Pravilnik o zasebnosti — Terenska beležnica

Aplikacija: Terenska beležnica (Android applicationId: si.terenska.beleznica)
Izdajatelj v Trgovini Google Play: Alittis
Kontakt razvijalca: admin@alittis.com
Upravljavec osebnih podatkov (NarcIS): Agencija Republike Slovenije za okolje (ARSO)
Kontakt ARSO za NarcIS: narcis.arso@gov.si
Začetek veljavnosti: 28. april 2026
Zadnja sprememba: 20. maj 2026

Terenska beležnica je mobilna aplikacija za zaposlene in pooblaščene zunanje sodelavce naravovarstvenih nadzornih služb. Omogoča zajem opažanj na terenu (motnje, posegi, opazovanja) in beleženje obhodov — tj. neprekinjenih GPS-sledi terenskih obhodov — ter njihovo pošiljanje v centralno bazo NarcIS. Aplikacija ne gre v javno uporabo: do nje dostopajo samo uporabniki, ki jim je v sistemu NarcIS dodeljena vloga TERENSKA-BELEZNICA. Ta dokument opisuje, katere osebne podatke aplikacija obdeluje, zakaj in komu se posredujejo.

1. Povzetek

• Aplikacija deluje kot odjemalec sistema NarcIS, ki ga upravlja Agencija Republike Slovenije za okolje (ARSO). ARSO je upravljavec vseh osebnih podatkov, ki jih uporabnik vnese in pošlje preko aplikacije.
• Aplikacija prenaša naslednje vrste podatkov na strežnik NarcIS: e-poštni naslov uporabnika, lokacijo (GPS-koordinate) opažanj in obhodov, fotografije s kamere, prosta besedila (opis, imena opazovalcev, ukrepanje, pravna podlaga, status obravnave, predlagana vrsta motnje, naziv in zapiski obhoda) ter čase opazovanj.
• Geslo se prenaša samo v okviru avtentikacije preko šifrirane povezave HTTPS in ni nikoli shranjeno v jasnem besedilu, ne v napravi ne na strežniku.
• Aplikacija nima oglasov, analitičnih SDK-jev, beleženja zrušitev preko zunanjih storitev, niti ne uporablja oglaševalskih identifikatorjev.

2. Vrste podatkov, ki jih aplikacija obdeluje

2.1 Prijava: e-poštni naslov in geslo

• Namen: avtentikacija proti sistemu NarcIS in preverjanje, ali ima uporabnik dodeljeno vlogo TERENSKA-BELEZNICA.
• Pošiljanje: ob prijavi se par e-pošta:geslo kodira (Base64) in pošlje v glavi X-Narcis-Auth: Basic preko šifriranega protokola HTTPS na https://narcis.gov.si/ords/narcis/app-auth/login. Ta isti glavi se pošlje pri vsakem klicu zalednih storitev (sinhronizacija zapisov in obhodov).
• Hramba na strežniku: ARSO hrani uporabnikov e-poštni naslov v sistemu NarcIS in ga zabeleži kot avtorja vsakega ustvarjenega zapisa (motnje, obhoda, fotografije).
• Hramba v napravi: po uspešni spletni prijavi aplikacija v varnem ključavnik-pomnilniku operacijskega sistema (iOS Keychain, Android Keystore preko flutter_secure_storage) shrani:
  • e-poštni naslov (jasno besedilo);
  • kriptografski izvleček gesla (PBKDF2-HMAC-SHA256, 100.000 iteracij, 32-bajtna naključna sol) — jasnega gesla aplikacija nikoli ne shrani na disk;
  • časovni žig zadnje uspešne spletne prijave.
  Izvleček omogoča prijavo brez omrežja v obdobju do 14 dni od zadnje spletne prijave (poznejši poskus prijave brez omrežja je zavrnjen, dokler se uporabnik ponovno prijavi spletno).
• Sinhronizacija po prijavi: dokler je uporabnik prijavljen v aktivni seji, aplikacija geslo hrani samo v pomnilniku — potrebno je za vsak naslednji klic do zalednih storitev (preverjanje pravice na zapisu izvaja strežnik, ne odjemalec). Ob odjavi, izhodu iz aplikacije ali odgovoru HTTP 401 se geslo iz pomnilnika izbriše in lokalni izvleček (PBKDF2) se izbriše iz varnega ključavnik-pomnilnika.
• Avtomatsko izpolnjevanje gesla: aplikacija ob uspešni prijavi pokliče sistemski mehanizem za izpolnjevanje gesel (Google Password Manager v Androidu, iCloud Keychain v sistemu iOS) in ponudi shranjevanje gesla. To je sistemska funkcionalnost, ki je neodvisna od aplikacije; uporabnik lahko ponudbo zavrne ali shrani.

2.2 Lokacija naprave (GPS)

• Uporabljena dovoljenja Android: ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, FOREGROUND_SERVICE, FOREGROUND_SERVICE_LOCATION, WAKE_LOCK.
• Aplikacija NE deklarira dovoljenja ACCESS_BACKGROUND_LOCATION. Lokacijska sled v ozadju se zajema samo v okviru ospredne storitve (foreground service) tipa location, ki teče med aktivnim obhodom; ko obhod ni aktiven, aplikacija ne dostopa do lokacije v ozadju.
• Namen: geokodiranje opažanj (zemljepisna širina/dolžina ob trenutku opazovanja), neprekinjeno beleženje sledi obhoda, prikaz uporabnikovega položaja na zemljevidu in usredinjenje karte.
• Pošiljanje: koordinate so sestavni del podatkov o motnji oz. obhodu, ki se pošljejo na strežnik NarcIS pri sinhronizaciji. Pri zapisih o motnjah se pošljejo: zemljepisna širina, dolžina, oznaka natančnosti (Natančna ali Približna) in čas opazovanja. Pri obhodih se pošlje celotna sled točk (zemljepisna širina, dolžina, čas zajema, ocena natančnosti v metrih) skupaj z začetnim in končnim časom obhoda.
• Beleženje obhoda v ospredni storitvi: ko uporabnik začne obhod, aplikacija zažene ospredno storitev tipa location z vidnim sistemskim obvestilom (kanal «Beleženje obhoda»). Storitev neprekinjeno bere lokacijo (filter razdalje 5 m) in jo shranjuje v lokalni datoteki, dokler uporabnik obhoda ne zaključi ali zavrže. Točke s slabo natančnostjo (> 50 m), zastarele meritve in nerealistične hitrosti se zavrnejo.
• Hramba v napravi: trenutni aktivni obhod se sproti zapisuje v datoteko active_walk.json v zaprtem prostoru aplikacije, da se podatki ohranijo, če operacijski sistem zruši aplikacijo. Zaključeni obhodi pred sinhronizacijo so v lokalnem JSON-zapisu, dokler niso uspešno preneseni na strežnik. Lokalni zapisi se izbrišejo ob odjavi.
• Zadnji položaj zemljevida: da se zemljevid ob naslednjem zagonu ne odpre na privzetem prikazu Slovenije, aplikacija lokalno hrani zadnji prikazani center karte in stopnjo povečave (map_view.json). Ti podatki ne zapustijo naprave.

2.3 Fotografije in kamera

• Uporabljena dovoljenja Android: CAMERA, READ_MEDIA_IMAGES (Android 13+), READ_EXTERNAL_STORAGE (Android 12 in starejši).
• Namen: uporabnik lahko k zapisu o motnji pripne fotografijo, posneto skozi sistemski izbiralnik kamere.
• Stiskanje: pred shranjevanjem aplikacija fotografijo zmanjša (najdaljši rob 1600 px, kvaliteta JPEG 85), kar zniža velikost na pribl. 200–500 KB.
• Hramba v napravi: fotografija je shranjena v zaprtem prostoru aplikacije (disturbance_photos/<motnja_id>/<foto_id>.jpg), da preživi morebitno prekinitev sinhronizacije.
• Pošiljanje: pri sinhronizaciji se binarno telo fotografije naloži na strežnik NarcIS in pripne k zapisu o motnji. Strežnik fotografijo hrani kot BLOB v Oraclovi bazi (tabela TB_MOTNJE_FOTO). Fotografija je vidna samo uporabnikom, ki pripadajo isti organizaciji v sistemu NarcIS kot avtor zapisa.
• Najvišja velikost in vrste: sprejete vrste so image/jpeg, image/png, image/webp, image/heic; največja velikost ene fotografije je 10 MB.
• Aplikacija ne dostopa do galerije naprave: posnetke ustvarja izključno preko sistemskega izbiralnika kamere.

2.4 Prosto besedilo, ki ga vnese uporabnik

Pri zapisu motnje uporabnik prostovoljno vnese: opis dogodka, ime ali imena opazovalcev (prosto besedilo), morebitno predlagano vrsto motnje, oznako ukrepanja, pravno podlago za ukrepanje in status obravnave. Pri obhodu lahko vnese naziv in zapiske. Vsi ti vnosi se v okviru sinhronizacije pošljejo na strežnik NarcIS in tam hranijo skupaj z e-poštnim naslovom uporabnika kot avtorja zapisa.

• Imena opazovalcev: aplikacija polje obravnava kot prosto besedilo, ki ga vnese uporabnik. Prosimo uporabnike, naj v polje opazovalcev vnašajo le imena oseb, ki so seznanjene z namenom obdelave (terensko poročanje za potrebe nadzora) in se s tem strinjajo.

2.5 Sistemska obvestila in izjema iz optimizacije baterije

• Uporabljeno dovoljenje Android: POST_NOTIFICATIONS.
• Namen: prikaz obveznega sistemskega obvestila ospredne storitve med beleženjem obhoda. Vsebina obvestila je generirana v napravi; aplikacija ne uporablja tujih storitev za pošiljanje potisnih obvestil.
• Uporabljeno dovoljenje Android: REQUEST_IGNORE_BATTERY_OPTIMIZATIONS. Ob začetku obhoda lahko aplikacija odpre sistemsko pogovorno okno za izvzetje aplikacije iz agresivne optimizacije baterije. Brez izvzetja nekateri proizvajalci telefonov (npr. Samsung One UI, «Freecess») izklopijo ospredno storitev, kar prekine beleženje sledi. Uporabnik lahko izvzetje zavrne; aplikacija deluje, vendar storitev v ozadju lahko ustavi operacijski sistem.

2.6 Zemljevidne ploščice

• Aplikacija pridobiva ploščice osnovnega zemljevida iz OpenStreetMap (tile.openstreetmap.org) — privzeto.
• Uporabnik lahko v aplikaciji preklopi na satelitski sloj Esri ArcGIS Online (services.arcgisonline.com, sloja World_Imagery in World_Boundaries_and_Places).
• Pri vsakem zahtevku za ploščico ponudnik (OpenStreetMap oz. Esri) prejme naslov IP naprave, koordinate zahtevane ploščice, čas zahteve in identifikator User-Agent aplikacije (si.terenska.beleznica). Aplikacija v teh zahtevkih ne pošilja GPS-koordinat uporabnika niti njegovega e-poštnega naslova ali drugih osebnih podatkov.
• Za podrobnosti glede obdelave teh metapodatkov veljajo politike posameznega ponudnika.

2.7 Zgodovinski zapisi (samo prikaz)

• Aplikacija ima vgrajen samo-bralni zbir 703 zgodovinskih zapisov o motnjah (Notranjski regijski park, marec–avgust 2025), ki je shranjen kot statični JSON v paketu aplikacije.
• Slike teh zgodovinskih zapisov se nahajajo na nadzor.notranjski-park.si (WordPress); aplikacija jih naloži samo, ko uporabnik odpre podrobnosti posameznega zapisa, in se pri tem upravitelju te spletne strani razkrije naslov IP naprave (standardni HTTP zahtevek).
• Teh zapisov ni mogoče urejati, brisati, niti se ne pošiljajo nikamor.

3. Komu se podatki posredujejo

• Agencija Republike Slovenije za okolje (ARSO) — vsi podatki, ki jih uporabnik pošlje preko aplikacije (e-pošta, lokacija, fotografije, prosto besedilo, časi), se hranijo v sistemu NarcIS. ARSO je upravljavec teh podatkov.
• OpenStreetMap Foundation in Esri — pri zahtevkih za zemljevidne ploščice prejmeta naslov IP in podatke o zahtevku (glej § 2.6).
• Drugi naslovniki: aplikacija ne posreduje podatkov drugim tretjim osebam. V aplikaciji ni vgrajenih analitičnih SDK-jev, oglasov, beleženja zrušitev preko zunanjih storitev niti potisnih obvestil preko tretje storitve.

4. Pravna podlaga obdelave

Obdelava poteka v okviru zakonske naloge ARSO za vodenje sistema NarcIS in podporo terenskemu nadzoru. Podrobnejši opis pravne podlage in obsega obdelave je del pravilnika o zasebnosti, ki ga vodi ARSO; za vsa vprašanja o obdelavi in uveljavljanju pravic v zvezi s podatki, shranjenimi v sistemu NarcIS, prosimo, da pišete na narcis.arso@gov.si.

5. Pravice posameznikov (GDPR)

V skladu s Splošno uredbo o varstvu podatkov (GDPR) ima uporabnik kot posameznik, na katerega se nanašajo osebni podatki, naslednje pravice glede podatkov, shranjenih v sistemu NarcIS:

• pravico do dostopa do podatkov;
• pravico do popravka netočnih podatkov;
• pravico do izbrisa («pravica do pozabe») v okviru, ki ga dopušča zakonodaja;
• pravico do omejitve obdelave;
• pravico do ugovora obdelavi;
• pravico do prenosljivosti podatkov;
• pravico do pritožbe pri Informacijskem pooblaščencu Republike Slovenije.

Zahteve naslovite na upravljavca: narcis.arso@gov.si. Lokalne podatke, shranjene na vaši napravi, lahko v celoti izbrišete tako, da se v aplikaciji odjavite ali jo odstranite.

6. Otroci

Aplikacija ni namenjena javnosti in ni namenjena otrokom. Dostop je omejen na osebe, ki jih ARSO v sistemu NarcIS pooblasti za uporabo terenske beležnice.

7. Varnost

• Vsi klici med aplikacijo in strežnikom NarcIS potekajo preko šifrirane povezave HTTPS.
• Geslo se v napravi shrani izključno v obliki kriptografskega izvlečka (PBKDF2-HMAC-SHA256, 100.000 iteracij), in to v sistemskem varnem ključavnik-pomnilniku (flutter_secure_storage → iOS Keychain oz. Android EncryptedSharedPreferences/Keystore).
• Aplikacija po pretečenem 14-dnevnem oknu brez spletne prijave zavrne ponovno odprtje seje brez omrežja in zahteva spletno avtentikacijo.
• Strežniški del (NarcIS) upravlja ARSO in je predmet varnostnih ukrepov agencije.
• Aplikacija ne pošilja telemetrije, beleženja zrušitev ali drugih diagnostičnih podatkov tretjim osebam.

8. Hramba podatkov

• Strežnik (NarcIS): obdobje hrambe določa upravljavec ARSO v skladu s svojo politiko in veljavnimi predpisi.
• Naprava: lokalni izvleček gesla in zadnji znani položaj zemljevida obstajata, dokler se uporabnik ne odjavi ali odstrani aplikacijo. Lokalno shranjene fotografije in nesinhronizirani zapisi se izbrišejo ob uspešni sinhronizaciji oz. ob odstranitvi aplikacije.

9. Spremembe pravilnika

Ta pravilnik lahko posodobimo, če se spremeni vedenje aplikacije ali predpisi. Datum «Zadnja sprememba» na vrhu strani označuje različico, ki velja. Bistvene spremembe bomo navedli v opisu različice v Trgovini Google Play.

10. Kontakt

• Vprašanja o tem pravilniku ali o aplikaciji: admin@alittis.com
• Vprašanja o obdelavi osebnih podatkov v sistemu NarcIS: narcis.arso@gov.si