzajucich zo zahranicia. Ale cisto pre tento ucel by im stacil len kontrolny sucet tel. cisla. To ale opat naraza na problem, ze UVZ SR nema ako preukazat vztah medzi tel. cislom, resp. jeho kontrolnym suctom a samotnym obcanom.
Slovensko ako take ma este velmi dlhu cestu k uspesnej digitalizacii sluzieb statu, ale ocividne niektore statne institucie tento stav nerespektuju a idu si svoje.
Este na zaver. Obdobna ziadost v zmysle GDPR sla aj do Chorvatska, kde im ale nestacil (resp. asi ho ani nepotrebovali) notarsky overeny podpis (so vsetkymi potrebnymi udajmi z OP). Pozadovali len (neovereny) sken OP. Odvtedy ubehli cca. 2-3 tyzdne, ale zatial nic nenasvedcuje tomu, ze by mojej ziadosti nebolo vyhovene (stale je v procese). Mozno ale este prekvapia podobne ako UVZ SR.
Toto mi nesedí
- Keď unikli hromadné dáta, tak sa NCZI ponáhľalo s tvrdením, že to nebolo z eZdravie.
- NCZI tvrdí že si tie aplikácie vytvorili internými kapacitami
- V EZKO tie údaje nevidím.
- V EZKO nevidím v zurnali prístupy ku tým údajom.
Ale zároveň @milosm našiel faktúru od Asseco, ktoré má zmluvu na podporu eZdravie :
Ja mám rovnakú skúsenosť. Zaevidovala ma MOM s nezmyselnými údajmi a ja som to zistil až keď sa mi nepodarilo registrovať do eHranica a musel som volať Call-Centum kvôli oprave.
Citujem odpoved od DPO z RUVZ SR BA:
K obidvom moznostiam ziskania a dalsieho spracuvania osobnych udajov si dovolujem uviest nasledujuce vysvetlenie:
Antigenove testovanie / web aplikacia ezdravie:
V zmysle nariadenia GDPR prevadzkovatelom informacneho systemu formou aplikacie ezdravie, v ktorej su spracuvane osobne udaje testovanych osob, je Narodne centrum zdravotnickych informacii Slovenskej republiky. Dotknutymi osobami su osoby, ktore boli testovane na pritomnost koronavirusu SARS-Cov-2 na odberovych miestach. Svoje osobne udaje poskytli, resp. doposial nadalej poskytuju bud priamo v odbernom mieste alebo v aplikacii ezdravie na adrese (Požiadať o vyšetrenie na COVID-19 - Moje eZdravie - ezdravie), v pripade ze sa rozhodli objednat sa na testovanie prostrednictvom tejto aplikacie.Registracia v aplikacii ehranica (eHranica - registrácia pri príchode zo zahraničia - Koronavírus a Slovensko):
Prevadzkovatelom tejto sluzby a sucasne prevadzkovatelom v zmysle nariadenia GDPR je Ministerstvo investicii, regionalneho rozvoja a informatizacie Slovenskej republiky. Dotknute osoby zadavaju do elektronickeho formulara svoje osobne udaje pri prichode zo zahranicia na uzemie Slovenskej republiky.RUVZ nie je prevadzkovatelom ani jedneho z dvoch vyssie uvedenych informacnych systemov.
Citujem odpoved od DPO z NCZI:
NCZI ako sprostredkovatel v zmysle Zmluvy o spracuvani osobnych udajov uzatvorenej v sulade s cl. 28 GDPR s Uradom verejneho zdravotnictva Slovenskej republiky (dalej aj len “UVZSR”) v mene UVZSR spracuva osobne udaje o Vasej osobe v aplikacii “Moje ezdravie”.
Blizsie informacie k spracuvaniu tychto osobnych udajov zo strany UVZSR ako prevadzkovatela najdete v ramci plnenia informacnych povinnosti UVZSR na webovej stranke www.uvzsr.sk. Pre pripadne detailnejsie informacie ohladne tohto spracuvania odporucame kontaktovat priamo zodpovednu osobu UVZSR.
Osobne netusim, ci to je priamo sucastou e-zdravia, kedze s prihliadnutim na to ako zivelne sa riesili vyhlasky, tak je dost mozne, ze vyhlasku napasovali tak, aby sadla pre NCZI, pricom formalne to zahrnuli pod e-zdravie. Ale to je cisto len moja fabulacia. Vyjadrenie od DPO je vyssie, nazor si kazdy moze urobit sam.
Predpokladam, ze tam tie udaje z MOM naimportovali vsetky k nejakemu datumu a tie, kde chybali tieto kontaktne udaje, tam pouzili len nejake dummy udaje o ktorych vedeli, ze su nevalidne. Nasledne predpokladam, ze pri kazdej interakcii obcana tieto udaje tajne aktualizovali bez informovania obcana o tejto funkcii. Co by aj korespondovalo s vyjadrenim aktualneho sefa NCZI, ked tuto funkciu po medializacii vypli a tym znizili komfort obcanov (nech uz pod tym aktualny sef NCZI myslel cokolvek). Ako mozme vidiet na Vasom pripade, znizil sa az tak, ze e-hranica bola v takomto pripade nepouzitelna. Posledna vec co chce obcan na dovolenke pred odjazdom riesit, je vyvolavat zo zahranicia do NCZI (na spoplatnene cislo) a dufat, ze mu to niekto v dohladnej dobe zodvihne. Udajne uz ide e-hranica vyplnit aj dopredu, ale ked som to potreboval ja (zaciatok jula), tak to este neslo.
Cela tato situacia je absurdna, ak sa tam dostali udaje, o ktorych obcan ani nevedel. Ked si pozrieme napr. aktualne FAQ k RT-PCR testovaniu, tak sa tam uvadza:
V prípade pozitívneho výsledku vždy kontaktuje pacienta lekár alebo hygienik. … E-mail rovnako ako aj SMS o pozitívnom výsledku nie sú zasielané NCZI (Národné centrum zdravotníckych informácii).
Obcan ale nemusi pri testovani tieto udaje poskytnut, resp. nemusi nimi vobec disponovat a je celkom mozne, ze odosielatel ich obdrzi od NCZI vo forme udajov, ktore sa u nich nejako vyskytli. Problemom ale je, ze to nemusia byt vobec udaje predmetneho obcana. Rovnako je problemom aj to, ze pri SMS nevedia garantovat dorucitelnost a ani ju preukazat. Pri e-maile sa da vycitat z logov mailservera odosielatela, ci mailserver prijimatela tu spravu prijal (co pochybujem, ze nejako automatizovane robia s kazdym jednym e-mailom) - co ale tiez este neznamena, ze sprava bola dorucena aj do schranky uzivatela/obcana, kedze ju moze zachytit este aj antispam alebo uzivatelsky filter, ktory ju posle priamo do /dev/null. Osobne netusim, ci nieco podobne ide dokazat aj pri SMS (predpokladam, ze nie z pozicie odosielatela, mozno len z pozicie operatora, k comu by bol nutny sudny prikaz), ale stale uzivatel moze pouzivat aj nejake antispam riesenie na filtrovanie SMS napr. len od znamych cisiel a rovnako aj hovorov. Nic z toho nie je v ramci nasej legislativy nelegalne, resp. trestne. Cize realne sa k tym vysledkom cez tieto 2 kanaly obcan nemusi dostat (ano, spominaju tam este tel. kontakt na callcentrum NCZI, ale obcan nemusi mat ani telefon, resp. telefon moze mat a fungovat cisto len na Wi-Fi bez SIM karty). A tak kludne moze obcan behat po vonku a nevedomky roznasat virus (netusim aka je sucasna vyhlaska, ci sa povinna karantena vztahuje len na osoby prichadzajuce zo zahranicia alebo na kompletne vsetkych testovanych). Alebo budu len osoby, s ktorymi bol v kontakte behat po vonku a nevedomky roznasat virus ony. Vsak tu by uz bolo mozne tvrdit, ze Urad verejneho zdravotnictva SR sam svojim zvolenym riesenim ohrozuje verejne zdravie.
eZdravie a Moje eZdravie sú dva rôzne systémy a úradníci ich zamieňajú podľa toho ako sa im to aktuálne hodí.
DPO na UVZ dáva od toho ruky preč a tvrdí, že prevádzkovateľom Moje eZdravie je NCZI a eHranica je MIRRI. NCZI tvrdí že oni sú iba spracovateľom.
Keď som sa pýtal (cez zak. 211) na základe ktorého zákona NCZI prevádzkuje systém pre DGC, tak prišla takáto odpoveď
Podľa § 60 zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 355/2007 Z. z.“) informačné systémy, informačnú bezpečnosť a ochranu osobných údajov utvárajú a prevádzkujú orgány verejného zdravotníctva.
Podľa § 5 ods. 4 písm. au) zákona č. 355/2007 Z. z. Úrad verejného zdravotníctva Slovenskej republiky poskytuje alebo sprístupňuje Národnému centru zdravotníckych informácií údaje zo svojho informačného systému.
To by znamenalo, že prevádzkovateľom “Moje eZdravie” je UVZ.
V ďalšej otázke som sa pýtal na základe akého zákona poskytuje NCZI údaje DGC pre poisťovne :
Podľa § 3 ods. 2 písm. y) zákona č. 153/2013 Z. z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 153/2013 Z. z.“) Národné centrum zdravotníckych informácií pri správe údajovej základne používa údaje z informačných systémov používaných Úradom verejného zdravotníctva Slovenskej republiky, ak ide o údaje súvisiace s ochorením COVID-19.
Podľa § 12 ods. 7 písm. c) zákona č. 153/2013 Z. z. Národné centrum zdravotníckych informácií sprístupňuje elektronicky digitálny COVID preukaz EÚ poistenca príslušnej zdravotnej poisťovni, na účely sprístupnenia digitálneho COVID preukazu EÚ poistencovi.
Do tej vágnej definície pri správe udajovej zakladne asi mysleli, že môžu extrahovať údaje zo systémov UVZ ( zak 355/2007 ) do “veľkého” eZdravie ( zak 153/2013 )
Toto však nepokrýva eHranica, kde je prevádzkovateľom MIRRI.
Ja si skôr myslím, že ide o jeden systém ( spoločná databáza ) do ktorého stále nalievajú údaje z MOM, občania pri registrácii na testovanie alebo cez eHranica.
Takze tu mame 2 systemy s takmer totoznym nazvom. Ja sa v tejto zdravotnickej oblasti nepohybujem, takze viac-menej nic o tom ani neviem. Jedine, co som chcel docielit bolo, aby tieto udaje po splneni ucelu, pre ktory im boli poskytnute, jednoducho odstranili. Ak by sa tie formulare dali vyuzit aj bez poskytnutia tychto udajov, tak by som nic riesit nemusel.
Ja som jeden z tych, ktory si cita podmienky pred tym ako udeli nejaky suhlas. Pamatam si, ze vsade bolo UVZ SR ako prevadzkovatel a NCZI ako sprostredkovatel, pricom nikde MIRRI nevystupovalo. Resp. ak si pozrieme e-hranicu - Poučenie o ochrane osobných údajov - Koronavírus a Slovensko, tak je tam opat UVZ SR ako prevadzkovatel a NCZI ako sprostredkovatel, ale v paticke webu je ako prevadzkovatel uvedene MIRRI. Toto mi hlava nebrala, ako moze mat jeden web dvoch roznych prevadzkovatelov a preto som sa obratil s touto otazkou na DPO z MIRRI.
Citujem odpoved od DPO z MIRRI:
Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (ďalej len “MIRRI”) nie je v tomto prípade prevádzkovateľom v zmysle GDPR, ale je prevádzkovateľom elektronickej služby v zmysle ITVS (podľa § 2 ods. 6 Zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov), preto MIRRI na žiadnom mieste vo formulári, s ktorým ste vyjadrili súhlas, nefiguruje.
Preto platí, že:
NCZI = prevádzkovateľ v zmysle GDPR,
MIRRI = prevádzkovateľ v zmysle ITVS.MIRRI nemá prístup k Vašim osobným údajom, ktoré ste zadávali vo formulári e-hranica, pretože MIRRI zastrešuje iba zobrazenie formulára na korona.gov.sk, nie jeho obsah alebo údaje do neho zadávané.
A nasledne ma DPO z NCZI nasmeroval na UVZ SR. Cele to je zbytocne domotane.
Takže ten formulár do ktorého som zadal osobné údaje síce prevádzkuje MIRRI, ale zároveň ten formulár o tých údajoch nevie nič. A tomuto mám veriť lebo tuto axiomu povedal nejaký DPO…
Domotane je to úmyselne alebo omylom ? Pretože v tomto prípade si horúci zemiak zodpovednosti prehadzujú UVZ, NCZI a MIRRI.
Môj názor je, že zodpovedným prevádzkovateľom podľa zákona je v tomto prípade UVZ ( ktoré už možno aj ľutuje že si najali NCZI ako sprostredkovateľa )
Ja si o tom tiez myslim svoje.
Este davnejsie som nahlasoval DPO od NCZI (a vlastne aj UOOU, ale odpoved ziadna a to bolo este v aprili) neopravnene spracuvanie udajov v registracnom formulari na ockovanie (drzia si na serveri session s komplet vsetkymi udajmi z formularu a to bez potrebneho suhlasu - ten sa ziskava az v poslednom kroku procesu, pricom ak si prenesiem danu session cookie do ineho browsera, tak sa mi objavi vyplneny formular). Podla vyjadrenia DPO od NCZI, tento formular vytvaralo MIRRI a dostal od nich nasledujuce vyjadrenie k tomu, co som nahlasil:
Počas vyplnenia formulára nedochádza k priebežnému spracovaniu o čom svedčí aj to, že pokiaľ si klient registráciu nedokončil tak sa informácie nikam neukladajú a tým ani nespracúvajú. Sú len na obrazovke konkrétneho používateľa.
Tou poslednou vetou som stratil nadej to dalej s nimi riesit.
Tak dnes prisla oficialna odpoved z Chorvatska - udaje su zmazane.
Moj update:
Poslal som v septembri podnet UOOU na preverenie rozhodnutia UVZ SR. Do dnesneho dna som bez odpovede. Navyse som sa snazil s UOOU riesit aj problem, ze mi od nich nechodia automaticke e-mailove potvrdenia o prijati podnetu. Lenze na ich stranke som nasiel len jediny technicky kontakt - webmaster (postmaster nikde uvedeny nebol), kam som teda smeroval moju staznost. Odpoved mi prisla z e-mailu, na ktory sa posielaju podnety ako odpoved na moj podnet a aj to len s textom, ze e-mail obdrzali a mala mi prist automaticka odpoved. Vobec nebrali do uvahy informacie, ktore som im poskytol - a to, ze moj poskytoval e-mailovych sluzieb v danom casovom ramci vobec neeviduje ziadnu prichodziu komunikaciu z ich strany prisluchajucu k mojmu e-mailovemu kontu a teda, ze problem bude najskor na ich strane. Na moju odpoved, kde som sa opakoval, ze sa nejedna o jednorazovy problem/anomaliu uz neodpovedali aj ked som ich ziadal o posunutie tohto problemu na ich IT oddelenie.
Cize rovno priklad z praxe, aka spolahliva je e-mailova komunikacia a aka je vola/schopnost nasich institucii vzniknute problemy na svojej strane riesit.
1 Like
Dalsi update:
Dnes (po takmer 4 mesiacoch) mi prislo vyjadrenie z UOOU k mojmu podnetu na preverenie/presetrenie rozhodnutia UVZ SR s tym, ze oni s danou vecou nic nemaju a mam sa s tym obratit na UVZ SR alebo NCZI. Cize podla UOOU si rozhodnutie UVZ SR ma preverit/presetrit sam UVZ SR (NCZI s tym nic nespravi, nakolko data patria UVZ SR a nie im). Facepalm.
1 Like
Môžete sem prosím nahrať túto odpoveď ÚOOÚ?
Odpoved od UOOU (7. 1. 2022):
Dobrý deň pán Findl,
žiaľ, Úrad na ochranu osobných údajov nemá s danou vecou nič spoločné. S Vašou požiadavkou prosím kontaktujte priamo UVZSR prípadne NCZI.
[kilometrovy podpis]
Moj podnet (16. 9. 2021):
Dobry den,
chcel by som poziadat o preverenie rozhodnutia UVZSR k mojej ziadosti v zmysle nariadenia GDPR vedenou pod znackou [censored] (zial nedisponujem digitalnou verziou tohto dokumentu).
Ziadost sa tykala obmedzenia spracuvania mojich udajov len na udaje, ktorymi musim ako obcan SR disponovat - v zasade mnozina udajov rovna alebo mensia mnozine udajov uvedenych na obcianskom preukaze. To znamena odstranenie udajov, ktorymi nemusim ako obcan SR vobec disponovat - teda v mojom pripade, udaje v rozsahu e-mailova adresa a telefonne cislo, ktore su v SR komercnymi sluzbami a obcan SR nie je viazany ziadnym zakonom alebo nariadenim nimi disponovat.
V navaznosti na danu ziadost, prebehla este kratka e-mailova komunikacia, kde mi aj napriek explicitne vyjadrenemu nesuhlasu so spracuvanim udajov v danom rozsahu zo strany UVZSR ako aj NCZI nebolo vyhovene.
Tieto udaje boli UVZSR a NCZI poskytnute pri:
- AG testovani - za ucelom dorucenia vysledku testu,
- vydani digitalneho COVID preukazu EU - za ucelom jeho dorucenia,
- registracii do e-hranice - za ucelom dorucenia potvrdenia o registracii.
Mam za to, ze pre dane ucely tieto udaje uz nie je nutne nadalej uchovavat a spracuvavat danymi instituciami.
Vopred dakujem za preverenie mojej ziadosti,
s pozdravom Oliver Findl