Handbook Data Protection HRV

PRIRUNIK
Prirunik o europskom
zakonodavstvu o zatiti
podataka
Agencija Europske unije za temeljna prava, 2014.
Vijee Europe, 2014.
Rukopis ovoga prirunika zavren je u prosincu 2014.
Aurirane verzije ubudue e biti na raspolaganju na internetskoj stranici Agencije Europske unije
za temeljna prava (FRA) na adresi: fra.europa.eu, na internetskoj stranici Vijea Europe: coe.int/
dataprotection, te na internetskoj stranici Europskog suda za ljudska prava u izborniku Sudska
praksa na adresi: echr.coe.int.
Reprodukcija je dozvoljena osim u komercijalne svrhe, uz navoenje izvora.
Europe Direct je usluga koja Vam pomae u pronalasku odgovora na

Vaa pitanja o Europskoj uniji.
Besplatni broj telefona (*):

00 800 6 7 8 9 10 11
(*) Dana informacija je besplatna, kao i veina poziva (neki operateri, phone box-ovi ili hoteli mogu
Vam naplatiti).
Fotografija (naslovnica i unutranjost): iStockphoto
Vie informacija o Europskoj uniji pronaite na Internetu (http://europa.eu).
Podaci o kategorizaciji mogu se pronai pri kraju ove publikacije.
Luksemburg: Ured za publikacije Europske unije, 2014.
ISBN 978-92-871-9945-4 (CoE)

ISBN 978-92-9239-333-5 (FRA)
doi:10.2811/53863
Printed in Belgium
Tiskano na recikliranom papiru u postupku bez koritenja klora (PCF)
Ovaj je prirunik sastavljen na engleskome jeziku. Vijee Europe (CoE) i Europski sud za ljudska prava
(ECtHR) ne mogu preuzeti odgovornost za kvalitetu prijevoda na druge jezike. Stajalita iznesena u
ovom priruniku neobvezujua su za Vijee Europe i Europski sud za ljudska prava. U priruniku se
upuuje na niz komentara i praktinih uputa. Vijee Europe I Europski sud za ljudska prava ne mogu
preuzeti odgovornost za njihov sadraj, a njihovo uvrtenje u popis ne podrazumijeva nikakav oblik
odobrenja takvih publikacija. Dodatne publikacije navedene su na internetskim stranicama knjinice
Europskog suda za ljudska prava na adresi: echr.coe.int.
Prirunik o europskom
zakonodavstvu o zatiti
podataka
Predgovor
Ovaj su prirunik o europskom zakonodavstvu o zatiti podataka zajedniki izradili
Agencija Europske unije za temeljna prava (FRA) i Vijee Europe u suradnji s taj-
nitvom Europskog suda za ljudska prava. To je trei pravni prirunik u nizu koji su
zajedniki izradili FRA i Vijee Europe. Prvi prirunik o europskom antidiskrimina-
cijskom pravu objavljen je u oujku 2011. dok je u lipnju 2013. objavljen i sljedei
prirunik o europskom pravu vezanom uz azil, granice i imigraciju.
Odluili smo nastaviti dosadanju suradnju i prihvatiti se vrlo aktualne teme s kojom
se svakodnevno susreemo, odnosno zatite osobnih podataka. Europa ima jedan
od najboljih sustava zatite u ovome podruju koji se zasniva na Konvenciji br.108
Vijea Europe, pravnim aktima Europske unije (EU) te sudskoj praksi Europskog suda
za ljudska prava i Suda Europske unije.
Cilj je ovoga prirunika doprinijeti boljoj informiranosti o propisima o zatiti podataka

u dravama lanicama Europske unije i Vijea Europe sluei itateljima kao glavna
referentna toka. Namijenjen je nespecijaliziranim pravnicima, sucima, nacionalnim
tijelima nadlenim za zatitu podataka i drugim osobama koje se bave zatitom
podataka.
Stupanjem na snagu Ugovora iz Lisabona u prosincu 2009., Povelja EU-a o temeljnim

pravima postala je pravno obvezujua te je pravo na zatitu osobnih podataka dobilo
status zasebnog temeljnog prava. Za zatitu ovoga temeljnog prava od kljunog je
znaaja bolje razumijevanje Konvencije br.108 Vijea Europe i akata EU-a koji su utrli
put zatiti podataka u Europi, kao i sudske prakse ECtHR i CJEU.
elimo zahvaliti Institutu za ljudska prava Ludwig Botzmann za njegovo sudjelovanje

u pripremanju ovog prirunika. Takoer elimo zahvaliti Uredu Europskog nadzornika
za zatitu podataka za pruenu pomo tijekom izrade prirunika. Posebno zahva-
ljujemo jedinici za zatitu podataka Europske komisije na njezinu pomo. Konano
elimo zahvaliti hrvatskoj Agenciji za zatitu osobnih podataka, na pregledu hrvat-
skog prijevoda ovog Prirunika.
Philippe Boillat Morten Kjaerum
Glavni direktor Direktor

Odjela za ljudska prava i vladavinu prava Agencije Europske unije
Vijee Europe za temeljna prava
3
Sadraj
PREDGOVOR ......................................................................................................................................................................................................................... 3
KRATICE I AKRONIMI .................................................................................................................................................................................................. 9
KAKO KORISTITI PRIRUNIK ........................................................................................................................................................................... 11
1. KONTEKST I POZADINA EUROPSKOG ZAKONODAVSTVA OZATITI PODATAKA ............ 13

1.1. Pravo na zatitu podataka ............................................................................................................................................ 14
Kljune toke ........................................................................................................................................................................................................ 14
1.1.1. Europska konvencija o ljudskim pravima .............................................................................................. 14
1.1.2. Konvencija br.108 Vijea Europe ................................................................................................................. 15
1.1.3. Zakonodavstvo Europske unije o zatiti podataka ....................................................................... 17
1.2. Uravnoteivanje prava ...................................................................................................................................................... 21
Kljune toke ........................................................................................................................................................................................................ 21
1.2.1. Sloboda izraavanja ................................................................................................................................................... 22
1.2.2. Pristup dokumentima .............................................................................................................................................. 26
1.2.3. Sloboda umjetnosti i znanosti .......................................................................................................................... 30
1.2.4. Zatita vlasnitva ......................................................................................................................................................... 31
2. TERMINOLOGIJA VEZANA UZZATITU PODATAKA .............................................................................................. 33

2.1. Osobni podaci .............................................................................................................................................................................. 34
Kljune toke ........................................................................................................................................................................................................ 34
2.1.1. Glavni aspekti pojma osobnih podataka ............................................................................................... 35
2.1.2. Posebne kategorije osobnih podataka .................................................................................................... 41
2.1.3. Anonimizirani i pseudonimizirani podaci ............................................................................................... 42
2.2. Obrada podataka ..................................................................................................................................................................... 44
Kljune toke ........................................................................................................................................................................................................ 44
2.3. Korisnici osobnih podataka .......................................................................................................................................... 47
Kljune toke ........................................................................................................................................................................................................ 47
2.3.1. Nadzornici i obraivai ............................................................................................................................................ 47
2.3.2. Primatelji i tree stranke ........................................................................................................................................ 52
2.4. Suglasnost ........................................................................................................................................................................................ 54
Kljune toke ........................................................................................................................................................................................................ 54
2.4.1. Elementi valjane suglasnosti ............................................................................................................................. 54
2.4.2. Pravo na povlaenje suglasnosti u svakom trenutku ................................................................ 59
5
3. KLJUNA NAELA EUROPSKOG ZAKONODAVSTVA O ZATITI PODATAKA ........................... 61
3.1. Naelo zakonite obrade ................................................................................................................................................... 62
Kljune toke ........................................................................................................................................................................................................ 62
3.1.1. Zahtjevi za opravdano mijeanje iz Europske
konvencije o ljudskim pravima ....................................................................................................................... 63
3.1.2. Uvjeti za zakonita ogranienja prema Povelji Europske unije ............................................ 66
3.2. Naelo svrhovitosti i ogranienja svrhe ....................................................................................................... 68

Kljune toke ........................................................................................................................................................................................................ 68
3.3. Naela kvalitete podataka .......................................................................................................................................... 70
Kljune toke ........................................................................................................................................................................................................ 70
3.3.1. Naelo relevantnosti podataka ....................................................................................................................... 70
3.3.2. Naelo tonosti podataka .................................................................................................................................... 71
3.3.3. Naelo ogranienog zadravanja podataka ....................................................................................... 72
3.4. Naelo potene obrade .................................................................................................................................................... 73

Kljune toke ........................................................................................................................................................................................................ 73
3.4.1. Transparentnost ............................................................................................................................................................ 73
3.4.2. Uspostava povjerenja .............................................................................................................................................. 74
3.5. Naelo odgovornosti ........................................................................................................................................................... 75

Kljune toke ........................................................................................................................................................................................................ 75
4. PRAVILA EUROPSKOG ZAKONODAVSTVA O ZATITI PODATAKA ...................................................... 77

4.1. Pravila zakonite obrade ................................................................................................................................................... 79
Kljune toke ........................................................................................................................................................................................................ 79
4.1.1. Zakonita obrada neosjetljivih podataka ................................................................................................. 79
4.1.2. Zakonita obrada osjetljivih podataka ........................................................................................................ 85
4.2. Pravila sigurnosti obrade ................................................................................................................................................ 88

Kljune toke ........................................................................................................................................................................................................ 88
4.2.1. Elementi sigurnosti podataka ........................................................................................................................... 88
4.2.2. Povjerljivost podataka ............................................................................................................................................ 91
4.3. Pravila transparentnosti obrade ............................................................................................................................ 93

Kljune toke ........................................................................................................................................................................................................ 93
4.3.1. Informacije ......................................................................................................................................................................... 94
4.3.2. Obavjeivanje ............................................................................................................................................................... 96
4.4. Pravila o promicanju sukladnosti .......................................................................................................................... 97

Kljune toke ........................................................................................................................................................................................................ 97
4.4.1. Prethodna provjera .................................................................................................................................................... 98
4.4.2. Slubenici za zatitu podataka ......................................................................................................................... 98
4.4.3. Pravila ponaanja ........................................................................................................................................................ 99
6
5. PRAVA OSOBE IJI SEPODACI OBRAUJU INJIHOVAPROVEDBA .................................................. 101
5.1. Prava osoba iji se podaci obrauju .............................................................................................................. 103
Kljune toke .................................................................................................................................................................................................... 103
5.1.1. Pravo na pristup .........................................................................................................................................................104
5.1.2. Pravo na prigovor .....................................................................................................................................................110
5.2. Neovisni nadzor ..................................................................................................................................................................... 112

Kljune toke .................................................................................................................................................................................................... 112
5.3. Pravni lijekovi i sankcije ................................................................................................................................................ 116
Kljune toke .................................................................................................................................................................................................... 116
5.3.1. Zahtjevi nadzorniku ................................................................................................................................................117
5.3.2. Zahtjevi podneseni nadzornom tijelu ....................................................................................................118
5.3.3. Zahtjev podnesen sudu ......................................................................................................................................119
5.3.4. Sankcije ..............................................................................................................................................................................124
6. PREKOGRANINI PRIJENOSI PODATAKA ........................................................................................................................ 127

6.1. Narav prekograninog prijenosa podataka ......................................................................................... 128
Kljune toke .................................................................................................................................................................................................... 128
6.2. Slobodan protok podataka meu dravama lanicama ili meu
ugovornim strankama ................................................................................................................................................... 129
Kljune toke .................................................................................................................................................................................................... 129
6.3. Slobodan prijenos podataka treim zemljama ................................................................................ 131
Kljune toke .................................................................................................................................................................................................... 131
6.3.1. Slobodan prijenos podataka radi prikladne zatite ....................................................................131
6.3.2. Slobodan prijenos podataka u posebnim sluajevima ..........................................................133
6.4. Ogranieni prijenos podataka treim zemljama ............................................................................ 134

Kljune toke .................................................................................................................................................................................................... 134
6.4.1. Ugovorne klauzule ..................................................................................................................................................135
6.4.2. Obvezujua pravila poduzea .......................................................................................................................136
6.4.3. Posebni meunarodni sporazumi .............................................................................................................137
7. ZATITA PODATAKA UKONTEKSTU POLICIJE IKAZNENOG PRAVOSUA ............................. 141

7.1. Pravo Vijea Europe o zatiti podataka u policijskim i kaznenopravnim
predmetima ............................................................................................................................................................................... 142
Kljune toke .................................................................................................................................................................................................... 142
7.1.1. Preporuka o policiji ..................................................................................................................................................142
7.1.2. Budimpetanska konvencija o kibernetikom kriminalu .....................................................146
7.2. Pravo Vijea Europe o zatiti podataka u policijskim i kaznenopravnim

predmetima ............................................................................................................................................................................... 147
Kljune toke .................................................................................................................................................................................................... 147
7.2.1. Okvirna odluka o zatiti podataka ...........................................................................................................147
7
7.2.2. Specifiniji pravni instrumenti za zatitu podataka u prekograninoj
suradnji policije i tijela za provedbu zakona .....................................................................................149
7.2.3. Zatita podataka u Europolu i Eurojustu ..............................................................................................151
7.2.4. Zatita podataka u zajednikim informacijskim sustavima na razini
Europske unije .............................................................................................................................................................154
8. OSTALI SPECIFINI ZAKONODAVNI PROPISI OZATITI PODATAKA ............................................. 161

8.1. Elektronike komunikacije ........................................................................................................................................ 162
Kljune toke .................................................................................................................................................................................................... 162
8.2. Podaci o zaposlenju .......................................................................................................................................................... 166
Kljune toke .................................................................................................................................................................................................... 166
8.3. Medicinski podaci ................................................................................................................................................................ 169
Kljune toke .................................................................................................................................................................................................... 169
8.4. Obrada podataka u statistike svrhe ........................................................................................................... 171
Kljune toke .................................................................................................................................................................................................... 171
8.5. Financijski podaci ................................................................................................................................................................. 174
Kljune toke .................................................................................................................................................................................................... 174
DODATNA LITERATURA .................................................................................................................................................................................. 177
SUDSKA PRAKSA .................................................................................................................................................................................................... 183

Odabrana sudska praksa Europskog suda za ljudska prava ................................................................... 183
Odabrana sudska praksa Suda Europske unije ....................................................................................................... 186
POPIS PREDMETA .................................................................................................................................................................................................. 191
8
Kratice i akronimi
BCR Obvezujue pravilo poduzea
CCTV Televizija zatvorenog kruga
CETS Zbirka ugovora Vijea Europe
Povelja Povelja Europske unije o temeljnim pravima
CIS Carinski informacijski sustav
CJEU Sud Europske unije (prijeprosinca2009. poznat kao Europski

sud, ECJ)
CoE Vijee Europe
Konvencija br.108 Konvencija o zatiti pojedinaca pri automatskoj obradi osobnih

podataka (Vijee Europe)
CRM Upravljanje odnosima s kupcima
C-SIS Sredinji schengenski informacijski sustav
EAW Europski uhidbeni nalog
EC Europska zajednica (EZ)
ECHR Europska konvencija o ljudskim pravima
ECtHR Europski sud za ljudska prava
EDPS Europski nadzornik za zatitu podataka
EGP Europski gospodarski prostor
EFTA Europska udruga slobodne trgovine
ENISA Europska agencija za mrenu i informacijsku sigurnost
ENU Europolova nacionalna jedinica
ESMA Europsko nadzorno tijelo za vrijednosne papire i trita

kapitala
eTEN Transeuropske telekomunikacijske mree
EU Europska unija
EuroPriSe Europski peat za zatitu podataka
9
eu-LISA Agencija Europske unije za operativno upravljanje velikim
informatikim sustavima
FRA Agencija Europske unije za temeljna prava
GPS Globalni sustav pozicioniranja
JSB Zajedniko nadzorno tijelo
NGO Nevladina organizacija
N-SIS Nacionalni schengenski informacijski sustav
OECD Organizacija za gospodarsku suradnju i razvoj
PIN Osobni identifikacijski broj
PNR Evidencija imena putnika
SEPA Jedinstveno podruje plaanja u eurima
SIS Schengenski informacijski sustav
SWIFT D r u t vo z a s v j e t s k u m e u b a n kov n u f i n a n c i j s k u
telekomunikaciju
TEU Ugovor o Europskoj uniji
TFEU Ugovor o funkcioniranju Europske unije
UDHR Opa deklaracija o ljudskim pravima
UN Ujedinjeni narodi
VIS Vizni informacijski sustav
10
Kako koristiti prirunik
Ovaj prirunik daje uvid u zakonodavstvo primjenjivo na zatitu podataka koje se
odnosi na Europsku uniju (EU) i Vijee Europe (CoE).
Prirunik je osmiljen kao pomo pravnicima koji nisu specijalizirani u podruju

zatite podataka; namijenjen je odvjetnicima, sucima i drugim pravnim djelatnicima
kao i zaposlenicima drugih tijela, ukljuujui nevladine organizacije (NGO) koji se
mogu susresti s pravnim pitanjima vezanim uz zatitu podataka.
On je prva referentna tokao pravu Europske unije i Europskoj konvenciji o ljudskim

pravima (ECHR) kada je u pitanju zatita podataka. Objanjava kako je to podruje
regulirano unutar prava Europske unije i Konvencije o ljudskim pravima kao i Kon-
vencije Vijea Europe o zatiti pojedinaca pri automatskoj obradi osobnih podataka
(Konvencija br.108) i drugih akata Vijea Europe. U svakom je poglavljuuvodno pri-
kazana tablica s primjenjivim propisima ukljuujui izbor vanih sudskih praksi iz dva
zasebna europska pravna sustava. Zatim su relevantni zakoni tih dvaju europskih
sustava predstavljeni jedan po jedan prema primjenjivosti na svaku od tema. To ita-
telju omoguuje uvid u slinosti i razlike dvaju pravnih sustava.
U uvodnim tablicama svakoga poglavlja navedene su teme kojima se odreeno

poglavlje bavi kao i primjenjivi propisi i ostali bitan materijal, kao to je sudska
praksa. Redoslijed tema moe se poneto razlikovati od strukture teksta poglavlja
ako to ide u prilog konciznom predstavljanju sadraja poglavlja. Tablice ukljuuju i
pravo Vijea Europe i pravo Europske unije. To bi itateljima trebalo pomoi u prona-
laenju kljunih informacija koje se tiu njihova sluaja, osobito ako podlijeu samo
pravu Vijea Europe.
Pravnici u dravama koje nisu lanice Unije, ali su lanice Vijea Europe te stranke
Europske konvencije o ljudskim pravima i Konvencije br.108, mogu pogledati infor-
macije koje se tiu njihove drave izravno u odjeljcima koji se odnose na Vijee
Europe. Pravnici u dravama lanicama Unije moraju pogledati oba odjeljka jer su za
te drave obvezujua oba pravna poretka. Za sve koji trebaju podrobnije informacije
o odreenoj temi, predvien je odjeljakprirunika pod nazivom Dodatna literatura.
Pravo Vijea Europe predstavljeno je kroz kratka upuivanja na odabrane sluajeve

Europskog suda za ljudska prava (ECtHR). Oni su odabrani iz velikog broja presuda i
odluka ovoga suda u sluajevima koji se tiu zatite podataka.
11
Prirunik o europskom zakonodavstvu o zatiti podataka
Pravo Europske unije nalazi se u usvojenim zakonodavnim mjerama, mjerodavnim

odredbama ugovora te u Povelji Europske unije o temeljnim pravima, prema tuma-
enjima sudske prakse Suda Europske unije (CJEU, koji je prijeprosinca2009. bio
poznat kao Europski sud(ECJ)).
Sudska praksa koja je opisana ili citirana u ovome priruniku daje primjere va-
nog korpusa sudskih praksi Europskog suda za ljudska prava i Suda Europske unije.
Smjernice na kraju prirunika slue kao pomo itatelju u traenju sudske prakse na
internetu.
Nadalje, praktine ilustracije s hipotetskim scenarijima u tekstualnim okvirima slue

kao dodatno objanjenje primjene europskih pravila o zatiti podataka u praksi, oso-
bito u sluajevima nepostojanja konkretne sudske prakse Europskog suda za ljudska
prava ili Suda Europske unije.
U uvodnom dijelu prirunika ukratko je opisana uloga dvaju pravnih sustava koja su
uspostavljena Europskom konvencijom o ljudskim pravima i pravom Unije (poglavlje
1.). Poglavlja od 2. do 8. obuhvaaju sljedee teme:
terminologija vezana uz zatitu podataka
glavna naela europskog zakonodavstva o zatiti podataka
propisi europskog zakonodavstva o zatiti podataka
prava osoba iji se podaci obrauju i njihova provedba
prekogranini prijenos podataka
zatita podataka u kontekstu policije i kaznenog pravosua
drugo specifino europsko zakonodavstvo o zatiti podataka.
12
1
Kontekst i pozadina
europskog zakonodavstva
ozatiti podataka
EU Pitanja kojima Vijee Europe
se bavi
Pravo na zatitu podataka
Direktiva95/46/EZ o zatiti pojedinaca Europska konvencija o
u vezi s obradom osobnih podataka ljudskim pravima (ECHR),
i o slobodnom protoku takvih lanak8. (pravo na
podataka (Direktiva o zatiti podataka), potovanje privatnog i
SLL1995L281. obiteljskog ivota, doma i
dopisivanja)
Konvencija o zatiti
pojedinaca pri automatskoj
obradi osobnih podataka
(Konvencija br.108)
Uravnoteivanje prava
CJEU, zajedniki sluajevi C-92/09 i Openito
C-93/09, Volker und Markus Schecke GbR i
Hartmut Eifert protiv Land Hessen,2010.
CJEU, C-73/07, Tietosuojavaltuutettu Sloboda ECtHR, Axel Springer AG protiv
protiv Satakunnan Markkinaprssi Oy i izraavanja Njemake, 2012.
Satamedia Oy, 2008. ECtHR, Mosley protiv
Ujedinjene Kraljevine, 2011.
Sloboda umjetnosti ECtHR, Vereinigung bildender
i znanosti Knstler protiv Austrije, 2007.
CJEU, C-275/06, Productores de Msica de Zatita vlasnitva
Espaa (Promusicae) protiv Telefnica de
Espaa SAU, 2008.
CJEU, C-28/08P, Europska komisija protiv Pristup ECtHR, Trsasg a
The Bavarian Lager Co. Ltd,2010. dokumentima Szabadsgjogokrt protiv
Maarske, 2009.
13
1.1. Pravo na zatitu podataka

Kljune toke
Prema lanku8. Europske konvencije o ljudskim pravima, pravo na zatitu od prikuplja-

nja i uporabe osobnih podataka dio je prava na potovanje privatnog i obiteljskog
ivota, doma i dopisivanja.
Konvencija br.108 Vijea Europe prvi je meunarodni obvezujui akt koji se izriito bavi
zatitom podataka.
Unutar prava Europske unije, zatita podataka prvi je put regulirana Direktivom o zatiti
podataka.
Unutar prava Europske unije, zatita podataka priznata kao temeljno pravo.
Pravo na zatitu privatnog ivota pojedinca od drugih, a osobito drave, prvi je put
propisano meunarodnim pravnim aktom u lanku12. Ope deklaracije o ljudskim
pravima (UDHR) Ujedinjenih naroda (UN) iz 1948. o potovanju privatnog i obitelj-
skog ivota.1 Opa deklaracija o ljudskim pravima utjecala je na razvoj drugih akata o
ljudskim pravima u Europi.
1.1.1. Europska konvencija o ljudskim pravima

Vijee Europe osnovano je nakon Drugog svjetskog rata kako bi pribliilo drave
Europe u nastojanjima za promicanjem vladavine prava, demokracije, ljudskih prava
i drutvenog razvoja. U tu je svrhu Vijee 1950. usvojilo Europsku konvenciju o ljud-
skim pravima (ECHR) koja je stupila na snagu 1953.
Drave imaju meunarodnu obvezu potivanja Konvencije. Sve lanice Vijea Europe
ugradile su ili provele Konvenciju u svojim nacionalnim zakonodavstvima, to ih
obvezuje na potivanje odredbi Konvencije.
Kako bi se osiguralo da ugovorne stranke potuju svoje obveze preuzete Konven-

cijom, u francuskom je Strasbourgu 1959. osnovan Europski sud za ljudska prava
(ECtHR). Taj sud osigurava da drave potuju obveze preuzete Konvencijom razma-
trajui albe pojedinaca, skupina pojedinaca, nevladinih organizacija ili pravnih osoba
zbog navodnog krenja Konvencije. Vijee Europe je 2013. brojilo 47 drava lanica
od kojih su 28 i drave lanice Europske unije. Podnositelj koji se obraa Europskom
1 Ujedinjeni narodi (UN), Opa deklaracija o ljudskim pravima (UDHR), 10.prosinca1948.
14
Kontekst i pozadina europskog zakonodavstva ozatiti podataka
sudu za ljudska prava ne mora biti dravljanin lanice Europske unije. Taj sud moe
razmatrati i meudravne zahtjeve koje je jedna drava lanica Vijea Europe (ili vie
njih) podnijela protiv druge drave lanice.
Pravo na zatitu osobnih podataka dio je prava zatienih lankom8. Konvencije

kojim se jami pravo na potovanje privatnog i obiteljskog ivota, doma i dopisivanja
te propisuju uvjeti u kojima su doputena ogranienja toga prava.2
Europski sud za ljudska prava u svojoj je sudskoj praksi imao priliku razmotriti mnoge
situacije koje su se ticale pitanja zatite podataka, primjerice presretanje komunika-
cije,3 razne oblike nadzora4 i zatitu od pohrane osobnih podataka od strane javnih
tijela.5 Pojasnio je da lanak8. Konvencije ne samo da obvezuje drave na suzdr-
avanje od svih radnji kojima bi mogle prekriti to pravo iz Konvencije, ve i da ih u
odreenim okolnostima pozitivno obvezuje na aktivno promicanje uinkovitog poti-
vanja privatnog i obiteljskog ivota.6 Mnogi e se od tih sluajeva detaljno razmotriti
u odgovarajuim poglavljima.
1.1.2. Konvencija br.108 Vijea Europe

Od pojave informacijske tehnologije 60-ih godina prologa stoljea, rasla je potreba
za detaljnijim propisima kojima bi se zatitili (osobni) podaci pojedinaca. Sredinom
70-ih godina Odbor ministara Vijea Europe usvojio je vie rezolucija o zatiti osob-
nih podataka pozivajui se na lanak8. Europske konvencije o ljudskim pravima.7
Godine 1981. za potpisivanje je otvorena Konvencija Vijea Europe o zatiti poje-
dinaca pri automatskoj obradi osobnih podataka (Konvencija br.108).8 Konvencija
2 CoE, Europska konvencija o ljudskim pravima, CETSbr.005,1950.

3 Vidjeti primjerice ECtHR, Malone protiv Ujedinjene Kraljevine, br.8691/79, 2.kolovoza1984.; ECtHR,
Copland protiv Ujedinjene Kraljevine, br.62617/00, 3.travnja2007.
4 Vidjeti primjerice ECtHR, Klass i drugi protiv Njemake, br.5029/71, 6.rujna1978.; ECtHR, Uzun protiv
Njemake, br.35623/05, 2.rujna2010.
5 Vidjeti primjerice ECtHR, Leander protiv vedske, br. 9248/81, 26. oujka 1987.; ECtHR, S. iMarper protiv
Ujedinjene Kraljevine, br., 30562/04 i 30566/04, 4.prosinca2008.
6 Vidjeti primjerice ECtHR, I. protiv Finske, br.20511/03, 17.srpnja2008.; ECtHR, K.U. protiv Finske,
br.2872/02, 2.prosinca2008.
7 CoE, Odbor ministara (1973), Rezolucija (73)22 o zatiti privatnosti pojedinaca vis--vis elektronikih
banki podataka u privatnom sektoru, 26.rujna1973.; CoE, Odbor ministara (1974.), Rezolucija(74)29 o
zatiti privatnosti pojedinaca vis--vis elektronikih banki podataka u javnom sektoru, 20.rujna1974.
8 CoE, Konvencija o zatiti pojedinaca pri automatskoj obradi osobnih podataka, Vijee Europe,
CETSbr.108,1981.
15
br.108 bila je i ostala jedini pravno obvezujui meunarodni akt u podruju zatite
podataka.
Konvencija br.108 se primjenjuje na obradu osobnih podataka u privatnom i u jav-

nom sektoru, kao na primjer u sudstvu i kod tijela nadlenih za osiguranje primjene
zakona. Konvencija titi pojedinca od zloporaba prilikom prikupljanja i obrade osob-
nih podataka nastojei istodobno regulirati prekogranini prijenos osobnih podataka.
U pogledu prikupljanja i obrade osobnih podataka, naela iz Konvencije osobito se
tiu pravednog i zakonitog prikupljanja i automatske obrade podataka pohranjenih
u odreene legitimne svrhe, koji nisu namijenjeni uporabi neprimjerenoj takvim svr-
hama, i koji se ne smiju zadravati dulje no to je to potrebno. Ta se naela tiu i
kvalitete podataka. Oni u prvom redu moraju biti prikladni, relevantni, toni i ne pre-
tjerani (razmjernost).
Osim jamstva u pogledu prikupljanja i obrade osobnih podataka, Konvencija, u

odsutnosti prikladnih pravnih mjera zatite, brani obradu osjetljivih podataka, kao
to su rasa, politiko opredjeljenje, zdravlje, vjera, seksualni ivot ili kaznena eviden-
cija pojedinca.
Ona takoer titi pravo pojedinca na informiranost o tome pohranjuju li se o njemu

podaci, te, ako je to nuno, ispravljanje takvih podataka. Ogranienja u pogledu
prava iz Konvencije mogua su samo kada su posrijedi prevladavajui interesi, kao
to su dravna sigurnost ili obrana.
Iako Konvencija omoguuje slobodan prijenos osobnih podataka meu dravama

strankama Konvencije, ona takoer namee odreena ogranienja u pogledu takvih
prijenosa u drave ije pravno ureenje ne prua jednaku razinu zatite.
Kako bi nastavilo razvijati opa naela i pravila iz Konvencije br.108, Odbor ministara
Vijea Europe usvojio je nekoliko pravno neobvezujuih preporuka (vidjeti poglav-
lja7. i8.).
Sve su lanice Unije ratificirale Konvenciju br.108. Ona je izmijenjena 1999. kako bi
se Europskoj uniji omoguilo da postane stranka.9 Dodatni protokol uz Konvenciju
br.108 usvojen je 2001. uvodei odredbe o prekograninom prijenosu podataka
9 CoE, Izmjene Konvencije o zatiti pojedinaca pri automatskoj obradi osobnih podataka (ETS br.108)
kojima je omoguen pristup Europskim zajednicama, koje je Odbor ministara usvojio u Strasbourgu,
15.lipnja1999.; l.23. stavak2. Konvencije br. 108 u izmijenjenom obliku.
16
nelanicama, tzv. treim zemljama, te o obveznom uspostavljanju nacionalnih tijela

nadlenih za zatitu podataka. 10
Izgledi
Nakon odluke o modernizaciji Konvencije br.108 javno savjetovanje provedeno u

2011. omoguilo je potvrdu dvaju glavnih ciljeva toga zahvata: vea zatita privatno-
sti u digitalno doba i jaanje mehanizma praenja Konvencije.
Konvenciji br.108 mogu pristupiti drave koje nisu lanice Vijea Europe, ukljuujui i
neeuropske zemlje. Potencijal Konvencije kao univerzalnog standarda i njen otvoren
karakter mogu posluiti kao temelj promicanja zatite podataka na globalnoj razini.
Do sada su 45 od 46 ugovornih stranaka Konvencije br.108 drave lanice Vijea

Europe. Urugvaj, prva neeuropska zemlja, Konvenciji je pristupio u kolovozu 2013., a
Maroko, koji je Odbor ministara pozvao da pristupi Konvenciji br.108, je u postupku
formaliziranja pristupa.
1.1.3. Zakonodavstvo Europske unije o zatiti

podataka
Pravo Europske unije sastoji se od ugovora i sekundarnog prava Unije. Ugovore,
odnosno Ugovor o Europskoj uniji (TEU) i Ugovor o funkcioniranju Europske unije
(TFEU), odobrile su sve drave lanice EU-a, a nazivaju se jo primarno pravo Europ-
ske unije. Uredbe, direktive i odluke Europske unije donijele su njezine institucije
koje su za to ovlatene ugovorima; ti se akti esto nazivaju sekundarno pravo
Europske unije.
Temeljni pravni akt o zatiti podataka Europske unije je Direktiva95/46/EZ Europ-

skog parlamenta i Vijea od 24.listopada1995. o zatiti pojedinaca u vezi s obradom
osobnih podataka i o slobodnom protoku takvih podataka (Direktiva o zatiti poda-
taka).11 Donesena je 1995., kada je nekoliko drava lanica ve usvojilo nacionalne
zakone o zatiti podataka. Preduvjet za slobodno kretanje robe, kapitala, usluga
i ljudi na unutarnjem tritu bio je slobodan prijenos podataka koji se nije mogao
10 CoE, Dodatni protokol uz Konvenciju o zatiti pojedinaca pri automatskoj obradi osobnih podataka, koji se
tie nadzornih tijela i prekograninih prijenosa podataka, CETSbr.181,2001.
11 Direktiva o zatiti podataka, SLL1995L281, str.31.
17
ostvariti bez pouzdane i ujednaeno visoke razine zatite podataka u dravama

lanicama.
Budui da je cilj Direktive o zatiti podataka bio uskladiti12 zakonodavstva o zatiti

podataka na nacionalnoj razini, direktivi je svojstvena doza specifinosti usporediva
s tadanjim nacionalnim zakonodavstvima o zatiti podataka. Za CJEU, Direktiva
95/46 je namijenjena [...] osiguranju jednake razine zatite prava i sloboda pojedi-
naca u svakoj dravi lanici, u svezi s obradom osobnih podataka. [...] Ujednaavanje
razine zatite koju pruaju nacionalna zakonodavstva ne smije biti posljedica smanji-
vanja pruene razine zatite, ve upravo suprotno, mora se teiti osiguranju visoke
razine zatite u cijeloj Europskoj uniji. U skladu s time, usklaivanje nacionalnih zako-
nodavstava nije ogranieno na najniu razinu ujednaavanja, ve je cilj postizanje
opeg usklaivanja.13 Slijedom navedenog, drave lanice imaju tek ogranien
manevarski prostor u provedbi direktive.
Direktiva o zatiti podataka osmiljena je kako bi potvrdila i proirila naela prava

na privatnost koja su ve sadrana u Konvenciji br.108. injenica da su sve od
15drava lanica Europske unije 1995. bile i ugovorne stranke Konvencije br.108
otklanjala je mogunost usvajanja proturjenih propisa u ova dva pravna instru-
menta. Ipak, u Direktivi o zatiti podataka ostavljena je mogunost dodavanja instru-
menata zatite, osigurana lankom11. Konvencije br.108. Uvoenje neovisnog nad-
zora kao instrumenta za bolju usklaenost s propisima o zatiti podataka pokazalo
se vanim doprinosom uinkovitom funkcioniraju europskog zakonodavstva o zatiti
podataka. (Taj je instrument 2001. preuzet u pravu Vijea Europe Dodatnim protoko-
lom uz Konvenciju br.108.)
Teritorijalna primjenjivost Direktive o zatiti podataka prelazi granice 28drava la-

nica Unije i ukljuuje drave koje nisu njene lanice, ali su dio Europskog gospodar-
skog prostora (EGP)14 odnosno Island, Lihtentajn i Norveku.
CJEU sa sjeditem u Luksemburgu nadlean je odluivati o tome je li odreena drava

lanica ispunila svoje obveze iz Direktive o zatiti podataka kao i za prethodno odlu-
ivanje o valjanosti i tumaenju direktive kako bi se osigurala njena uinkovita i jed-
naka primjena u dravama lanicama. Vano izuzee od primjenjivosti Direktive o
12 Vidjeti primjerice Direktivu o zatiti podataka, uvodne izjave1., 4., 7. i8.

13 CJEU, zajedniki sluajevi C-468/10 i C-469/10, Asociacin Nacional de Establecimientos Financieros
de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing Directo (FECEMD) protiv
Administracin del Estado, 24. studenog 2011., odlomci 28-29.
14 Sporazum o Europskom gospodarskom prostoru, SLL1994L1, na snazi od 1.sijenja1994.
18
zatiti podataka predstavlja takozvano izuzee kuanstva, odnosno obrada osobnih

podataka od strane fizikih osoba u osobne svrhe ili u svrhe kuanstva.15 Takva se
obrada openito smatra dijelom sloboda pojedinaca.
Sukladno primarnom pravu Europske unije koje je bilo na snazi u vrijeme usvaja-
nja Direktive o zatiti podataka, vano podruje primjene direktive ogranieno je
na pitanja unutarnjeg trita. Izvan podruja primjene su pitanja suradnje policije i
kaznenog pravosua. Zatita podataka u ovim podrujima proizlazi iz razliitih prav-
nih akata koji su detaljnije opisani u poglavlju7.
Budui da je Direktiva o zatiti podataka mogla biti upuena samo dravama lani-
cama Unije, valjalo je uvesti dodatni pravni akt kako bi se osigurala zatita podataka
pri obradi osobnih podataka u institucijama i tijelima Europske unije. To je uinjeno
Uredbom (EZ) br.45/2001 o zatiti pojedinaca u vezi s obradom osobnih podataka u
institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (Uredba o
zatiti podataka u institucijama Europske unije).16
Nadalje, ak su i u podrujima koja su obuhvaena u Direktivi o zatiti podataka

esto potrebne detaljnije odredbe o zatiti podataka kako bi se postigla nuna
jasnoa kod uravnoteivanja drugih legitimnih interesa. Dva su primjera za to Direk-
tiva2002/58/EZ o obradi osobnih podataka i zatiti privatnosti u podruju elek-
tronikih komunikacija (Direktiva o privatnosti i elektronikim komunikacijama)17 i
Direktiva 2006/24/EZ o zadravanju podataka dobivenih ili obraenih u vezi s pru-
anjem javno dostupnih elektronikih komunikacijskih usluga ili javnih komunika-
cijskih mrea i o izmjeni Direktive 2002/58/EZ (Direktiva o zadravanju podataka,
proglaena nevaljanom 8.travnja2014.).18 O ostalim e se primjerima raspravljati u
poglavlju8. Takve odredbe moraju biti u skladu s Direktivom o zatiti podataka.
15 Direktiva o zatiti podataka, l.3. st.2. druga alineja.

16 Uredba (EZ) br.45/2001 Europskog parlamenta i Vijea od 18.prosinca2000. o zatiti pojedinaca u vezi
s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka
SLL2001L8.
17 Direktiva2002/58/EZ Europskog parlamenta i Vijea od 12.srpnja2002. o obradi osobnih podataka
i zatiti privatnosti u podruju elektronikih komunikacija (Direktiva o privatnosti i elektronikim
komunikacijama), SLL2002L201.
18 Direktiva 2006/24/EZ Europskog parlamenta i Vijea od 15.oujka2006. o zadravanju podataka
dobivenih ili obraenih u vezi s pruanjem javno dostupnih elektronikih komunikacijskih usluga ili javnih
komunikacijskih mrea i o izmjeni Direktive 2002/58/EZ (Direktiva o zadravanju podataka, proglaena
nevaljanom 8.travnja2014.), SLL2006L105.
19
Povelja Europske unije o temeljnim pravima
Izvorni ugovori Europskih zajednica nisu se uope bavili ljudskim pravima ili nji-
hovom zatitom. No na adresu tadanjeg Europskog suda (ECJ) poeli su pristizati
sluajevi o navodnoj povredi ljudskih prava u podrujima unutar podruja primjene
prava Europske unije pa je sud razvio novi pristup toj problematici. Kako bi zajamio
zatitu pojedincima, ugradio je temeljna prava u takozvana opa naela europskog
prava. Prema Sudu Europske unije, ta opa naela odraavaju sadraj zatite ljud-
skih prava iz nacionalnih ustava i ugovora o ljudskim pravima, a osobito Konvencije
o ljudskim pravima. Sud je smatrao da e osigurati sukladnost prava Europske unije
s tim naelima.
Uviajui da njene politike mogu utjecati na ljudska prava i nastojei izgraditi bli-
skiji odnos sa svojim dravljanima, Europska unija je 2000. proglasila Povelju Europ-
ske unije o temeljnim pravima (Povelja). Ona obuhvaa itav spektar civilnih, politi-
kih, ekonomskih i socijalnih prava europskih graana i sintetizira ustavne tradicije i
meunarodne obveze zajednike dravama lanicama. Prava opisana u Povelji dijele
se u est kategorija: dostojanstvo, slobode, jednakost, solidarnost, prava graana i
pravda.
Iako je Povelja isprva bila samo politiki dokument, stupanjem na snagu Ugovora
iz Lisabona 1.prosinca2009., postala je pravno obvezujua19 kao primarno pravo
Europske unije (vidjeti lanak6. stavak1. Ugovora o Europskoj uniji).20
Primarno pravo Europske unije sadri i opu sposobnost Unije za donoenje zakona
koji se tiu zatite podataka (lanak16. Ugovora o funkcioniranju Europske unije).
Povelja ne jami samo potovanje privatnog i obiteljskog ivota (lanak7.), ve

i utvruje pravo na zatitu podataka (lanak8.), jer se njome izriito podie razina
te vrste zatite do one koju uivaju temeljna prava u pravu Europske unije. Institu-
cije Europske unije ba kao i drave lanice moraju potivati i jamiti to pravo, to
se primjenjuje i na drave lanice pri provedbi prava Unije (lanak51. Povelje). For-
muliran nekoliko godina nakon Direktive o zatiti podataka, lanak8. Povelje valja
shvatiti na nain da utjelovljuje postojee zakonodavstvo o zatiti podataka Europ-
ske unije. Stoga Povelja, osim to u lanku8. stavku1. izriito spominje pravo na
19 EU (2012), Povelja Europske unije o temeljnim pravima, SLL 2012C326.

20 Vidjeti proiene verzije Europskih zajednica (2012.), Ugovor o Europskoj uniji, SLL2012C326; i
Europskih zajednica (2012.), Ugovor o funkcioniranju Europske unije, SLL2012C326.
20
zatitu podataka, upuuje i na kljuna naela zatite podataka u lanku8. stavku2.

I konano, lankom8. stavkom3. Povelje osigurava se da e neovisno tijelo vriti
kontrolu provedbe tih naela.
Izgledi
U sijenju 2012. Europska komisija predloila je paket reformi zatite podataka drei
da treba modernizirati trenutne propise o zatiti podataka u svjetlu rastueg tehno-
lokog napretka i globalizacije. Paket reformi sastoji se od prijedloga Ope uredbe
o zatiti podataka,21 kojom bi se zamijenila Direktiva o zatiti podataka, te od nove
Direktive o zatiti podataka22 kojom e se osigurati zatita podataka u podrujima
suradnje policije i kaznenog pravosua u kaznenim predmetima. U vrijeme objave
ovoga prirunika jo su se vodile rasprave o paketu reformi.
1.2. Uravnoteivanje prava

Kljune toke
Pravo na zatitu podataka nije apsolutno pravo; ono se mora uravnoteiti s drugim
pravima.
Temeljno pravo na zatitu osobnih podataka prema lanku8. Povelje ipak nije
apsolutno pravo, ve ga treba promatrati s obzirom na njegovu funkciju u drutvu.23
lanak52. stavak1. Povelje tako prihvaa mogunost nametanja ogranienja pri
provedbi prava, poput onih iz lanaka7. i8. Povelje, pod uvjetom da su takva ogra-
nienja zakonita, da potuju sutinu tih prava i sloboda te da su sukladno naelu raz-
mjernosti nuna i da istinski ispunjavaju ciljeve od opeg interesa koje je prepoznala
Europska unija, ili pak potrebu zatite tuih prava i sloboda.24
21 Europska komisija (2012), Prijedlog Uredbe Europskog parlamenta i Vijea o zatiti pojedinaca u vezi s
obradom osobnih podataka i o slobodnom protoku takvih podataka (Opa uredba o zatiti podataka),
COM(2012)11 konano, Bruxelles, 25.sijenja2012.
22 Europska komisija (2012), Prijedlog Uredbe Europskog parlamenta i Vijea o zatiti pojedinaca u vezi s
obradom osobnih podataka u ovlatenim tijelima u svrhe spreavanja, istraivanja, otkrivanja ili progona
kaznenih djela ili izvravanja kazni te o slobodnom protoku takvih podataka (Opa direktiva o zatiti
podataka), COM(2012)10 konano, Bruxelles, 25.sijenja2012.
23 Vidjeti primjerice CJEU, zajedniki sluajevi C-92/09 i C-93/09, Volker i Markus Schecke GbR i Hartmut
Eifert protiv Land Hessen, 9.studenoga2010., st.48.
24 Ibid., st.50.
21
U okviru Europske konvencije o ljudskim pravima zatita podataka zajamena je

lankom8. (pravo na potovanje privatnog i obiteljskog ivota) pa se to pravo, ana-
logno Povelji, mora primjenjivati potujui podruje primjene drugih konkurentskih
prava. Sukladno lanku8. stavku2. Konvencije Javna vlast se nee mijeati u ostva-
rivanje tog prava, osim u skladu sa zakonom i ako je u demokratskom drutvu nuno
[] radi zatite prava i sloboda drugih.
Shodno tome, i Europski sud za ljudska prava i Sud Europske unije viekratno su
naglaavali da je u primjeni i tumaenju lanka8. Konvencije i lanka8. Povelje
nuno ostvarivati prava u ravnotei s drugim pravima. 25 Sljedeih nekoliko vanih
primjera pokazuje kako se postie ta ravnotea.
1.2.1. Sloboda izraavanja

Jedno od prava koje moe doi u sukob s pravom na zatitu podataka jest pravo na
slobodu izraavanja.
Sloboda izraavanja zatiena je lankom11. Povelje (Sloboda izraavanja i infor-

miranja). To pravo obuhvaa slobodu miljenja i slobodu primanja i davanja infor-
macija i ideja bez uplitanja tijela vlasti i bez obzira na granice. lanak11. odgovara
lanku10. Konvencije. Sukladno lanku52. stavku3. Povelje, u mjeri u kojoj sadri
prava koja odgovaraju pravima zajamenim Europskom konvencijom o ljudskim pra-
vima, znaenje i opseg primjene tih prava jednaki su onima iz spomenute Konven-
cije. Ogranienja koja se zakonito mogu nametnuti pravu zajamenom u lanku11.
Povelje stoga ne smiju premaiti ona iz lanka10. stavka2. Konvencije, drugim rije-
ima, moraju biti zakonom propisana i nuna u demokratskom drutvu radi zatite
[] ugleda ili prava drugih. To naelo obuhvaa pravo na zatitu podataka.
Odnos izmeu zatite osobnih podataka i slobode izraavanja reguliran je lan-

kom9. Direktive o zatiti podataka naslovljenim Obrada osobnih podataka i sloboda
25 ECtHR, Von Hannover protiv Njemake (br. 2) [GC], br.40660/08 i 60641/08, 7. veljae 2012.;
CJEU, zajedniki sluajevi C-468/10 i C-469/10, Asociacin Nacional de Establecimientos Financieros
de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing Directo (FECEMD) protiv
Administracin del Estado, 24.studenoga2011., st.48.; CJEU, C-275/06, Productores de Msica de
Espaa (Promusicae) protiv Telefnica de Espaa SAU, 29.sijenja2008. st.68. Vidjeti i Vijee Europe
(2013), sudska praksa Europskog suda za ljudska prava vezana uz zatitu osobnih podataka, DP (2013)
sudska praksa, dostupna na adresi: www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/
DP%202013%20Case%20Law_Eng%20%28final%2018%2007%202013%29.pdf.
22
izraavanja.26 Prema tom lanku, drave lanice dune su osigurati niz izuzea
ili ogranienja u pogledu zatite podataka pa tako i u pogledu temeljnog prava na
privatnost, navedenog u poglavljima II., IV. iVI. Direktive. Ta se izuzea mogu initi
iskljuivo u novinarske svrhe ili u svrhe umjetnikog ili literarnog izraavanja, koji
potpadaju pod podruje primjene temeljnog prava na slobodu izraavanja, i to samo
ako su nuna da bi se pravo na privatnost uskladilo s propisima koji reguliraju slo-
bodu izraavanja.
Primjer: U predmetu Tietosuojavaltuutettu protiv Satakunnan Markkinaprssi

Oy i Satamedia Oy,27 od Suda Europske unije zatraeno je tumaenje lanka9.
Direktive o zatiti podataka kao i definicija odnosa izmeu zatite podataka i
slobode tiska. Sud je morao ispitati sluaj objave poreznih podataka otprilike
1,2 milijuna fizikih osoba koje su drutva Markkinaprssi i Satamedia zakonito
dobila od finskih poreznih tijela. Sud je prvenstveno trebao provjeriti treba li se
obrada osobnih podataka, koje su porezna tijela stavila na raspolaganje kako
bi se korisnicima mobilnih telefona omoguilo primanje poreznih podataka dru-
gih fizikih osoba, smatrati djelatnou koja se provodi iskljuivo u novinarske
svrhe. Zakljuivi da su se djelatnosti Satakunnana sastojale od obrade osobnih
podataka u smislu lanka3. stavka1. Direktive o zatiti podataka, Sud se usre-
dotoio na tumaenje lanka9. Direktive. Sud se najprije osvrnuo na vanost
prava na slobodu izraavanja u svakom demokratskom drutvu drei da se
pojmovi vezani uz tu slobodu, poput novinarstva, trebaju iroko tumaiti. Zatim
je primijetio da se radi postizanja ravnotee izmeu dvaju temeljnih prava, izu-
zea i ogranienja prava na zatitu podataka moraju primjenjivati samo ako je to
striktno neophodno. U tim je okolnostima Sud smatrao da se djelatnosti poput
onih koje su provodili Markkinaprssi i Satamedia, a koje su se ticale podataka iz
dokumenata u javnoj domeni u okviru nacionalnog zakonodavstva, mogu kla-
sificirati kao novinarske djelatnosti ako je njihov predmet otkrivanje informa-
cija, miljenja i ideja javnosti, neovisno o mediju iskoritenom za njihov prijenos.
Sud je takoer presudio da takve djelatnosti nisu ograniene na medijska dru-
tva i da se mogu obavljati u svrhe stjecanja profita. No, Sud je nacionalnom sudu
prepustio odluku o tome je li tako bilo ovom konkretnom sluaju.
U pogledu usuglaavanja prava na zatitu podataka i prava na slobodu izraavanja,

Europski sud za ljudska prava donio je nekoliko orijentacijskih presuda.
26 Direktiva o zatiti podataka, l.9.

27 CJEU, C-73/07, Tietosuojavaltuutettu protiv Satakunnan Markkinaprssi Oy i Satamedia Oy,
16.prosinca2008., st.56., 61. i62.
23
Primjer: U predmetu Axel Springer AG protiv Njemake,28 Europski sud za ljudska

prava smatrao je da je domai sud svojom zabranom objavljivanja lankao uhi-
enju i osudi vrlo poznatog glumca vlasniku novina prekrio lanak10. Konven-
cije. Europski sud se ponovno pozvao na kriterij koji je utvrdio u svojoj sudskoj
praksi u vezi uravnoteivanja prava na slobodu izraavanja i prava potovanja
privatnog ivota:
prvo, je li dogaaj na koji se odnosio objavljeni lanakbio od opeg inte-

resa: uhienje i osuda osobe je javna sudska injenica te je stoga i od javnog
interesa
drugo, je li dotina osoba javna linost: dotina je osoba bio glumac koji je bio
dovoljno poznat da bi se smatrao javnom linou
tree, kako su informacije dobivene i jesu li bile pouzdane: informacije je

dostavio ured javnog tuitelja, a tonost informacija sadranih u obje objave
nije bila predmet spora izmeu stranki.
Stoga je Sud za ljudska prava presudio da ogranienja objave nametnuta dru-

tvu nisu opravdano razmjerna zakonitom cilju zatite privatnog ivota podnosi-
telja. Sud je zakljuio da je prekren lanak10. Konvencije.
Primjer: U predmetu Von Hannover protiv Njemake (br.2),29 Europski sud za

ljudska prava nije utvrdio krenje prava na potovanje privatnog ivota iz
lanka8. Konvencije kada je princezi Caroline od Monaka odbijena sudska
zabrana objave fotografije nje i njena supruga snimljene za vrijeme odmora na
skijanju. Fotografija je objavljena uz lanakkoji se, meu ostalim, bavio loim
zdravstvenim stanjem princa Rainiera. Sud za ljudska prava je zakljuio da su
domai sudovi paljivo odvagnuli pravo izdavake tvrtke na slobodu izraavanja
i pravo podnositelja na potovanje privatnog ivota. Domai sudovi su okarak-
terizirali bolest princa Rainiera kao dogaaj koji zanima moderno drutvo to se
nije moglo smatrati nerazumnim pa je Sud za ljudska prava mogao prihvatiti da
je fotografija, razmotrena u kontekstu lanka, ipak donekle doprinijela raspravi
od opeg interesa. Sud je zakljuio da nije prekren lanak8. Konvencije.
28 ECtHR, Axel Springer AG protiv Njemake [GC], br.39954/08, 7.veljae2012., st.90. i91.
29 ECtHR, Von Hannover protiv Njemake (br.2) [GC], br.40660/08 i 60641/08, 7.veljae2012., st.118.
i124.
24
U sudskoj praksi Europskog suda za ljudska prava jedan je od kljunih kriterija koji se
tiu uravnoteivanja prava kriterij doprinosa dotinog izraavanja raspravi od opeg
javnog interesa.
Primjer: U predmetu Mosley protiv Ujedinjene Kraljevine,30 jedan je nacionalni

tjednik objavio intimne fotografije podnositelja. Ovaj se zatim alio na povredu
lanka8. Konvencije jer nije mogao zatraiti sudsku zabranu prije objave doti-
nih fotografija jer se novinama za objavu materijala kojim mogu prekriti neije
pravo na privatnost ne postavljaju ikakvi uvjeti prethodnog obavjetavanja.
Iako je navedeni materijal objavljen openito vie u zabavne nego u obrazovne
svrhe, nedvojbeno se podrazumijevala zatita zajamena lankom10. Konven-
cije, te se takva objava mogla nadovezati na zahtjeve iz lanka8. Konvencije s
obzirom na to da su informacije bile privatne i intimne naravi te nije bilo javnog
interesa za njihovu objavu. Ovdje je ipak valjalo obratiti posebnu panju pri ispi-
tivanju ogranienja koja se mogu smatrati oblikom cenzure prije objave. Zbog
neugodnosti koje bi moglo prouzroiti postavljanje zahtjeva za prethodnim oba-
vjetavanjem, dvojbi o njegovoj uinkovitosti i velikog raspona procjena koje bi
se njime otvorile u ovome podruju, Sud je zakljuio da lanak8. ne zahtijeva
pravno obvezujui zahtjev za prethodnim obavjetavanjem. Shodno tome, Sud
je zakljuio da nije prekren lanak8. Konvencije.
Primjer: U predmetu Biriuk protiv Litve,31 podnositeljica je od dnevnih novina

zahtijevala odtetu jer su objavile lanaku kojem je pisalo da je HIV pozitivna.
Tu su informaciju navodno potvrdili lijenici lokalne bolnice. Europski sud za ljud-
ska prava smatrao je da dotini lanakne doprinosi raspravi od opeg interesa
ponovivi da je zatita osobnih podataka i to osobito medicinskih, od temeljne
vanosti za ostvarenje pravo pojedinca na potovanje privatnog i obiteljskog
ivota, to je zajameno lankom8. Konvencije. Sud je osobitu vanost pridao
injenici da je, sukladno novinskom lanku, lijeniko osoblje bolnice pruilo
informacije o zarazi podnositeljice virusom HIV ime je oito prekrilo obvezu
uvanja lijenike tajne. Drava dakle nije osigurala pravo podnositeljice na
potivanje njena privatnog ivota. Sud je zakljuio da je prekren lanak8.
30 ECtHR, Mosley protiv Ujedinjene Kraljevine, br.48009/08, 10.svibnja2011., st.129. i130.

31 ECtHR, Biriuk protiv Litve, br.23373/03, 25.studenog2008.
25
1.2.2. Pristup dokumentima

Sukladno lanku11. Povelje i lanku10. Konvencije, slobodom informiranja titi se
pravo ne samo na davanje ve i na primanje informacija. Sve se vie uvia koliko je
javna transparentnost vana za funkcioniranje demokratskog drutva. Posljednja je
dva desetljea, shodno tome, pravo pristupa dokumentima javnih tijela potvreno
kao vano pravo svakog graanina Unije te svake fizike osobe koja prebiva odno-
sno pravne osobe sa sjeditem u nekoj dravi lanici.
Unutar prava Vijea Europe moe se pozvati na naela sadrana u Preporuci o pri-
stupu slubenim dokumentima koja je nadahnula autore Konvencije o pristupu slu-
benim dokumentima (Konvencija br.205).32 Unutar prava Europske unije pravo
pristupa dokumentima zajameno je Uredbom 1049/2001 o javnom pristupu doku-
mentima Europskog parlamenta, Vijea i Komisije (Uredba o pristupu dokumenti-
ma).33 lankom42. Povelje i lankom15. stavkom3. Ugovora u funkcioniraju Europ-
ske unije to je pravo pristupa proireno na pristup dokumentima institucija, tijela,
ureda i agencija Unije, neovisno o njihovu obliku. Sukladno lanku52. stavku2.
Povelje, pravo pristupa dokumentima takoer je ostvarivo pod uvjetima i u okviru
ogranienja iz lanka15. stavka3. Ugovora u funkcioniraju Europske unije. To pravo
moe biti u suprotnosti s pravom na zatitu podataka ako se pristupom dokumentu
otkrivaju osobni podaci pojedinca. Stoga moe biti potrebno uravnoteiti zahtjeve
pristupa dokumentima ili informacijama javnih tijela s pravom na zatitu podataka
osoba iji su podaci sadrani u zatraenim dokumentima.
Primjer: U predmetu Komisija protiv Bavarian Lager,34 Sud Europske unije defini-
rao je podruje primjene zatite osobnih podataka u kontekstu pristupa doku-
mentima institucija Unije i odnosa izmeu Uredbi br.1049/2001 (Uredba o pri-
stupu dokumentima) i 45/2001 (Uredba o zatiti podataka). Drutvo Bavarian
Lager, osnovano 1992., uvozi njemako pivo u bocama u Ujedinjenu Kraljevinu,
prvenstveno za pivnice i barove. No, navedeno je drutvo nailo na prepreke
jer je britansko zakonodavstvo de facto u povoljniji poloaj stavljalo nacionalne
proizvoae. Kao odgovor na albu drutva Bavarian Lager, Europska komisija
32 Vijee Europe, Odbor ministara (2002), Preporuka Rec(2002)2 dravama lanicama o pristupu slubenim
dokumentima, 21.veljae2002.; Vijee Europe, Konvencija o pristupu slubenim dokumentima,
CETSbr.205,18.lipnja2009. Konvencija jo nije stupila na snagu.
33 Uredba (EZ) br.1049/2001 Europskog parlamenta i Vijea od 30svibnja2001. o javnom pristupu
dokumentima Europskog parlamenta, Vijea i Komisije, SLL2001L145.
34 CJEU, C-28/08P, Europska komisija protiv The Bavarian Lager Co. Ltd, 29.lipnja2010., st.60., 63., 76.,
78. i79.
26
odluila je pokrenuti postupak protiv Ujedinjene Kraljevine jer nije ispunila svoju
obvezu slijedom ega su izmijenjene osporavane odredbe koje su usklaene
s pravom Europske unije. Bavarian Lager zatim je od Komisije meu ostalim
dokumentima zatraio i presliku zapisnika sa sastanka na kojem su sudjelovali
predstavnici Komisije, britanskih nadlenih tijela i Confdration des Brasseurs
du March Commun (CBMC). Komisija je pristala otkriti odreene dokumente
vezane uz sastanak, no izostavila je pet imena koja su se pojavljivala u zapi-
sniku jer su se dvije osobe izriito protivile otkrivanju identiteta, a Komisija nije
uspjela kontaktirati s ostala tri sudionika. Odlukom od 18.oujka2004. Komi-
sija je odbila novu predstavkukojom je drutvo Bavarian Lager trailo cjeloviti
zapisnik sa sastanka pozivajui se prvenstveno na zatitu privatnog ivota poje-
dinaca zajamenu Uredbom o zatiti podataka. Budui da nije bilo zadovoljno
iznesenim stavom, drutvo Bavarian Lager podnijelo je tubu Prvostupanjskom
sudu koji je ponitio odluku Komisije presudom od 8.studenoga2007. (sluaj
T-194/04, Bavarian Lager protiv Komisije), smatrajui u prvom redu da samo
navoenje imena dotinih osoba koje su predstavljale odreena tijela na popisu
sudionika sastanka ne predstavlja naruavanje privatnog ivota niti dovodi pri-
vatne ivote tih osoba u bilo kakvu opasnost.
Na albu Komisije, Sud Europske unije ponitio je presudu Prvostupanjskog suda.

Sud je smatrao da se Uredbom o pristupu dokumentima utvruje konkretan
ojaani sustav zatite pojedinca iji se osobni podaci, u odreenim sluajevima,
mogu priopiti javnosti. Prema Sudu, kada se zahtjevom koji se zasniva na
Uredbi o pristupu dokumentima trai pristup dokumentima koji ukljuuju osobne
podatke, u cijelosti se primjenjuju odredbe Uredbe o zatiti podataka. Sud je
zatim zakljuio da je Komisija s pravom odbila predstavkuza pristup cjelovi-
tom sadraju zapisnika sa sastanka izlistopada1996. U nedostatku suglasno-
sti petero sudionika sastanka, Komisija je u dovoljnoj mjeri ispunila svoju du-
nost otvorenosti dostavljajui verziju dokumenta u kojoj su izostavljena njihova
imena.
Nadalje, prema Sudu, kako Bavarian Lager nije izriito i legitimno opravdao
svoj zahtjev niti je pruio ikakav uvjerljiv argument kojim bi dokazao nunost
dostave tih osobnih podataka, Komisija nije mogla odvagnuti razne interese
dotinih stranki, niti je mogla provjeriti je li bilo razloga za pretpostavkuda se
mogu ugroziti legitimni interesi osoba iji se podaci obrauju, kako se zahtijeva
Uredbom o zatiti podataka.
27
Prema ovoj presudi, za zadiranje u pravo na zatitu podataka vezano uz pristup

dokumentima treba postojati konkretan i opravdan razlog. Pravo na pristup doku-
mentima ne moe automatski nadjaati pravo na zatitu podataka.35
Posebnim aspektom zahtjeva za pristup bavila se sljedea presuda Europskog suda

za ljudska prava.
Primjer: U predmetu Trsasg a Szabadsgjogokrt protiv Maarske,36 podnosi-

telj, nevladina organizacija za ljudska prava, od Ustavnog suda traio je pristup
informacijama o sluaju u tijeku. Bez prethodnog savjetovanja s parlamentar-
cem koji mu je podnio tubu, Ustavni sud odbio je zahtjev za pristupom s obra-
zloenjem da se albe koje su mu podnesene mogu staviti na raspolaganje tre-
im osobama samo uz odobrenje podnositelja. Domai sudovi potvrdili su ovu
uskratu uz obrazloenje da zatitu takvih osobnih podataka ne mogu nadjaati
drugi zakoniti interesi, ukljuujui dostupnost javnih informacija. Podnositelj je
bio u slubi uvara drutva, ije su aktivnosti jamile slinu zatitu poput one
koju uiva tisak. Vezano uz slobodu tiska, Sud za ljudska prava bio je doslje-
dan u svojem stajalitu da javnost ima pravo na informacije od opeg interesa.
Informacije koje je podnositelj traio bile su spremne i dostupne i nisu zahti-
jevale bilo kakvo prikupljanje podataka. U tim je okolnostima drava bila duna
ne opstruirati prijenos informacija koje je zatraio podnositelj. Ukratko, Sud za
ljudska prava smatrao je da prepreke kojima se ometa pristup informacijama
od javnog interesa mogu ometati medijske i srodne djelatnike u vrenju njihove
vitalne uloge javnih uvara. Sud je zakljuio da je prekren lanak10.
Prema pravu Europske unije jasno je utvrena vanost transparentnosti. Naelo

transparentnosti sadrano je u lancima 1. i 10. Ugovora o Europskoj uniji i u
lanku15. stavku1. Ugovora u funkcioniraju Europske unije.37 Prema uvodnoj
izjavi 2. Uredbe (EZ) br.1049/2001, to naelo graanima omoguuje aktivnije
35 Na ovu temu ipak pogledati detaljne rasprave Europskog nadzornika za zatitu podataka (EDPS) (2011),
Javni pristup dokumentima koji sadre osobne podatke nakon presude drutvu Bavarian Lager, Bruxelles,
24. oujka 2011., dostupne na adresi: www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/
Documents/EDPS/Publications/Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
36 ECtHR, Trsasg a Szabadsgjogokrt protiv Maarske, br.37374/05, 14.travnja2009.; vidjeti st.27.,
36.38.
37 EU (2012), Proiene verzije Ugovora o Europskoj uniji i Ugovora o funkcioniranju Europske unije,
SLL2012C326.
28
sudjelovanje u postupku odluivanja, jamei im legitimniju, uinkovitiju i odgovor-

niju administraciju u demokratskom sustavu.38
Slijedom navedenoga, Uredbom Vijea (EZ) br.1290/2005 o financiranju zajednike

poljoprivredne politike i Uredbom Komisije (EZ) br.259/2008 o detaljnim pravilima
njene primjene zahtijeva se objava informacija o korisnicima odreenih sredstava
Europske unije u poljoprivrednom sektoru te o iznosima koje je svaki korisnik pri-
mio.39 Objavljivanje takvih informacija trebalo bi doprinijeti javnoj kontroli admi-
nistracije u pogledu odgovarajue uporabe javnih sredstava. Nekoliko je korisnika
osporilo razmjernost takve objave.
Primjer: U predmetu Volker i Markus Schecke i Hartmut Eifert protiv Land Hes-
sen,40 Sud Europske unije morao je prosuditi razmjernost objave imena korisnika
poljoprivrednih subvencija Europske unije te iznosa koje je svaki od njih primio,
kako nalae zakonodavstvo Europske unije.
Napominjui da pravo na zatitu podataka nije apsolutno pravo, Sud je smatrao

da je objava podataka o imenima korisnika dvaju poljoprivrednih fondova Unije
s ukupnim iznosima primljenih potpora na internetskoj stranici zadiranje u pri-
vatni ivot korisnika, a osobito u zatitu njihovih osobnih podataka.
Sud je smatrao da je takvo zadiranje u lanke7. i8. Povelje omogueno zako-

nom te da je njime ispunjen cilj opeg interesa koji Unija priznaje, a koji ukljuuje
transparentnije koritenje fondova zajednice. Unato tome, Sud je bio miljenja
da je objava imena fizikih osoba korisnika poljoprivredne potpore Unije iz spo-
menuta dva fonda te ukupnih iznosa koje su primili nerazmjerna i neopravdana
mjera uzimajui u obzir lanak52. stavak1. Povelje. Sud je stoga zakonodav-
stvo Europske unije o objavi informacija o korisnicima europskih poljoprivrednih
fondova proglasio djelomino nevaljanim.
38 CJEU, C-41/00P, Interporc Im- und Export GmbH protiv Komisije Europskih zajednica, 6.oujka2003.,
st.39.; i CJEU, C-28/08P, Europska komisija protiv The Bavarian Lager Co. Ltd, 29.lipnja2010., st.54.
39 Uredba Vijea (EZ) br.1290/2005 od 21.lipnja2005. o financiranju zajednike poljoprivredne politike,
SLL 2005L209; i Uredba Komisije (EZ) br.259/2008 od 18.oujka2008. o detaljnim pravilima
primjene Uredbe Vijea (EZ) br.1290/2005 u pogledu objave informacija o korisnicima sredstava
Europskog fonda za jamstva u poljoprivredi (EAGF) i Europskog poljoprivrednog fonda za ruralni razvoj
(EAFRD), SLL2008L76.
40 CJEU, zajedniki sluajevi C-92/09 i C-93/09, Volker i Markus Schecke GbR (C-92/09) i Hartmut Eifert
(C-93/09) protiv Land Hessen, 9.studenoga2010., st.47.52., 58., 66.67., 75., 86. i92.
29
1.2.3. Sloboda umjetnosti i znanosti

Sloboda umjetnosti i znanosti, koja je izriito zatiena lankom13. Povelje, pred-
stavlja jo jedno pravo koje valja uravnoteiti s pravom na potovanje privatnog
ivota i zatitu podataka. To je pravo u prvom redu izvedeno iz prava na slobodu
miljenja i izraavanja, a njegovo uivanje podlijee lanku1. Povelje (ljudsko dosto-
janstvo). Europski sud za ljudska prava smatra da je sloboda umjetnosti zatiena
lankom10. Europske konvencije o ljudskim pravima.41 Pravo zajameno lan-
kom13. Povelje moe podlijegati ogranienjima iz lanka10. Konvencije.42
Primjer: U predmetu Vereinigung bildender Knstler protiv Austrije,43 austrijski

sudovi zabranili su udruzi podnositeljici daljnje izlaganje slike s fotografijama
glava razliitih javnih linosti u seksualnim pozama. Austrijski parlamenta-
rac ija je fotografija takoer iskoritena na slici pokrenuo je postupak protiv
udruge podnositeljice traei zabranu izlaganja slike. Domai je sud prihvatio
njegov zahtjev i dosudio zabranu. Europski sud za ljudska prava ponovio je da
se lanak10. Konvencije primjenjuje na irenje ideja koje vrijeaju, izazivaju ok
ili uznemiruju dravu ili bio koji dio populacije. Oni koji stvaraju, izvode, ire ili
izlau umjetnika djela doprinose razmjeni ideja i miljenja i drava je duna ne
uskratiti im nepotrebno slobodu izraavanja. Budui da je predmetna slika bila
kola u kojem su iskoritene samo glave osoba, a njihova su tijela oslikana na
nerealistian i pretjeran nain, ija svrha oito nije bila predstavljanje pa ak ni
nagovjetaj stvarnosti, Sud za ljudska prava nadalje je izjavio da se slika teko
moe tumaiti kao da se tie privatnog ivota [dotinog], ve se ona prije tie
njegova javnog poloaja politiara te da je u tom svojstvu [dotini] trebao
pokazati vie tolerancije na kritiku. Odvagujui razliite interese, Sud je zaklju-
io da je neograniena zabrana daljnjeg izlaganja slike nerazmjerna. Sud je
zakljuio da je prekren lanak10. Konvencije.
Kada je posrijedi znanost, europsko zakonodavstvo o zatiti podataka uzima u obzir

posebnu vrijednost koju ona ima za drutvo. Iz tog su razloga smanjena opa ogra-
nienja uporabe osobnih podataka. I Direktiva o zatiti podataka i Konvencija br.108.
doputaju zadravanje podataka za znanstvena istraivanja i kada vie nisu potrebni
u prvobitne svrhe za koje su prikupljeni. Isto se tako ni daljnja uporaba osobnih
41 ECtHR, Mller i drugi protiv vicarske, br.10737/84, 24.svibnja1988.

42 Objanjenja vezana uz Povelju o temeljnim pravima, SLL2007C303.
43 ECtHR, Vereinigung bildender Knstler protiv Austrije, br.68345/01, 25.sijenja2007.; vidjeti osobito
st.26. i34.
30
podataka u znanstvenim istraivanjima ne smatra neprikladnom svrhom. Zadaa je

nacionalnog prava donijeti detaljnije odredbe, ukljuujui nune mjere zatite, kojima
e se pomiriti interes znanstvenih istraivanja i prava na zatitu podataka (vidjeti i
odjeljke3.3.3 i8.4).
1.2.4. Zatita vlasnitva

Pravo na zatitu vlasnitva sadrano je u lanku1. Prvog protokola uz Europsku kon-
venciju o ljudskim pravima te u lanku17. stavku1. Povelje. Jedan od vanih aspe-
kata prava na vlasnitvo jest zatita intelektualnog vlasnitva koja se izriito spomi-
nje u lanku17. stavku2. Povelje. U pravnom poretku Europske unije postoji nekoliko
direktiva donesenih u svrhu uinkovite zatite intelektualnog vlasnitva i to osobito
autorskog prava. Intelektualno vlasnitvo ne obuhvaa samo literarno i umjetniko
vlasnitvo, ve i patente, igove i srodna prava.
Iz sudske prakse Suda Europske unije jasno proizlazi da se zatita temeljnog prava
na vlasnitvo mora uravnoteiti sa zatitom drugih temeljnih prava, osobito prava na
zatitu podataka.44 Bilo je sluajeva kada su institucije za zatitu autorskih prava od
davatelja internetskih usluga traile da otkriju identitet korisnika internetskih plat-
formi za zajedniko koritenje datoteka. Takve platforme naime korisnicima inter-
neta esto omoguuju besplatno preuzimanje glazbenih zapisa unato tome to su
zatieni autorskim pravom.
Primjer: Predmet Promusicae protiv Telefnica de Espaa45 ticao se protivljenja

panjolskog pruatelja usluge internetskog pristupa, drutva Telefnica, otkri-
vanju osobnih podataka nekolicine osoba kojima je pruao usluge internetskog
pristupa neprofitnoj organizaciji glazbenih producenata i izdavaa glazbenih i
audiovizualnih snimki pod nazivom Promusicae. Organizacija Promusicae zatra-
ila je otkrivanje informacija kako bi mogla pokrenuti graanski postupak protiv
tih osoba, za koje je tvrdila da su koristile program razmjene datoteka s pristu-
pom fonogramima na koje su pravo upotrebe polagali lanovi Promusicae.
panjolski je sud predmet proslijedio Sudu Europske unije zatraivi odgovor

na pitanje moraju li se, prema pravu zajednice, takvi osobni podaci priopiti u
kontekstu graanskih parnica kako bi se osigurala uinkovita zatita autorskog
44 ECtHR, Ashby Donald i drugi protiv Francuske, br.36769/08, 10.sijenja2013.

45 CJEU, C-275/06, Productores de Msica de Espaa (Promusicae) protiv Telefnica de Espaa SAU,
29.sijenja2008., st.54. i60.
31
prava. Pozvao se na Direktive2000/31, 2001/29 i 2004/48, tumaene i u svje-

tlu lanaka17. i47. Povelje. Sud je zakljuio da ove tri direktive, kao i Direktiva
o e-privatnosti (Direktiva 2002/58), ne spreavaju drave lanice da propiu
obvezu otkrivanja osobnih podataka u kontekstu graanskih parnica, radi uin-
kovite zatite autorskog prava.
Sud je istaknuo da je sluaj potaknuo pitanje potrebe za usklaivanjem zahtjeva

za zatitom razliitih temeljnih prava, odnosno prava na potovanje privatnog
ivota i prava na zatitu vlasnitva i djelotvoran pravni lijek.
Sud je zakljuio da se drave lanice pri prenoenju gore navedenih direk-

tiva moraju oslanjati na ono njihovo tumaenje koje e omoguiti pravednu
ravnoteu razliitih temeljnih prava zatienih pravnim poretkom Zajednice.
Nadalje, pri provedbi mjera kojima se navedene direktive prenose, nadlena
tijela i sudovi drava lanica ne moraju samo tumaiti svoje nacionalno pravo
dosljedno s direktivama, ve i osigurati da se ne oslanjaju na njihovo tumaenje
koje bi bilo u sukobu s navedenim temeljnim pravima ili drugim opim naelima
prava Zajednice, kao to je naelo razmjernosti.46
46 Ibid., st.65. i68.; vidjeti i CJEU, C-360/10, SABAM protiv Netlog N.V., 16.veljae2012.
32
2
Terminologija vezana
uzzatitu podataka

se bavi
Osobni podaci
Direktiva o zatiti podataka, lanak2. Pravna definicija Konvencija br.108, lanak2.
toka(a) toka(a)
CJEU, zajedniki sluajevi C-92/09 i C-93/09, ECtHR, Bernh Larsen
Volker i Markus Schecke GbR (C-92/09) i Holding AS i drugi protiv
Hartmut Eifert (C-93/09) protiv Land Hessen, Norveke, br.24117/08,
9.studenoga2010. 14.oujka2013.
CJEU, C-275/06, Productores de Msica de
Espaa (Promusicae) protiv Telefnica de
Espaa SAU, 29.sijenja2008.
Direktiva o zatiti podataka, lanak8. Posebne kategorije Konvencija br.108, lanak6.
stavak1. osobnih podataka
CJEU, C-101/01, Bodil Lindqvist, (osjetljivi podaci)
6.studenoga2003.
Direktiva o zatiti podataka, lanak6. Anonimizirani i Konvencija br.108, lanak5.
stavak1. toka(e) pseudonimizirani toka(e)
podaci Konvencija br.108,
Eksplanatorno izvjee,
lanak42.
Obrada podataka
Direktiva o zatiti podataka, lanak2. Definicije Konvencija br.108, lanak2.
toka(b) toka(c)
CJEU, C-101/01, Bodil Lindqvist,
6.studenoga2003.
33

se bavi
Korisnici podataka
Direktiva o zatiti podataka, lanak2. Nadzornik Konvencija br.108, lanak2.
toka(d) toka(d)
Preporuka o profiliranju,
lanak1. toka(g) *
Direktiva o zatiti podataka, lanak2. Obraiva Preporuka o profiliranju,
toka(e) lanak1. toka(h)
6.studenoga2003.
Direktiva o zatiti podataka, lanak2. Primatelj Konvencija br.108, Dodatni
toka(g) protokol, lanak2. stavak1.
Direktiva o zatiti podataka, lanak2. Trea stranka
toka(f)
Suglasnost
Direktiva o zatiti podataka, lanak2. Definicije i Preporuka o medicinskim
toka(h) zahtjevi za valjanu podacima, lanak6., i razne
CJEU, C-543/09, Deutsche Telekom AG suglasnost naknadne preporuke
protiv Bundesrepublik Deutschland,
5.svibnja2011.
Napomena: * V
ijee Europe, Odbor ministara (2010), Preporuka Rec(2010)13 dravama lanicama u zatiti
pojedinaca pri automatskoj obradi osobnih podataka u kontekstu profiliranja (Preporuka o
profiliranju), 23.studenoga2010.
2.1. Osobni podaci

Kljune toke
Podaci su osobni ako se odnose na osobu utvrenog identiteta ili osobu iji se identitet
moe utvrditi, odnosno osobu iji se podaci obrauju.
Osoba se moe identificirati ako se bez znaajnijeg napora mogu dobiti informacije o
njoj, ime se omoguuje identifikacija osobe iji se podaci obrauju.
Autentikacija je postupak dokazivanja da odreena osoba ima odreeni identitet i/ili je

ovlatena za poduzimanje odreenih radnji.
Postoje posebne kategorije podataka, takozvani osjetljivi podaci, navedeni u Konvenciji

br.108 i u Direktivi o zatiti podataka, koji zahtijevaju pojaanu zatitu te stoga podli-
jeu posebnom pravnom reimu.
34
Terminologija vezana uzzatitu podataka
Podaci su anonimizirani ako vie ne sadre identifikatore, a pseudonimizirani ako su

identifikatori kodirani.
Za razliku od anonimiziranih podataka, pseudonimizirani podaci su osobni podaci.
2.1.1. Glavni aspekti pojma osobnih podataka

Temeljem prava Europske unije kao i temeljem prava Vijea Europe, osobni
podaci definirani su kao informacije koje se odnose na identificiranu fiziku osobu
ili fiziku osobu koju se moe identificirati,47 to jest informacije o osobi iji je identitet
sasvim jasan ili ga je barem mogue utvrditi uz dodatne informacije.
Ako se podaci o takvoj osobi obrauju, ona se naziva osoba iji se podaci obrauju.
Osoba
Pravo na zatitu podataka razvilo se iz prava na potovanje privatnog ivota.

Pojam privatnog ivota odnosi se na ljudska bia pa su s time u skladu fizike
osobe primarni korisnici zatite podataka. Nadalje, sukladno Miljenju radne sku-
pine iz lanka29., samo je ivo bie zatieno europskim zakonodavstvom o zatiti
podataka.48
Sudska praksa Europskog suda za ljudska prava koja se odnosi na lanak8. Europske
konvencije o ljudskim pravima ukazuje na to kako moe biti teko potpuno razdvojiti
privatni i profesionalni ivot.49
Primjer: U predmetu Amann protiv vicarske,50 slubene su vlasti prislukivale

poslovni telefonski razgovor podnositelja. Na temelju tog razgovora vlasti su
istraile podnositelja i ispunile karticu podnositelja za kartini indeks nacionalne
sigurnosti. Iako se prislukivanje odnosilo na poslovni telefonski razgovor, sa
stajalita Suda za ljudska prava pohrana podataka o pozivu odnosila se na pri-
vatni ivot podnositelja. Sud je istaknuo da se pojam privatni ivot ne smije
47 Direktiva o zatiti podataka, l.2.toka(a); Konvencija br.108, l.2.toka(a).

48 Miljenje 4/2007 o pojmu osobnih podataka Radne skupine iz lanka29. (2007.), WP136,
20.lipnja2007., str.22.
49 Vidjeti primjerice ECtHR, Rotaru protiv Rumunjske [GC], br.28341/95, 4.svibnja2000., st.43.; ECtHR,
Niemitz protiv Njemake, 13710/88, 16.prosinca1992., st.29.
50 ECtHR, Amann protiv vicarske [GC], br.27798/95, 16. veljae 2000., st.65.
35
tumaiti restriktivno i to poglavito stoga to potovanje privatnog ivota sadri

pravo na uspostavljanje i razvijanje odnosa s drugim ljudskim biima. Nadalje,
nije bilo ikakvog naelnog razloga kako bi se opravdalo izuzimanje radnji profe-
sionalne ili poslovne prirode iz pojma privatnog ivota. Takvo iroko tumae-
nje odgovaralo je onome iz Konvencije br.108. Sud je nadalje drao da uplitanje
u sluaj podnositelja nije bilo u skladu sa zakonom, jer nacionalno zakonodav-
stvo nije sadravalo konkretne i detaljne odredbe o prikupljanju, snimanju i
pohrani informacija. Sud je stoga zakljuio da je prekren lanak8. Konvencije.
Ako i pitanja profesionalnog ivota mogu biti predmetom zatite podataka, upitno je
zato se zatita nudi samo fizikim osobama. Prava se sukladno Europskoj konvenciji
o ljudskim pravima jame ne samo fizikim osobama, ve svima.
Postoji sudska praksa Europskog suda za ljudska prava s presudama u tubama

pravnih osoba zbog navodnog krenja prava na zatitu od uporabe njihovih poda-
taka sukladno lanku8. Konvencije. No sud je sluaj promatrao iz perspektive prava
na potovanje doma i dopisivanja, a ne privatnog ivota:
Primjer: Predmet Bernh Larsen Holding AS i drugi protiv Norveke51 ticao se

albe triju norvekih drutava na odluku poreznog tijela koja im je nalagala da
poreznim revizorima dostave preslike svih podataka s raunalnog posluitelja
koji su sva tri drutva zajedniki koristila.
Europski sud za ljudska prava smatrao je da je takva obveza nametnuta dru-

tvima podnositeljima bila zadiranje u njihova prava na potovanje doma i
dopisivanja u svrhe lanka8. Konvencije. No, Sud je zakljuio da su porezna
tijela raspolagala odgovarajuim i uinkovitim mehanizmima zatite od zlopo-
rabe: drutva podnositelji obavijetena su dovoljno vremena unaprijed; bila su
prisutna i mogla su sudjelovati u postupku tijekom intervencije na licu mjesta;
a materijal se trebao unititi po zavretku porezne revizije. U tim je okolnostima
postignuta pravedna ravnotea izmeu prava drutava podnositelja na poto-
vanje doma i dopisivanja te njihova interesa vezanog uz zatitu privatno-
sti njihovih zaposlenika s jedne strane, i javnog interesa uinkovite inspekcije
radi porezne procjene s druge strane. Sud je zakljuio da stoga nije prekren
lanak8.
51 ECtHR, Bernh Larsen Holding AS i drugi protiv Norveke, br.24117/08, 14.oujka2013. Vidjeti i ECtHR,
Liberty i drugi protiv Ujedinjene Kraljevine, br.58243/00, 1.srpnja2008.
36
Prema Konvenciji br.108, zatita podataka u prvom se redu bavi zatitom fizikih
osoba; no ugovorne stranke u okviru nacionalnog zakonodavstva mogu proiriti
zatitu podataka i na pravne osobe, primjerice poslovna drutva i udruge. Europ-
sko zakonodavstvo o zatiti podataka u naelu ne pokriva zatitu pravnih osoba
u pogledu obrade s njima povezanih podataka. Nacionalni zakonodavci slobodno
mogu regulirati to pitanje.52
sen,53 Sud Europske unije, pozivajui se na objavu osobnih podataka o korisni-
cima poljoprivredne potpore, smatrao je da pravne osobe mogu traiti zatitu
iz lanaka7. i8. Povelje u odnosu na takvu identifikaciju samo ako slubeni
naziv pravne osobe identificira jednu fiziku osobu ili vie njih. [] pravo na
potovanje privatnog ivota vezano uz obradu osobnih podataka iz lanaka 7.
i 8. Povelje, tie se bilo koje informacije koja se odnosi na identificiranog poje-
dinca ili pojedinca koji se moe identificirati [].54
Mogunost identifikacije osobe
Unutar prava Europske unije kao i unutar prava Vijea Europe, informacije sadre
podatke o osobi ako:
se pojedinac identificira kroz te informacije
je pojedinac, unato tome to nije identificiran, opisan kroz te informacije

na nain koji omoguuje otkrivanje osobe iji se podaci obrauju dodatnim
istraivanjem.
Obje su ove vrste informacija na isti nain zatiene europskim zakonodavstvom o

zatiti podataka. Europski sud za ljudska prava esto je ponavljao da je pojam osob-
nih podataka prema Europskoj konvenciji o ljudskim pravima isti kao u Konvenciji
br.108, osobito to se tie uvjeta koji se odnosi na identificirane osobe ili osobe koje
je mogue identificirati.55
52 Direktiva o zatiti podataka, uvodna izjava24.

(C-93/09) protiv Land Hessen, 9.studenoga2010., st.53.
54 Ibid., st.52.
55 Vidjeti ECtHR, Amann protiv vicarske [GC], br.27798/95, 16. veljae 2000., st.65. idrugi.
37
Pravne definicije osobnih podataka ne razjanjavaju dalje kada se osoba smatra

identificiranom.56 Identifikacija oito podrazumijeva elemente koji osobu opisuju na
nain koji je razlikuje od svih drugih osoba i prepoznaje kao pojedinca. Ime osobe
prvi je primjer takvih elemenata opisa. U iznimnim sluajevima drugi identifika-
tori mogu imati uinak slian uinku imena. Kod javnih osoba primjerice moe biti
dovoljno uputiti na funkciju osobe, npr. predsjednik Europske komisije.
Primjer: U predmetu Promusicae,57 Sud Europske unije izjavio je da je neos-

porno da dostavljanje imena i adresa pojedinih korisnika [odreene internetske
platforme za zajedniko koritenje datoteka] koje je zatraila organizacija Pro-
musicae ukljuuje stavljanje na raspolaganje osobnih podataka, odnosno infor-
macija koje se tiu identificiranih fizikih osoba ili fizikih osoba koje je mogue
identificirati, u skladu s definicijom iz lanka2. toke(a) Direktive95/46 [].
Takvo dostavljanje informacija koje je, kako je iznijela Promusicae, a Telefnica
nije osporila, Telefnica pohranila, predstavlja obradu osobnih podataka u smi-
slu prvog stavka lanka2. Direktive2002/58, u vezi s lankom2. tokom (b)
Direktive95/46.
Budui da mnoga imena nisu jedinstvena, za utvrivanje identiteta osobe mogu biti
potrebni dodatni identifikatori kako bi se osiguralo da se osoba ne zamijeni nekim
drugim. esto se koriste datum i mjesto roenja. U pojedinim su zemljama takoer
uvedeni personalizirani brojevi kako bi se graani bolje meusobno razlikovali. Bio-
metrijski podaci, kao to su otisci prstiju, digitalne fotografije ili skeniranja arenice
oka, sve su vaniji za identificiranje osoba u tehnoloko doba.
No preduvjet za primjenjivost europskog zakonodavstva o zatiti podataka nije pre-

cizna identifikacija osobe iji se podaci obrauju; dovoljno je da se dotina osoba
moe identificirati. Smatra se da se osoba moe identificirati ako informacije o njoj
sadre elemente identifikacije na temelju kojih se osoba moe identificirati, izravno
ili neizravno.58 Sukladno uvodnoj izjavi26. Direktive o zatiti podataka, to se procje-
njuje na temelju vjerojatnosti da e predvidivim korisnicima informacija biti dostupni
prihvatljivi instrumenti identifikacije i da e ih korisnici poduzeti, to ukljuuje i pri-
matelje tree stranke (vidjeti odjeljak2.3.2).
56 Vidjeti i ECtHR, Odivre protiv Francuske [GC], br.42326/98, 13.veljae2003.; i ECtHR, Godelli protiv
Italije, br.33783/09, 25.rujna2012.
57 CJEU, C-275/06, Productores de Msica de Espaa (Promusicae) protiv Telefnica de Espaa SAU,
29.sijenja2008., st.45.
58 Direktiva o zatiti podataka, l.2. toka(a)
38
Primjer: Lokalno tijelo odlui prikupljati podatke o vozilima koja prebrzo prome-
tuju lokalnim cestama. Potom fotografira vozila, automatski snimajui vrijeme
i lokaciju, kako bi te podatke proslijedilo nadlenom tijelu radi kanjavanja pri-
jestupnika. Osoba iji se podaci obrauju uloi albu tvrdei da lokalno tijelo,
sukladno zakonodavstvu o zatiti podataka, nema pravne osnove za takvo
prikupljanje podataka. Lokalno tijelo smatra da ne prikuplja osobne podatke,
tvrdei da su podaci o registraciji podaci o anonimnim osobama. Lokalno tijelo
nema pravnu ovlast pristupa opem registru vozila za otkrivanje identiteta vla-
snika vozila ili vozaa.
Taj se argument ne podudara s uvodnom izjavom 26. Direktive o zatiti poda-

taka. S obzirom na to da je oita svrha prikupljanja podataka identificirati i
kazniti prekritelje, izgledno je da e se pokuati izvriti identifikacija. Premda
lokalna tijela nemaju izravan pristup instrumentima identifikacije, oni podatke
prosljeuju nadlenom tijelu, odnosno policiji, koja raspolae tim instrumen-
tima. Iz uvodne izjave26. takoer jasno proizlazi scenarij prema kojem se moe
predvidjeti da daljnji primatelji podataka, osim neposrednog korisnika podataka,
mogu pokuati identificirati pojedinca. U svjetlu uvodne izjave26., radnja koju je
poduzelo lokalno tijelo izjednaena je s prikupljanjem podataka o osobama koje
se mogu identificirati te je stoga za nju, sukladno zakonodavstvu o zatiti poda-
taka, potrebna pravna osnova.
Unutar prava Vijea Europe mogunost identifikacije tumai se na slian nain. U

lanku1. stavku2. Preporuke o podacima o plaanjima,59 navodi se primjerice da se
osoba ne smatra osobom koja se moe identificirati ako je za njenu identifikaciju
potrebno uloiti previe vremena, financijskih sredstava ili radne snage.
Autentikacija
Autentikacija je postupak u kojem osoba moe dokazati da posjeduje odreeni

identitet i/ili da je ovlatena za odreene radnje, poput pristupanja sigurnosnim
podrujima ili podizanja novca s bankovnog rauna. Autentikacija se moe provesti
usporedbom biometrijskih podataka, kao to su fotografija ili otisak prsta u putov-
nici, s podacima kojima se osoba predstavlja prilikom, na primjer, imigracijske kon-
trole; ili traenjem podataka koje bi trebala znati samo osoba odreenog identiteta
ili s odreenom ovlau, kao to je jedinstveni identifikacijski broj (PIN) ili lozinka;
59 CoE, Odbor ministara (1990), Preporuka br.R Rec(90) 19 o zatiti osobnih podataka koritenih za
plaanje i druge srodne radnje, 13.rujna1990.
39
ili traenjem predoenja odreenog tokena koji bi trebao biti u iskljuivom posjedu
osobe odreenog identiteta ili s odreenom ovlau, kao to su posebna ip kar-
tica ili klju bankovnog sefa. Osim lozinki ili ip kartica, katkad zajedno s PIN-ovima,
elektroniki potpis predstavlja vrlo uinkovit instrument identifikacije i autentikacije
osobe u elektronikim komunikacijama.
Priroda podataka
Svaka informacija moe biti osobni podatak pod uvjetom da se odnosi na osobu.
Primjer: Procjena radnih sposobnosti djelatnika koju nadreeni pohranjuje u

osobni dosje djelatnika predstavlja osobni podatak o djelatniku unato tome to
moe sadravati, djelomice ili u cijelosti, samo osobno miljenje nadreenog,
primjerice: djelatnik nije posveen poslu, a ne tvrde injenice kao to su: dje-
latnik je u proteklih est mjeseci s posla izostao pet tjedana.
Osobni podaci obuhvaaju informacije koje se tiu privatnog ivota osobe kao i infor-
macije o profesionalnom ili javnom ivotu te osobe.
U predmetu pod nazivom Sluaj Amann,60 Europski sud za ljudska prava pojam
osobni podaci tumaio je ne ograniavajui ga na pitanja privatne sfere pojedinca
(vidjeti odjeljak2.1.1). Znaenje pojma osobni podaci takoer je bitno za Direktivu
o zatiti podataka:
sen,61 Sud Europske unije izjavio je da u tom smislu nije vano to se objavljeni
podaci tiu radnji profesionalne prirode []. Europski sud za ljudska prava, pozi-
vajui se na tumaenje lanka8. Konvencije, o ovom je pitanju zauzeo stav da
pojam privatni ivot ne treba tumaiti restriktivno te da nema ikakvog nael-
nog razloga kako bi se opravdalo izuzimanje radnji profesionalne ... prirode iz
pojma privatnog ivota.
Podaci se odnose na osobe i ako sadraj informacija neizravno otkriva podatke o

osobi. U pojedinim sluajevima, kada postoji uska veza izmeu predmeta ili dogaaja
60 Vidjeti ECtHR, Amann protiv vicarske [GC], 16. veljae 2000., st.65.
61 Zajedniki sluajevi C-92/09 i C-93/09, Volker i Markus Schecke GbR i Hartmut Eifert protiv Land Hessen,
9.studenoga2010., st.59.
40
npr. mobilnog telefona, automobila, nesree s jedne strane, i osobe npr. kao vla-
snika, korisnika, rtve s druge strane, informacije o predmetu ili dogaaju takoer
se trebaju smatrati osobnim podacima.
Primjer: U predmetu Uzun protiv Njemake,62 podnositelj i jo jedna osoba nad-

zirani su ureajem globalnog sustava pozicioniranja (GPS) koji je postavljen u
automobil te druge osobe zbog sumnje da su ukljueni u bombake napade. U
ovom je sluaju Europski sud za ljudska prava smatrao da je motrenje podnosi-
telja preko GPS-a predstavljalo zadiranje u njegov privatni ivot zatien lan-
kom8. Konvencije. Ipak, nadzor putem GPS-a bio je u skladu sa zakonom te
razmjeran zakonitom cilju istraivanja nekoliko pokuaja ubojstva te je stoga
bio nuan u demokratskom drutvu. Sud je zakljuio da nije prekren lanak8.
Konvencije.
Oblik prikazivanja podataka
Oblik u kojem se osobni podaci pohranjuju ili koriste nije relevantan za primjenjivost
zakonodavstva o zatiti podataka. Pismena ili usmena komunikacija moe sadravati
osobne podatke kao i slike,63 ukljuujui snimku64 ili zvuk televizije zatvorenog kruga
(CCTV).65 Elektroniki snimljena informacija, kao i papirnata informacija, takoer
mogu biti osobni podaci; ak i stanini uzorci ljudskog tkiva mogu biti osobni podaci
jer reproduciraju DNK pojedinca.
2.1.2. Posebne kategorije osobnih podataka

Unutar prava Europske unije kao i unutar prava Vijea Europe postoje posebne
kategorije osobnih podataka koji zbog svoje prirode prilikom obrade mogu predstav-
ljati rizik za osobe iji se podaci obrauju te ih stoga treba dodatno zatititi. Obradu
takvih posebnih kategorija osobnih podataka (osjetljivi podaci) iz tog razloga valja
dopustiti samo uz poduzimanje konkretnih mjera zatite.
62 ECtHR, Uzun protiv Njemake, br.35623/05, 2.rujna2010.

63 ECtHR, Von Hannover protiv Njemake, br.59320/00, 24.lipnja 2004.; ECtHR, Sciacca protiv Italije,
br.50774/99, 11.sijenja2005.
64 ECtHR, Peck protiv Ujedinjene Kraljevine, br.44647/98, 28.sijenja2003.; ECtHR, Kpke protiv
Njemake, br.420/07, 5.listopada2010.
65 Direktiva o zatiti podataka, uvodne izjave16. i17.; ECtHR, P.G. iJ.H. protiv Ujedinjene Kraljevine,
br.44787/98, 25.rujna2001., st.59. i60.; ECtHR, Wisse protiv Francuske, br.71611/01,
20.prosinca2005.
41
Prilikom definiranja osjetljivih podataka i Konvencija br.108 (lanak6.) i Direktiva o

zatiti podataka (lanak8.) navode sljedee kategorije:
osobni podaci kojima se otkriva rasno ili etniko podrijetlo
osobni podaci kojima se otkrivaju politika miljenja, vjerska ili druga uvjerenja
osobni podaci u vezi sa zdravljem ili spolnim ivotom.
Primjer: U predmetu Bodil Lindqvist,66 Sud Europske unije izjavio je da poziva-

nje na injenicu da je osoba ozlijedila stopalo, a zaposlena je na nepuno radno
vrijeme iz medicinskih razloga predstavlja osobne podatke koji se tiu zdravlja u
smislu lanka8. stavka 1. Direktive95/46.
Direktiva o zatiti podataka nadalje navodi lanstvo u sindikatu kao osjetljiv poda-
tak, jer ta informacija moe biti oit pokazatelj politikog uvjerenja ili pripadnosti.
Prema Konvenciji br.108 i osobni podaci vezani uz krivine presude smatraju se

osjetljivim podacima.
lanak8. stavak7. Direktive o zatiti podataka drave lanice ovlauje da utvrde

uvjete pod kojima se obrauje nacionalni identifikacijski broj ili bilo koji drugi nain
identifikacije za opu uporabu.
2.1.3. Anonimizirani i pseudonimizirani podaci

Sukladno naelu ogranienog zadravanja podataka sadranom u Direktivi o zatiti
podataka te Konvenciji br.108 (o kojem se detaljnije raspravlja u poglavlju3.), podaci
se uvaju u obliku koji omoguava identifikaciju osoba iji se podaci obrauju samo
tijekom razdoblja potrebnog u svrhe zbog kojih se podaci prikupljaju ili zbog kojih
se dalje obrauju.67 Sukladno tome, kada zastare i vie ne slue prvobitnoj svrsi,
podaci bi se trebali anonimizirati eli li ih nadzornik pohraniti.
66 CJEU, C-101/01, Bodil Lindqvist, 6.studenoga.51.

67 Direktiva o zatiti podataka, l.6. st.1. toka(e); i Konvencija br.108, l.5.toka(e).
42
Anonimizirani podaci
Podaci su anonimizirani ako su svi elementi identifikacije uklonjeni iz zbirke osob-

nih podataka. U njima ne smije ostati nijedan element koji bi mogao posluiti da
se, uz razuman trud, dotina(e) osoba(e) ponovno identificira(ju).68 Kada se podaci
uspjeno anonimiziraju, to vie nisu osobni podaci.
Ako osobni podaci vie ne slue prvobitnoj svrsi, ali se moraju uvati u personalizira-
nom obliku u povijesne, statistike ili znanstvene svrhe, Direktiva o zatiti podataka
i Konvencija br.108 to omoguuju pod uvjetom da se poduzmu odgovarajue mjere
zatite.69
Pseudonimizirani podaci
Osobne informacije sadre identifikatore poput imena, datuma roenja, spola i

adrese. Kada se osobne informacije pseudonimiziraju, identifikatori se zamjenjuju
pseudonimom. Pseudonimizacija se postie, na primjer, ifriranjem identifikatora u
osobnim podacima.
Pseudonimizirani podaci ne spominju se izriito u pravnim definicijama Konvencije

br.108 ili Direktive o zatiti podataka. Unato tome, eksplanatorno izvjee uz Kon-
venciju br.108 u lanku42. navodi [ ] zahtjev [] u vezi s vremenskim rokovima
pohrane podataka u obliku koji je povezan s imenom ne znai da se podaci nakon
izvjesnog vremena trebaju neopozivo odvojiti od imena osobe na koju se odnose,
ve samo da ne bi trebalo biti mogue smjesta povezati podatke i identifikatore. To
se moe postii pseudonimizacijom podataka. Svi oni koji nemaju klju za deifriranje
mogu oteano identificirati pseudonimizirane podatke. Ipak, i dalje postoji poveznica
s identitetom u obliku pseudonima uz klju za deifriranje. Oni koji su ovlateni kori-
stiti takav klju mogu ponovno, na jednostavniji nain, identificirati osobu. Posebno
valja sprijeiti uporabu kljueva za deifriranje od strane neovlatenih osoba.
Kako je pseudonimizacija podataka jedan od najvanijih naina za opsenu zatitu

podataka, kada se nije mogue u cijelosti suzdrati od uporabe osobnih podataka,
valja detaljnije obrazloiti logiku i uinak uporabe.
68 Ibid., uvodna izjava26.

69 Ibid., l.6. stavak1. toka(e); i Konvencija br. 108, lanak5. toka(e).
43
Primjer: Reenica Charles Spencer, roen 3.travnja1967., otac je etvero djece,

dvaju djeaka i dviju djevojica moe se primjerice pseudonimizirati na sljedei
nain:
C.S.1967. otac je etvero djece, dvaju djeaka i dviju djevojicaili
324. otac je etvero djece, dvaju djeaka i dviju djevojicaili
YESz320l otac je etvero djece, dvaju djeaka i dviju djevojica.
Korisnici koji pristupe takvim pseudonimiziranim podacima obino nee moi iden-
tificirati Charlesa Spencera, roenog 3.travnjana temelju pseudonima 324 ili
YESz3201. Zato su pseudonimizirani podaci ee zatieni od zloporabe.
No prvi je navedeni primjer manje siguran. Ako se reenica C.S.1967. otac je

etvero djece, dvaju djeaka i dviju djevojica koristi u malenom selu u kojem Char-
les Spencer ivi, moglo bi ga se lako prepoznati. Metoda pseudonimizacije utjee na
uinkovitost zatite podataka.
Osobni podaci ifriranih identifikatora u mnogim se sluajevima koriste kako bi se

zatajio identitet osoba. To je osobito korisno kada nadzornici moraju osigurati da se
bave istim osobama iji se podaci obrauju, no ne zahtijevaju, ili ne bi smjeli dobiti,
stvarni identitet osoba. To se dogaa kada na primjer istraiva istrauje tijek bolesti
pacijenata iji je identitet poznat samo bolnici u kojoj se pacijent lijei i koja istra-
ivau dostavlja pseudonimizirane povijesti sluajeva. Pseudonimizacija je dakle
snana karika u lancu tehnologije za zatitu privatnosti. Ona moe biti vaan ele-
ment u provedbi ugraene privatnosti. To znai da je zatita podataka ugraena u
tkivo naprednih sustava obrade podataka.
2.2. Obrada podataka

Kljune toke
Pojam obrada u prvom se redu odnosi na automatsku obradu.
Unutar prava Europske unije, obrada se odnosi i na runu obradu u strukturiranim

sustavima arhiviranja.
44
Unutar prava Vijea Europe, znaenje obrade moe se proiriti u okviru nacionalnog
zakonodavstva kako bi obuhvatilo runu obradu.
Zatita podataka prema Konvenciji br.108 i Direktivi o zatiti podataka prvenstveno

je usredotoena na automatsku obradu podataka.
Unutar prava Vijea Europe, u definiciji automatske obrade, prepoznato je da meu

pojedinim automatskim radnjama mogu biti potrebne odreene faze rune uporabe
osobnih podataka. Slino je i unutar prava Europske unije, koje automatsku obradu
podataka definira kao radnje koje se vre na osobnim podacima, u cijelosti ili djelo-
mino automatskim putem.70
Primjer: U predmetu Bodil Lindqvist,71 Sud Europske unije smatrao je da se:
upuivanje na razliite osobe na internetskoj stranici te njihovo identificira-

nje imenom ili na drugi nain, primjerice navoenje njihova telefonskog broja
ili informacija u vezi s njihovim radnim uvjetima ili hobijima, smatra osobnim
podacima koji se u cijelosti ili djelomino obrauju automatskim putem u smi-
slu lanka3. stavka1. Direktive95/46.
Runa obrada podataka takoer zahtijeva zatitu podataka.
Zatita podataka unutar prava Europske unije ni na koji nain nije ograniena na
automatsku obradu podataka. Isto tako, unutar prava Europske unije, zatita poda-
taka primjenjuje se na obradu osobnih podataka u runim sustavima arhiviranja, tj.
posebno strukturiranoj papirnoj datoteci.72 Razlog ovakvog proirenja zatite poda-
taka je to:
papirne datoteke mogu biti strukturirane tako da omoguuju brzo i jednostavno

pronalaenje informacija
se pohranom osobnih podataka u strukturiranim papirnim datotekama lake

zaobilaze zakonski propisana ogranienja automatske obrade podataka.73
70 Konvencija br. 108, l.2. toka(c); i Direktiva o zatiti podataka, l.2.toka(b) i l.3. stavak1.
71 CJEU, C-101/01, Bodil Lindqvist, 6.studenoga.27.
72 Direktiva o zatiti podataka, l..1.
73 Ibid., uvodna izjava27.
45
Unutar prava Vijea Europe, Konvencija br.108 prvenstveno regulira obradu poda-
taka u automatiziranoj bazi podataka.74 No ona takoer prua mogunost proire-
nja zatite na runu obradu u okviru nacionalnog zakonodavstva. Mnoge su stranke
Konvencije br.108 iskoristile tu mogunost i u tu svrhu dale izjavu glavnom tajniku
Vijea Europe.75 Proirenje zatite podataka iz takve izjave mora se odnositi na
sve rune obrade podataka i ne moe se ograniiti na obradu u runim sustavima
arhiviranja.76
to se tie prirode ukljuenih obrada, i pravo Europske unije i pravo Vijea Europe
ukljuuju pojam obrade: obrada osobnih podataka [] znai bilo koji postupak []
kao to je prikupljanje, snimanje, organiziranje, pohrana, prilagoavanje ili mijenja-
nje, vraanje, obavljanje uvida, uporaba, otkrivanje prijenosom i irenjem, ili stav-
ljanje na raspolaganje drugim nainom, poravnavanje ili kombiniranje, blokiranje,
brisanje ili unitavanje77 koji se provodi na osobnim podacima. Pojam obrada
ukljuuje i one postupke u kojima odgovornost za podatke prelazi s jednog nadzor-
nika na drugog.
Primjer: Poslodavci prikupljaju i obrauju podatke o svojim zaposlenicima, uklju-

ujui informacije o njihovim plaama. Pravna osnova za zakonitost tog ina jest
ugovor o radu.
Poslodavci podatke o plaama zaposlenika prosljeuju poreznim tijelima. Takvo

se prosljeivanje podataka takoer smatra obradom u smislu znaenja te
rijei u Konvenciji br.108 i direktivi. No, pravna osnova za zakonitost takvog
otkrivanja podataka nije ugovor o radu. Mora postojati dodatna pravna osnova
za postupke obrade koji podrazumijevaju prijenos podataka o plaama na rela-
ciji poslodavac porezno tijelo. Ta je pravna osnova obino sadrana u odred-
bama nacionalnih poreznih zakona. Bez takvih bi se odredbi prijenos podataka
smatrao nezakonitom obradom.
74 Konvencija br.108, l 2. toka(b).

75 Vidjeti izjave dane sukladno Konvenciji br. 108, l.3. stavak2.toka(c).
76 Vidjeti izjave dane sukladno Konvenciji br. 108, l.3. stavak2.
77 Direktiva o zatiti podataka, l.2. toka(b). Pogledati i Konvenciju br. 108, l.2toka(c).
46
2.3. Korisnici osobnih podataka

Kljune toke
Onaj koji odlui obraivati osobne podatke drugih, sukladno zakonodavstvu o zatiti
podataka, naziva se nadzornik; ako nekoliko ljudi zajedniki donosi tu odluku, oni
mogu biti zajedniki nadzornici.
Obraiva je pravno zaseban subjekt koji obrauje osobne podatke u ime

nadzornika.
Obraiva postaje nadzornik ako koristi podatke u vlastite svrhe, a ne prati upute
nadzornika.
Svatko tko primi podatke od nadzornika je primatelj.
Trea stranka je fizika ili pravna osoba koja ne radi po uputama nadzornika (i nije
osoba iji se podaci obrauju).
Primatelj tree stranke je osoba ili subjekt koja je pravno odvojena od nadzornika, ali
prima osobne podatke od nadzornika.
2.3.1. Nadzornici i obraivai

Najvanija je posljedica obnaanja funkcije nadzornika ili obraivaa pravna odgo-
vornost za ispunjavanje odgovarajuih obveza koje proizlaze iz zakonodavstva o
zatiti podataka. Stoga samo oni koji se mogu smatrati odgovornima sukladno pri-
mjenjivom pravu mogu vriti tu funkciju. U privatnom je sektoru to obino fizika
ili pravna osoba; a u javnom sektoru, nadleno tijelo. Drugi subjekti, poput tijela ili
institucija bez pravne osobnosti, mogu biti nadzornici ili obraivai samo ako tako
nalau posebni propisi.
Primjer: Kad marketinki odjel drutva Sunshine planira obraivati podatke

u svrhe istraivanja trita, onda je nadzornik drutvo Sunshine, a ne marke-
tinki odjel. Marketinki odjel ne moe biti nadzornik jer nema zasebnu pravnu
osobnost.
Kada se radi o grupacijama, matino drutvo i sva ovisna drutva, kao zasebne
pravne osobe, smatraju se zasebnim nadzornicima ili obraivaima. Posljedica je
takvog pravno zasebnog statusa da se za prijenos podataka meu lanovima gru-
pacije zahtijeva posebna pravna osnova. Ne postoji povlastica koja bi omoguila
47
razmjenu osobnih podataka kao takvih meu zasebnim pravnim subjektima unutar
grupacije.
U ovom kontekstu valja spomenuti ulogu fizikih osoba. Unutar prava Europske
unije, kad fizike osobe obrauju podatke o drugima tijekom aktivnosti iskljuivo
osobne ili domae naravi, ne primjenjuju se odredbe Direktive o zatiti podataka;
one se ne smatraju nazdornicima.78
Unato tome, sudska praksa nalae da se zakonodavstvo o zatiti podataka ipak pri-
mjenjuje kada fizika osoba koristei internet objavi podatke o drugima.
Primjer: Sud Europske unije u predmetu Bodil Lindqvist79 smatrao je da:
upuivanje na razliite osobe na internetskoj stranici te njihovo identificira-

nje imenom ili na drugi nain [] smatra se osobnim podacima koji se u cije-
losti ili djelomino obrauju automatskim putem u smislu lanka3. stavka 1.
Direktive95/46.80
Takva obrada osobnih podataka ne spada u aktivnosti iskljuivo osobne ili

domae naravi koje su izvan podruja primjene Direktive o zatiti podataka, jer
se takva iznimka mora [] tumaiti kao da se odnosi samo na aktivnosti koje
se vre u okviru privatnog ili obiteljskog ivota pojedinaca, to oito nije sluaj s
obradom osobnih podataka koja podrazumijeva objavu na internetu te stavlja-
nje na raspolaganje podataka neogranienom broju ljudi .81
Nadzornik
Unutar prava Europske unije nadzornik se definira kao onaj koji sam ili zajedno s
drugima utvruje svrhu i naine obrade osobnih podataka.82 Odluka je nadzornika
zato se i kako podaci obrauju. Unutar prava Vijea Europe, u definiciji nadzor-
nika dodatno se navodi da nadzornik odluuje o tome koje e se kategorije osobnih
podataka pohraniti.83
78 Direktiva o zatiti podataka, uvodna izjava 12. i l.3. stavak2. zadnja alineja.
79 CJEU, C-101/01, Bodil Lindqvist, 6.studenoga2003.
80 Ibid., st.27.
81 Ibid., st.47.
82 Direktiva o zatiti podataka, l.2. toka(d).
83 Konvencija br.108, l.2. toka(d).
48
U definiciji nadzornika iz Konvencije br.108 spominje se jo jedan aspekt nadzora

koji valja razmotriti. Ta se definicija naime odnosi na pitanje tko moe zakonito obra-
ivati odreene podatke u odreene svrhe. No, kada su posrijedi navodno nezako-
niti postupci obrade i treba pronai odgovornog nadzornika, smatra se da je nadzor-
nik osoba ili subjekt, kao to je drutvo ili nadleno tijelo, koja je odluila da podatke
treba obraditi, neovisno o tome je li bila pravno ovlatena takvo to odluiti ili ne.84
Zahtjev za brisanje stoga uvijek valja uputiti injeninom nadzorniku.
Zajedniki nadzor
Definicija nadzornika u Direktivi o zatiti podataka navodi da moe biti vie pravno
zasebnih subjekata koji zajedniki ili s drugima vre funkciju nadzornika. To znai da
zajedno odluuju o obradi podataka u zajednike svrhe.85 To je pravno mogue, no
samo u sluajevima kada posebna pravna osnova omoguuje zajedniku obradu
podataka u zajednike svrhe.
Primjer: Opi primjer zajednikog nadzora je baza podataka koju za svoje klijente
zajedniki vodi nekoliko kreditnih institucija. Kada podnositelj zatrai kredit od
banke koja je jedna od zajednikih nadzornika, banke provjeravaju bazu poda-
taka radi lakeg donoenja odluke na temelju primljenih informacija o kreditnoj
sposobnosti podnositelja zahtjeva.
Propisi ne navode izriito zahtijeva li zajedniki nadzor da zajednika svrha bude ista
za svakog nadzornika ili je li dovoljno da se njihove svrhe tek djelomino prekla-
paju. Ipak, na europskoj razini jo nema sudske prakse niti su jasne posljedice koje
se tiu odgovornosti. Radna skupina iz lanka29. zagovara ire tumaenje pojma
zajednikog nadzora u cilju fleksibilnosti kojom bi se odgovorilo na sve sloeniju tre-
nutnu situaciju po pitanju obrade podataka.86 Sluaj u koji je bilo ukljueno Drutvo
za svjetsku meubankovnu financijsku telekomunikaciju (SWIFT) ilustrira stajalite
Radne skupine.
Primjer: U takozvanom sluaju SWIFT, europske bankovne institucije angairale

su SWIFT, prvobitno kao obraivaa, za operacije prijenosa podataka tijekom
84 Vidjeti i Miljenje 1/2010 Radne skupine iz lanka29. (2010) o pojmovima voditelj zbirke osobnih
podataka i obraiva, WP169, Bruxelles, 16. veljae 2010., str.15.
85 Direktiva o zatiti podataka, l.2. toka(d).
86 Vidjeti i Miljenje 1/2010 Radne skupine iz lanka29. (2010.) o pojmovima voditelj zbirke osobnih
podataka i obraiva, WP169, Bruxelles, 16. veljae 2010., st.19.
49
bankovnih transakcija. SWIFT je te podatke o bankovnim transakcijama, pohra-

njene u raunalnom uslunom centru SAD-a, otkrio Odjelu dravne riznice
SAD-a iako mu to nisu izriito naloile europske bankarske institucije koje su
SWIFT angairale. Prilikom procjene zakonitosti ove situacije, Radna skupina iz
lanka29. zakljuila je da se na europske bankarske institucije koje su anga-
irale SWIFT, kao i na sam SWIFT, treba gledati kao na zajednike nadzornike
koji europskim klijentima odgovaraju za otkrivanje njihovih podataka nadlenim
tijelima SAD-a.87 Odluujui otkriti podatke SWIFT je nezakonito preuzeo ulogu
nadzornika; bankarske institucije oito nisu ispunile svoju obvezu nadgledanja
svojeg obraivaa te ih se stoga nije moglo u cijelosti osloboditi odgovornosti
koju su imale kao nadzornici. Ishod je ove situacije zajedniki nadzor.
Obraiva
Obraiva se unutar prava Europske unije definira kao osoba koja obrauje osobne
podatke u ime nadzornika.88 Aktivnosti povjerene obraivau mogu se ograniiti na
vrlo konkretnu zadau ili kontekst ili mogu biti prilino openite i sveobuhvatne.
Unutar prava Vijea Europe, znaenje pojma obraivaa isto je kao i unutar prava
Europske unije.
Osim to obrauju podatke za druge, obraivai su takoer i nadzornici s obzirom na

obradu podataka koju vre u vlastite svrhe, npr. upravljanje vlastitim zaposlenicima,
plaama i raunima.
Primjeri: Drutvo Everready specijalizirano je za obradu podataka za voenje

podataka o ljudskim potencijalima za druga drutva. U toj je funkciji Everready
obraiva.
No kada drutvo Everready obrauje podatke svojih zaposlenika, ono je nad-

zornik za postupke obrade podataka jer time ispunjava svoju obvezu kao
poslodavac.
87 Radna skupina iz lanka29. (2006.), Miljenje 10/2006 o obradi osobnih podataka od strane Drutva za
svjetsku meubankovnu financijsku telekomunikaciju (SWIFT), WP128, Bruxelles, 22.studenoga2006.
88 Direktiva o zatiti podataka, l.2. toka(e).
50
Odnos izmeu nadzornika i obraivaa
Kao to je reeno, nadzornik je definiran kao onaj koji utvruje svrhu i naine obrade.
Primjer: Direktor drutva Sunshine odluio je da drutvo Moonlight, specijalizi-

rano za marketinke analize, provede marketinku analizu podataka o kupcima
drutva Sunshine. Iako je zadaa utvrivanja naina obrade povjerena drutvu
Moonlight, drutvo Sunshine je nadzornik, a drutvo Moonlight samo obraiva,
jer, prema ugovoru, Moonlight moe koristiti podatke o kupcima drutva Suns-
hine samo u svrhe koje utvrdi Sunshine.
Ako se ovlast utvrivanja naina obrade povjeri obraivau, nadzornik svejedno

mora imati utjecaj na odluke obraivaa u pogledu naina obrade. Sveukupna odgo-
vornost ostaje na strani nadzornika, koji mora nadgledati obraivae kako bi osigu-
rao da su njihove odluke u skladu sa zakonodavstvom o zatiti podataka. Iz tog bi se
razloga ugovor kojim se nadzorniku brani uplitanje u odluke obraivaa vjerojatno
tumaio na nain da iz njega proizlazi zajedniki nadzor koji podrazumijeva da obje
stranke dijele pravu odgovornost nadzornika.
Nadalje, u sluaju da obraiva ne bi potivao ogranienja uporabe podataka na

nain koji propie nadzornik, obraiva postao bi nadzornik bar u opsegu krenja
uputa nadzornika. U tom e sluaju obraiva najvjerojatnije postati nadzornik koji
djeluje nezakonito, a prvobitni nadzornik morat e objasniti kako je obraiva mogao
prekriti svoj mandat. Radna skupina iz lanka29. zaista esto pretpostavlja da su
takvi sluajevi stvar zajednikog nadzora jer je to u najboljem interesu zatite osoba
iji se podaci obrauju.89 Vana bi posljedica zajednikog nadzora trebala biti skupna
i solidarna odgovornost za tetu koja bi osobama iji se podaci obrauju omoguila
vei broj pravnih lijekova.
Pitanje o podjeli odgovornosti moe se javiti i kada je nadzornik malo poduzee, a

obraiva velika korporacija koja moe diktirati uvjete usluga koje prua. U takvim
okolnostima Radna skupina iz lanka29. smatra da se standard odgovornosti ne
89 Radna skupina iz lanka29. (2010.), Miljenje 1/2010 o pojmovima nadzornik i obraiva, WP169,
Bruxelles, 16. veljae2010., st.25; i Radna skupina iz lanka29. (2006.), Miljenje 10/2006 o obradi
osobnih podataka od strane Drutva za svjetsku meubankovnu financijsku telekomunikaciju (SWIFT),
WP128, Bruxelles, 22.studenoga2006.
51
smije sniavati zbog ekonomske nejednakosti i da se mora zadrati shvaanje pojma

nadzornika.90
Radi jasnoe i transparentnosti, detalje odnosa nadzornika i obraivaa treba urediti

pismenim ugovorom.91 U suprotnom se kri obveza nadzornika u pogledu predoa-
vanja pismene dokumentacije o uzajamnim odgovornostima, to moe dovesti do
kazni.92
Obraivai mogu prepustiti odreene zadae podizvoaima obrade. To je zakonski

doputeno, a konkretno ovisi o ugovornim odredbama izmeu nadzornika i obrai-
vaa, ukljuujui injenicu je li ovlatenje nadzornika nuno ba u svakom sluaju ili
je dovoljna samo obavijest.
Unutar prava Vijea Europe, u cijelosti je primjenjivo tumaenje pojmova nadzornika

i obraivaa, kako je gore opisano, na to ukazuju preporuke donesene sukladno
Konvenciji br.108.93
2.3.2. Primatelji i tree stranke

Razlika izmeu ove dvije kategorije osoba ili subjekata, uvedene Direktivom o zatiti
podataka, uglavnom se odnosi na odnos koji imaju s nadzornikom te posljedino na
ovlatenje za pristup osobnim podacima navedenoga nadzornika.
Trea stranka pravno se razlikuje od nadzornika pa e za otkrivanje podataka tre-

oj stranki uvijek biti potrebna konkretna pravna osnova. Prema lanku2. toki(f)
Direktive o zatiti podataka, trea stranka je bilo koja fizika ili pravna osoba, javno
tijelo, agencija ili bilo koje drugo tijelo osim osobe iji se podaci obrauju, nadzor-
nika, obraivaa i osoba koje su na temelju izravne ovlasti nadzornika ili obraivaa
ovlatene obraivati podatke. To znai da e osobe koje rade za organizaciju koja
se pravnim oblikom razlikuje od nadzornika ak i ako pripada istoj grupaciji ili hol-
dingu biti trea stranka (ili e joj pripadati). S druge strane, poslovnice banke koje
90 Vidjeti i Miljenje 1/2010 Radne skupine iz lanka29. (2010) o pojmovima nadzornik i obraiva,
WP169, Bruxelles, 16. veljae 2010., st.26.
91 Direktiva o zatiti podataka, l.. 3. i4.
92 Vidjeti i Miljenje 1/2010 Radne skupine iz lanka29. (2010) o pojmovima nadzornik i obraiva,
WP169, Bruxelles, 16. veljae 2010., str.27.
93 Vidjeti primjerice Preporuku o profiliranju, l.1.
52
obrauju raune klijenata pod izravnom ovlasti svojih sjedita nee se smatrati tre-
im strankama.94
Primatelj je iri pojam od tree stranke. U smislu lanka2. toke(g) Direktive o

zatiti podataka, primatelj je fizika ili pravna osoba, javno tijelo, agencija ili bilo koje
drugo tijelo kojem se podaci otkrivaju, bilo da je trea stranka ili ne. Primatelj moe
biti ili osoba izvan tijela nadzornika ili obraivaa u tom je sluaju to trea stranka
ili netko unutar tijela nadzornika ili obraivaa, kao to je zaposlenik ili drugi odjel
unutar istog drutva ili tijela.
Razlika izmeu primatelja i treih stranki vana je samo zbog uvjeta za zakonito
otkrivanje podataka. Zaposlenici nadzornika ili obraivaa bez dodatnih pravnih
zahtjeva mogu biti primatelji osobnih podataka ako su ukljueni u postupke obrade
nadzornika ili obraivaa. S druge strane, s obzirom na to da je trea stranka pravno
zaseban subjekt od nadzornika ili obraivaa, ona nije ovlatena koristiti osobne
podatke koje obradi nadzornik, osim ako za to u konkretnom sluaju postoje kon-
kretne pravne osnove. Primateljima treim strankama podataka stoga e uvijek
trebati pravna osnova za zakonito primanje osobnih podataka.
Primjer: Zaposlenik obraivaa koji koristi osobne podatke u okviru zadaa koje
mu je povjerio poslodavac je primatelj podataka, ali nije trea stranka jer koristi
podatke u ime i prema uputama obraivaa.
No, odlui li isti taj zaposlenik u vlastite svrhe iskoristiti podatke, kojima moe
pristupiti kao zaposlenik obraivaa, i proda ih drugom drutvu, tada je zaposle-
nik djelovao kao trea stranka. U tom sluaju on vie ne slijedi upute obraivaa
(poslodavca). Zaposleniku bi, kao treoj stranki, trebala pravna osnova za stjeca-
nje i prodaju podataka. U ovom sluaju zaposlenik zasigurno nema takvu pravnu
osnovu pa su takve radnje nezakonite.
94 Miljenje 1/2010 Radne skupine iz lanka29. (2010.) o pojmovima nadzornik i obraiva, WP169,
Bruxelles, 16. veljae2010., str.31.
53
2.4. Suglasnost
Kljune toke
Kao pravna osnova za obradu osobnih podataka, suglasnost mora biti dobrovoljno
dana, posebna i utemeljena na informacijama.
Isto tako, dana suglasnost mora biti nedvosmislena. Suglasnost se moe dati izriito
ili implicitno i to na nain koji ne dovodi u sumnju da je osoba iji se podaci obrauju
suglasna s obradom svojih podataka.
Za obradu osjetljivih podataka na temelju suglasnosti potrebna je izriita suglasnost.
Suglasnost se moe povui u svakom trenutku.
Suglasnost znai svaka dobrovoljno dana, posebna i informirana izjava volje.95

U brojnim je sluajevima ona pravna osnova za zakonitu obradu podataka (vidjeti
odjeljak4.1).
2.4.1. Elementi valjane suglasnosti

Sukladno pravu Europske unije tri su elementa preduvjeti da bi suglasnost bila
valjana. Njima se jami da su osobe iji se podaci obrauju zaista pristale na uporabu
svojih podataka:
osoba iji se podaci obrauju ne smije biti pod pritiskom prilikom davanja
suglasnosti
osoba iji se podaci obrauju mora biti propisno informirana o predmetu i poslje-
dicama davanja suglasnosti
podruje primjene suglasnosti mora biti konkretno u prihvatljivoj mjeri.
Suglasnost e biti valjana u smislu zakonodavstva o zatiti podataka samo ako su

ispunjeni svi navedeni preduvjeti.
Konvencija br.108 ne sadri definiciju suglasnosti; to je preputeno nacionalnim

zakonodavstvima. Ipak, unutar prava Vijea Europe, elementi valjane suglasnosti
95 Direktiva o zatiti podataka, l.2. toka(h).
54
odgovaraju onima koji su prethodno spomenuti, kako stoji u preporukama koje su

izraene sukladno Konvenciji br.108.96 Zahtjevi za suglasnost isti su kao i za izjavu o
namjeri iz europskog graanskog prava.
Dodatni zahtjevi za valjanu suglasnost unutar graanskog prava, kao to je pravna

sposobnost, takoer se primjenjuju i u kontekstu zatite podataka, jer su takvi
zahtjevi temeljni pravni preduvjeti. Nevaljana suglasnost osoba bez pravne spo-
sobnosti podrazumijeva nedostatak pravne osnove za obradu podataka o takvim
osobama.
Suglasnost se moe dati izriito97 ili neizriito. Izriita suglasnost ne dovodi u sumnju
namjere osobe iji se podaci obrauju i moe se dati usmeno ili pismeno; neizriita
suglasnost utvruje se na temelju okolnosti. Svaka se suglasnost mora dati ned-
vosmisleno.98 To znai da ne smije izazivati opravdanu sumnju da je osoba iji se
podaci obrauju eljela izraziti svoje slaganje s obradom svojih podataka. Neija
puka neaktivnost tako ne znai da je dotini dao nedvosmislenu suglasnost. Kada su
podaci koji se obrauju osjetljive prirode, obvezna je izriita suglasnost koja mora biti
nedvosmislena.
Dobrovoljna suglasnost
Postojanje dobrovoljne suglasnosti valjano je samo ako osoba iji se podaci obra-
uju moe zaista birati bez opasnosti od obmane, zastraivanja, prisile ili bitno nega-
tivnih posljedica ako uskrati suglasnost.99
Primjer: U mnogim zranim lukama putnici moraju proi kroz skenere tijela kako
bi pristupili ukrcaju u zrakoplov.100 Budui da se tijekom skeniranja obrauju
podaci o putnicima, obrada mora biti u skladu s jednom od pravnih osnova iz
lanka7. Direktive o zatiti podataka (vidi odjeljak4.1.1). Prolazak kroz skenere
tijela ponekad se putnicima predstavlja kao opcija, pri emu se podrazumijeva
da suglasnost moe opravdati obradu. No putnici se mogu pribojavati da e nji-
hovo odbijanje skeniranja tijela biti sumnjivo ili povlaiti dodatne kontrole poput
96 Vidjeti primjerice Konvenciju br. 108, Preporuku o statistikim podacima, toku 6.

97 Direktiva o zatiti podataka, l.. 2.
98 Ibid., l.7. pod(a) i l.26. stavak1.
99 Vidi i Miljenje 15/2011 Radne skupine iz lanka29. (2011.) o pojmu suglasnosti, WP187, Bruxelles,
13. srpnja 2011., str.12.
100 Ovaj je primjer uzet iz Ibid., str.15.
55
pretraivanja tijela. Mnogi putnici pristaju na skeniranje jer tako izbjegavaju

potencijalne probleme ili kanjenja. Takva suglasnost ne smatra se dobrovolj-
nom u dovoljnoj mjeri.
Stoga se solidna legitimna osnova moe pronai samo u zakonodavnom aktu

iz kojeg, na temelju lanka7. toke(e) Direktive o zatiti podataka, proizlazi
obveza suradnje putnika radi prevladavajueg javnog interesa. No, zakonodav-
stvo ipak moe ostaviti izbor izmeu skeniranja i pretraivanja, ali samo kao
dio dodatnih mjera granine kontrole koje su nune u odreenim okolnostima.
Tako su glasile dvije uredbe Europske komisije iz 2011. koje su se ticale zatitnih
skenera.101
Dobrovoljni pristanak takoer moe biti ugroen u situacijama podreenosti, tj. kada
postoji znaajna ekonomska ili druga neravnotea izmeu nadzornika koji osigurava
suglasnost i osobe iji se podaci obrauju koja daje suglasnost.102
Primjer: Velika kompanija planira izraditi registar s imenima svih zaposlenika,

njihovim funkcijama u kompaniji i poslovnim adresama, i to iskljuivo u svrhe
unapreenja unutarnje komunikacije kompanije. Voditelj kadrovske slube pred-
lae da se u registar uz svako ime zaposlenika doda i slika kako bi se, primjerice,
kolege lake meusobno prepoznali na sastancima. Predstavnici zaposlenika
trae da se to uini iskljuivo ako na to pristane svaki zaposlenik posebno.
U ovoj se situaciji suglasnost zaposlenika treba priznati kao pravna osnova za

obradu fotografija u registru jer je jasno da objava fotografije u registru sama po
sebi nema negativne posljedice te je isto tako vjerojatno da se zaposlenik nee
suoiti s negativnim radnjama poslodavca u sluaju da ne pristane na objavu
fotografije u registru.
101 Uredba komisije (EU) br.1141/2011. od 10.studenoga2011. o izmjeni Uredbe (EZ) br.272/2009. o
dopuni zajednikih osnovnih standarda o zatiti civilnog zranog prometa u vezi s upotrebom zatitnih
skenera u zranim lukama EU-a, SLL 2011L293, i Provedbena uredba Komisije (EU) br.1147/2011 od
11.studenoga2011. o izmjeni Uredbe (EU) br.185/2010 o provedbi zajednikih osnovnih standarda
o zatiti civilnog zranog prometa u vezi s upotrebom zatitnih skenera u zranim lukama EU-a,
SLL2011L294.
102 Vidjeti i Miljenje 8/2001 Radne skupine iz lanka29. (2001.) o obradi osobnih podataka u kontekstu
zapoljavanja, WP48, Bruxelles, 13. rujna 2001.; i Radna skupina iz lanka29. (2005.), Radni dokument
o zajednikom tumaenju lanka26. stavka 1. Direktive 95/46/EZ od 24.listopada1995., WP114,
Bruxelles, 25.studenoga2005.
56
No to ne znai da suglasnost nikada ne moe biti valjana u okolnostima u kojima bi

uskrata suglasnosti imala negativne posljedice. Ako primjerice nesuglasnost za pre-
uzimanje kartice nekog supermarketa za ishod ima samo neostvarivanje popusta na
cijene odreenih artikala, suglasnost je ipak valjana pravna osnova za obradu osob-
nih podataka onih kupaca koji su pristali na karticu. Izmeu drutva i kupca u tom
sluaju nema podreenosti, a posljedice uskrate suglasnosti nisu dovoljno ozbiljne da
bi sprijeile slobodan izbor osobe iji se podaci obrauju.
S druge strane, uvijek kada se dovoljno bitni proizvodi ili usluge mogu dobiti samo i
iskljuivo ako se odreeni osobni podaci otkriju treim stranama, suglasnost osobe
iji se podaci obrauju na otkrivanje vlastitih podataka obino se ne moe sma-
trati slobodnom odlukom te stoga nije valjana sukladno zakonodavstvu o zatiti
podataka.
Primjer: Ako putnici zrane kompanije pristanu da ona prenese takozvane evi-
dencije imena putnika (PNR), odnosno podatke o njihovu identitetu, prehram-
benim navikama ili zdravstvenim problemima nadlenim tijelima za imigraciju
odreene strane zemlje, to se ne moe smatrati valjanom suglasnou sukladno
zakonodavstvu o zatiti podataka jer putnici nemaju izbora ako ele posjetiti tu
zemlju. Da bi se takvi podaci zakonito prenijeli, potrebna je druga pravna osnova
osim suglasnosti, a to najvjerojatnije poseban zakon.
Suglasnost utemeljena na informacijama
Osoba iji se podaci obrauju mora imati dovoljno informacija prije donoenja
odluke. Jesu li pruene informacije dostatne ili ne moe se utvrditi samo u svakom
sluaju posebno. Obino e suglasnost utemeljena na informacijama ukljuivati pre-
cizan i vrlo razumljiv opis pitanja za koje se trai suglasnost kao i navoenje poslje-
dica suglasnosti ili nesuglasnosti. Jezik koji se koristi za informiranje treba biti prilago-
en predvidivim primateljima informacija.
Informacije takoer moraju biti lako dostupne osobi iji se podaci obrauju. Dostu-
pnost i vidljivost informacija predstavljaju vane elemente. U elektronikom okrue-
nju dobro rjeenje mogu biti slojevite informativne obavijesti jer, osim saete verzije
informacija, osoba iji se podaci obrauju moe pristupiti i proirenoj verziji.
57
Posebna suglasnost
Kako bi bila valjana, suglasnost mora takoer biti posebna, to ide ruku pod ruku
s kvalitetom informacija o predmetu suglasnosti. U tom su kontekstu relevantna
razumna oekivanja prosjene osobe iji se podaci obrauju. Ako treba dodavati ili
mijenjati postupke obrade na nain koji se nije mogao opravdano predvidjeti u tre-
nutku davanja suglasnosti, od osobe iji se podaci obrauju ponovno se mora traiti
suglasnost.
Primjer: U predmetu Deutsche Telekom AG,103 Sud Europske unije bavio se pita-
njem je li pruatelj telekomunikacijskih usluga koji je morao proslijediti osobne
podatke pretplatnika sukladno lanku12. Direktive o privatnosti i elektronikim
komunikacijama104 trebao zatraiti novu suglasnost osoba iji se podaci obra-
uju jer primatelji u trenutku davanja suglasnosti nisu bili navedeni.
Sud je smatrao da sukladno tom lankunije bila potrebna nova suglasnost za

prosljeivanje podataka jer su osobe iji se podaci obrauju, prema toj odredbi,
imale mogunost suglasnosti samo za svrhu obrade, odnosno objavu njihovih
podataka, i nisu mogle birati meu razliitim registrima u kojima su se ti podaci
mogli objaviti.
Sud je istaknuo kako iz kontekstualnog i sustavnog tumaenja lanka12.

Direktive o privatnosti i elektronikim komunikacijama proizlazi da se suglasnost
iz lanka12. stavka 2. odnosi na svrhu objave osobnih podataka u javnom regi-
stru, a ne na identitet konkretnog pruatelja usluge registra.105 Nadalje, sama
se objava osobnih podataka u javnom registru posebne svrhe moe pokazati
tetnom za pretplatnika106, a ne konkretan autor takve objave.
103 CJEU, C-543/09, Deutsche Telekom AG protiv Njemake, 5. svibnja 2011.; vidjeti posebno stavke53.
i54.
104 Direktiva2002/58/EZ Europskog parlamenta i Vijea od 12. srpnja 2002. o obradi osobnih podataka
i zatiti privatnosti u podruju elektronikih komunikacija SLL2002L201 (Direktiva o privatnosti i
elektronikim komunikacijama).
105 CJEU, C-543/09, Deutsche Telekom AG protiv Njemake, 5. svibnja 2011.; vidjeti posebno st.61.
106 Ibid., vidjeti posebno st.62.
58
2.4.2. Pravo na povlaenje suglasnosti u svakom

trenutku
U Direktivi o zatiti podataka ne spominje se ope pravo na povlaenje suglasnosti u
svakom trenutku. No, openito se pretpostavlja da takvo pravo postoji i da ga osoba
iji se podaci obrauju mora biti u mogunosti koristiti po vlastitom nahoenju. Ne
bi se trebali postavljati zahtjevi za obrazloenje povlaenja niti bi smjelo biti rizika ili
negativnih posljedica, osim ukidanja svih povlastica koje su proizlazile iz prethodno
dogovorene uporabe podataka.
Primjer: Kupac pristane na primanje promidbenih elektronskih poruka na

adresu koju je dostavio nadzorniku. Povue li kupac suglasnost, nadzornik mora
odmah prestati sa slanjem takvih promidbenih poruka. Ne smiju se nametati
bilo kakve kaznene mjere poput plaanja pristojbi.
Ako je kupac dobivao 5% popusta na cijenu hotelske sobe kao nagradu to je

pristao na koritenje podataka za slanje promidbenih poruka, naknadno povla-
enje suglasnosti za primanje promidbenih poruka ne bi smjelo imati za poslje-
dicu povrat iznosa popusta.
59
3
Kljuna naela europskog
zakonodavstva o zatiti
podataka
se bavi
Direktiva o zatiti podataka, lanak6. Naelo zakonite Konvencija br.108, lanak5.
stavak1. toke(a) i (b) obrade toke(a) i (b)
CJEU, C-524/06, Huber protiv Njemake, ECtHR, Rotaru
16.prosinca2008. protiv Rumunjske
CJEU, zajedniki sluajevi C-92/09 i C-93/09, [GC], br.28341/95,
Volker i Markus Schecke GbR (C-92/09) i 4.travnja2000.
Hartmut Eifert (C-93/09) protiv Land Hessen, ECtHR, Taylor-Sabori
9.studenoga2010. protiv Ujedinjene
Kraljevine, br.47114/99,
22.listopada2003.
ECtHR, Peck protiv
Ujedinjene Kraljevine,
br.44647/98, 28. sijenja
2003.
ECtHR, Khelili protiv
vicarske, br.16188/07,
18.listopada2011.
ECtHR, Leander protiv
vedske, br.9248/81, 11.
srpnja 1985.
Direktiva o zatiti podataka, lanak6. Naelo svrhovitosti Konvencija br.108, lanak5.
stavak1. toka(b) i ogranienja svrhe toka(b)
Naela kvalitete
podataka:
Direktiva o zatiti podataka, lanak6. Relevantnost Konvencija br.108, lanak5.
stavak1. toka(c) podataka toka(c)
61

se bavi
Direktiva o zatiti podataka, lanak6. Tonost podataka Konvencija br.108, lanak5.
stavak1. toka(d) toka(d)
Direktiva o zatiti podataka, lanak6. Ogranieno Konvencija br.108, lanak5.
stavak1. toka(e) zadravanje toka(e)
podataka
Direktiva o zatiti podataka, lanak6. Izuzee za Konvencija br.108, lanak9.
stavak1. toka(e) znanstveno stavak3.
istraivanje i
statistiku
Direktiva o zatiti podataka, lanak6. Naelo potene Konvencija br.108, lanak5.
stavak1. toka(a) obrade toka(a)
ECtHR, Haralambie protiv
Rumunjske, br.21737/03,
27.listopada2009.
ECtHR, K.H. i drugi protiv
Slovake, br.32881/04,
6.studenoga2009.
Direktiva o zatiti podataka, lanak6. Naelo
stavak2. odgovornosti
Naela navedena u lanku5. Konvencije br.108 sadre bit europskog zakonodav-

stva o zatiti podataka. Pojavljuju se i u lanku6. Direktive o zatiti podataka kao
polazna tokaza detaljnije odredbe u sljedeim lancima direktive. Sve kasnije zako-
nodavstvo o zatiti podataka na razini Vijea Europe ili Europske unije mora biti u
skladu s tim naelima koja se moraju uzeti u obzir pri tumaenju tog zakonodavstva.
Sva izuzea i ogranienja u pogledu tih kljunih naela moraju biti propisana na naci-
onalnoj razini;107 moraju biti zakonom propisana, imati legitimnu svrhu i biti nuna u
demokratskom drutvu. Sva tri uvjeta moraju biti ispunjena.
3.1. Naelo zakonite obrade

Kljune toke
Za shvaanje naela zakonite obrade treba prouiti uvjete za zakonito ogranienje

prava na zatitu podataka u smislu lanka52. stavka 1. Povelje i zahtjeve za opravdano
mijeanje iz lanka8. stavka 2. Europske konvencije o zatiti ljudskih prava.
107 Konvencija br. 108, l.9. stavak2.; Direktiva o zatiti podataka, l.13.
62
Kljuna naela europskog zakonodavstva o zatiti podataka
U skladu s tim, obrada je osobnih podataka zakonita samo pod sljedeim uvjetima:
u skladu je sa zakonom
ima legitimnu svrhu
nuna je u demokratskom drutvu radi postizanja legitimne svrhe.
Prema zakonodavstvu o zatiti podataka Europske unije i Vijea Europe, naelo

zakonite obrade prvo je navedeno naelo; na gotovo je jednak nain opisano u
lanku5. Konvencije br.108 i u lanku6. Direktive o zatiti podataka.
Nijedna od tih odredbi ne sadri definiciju zakonite obrade. Za shvaanje tog prav-
nog pojma treba prouiti pojam opravdanog mijeanja iz Europske konvencije o
ljudskim pravima kako se tumai u sudskoj praksi Europskog suda za ljudska prava i
uvjete za zakonito ogranienje iz lanka52. Povelje.
3.1.1. Zahtjevi za opravdano mijeanje iz Europske

konvencije o ljudskim pravima
Obrada osobnih podataka moe predstavljati mijeanje u pravo na potovanje pri-
vatnog ivota osobe iji se podaci obrauju. Meutim, pravo na potovanje privat-
nog ivota nije apsolutno pravo, ve se mora uravnoteiti i uskladiti s drugim legiti-
mnim interesima, bilo onima drugih osoba (privatnim interesima) ili onima drutva u
cjelini (javnim interesima).
Uvjeti u kojima je opravdano mijeanje drave su sljedei:
U skladu sa zakonom
Prema sudskoj praksi Europskog suda za ljudska prava, mijeanje je u skladu sa

zakonom ako se temelji na odredbi nacionalnog zakonodavstva koje ima odre-
ene odlike. Zakon mora biti dostupan dotinim osobama i njegovi uinci moraju
biti predvidivi.108 Pravilo je predvidivo ako je formulirano dovoljno precizno da
svaki pojedinac uz, po potrebi, odgovarajue savjetovanje moe regulirati svoje
108 ECtHR, Amann protiv vicarske [GC], br.27798/95, 16. veljae 2000., st.50.; vidjeti takoer ECtHR,
Kopp protiv vicarske, br.23224/94, 25. oujka 1998., st.55. iECtHR, Iordachi i drugi protiv Moldavije,
br.25198/02, 10. veljae2009., st.50.
63
postupanje.109 Stupanj preciznosti koji zakon mora imati u tom pogledu ovisi o kon-
kretnom sluaju.110
Primjer: U predmetu Rotaru protiv Rumunjske,111 Europski sud za ljudska prava

utvrdio je krenje lanka8. Europske konvencije o ljudskim pravima jer je prema
rumunjskom zakonu doputeno prikupljanje, biljeenje i arhiviranje u tajnim
datotekama informacija koje utjeu na nacionalnu sigurnost, s time da granice
za koritenje tih ovlasti nisu propisane, ve ih odreuju nadlena tijela. Na pri-
mjer, nacionalnim zakonodavstvom nisu definirane vrste informacija koje se
smiju obraivati, kategorije ljudi nad kojima se smiju vriti mjere nadzora, okol-
nosti u kojima se takve mjere smiju vriti niti postupak koji pri tome treba kori-
stiti. Zbog tih je nedostataka Sud zakljuio da nacionalno zakonodavstvo nije
bilo u skladu sa zahtjevom predvidivosti iz lanka8. Europske konvencije o ljud-
skim pravima te da je taj lanakprekren.
Primjer: U predmetu Taylor-Sabori protiv Ujedinjene Kraljevine,112 podnositelj

je bio podvrgnut nadzoru policije. Koristei klon podnositeljevog dojavljivaa
policija je presretala poruke koje je primao. Podnositelj je nakon toga uhien i
optuen za zavjeru radi nabave kontrolirane droge. Tuiteljstvo je optube protiv
podnositelja dijelom temeljilo na zapisima poruka iz dojavljivaa koje je tran-
skribirala policija. Meutim, u trenutku kad se podnositelju sudilo, britanskim
zakonodavstvom nije bilo regulirano presretanje komunikacije privatnim tele-
komunikacijskim sustavima. Mijeanje u njegova prava dakle nije bilo u skladu
sa zakonom. Europski sud za ljudska prava zakljuio je da je prekren lanak8.
Konvencije.
109 ECtHR, Amann protiv vicarske [GC], br.27798/95, 16. veljae 2000., stavak56.; vidjeti takoer
ECtHR, Malone protiv Ujedinjene Kraljevine, br.8691/79, 26.travnja1985., st.66.; ECtHR, Silver i drugi
protiv Ujedinjene Kraljevine, brojevi5947/72, 6205/73, 7052/75, 7061/75, 7107/75, 7113/75,
25. oujka1983., st.88.
110 ECtHR, The Sunday Times protiv Ujedinjene Kraljevine, br.6538/74, 26.travnja1979., st.49.; vidjeti
takoer ECtHR, Silver i drugi protiv Ujedinjene Kraljevine, brojevi5947/72, 6205/73, 7052/75, 7061/75,
7107/75, 7113/75, 25. oujka1983., st.88.
111 ECtHR, Rotaru protiv Rumunjske [GC], br.28341/95, 4.travnja2000., st.57.; vidjeti takoer ECtHR,
Udruenje za europske integracije i ljudska prava i Ekimdzhiev protiv Bugarske, br. 62540/00,
28. lipnja 2007.; ECtHR, Shimovolos protiv Rusije, br. 30194/09, 21. lipnja 2011.; i ECtHR, Vetter protiv
Francuske, br. 59842/00, 31. svibnja 2005.
112 ECtHR, Taylor-Sabori protiv Ujedinjene Kraljevine, br.47114/99, 22.listopada2002.
64
Legitimna svrha
Legitimna svrha moe se odnositi ili na navedene javne interese ili na prava i slo-
bode drugih.
Primjer: U predmetu Peck protiv Ujedinjene Kraljevine,113 podnositelj je pokuao

poiniti samoubojstvo na ulici rezanjem zapea, pri emu nije znao da ga snima
kamera CCTV-a. Nakon to ga je spasila policija koja je gledala kamere CCTV-a,
policijsko je tijelo proslijedilo snimke kamere CCTV-a medijima koji su snimku
objavili bez prikrivanja podnositeljeva lica. Europski sud za ljudska prava zaklju-
io je da nadlena tijela nisu imala odgovarajue ili dovoljne razloge za izravno
otkrivanje snimke javnosti bez pristanka podnositelja ili prikrivanja njegova
identiteta. Sud je zakljuio da je prekren lanak8. Konvencije.
Nunost u demokratskom drutvu
Eropski sud za ljudska prava istaknuo je da pojam nunosti podrazumijeva da je

mijeanje odgovor na neizbjenu potrebu drutva i naroito da je razmjerno legiti-
mnoj svrsi.114
Primjer: U predmetu Khelili protiv vicarske,115 policija je provodei provjeru

utvrdila da podnositeljica posjeduje posjetnice na kojima je pisalo: Simpatina,
zgodna ena u kasnim tridesetima eli upoznati mukarca da se povremeno
sastanu uz pie ili zajedno izau. Broj telefona[...]. Podnositeljica se alila da
ju je policija, nakon pronalaska posjetnice, u svojoj evidenciji zapisala kao pro-
stitutku, iako je ona uporno tvrdila da se time ne bavi. Podnositeljica je zatra-
ila brisanje rijei prostitutka iz raunalne evidencije policije. Europski sud
za ljudska prava potvrdio je da, naelno, zadravanje osobnih podataka poje-
dinca zbog mogunosti da ta osoba poini drugo kazneno djelo u odreenim
okolnostima moe biti razmjerno. Meutim, u podnositeljiinom sluaju, tvrd-
nja o navodnoj nezakonitoj prostituciji doimala se previe nejasnom i openi-
tom, nije bila potkrijepljena konkretnim injenicama jer ona nije nikada bila
osuena za nezakonitu prostituciju pa uvjet neizbjene drutvene potrebe u
smislu lanka8. Konvencije nije bio ispunjen. Smatrajui da su nadlena tijela
113 ECtHR, Peck protiv Ujedinjene Kraljevine, br.44647/98, 28. sijenja 2003., naroito st.85.
114 ECtHR, Leander protiv vedske, br.9248/81, 11. srpnja 1985., st.58.
115 ECtHR, Khelili protiv vicarske, br.16188/07, 18.listopada2011.
65
odgovorna za dokazivanje tonosti pohranjenih podataka o podnositelju i ozbilj-

nosti naruavanja podnositeljevih prava, Sud je presudio da dugotrajno zadra-
vanje rijei prostitutka u policijskoj evidenciji nije bilo nuno u demokratskom
drutvu. Sud je zakljuio da je prekren lanak8. Konvencije.
Primjer: U predmetu Leander protiv vedske,116 Sud je zakljuio da tajna provjera

osoba koje se prijavljuju za zaposlenje na radnim mjestima vanim za nacio-
nalnu sigurnost nije sama po sebi u suprotnosti sa zahtjevom nunosti u demo-
kratskom drutvu. Posebne zatitne mjere propisane nacionalnim zakonodav-
stvom za zatitu interesa osobe iji se podaci obrauju na primjer, kontrole
koje provodi parlament i kancelar za pravosue dovele su do zakljuka Suda za
ljudska prava da je vedski sustav za kontrolu osoblja ispunio zahtjeve lanka8.
stavka 2. Europske konvencije o ljudskim pravima. Imajui na umu da je imala
na raspolaganju veliki raspon procjena, tuena drava s pravom je smatrala da
su u podnositeljevom sluaju interesi nacionalne sigurnosti bili vaniji od pojedi-
nanih. Sud je zakljuio da nije prekren lanak8. Konvencije.
3.1.2. Uvjeti za zakonita ogranienja prema Povelji

Europske unije
Struktura i tekst Povelje razlikuju se od strukture i teksta Europske konvencije o
ljudskim pravima. U Povelji se ne spominje mijeanje u zajamena prava, no u njoj
je sadrana odredba o ogranienju/-ima ostvarivanja prava i sloboda priznatih
Poveljom.
Prema lanku52. stavku1., ogranienja ostvarivanja prava i sloboda priznatih Pove-

ljom i, u skladu s time, ostvarivanja prava na zatitu osobnih podataka, kao to je
obrada osobnih podataka, prihvatljiva su samo pod sljedeim uvjetima:
propisana su zakonom
potuju sutinu prava na zatitu podataka
nuna su, podlono naelu razmjernosti
ispunjavaju ciljeve opeg interesa koje priznaje Unija ili potrebu za zatitom prava
i sloboda drugih.
116 ECtHR, Leander protiv vedske, br.9248/81, 11. srpnja 1985., st.59. i67.
66
Primjeri: U predmetu Volker i Markus Schecke,117 Sud Europske unije zakljuio je

da su nametanjem obveze objavljivanja osobnih podataka svih fizikih osoba
koje su bile korisnici potpore iz [odreenih poljoprivrednih fondova] bez prav-
ljenja razlike na osnovu bitnih kriterija kao to su razdoblja tijekom kojih su te
osobe primale potporu, uestalost ili narav i iznos potpore, Vijee i Komisija pre-
koraili ogranienja propisana naelom razmjernosti.
Stoga je Sud Europske unije zakljuio da je odreene odredbe Uredbe Vijea (EZ)
br. 190/2005 nuno proglasiti nevaljanima, a Uredbu br. 259/2008 proglasiti
nevaljanom u cijelosti.118
Unato drugaijem tekstu, uvjeti za zakonitu obradu iz lanka52. stavka 1. Povelje

podsjeaju na lanak8. stavak2. Konvencije. tovie, uvjeti nabrojani u lanku52.
stavku1. Povelje moraju se smatrati sukladnima onima iz lanka8. stavka 2. Kon-
vencije jer se u prvoj reenici lanka52. stavka 3. navodi da ako Povelja sadri
prava koja odgovaraju pravima zajamenima Konvencijom za zatitu ljudskih prava
i temeljnih sloboda, znaenje i podruje primjene tih prava jednaki su onima iz
Konvencije.
Meutim, prema posljednjoj reenici lanka52. stavka 3, ta odredba ne sprjeava

pravo Unije da prui iru zatitu. U kontekstu usporedbe lanka8. stavka 2. Kon-
vencije s prvom reenicom lanka52. stavka 3., to moe znaiti jedino da su uvjeti
za opravdano mijeanje u skladu s lankom8. stavkom 2. Konvencije minimalni
zahtjevi za zakonito ogranienje prava na zatitu podataka u skladu s Poveljom.
Stoga je za zakonitu obradu osobnih podataka unutar prava Europske unije potrebno
ispuniti najmanje uvjete lanka8. stavka 2. Konvencije; meutim, pravom Europske
unije mogli bi se propisati dodatni zahtjevi za posebne sluajeve.
Podudaranje naela zakonite obrade unutar prava Europske unije s odgovarajuim

odredbama Konvencije dodatno je uvreno lankom6. stavkom 3. Ugovora o
Europskoj uniji kojime se propisuje da temeljna prava, kako su zajamena Europ-
skom konvencijom za zatitu ljudskih prava i temeljnih sloboda [], ine opa naela
prava Unije.
(C-93/09) protiv Land Hessen, 9.studenoga2010., st.89. i86.
118 Uredba Vijea (EZ) br.1290/2005 od 21. lipnja 2005. o financiranju zajednike poljoprivredne politike,
SLL 2005L209; Uredba Komisije (EZ) br.259/2008 od 18. oujka 2008. o detaljnim pravilima primjene
Uredbe Vijea (EZ) br.1290/2005 u pogledu objave informacija o korisnicima sredstava Europskog
fonda za jamstva u poljoprivredi (EAGF) i Europskog poljoprivrednog fonda za ruralni razvoj (EAFRD),
SLL 2008L76.
67
3.2. Naelo svrhovitosti i ogranienja svrhe

Kljune toke
Svrha obrade podataka mora se jasno definirati prije poetka obrade.
Unutar prava Europske unije, svrha obrade mora biti izriito utvrena; unutar prava
Vijea Europe, to je pitanje preputeno nacionalnom zakonodavstvu.
Obrada u nedefinirane svrhe nije u skladu sa zakonodavstvom o zatiti podataka.
Za daljnju uporabu podataka u druge svrhe potrebna je pravna osnova ako nova svrha
obrade nije spojiva s poetnom.
Prijenos podataka na tree stranke je nova svrha za koju je potrebna dodatna pravna
osnova.
U sutini, naelo svrhovitosti i ogranienja svrhe znai da legitimnost obrade osob-

nih podataka ovisi o svrsi obrade.119 Svrhu mora odrediti i obznaniti nadzornik prije
poetka obrade podataka.120 Unutar prava Europske unije, to treba uiniti ili putem
izjave, odnosno priopenja, odgovarajuem nadzornom tijelu ili barem putem interne
dokumentacije koju nadzornik mora staviti na raspolaganje nadzornim tijelima radi
pregleda i osobi iji se podaci obrauju radi uvida.
Obrada osobnih podataka za nedefinirane i/ili neograniene svrhe nije zakonita.
Svaka nova svrha obrade podataka mora imati vlastitu zasebnu pravnu osnovu i ne
moe se oslanjati na injenicu da su podaci prvotno steeni ili obraeni u drugu legi-
timnu svrhu. Zakonita je obrada pak ograniena na svoju prvotno odreenu svrhu pa
svaka nova svrha obrade iziskuje novu zasebnu pravnu osnovu. Otkrivanje podataka
treim strankama mora se naroito paljivo razmotriti jer otkrivanje esto predstavlja
novu svrhu iziskujui pravnu osnovu razliitu od one za prikupljanje podataka.
Primjer: Zrana kompanija prikuplja podatke od svojih putnika radi biljee-

nja rezervacija i pravilnog upravljanja letom. Zrana kompanija treba podatke
o: brojevima sjedala putnika; posebnim tjelesnim ogranienjima, kao to su
119 Konvencija br. 108, l.5. toka(b); Direktiva o zatiti podataka, l.6. stavak1. toka(b).
120 Vidjeti i Miljenje 03/2013 Radne skupine iz lanka29. (2013.) o ogranienju svrhe, WP203, Bruxelles,
2.travnja2013.
68
potrebe osoba u invalidskim kolicima; i posebnim prehrambenim zahtjevima,

kao to su koer ili halal hrana. Ako se od zrane kompanije zatrai prijenos
tih podataka, koji se nalaze u evidenciji imena putnika, tijelima nadlenima za
imigraciju u odredinoj zranoj luci, ti se podaci zatim koriste u svrhu kontrole
imigracije koja se razlikuje od poetne svrhe prikupljanja podataka. Stoga je za
prijenos tih podataka tijelu nadlenom za imigraciju potrebna nova i zasebna
pravna osnova.
Pri razmatranju podruja primjene i ogranienja odreene svrhe, Konvencija br.108

i Direktiva o zatiti podataka koriste naelo spojivosti: uporaba podataka u spojive
svrhe doputena je na temelju poetne pravne osnove. Meutim, nije definirano
znaenje rijei spojive u tom kontekstu pa ju je potrebno tumaiti ovisno o sluaju.
Primjer: I Prodaja podataka o kupcima drutva Sunshine, koje je drutvo ste-

klo tijekom upravljanja odnosima s kupcima (CRM), drutvu Moonlight koje se
bavi direktnim marketingom, a koje te podatke eli koristiti kao pomo u marke-
tinkim kampanjama treih drutava, nova je svrha koja nije spojiva s CRM-om,
poetnom svrhom prikupljanja podataka o kupcima drutva Sunshine. Stoga
prodaja podataka drutvu Moonlight iziskuje vlastitu pravnu osnovu.
Za razliku od toga, uporaba podataka iz CRM-a od strane drutva Sunshine u

svrhe vlastitog marketinga, odnosno slanje marketinkih poruka vlastitim kup-
cima za vlastite proizvode, openito je prihvaena kao spojiva svrha.
U Direktivi o zatiti podataka izriito je navedeno da se daljnja obrada osobnih

podataka u povijesne, statistike ili znanstvene svrhe ne smatra nespojivom pod
uvjetom da drave lanice osiguraju odgovarajuu zatitu.121
Primjeri: Drutvo Sunshine prikupilo je i pohranilo podatke iz CRM-a o svojim

kupcima. Drutvo Sunshine smije dalje koristiti te podatke radi statistike ana-
lize ponaanja svojih kupaca prilikom kupovine jer je statistika spojiva svrha.
Nije potrebna daljnja pravna osnova, kao to je suglasnost osobe iji se podaci
obrauju.
121 Primjer takvih nacionalnih odredbi je austrijski Zakon o zatiti podataka (Datenschutzgesetz),Savezni
slubeni list I br. 165/1999, st.46., dostupan na engleskom jeziku na adresi: www.dsk.gv.at/DocView.
axd?CobId=41936.
69
Ako se isti podaci prosljeuju treoj stranki, drutvu Starlight, u iskljuivo sta-
tistike svrhe, prenoenje bi bilo doputeno bez dodatne pravne osnove, no
samo pod uvjetom da se koriste odgovarajue zatitne mjere, kao to je prikri-
vanje identiteta osoba iji se podaci obrauju jer identiteti najee nisu nuni za
statistike svrhe.
3.3. Naela kvalitete podataka

Kljune toke
Nadzornik mora primjenjivati naela kvalitete podataka u svim postupcima obrade.
Na temelju naela ogranienog zadravanja podataka nuno je podatke izbrisati im

vie nisu potrebni u svrhe u koje su prikupljeni.
Izuzea od naela ogranienog zadravanja moraju biti propisana zakonom i iziskuju

posebne zatitne mjere za zatitu osoba iji se podaci obrauju.
3.3.1. Naelo relevantnosti podataka

Obrauju se samo podaci koji su primjereni, relevantni i ne prekomjerni u odnosu na
svrhu zbog koje se prikupljaju i/ili dalje obrauju.122 Kategorije podataka odabranih
za obradu moraju biti nune za postizanje navedenog opeg cilja postupka obrade,
a nadzornik treba strogo ograniiti prikupljanje podataka na one informacije koje su
izravno relevantne za konkretnu svrhu obrade.
U suvremenom drutvu naelo relevantnosti podataka ima dodatni aspekt: korite-

njem posebne tehnologije kojom se unapreuje privatnost ponekad je mogue u
potpunosti izbjei uporabu osobnih podataka ili koristiti pseudonimizirane podatke
ime se postie rjeenje koje podrava privatnost. To je naroito prikladno u opse-
nijim sustavima obrade.
Primjer: Gradsko vijee redovnim korisnicima sustava gradskog javnog prijevoza

nudi ip karticu uz odreenu naknadu. Na kartici je navedeno ime korisnika u
pisanom obliku, a u ipu u elektronikom obliku. Pri svakom koritenju auto-
busa ili tramvaja ip kartica se postavlja ispred ugraenih ureaja za itanje, na
122 Konvencija br. 108, l.5. toka(c); i Direktiva o zatiti podataka, l.6. stavak1. toka(c).
70
primjer, u autobusima i tramvajima. Podaci koje ureaj oita elektroniki se pro-

vjeravaju u bazi podataka s imenima ljudi koji su kupili putnu kartu.
Ovaj sustav ne potuje naelo relevantnosti na optimalan nain: provjera smije

li osoba koristiti sredstva javnog prijevoza mogla bi se izvriti bez usporedbe
osobnih podataka s ip kartice s onima iz baze podataka. Bilo bi dovoljno, na pri-
mjer, imati posebnu elektroniku sliku, kao to je bar kod, u ipu kartice kojime
bi se, kad se kartica postavi ispred ureaja za itanje, potvrdila valjanost kartice.
Takvim se sustavom ne bi biljeilo tko je i kada koristio prijevozno sredstvo. Ne
bi se prikupljali osobni podaci to je optimalno rjeenje u smislu naela relevan-
tnosti jer iz tog naela proizlazi obveza smanjenja prikupljanja podataka.
3.3.2. Naelo tonosti podataka

Nadzornik koji raspolae osobnim podacima ne smije te podatke koristiti bez podu-
zimanja mjera kojima se moe relativno jasno osigurati da su podaci toni i aurni.
Obvezu osiguravanja tonosti podataka treba promatrati u kontekstu svrhe obrade

podataka.
Primjer: Poduzee koje se bavi prodajom namjetaja uzelo je kupeve podatke

o identitetu i adresi radi izdavanja rauna. est mjeseci kasnije isto je poduzee
htjelo zapoeti marketinku kampanju i obratiti se bivim kupcima. U tom je cilju
poduzee htjelo pristupiti dravnom registru stanovnika koji vjerojatno sadri
aurirane adrese jer su stanovnici zakonom obvezani registru priopiti svoju tre-
nutanu adresu. Pristup podacima iz ovog registra ogranien je na osobe i tijela
koji za to imaju opravdani razlog.
U ovoj situaciji poduzee nije moglo iskoristiti argument da mora uvati tone
i aurirane podatke kako bi dokazalo da ima pravo prikupiti nove podatke o
adresama svih svojih bivih kupaca iz registra stanovnika. Podaci su prikupljeni
tijekom izdavanja rauna; dakle, relevantna je adresa u trenutku prodaje. Nema
pravne osnove za prikupljanje novih podataka o adresi jer marketing nije interes
koji nadilazi pravo na zatitu podataka pa se njime ne moe opravdati pristup
podacima iz registra.
Takoer mogu postojati sluajevi u kojima je auriranje pohranjenih podataka zako-

nom zabranjeno jer je osnovna svrha pohrane podataka dokumentiranje dogaaja.
71
Primjer: Protokol medicinske operacije ne smije se izmijeniti, odnosno auri-

rati, ak i ako se nalazi spomenuti u protokolu kasnije pokau pogrenima. U
tom se sluaju u protokol smiju samo dodati napomene koje moraju biti jasno
oznaene kao naknadno dodani unosi.
S druge strane, postoje situacije u kojima je redovna provjera tonosti podataka,

ukljuujui auriranje, apsolutno nuna zbog mogue tete koju moe pretrpjeti
osoba iji se podaci obrauju ako podaci ostanu netoni.
Primjer: Ako osoba eli sklopiti ugovor s bankovnom institucijom, banka obino
provjerava kreditnu sposobnost potencijalnog klijenta. Za to postoje posebne
baze podataka u kojima su sadrani podaci o kreditnoj povijesti privatnih osoba.
Ako su u takvoj bazi podataka navedeni netoni ili zastarjeli podaci o osobi, ona
moe imati ozbiljne potekoe. Voditelji takvih baza podataka stoga se moraju
posebno potruditi potivati naelo tonosti.
Osim toga, podaci koji se ne odnose na injenice ve na sumnje, to je sluaj u

kaznenim istragama, mogu se prikupiti i uvati sve dok nadzornik ima pravnu
osnovu za prikupljanje takvih informacija i sve dok su njegove sumnje opravdane.
3.3.3. Naelo ogranienog zadravanja podataka

lankom6. stavkom 1. tokom (e) Direktive o zatiti podataka, kao i lankom5. to-
kom (e) Konvencije br.108 propisano je da drave lanice moraju osigurati da se
osobni podaci uvaju u obliku koji omoguava identifikaciju osoba iji se podaci
obrauju samo tijekom razdoblja potrebnog u svrhe zbog kojih se podaci prikupljaju
ili zbog kojih se dalje obrauju. Dakle, podaci se moraju izbrisati nakon ispunjavanja
tih svrha.
U predmetu S. and Marper, Europski sud za ljudska prava zakljuio je da kljuna

naela odgovarajuih instrumenata Vijea Europe, kao i pravo i praksa drugih ugo-
vornih stranki nalau da zadravanje podataka bude razmjerno u odnosu na svrhu
prikupljanja i vremenski ogranieno, naroito u policijskim sektoru.123
Meutim, vremensko ogranienje za pohranu osobnih podataka odnosi se samo

na podatke koji se uvaju u obliku koji omoguuje identifikaciju osoba iji se podaci
123 ECtHR, S. iMarper protiv Ujedinjene Kraljevine, br.30562/04 i 30566/04, 4.prosinca2008.; vidjeti
takoer, na primjer, ECtHR, M.M. protiv Ujedinjene Kraljevine, br. 24029/07, 13.studenoga2012.
72
obrauju. Stoga bi se zakonita pohrana podataka koji vie nisu potrebni mogla
postii anonimizacijom ili pseudonimizacijom podataka.
uvanje podataka radi budue uporabe u znanstvene, povijesne ili statistike svrhe
izriito je izuzeto iz naela ogranienog zadravanja podataka u Direktivi o zatiti
podataka.124 No, takva kontinuirana pohrana i uporaba osobnih podataka mora biti
popraena posebnim zatitnim mjerama nacionalnog zakonodavstva.
3.4. Naelo potene obrade

Kljune toke
Potena obrada znai transparentnu obradu, posebno u pogledu osoba iji se podaci
obrauju.
Nadzornici moraju obavijestiti osobe iji se podaci obrauju prije obrade njihovih poda-
taka, i to barem o svrsi obrade i identitetu i adresi nadzornika.
Osim ako je to posebno doputeno zakonom, osobni se podaci ne smiju obraivati

tajno i skriveno.
Osobe iji se podaci obrauju imaju pravo pristupiti svojim podacima gdje god se
obrauju.
Naelom potene obrade prvenstveno se regulira odnos nadzornika i osobe iji se

podaci obrauju.
3.4.1. Transparentnost
Ovim se naelom nadzorniku namee obveza obavjeivanja osoba iji se podaci
obrauju o nainu uporabe njihovih podataka.
Primjer: U predmetu Haralambie protiv Rumunjske,125 podnositelj je zatraio pri-

stup dosjeu koju je organizacija tajne slube uvala u vezi s njime, no njegov
je zahtjev odobren tek pet godina kasnije. Europski sud za ljudska prava pono-
vio je da je od vitalne vanosti da pojedinci o kojima javna tijela uvaju osobne
dosjee mogu pristupiti takvim dosjeima. Tijela su bila duna osigurati uinkovit
124 Direktiva o zatiti podataka, l.6. st.1. toka(e).

125 ECtHR, Haralambie protiv Rumunjske, br.21737/03, 27.listopada2009.
73
postupak dobivanja pristupa takvim informacijama. Sud za ljudska prava sma-

trao je da niti koliina prenesenih dosjea niti nedostaci sustava arhiviranja nisu
opravdavali petogodinje kanjenje odobravanja podnositeljeva zahtjeva za pri-
stup dosjeima. Tijela podnositelju nisu osigurala uinkovit i pristupaan postupak
kojim bi mu se omoguio pristup osobnim dosjeima u razumnom roku. Sud je
Postupci obrade moraju se objasniti osobama iji se podaci obrauju na jednostavan

i pristupaan nain kako bi im se omoguilo da razumiju to e se dogoditi s njihovim
podacima. Osoba iji se podaci obrauju ima pravo, na zahtjev, od nadzornika saznati
obrauju li se njegovi ili njezini podaci.
3.4.2. Uspostava povjerenja

Nadzornici bi trebali obavijestiti osobe iji se podaci obrauju i javnost o tome da
e obraditi podatke na zakonit i transparentan nain. Postupci obrade ne smiju se
provoditi u tajnosti i ne bi smjeli imati nepredvidive negativne uinke. Nadzornici bi
trebali osigurati da su kupci, klijenti ili graani obavijeteni o uporabi njihovih poda-
taka. Osim toga, nadzornici moraju postupati na nain koji to vie odgovara eljama
osobe iji se podaci obrauju, pogotovo ako njegova ili njezina suglasnost predstav-
lja pravnu osnovu za obradu podataka.
Primjer: U predmetu K.H. i drugi protiv Slovake126 predstavkuje podnijelo osam

ena romskog etnikog podrijetla koje su se tijekom trudnoe i poroda lijeile u
dvjema bolnicama u istonoj Slovakoj. Nakon toga nijedna od njih nije mogla
ponovno zaeti unato uzastopnim pokuajima. Nacionalni su sudovi bolnicama
naloili da podnositeljicama i njihovim zastupnicima dopuste uvid u njihove
zdravstvene kartone i prepisivanje dijelova iz njih, no odbacili su njihov zahtjev
da fotokopiraju dokumente navodno zbog spreavanja zlouporabe. Iz pozitivnih
obveza drava iz lanka8. Konvencije proizlazila je dunost da se osobama iji
se podaci obrauju stave na raspolaganje kopije dosjea s njihovim podacima.
Na dravi je bilo da odredi naine kopiranja dosjea s osobnim podacima ili, ako
je to prikladno, navede uvjerljive razloge uskrate kopiranja. U sluaju podnosite-
ljica, nacionalni su sudovi zabranu kopiranja zdravstvenih kartona prvenstveno
opravdali potrebom da se odgovarajue informacije zatite od zlouporabe.
Meutim, Europski sud za ljudska prava nije mogao shvatiti kako bi podnosi-
teljice, koje su ionako dobile pristup cjelokupnoj zdravstvenoj dokumentaciji,
126 ECtHR, K.H. idrugi protiv Slovake, br.32881/04, 6.studenoga2009.
74
mogle zloupotrijebiti informacije o sebi. Osim toga, rizik od takve zlouporabe

mogao se sprijeiti na drugaiji nain umjesto zabranom podnositeljicama da
kopiraju dosjee, na primjer, ogranienjem opsega osoba koje imaju pravo pri-
stupa dosjeima. Drava nije uspjela predoiti dovoljno uvjerljive razloge zbog
kojih je podnositeljicama zabranjen uinkovit pristup informacijama o njihovom
zdravlju. Sud je zakljuio da je prekren lanak8.
to se tie internetskih usluga, svojstva sustava za obradu podataka moraju omo-

guiti osobama iji se podaci obrauju da uistinu razumiju to se dogaa s njihovim
podacima.
Potena obrada takoer znai da su nadzornici spremni prijei zakonom propisane

minimalne zahtjeve za usluge pruene osobi iji se podaci obrauju ako to nalau
legitimni interesi osobe iji se podaci obrauju.
3.5. Naelo odgovornosti

Kljune toke
Odgovornost znai da nadzornici u svojim postupcima obrade podataka moraju aktivno

provoditi mjere kojima promiu i tite zatitu podataka.
Nadzornici su odgovorni za sukladnost svojih postupaka obrade sa zakonodavstvom o

zatiti podataka.
Nadzornici bi trebali u svakom trenutku moi dokazati sukladnost s odredbama o zatiti

podataka osobama iji se podaci obrauju, javnosti i nadzornim tijelima.
Godine 2013. Organizacija za gospodarsku suradnju i razvoj (OECD) usvojila je smjer-

nice o privatnosti kojima se naglaava da nadzornici imaju vanu ulogu u osigura-
vanju funkcioniranja zatite podataka u praksi. Smjernicama se razrauje naelo
odgovornosti na nain da nadzornik treba biti odgovoran za sukladnost s mjerama
kojima se provode spomenuta [materijalna] naela.127
Dok Konvencija br.108 ne spominje odgovornost nadzornika, preputajui tu temu

nacionalnom zakonodavstvu, u lanku6. stavku2. Direktive o zatiti podataka
127 OECD (2013), Smjernice kojima se ureuju zatita privatnosti i prekogranini prijenosi osobnih podataka,
lanak14.
75
navedeno je da nadzornik mora osigurati sukladnost s naelima kvalitete podataka

iz stavka 1.
Primjer: Primjer iz zakonodavstva kojime se naglaava naelo odgovornosti

jest izmjena128 Direktive o e-privatnosti 2002/58/EZ iz 2009. Prema lanku4. u
njegovom izmijenjenom obliku, direktivom se namee obveza provedbe sigur-
nosne politike, tonije osiguravanja provedbe sigurnosne politike u pogledu
obrade osobnih podataka. Dakle, u pogledu odredbi o sigurnosti te direktive,
zakonodavac je odluio da je nuno izriito uvjetovati postojanje i provedbu
sigurnosne politike.
Prema miljenju Radne skupine iz lanka29.,129 sutina je odgovornosti obveza nad-

zornika da:
uvede mjere kojima bi se u normalnim okolnostima jamilo potivanje pravila

o zatiti podataka u kontekstu postupaka obrade
ima spremnu dokumentaciju kojom se osobama iji se podaci obrauju i nadzor-

nim tijelima moe dokazati koje su mjere poduzete da bi se osigurala sukladnost
s pravilima o zatiti podataka.
Dakle, naelo odgovornosti od nadzornika trai sposobnost aktivnog dokazivanja

sukladnosti umjesto ekanja da osobe iji se podaci obrauju ili nadzorna tijela ukau
na nedostatke.
128 Direktiva 2009/136/EZ Europskog parlamenta i Vijea od 25.studenoga2009. o izmjeni Direktive

2002/22/EZ o univerzalnoj usluzi i pravima korisnika u vezi s elektronikim komunikacijskim mreama
i uslugama, Direktiva 2002/58/EZ o obradi osobnih podataka i zatiti privatnosti u sektoru elektronikih
komunikacija i Uredba (EZ) br. 2006/2004 o suradnji nacionalnih tijela za provedbu zakona o zatiti
potroaa, SL337, str. 11.
129 Radna skupina iz lanka29., Miljenje 3/2010 o naelu odgovornosti, WP173, Bruxelles,
13. srpnja 2010.
76
4
Pravila europskog zakonodavstva o
zatiti podataka

se bavi
Pravila o zakonitoj obradi neosjetljivih podataka
Direktiva o zatiti podataka, lanak7. Suglasnost Preporuka o profiliranju,
toka(a) lanak3.4. toka(b) i
lanak3.6.
Direktiva o zatiti podataka, lanak7. (Pred-)ugovorni Preporuka o profiliranju,
toka(b) odnos lanak3.4. toka(b)
Direktiva o zatiti podataka, lanak7. Pravne dunosti Preporuka o profiliranju,
toka(c) nadzornika lanak3.4. toka(a)
Direktiva o zatiti podataka, lanak7. Vitalni interesi Preporuka o profiliranju,
toka(d) osobe iji se podaci lanak3.4. toka(b)
obrauju
Direktiva o zatiti podataka, lanak7. Javni interes i Preporuka o profiliranju,
toka(e) i lanak8. Stavak4. izvravanje javne lanak3.4. toka(b)
CJEU, C-524/06, Huber protiv Njemake, ovlasti
16.prosinca2008.
Direktiva o zatiti podataka, lanak7. Legitimni interesi Preporuka o profiliranju,
toka(f) ., lanak8. stavci 2. i 3. drugih lanak3.4. toka(b)
CJEU, zajedniki sluajevi C-468/10
i C-469/10, Asociacin Nacional de
Establecimientos Financieros de Crdito
(ASNEF) (C-468/10) i Federacin de
Comercio Electrnico y Marketing Directo
(FECEMD) (C-469/10) protiv Administracin
del Estado, 24.studenoga2011.
Pravila o zakonitoj obradi osjetljivih podataka
Direktiva o zatiti podataka, lanak8. Opa zabrana Konvencija br.108, lanak6.
stavak1. obrade
77

se bavi
Direktiva o zatiti podataka, lanak8. stavci Izuzea od ope Konvencija br.108, lanak6.
2.-4. zabrane
Direktiva o zatiti podataka, lanak8. Obrada podataka Konvencija br.108, lanak6.
stavak5. o (kaznenim)
presudama
Direktiva o zatiti podataka, lanak8. Obrada
stavak7. identifikacijskih
brojeva
Pravila sigurne obrade
Direktiva o zatiti podataka, lanak17. Obveza Konvencija br.108, lanak7.
osiguravanja ECtHR, I. protiv Finske,
sigurne obrade br.20511/03, 17. srpnja
2008.
Direktiva o e-privatnosti, lanak4. stavak2. Obavjeivanje u
sluaju povrede
podataka
Direktiva o zatiti podataka, lanak16. Obveza
povjerljivosti
Pravila transparentnosti obrade
Transparentnost Konvencija br.108, lanak8.
openito toka(a)
Direktiva o zatiti podataka, lanci 10. i 11. Informacije Konvencija br.108, lanak8.
toka(a)
Direktiva o zatiti podataka, lanci 10. i 11. Izuzea od obveze Konvencija br.108, lanak9.
informiranja
Direktiva o zatiti podataka, lanci 18. i 19. Obavjeivanje Preporuka o profiliranju,
lanak9.2. toka(a)
Pravila o promicanju sukladnosti
Direktiva o zatiti podataka, lanak20. Prethodna provjera
Direktiva o zatiti podataka, lanak18. Slubenici za Preporuka o profiliranju,
stavak2. zatitu podataka lanak8.3.
Direktiva o zatiti podataka, lanak27. Pravila ponaanja
Naela su nuno openite prirode. Kad se primjenjuju na konkretne situacije, postoje

doputena tumaenja i izbor sredstava. Unutar prava Vijea Europe, stranke Kon-
vencije br.108 slobodne su odrediti to je doputeno tumaenje u svojim nacional-
nim zakonodavstvima. U pravu Europske unije situacija je drugaija: za uspostavu
zatite podataka na unutarnjem tritu smatralo se da su, radi usklaivanja razine
zatite podataka nacionalnih zakonodavstava drava lanica, nuna detaljnija pra-
vila ve na razini Europske unije. Direktivom o zatiti podataka uspostavlja se, prema
78
Pravila europskog zakonodavstva o zatiti podataka
naelima navedenima u njezinom lanku6., skup detaljnih pravila koje treba vjerno
provesti u nacionalnom zakonodavstvu. Stoga se sljedee napomene o detaljnim
pravilima zatite podataka na europskoj razini preteito odnose na pravo Europske
unije.
4.1. Pravila zakonite obrade

Kljune toke
Osobni se podaci mogu zakonito obraditi ako:
se obrada temelji na suglasnosti osobe iji se podaci obrauju
je obrada podataka nuna zbog vitalnih interesa osoba iji se podaci obrauju
su razlog za obradu legitimni interesi drugih, no samo ako ih ne nadjaavaju inte-

resi zatite temeljnih prava osoba iji se podaci obrauju.
Zakonita obrada osjetljivih osobnih podataka podlijee posebnom, stroem reimu.
U Direktivi o zatiti osobnih podataka sadrane su dvije skupine pravila o zakoni-

toj obradi podataka: jedna za neosjetljive podatke u lanku7. i jedna za osjetljive
podatke u lanku8.
4.1.1. Zakonita obrada neosjetljivih podataka

U poglavljuII. Direktive 95/46, naslova Opa pravila o zakonitosti obrade osobnih
podataka, propisano je da, podlono izuzeima iz lanka13., sve obrade osobnih
podataka moraju, kao prvo, biti u skladu s naelima u vezi s kvalitetom podataka
navedenima u lanku6. Direktive o zatiti podataka i, kao drugo, s jednim od kriterija
za zakonitost obrade podataka navedenim u lanku7.130 Time se objanjavaju slua-
jevi u kojima je zakonito obraivati neosjetljive osobne podatke.
130 CJEU, zajedniki sluajevi C-465/00, C-138/01 i C-139/01 sterreichischer Rundfunk i drugi,
20. svibnja 2003., st.65., CJEU, C-524/06, Huber protiv Njemake, 16.prosinca2008., st.48.; CJEU,
zajedniki sluajevi C-468/10 i C-469/10, Asociacin Nacional de Establecimientos Financieros de
Crdito (ASNEF) (C-468/10) i Federacin de Comercio Electrnico y Marketing Directo (FECEMD)
(C469/10) protiv Administracin del Estado, 24.studenoga2011., st.26.
79
Suglasnost
Unutar prava Vijea Europe suglasnost se ne spominje ni u lanku8. Europske kon-

vencije o ljudskim pravima ni u Konvenciji br.108. Spominje se, meutim, u sudskoj
praksi Europskog suda za ljudska prava i u nekoliko preporuka Vijea Europe. Unutar
prava Europske unije, suglasnost kao osnova za zakonitu obradu podataka jasno je
utvrena lankom7. tokom (a) Direktive o zatiti podataka i takoer se izriito spo-
minje u lanku8. Povelje.
Ugovorni odnos
Druga osnova za zakonitu obradu osobnih podataka unutar prava Europske unije,
navedena u lanku7. toki (b) Direktive o zatiti podataka jest da je obrada
potrebna za izvravanje ugovora kojem je osoba iji se podaci obrauju stranka.
Ova se odredba odnosi i na predugovorne odnose. Na primjer: stranka namjerava
sklopiti ugovor, no to jo nije uinila, moda jer je potrebno napraviti jo neke pro-
vjere. Ako jedna stranka treba obraditi podatke u tu svrhu, takva je obrada zakonita
dok god se provodi kako bi se poduzele mjere na zahtjev osobe iji se podaci obra-
uju prije sklapanja ugovora.
to se tie prava Vijea Europe, zatita prava i sloboda drugih spominje se u

lanku8. stavku2. Europske konvencije o ljudskim pravima kao razlog za zakonito
mijeanje u pravo na zatitu podataka.
Pravne dunosti nadzornika
U pravu Europske unije zatim se izriito spominje kriterij zakonitosti obrade poda-
taka, tonije, ako je obrada potrebna za sukladnost sa zakonskom obvezom
kojoj nadzornik podlijee (lanak7. toka(c) Direktive o zatiti podataka). Ova se
odredba odnosi na nadzornike koji djeluju u privatnom sektoru; pravne obveze nad-
zornika iz javnog sektora potpadaju pod lanak7. toku (e) Direktive. Mnogo je slu-
ajeva u kojima su nadzornici iz privatnog sektora zakonom duni obraivati podatke
o drugima; npr. lijenici i bolnice imaju pravnu dunost pohranjivati podatke o lije-
enju pacijenata tijekom nekoliko godina, poslodavci moraju obraivati podatke o
svojim zaposlenicima za potrebe socijalnog osiguranja i oporezivanja, a poduzea
moraju obraivati podatke o svojim klijentima radi oporezivanja.
S obzirom na to da su zrane kompanije dune prenositi podatke o putnicima stranim

tijelima za kontrolu imigracije, postavlja se pitanje mogu li pravne obveze na temelju
80
stranog zakona predstavljati zakonitu osnovu za obradu podataka unutar prava

Europske unije (to je pitanje detaljnije obraeno u odjeljak6.2).
Pravne obveze nadzornika predstavljaju osnovu za zakonitu obradu podataka i unu-

tar prava Vijea Europe. Kao to je prethodno navedeno, pravne obveze nadzor-
nika iz privatnog sektora samo su jedan poseban sluaj legitimnih interesa drugih,
kao to je navedeno u lanku8. stavku2. Europske konvencije o ljudskim pravima.
Dakle, gornji se primjer odnosi i na pravo Vijea Europe.
Vitalni interesi osobe iji se podaci obrauju
Unutar prava Europske unije, u lanku7. toki (d) Direktive o zatiti podataka propi-
sano je da je obrada osobnih podataka zakonita ako je potrebna kako bi se zatitili
vitalni interesi osobe iji se podaci obrauju. Takvi interesi, koji su usko povezani s
preivljavanjem osobe iji se podaci obrauju, mogu biti osnova za legitimnu upo-
rabu primjerice zdravstvenih podataka ili podataka o nestalim osobama.
Unutar prava Vijea Europe, vitalni interesi osoba iji se podaci obrauju ne spo-
minju se u lanku8. Europske konvencije o ljudskim pravima kao razlog za zako-
nito mijeanje u pravo na zatitu podataka. Meutim, u nekim od preporuka Vijea
Europe koje nadopunjuju Konvenciju br.108 u odreenim podrujima vitalni interesi
osoba iji se podaci obrauju izriito su navedeni kao osnova za zakonitu obradu
podataka.131 ini se da se podrazumijeva da su vitalni interesi osobe iji se podaci
obrauju jedan od razloga kojima se opravdava obrada podataka: zatita temeljnih
prava ne bi nikad smjela ugroziti vitalne interese tiene osobe.
Javni interes i izvravanje javne ovlasti
S obzirom na to da se javni poslovi mogu organizirati na mnoge naine, lankom7.

tokom (e) Direktive o zatiti podataka propisano je da se osobni podaci mogu zako-
nito obraditi ako je obrada potrebna za izvravanje zadatka koji se provodi zbog
javnog interesa ili pri izvravanju javne ovlasti koju ima nadzornik ili trea stranka
kojoj se podaci otkrivaju [].132
131 Preporuka o profiliranju, lanak3. stavak4. toka(b).

132 Vidjeti takoer Direktivu o zatiti podataka, uvodnu izjavu 32.
81
Primjer: U predmetu Huber protiv Njemake,133 g. Huber, austrijski dravlja-

nin s prebivalitem u Njemakoj, zatraio je od Saveznog ureda za migracije i
izbjeglice da izbrie podatke o njemu u Sredinjem registru stranih dravljana
(AZR). Taj se registar, u kojemu su sadrani osobni podaci o stanovnicima
Europske unije koji nisu njemaki dravljani, ali borave u Njemakoj due od tri
mjeseca, koristi u statistike svrhe i od strane policijskih i pravosudnih tijela u
istrazi i progonu kriminalnih aktivnosti ili onih koje ugroavaju javnu sigurnost.
Sud koji je proslijedio predmet postavio je pitanje je li obrada osobnih podataka
koju obavlja registar poput Sredinjeg registra stranih dravljana, kojemu mogu
pristupiti i druga javna tijela, sukladan s pravom Europske unije s obzirom na to
da takav registar ne postoji za njemake dravljane.
Sud Europske unije smatra, kao prvo, da se prema lanku7. toki (e) Direktive
osobni podaci mogu zakonito obraivati samo ako je to potrebno za izvravanje
zadatka koji se provodi zbog javnog interesa ili pri izvravanju javne ovlasti.
Prema miljenju Suda, imajui na umu da je cilj osigurati jednaku razinu zatite
u svim dravama lanicama, pojam nunosti iz lanka7. toke(e) Direktive
95/46 [] ne moe imati znaenje koje se razlikuje ovisno o dravi lanici. Iz
toga proizlazi da se radi o pojmu koji ima vlastito neovisno znaenje u pravu
Zajednice i koji treba tumaiti na nain kojim se u potpunosti odrava cilj te
direktive, kako je naveden u njezinom lanku1. stavku134
Sud napominje da pravo na slobodu kretanja graana Unije na podruju drave

lanice iji nisu dravljani nije bezuvjetno, ve moe podlijegati ogranienjima i
uvjetima utvrenima u Ugovoru i mjerama usvojenima radi njegove provedbe.
Dakle, ako je, u naelu, zakonito da drava lanica koristi registar poput AZR-a
radi podrke tijelima odgovornima za primjenu zakonodavstva vezanog uz
pravo boravka, takav registar ne smije sadravati informacije koje nisu potrebne
za tu odreenu svrhu. Sud je zakljuio da je takav sustav obrade osobnih poda-
taka u skladu s pravom Europske unije ako sadri samo one podatke koji su
potrebni za primjenu tog zakonodavstva i ako je zbog njegove centralizirane
naravi primjena tog zakonodavstva uinkovitija. Nacionalni sud mora utvrditi
jesu li ti uvjeti ispunjeni u ovom konkretnom sluaju. Ako nisu, pohrana i obrada
133 CJEU, C-524/06, Huber protiv Njemake, 16.prosinca2008.

134 Ibid., st.52.
82
osobnih podataka u registru poput AZR-a u statistike svrhe ne mogu se ni po

kojoj osnovi smatrati nunima u smislu lanka7. toke(e) Direktive 95/46/EZ.135
Naposljetku, to se tie pitanja uporabe podataka sadranih u registru u svrhu

suzbijanja kriminala, Sud smatra da taj cilj nuno ukljuuje progon poinjenih
zloina ili kaznenih djela, neovisno o dravljanstvu poinitelja. Predmetni regi-
star ne sadri osobne podatke vezane uz dravljane predmetne drave lanice i
ta razlika u postupanju predstavlja diskriminaciju koja je zabranjena lankom18.
Ugovora o funkcioniranju Europske unije. Stoga se tom odredbom, kako je
tumai Sud, iskljuuje mogunost da drava lanica, u svrhu suzbijanja krimi-
nala, uspostavi sustav za obradu osobnih podataka posebno za stanovnike Unije
koji nisu dravljani te drave lanice.136
Tijela koja djeluju u javnoj domeni koriste osobne podatke i podlono lanku8.
Europske konvencije o ljudskim pravima.
Legitimni interesi nadzornika ili tree stranke
Osoba iji se podaci obrauju nije jedina koja ima legitimne interese. lankom7. to-
kom (f) Direktive o zatiti podataka propisano je da se podaci mogu zakonito obra-
diti ako je obrada potrebna u svrhe zakonitog interesa kojeg ima nadzornik ili trea
stranka ili stranke kojima se podaci otkrivaju, osim kada su ti podaci podreeni inte-
resu za temeljna prava i slobode osobe iji se podaci obrauju koja zahtijeva zatitu
[].
Sljedeu je sudsku odluku Sud Europske unije donio izriito na temelju lanka7.
toke(f) Direktive:
Primjer: U predmetu ASNEF i FECEMD,137 Sud Europske unije pojasnio je da naci-

onalno zakonodavstvo ne smije dodavati uvjete onima navedenima u lanku7.
toki (f) Direktive za zakonitu obradu podataka. To se odnosilo na situaciju u
kojoj je panjolski zakon o zatiti podataka sadravao odredbu na temelju koje
135 Ibid., st.54., 58., 59., 66.-68.

136 Ibid., st.78. i81.
de Crdito (ASNEF) (C-468/10) i Federacin de Comercio Electrnico y Marketing Directo (FECEMD) (C-
469/10) protiv Administracin del Estado, 24.studenoga2011.
83
bi druge privatne stranke mogle tvrditi da imaju legitiman interes u obradi osob-
nih podataka samo ako su se informacije ve pojavile u javnim izvorima.
Sud je prvo napomenuo da je cilj Direktive 95/46 osigurati jednaku razinu

zatite prava i sloboda pojedinaca u vezi s obradom osobnih podataka u svim
dravama lanicama. Osim toga, usklaivanjem nacionalnih zakonodavstava
u tom podruju ne smije se osigurati nia razina zatite. Naprotiv, njima se
mora nastojati osigurati visoka razina zatite u Europskoj uniji.138 Stoga je Sud
Europske unije zakljuio da iz cilja osiguravanja jednake razine zatite u svim
dravama lanicama proizlazi da se lankom7. Direktive 95/46 navodi iscrpan i
ogranien popis sluajeva u kojima se obrada osobnih podataka moe smatrati
zakonitom. Osim toga, drave lanice ne mogu dodavati nova naela koja se
odnose na zakonitost obrade osobnih podataka u lanak7. Direktive 95/46 niti
nametati dodatne zahtjeve koji djeluju na nain da izmjenjuju opseg primjene
jednog od est naela iz lanka7.139 Sud je potvrdio da je u pogledu uravnote-
enja koje je potrebno prema lanku7. toki (f) Direktive 95/46/EZ, mogue
uzeti u obzir injenicu da se ozbiljnost povrede temeljnih prava osobe iji se
podaci obrauju koja proizlaze iz obrade moe razlikovati ovisno o tome pojav-
ljuju li se ve predmetni podaci u javnim izvorima.
Meutim, prema lanku7. toki (f) Direktive nije mogue da drava lanica
kategoriki i openito iskljui mogunost obrade odreenih vrsta osobnih poda-
taka, a da pri tome ne omogui uzajamno uravnoteenje predmetnih suprotnih
prava i interesa u konkretnom sluaju.
S obzirom na navedeno, Sud je zakljuio da lanak7. toku (f) Direktive 95/46

treba tumaiti kao da iskljuuje nacionalna pravila koja, u sluaju nepostojanja
suglasnosti osobe iji se podaci obrauju, a radi omoguavanja obrade osob-
nih podataka osobe iji se podaci obrauju koja je nuna da bi se ispunili legi-
timni interesi nadzornika ili tree stranke ili treih stranaka kojima se ti podaci
otkrivaju, iziskuju ne samo potovanje temeljnih prava i sloboda osobe iji se
podaci obrauju, ve i pojavljivanje podataka u javnim izvorima. Na taj se nain
kategoriki i openito iskljuuje obrada podataka koji se ne pojavljuju u takvim
izvorima.140
138 Ibid., st.28. Vidjeti Direktivu o zatiti podataka, uvodne izjave 8. i10.
de Crdito (ASNEF) (C-468/10) i Federacin de Comercio Electrnico y Marketing Directo (FECEMD) (C-
469/10) protiv Administracin del Estado, 24.studenoga2011., st.30. i32.
140 Ibid., st.40., 44., 48. i49.
84
Sline se formulacije nalaze u preporukama Vijea Europe. U Preporuci o profilira-

nju potvruje se da je obrada osobnih podataka u svrhe profiliranja zakonita ako
je potrebna radi legitimnih interesa drugih, osim ako takve interese nadjaavaju
temeljna prava i slobode osoba iji se podaci obrauju.141
4.1.2. Zakonita obrada osjetljivih podataka

Prema pravu Vijea Europe nacionalno zakonodavstvo odgovorno je za utvrivanje
odgovarajue zatite za uporabu osjetljivih podataka, dok je u pravu Europske unije,
u lanku8. Direktive o zatiti podataka, sadran detaljan reim obrade vrsta osjetlji-
vih podataka koji otkrivaju: rasno ili etniko podrijetlo, politika miljenja, vjerska ili
filozofska uvjerenja, lanstvo u sindikatu ili informacije o zdravlju ili spolnom ivotu.
Obrada osjetljivih podataka u naelu je zabranjena.142 Meutim, postoji iscrpan popis
izuzea od te zabrane u lanku8. stavcima 2. i 3. Direktive. Ta izuzea ukljuuju izri-
itu suglasnost osobe iji se podaci obrauju, vitalne interese osobe iji se podaci
obrauju, legitimne interese drugih i javni interes.
Za razliku od sluaja obrade neosjetljivih podataka, ugovorni odnos s osobom iji

se podaci obrauju ne smatra se opom osnovom za zakonitu obradu osjetljivih
podataka. Dakle, ako se osjetljivi podaci trebaju obraditi u kontekstu ugovora s oso-
bom iji se podaci obrauju, za uporabu tih podataka potrebna je zasebna izriita
suglasnost osobe iji se podaci obrauju, uz suglasnost za sklapanje ugovora. Izriit
zahtjev osobe iji se podaci obrauju za robom ili uslugama kojima se nuno otkri-
vaju osjetljivi podaci ipak se treba smatrati jednako valjanim kao izriita suglasnost.
Primjer: Ako putnik zrane kompanije pri rezervaciji leta od zrane kompanije
zatrai invalidska kolica i koer hranu, zrana kompanija smije upotrijebiti te
podatke ak i ako putnik nije potpisao posebnu suglasnost u kojoj navodi da
doputa uporabu podataka kojom se otkrivaju informacije o njegovu zdravlju i
vjerskim uvjerenjima.
Izriita suglasnost osobe iji se podaci obrauju
Prvi uvjet za zakonitu obradu bilo kojih podataka, neosjetljivih ili osjetljivih, jest
suglasnost osobe iji se podaci obrauju. U sluaju osjetljivih podataka suglasnost
mora biti izriita. Meutim, nacionalnim zakonodavstvom moe se propisati da
141 Preporuka o profiliranju, lanak3.4. toka(b).

142 Direktiva o zatiti podataka, l.8. st.1.
85
davanje suglasnosti za uporabu osjetljivih podataka nije dovoljna pravna osnova za

doputenje njihove obrade143 ako, na primjer, u iznimnim sluajevima, obrada uklju-
uje neuobiajene rizike za osobu iji se podaci obrauju.
U jednom posebnom sluaju ak se i implicitna suglasnost prihvaa kao pravna

osnova za obradu osjetljivih podataka: U lanku8. stavku2. toki (e) navodi se da
obrada nije zabranjena ako se odnosi na podatke koje je osoba iji se podaci obra-
uju jasno obznanila. U toj se odredbi jasno pretpostavlja da se postupanje osobe iji
se podaci obrauju kojim je objavila svoje podatke mora tumaiti kao da podrazumi-
jeva suglasnost osobe iji se podaci obrauju s uporabom tih podataka.
Vitalni interesi osobe iji se podaci obrauju
Kao i neosjetljivi podaci, osjetljivi podaci mogu se obraditi zbog vitalnih interesa
osobe iji se podaci obrauju.144
Da bi obrada osjetljivih podataka bila zakonita na toj osnovi, nuno je utvrditi da je

bilo nemogue zatraiti odluku od osobe iji se podaci obrauju, jer je osoba iji se
podaci obrauju, primjerice, bila u nesvijesti ili odsutna i nedostupna.
Legitimni interesi drugih
Kao i u sluaju neosjetljivih podataka, legitimni interesi drugih mogu predstav-

ljati osnovu za obradu osjetljivih podataka. Meutim, u sluaju osjetljivih podataka
prema lanku8. stavku2. Direktive o zatiti podataka, to se odnosi samo na sljedee
sluajeve:
ako je obrada potrebna radi vitalnih interesa druge osobe145 kada osoba iji se
podaci obrauju nije fiziki ili pravno sposobna dati svoju suglasnost
ako su osjetljivi podaci bitni u podruju radnog prava, kao to su primjerice zdrav-
stveni podaci bitni u kontekstu posebno opasnog radnog mjesta ili kao to su
podaci o vjerskim uvjerenjima bitni primjerice u kontekstu blagdana146
143 Ibid., l.8. st.2. toka(a).

144 Ibid., l.8. st.2. toka(c).
145 Ibid.
146 Ibid., l.8. st.2. toka(b).
86
ako ustanova, udruga ili neko drugo neprofitno tijelo s politikim, filozofskim,
vjerskim ili sindikalnim ciljem obrauju podatke o svojim lanovima ili sponzo-
rima ili njihovim interesnim strankama (takvi su podaci osjetljivi jer je velika vje-
rojatnost da otkrivaju vjerska ili politika uvjerenja dotinih pojedinaca)147
ako se osjetljivi podaci koriste u kontekstu pravnih postupaka pred sudom ili
upravnim tijelom radi podnoenja, provedbe ili obrane pravnog zahtjeva.148
Osim toga, prema lanku8. stavku3. Direktive o zatiti podataka, ako zdrav-
stveni radnici koriste zdravstvene podatke za zdravstveni pregled i lijeenje, izu-
zee se odnosi i na upravljanje tim uslugama. Kao posebna zatitna mjera, osobe
se smatraju zdravstvenim radnicima samo ako podlijeu posebnim profesio-
nalnim obvezama uvanja profesionalne tajne.
Javni interes
Osim toga, prema lanku8. stavku4. Direktive o zatiti podataka, drave lanice
mogu propisati dodatne svrhe u koje se osjetljivi podaci mogu obraivati ako:
se podaci obrauju zbog znaajnog javnog interesa
je to propisano nacionalnim zakonodavstvom ili odlukom nadzornog tijela
nacionalno zakonodavstvo ili odluka nadzornog tijela sadri potrebne zatitne

mjere za uinkovitu zatitu interesa osoba iji se podaci obrauju.149
Dobar su primjer elektroniki sustavi zdravstvenih kartona koji e se uspostaviti u

mnogim dravama lanicama. Takvi sustavi omoguuju dostupnost zdravstve-
nih podataka koje prikupljaju zdravstveni radnici tijekom lijeenja pacijenta drugim
zdravstvenim radnicima tog pacijenta na irokoj osnovi, najee nacionalnoj.
Radna skupina iz lanka29. zakljuila je da do uspostave takvih sustava ne bi moglo

doi prema postojeim zakonskim pravilima za obradu podataka o pacijentima na
temelju lanka8. stavka 3. Direktive o zatiti podataka. Meutim, pod pretpostav-
kom da postojanje takvih elektronikih sustava zdravstvenih kartona predstavlja
147 Ibid., l.8. st.2. toka(d).

148 Ibid., l.8. st.2. toka(e).
149 Ibid., l.8. st.4.
87
znaajan javni interes, obrada se moe temeljiti na lanku8. stavku4. Direktive

kojim su propisane izriita pravna osnova za njihovu uspostavu i potrebne zatitne
mjere za siguran rad sustava.150
4.2. Pravila sigurnosti obrade

Kljune toke
Pravila sigurnosti obrade podrazumijevaju da su nadzornik i obraiva obvezni primje-

njivati odgovarajue tehnike i organizacijske mjere radi spreavanja neovlatenog
ometanja postupaka obrade podataka.
Nuna razina sigurnosti podataka odreuje se prema:
sigurnosnim znaajkama dostupnima na tritu za odreenu vrstu obrade
trokovima
osjetljivosti podataka koji se obrauju.
Sigurna obrada podataka dodatno je zatiena time to su sve osobe, nadzornici ili
obraivai, openito duni osigurati da podaci ostanu povjerljivi.
Stoga je obveza nadzornika i obraivaa da primjenjuju odgovarajue mjere sigur-

nosti podataka navedene u zakonodavstvu Vijea Europe o zatiti podataka kao i u
zakonodavstvu o zatiti podataka Europske unije.
4.2.1. Elementi sigurnosti podataka

Prema odgovarajuim odredbama prava Europske unije:
Drave lanice utvruju da nadzornik mora provoditi odgovarajue

tehnike i organizacijske mjere kako bi zatitio osobne podatke od sluajnog
ili nezakonitog unitavanja ili sluajnog gubitka, izmjene, neovlatenog
otkrivanja ili pristupa, posebno kada obrada ukljuuje prijenos podataka
putem mree, te protiv svih drugih nezakonitih oblika obrade.151
150 Radna skupina iz lanka29. (2007.), Radni dokument o obradi osobnih podataka vezanih uz zdravlje u
elektronikim zdravstvenim kartonima (EHR), WP 131, Bruxelles, 15. veljae 2007.
88
Unutar prava Vijea Europe postoji slina odredba:
Moraju se poduzeti odgovarajue mjere sigurnosti kako bi se osobni podaci

pohranjeni u automatiziranim podatkovnim datotekama zatitili od sluajnog
ili neovlatenog unitavanja ili sluajnog gubitka kao i od neovlatenog
pristupa, izmjene ili dijeljenja.152
esto su utvreni i industrijski, nacionalni i meunarodni standardi sigurne obrade

podataka. Na primjer, Europski peat za zatitu podataka (EuroPriSe), projekt je
transeuropske telekomunikacijske mree (eTEN) Europske unije kojime su istraene
mogunosti certificiranja proizvoda, naroito softvera, u skladu s europskim zakono-
davstvom o zatiti podataka. Europska agencija za mrenu i informacijsku sigurnost
(ENISA) osnovana je radi unapreivanja sposobnosti Europske unije, drava lanica
Europske unije i poslovne zajednice u pogledu spreavanja, rjeavanja i odgovara-
nja na potekoe s mrenom i informacijskom sigurnou.153 ENISA redovno izdaje
analize trenutanih prijetnji u vezi sa sigurnosnom zatitom i savjete o njihovu
rjeavanju.
Sigurnost podataka ne postie se samo primjenom prave opreme hardvera i sof-

tvera. Ona ovisi i o odgovarajuim internim organizacijskim pravilima. Takvim bi
internim pravilima idealno bila obuhvaena sljedea pitanja:
redovno pruanje informacija svim zaposlenicima o pravilima sigurnosti poda-

taka i njihovim obvezama prema zakonodavstvu o zatiti podataka, naroito u
pogledu njihovih obveza povjerljivosti
jasna raspodjela odgovornosti i jasan prikaz strunih vjetina u podruju obrade

podataka, naroito u pogledu odluka o obradi osobnih podataka i prijenosa
podataka treim strankama
uporaba osobnih podataka samo prema uputama nadlene osobe ili prema
openito utvrenim pravilima
zatita pristupa lokacijama i hardveru i softveru nadzornika ili obraivaa, uklju-

ujui provjere ovlatenja za pristup
152 Konvencija br.108, l.7.

153 Uredba (EZ) br.460/2004 Europskog parlamenta i Vijea od 10. oujka 2004. o osnivanju Europske
agencije za mrenu i informacijsku sigurnost, SLL 2004L77.
89
osiguravanje da je ovlatenja za pristup osobnim podacima dodijelila nadlena

osoba i zahtijevanje odgovarajue dokumentacije
automatizirani protokoli o pristupu osobnim podacima elektronikim putem i

redovne provjere takvih protokola od strane interne nadzorne slube
paljivo dokumentiranje drugih oblika otkrivanja osim automatiziranog pristupa

podacima kako bi se moglo dokazati da nije dolo ni do kakvih nezakonitih prije-
nosa podataka.
Ponuda odgovarajue obuke i obrazovanja o sigurnosti podataka lanovima osoblja

takoer je vaan element uinkovitih sigurnosnih mjera opreza. Takoer je potrebno
uvesti postupke kojima se provjerava postoje li odgovarajue mjere samo na papiru
ili se one provode i djeluju u praksi (kao to su unutarnje ili vanjske revizije).
Mjere za poboljanje razine sigurnosti nadzornika ili obraivaa ukljuuju instru-

mente kao to su slubenici za zatitu osobnih podataka, obrazovanje zaposlenika o
sigurnosti, redovne revizije, ispitivanja probojnosti i peati kvalitete.
Primjer: U predmetu I. protiv Finske,154 podnositeljica nije uspjela dokazati da su

drugi zaposlenici bolnice u kojoj je radila nezakonito pristupili njezinim zdrav-
stvenim kartonima. Stoga su nacionalni sudovi odbacili njezinu tubu zbog
povrede prava na zatitu podataka. Europski sud za ljudska prava zakljuio je
da je dolo do krenja lanka8. Europske konvencije o ljudskim pravima jer bol-
niki sustav evidencije zdravstvenih kartona nije omoguio retroaktivno obra-
zloenje uporabe pacijentovih kartona s obzirom na to da je prikazivao samo
pet posljednjih uvida i da su se te informacije brisale nakon vraanja datoteke u
arhivu. Za Sud je od presudne vanosti bilo da bolniki evidencijski sustav oito
nije bio u skladu sa zakonskim zahtjevima iz nacionalnog zakonodavstva, emu
nacionalni sudovi nisu pridali dovoljno vanosti.
Obavjeivanje u sluaju povrede podataka
U zakonodavstva o zatiti podataka nekoliko europskih zemalja uveden je novi

instrument za rjeavanje povreda zatite podataka: davatelji elektronikih komu-
nikacijskih usluga duni su obavjeivati izgledne rtve i nadzorna tijela u sluaju
154 ECtHR, I. protiv Finske, br.20511/03, 17. srpnja 2008.
90
povrede podataka. Davatelje telekomunikacijskih usluga na to obvezuje pravo

Europske unije.155 Osobe iji se podaci obrauju obavjeuju se u sluaju povrede
podataka radi izbjegavanja tete: obavjeivanja u sluaju povrede podataka i o nji-
hovim moguim posljedicama smanjuju rizik od negativnih uinaka na osobe iji se
podaci obrauju. U sluajevima tekog nemara davatelji usluga mogu se i novano
kazniti.
Bit e potrebno unaprijed uspostaviti unutarnje postupke za uinkovito upravljanje

i izvjeivanje o krenju sigurnosti jer je vremenski rok obavjeivanja osoba iji se
podaci obrauju i/ili nadzornog tijela, prema nacionalnom zakonodavstvu, obino
prilino kratak.
4.2.2. Povjerljivost podataka

Unutar prava Europske unije, sigurna obrada podataka dodatno je zatiena opom
dunou svih osoba, nadzornika ili obraivaa, u pogledu osiguravanja povjerljivosti
podataka.
Primjer: Zaposlenik osiguravajueg drutva na poslu primi poziv od osobe koja

tvrdi da je klijent i trai podatke o svojem ugovoru o osiguranju.
S obzirom na to da je duan podatke klijenata uvati u tajnosti, zaposlenik mora

primijeniti barem minimalne mjere sigurnosti prije otkrivanja osobnih podataka.
Nain na koji to moe uiniti je, na primjer, uzvratnim pozivanjem telefonskog
broja zabiljeenog u klijentovom dosjeu.
lanak16. Direktive o zatiti podataka odnosi se na povjerljivost samo na rela-

ciji nadzornik obraiva. Pitanjem dunosti nadzornika u pogledu povjerljivosti
podataka, u smislu da ih ne smiju otkrivati treim strankama, bave se lanci 7. i 8.
Direktive.
155 Vidjeti Direktivu 2002/58/EZ Europskog parlamenta i Vijea od 12. srpnja 2002. o obradi osobnih
podataka i zatiti privatnosti u sektoru elektronikih komunikacija, (Direktiva o privatnosti i elektronikim
komunikacijama), SL201, l.4. st.3., kako je izmijenjena Direktivom 2009/136/EZ Europskog
parlamenta i Vijea od 25.studenoga2009. o izmjeni Direktive 2002/22/EZ o univerzalnoj usluzi i
pravima korisnika u vezi s elektronikim komunikacijskim mreama i uslugama; vidjeti takoer Direktivu
2002/58/EZ o obradi osobnih podataka i zatiti privatnosti u sektoru elektronikih komunikacija i Uredbu
(EZ) br. 2006/2004 o suradnji nacionalnih tijela za provedbu zakona o zatiti potroaa, SL337.
91
Obveza povjerljivosti ne odnosi se na situacije u kojima osoba sazna za podatke u

svojstvu privatnog pojedinca, a ne zaposlenika nadzornika ili obraivaa. U tom se
sluaju ne primjenjuje lanak16. Direktive o zatiti podataka jer je uporaba osob-
nih podataka koju provode privatni pojedinci zapravo u potpunosti izuzeta iz pod-
ruja primjene Direktive s obzirom na to da je unutar granica takozvanog izuzea
za kuanstvo.156 Izuzee za kuanstvo je uporaba osobnih podataka koju provodi
fizika osoba tijekom aktivnosti iskljuivo osobne ili domae naravi.157 Nakon odluke
Suda Europske unije u predmetu Bodil Lindqvist,158 to se izuzee, meutim, treba
usko tumaiti, naroito u pogledu otkrivanja podataka. Tonije, izuzee za domau
uporabu ne proiruje se na objavu osobnih podataka neogranienom broju primate-
lja na internetu (za vie pojedinosti o predmetu vidjeti odjeljke2.1.2, 2.2, 2.3.1 i 6.1).
Unutar prava Vijea Europe obveza povjerljivosti podrazumijeva se u pojmu sigur-

nosti podataka iz lanka7. Konvencije br.108 u kojemu se obrauje sigurnost
podataka.
Za obraivae povjerljivost znai da osobne podatke koje im je povjerio nadzornik

smiju koristiti samo u skladu s uputama koje im je dao nadzornik. Za zaposlenike
nadzornika ili obraivaa povjerljivost znai da osobne podatke smiju koristiti samo u
skladu s uputama svojih nadlenih nadreenih osoba.
Obveza povjerljivosti mora biti sadrana u svakom ugovoru izmeu nadzornika i nji-
hovih obraivaa. Osim toga, nadzornici i obraivai moraju poduzeti posebne mjere
kako bi za svoje zaposlenike uspostavili pravnu obvezu povjerljivosti. To se obino
postie ukljuivanjem odredbi o povjerljivosti u ugovor o radu sa zaposlenikom.
Krenje profesionalnih obveza povjerljivosti kanjivo je na temelju kaznenog prava u

mnogim dravama lanicama Europske unije i strankama Konvencije br.108.
156 Direktiva o zatiti podataka, l.3 st.2. druga alineja.

157 Ibid.
158 CJEU, C-101/01, Bodil Lindqvist, 6.studenoga2003.
92
4.3. Pravila transparentnosti obrade

Kljune toke
Prije poetka obrade osobnih podataka, nadzornik mora barem obavijestiti osobe iji
se podaci obrauju o identitetu nadzornika i svrsi obrade podataka, osim ako osoba iji
se podaci obrauju ve posjeduje te informacije.
Ako se podaci prikupljaju od treih stranaka, obveza davanja informacija ne primjenjuje

se ako:
je obrada podataka propisana zakonom
se davanje informacija pokae nemoguim ili iziskuje nerazmjeran napor.
Prije poetka obrade osobnih podataka nadzornik mora dodatno:
obavijestiti nadzorno tijelo o svojoj namjeri provedbe postupaka obrade
imati interno dokumentiranu obradu koju provodi neovisni slubenik za zatitu

podataka, ako je nacionalnim zakonodavstvom propisan takav postupak.
Naelo potene obrade iziskuje transparentnost obrade. U tu svrhu u pravu Vijea

Europe propisano je da svaka osoba mora biti u mogunosti utvrditi postojanje dato-
teka za obradu podataka, njihovu svrhu i odgovornog nadzornika.159 Na nacionalnom
je zakonodavstvu da utvrdi nain na koji bi to trebalo postii. Pravo Europske unije je
konkretnije pa se osobi iji se podaci obrauju transparentnost osigurava obvezom
nadzornika da obavijesti osobu iji se podaci obrauju, a javnosti se ona osigurava
obavjeivanjem.
Unutar obaju pravnih sustava u nacionalnom zakonodavstvu mogu postojati izu-

zea i ogranienja od obveze transparentnosti nadzornika ako takvo ogranienje
predstavlja mjeru nunu za zatitu odreenih javnih interesa ili zatitu osobe iji se
podaci obrauju ili prava i sloboda drugih ako je to nuno u demokratskom dru-
tvu.160 Takva izuzea mogu, primjerice, biti potrebna u kontekstu istraivanja zloina,
no mogu biti opravdana i u drugim okolnostima.
159 Konvencija br.108, l.8. toka(a).

160 Ibid, l.9. st.2.; i Direktiva o zatiti podataka, l.13. st.1.
93
4.3.1. Informacije
Prema pravu Vijea Europe kao i prema pravu Europske unije, nadzornici koji vode
postupke obrade obvezni su unaprijed obavijestiti osobu iji se podaci obrauju o
svojoj namjeri obrade.161 Ta obveza ne ovisi o zahtjevu osobe iji se podaci obrauju,
ve je nadzornik mora proaktivno potivati, bez obzira na to pokazuje li osoba iji se
podaci obrauju zanimanje za informacije.
Sadraj informacija
Informacije moraju sadravati svrhu obrade kao i identitet i kontaktne podatke

nadzornika.162 Prema Direktivi o zatiti podataka potrebno je dati daljnje informa-
cije ako su takve daljnje informacije potrebne, uzimajui u obzir posebne okolnosti
u kojima se informacije prikupljaju, radi osiguravanja potene obrade u odnosu na
osobu iji se podaci obrauju. U lancima 10. i 11. Direktive navedene su, meu
ostalim, vrste podataka koji se obrauju i primatelji takvih podataka, kao i postojanje
prava na pristup i ispravljanje podataka. Ako se podaci prikupljaju od osoba iji se
podaci obrauju, informacije bi trebale objanjavati jesu li odgovori na pitanja obve-
zni ili dobrovoljni, kao i mogue posljedice neodgovaranja.163
Sa stajalita prava Vijea Europe, davanje takvih informacija moe se smatrati

dobrom praksom prema naelu potene obrade podataka pa je do te mjere takoer
dio prava Vijea Europe.
Prema naelu potene obrade informacije moraju biti lako razumljive osobama iji
se podaci obrauju. Mora se koristiti jezik koji odgovara primateljima. Razina i vrsta
koritenog jezika mora se razlikovati ovisno o tome jesu li informacije namijenjene,
na primjer, odraslima ili djeci, javnosti ili strunom akademskog osoblju.
Neke osobe iji se podaci obrauju htjet e samo jezgrovite informacije o nainu i
razlogu za obradu njihovih podataka, dok e druge htjeti detaljno objanjenje.
Nain na koji se taj aspekt potenog informiranja moe uravnoteiti razmatra se u
miljenju Radne skupine iz lanka29. kojim se zagovara ideja takozvanih slojevitih
161 Konvencija br. 108, l.8. toka(a); i Direktiva o zatiti podataka, l.10. i11.
162 Konvencija br. 108, l.8. toka(a); i Direktiva o zatiti podataka, l.10. toke(a) i (b).
163 Direktiva o zatiti podataka, l.10. toka(c).
94
obavijesti.164 Onim osobama iji se podaci obrauju omoguuju da same odlue o

iscrpnosti informacija.
Vrijeme pruanja informacija
U Direktivi o zatiti podataka sadrane su poneto drugaije odredbe o vremenu

pruanja informacija, ovisno o tome prikupljaju li se podaci od osobe iji se podaci
obrauju (lanak10.) ili od tree stranke (lanak11.). Ako se podaci prikupljaju od
osobe iji se podaci obrauju, informacije treba pruiti najkasnije u trenutku pri-
kupljanja. Ako se podaci prikupljaju od treih stranaka, informacije treba pruiti naj-
kasnije ili u trenutku kad nadzornik zabiljei podatke ili prije prvog otkrivanja poda-
taka treoj stranki.
Izuzea od obveze informiranja
Unutar prava Europske unije ope izuzee od obveze informiranja osobe iji se
podaci obrauju vrijedi u sluaju kad osoba iji se podaci obrauju ve posjeduje
informacije.165 To se odnosi na situacije u kojima je osoba iji se podaci obrauju, ovi-
sno o okolnostima sluaja, ve svjesna toga da njezine podatke nadzornik ve obra-
uje u odreenu svrhu.
U lanku11. Direktive, koji se odnosi na obvezu informiranja osobe iji se podaci

obrauju ako podaci nisu dobiveni od nje, takoer se navodi da takva obveza ne vri-
jedi, naroito u sluajevima obrade u statistike svrhe ili u svrhe povijesnog ili znan-
stvenog istraivanja, kada:
je davanje takvih informacija nemogue
ili ako bi ukljuivalo nerazmjerni napor
ili ako je biljeenje ili otkrivanje izriito propisano zakonom.166
Samo je u lanku11. stavku2. Direktive o zatiti podataka navedeno da osobe

iji se podaci obrauju ne treba informirati o postupcima obrade ako su propisani
164 Radna skupina iz lanka29. (2004.), Miljenje 10/2004 o usklaenijem pruanju informacija, WP100,
Bruxelles, 25.studenoga2004.
165 Direktiva o zatiti podataka, l.10. i l.11. st.1.
166 Ibid, uvodna izjava 40. ilanak11. st.2.
95
zakonom. S obzirom na opu pravnu pretpostavkuda osobe na koje se zakon odnosi

poznaju zakon, moe se smatrati da je, ako su podaci prikupljeni od osobe iji se
podaci obrauju prema lanku10. Direktive, osoba iji se podaci obrauju informi-
rana. No, s obzirom na to da se poznavanje zakona samo pretpostavlja, lankom10.
propisano je da se na temelju naela potene obrade osoba iji se podaci obrauju
treba informirati ak i ako je obrada propisana zakonom, pogotovo jer informira-
nje osobe iji se podaci obrauju nije naroito zahtjevno ako se podaci prikupljaju
izravno od osobe iji se podaci obrauju.
to se tie prava Vijea Europe, Konvencijom br.108 izriito su propisana izuzea iz

njezina lanka8. Izuzea navedena u lancima 10. i 11. Direktive o zatiti podataka
mogu se smatrati primjerima dobre prakse za izuzea iz lanka9. Konvencije br.108.
Razliiti naini pruanja informacija
Idealan nain pruanja informacija bio bi obraanje svakoj pojedinoj osobi iji se
podaci obrauju, usmenim ili pisanim putem. Ako se podaci prikupljaju od osobe
iji se podaci obrauju, davanje informacija treba ii ruku pod ruku s prikupljanjem.
Meutim, informacije se mogu pruati i odgovarajuim objavljivanjem, naroito ako
se podaci prikupljaju od treih stranaka, s obzirom na oite praktine potekoe
osobnog kontaktiranja s osobama iji se podaci obrauju.
Jedan od najuinkovitijih naina pruanja informacija jest putem odgovarajuih infor-

macijskih klauzula na naslovnici internetske stranice nadzornika, kao to je politika
zatite privatnosti internetske stranice. Meutim, znatan dio stanovnitva ne koristi
internet to bi drutvo ili javno tijelo trebalo uzeti u obzir u svojoj politici informiranja.
4.3.2. Obavjeivanje
Nacionalnim zakonodavstvom moe se nadzornike obvezati na obavjeivanje nad-
lenog nadzornog tijela o njihovim postupcima obrade kako bi se mogli objaviti. Isto
tako, nacionalnim se zakonodavstvom moe propisati da nadzornici mogu zapo-
sliti slubenika za zatitu podataka koji je naroito odgovoran za voenje registra o
postupcima obrade koje provodi nadzornik.167 Taj se interni registar treba staviti na
raspolaganje javnosti na zahtjev bilo koje osobe.
167 Ibid., l.18. st.2. druga alineja.
96
Primjer: U obavijesti i u dokumentaciji internog slubenika za zatitu podataka

trebaju biti opisana glavna svojstva predmetnog postupka obrade. To ukljuuje
informacije o nadzorniku, svrsi obrade, pravnoj osnovi obrade, vrsti podataka
koji se obrauju, vjerojatnim primateljima treim strankama i o tome postoji li
namjera prekograninih prijenosa podataka i, ako postoji, kojih.
Nadzorno tijelo mora obavijesti objavljivati u obliku posebnog registra. Kako bi

se ispunila njegova svrha, pristup tom registru treba biti jednostavan i besplatan.
Isto vrijedi za dokumentaciju za koju je zaduen slubenik za zatitu podataka
nadzornika.
Izuzea od obveze obavjeivanja nadlenog nadzornog tijela ili angairanja internog

slubenika za zatitu podataka mogu se propisati nacionalnim zakonodavstvom za
postupke obrade za koje je izgledno da nee predstavljati poseban rizik za osobe iji
se podaci obrauju. Ta su izuzea navedena u lanku18. stavku2. Direktive o zatiti
podataka.168
4.4. Pravila o promicanju sukladnosti

Kljune toke
U razradi naela odgovornosti, u Direktivi o zatiti podataka spominje se nekoliko

instrumenata za promicanje sukladnosti:
prethodna provjera planiranih postupaka obrade od strane nacionalnog nadzornog

tijela
slubenici za zatitu podataka koji nadzorniku pruaju posebno znanje u podruju

zatite podataka
pravila ponaanja u kojima se navode postojea pravila za zatitu podataka za pri-

mjenu u grani drutva, naroito poslovanja.
U pravu Vijea Europe, u Preporuci o profiliranju, predloeni su slini instrumenti za pro-

micanje sukladnosti.
168 Ibid., l.18. st.2. prva alineja.
97
4.4.1. Prethodna provjera

Prema lanku20. Direktive o zatiti podataka, nadzorno tijelo mora provjeriti
postupke obrade koji bi mogli predstavljati poseban rizik za prava i slobode osoba iji
se podaci obrauju bilo zbog svrhe ili zbog okolnosti obrade prije poetka obrade.
Nacionalnim se zakonodavstvom mora odrediti koje se postupke obrade moe pret-
hodno provjeriti. Posljedica takve provjere moe biti zabrana postupaka obrade ili
nalog da se promjene znaajke predloenog plana postupaka obrade. Cilj lanka20.
Direktive jest osigurati da do nepotrebno rizine obrade niti ne doe jer je nadzorno
tijelo ovlateno zabraniti takve postupke. Da bi taj mehanizam bio uinkovit, nad-
zorno tijelo mora doista biti obavijeteno. Kako bi osigurala da nadzornici ispunjavaju
svoju obvezu obavjeivanja, nadzorna tijela moraju imati ovlasti prisile. Jedna je od
njih izricanje novanih kazni nadzornicima.
Primjer: Ako drutvo obavlja postupke obrade koji prema nacionalnom zakono-
davstvu podlijeu prethodnoj provjeri, to drutvo nadzornom tijelu mora podni-
jeti dokumentaciju o planiranim postupcima obrade. Drutvo ne smije zapoeti
postupke obrade prije pozitivnog odgovora nadzornog tijela.
U nekim dravama lanicama nacionalnim je zakonodavstvom alternativno pro-

pisano da postupci obrade mogu zapoeti ako nadzorno tijelo ne reagira u odre-
enom roku, na primjer, tromjesenom.
4.4.2. Slubenici za zatitu podataka

Direktiva o zatiti podataka takoer ostavlja mogunost da se nacionalnim zako-
nodavstvom propie da nadzornici mogu imenovati slubenika koji e djelovati kao
slubenik za zatitu podataka.169 Cilj je tog slubenika osigurati da postupci obrade
ne ugroavaju prava i slobode osoba iji se podaci obrauju.170
Primjer: U Njemakoj, prema odjeljku4f, pododjeljku1. njemakog Saveznog

zakona o zatiti podataka (Bundesdatenschutzgesetz) drutva u privatnom vla-
snitvu moraju imenovati internog slubenika za zatitu podataka ako trajno
zapoljavaju 10 ili vie osoba u automatiziranoj obradi osobnih podataka.
169 Ibid., l.18. st.2. druga alineja.

170 Ibid.
98
Za postizanje tog cilja slubenik mora imati odreenu razinu neovisnosti unutar
organizacije nadzornika, kako je izriito istaknuto u Direktivi. Kako bi se podrala
uinkovitost njegove slube, potrebna su i vrsta radna prava kojima se zaposlenici
tite od primjerice neopravdanog otkaza.
Radi promicanja sukladnosti s nacionalnim zakonodavstvom o zatiti podataka,

pojam internih slubenika za zatitu podataka usvojen je i u nekim od preporuka
Vijea Europe.171
4.4.3. Pravila ponaanja

Radi promicanja sukladnosti, poslovni i drugi sektori mogu sastaviti detaljna pravila
kojima reguliraju svoje uobiajene postupke obrade i na taj nain kodificirati najbolje
prakse. Struno znanje lanova sektora pomoi e u pronalasku praktinih rjeenja
za koje je izgledno da e biti prihvaena. Sukladno tome, drave lanice i Komisija
potiu se na promicanje izrade pravila ponaanja s ciljem doprinoenja pravilnoj pro-
vedbi nacionalnih odredbi koje drave lanice usvoje u skladu s direktivom, uzima-
jui u obzir posebne znaajke razliitih sektora.172
Kako bi osigurale sukladnost tih pravila ponaanja s nacionalnim odredbama usvo-

jenima u skladu s Direktivom o zatiti podataka, drave lanice moraju usposta-
viti postupak evaluacije pravila. U taj je postupak obino potrebno ukljuiti nacio-
nalno tijelo, trgovinske udruge i druga tijela koja predstavljaju druge kategorije
nadzornika.173
Prijedlozi pravila Zajednice i izmjene ili proirenja postojeih pravila Zajednice mogu
se dostaviti radi evaluacije Radnoj skupini iz lanka29. Nakon to ih Radna skupina
odobri, Europska komisija moe osigurati odgovarajuu promidbu tih pravila.174
Primjer: Europska federacija direktnog i interaktivnog marketinga (FEDMA)

razvila je Europski kodeks prakse za uporabu osobnih podataka u direk-
tnom marketingu. Kodeks je uspjeno dostavljen Radnoj skupini iz lanka29.
171 Vidjeti primjerice Preporuku o profiliranju, l.8. st.3.

172 Vidjeti Direktivu o zatiti podataka, l.27. st.1.
173 Ibid., l.27. st.2.
174 Ibid., l.27. st.3.
99
Kodeksu je2010. dodan prilog koji se odnosi na elektronike marketinke

komunikacije.175
175 Radna skupina iz lanka29. (2010.), Miljenje 4/2010 o Europskom kodeksu ponaanja FEDMA-e za
uporabu osobnih podataka u direktnom marketingu, WP 174, Bruxelles, 13. srpnja 2010.
100
5
Prava osobe iji
sepodaci obrauju
injihovaprovedba
se bavi
Pravo na pristup
Direktiva o zatiti podataka, lanak12. Pravo na pristup Konvencija br.108, lanak8.
CJEU, C-553/07, College van burgemeester vlastitim podacima toka(b)
en wethouders van Rotterdam protiv M.E.E.
Rijkeboer, 7. svibnja 2009.
Pravo na Konvencija br.108, lanak8.
ispravljanje, toka(c)
brisanje ili ECtHR, Cemalettin Canli
blokiranje protiv Turske, br.22427/04,
18.studenoga2008.
ECtHR, Segerstedt-Wiberg
i drugi protiv vedske,
br.62332/00, 6. lipnja 2006.
ECtHR, Ciubotaru protiv
Moldavije, br.27138/04,
27.travnja2010.
Pravo na prigovor
Direktiva o zatiti podataka, lanak14. Pravo na prigovor Preporuka o profiliranju,
stavak1. toka(a) zbog posebne lanak5.3.
situacije osobe iji
se podaci obrauju
Direktiva o zatiti podataka, lanak14. Pravo na prigovor Preporuka o direktnom
stavak1. toka(b) na daljnju uporabu marketingu, lanak4.1.
podataka u
marketinke svrhe
Direktiva o zatiti podataka, lanak15. Pravo na prigovor Preporuka o profiliranju,
na automatizirane lanak5.5.
odluke
101

se bavi
Neovisni nadzor
Povelja, lanak8. stavak3. Nacionalna Konvencija br.108, Dodatni
Direktiva o zatiti podataka, lanak28. nadzorna tijela protokol, lanak1.
Institucije Europske unije, poglavlje V.
Uredba o zatiti podataka
CJEU, C-518/07, Europska komisija
protiv Savezne Republike Njemake, 9.
oujka2010.
CJEU, C-518/10, Europska komisija protiv
Republike Austrije, 16.listopada2012.
CJEU, C-288/12, Tuba podnesena
8.travnja2012. Europska komisija protiv
Maarske, 8. lipnja 2012.
Pravni lijekovi i sankcije
Direktiva o zatiti podataka, lanak12. Zahtjev nadzorniku Konvencija br.108, lanak8.
toka(b)
Direktiva o zatiti podataka, lanak28. Zahtjevi podneseni Konvencija br.108, Dodatni
stavak4. nadzornom tijelu protokol, lanak1. stavak2.
Uredba o zatiti podataka u institucijama toka(b)
Europske unije, lanak32. stavak2.
Povelja, lanak47. Sudovi (openito) Europska konvencija o
ljudskim pravima, lanak13.
Direktiva o zatiti podataka, lanak28. Nacionalni sudovi Konvencija br.108, Dodatni
stavak3. protokol, lanak1. stavak4.
Ugovor o funkcioniranju Europske unije, Sud Europske unije
lanak263. stavak4.
Uredba o zatiti podataka u institucijama
Europske unije, lanak32. stavak1.
Ugovor o funkcioniranju Europske unije,
lanak267.
Europski sud za Europska konvencija o
ljudska prava ljudskim pravima, lanak34.
Pravni lijekovi i sankcije
Povelja, lanak47. Za krenja Europska konvencija o
Direktiva o zatiti podataka, lanci 22. i 23. nacionalnog ljudskim pravima, lanak13.
zakonodavstva o (samo za drave lanice
CJEU, C-14/83, Sabine von Colson i Elisabeth zatiti podataka Vijea Europe)
Kamann protiv Land Nordrhein-Westfalen,
10.travnja1984. Konvencija br.108,
lanak10.
CJEU, C-152/84, M.H. Marshall protiv
Southamptona i Zdravstvene ustanove za ECtHR, K.U. protiv Finske,
podruje jugozapadnog Hampshirea, 26. br.2872/02, 2. oujka 2008.
veljae 1986. ECtHR, Biriuk protiv Litve,
br.23373/03, 25. studenog
2008.
102
Prava osobe iji sepodaci obrauju injihovaprovedba

se bavi
Uredba o zatiti podataka u institucijama Za krenja prava
Europske unije, lanci 34. i 49. Europske unije od
CJEU, C-28/08P, Europska komisija protiv The strane institucija
Bavarian Lager Co. Ltd, 29. lipnja2010. i tijela Europske
unije
Uinkovitost pravnih propisa openito, a posebno prava osoba iji se podaci obra-
uju, u velikoj mjeri ovisi o postojanju odgovarajuih mehanizama za njihovu pro-
vedbu. U europskom zakonodavstvu o zatiti podataka, osoba iji se podaci obra-
uju mora imati pravo zatititi svoje podatke na temelju nacionalnog zakonodavstva.
Nacionalnim zakonodavstvom treba uspostaviti i neovisna nadzorna tijela koja e
osobama iji se podaci obrauju pomoi u ostvarivanju prava i nadzirati obradu
osobnih podataka. Osim toga, pravo na uinkoviti pravni lijek, zajameno Europ-
skom konvencijom o ljudskim pravima i Poveljom, znai da pravni lijekovi moraju biti
dostupni svakoj osobi.
5.1. Prava osoba iji se podaci obrauju

Kljune toke
Prema nacionalnom zakonodavstvu svaka osoba mora imati pravo zatraiti informacije
od nadzornika o tome obrauje li nadzornik njezine podatke.
Na temelju nacionalnog zakonodavstva osobe iji se podaci obrauju imaju pravo na:
pristup vlastitim podacima od nadzornika koji takve podatke obrauje
ispravak (ili blokiranje, ovisno o sluaju) svojih podataka, ako su netoni, koji pro-
vodi nadzornik koji obrauje njihove podatke
brisanje ili blokiranje, ovisno o sluaju, svojih podataka koje provodi nadzornik ako
nadzornik podatke obrauje nezakonito.
Osim toga, osobe iji se podaci obrauju imaju pravo na prigovor nadzornicima u vezi s:
automatiziranim odlukama (koje se donose na temelju osobnih podataka koji su

obraeni samo automatski)
obradom svojih podataka ako to dovodi do nerazmjernih rezultata
uporabom svojih podataka u svrhu direktnog marketinga.
103
5.1.1. Pravo na pristup

Unutar prava Europske unije, u lanku12. Direktive o zatiti podataka, sadrani su
elementi prava osobe iji se podaci obrauju na pristup, ukljuujui pravo da od nad-
zornika dobije potvrdu obrauju li se ili ne podaci koji se na nju odnose, te podatak
barem u vezi svrhe obrade, vrste podataka, te primatelje ili vrste primatelja kojima
se podaci otkrivaju, kao i ispravak, brisanje ili blokiranje podataka ija obrada nije u
skladu s ovom Direktivom, posebno zbog nepotpunih ili netonih podataka.
Unutar prava Vijea Europe postoje ista ta prava koja se moraju propisati nacional-
nim zakonodavstvom (lanak8. Konvencije br.108). U nekoliko se preporuka Vijea
Europe koristi pojam pristup uz opis razliitih vidova prava na pristup i prijedlog za
provedbu u nacionalnom zakonodavstvu i to na isti nain naveden u prethodnom
stavku.
Prema lanku9. Konvencije br.108 i lanku13. Direktive o zatiti podataka, obveza

nadzornika da odgovore na zahtjev za pristupom osobe iji se podaci obrauju moe
se ograniiti zbog prevladavajuih pravnih interesa drugih. Prevladavajui pravni
interesi mogu ukljuivati javne interese kao to su nacionalna sigurnost, javna
sigurnost i progon kaznenih djela, kao i privatne interese koji su snaniji od interesa
zatite podataka. Sva izuzea ili ogranienja moraju biti nuna u demokratskom dru-
tvu i razmjerna cilju. U vrlo iznimnim sluajevima, na primjer zbog medicinskih indi-
kacija, zatita osobe iji se podaci obrauju moe sama po sebi iziskivati ogranienje
transparentnosti; to se naroito odnosi na ogranienje prava na pristup svake osobe
iji se podaci obrauju.
Kad god se podaci obrauju iskljuivo u svrhu znanstvenog istraivanja ili u sta-
tistike svrhe, Direktivom o zatiti podataka omogueno je ogranienje prava
pristupa nacionalnim zakonodavstvom. U tom sluaju, meutim, valja usposta-
viti odgovarajue zatitne mjere. Naroito treba osigurati da se ne donose ikakve
mjere ili odluke vezano uz bilo kojeg pojedinca u kontekstu takve obrade podataka
i da nema rizika od krenja privatnosti osobe iji se podaci obrauju.176 Sline su
odredbe sadrane u lanku9. stavku3. Konvencije br.108.
Pravo na pristup vlastitim podacima
Unutar prava Vijea Europe, pravo na pristup vlastitim podacima izriito je potvr-
eno lankom8. Konvencije br.108. Europski sud za ljudska prava opetovano je
104
tvrdio da postoji pravo na pristup informacijama o vlastitim podacima koje drugi

uvaju ili koriste, i da to pravo proizlazi iz potrebe za potovanjem privatnog ivo-
ta.177 U predmetu Leander,178 Europski sud za ljudska prava zakljuio je da pravo na
pristup osobnim podacima koje uvaju javna tijela ipak moe biti ogranieno u odre-
enim okolnostima.
Unutar prava Vijea Europe, pravo na pristup vlastitim podacima izriito je potvr-
eno lankom12. Direktive o zatiti podataka, a kao temeljno pravo lankom8.
stavkom 2. Povelje.
U lanku12.toki(a) propisano je da drave lanice moraju jamiti pravo na pri-

stup osobnim podacima i informacijama svakoj osobi iji se podaci obrauju. Tonije,
svaka osoba iji se podaci obrauju ima pravo od nadzornika dobiti potvrdu obrauju
li se podaci koji se na nju odnose i informacije koje pokrivaju barem sljedee:
svrhu obrade
vrstu predmetnih podataka
podatke koji se obrauju
primatelje ili vrste primatelja kojima se podaci otkrivaju
sve dostupne informacije o izvoru podataka koji se obrauju
u sluaju automatiziranih odluka, logiku automatske obrade podataka.
Nacionalnim zakonodavstvom mogu se dodati informacije koje treba pruiti nadzor-

nik. Tu spada primjerice navoenje pravne osnove za obradu podataka.
Primjer: Pristupom vlastitim osobnim podacima osoba moe utvrditi jesu li

podaci toni pa osobu iji se podaci obrauju obavezno treba informirati o
vrstama podataka koji se obrauju te o sadraju podataka. Nije dakle dovoljno
da nadzornik naprosto kae osobi iji se podaci obrauju da obrauje njezino
177 ECtHR, Gaskin protiv Ujedinjene Kraljevine, Nbr.10454/83, 7.srpnja1989.; Odivre protiv
Francuske [GC], br.42326/98, 13.veljae2003.; ECtHR, K.H. idrugi protiv Slovake, br.32881/04,
28.travnja2009.; ECtHR, Godelli protiv Italije, br.33783/09, 25.rujna2012.
178 ECtHR, Leander protiv vedske, br.9248/81, 11.srpnja1985.
105
ime, adresu, datum roenja i podruje interesa. Nadzornik mora osobi iji se
podaci obrauju otkriti i da obrauje ime: N.N.; adresu: 1040Be, Schwarzen-
bergplatz11, Austrija; datum roenja: 10.10.1974.; i podruje interesa (prema
izjavi osobe iji se podaci obrauju): klasina glazba. Posljednja stavka dodatno
sadri informacije o izvoru podataka.
Obavjeivanje osobe iji se podaci obrauju o podacima koji se obrauju i o svim

dostupnim informacijama o izvoru podataka koji se obrauju mora biti provedeno
u razumljivom obliku, to znai da e nadzornik moda morati osobi iji se podaci
obrauju detaljnije objasniti predmet obrade. Na primjer, nije dovoljno samo navesti
tehnike kratice ili medicinske pojmove u odgovoru na zahtjev za pristupom, ak i
ako su pohranjene samo takve kratice ili pojmovi.
Ako su dostupne, informacije o izvoru podataka koje obrauje nadzornik treba

navesti u odgovoru na zahtjev za pristupom. Ovu odredbu treba promatrati u svje-
tlu naela potene obrade i odgovornosti. Nadzornik ne smije unititi informacije o
izvoru podataka kako ih ne bi morao otkrivati niti zanemariti standardne i priznate
potrebe za dokumentacijom u podruju svojih aktivnosti. Ako nadzornik ne uva
nikakvu dokumentaciju o izvoru podataka koji se obrauju, to najee nee znaiti
da je ispunio svoje obveze u vezi s pravom na pristup.
Ako se provode automatizirane evaluacije, treba objasniti opu logiku evaluacije,

ukljuujui kriterije koji su razmatrani u evaluaciji osobe iji se podaci obrauju.
U Direktivi nije jasno opisano odnosi li se pristup informacijama na prolost i, ako je

tako, na koje razdoblje u prolosti. U tom pogledu, kako je utvreno sudskom prak-
som Suda Europske unije, pravo na pristup vlastitim podacima ne smije se nepo-
trebno vremenski ograniiti. Osobama iji se podaci obrauju takoer treba dati
razumnu mogunost dobivanja informacija o prolim postupcima obrade podataka.
Primjer: U predmetu Rijkeboer,179 od Suda Europske unije zatraeno je da utvrdi

moe li se, prema lanku12. toki (a) Direktive, pravo pojedinca na pristup
informacijama o primateljima ili vrstama primatelja osobnih podataka i o sadr-
aju priopenih podataka ograniiti na godinu dana prije njegova zahtjeva za
pristupom.
179 CJEU, C-553/07, College van burgemeester en wethouders van Rotterdam protiv M.E.E. Rijkeboer,
7. svibnja 2009.
106
Kako bi utvrdio je li na temelju lanka12. toke(a) Direktive doputeno takvo

vremensko ogranienje, Sud je odluio tumaiti taj lanaku svjetlu svrha Direk-
tive. Sud je prvo istaknuo da je pravo na pristup nuno kako bi osoba iji se
podaci obrauju mogla ostvariti svoje pravo da nadzornik ispravi, izbrie ili blo-
kira njezine podatke (lanak12. toka(b)), ili obavijesti tree stranke kojima su
podaci otkriveni o toj ispravci, brisanju ili blokiranju (lanak12. toka(c)). Pravo
na pristup nuno je i kako bi se osobi iji se podaci obrauju dala mogunost
da ostvari svoje pravo na prigovor na obradu osobnih podataka (lanak14.) ili
pravo na tubu ako pretrpi tetu (lanci 22. i 23.).
Radi osiguravanja praktinog uinka gore spomenutih odredbi, Sud je smatrao

da se to pravo mora obavezno odnositi na prolost. U suprotnom osoba iji se
podaci obrauju ne bi mogla uinkovito ostvariti svoje pravo na ispravak, brisa-
nje ili blokiranje podataka koji se smatraju nezakonitima ili netonima, odnosno
na pokretanje sudskog postupka i naknadu za pretrpljenu tetu.
Pravo na ispravak, brisanje i blokiranje podataka
Svaka osoba mora biti u mogunosti ostvariti pravo na pristup podacima koji se na
nju odnose i u postupku su obrade, naroito kako bi provjerila tonost podataka i
zakonitost obrade.180 U skladu s tim naelima, osobe iji se podaci obrauju prema
nacionalnom zakonodavstvu moraju imati pravo na ispravak, brisanje ili blokiranje
svojih podataka, koje treba provesti nadzornik, ako smatraju da obrada nije u skladu
s odredbama direktive, naroito zbog netonosti ili nepotpunosti podataka.181
Primjer: U predmetu Cemalettin Canli protiv Turske,182 Europski sud za ljudska

prava utvrdio je krenje lanka8. Europske konvencije o ljudskim pravima u
netonom policijskom izvjeu u kaznenom postupku.
Podnositelj je dvaput bio podvrgnut kaznenom postupku zbog navodnog lan-

stva u nezakonitim organizacijama, no nikad nije bio osuen. Kad je podnositelj
ponovno uhien i optuen za jo jedno kazneno djelo, policija je kaznenom sudu
predala izvjee pod naslovom obrazac s informacijama o dodatnim kazne-
nim djelima, u kojemu se podnositelj pojavljivao kao lan dviju nezakonitih
180 Direktiva o zatiti podataka, uvodna izjava 41.

181 Ibid., l.12. toka(b).
182 ECtHR, Cemalettin Canli protiv Turske, br.22427/04, 18.studenoga2008., stavci33. , 42. i43.; ECtHR,
Dalea protiv Francuske, br.964/07, 2. veljae 2010.
107
organizacija. Zahtjev podnositelja za izmjenom izvjea i policijske evidencije

bio je neuspjean. Europski sud za ljudska prava smatrao je da su informacije
u policijskom izvjeu bile u okviru lanka8. Europske konvencije o ljudskim
pravima jer bi javne informacije takoer mogle spadati u kategoriju privatnog
ivota ako se sustavno prikupljaju i pohranjuju u datotekama koje uvaju nad-
lena tijela. Osim toga, policijsko izvjee bilo je netono, a njegovo sastavljanje
i podnoenje kaznenom sudu nije bilo u skladu sa zakonom. Sud je zakljuio da
je prekren lanak8.
Primjer: U predmetu Segerstedt-Wiberg i drugi protiv vedske,183 podnositelji

su bili povezani s odreenim liberalnim i komunistikim politikim strankama.
Sumnjali su na to da su informacije o njima unesene u sigurnosnu policijsku evi-
denciju. Europski sud za ljudska prava zadovoljio se injenicom da je pohrana
predmetnih podataka imala pravnu osnovu i legitimnu svrhu. U pogledu nekih
podnositelja Europski sud za ljudska prava utvrdio je da je kontinuirano zadra-
vanje podataka predstavljalo nerazmjerno mijeanje u njihove privatne ivote.
Na primjer, u sluaju g. Schmida, nadlena su tijela zadrala informaciju da
je1969. navodno zagovarao nasilan otpor policijskoj kontroli tijekom demon-
stracija. Europski sud za ljudska prava utvrdio je da te informacije nisu mogle
biti ni u kakvom interesu nacionalne sigurnosti, naroito s obzirom na to da se
odnose na prolost. Europski sud za ljudska prava zakljuio je da je prekren la-
nak8. Konvencije u pogledu etvorice od petorice podnositelja.
U nekim je sluajevima dovoljno da osoba iji se podaci obrauju jednostavno zatrai

ispravak, na primjer, pravopisne greke u imenu, promjenu adrese ili broja telefona.
Meutim, ako su takvi zahtjevi povezani s pravnim pitanjima, kao to je pravni iden-
titet osobe iji se podaci obrauju ili tono mjesto stanovanja radi dostave pravnih
dokumenata, zahtjevi za ispravcima moda nee biti dovoljni i nadzornik e moi
zatraiti dokaz navodne netonosti. Takvim se zahtjevima osobi iji se podaci obra-
uju ne smije nametnuti nerazuman teret dokaza, onemoguujui osobama iji se
podaci obrauju ispravak njihovih podataka. Europski sud za ljudska prava utvrdio
je krenja lanka8. Europske konvencije o ljudskim pravima u nekoliko sluajeva u
kojima podnositelj nije mogao opovrgnuti tonost informacija iz tajnih registara.184
183 ECtHR, Segerstedt-Wiberg i drugi protiv vedske, br.62332/00, 6. lipnja 2006., stavci89. i90.; vidjeti
takoer, na primjer, ECtHR, M.K. protiv Francuske, br.19522/09, 18.travnja2013.
184 ECtHR, Rotaru protiv Rumunjske, br.28341/95, 4.svibnja2000.
108
Primjer: U predmetu Ciubotaru protiv Moldavije,185 podnositelj nije mogao pro-

mijeniti upis svojeg etnikog podrijetla u slubenoj evidenciji s moldavskog na
rumunjsko navodno zbog toga to je propustio potkrijepiti svoj zahtjev. Europ-
ski sud za ljudska prava smatrao je da je prihvatljivo da drave zatrae objekti-
van dokaz pri upisu etnikog podrijetla pojedinca. Ako se takav zahtjev temelji
iskljuivo na subjektivnim i nepotkrijepljenim temeljima, nadlena tijela mogu
ga odbiti. Meutim, podnositeljev zahtjev nije bio utemeljen samo na subjektiv-
nom poimanju vlastitog etnikog podrijetla. On je iznio svoje veze s rumunjskom
etnikom skupinom koje su se mogle objektivno provjeriti, na primjer jezik, ime,
empatija i drugo. Meutim, prema nacionalnom zakonodavstvu, podnositelj
je morao osigurati dokaze da su njegovi roditelji pripadali rumunjskoj etnikoj
skupini. S obzirom na povijesnu situaciju u Moldaviji, takav je zahtjev stvorio
nepremostivu prepreku upisu etnikog identiteta koji bi se razlikovao od onog
upisanog za njegove roditelje koji je zabiljeila sovjetska vlast. Budui da je pod-
nositelju onemoguila pregled njegovog zahtjeva u svjetlu dokaza koji se mogu
objektivno provjeriti, drava je propustila ispuniti svoju pozitivnu dunost osigu-
ravanja uinkovitog potovanja privatnog ivota podnositelja. Sud je zakljuio da
je prekren lanak8. Konvencije.
Tijekom graanskog postupka ili postupka pred javnim tijelom u kojem se odluuje
o tonosti podataka, osoba iji se podaci obrauju moe zatraiti biljeenje naznake
ili napomene o osporavanju tonosti i ekanju slubene odluke u svojoj podatkov-
noj datoteci. U tom razdoblju nadzornik ne smije podatke predstavljati kao sigurne ili
konane, naroito treim strankama.
Zahtjev osobe iji se podaci obrauju za brisanjem ili blokiranjem podataka esto
se temelji na tvrdnji da obrada podataka nema zakonitu osnovu. Takve se tvrdnje
obino pojavljuju kad se suglasnost povue ili kad odreeni podaci vie nisu potrebni
za ispunjavanje svrhe prikupljanja podataka. Teret dokaza da je obrada podataka
zakonita snosi nadzornik jer je on odgovoran za zakonitost obrade. Prema naelu
odgovornosti, nadzornik mora u svakom trenutku moi dokazati da postoji vrsta
pravna osnova za obradu podataka. U suprotnom se obrada mora prekinuti.
Ako se obrada podataka osporava zbog navodne netonosti podataka ili nezakonito-
sti obrade, osoba iji se podaci obrauju, u skladu s naelom potene obrade, moe
zatraiti blokiranje spornih podataka. To znai da se podaci ne briu, ve da se nad-
zornik mora suzdrati od uporabe podataka tijekom razdoblja blokade. To je naroito
185 ECtHR, Ciubotaru protiv Moldavije, br.27138/04, 27.travnja2010., st.51. i59.
109
potrebno kad kontinuirana uporaba netonih ili nezakonito uvanih podataka moe
natetiti osobi iji se podaci obrauju. Nacionalnim se zakonodavstvom treba osigu-
rati vie pojedinosti o tome kad moe nastati obveza blokiranja uporabe podataka i
nain na koji se provodi.
Osobe iji se podaci obrauju imaju dodatno pravo od nadzornika dobiti obavijest
treim strankama o svakom blokiranju, ispravcima ili brisanju, ako su podatke primili
prije tih postupaka obrade. Budui da je nadzornik trebao dokumentirati otkrivanje
podataka treim strankama, treba postojati mogunost identificiranja primatelja
podataka i zahtijevanja brisanja. Meutim, ako su podaci u meuvremenu objavljeni,
na primjer, na internetu, moe ih biti nemogue izbrisati u svim sluajevima jer pri-
matelje podataka nije mogue nai. Prema Direktivi o zatiti podataka, obavezno je
kontaktirati s primateljima podataka radi ispravka, brisanja ili blokiranja podataka,
osim ako se to pokae nemoguim ili ukljuuje nerazmjeran napor.186
5.1.2. Pravo na prigovor

Pravo na prigovor ukljuuje pravo na prigovor na automatizirane pojedinane
odluke, pravo na prigovor zbog posebne situacije osobe iji se podaci obrauju i
pravo na prigovor na daljnju obradu podataka u svrhu direktnog marketinga.
Pravo na prigovor na automatizirane pojedinane odluke
Automatizirane su odluke one donesene na temelju osobnih podataka koji su obra-

eni iskljuivo automatskim sredstvima. Ako je za takve odluke vjerojatno da e
znatno utjecati na ivote pojedinaca jer se odnose, na primjer, na kreditnu sposob-
nost, poslovnu uinkovitost, ponaanje ili pouzdanost, nuna je posebna zatita radi
izbjegavanja neprimjerenih posljedica. U Direktivi o zatiti podataka propisano je da
se automatiziranim odlukama ne trebaju odreivati pitanja koja su vana za poje-
dince i da pojedinac treba imati pravo na pregled automatizirane odluke.187
Primjer: Vaan praktian primjer automatiziranog donoenja odluka je ocje-

njivanje kreditne sposobnosti. Radi brzog odluivanja o kreditnoj sposobnosti
budueg klijenta, odreeni podaci, kao to su zanimanje i obiteljska situacija,
prikupljaju se od klijenta i kombiniraju s podacima o osobi iji se podaci obra-
uju dostupnima iz drugih izvora, kao to su sustavi kreditnih informacija. Ti se
186 Direktiva o zatiti podataka, l.12. toka(c), druga polovica reenice.

187 Ibid., l.15. st.1.
110
podaci automatski uitavaju u algoritam za ocjenjivanje koji izraunava uku-

pnu vrijednost koja predstavlja kreditnu sposobnost potencijalnog klijenta. Na
taj nain zaposlenik drutva moe u nekoliko sekundi odluiti je li osoba iji se
podaci obrauju prihvatljiva kao klijent.
Unato tome, prema Direktivi drave lanice moraju osigurati da se osoba moe
podvrgnuti automatiziranoj pojedinanoj odluci ako interesi osobe iji se podaci
obrauju nisu ugroeni jer je odluka u korist osobe iji se podaci obrauju, ili su
zatieni drugim odgovarajuim sredstvima.188 Pravo na prigovor na automatizi-
rane odluke takoer je sadrano u pravu Vijea Europe to je vidljivo iz Preporuke o
profiliranju.189
Pravo na prigovor zbog posebne situacije osobe iji se podaci

obrauju
Ne postoji ope pravo osoba iji se podaci obrauju na prigovor na obradu njiho-
vih podataka.190 Meutim, prema lanku14.toki(a) Direktive o zatiti podataka,
osoba iji se podaci obrauju ima pravo podnijeti prigovor temeljei ga na uvjerljivoj
pravnoj osnovi koja se tie posebne situacije osobe iji se podaci obrauju. Slino se
pravo priznaje u Preporuci o profiliranju Vijea Europe.191 Cilj je takvih odredbi pro-
nai najbolju ravnoteu izmeu prava osobe iji se podaci obrauju na zatitu svojih
podataka i legitimnih prava drugih u postupku obrade podataka osobe iji se podaci
obrauju.
Primjer: Banka podatke o svojim klijentima koji ne izvravaju kreditnu obvezu

pohranjuje sedam godina. Klijent iji su podaci pohranjeni u toj bazi podataka
trai novi kredit. Provjerava se baza podataka, ocjenjuje se financijska situacija
i klijentu se odbija kredit. Meutim, klijent moe uloiti prigovor na evidentira-
nje njegovih osobnih podataka u bazi podataka i zatraiti brisanje podataka ako
moe dokazati da je neizvravanje kreditne obveze bio samo rezultat pogreke
koja je ispravljena odmah nakon to je klijent za nju saznao.
188 Ibid., l.15. st.2.

189 Preporuka o profiliranju, l.5. st.5.
190 Vidjeti takoer ECtHR, M.S. protiv vedske, br.20837/92, 27.kolovoza1997., u kojemu su medicinski
podaci priopeni bez suglasnosti ili mogunosti prigovora; ili ECtHR, Leander protiv vedske, br.9248/81,
26.oujka1987.; ili ECtHR, Mosley protiv Ujedinjene Kraljevine, br.48009/08, 10.svibnja2011.
191 Preporuka o profiliranju, l.5. st.3.
111
Uinak uspjenog prigovora jest da nadzornik vie ne smije obraivati predmetne

podatke. Meutim, postupci obrade podataka osobe iji se podaci obrauju prije pri-
govora i dalje su zakoniti.
Pravo na prigovor na daljnju uporabu podataka u svrhu direktnog

marketinga
lankom14. tokom (b) Direktive o zatiti podataka propisano je posebno pravo na

prigovor na uporabu podataka odreene osobe u svrhu direktnog marketinga. Takvo
je pravo utvreno i u preporuci Vijea Europe o direktnom marketingu.192 Takav se
prigovor ulae prije nego to podaci postanu dostupni treim strankama u svrhu
direktnog marketinga. Stoga osoba iji se podaci obrauju mora imati mogunost
prigovora prije prijenosa podataka.
5.2. Neovisni nadzor

Kljune toke
Radi osiguravanja uinkovite zatite podataka, nacionalnim zakonodavstvom moraju

biti uspostavljena neovisna nadzorna tijela.
Nacionalna nadzorna tijela moraju djelovati potpuno neovisno, a neovisnost im se

mora zajamiti pravom na temelju kojeg su uspostavljena i mora se odraavati u
posebnoj organizacijskog strukturi nadzornog tijela.
Nadzorna tijela imaju, meu ostalim, sljedee posebne zadae:
nadzirati i promicati zatitu podataka na nacionalnoj razini
savjetovati osobe iji se podaci obrauju i nadzornike kao i vladu i itavu javnost
sasluati prigovore i pomoi osobi iji se podaci obrauju u vezi s navodnim kre-
njem prava na zatitu podataka
nadzirati nadzornike i obraivai
intervenirati, po potrebi,
upozoravanjem, opominjanjem ili ak novanim kanjavanjem nadzornika i

obraivaa
192 Vijee Europe, Odbor ministara (1985), Preporuka Rec(85)20 dravama lanicama o zatiti osobnih
podataka koji se koriste u svrhu direktnog marketinga, 25.listopada1985., l.4. st.1.
112
izdavanjem naloga da se podaci isprave, blokiraju ili izbriu
nametanjem zabrane obrade
uputiti sluajeve sudu.
Prema Direktivi o zatiti podataka neovisan je nadzor nuan kao vaan mehani-
zam za osiguravanje uinkovite zatite podataka. Direktivom je uveden instrument
za provedbu zatite podataka koji se prvotno nije pojavio u Konvencijibr.108 niti u
Smjernicama OECD-a o privatnosti.
S obzirom na to da se neovisan nadzor pokazao neizostavnim za razvoj uinkovite

zatite podataka, u novoj se odredbi revidiranih Smjernica OECD-a o privatnosti
usvojenih 2013. drave lanice poziva na uspostavu i odravanje tijela za provedbu
privatnosti koja bi imala upravu, izvore i tehniko znanje nune za uinkovito ostvari-
vanje svojih ovlasti i objektivno, nepristrano i dosljedno odluivanje.193
Unutar prava Vijea Europe, prema Dodatnom protokolu o Konvencijibr.108 uspo-

stava nadzornih tijela postala je obvezna. U tom je instrumentu, u lanku1., sadr-
an pravni okvir za neovisna nadzorna tijela koji ugovorne stranke moraju provesti u
svojem nacionalnom zakonodavstvu. U njemu se koriste formulacije za opis zadaa
i ovlasti tih tijela sline onima iz Direktive o zatiti podataka. Stoga bi nadzorna tijela
u naelu trebala funkcionirati na jednak nain unutar prava Europske unije i onog
Vijea Europe.
Unutar prava Europske unije, nadlenost i organizacijska struktura nadzornih tijela

najprije su navedene u lanku28.stavku1. Direktive o zatiti podataka. Uredbom
o zatiti podataka u institucijama Europske unije194 uspostavlja se Europski nadzor-
nik za zatitu podataka i nadzorno tijelo za obradu podataka koju provode tijela i
institucije Europske unije. Navodei uloge i odgovornosti nadzornog tijela Uredba se
oslanja na iskustvo prikupljeno od objave Direktive o zatiti podataka.
Neovisnost tijela za zatitu podataka zajamena je lankom16.stavkom2. Ugovora

o funkcioniranju Europske unije i lankom8.stavkom 3. Povelje. U toj se posljednjoj
193 OECD (2013), Smjernice kojima se ureuju zatita privatnosti i prekogranini prijenosi osobnih podataka,
st.19. toka(c).
SLL2001L8, l.41.-48.
113
odredbi kontrola neovisnog tijela smatra kljunim elementom temeljnog prava

na zatitu podataka. Osim toga, prema Direktivi o zatiti podataka, drave lanice
moraju uspostaviti nadzorna tijela radi nadzora primjene Direktive pri emu moraju
djelovati potpuno neovisno.195 Zakonodavstvo na kojem se temelji osnivanje nad-
zornog tijela mora sadravati odredbe koje ponajprije jame neovisnost, a konkretna
organizacijska struktura tijela mora biti dokaz njegove neovisnosti.
Godine2010. Sud Europske unije prvi se put bavio pitanjem opsega primjene
zahtjeva za neovisnou nadzornih tijela za zatitu podataka.196 Sljedei primjeri ilu-
striraju nain njegova razmiljanja.
Primjer: U predmetu Komisija protiv Njemake,197 Europska komisija zatraila je

od Suda Europske unije izjavu da je Njemaka netono prenijela zahtjev pot-
pune neovisnosti nadzornih tijela odgovornih za osiguravanje zatite podataka
ne ispunivi na taj nain svoje obveze iz lanka28.stavka1. Direktive o zatiti
podataka. Sa stajalita Komisije, problem je bio u tome to je Njemaka stavila
pod nadzor drave tijela odgovorna za nadzor obrade osobnih podataka izvan
javnog sektora u razliitim saveznim dravama (Lnder).
Procjena sutine toga postupka ovisila je, prema miljenju Suda, o opsegu pri-
mjene zahtjeva za neovisnou iz te odredbe, a time i njezinom tumaenju.
Sud je istaknuo da se rijei potpuno neovisno iz lanka28. stavka 1. Direk-

tive moraju tumaiti na temelju stvarnog teksta te odredbe i na temelju ciljeva
i sheme Direktive o zatiti podataka.198 Sud je naglasio da su nadzorna tijela
uvari prava vezanih uz obradu osobnih podataka koja se jame Direktivom
te da je stoga njihova uspostava u dravama lanicama kljuni element zatite
pojedinaca u pogledu obrade osobnih podataka.199 Sud je zakljuio da u izvr-
avanju svojih obveza nadzorna tijela moraju postupati objektivno i nepristrano.
Zbog toga, osim utjecaja nadziranih tijela, nadzorna tijela moraju biti liena i
195 Direktiva o zatiti podataka, posljednja reenica lanka28.stavka1.; Konvencijabr.108, Dodatni

protokol, l.1. st.3.
196 Vidjeti FRA (2010); Temeljna prava: izazovi i postignua u 2010., Godinje izvjee za 2010., st.59.
Agencija Europske unije za temeljna prava to je pitanje detaljnije obradila u svojem izvjeu o Zatiti
podataka u Europskoj uniji: uloga nacionalnih tijela nadlenih za zatitu podataka, koje je objavljeno u
svibnju2010.
197 CJEU, C-518/07, Europska komisija protiv Savezne Republike Njemake, 9.oujka2010., st.27.
198 Ibid., st.17. i29.
199 Ibid., st.23.
114
svih ostalih vanjskih utjecaja, ukljuujui izravan ili neizravan utjecaj drave ili
Lnder.200
Sud Europske unije takoer je utvrdio da znaenje potpune neovisnosti treba

tumaiti u svjetlu neovisnosti Europskog nadzornika za zatitu podataka kako
je definirana u Uredbi o zatiti podataka u institucijama Europske unije. Kako je
istaknuo Sud, u njezinom lanku44.stavku2. objanjen je pojam neovisnosti
dodavanjem dijela o tome da Europski nadzornik za zatitu podataka provodei
svoje dunosti ne smije traiti ili primati upute ni od koga. Time je iskljuena
mogunost da drava nadzire neovisno nadzorno tijelo za zatitu podataka.201
Zbog toga je Sud Europske unije smatrao da njemake institucije za zatitu

podataka na razini savezne drave nadlene za nadzor obrade osobnih poda-
taka koju provode nejavna tijela nisu bile dovoljno neovisne jer ih je nadzirala
drava.
Primjer: U predmetu Komisija protiv Austrije,202 Sud Europske unije naglasio je

sline probleme u vezi s poloajem odreenih lanova i osoblja austrijskog tijela
za zatitu podataka (Komisija za zatitu podataka, DSK). Sud je u ovom sluaju
zakljuio da je na temelju austrijskog zakonodavstva iskljuena mogunost da
austrijsko tijelo za zatitu podataka izvrava svoje dunosti potpuno neovisno u
smislu Direktive o zatiti podataka. Neovisnost austrijskog tijela za zatitu poda-
taka nije bila osigurana u dostatnoj mjeri jer Savezni kancelar DSK-u osigurava
radnu snagu, nadzire DSK i ima se pravo u svakom trenutku informirati o nje-
govu radu.
Primjer: U predmetu Komisija protiv Maarske,203 Sud Europske unije je istaknuo

da zahtjev [...] za jamenje da svako nadzorno tijelo bude imalo mogunost
provoenja povjerenih zadaa potpuno nezavisno, ukljuuje obvezu konkretne
drave lanice da osigura potpuno trajanje mandata. Sud je takoer naveo da
prijevremenim okonanjem mandata elnika nadzornog tijela za zatitu osob-
nih podataka, Maarska je propustila izvriti svoje obveze iz Direktive 95/46/EZ
[...].
200 Ibid., st.25.

201 Ibid., st.27.
202 CJEU, C-518/10, Europska komisija protiv Republike Austrije, 16.listopada2012., st.59. i63.
203 CJEU, C-288/12, Komisija protiv Maarske, 8.travnja2012., odlomci 50 i67.
115
Prema nacionalnom zakonodavstvu, nadzorna tijela imaju, meu ostalim, sljedee

ovlasti i mogunosti:204
savjetovati nadzornike o svim pitanjima zatite podataka
istraiti postupke obrade i poduzeti mjere sukladno tome
upozoriti ili opomenuti nadzornike
naloiti ispravak, blokiranje, brisanje ili unitavanje podataka
narediti privremenu ili konanu zabranu obrade
podnijeti sluaj sudu.
Kako bi moglo izvravati svoje dunosti, nadzorno tijelo mora imati pristup svim
osobnim podacima i informacijama nunim za istragu, kao i pristup svim prostori-
jama u kojima nadzornik uva odgovarajue informacije.
Postoje znaajne razlike izmeu domaih nadlenosti koje se odnose na postupke

i pravnog uinka nalaza nadzornog tijela. Mogu varirati od preporuka slinih onima
koje izdaje ombudsman do trenutano provedivih odluka. Analizirajui uinkovitost
pravnih lijekova dostupnih unutar nadlenosti, instrumente pravnih lijekova treba
dakle procijeniti u njihovu kontekstu.
5.3. Pravni lijekovi i sankcije

Kljune toke
Prema Konvenciji br.108 i Direktivi o zatiti podataka, nacionalnim se zakonodav-

stvom moraju utvrditi odgovarajui pravni lijekovi i sankcije za krenje prava na zatitu
podataka.
Prema pravu Europske unije, za pravo na uinkovit pravni lijek potrebno je da se

nacionalnim zakonodavstvom utvrde pravni lijekovi za krenje prava na zatitu
podataka, neovisno o mogunosti obraanja nadzornom tijelu.
204 Direktiva o zatiti podataka, lanak28.; vidjeti takoer Konvencijubr.108, Dodatni protokol, l.1.
116
Nacionalno zakonodavstvo mora propisati uinkovite, jednake, razmjerne i odvra-

ajue sankcije.
Prije nego to se obrati sudu, osoba se treba obratiti nadzorniku. Pitanje treba li se prije
obraanja sudu najprije obratiti nadzornom tijelu ostavljeno je na prosudbu nacional-
nom zakonodavstvu.
Osobe iji se podaci obrauju mogu podnijeti prijave o krenju zakonodavstva o zatiti
podataka Europskom sudu za ljudska prava, no samo u krajnjoj nudi i pod odreenim
uvjetima.
Osim toga, osobe iji se podaci obrauju mogu se obratiti i Sudu Europske unije, ali
samo u vrlo ogranienom broju sluajeva.
Prava na temelju zakonodavstva o zatiti podataka moe ostvariti samo ona osoba
ija su prava ugroena; to je osoba koja jest, ili bar tvrdi da jest, osoba iji se podaci
obrauju. Te osobe u ostvarivanju prava mogu zastupati osobe koje, prema nacio-
nalnom zakonodavstvu, ispunjavaju potrebne zahtjeve. Maloljetnike zastupaju nji-
hovi roditelji ili skrbnici. Osobu pred nadzornim tijelima mogu zastupati i udruenja
iji je zakoniti cilj promicanje prava na zatitu podataka.
5.3.1. Zahtjevi nadzorniku

Prava spomenuta u odjeljak3.2 moraju se prvo ostvariti spram nadzornika. Izravno
obraanje nacionalnom nadzornom tijelu ili sudu ne bi pomoglo jer bi tijelo moglo
osobu samo uputiti da se prvo obrati nadzorniku, a sud bi utvrdio da je predstavka
neprihvatljiva. Slubene zahtjeve za pravno relevantnim zahtjevom nadzorniku,
naroito u pogledu toga trebaju li biti u pisanom obliku, treba urediti nacionalnim
zakonodavstvom.
Na zahtjev odgovara tijelo kojemu se osoba obratila kao nadzorniku, ak i ako ono
nije nadzornik. Odgovor se u svakom sluaju dostavlja osobi iji se podaci obrauju u
vremenskom roku koji je utvren nacionalnim zakonodavstvom, ak i ako se u odgo-
voru navodi samo da se o podnositelju zahtjeva ne obrauju nikakvi podaci. U skladu
s odredbama lanka12.toke(a) Direktive o zatiti podataka i lanka8.toke(b)
Konvencijebr.108 taj se zahtjev treba obraditi bez pretjeranog odgaanja. Stoga
bi nacionalnim zakonodavstvom trebalo propisati dovoljno kratko razdoblje za odgo-
vor, koje nadzorniku ipak omoguuje da na odgovarajui nain obradi zahtjev.
Prije odgovaranja na zahtjev, tijelo kojemu se podnositelj zahtjeva obratio kao nad-
zorniku mora utvrditi identitet podnositelja zahtjeva kako bi bilo sigurno da je on
117
doista osoba koja tvrdi da jest i na taj nain izbjeglo ozbiljno krenje povjerljivosti.
Ako zahtjevi za utvrivanjem identiteta nisu posebno ureeni nacionalnim zako-
nodavstvom, o njima odluuje nadzornik. Meutim, prema naelu potene obrade,
nadzornici ne bi smjeli propisivati pretjerano teke uvjete za potvrivanje identifika-
cije (i autentinosti zahtjeva, kako se razmatra u odjeljak2.1.1).
Nacionalno se zakonodavstvo takoer treba baviti pitanjem smiju li nadzornici,

prije nego to odgovore na zahtjev, traiti da podnositelj zahtjeva plati naknadu: u
lanku12. toki (a) direktive i lanku8. toki(b) Konvencije br.108 propisano je da
odgovor na zahtjeve za pristupom treba dati bez pretjeranog [] troka. Nacional-
nim je zakonodavstvom u mnogim europskim zemljama propisano da na zahtjeve
koji se tiu zakonodavstva o zatiti podataka treba odgovoriti besplatno ako to ne
uzrokuje pretjeran i neuobiajen napor. S druge su strane i nadzornici zatieni nacio-
nalnim zakonodavstvom protiv zlouporabe prava na dobivanje odgovora na zahtjev.
Ako osoba, institucija ili tijelo kojima se podnositelj zahtjeva obrati kao nadzorniku
ne opovrgne da je nadzornik, u vremenskom roku koji propisuje nacionalno zakono-
davstvo taj subjekt mora:
pristupiti zahtjevu i osobu koja je podnijela zahtjev obavijestiti o nainu na koji je

zahtjevu udovoljeno ili
podnositelja zahtjeva obavijestiti o razlogu iz kojeg njegovom zahtjevu nije

udovoljeno.
5.3.2. Zahtjevi podneseni nadzornom tijelu

Ako osoba koja je podnijela zahtjev za pristupom ili uloila prigovor nadzorniku ne
primi pravovremeni i zadovoljavajui odgovor, moe se obratiti nacionalnom nad-
zornom tijelu nadlenom za zatitu podataka sa zahtjevom za pomoi. Tijekom
postupka pred nadzornim tijelom treba razjasniti je li osoba, institucija ili tijelo kojoj
se obratio podnositelj zahtjeva doista bila duna reagirati na zahtjev i je li reakcija
bila ispravna i dostatna. Nadzorno tijelo mora obavijestiti predmetnu osobu o ishodu
postupka u okviru kojeg se obrauje njezin zahtjev.205 Pravni uinci ishoda postupka
pred nacionalnim nadzornim tijelima ovise o nacionalnom zakonodavstvu: mogu
li se odluke tijela pravno provesti, odnosno moe li ih provesti slubeno tijelo ili se
118
potrebno aliti sudu ako nadzornik ne potuje odluke (miljenje, opomenu, itd.) nad-
zornog tijela.
U sluaju da su institucije ili tijela Europske unije navodno prekrile prava na zatitu
podataka zajamena lankom16. Ugovora o funkcioniranju Europske unije, osoba
iji se podaci obrauju moe podnijeti pritubu Europskom nadzorniku za zatitu
podataka,206 neovisnom nadzornom tijelu za zatitu podataka prema Uredbi o zatiti
podataka u institucijama Europske unije kojom se utvruju dunosti i ovlasti Europ-
skog nadzornika za zatitu podataka. Ako Europski nadzornik za zatitu podataka ne
odgovori u roku od est mjeseci, smatra se da je prituba odbijena.
Mora postojati mogunost podnoenja albe sudu protiv odluka nacionalnog nadzor-
nog tijela. To se odnosi na osobu iji se podaci obrauju kao i na nadzornike koji su
sudjelovali u postupku pred nadzornim tijelom.
Primjer: Slubenik za informacije Ujedinjene Kraljevine izdao je 24. lipnja 2013.

odluku u kojoj od policije Hertfordshirea trai prestanak koritenja sustava pra-
enja registracijskih oznaka koji smatra nezakonitim. Podaci prikupljeni kame-
rom pohranjeni su i u lokalnim policijskim bazama podataka i u centraliziranoj
bazi podataka. Fotografije registracijskih oznaka uvale su se dvije godine, a
fotografije automobila 90 dana. Smatralo se da takva opsena uporaba kamera
i drugih vrsta nadzora nije bila razmjerna problemu koji se pokuavao rijeiti.
5.3.3. Zahtjev podnesen sudu

Prema Direktivi o zatiti podataka, ako osoba koja je nadzorniku podnijela zahtjev na
temelju zakonodavstva o zatiti podataka nije zadovoljna odgovorom nadzornika,
mora imati pravo na podnoenje albe nacionalnom sudu.207
Pitanje treba li se prije obraanja sudu najprije obratiti nadzornom tijelu ostavljeno
je na prosudbu nacionalnom zakonodavstvu. Meutim, u veini se sluajeva oso-
bama koje ostvaruju svoja prava na zatitu podataka preporuuje da se prvo obrate
nadzornom tijelu jer bi postupci zahtjeva za njihovom pomoi trebali biti nebiro-
kratski i besplatni. Struno znanje dokumentirano u odluci (miljenju, opomeni, itd.)
SLL2001L8.
207 Direktiva o zatiti podataka, l.22.
119
nadzornog tijela takoer moe pomoi osobi iji se podaci obrauju u ostvarenju
prava pred sudovima.
Unutar prava Vijea Europe, krenja prava na zatitu podataka do kojih je navodno
dolo na nacionalnoj razini ugovorne stranke Europske konvencije o ljudskim pra-
vima i koja istovremeno predstavljaju krenje lanka8. Europske konvencije o ljud-
skim pravima mogu se dodatno podnijeti Europskom sudu za ljudska prava nakon
to se iscrpe svi dostupni domai pravni lijekovi. Da bi se obratilo Europskom sudu za
ljudska prava zbog krenja lanka8. Europske konvencije o ljudskim pravima, tako-
er trebaju biti ispunjeni drugi kriteriji prihvatljivosti (lanci34. do 37. Europske kon-
vencije o ljudskim pravima).208
Iako zahtjevi Europskom sudu za ljudska prava mogu biti usmjereni samo protiv ugo-
vornih stranaka, neizravno se mogu baviti i postupcima ili propustima privatnih stra-
naka, pod uvjetom da ugovorna stranka nije ispunila svoje pozitivne obveze prema
Europskoj konvenciji o ljudskim pravima niti osigurala dovoljnu zatitu protiv krenja
prava na zatitu podataka u svojem nacionalnom zakonodavstvu.
Primjer: U predmetu K.U. protiv Finske,209 podnositelj, maloljetnik, alio se da je

o njemu objavljen oglas seksualne prirode na internetskoj stranici za upoznava-
nje. Davatelj usluge nije otkrio identitet osobe koja je objavila informacije zbog
obveza povjerljivosti prema finskom zakonodavstvu. Podnositelj je tvrdio da
finskim zakonodavstvom nije osigurana dostatna zatita od takvih radnji pri-
vatne osobe koja je na internetu objavila inkriminirajue podatke o podnositelju.
Europski sud za ljudska prava smatrao je da su drave bile dune suzdrati se
od proizvoljnog mijeanja u privatne ivote pojedinaca i da su mogle podlijegati
pozitivnim obvezama koje ukljuuju usvajanje mjera u cilju potovanja privat-
nog ivota ak i u podruju uzajamnih odnosa pojedinaca. U sluaju podnosi-
telja, da bi ga se praktino i uinkovito zatitilo, valjalo je poduzeti uinkovite
mjere identificiranja i progona poinitelja. Meutim, drava nije osigurala takvu
zatitu te je Sud zakljuio da je prekren lanak8. Europske konvencije o ljud-
skim pravima.
208 Europska konvencija o ljudskim pravima, lanci34.-37., dostupno na:

www.echr.coe.int/Pages/home.aspx?p=caselaw/analysis&c=#n1347458601286_pointer.
209 ECtHR, K.U. protiv Finske, br.2872/02, 2.oujka2009.
120
Primjer: U predmetu Kpke protiv Njemake,210 podnositeljica je osumnjiena za

krau na radnom mjestu te je podvrgnuta video nadzoru. Europski sud za ljud-
ska prava zakljuio je da nita ne upuuje na to da domaa nadlena tijela nisu
uspostavila potenu ravnoteu, prema vlastitoj procjeni, izmeu prava podno-
siteljice na potovanje njezina privatnog ivota prema lanku8. s jedne strane
i interesa njezina poslodavca da zatiti svoja vlasnika prava i javnog interesa
za ispravnom primjenom pravde s druge strane. Stoga je zahtjev proglaen
neprihvatljivim.
Ako Europski sud za ljudska prava utvrdi da je drava stranka prekrila prava koja
se tite Europskom konvencijom o ljudskim pravima, drava stranka mora izvriti
presudu Europskog suda za ljudska prava. Izvrnim mjerama treba prvo zaustaviti
krenje i ispraviti, koliko je to mogue, negativne posljedice krenja za podnositelja.
Izvrenje presuda moe iziskivati i ope mjere kojima se spreavaju krenja slina
onima koje je utvrdio Sud, bilo unosom promjena u zakonodavstvo, sudsku praksu
ili na drugi nain.
Ako je Europski sud za ljudska prava utvrdio krenje Europske konvencije o ljudskim
pravima, njezinim lankom41. propisano je da Sud moe podnositelju dosuditi pra-
vinu naknadu o troku drave stranke.
Unutar prava Europske unije,211 rtve krenja nacionalnog zakonodavstva o zatiti

podataka, kojime se provodi zakonodavstvo Europske unije o zatiti podataka, u
odreenim okolnostima mogu svoje predmete podnijeti Sudu Europske unije. Tuba
osobe iji se podaci obrauju zbog krenja prava na zatitu podataka moe imati za
ishod postupak pred Sudom Europske unije. Dva su mogua scenarija za to.
U prvom bi scenariju osoba iji se podaci obrauju trebala biti izravna rtva upravnog
ili regulatornog akta Europske unije kojime su prekrena prava pojedinca na zatitu
podataka. Prema lanku263.stavku4. Ugovora o funkcioniranju Europske unije:
svaka fizika ili pravna osoba moe [...] pokrenuti postupak protiv akta
koji je upuen toj osobi ili koji se izravno i osobno odnosi na nju te protiv
regulatornog akta koji se izravno odnosi na nju, a ne podrazumijeva
provedbene mjere.
210 ECtHR, Kpke protiv Njemake (dec.), br.420/07, 5.listopada2010.

211 EU (2007), Ugovor iz Lisabona o izmjenama Ugovora o Europskoj uniji i Ugovora o osnivanju Europske
zajednice, potpisan u Lisabonu 13.prosinca2007., SL306. Vidjeti takoer proiene verzije Ugovora o
Europskoj uniji, SL2012C326 i Ugovora o funkcioniranju Europske unije, SLL2012C326.
121
Stoga se rtve nezakonite obrade podataka koju je provelo tijelo Europske unije
mogu aliti izravno Opem sudu Suda Europske unije, tijelu nadlenom za donoenje
presuda u predmetima koji se tiu Uredbe o zatiti podataka u institucijama Europske
unije. Mogunost izravne albe Sudu Europske unije postoji i ako zakonska odredba
Europske unije izravno utjee na pravnu situaciju pojedinca.
Drugi se scenarij odnosi na nadlenost Suda Europske unije (Sud) vezanu uz donoe-
nje prethodnih odluka prema lanku267. Ugovora o funkcioniranju Europske unije.
U fazi odvijanja domaeg postupka, osobe iji se podaci obrauju mogu od nacional-
nog suda zatraiti da zahtijeva objanjenje od Suda o tumaenju Ugovora o Europ-
skoj uniji i o tumaenju valjanosti akata institucija, tijela, ureda ili agencija Europske
unije. Takva se objanjenja nazivaju prethodnim odlukama. To nije izravni lijek za
podnositelja, ali nacionalnim sudovima omoguuje primjenu tonog tumaenja prava
Europske unije.
Ako stranka u postupku pred nacionalnim sudovima zatrai upuivanje pitanja Sudu
Europske unije, zahtjevu su obvezni udovoljiti samo nacionalni sudovi koji djeluju kao
zadnja sudska instanca i protiv ijih odluka ne postoji pravni lijek.
Primjer: U predmetu Krntner Landesregierung i drugi,212 austrijski Ustavni sud

podnio je pitanja Sudu Europske unije u vezi s valjanou lanaka3. do9. Direk-
tive2006/24/EZ (Direktiva o zadravanju podataka) u svjetlu lanaka7., 9. i11.
Povelje. Pitanje se odnosilo i na to jesu li odreene odredbe austrijskog Save-
znog zakona o telekomunikacijama kojima se prenosi Direktiva o zadravanju
podataka nespojive s aspektima Direktive o zatiti podataka i Uredbe o zatiti
podataka u institucijama Europske unije.
G. Seitlinger, jedan od podnositelja u postupcima Ustavnog suda, tvrdio je da

telefon, internet i e-potu koristi i u poslovne i u privatne svrhe. Sukladno tome,
informacije koje alje i prima prolaze kroz javne telekomunikacijske mree.
Prema austrijskom Zakonu o telekomunikacijama iz 2003., njegov davatelj tele-
komunikacijskih usluga zakonski je obvezan prikupljati i pohranjivati podatke
o njegovoj uporabi mree. G. Seitlinger je shvatio da davatelj telekomunikacij-
skih usluga nije nuno morao prikupljati i pohranjivati njegove osobne podatke
u tehnike svrhe slanja informacija od tokeA do tokeB unutar mree. Osim
toga, prikupljanje i pohrana tih podataka nisu nikako bili nuni u svrhu naplate.
212 CJEU, zajedniki predmeti C-293/13 i C-594/12, Digital Rights Ireland i Seitling i drugi, 8.travnja2014.
122
G. Seitlinger zasigurno nije pristao na takvu uporabu svojih osobnih podataka.

Jedini razlog za prikupljanje i pohranu svih tih dodatnih podataka bio je austrijski
Zakon o telekomunikacijama iz 2003.
Stoga je g. Seitlinger pred austrijskim Ustavnim sudom pokrenuo postupak u

kojemu je tvrdio da statutarne obveze njegovog davatelja telekomunikacijskih
usluga kre njegova temeljna prava prema lanku8. Povelje Europske unije.
Sud Europske unije donosi odluke samo o sastavnim dijelovima zahtjeva za prethod-
nom odlukom koji mu je podnesen. Nacionalni sud ostaje nadlean za odluivanje o
izvornom sluaju.
Sud u naelu mora odgovoriti na postavljena pitanja. Ne moe odbiti donoenje pret-
hodne odluke zbog toga to taj odgovor ne bi bio ni relevantan ni pravovremen u
pogledu izvornog sluaja. Meutim, moe odbiti donoenje prethodne odluke ako
pitanje nije unutar njegovog podruja nadlenosti.
Konano, ako prava na zatitu podataka, zajamena lankom16. Ugovora o funkci-

oniranju Europske unije, navodno prekri institucija ili tijelo Europske unije tijekom
obrade osobnih podataka, osoba iji se podaci obrauju moe sluaj podnijeti Opem
sudu Suda Europske unije (lanak32. stavci1. i4. Uredbe o zatiti podataka u insti-
tucijama Europske unije). Isto se odnosi na odluke Europskog nadzornika za zatitu
podataka u vezi s takvim krenjima (lanak32.stavak3. Uredbe o zatiti podataka
u institucijama Europske unije).
Opi sud Suda Europske unije nadlean je za donoenje odluka u predmetima koji se
tiu Uredbe o zatiti podataka u institucijama Europske unije. No, ako osoba u svoj-
stvu lana osoblja institucije ili tijela Europske unije zatrai pravni lijek, mora se obra-
titi Slubenikom sudu Europske unije.
Primjer: Predmet Europska komisija protiv The Bavarian Lager Co. Ltd213 ukazuje
na pravne lijekove koji se mogu primijeniti protiv aktivnosti ili odluka institucija i
tijela Europske unije u vezi sa zatitom podataka.
Bavarian Lager je od Europske komisije zatraio pristup cjelokupnom zapisniku

sa sastanka koji je odrala Komisija a koji se navodno odnosio na pravna pitanja
213 CJEU, C-28/08P, Europska komisija protiv The Bavarian Lager Co. Ltd, 29.lipnja2010.
123
bitna za drutvo. Komisija je odbila zahtjev drutva iz razloga prevladavajuih

interesa zatite podataka.214 Pozivajui se na lanak32. Uredbe o zatiti poda-
taka u institucijama Europske unije, Bavarian Lager je protiv te odluke uloio
albu Sudu Europske unije; tonije, Prvostupanjskom sudu (prethodnik Opeg
suda). U svojoj odluci u predmetu T-194/04, Bavarian Lager protiv Komisije,
Prvostupanjski sud ponitio je odluku Komisije kojom je odbijen zahtjev za pri-
stupom. Europska komisija alila se na tu odluku Sudu Europske unije. Veliko
vijee Suda donijelo je presudu kojom je odbaena presuda Prvostupanjskog
suda i potvreno odbacivanje zahtjeva za pristupom Europske komisije.
5.3.4. Sankcije
Unutar prava Vijea Europe, lankom10. Konvencije br.108 propisano je da svaka
stranka mora uspostaviti odgovarajue sankcije i pravne lijekove za krenja odredbi
domaeg zakonodavstva kojima se provode osnovna naela zatite podataka nave-
dena u Konvenciji br.108.215 Unutar prava Europske unije, lankom24. Direktive o
zatiti podataka propisano je da drave lanice donose odgovarajue mjere kako bi
osigurale potpunu provedbu odredbi ove Direktive i posebno propisuju sankcije koje
se nameu u sluaju krenja odredbi donesenih [].
Oba instrumenta dravama lanicama omoguuju veliku slobodu odabira odgovara-

juih sankcija i pravnih lijekova. Nijedan pravni instrument ne nudi konkretne smjer-
nice u vezi s nainom ili vrstom odgovarajuih sankcija niti navodi primjere sankcija.
Meutim:
iako drave lanice Europske unije uivaju veliku slobodu odluivanja

o mjerama koje su najprikladnije za zatitu prava pojedinaca na temelju
prava Europske unije, u skladu s naelom lojalne suradnje kako je navedena
u lanku4. stavku3. Ugovora o Europskoj uniji, valja ispuniti minimalne
zahtjeve u pogledu uinkovitosti, jednakosti, razmjernosti i odvraanja.216
214 Za analizu argumenata vidjeti: EDPS (2011), Javni pristup dokumentima koji sadre osobne podatke
nakon odluke o predmetu Bavarian Lager, Bruxelles, Europski nadzornik za zatitu podataka, dostupno
na: www.secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/
Papers/BackgroundP/11-03-24_Bavarian_Lager_EN.pdf.
215 ECtHR, I. protiv Finske, br.20511/03, 17.srpnja2008.; ECtHR, K.U. protiv Finske, br.2872/02,
2.prosinca2008.
216 FRA (2012), Miljenje Agencije Europske unije za temeljna prava o predloenom paketu reformi zatite
podataka, 2/2012, Be, 1.listopada2012., str.27.
124
Sud Europske unije u vie je navrata tvrdio da nacionalno zakonodavstvo nema pot-
punu slobodu odreivanja sankcija.
Primjer: U predmetu Von Colson i Kamann protiv Land Nordrhein-Westfalen,217

Sud Europske unije istaknuo je da su sve drave lanice na koje se odnosi Direk-
tiva u svojim nacionalnim pravnim sustavima dune usvojiti sve potrebne mjere
kojima se osigurava njezina uinkovitost u skladu s njezinim ciljem. Sud je sma-
trao da, iako drave lanice odabiru naine i sredstva kojima osiguravaju pro-
vedbu Direktive, ta sloboda ne utjee na obvezu kojoj podlijeu. Tonije, uin-
kovit pravni lijek mora pojedincu omoguiti potpuno ostvarenje i provedbu
predmetnog prava. Kako bi se osigurala takva prava i uinkovita zatita, pravni
lijekovi moraju dovesti do kaznenih i/ili kompenzacijskih postupaka iji su ishod
sankcije s odvraajuim uinkom.
to se tie sankcija protiv krenja prava Europske unije od strane institucija ili tijela
Europske unije, zbog posebne ovlasti Uredbe o zatiti podataka u institucijama
Europske unije, sankcije su predviene samo u obliku disciplinskih mjera. Prema
lanku49. Uredbe, zbog neizvravanja obveza iz ove Uredbe, bilo namjerno ili zbog
nemara, dunosnik ili drugi slubenik Europskih zajednica bit e podvrgnut disciplin-
skoj mjeri [].
217 CJEU, C-14/83, Sabine von Kolson i Elisabeth Kamann protiv Pokrajine Sjeverne Rajne Vestfalije,
10.travnja1984.
125
6
Prekogranini prijenosi
podataka

se bavi
Prekogranini prijenosi podataka
Direktiva o zatiti podataka, lanak25. Definicija Konvencija br.108, Dodatni
6.studenoga2003.
Slobodan prijenos podataka
Direktiva o zatiti podataka, lanak1. Meu dravama
stavak2. lanicama Europske
unije
Meu ugovornim Konvencija br.108,
strankama lanak12. stavak2.
Konvencije br.108
Direktiva o zatiti podataka, lanak25. Treim zemljama Konvencija br.108, Dodatni
s odgovarajuom protokol, lanak2. stavak1.
razinom zatite
podataka
Direktiva o zatiti podataka, lanak26. Treim zemljama Konvencija br.108, Dodatni
stavak1. u posebnim protokol, lanak2. stavak2.
sluajevima toka(a)
Ogranieni prijenos podataka treim zemljama
Direktiva o zatiti podataka, lanak26. Ugovorne klauzule Konvencija br.108, Dodatni
Direktiva o zatiti podataka, lanak26. toka(b)
stavak4. Vodi za pripremu ugovornih
klauzula
Direktiva o zatiti podataka, lanak26. Obvezujua pravila
stavak2. poduzea
127

se bavi
Primjeri: Posebni
Sporazum izmeu Europske unije i SAD-a meunarodni
o PNR-u sporazumi
Sporazum izmeu Europske unije i SAD-a o
SWIFT-u
Osim to je u Direktivi o zatiti podataka propisan slobodan prijenos podataka meu

dravama lanicama, ona sadri i odredbe o zahtjevima za prijenos osobnih poda-
taka treim zemljama izvan Europske unije. Vijee Europe prepoznalo je i vanost
provedbenih pravila za prekogranini prijenos podataka treim zemljama te 2001.
godine usvojilo Dodatni protokol uz Konvenciju br.108. Tim su Protokolom preuzete
glavne regulatorne znaajke prekograninog prijenosa podataka iz drava stranaka
konvencije i lanica Europske unije.
6.1. Narav prekograninog prijenosa

podataka
Kljune toke
Prekogranini prijenos podataka je prijenos osobnih podataka primatelju koji je pod

stranom nadlenosti.
U lanku2. stavku1. Dodatnog protokola uz Konvenciju br.108 prekogranini prije-

nos podataka opisuje se kao prijenos osobnih podataka primatelju koji je pod stra-
nom nadlenosti. lankom25. stavkom1. Direktive o zatiti podataka ureuje se
prijenos treoj zemlji osobnih podataka koji se obrauju ili koje je potrebno obraditi
nakon prijenosa []. Takav je prijenos podataka doputen samo u skladu s pravilima
navedenim u lanku2. Dodatnog protokola uz Konvenciju br.108te, za drave la-
nice Europske unije, dodatno u lancima25. i26. Direktive o zatiti podataka.
Primjer: U predmetu Bodil Lindqvist,218 Sud Europske unije smatrao je da se

upuivanje na razliite osobe na internetskoj stranici te njihovo identificiranje
imenom ili na drugi nain, primjerice navoenjem njihova telefonskog broja ili
218 CJEU, C-101/01, Bodil Lindqvist, 6.studenoga2003.27., 68. i69.
128
informacija u vezi njihovih radnih uvjeta ili hobija, smatra osobnim podacima
koji se u cijelosti ili djelomino obrauju automatskim putem u smislu lanka3.
stavka1. Direktive95/46.
Sud je zatim istaknuo da se Direktivom takoer propisuju posebna pravila iji

je cilj omoguiti dravama lanicama nadzor prijenosa osobnih podataka treim
zemljama.
Meutim, s obzirom na, u prvom redu, stanje razvijenosti interneta u trenutku

sastavljanja Direktive, a zatim i na njen nedostatak kriterija koji se odnose na
uporabu interneta, ne moe se pretpostaviti da je zakonodavac Zajednice
namjeravao da izraz prijenos [podataka] treoj zemlji pokriva uitavanje
[podataka] na internetsku stranicu, ak i ako na taj nain podaci postanu dostu-
pni osobama u treim zemljama koje imaju tehnika sredstva da im pristupe.
Kada bi se Direktiva tumaila na nain da do prijenosa podataka treoj zemlji

dolazi svaki put kad se osobni podaci uitaju na internetsku stranicu, taj bi pri-
jenos nuno bio prijenos svim treim zemljama u kojima postoje tehnika sred-
stva potrebna za pristup internetu. Na taj bi nain poseban reim koji je propisan
[Direktivom] nuno postao reim ope primjene, u pogledu aktivnosti na inter-
netu. Ako bi Komisija dakle utvrdila [...] da ak i samo jedna trea zemlja nije
osigurala dovoljnu zatitu, drave lanice bile bi dune onemoguiti stavljanje
osobnih podataka na internet.
Naelo da se puka objava (osobnih) podataka ne treba smatrati prekograninim

prijenosom podataka odnosi se i na on-line javne registre ili sredstva javnog pri-
opavanja kao to su (elektronike) novine i televizija. Pojam prekograninog pri-
jenosa podataka odnosi se samo na komunikaciju koja je usmjerena na odreene
primatelje.
6.2. Slobodan protok podataka meu dravama

lanicama ili meu ugovornim strankama
Kljune toke
Prijenos osobnih podataka drugoj dravi lanici Europskog gospodarskog prostora ili
drugoj ugovornoj stranki Konvencije br.108 ne smije se ograniavati.
129
Prema lanku12. toki(c) Konvencije br.108, unutar prava Vijea Europe mora
postojati slobodan prijenos osobnih podataka meu strankama konvencije. Doma-
im se zakonodavstvom ne smije ograniiti izvoz osobnih podataka ugovornim
strankama, osim:
ako je to nuno zbog posebne naravi podataka219
ako je ogranienje nuno kako bi se sprijeilo izbjegavanje nacionalnih zakonskih

odredbi o prekograninom prijenosu podataka treim zemljama.220
Unutar prava Europske unije, ogranienja ili zabrane slobodnog prijenosa podataka
meu dravama lanicama zbog zatite podataka zabranjena su lankom1. stav-
kom2. Direktive o zatiti podataka. Podruje slobodnog prijenosa podataka proi-
reno je Ugovorom o europskom gospodarskom prostoru(EGP),221 kojime se Island,
Lihtentajn i Norveka uvode na unutarnje trite.
Primjer: Ako podrunica meunarodne grupacije s poslovnim nastanom u neko-

liko drava lanica Unije, meu ostalim u Sloveniji i Francuskoj, prenosi osobne
podatke iz Slovenije u Francusku, takav se prijenos podataka ne smije ograniiti
niti zabraniti slovenskim nacionalnim zakonodavstvom.
Meutim, ako ista slovenska podrunica eli prenijeti iste te osobne podatke
matinom drutvu u Sjedinjenim Amerikim Dravama, slovenski izvoznik poda-
taka mora proi postupak propisan slovenskim zakonodavstvom o prekograni-
nom prijenosu podataka treim zemljama bez odgovarajue zatite podataka,
osim ako je matino drutvo usvojilo naela privatnosti sigurne luke, dobrovoljni
kodeks ponaanja o osiguravanju odgovarajue razine zatite podataka (vidjeti
odjeljak6.3.1).
Meutim, prekogranini prijenosi podataka dravama lanicama EGP-a u svrhe izvan

nadlenosti unutarnjeg trita, kao to je istraga zloina, ne podlijeu odredbama
Direktive o zatiti podataka pa se na njih ne moe odnositi naelo slobodnog prije-
nosa podataka. to se tie prava Vijea Europe, sva su podruja ukljuena u opseg
219 Konvencija br.108, l.12. stavak3. toka(a).

220 Ibid., l.12. st.3. toka(b).
221 Odluka Vijea i Komisije od 13.prosinca1993. o sklapanju Ugovora o europskom gospodarskom
prostoru izmeu Europskih zajednica, njihovih drava lanica i Republike Austrije, Republike Finske,
Republike Island, Kneevine Lihtentajna, Kraljevine Norveke, Kraljevine vedske i vicarske
Konfederacije, SL1994L1.
130
primjene Konvencije br.108 i Dodatnog protokola uz Konvenciju br.108, s time da

ugovorne stranke mogu utvrditi izuzea. Svi lanovi EGP-a takoer su stranke Kon-
vencije br.108.
6.3. Slobodan prijenos podataka treim

zemljama
Kljune toke
Prijenos osobnih podataka treim zemljama mora biti lien ogranienja prema nacio-
nalnom zakonodavstvu o zatiti podataka ako:
je potvrena odgovarajua zatita podataka kod primatelja
je to nuno radi posebnih interesa osobe iji se podaci obrauju ili zakonitih prevla-
davajuih interesa drugih, naroito vanih javnih interesa.
Odgovarajua zatita podataka u treoj zemlji znai da su glavna naela zatite poda-
taka uinkovito provedena u nacionalnom zakonodavstvu te zemlje.
Unutar prava Europske unije, Europska komisija procjenjuje prikladnost zatite poda-
taka u treoj zemlji. Unutar prava Vijea Europe, na nacionalnom je zakonodavstvu da
utvrdi nain na koji e procijeniti prikladnost zatite podataka.
6.3.1. Slobodan prijenos podataka radi prikladne

zatite
Prema pravu Vijea Europe, nacionalnim se zakonodavstvom moe dopustiti slobo-
dan prijenos podataka dravama koje nisu stranke ugovora ako drava ili organi-
zacija primatelj osiguravaju dovoljnu razinu zatite podataka koji se planiraju pre-
nijeti.222 Nacionalnim se zakonodavstvom utvruje nain procjene razine zatite
podataka u stranoj zemlji i tko bi procjenu trebao izvriti.
Unutar prava Europske unije, slobodan prijenos podataka treim zemljama s odgo-
varajuom razinom zatite podataka propisan je lankom25. stavkom1. Direktive
o zatiti podataka. Zbog uvjeta koji umjesto jednakosti prednost daje prikladno-
sti, postoje razliiti naini provedbe zatite podataka. Prema lanku25. stavku6.
222 Konvencija br.108, Dodatni protokol, l.2. st.1.
131
Direktive, Europska komisija nadlena je procijeniti razinu zatite podataka u stranim

zemljama na temelju zakljuaka o prikladnosti. Ona se savjetuje o procjeni s Radnom
skupinom iz lanka29. koja je znaajno doprinijela tumaenju lanaka25. i26.223
Zakljuak Europske komisije o prikladnosti ima obvezujui uinak. Ako Europska

komisija objavi zakljuak o prikladnosti za odreenu zemlju u Slubenom listu Europ-
ske unije, sve zemlje lanice EGP-a i njihova tijela duni su potovati odluku. To znai
da se podaci mogu prenositi u tu zemlju bez postupaka provjere ili licenciranja pred
nacionalnim tijelima.224
Europska komisija takoer moe procijeniti dijelove pravnog sustava zemlje ili se
ograniiti na pojedinane teme. Komisija je donijela zakljuak o prikladnosti, na pri-
mjer, samo o kanadskom zakonodavstvu o privatnim trgovakim drutvima.225 Niz je
zakljuaka o prikladnosti za prijenose koji se temelje na ugovorima izmeu Europske
unije i stranih zemalja. Te se odluke odnose iskljuivo na jednu vrstu prijenosa poda-
taka, kao to su evidencije imena putnika koji zrane kompanije prenose stranim
tijelima za graninu kontrolu kad zrakoplov leti iz Europske unije u odreena preko-
morska odredita (vidjeti odjeljak6.4.3). U novijoj se praksi prijenosa podataka na
temelju posebnih ugovora izmeu Europske unije i treih zemalja openito ne koriste
zakljuci o prikladnosti jer se pretpostavlja da se samim ugovorom osigurava odgo-
varajua razina zatite podataka.226
Jedna od najvanijih odluka o prikladnosti zapravo se ne odnosi na skup pravnih

odredbi.227 Odnosi se na pravila, uvelike slina Kodeksu ponaanja, poznata kao
223 Vidjeti, na primjer, Radnu skupinu iz lanka29. (2003), Radni dokument o prijenosima osobnih
podataka treim zemljama: primjena lanka26. stavka2. Direktive Europske unije o zatiti podataka na
obvezujua pravila poduzea za meunarodne prijenose podataka, WP74, Bruxelles, 3.lipnja2003.;
i Radnu skupinu iz lanka29. (2005), Radni dokument o zajednikom tumaenju lanka26. stavka1.
Direktive95/46/EZ od 24.listopada1995., WP 144, Bruxelles, 25.studenoga2005.
224 Za najnoviju verziju popisa zemalja koje su primile zakljuak o prikladnosti vidjeti poetnu stranicu
Europske komisije, Glavnu upravu za pravosue, na adresi: http://ec.europa.eu/justice/data-protection/
document/international-transfers/adequacy/index_en.htm.
225 Europska Komisija (2002), Odluka 2002/2/EZ od 20.prosinca2001. u skladu s Direktivom95/46/EZ
Europskog parlamenta i Vijea o odgovarajuoj zatiti osobnih podataka propisanoj kanadskim Zakonom
o zatiti osobnih podataka i elektronikih dokumenata, SL2002L2.
226 Na primjer, Sporazum izmeu Sjedinjenih Amerikih Drava i Europske unije o uporabi i prijenosu
Evidencije imena putnika Ministarstvu domovinske sigurnosti Sjedinjenih Amerikih Drava
(SL2012L215, st.5.14.) ili Sporazum izmeu Europske unije i Sjedinjenih Amerikih Drava o obradi
i prijenosu podataka o financijskim porukama koje se iz Europske unije alju Sjedinjenim Amerikim
Dravama u svrhu Programa praenja financiranja teroristikih aktivnosti, SL2010L8, str.11.16.
227 Europska komisija (2000), Odluka Komisije 2000/520/EZ od 26.srpnja2006. u skladu s Direktivom
95/46/EZ Europskog parlamenta i Vijea o prikladnosti zatite koju pruaju naela privatnosti
sigurne luke i uz njih vezana esto postavljana pitanja koje je izdalo Ministarstvo trgovine SAD-a
SLL2000L215.
132
naela privatnosti sigurne luke. Ta su naela razradile Europska unija i Sjedinjene

Amerike Drave za trgovaka drutva SAD-a. lanstvo u sigurnoj luci ostvaruje
se dobrovoljnim preuzimanjem obveze pred Ministarstvom trgovine SAD-a koje se
dokumentira na popisu koji izdaje to ministarstvo. Budui da je jedan od bitnih ele-
menata prikladnosti uinkovitost provedbe zatite podataka, dogovorom o sigurnoj
luci otvara se i odreena razina nadzora od strane drave: sigurnoj luci mogu pristu-
piti samo one drave koje podlijeu nadzoru Savezne trgovinske komisije SAD-a.
6.3.2. Slobodan prijenos podataka u posebnim

sluajevima
Unutar prava Vijea Europe, lankom2. stavkom2. Dodatnog protokola uz Konven-
ciju br.108 omoguen je prijenos osobnih podataka treim zemljama u kojima nema
prikladne zatite podataka, pod uvjetom da je prijenos propisan nacionalnim zako-
nodavstvom i nuan zbog:
posebnih interesa osobe iji se podaci obrauju
zakonitih prevladavajuih interesa drugih, posebno vanih javnih interesa.
Unutar prava Europske unije, u lanku26. stavku1. Direktive o zatiti podataka

sadrane su odredbe sline onima iz Dodatnog protokola uz Konvenciju br.108.
Prema Direktivi, interesi osobe iji se podaci obrauju mogu opravdati slobodan pri-
jenos podataka treoj zemlji ako:
osoba iji se podaci obrauju da svoju nedvosmislenu suglasnost za izvoz

podataka
osoba iji se podaci obrauju sklopi, ili se priprema sklopiti, ugovorni odnos iji je
izriiti preduvjet prijenos podataka primatelju u inozemstvu
su nadzornik i trea stranka sklopili ugovor u interesu osobe iji se podaci

obrauju
ako je prijenos potreban kako bi se zatitili vitalni interesi osobe iji se podaci
obrauju
133
za prijenos podataka iz javnih registara; radi se o prevladavajuim interesima

javnosti koji se tiu pristupa informacijama pohranjenim u javnim registrima.
Zakoniti interesi drugih mogu opravdati slobodan prekogranini prijenos podataka:228
radi vanog javnog interesa, osim pitanja nacionalne ili javne sigurnosti, jer ona
nisu obuhvaena Direktivom o zatiti podataka
radi uspostave, izvrenja ili obrane pravnih zahtjeva.
Gore navedene sluajeve treba shvatiti kao izuzea od pravila koje glasi da je za neo-
metani prijenos podataka drugim zemljama potrebna odgovarajua razina zatite
podataka u zemlji primateljici. Izuzea treba uvijek tumaiti restriktivno. To je u
vie navrata isticala Radna skupina iz lanka29. u kontekstu lanka26. stavka1.
Direktive o zatiti podataka, naroito ako je suglasnost navodna osnova za prijenos
podataka.229 Radna skupina iz lanka29. zakljuila je da se opa pravila o pravnom
znaaju suglasnosti odnose i na lanak26. stavak1. Direktive. Ako, na primjer, u
kontekstu radnih odnosa, nije jasno je li suglasnost koju su dali zaposlenici doista
slobodna suglasnost, prijenosi podataka ne mogu se temeljiti na lanku26. stavku1.
toki(a) Direktive. U tim se sluajevima primjenjuje lanak26. stavak2. koji propi-
suje da nacionalna tijela za zatitu podataka izdaju dozvolu za prijenose podataka.
6.4. Ogranieni prijenos podataka treim

zemljama
Kljune toke
Prije izvoza podataka treim zemljama u kojima nije osigurana odgovarajua razina
zatite podataka, nadzorno tijelo moe zatraiti od nadzornika da mu omogui uvid u
podatke koje namjerava iznositi.
Nadzornik koji eli izvesti podatke mora dokazati dvije stvari tijekom tog pregleda:
da postoji pravna osnova za prijenos podataka primatelju
228 Direktiva o zatiti podataka, l.26. st.1. toka(d).

229 Vidjeti naroito Radnu skupinu iz lanka29. (2005), Radni dokument o zajednikom tumaenju
lanka26. stavka1. Direktive95/46/EZ od 24.listopada1995., WP144, Bruxelles, 25.studenoga2005.
134
da se provode mjere za zatitu odgovarajue zatite podataka kod primatelja.
Mjere za uspostavu odgovarajue zatite podataka kod primatelja mogu ukljuivati:
ugovorne odredbe izmeu nadzornika koji izvozi podatke i stranog primatelja

podataka ili
obvezujua pravila poduzea koja se obino odnose na prijenose podataka unutar

multinacionalne grupacije.
Prijenosi podataka stranim tijelima mogu se urediti i posebnim meunarodnim

sporazumom.
Sukladno Direktivi o zatiti podataka i Dodatnom protokolu uz Konvenciju br.108

nacionalno zakonodavstvo moe uspostaviti reime za prekogranine prijenose
podataka treim zemljama u kojima nije osigurana odgovarajua razina zatite poda-
taka pod uvjetom da je nadzornik poduzeo posebne radnje kojima se osiguravaju
odgovarajue mjere zatite podataka kod primatelja i pod uvjetom da nadzornik
moe to dokazati nadlenom tijelu. Taj je zahtjev izriito naveden samo u Dodat-
nom protokolu uz Konvenciju br.108; meutim, smatra se standardnim postupkom i
prema Direktivi o zatiti podataka.
6.4.1. Ugovorne klauzule

I u pravu Vijea Europe i u pravu Europske unije spominju se ugovorne klauzule
kojima se vezuju nadzornik koji izvozi podatke i primatelj u treoj zemlji. Takve klau-
zule navode se kao mogui nain osiguravanja odgovarajue razine zatite podataka
kod primatelja.
Na razini Europske unije, Europska komisija uz pomo Radne skupine iz lanka29.

razvila je standardne ugovorne klauzule koje su slubeno ovjerene Odlukom Komi-
sije kao dokaz odgovarajue razine zatite podataka.230 S obzirom na to da su odluke
Komisije u cijelosti obvezujue u dravama lanicama, nacionalna tijela odgovorna za
nadzor prekograninog prijenosa podataka moraju potvrditi te standardne ugovorne
klauzule u svojim postupcima.231 Stoga, ako se nadzornik i primatelj iz tree zemlje
dogovore i potpiu ih, to bi za nadzorno tijelo trebao biti dovoljan dokaz provoenja
odgovarajuih zatitnih mjera.

231 Ugovor o funkcioniranju Europske unije, l.288.
135
Postojanje standardnih ugovornih klauzula u pravnom okviru Europske unije ne znai

da nadzornici ne smiju sastavljati druge ad hoc ugovorne klauzule. Meutim, tim bi
klauzulama trebali osigurati jednaku razinu zatite koju osiguravaju standardne ugo-
vorne klauzule. Najvanije znaajke standardnih ugovornih klauzula jesu:
odredba o korisniku treoj stranci kojom se osobama iji se podaci obrauju

omoguuje ostvarivanje ugovornih prava iako nisu stranke ugovora
primatelj ili uvoznik podataka pristaje na podvrgavanje postupku nacionalnog

nadzornog tijela i/ili sudova nadzornika koji izvozi podatke u sluaju spora.
Dostupne su dvije skupine standardnih klauzula za prijenose izmeu dvaju nadzor-

nika na odabir nadzorniku.232 Za prijenose na relaciji nadzornik obraiva postoji
samo jedna skupina standardnih ugovornih klauzula.233
U kontekstu prava Vijea Europe, Savjetodavni odbor Konvencije br.108 sastavio je

vodi za pripremu ugovornih klauzula.234
6.4.2. Obvezujua pravila poduzea

Viestrana obvezujua pravila poduzea (BCR-ovi) vrlo esto istovremeno uklju-
uju nekoliko europskih tijela za zatitu podataka.235 Kako bi se BCR-ovi odobrili,
glavnom tijelu treba poslati prijedlog BCR-ova sa standardiziranim prijavnim obras-
cima. 236 Glavno tijelo vidljivo je u standardiziranom prijavnom obrascu. Tijelo tada
232 SkupinaI. nalazi se u Prilogu Odluke Komisije 2001/497/EZ od 15.lipnja2001. (Europska komisija
(2001)) o standardnim ugovornim klauzulama za prijenos osobnih podataka treim zemljama prema
Direktivi 95/46/EZ, SL2001L181; SkupinaII. nalazi se u Prilogu Odluke Komisije 2004/915/EZ od
27.prosinca2004. (Europska komisija (2004)) o izmjeni Odluke 2001/497/EZ u pogledu uvoenja
alternativne skupine standardnih ugovornih klauzula za prijenos osobnih podataka treim zemljama,
SL2004L385.
233 Europska komisija (2010), Odluka Komisije 2010/87 od 5.veljae2010. o standardnim ugovornim
klauzulama za prijenos osobnih podataka izvoaima obrade s poslovnim nastanom u treim zemljama
na temelju Direktive95/46/EZ Europskog parlamenta i Vijea, SL2010L39.
234 Vijee Europe, Savjetodavni odbor Konvencije br.108 (2002), Vodi za pripremu ugovornih klauzula
kojima se ureuje zatita podataka tijekom prijenosa osobnih podataka treim strankama koje nisu
obvezane odgovarajuom razinom zatite podataka.
235 Sadraj i struktura odgovarajuih obvezujuih pravila poduzea objanjeni su u Radnom dokumentu o
izradi okvira za strukturu obvezujuih pravila za poduzea Radne skupine iz lanka29. (2008), WP154,
Bruxelles, 24.lipnja2008.; i u Radni dokument o izradi tablice s elementima i naelima iz obvezujuih
pravila za poduzea Radne skupine iz lanka29. (2008), WP153, Bruxelles, 24.lipnja2008.
236 Radna skupina iz lanka29. (2007.), Preporuka 1/2007 o standardnom zahtjevu za odobrenjem
obvezujuih pravila za poduzea za prijenos osobnih podataka, WP133, Bruxelles, 10.sijenja2007.
136
obavjeuje sva nadzorna tijela u dravama lanicama EGP-a u kojima grupacija ima
svoje podrunice iako je njihovo sudjelovanje u procesu evaluacije BCR-ova dobro-
voljno. Premda to nije obvezujue, sva predmetna tijela za zatitu podataka trebala
bi ugraditi rezultat evaluacije u svoje slubene postupke licenciranja.
6.4.3. Posebni meunarodni sporazumi

Europska unija sklopila je posebne sporazume za dvije vrste prijenosa podataka:
Evidencija imena putnika
Zrane kompanije u postupku rezervacije prikupljaju podatke iz evidencije imena

putnika (PNR) koji ukljuuju imena, adrese, podatke o kreditnoj kartici te brojeve sje-
dala putnika u zranom prometu. Prema zakonima SAD-a, zrane kompanije dune
su te podatke staviti na raspolaganje Ministarstvu domovinske sigurnosti prije pola-
ska putnika. To se odnosi na letove u Sjedinjene Amerike Drave ili iz njih.
Radi osiguranja adekvatne razine zatite za PNR podatke, a sukladno odredbama

Direktive 95/46/EZ, usvojen je PNR paket237 u 2004. godini, koji je osiguravao ade-
kvatnu razinu zatite za podatke koje bi obraivao Ministarstvo domovinske sigur-
nosti SAD-a.
Nastavno na proglaenje PNR paketa nevaljanim od strane CJEU,238 potpisana su dva

zasebna sporazuma s ciljem, u prvom redu, osiguravanja pravne osnove za otkriva-
nje podataka iz PNR-a stranim tijelima; te u drugom redu uspostavljanja odgovara-
jue zatite podataka u zemlji primateljici.
Prvi sporazum izmeu zemalja Europske unije i Sjedinjenih Amerikih Drava, o

nainu na koji se podaci razmjenjuju i kako se njima upravlja, je potpisan 2007., ali
je imao nekoliko nedostataka i zamijenjen je 2012. godine, novim sporazumom koji
237 Odluka Vijea 2004/496/EZ od 17. svibnja 2004., o potpisivanju Sporazuma izmeu Europske Unije i
Sjedinjenih Amerikih Drava o obradi i prijenosu podataka iz evidencije podataka o putnicima (PNR)
zranih prijevoznika Ministarstvu za domovinsku sigurnost Sjedinjenih Amerikih Drava, Uredu za
carinsku i graninu zatitu, SL2004 L183, str. 83, i Odluka Komisije 2004/535/EZ od 14. svibnja 2004.
o adekvatnoj razini zatite osobnih podataka sadranih u Evidenciji imena putnika, putnika u zranom
prijevozu, dostavljenih Uredu za carinsku i graninu zatitu SAD-a, SL2004 L 235, str. 11- 22.
238 CJEU, zajedniki predmeti C-317/04 i 318/04, Europski parlament protiv Vijea Europske unije,
30. svibnja 2006, odlomci 57., 58. i59., kojima je Sud odluio da su odluka o adekvatnosti zatite i
sporazum o obradi podataka izvan opsega Direktive.
137
jami veu pravnu sigurnost.239 Njime se ograniuju i pojanjavaju svrhe u koje se

informacije mogu koristiti, kao to su ozbiljni transnacionalni zloin i terorizam, te
uspostavlja vremensko razdoblje zadravanja podataka: nakon proteka est mjeseci
podaci se moraju maskirati i depersonalizirati. U sluaju zlouporabe njihovih poda-
taka, svatko ima pravo podnijeti albu u upravnom i sudskom postupku u skladu sa
zakonodavstvom SAD-a. Takoer imaju pravo na pristup vlastitim podacima iz PNR-a
i, ako su netoni, zatraiti njihov ispravak od Ministarstva domovinske sigurnosti,
ukljuujui mogunost brisanja.
Sporazum koji je stupio na snagu 1.srpnja2012. ostaje na snazi sedam godina, do

2019.
Uprosincu2011. Vijee Europske unije odobrilo je sklapanje auriranog Sporazuma

izmeu Europske unije i Australije o obradi i prijenosu podataka iz PNR-a.240 Spora-
zum izmeu Europske unije i Australije o podacima PNR-a daljnji je korak na dnev-
nom redu Europske unije koji ukljuuje globalne smjernice za PNR,241 izradu sheme
EU-PNR 242 i sklapanje sporazuma s treim zemljama.243
Podaci o financijskim porukama
Drutvo za svjetsku meubankovnu financijsku telekomunikaciju (SWIFT), sa sje-

ditem u Belgiji, obrauje veinu globalnih prijenosa novaca iz europskih banaka.
Ono djeluje sa zrcalnim raunalnim sreditem koji nalazi u Sjedinjenim Amerikim
239 Odluka Vijea 2012/472/EU od 26.travnja2012. o sklapanju Sporazuma izmeu Sjedinjenih Amerikih
Drava i Europske unije o uporabi i prijenosu evidencije imena putnika Ministarstvu domovinske
sigurnosti SAD-a, SL2012L215/4. Tekst Sporazuma priloen je ovoj Odluci, SL2012L215, st.5.-14.
240 Odluka Vijea 2012/381/EU od 13.prosinca2011. o sklapanju Sporazuma izmeu Europske unije i
Australije o obradi i prijenosu podataka iz evidencije imena putnika (PNR) od strane zranih kompanija
australskoj Slubi za carinsku i graninu zatitu, SL2012L186/3. Tekst Sporazuma, kojim se zamjenjuje
prethodni sporazum iz 2008., priloen je ovoj Odluci, SL2012L186, str.4.-16.
241 Vidjeti naroito Priopenje Komisije od 21.rujna2010. o globalnom pristupu prijenosima podataka iz
evidencije imena putnika (PNR) treim zemljama, COM(2010)492 zavrno, Bruxelles, 21.rujna2010.
Vidjeti takoer Miljenje Radne skupine iz lanka29., Miljenje 27/2010 o Komunikaciji Komisije o
globalnom pristupu pri iznoenju podataka iz Evidencije imena putnika (PNR) u tree zemlje, WP 178,
Bruxelles, 12. studenog 2010.
242 Prijedlog Direktive Europskog parlamenta i Vijea o uporabi podataka iz PNR-a za spreavanje,
otkrivanje, istragu i progon teroristikih kaznenih djela i ozbiljnog zloina, COM(2011) 32 zavrno,
Bruxelles, 2. veljae 2011. U travnju 2011. Europski parlament od Europske agencije za temeljna prava
zatraio je miljenje o tom Prijedlogu i njegovoj sukladnosti s Poveljom o temeljnim pravima Europske
unije. Vidjeti: FRA (2011), Miljenje 1/2011 Evidencija imena putnika, Be, 14.lipnja2011.
243 Europska unija trenutno dogovara novi sporazum o PNR-u s Kanadom, kojim e se zamijeniti trenutno
vaei sporazum iz 2006.
138
Dravama, pa je od SWIFT-a zatraeno da otkrije podatke Ministarstvu financija

SAD-a u svrhu istrage terorizma.244
S gledita Europske unije, ne postoji primjerena pravna osnova za otkrivanje tih, u

osnovi europskih, podataka kojima se u SAD-u moglo pristupiti samo jer je tamo bio
smjeten jedan od SWIFT-ovih centara za obradu podataka.
Poseban sporazum izmeu Europske unije i SAD-a, poznat kao Sporazum o SWIFT-u
sklopljen je2010. godine kako bi se osigurala potrebna pravna osnova i odgovara-
jua zatita podataka.245
Prema tom sporazumu, financijski podaci koje pohranjuje SWIFT i dalje se dostavljaju
Ministarstvu financija SAD-a u svrhu spreavanja, istrage, otkrivanja ili progona tero-
rizma ili financiranja teroristikih aktivnosti. Ministarstvo financija SAD-a moe od
SWIFT-a zatraiti financijske podatke pod uvjetom da:
su financijski podaci u zahtjevu to je jasnije mogue identificirani
je u zahtjevu jasno potkrijepljena nunost podataka
je zahtjev to precizniji kako bi se smanjila koliina zatraenih podataka
se u zahtjevu ne trae podaci koji se odnose na Jedinstveno podruje za plaanje

eurom (SEPA).
Europol mora primiti primjerak svakog zahtjeva Ministarstva financija SAD-a i potvr-
diti potuju li se naela Sporazuma o SWIFT-u.246 Ako se potvrdi da se potuju, SWIFT
244 Vidjeti, u tom kontekstu, Radnu skupinu iz lanka29. (2011), Miljenje 14/2011 o pitanjima
zatite podataka vezano uz spreavanje pranja novca i financiranja terorizma, WP186, Bruxelles,
13.lipnja2011.; Radna skupina iz lanka29. (2006), Miljenje 10/2006 o obradi osobnih podataka
koju provodi Drutvo za svjetsku meubankovnu financijsku telekomunikaciju (SWIFT), WP(128),
Bruxelles, 22.studenoga2006.; belgijska Komisija za zatitu privatnosti (Commission de la protection
de la vie prive) (2008), Postupak kontrole i preporuke pokrenut spram drutva SWIFT scrl, Odluka,
9.prosinca2008.
245 Odluka Vijea 2010/412/EU od 13.srpnja2010. o sklapanju Sporazuma izmeu Europske unije i
Sjedinjenih Amerikih Drava o obradi i prijenosu podataka o financijskih porukama iz Europske unije
Sjedinjenim Amerikim Dravama za potrebe programa praenja financiranja teroristikih aktivnosti,
SL2010L195, str.3. i4. Tekst Sporazuma priloen je ovoj Odluci, SL2010L195, str.5.-14.
246 Zajedniko nadzorno tijelo Europola je izvrio nadzore nad aktivnostima Europola u ovom podruju,
rezultati nadzora su dostupni na: http://europoljsb.consilium.europa.eu/reports/inspection-report.
aspx?lang=en.
139
mora financijske podatke dostaviti izravno Ministarstvu financija SAD-a. Ministar-

stvo mora pohraniti financijske podatke u sigurnom fizikom okruenju tako da
im mogu pristupiti samo analitiari koji istrauju terorizam ili njegovo financiranje,
a financijski podaci ne smiju biti meusobno povezani ni sa kojom drugom bazom
podataka. Openito, financijski podaci primljeni od SWIFT-a moraju se izbrisati naj-
kasnije pet godina od primitka. Financijski podaci koji su bitni za odreene istrage ili
progone mogu se zadrati koliko god dugo su potrebni za te istrage ili progone.
Ministarstvo financija SAD-a moe prenijeti informacije iz podataka primljenih od

SWIFT-a odreenim tijelima policije, javne sigurnosti ili suzbijanja terorizma, unutar
ili izvan Sjedinjenih Amerikih Drava, iskljuivo radi istrage, otkrivanja, spreavanja
ili progona terorizma i njegova financiranja. Ako daljnji prijenos financijskih poda-
taka ukljuuje graanina ili dravljanina drave lanice Europske unije, svaka raz-
mjena podataka s tijelima tree zemlje podlijee prethodnoj suglasnosti nadlenih
tijela predmetne drave lanice. Mogu se napraviti izuzea ako je razmjena podataka
nuna za spreavanje izravne i ozbiljne prijetnje javnoj sigurnosti.
Neovisna tijela koja provode nadzor, ukljuujui osobu koju imenuje Europska komi-
sija, nadziru sukladnost s naelima Sporazuma o SWIFT-u.
Osobe iji se podaci obrauju imaju pravo dobiti potvrdu nadlenog tijela Europske
unije za zatitu podataka o potivanju svojih prava na zatitu podataka. Osobe iji
se podaci obrauju takoer imaju pravo na ispravak, brisanje ili blokiranje svojih
podataka koje prikuplja i pohranjuje Ministarstvo financija SAD-a prema Sporazumu
o SWIFT-u. Meutim, prava osoba iji se podaci obrauju na pristup mogu podlijegati
odreenim pravnim ogranienjima. Ako joj je pristup odbijen, osobu iji se podaci
obrauju treba pisanim putem obavijestiti o odbijanju i o njezinom pravu na albu u
upravnom i sudskom postupku u Sjedinjenim Amerikim Dravama.
Sporazum o SWIFT-u vrijedi pet godina, do kolovoza2015. Automatski se produuje

na daljnja razdoblja od jedne godine osim ako jedna od stranaka obavijesti drugu
najmanje est mjeseci unaprijed o svojoj namjeri da ne produlji sporazum.
140
7
Zatita podataka
ukontekstu policije
ikaznenog pravosua
se bavi
Openito Konvencija br.108
Policija Preporuka policije
ECtHR, B.B. protiv Francuske, br.5335/06,
17.prosinca2009.
ECtHR, S. i Marper protiv Ujedinjene
Kraljevine, br.30562/04 i 30566/04,
4.prosinca2008.
ECtHR, Vetter protiv Francuske,
br.59842/00, 31.svibnja2005.
Kibernetiki Konvencija o kibernetikom kriminalu
kriminal
Zatita podataka u kontekstu prekogranine suradnje policijskih i pravosudnih tijela
Okvirna odluka o zatiti Openito Konvencija br.108
podataka Preporuka policije
Prmska odluka Za posebne Konvencija br.108
podatke: otiske Preporuka policije
prstiju, DNK,
huliganizam, itd.
Odluka Europola Posebne agencije Konvencija br.108
Odluka Eurojusta Preporuka policije o podacima
Uredba o Frontrexu
Schengenska odlukaII. Posebni zajedniki Konvencija br.108
Uredba o VIS-u informacijski Preporuka policije
sustavi
Uredba o Eurodacu ECtHR, Dalea protiv Francuske, br.964/07,
Odluka o CIS-u 2.veljae2010.
141
Radi uravnoteenja interesa pojedinca za zatitu podataka i interesa drutva za pri-

kupljanje podataka radi suzbijanja zloina i osiguravanja nacionalne i javne sigurno-
sti, Vijee Europe i Europska unija usvojile su posebne pravne instrumente.
7.1. Pravo Vijea Europe o zatiti podataka

u policijskim i kaznenopravnim
predmetima
Kljune toke
Konvencija br.108 i Preporuka Vijea Europe o policiji odnose se na zatitu podataka u

svim podrujima policijskog rada.
Konvencija o kibernetikom kriminalu (Budimpetanska konvencija) obvezujui je

meunarodni pravni instrument koji se bavi zloinima poinjenim protiv i putem elek-
tronikih mrea.
Na europskoj razini, Konvencijom br.108 obuhvaena su sva podruja obrade osob-

nih podataka, a svrha je njezinih odredbi openito urediti obradu osobnih podataka.
Stoga se Konvencija br.108 odnosi na zatitu podataka u policijskom i kaznenoprav-
nom podruju, no ugovorne stranke mogu ograniiti njezinu primjenu.
Pravne zadae policijskih i kaznenopravnih tijela esto zahtijevaju obradu osobnih

podataka koja moe imati ozbiljne posljedice za dotine pojedince. Preporuka o poli-
cijskim podacima koju je Vijee Europe usvojilo 1987. ugovornim strankama prua
smjernice o nainu provedbe naela Konvencije br.108 u kontekstu obrade osobnih
podataka koju provode policijska tijela.247
7.1.1. Preporuka o policiji

Stav je Europskog suda za ljudska prava da pohrana i zadravanje osobnih podataka
od strane policijskih ili tijela nacionalne sigurnosti predstavlja zadiranje u lanak8.
247 CoE, Odbor ministara (1987), Preporuka Rec(87)15 dravama lanicama o koritenju osobnih podataka
u policijskom sektoru, 17.rujna1987.
142
Zatita podataka ukontekstu policije ikaznenog pravosua
stavak1. Europske konvencije o ljudskim pravima. Mnoge se presude Europskog

suda za ljudska prava odnose na obrazloenje takvih zadiranja.248
Primjer: U predmetu B.B. protiv Francuske,249 Europski sud za ljudska prava

odluio je da uvrtavanje osuenog seksualnog prijestupnika u nacionalnu
pravosudnu evidenciju potpada pod lanak8. Europske konvencije o ljudskim
pravima. Meutim, budui da su uvedene odgovarajue zatitne mjere, kao to
je pravo osobe iji se podaci obrauju da zatrai brisanje podataka, ogranieno
trajanje pohrane podataka i ogranieni pristup takvim podacima, postignuta je
dobra ravnotea izmeu predmetnih sukobljenih privatnih i javnih interesa. Sud
je zakljuio da nije prekren lanak8. Konvencije.
Primjer: U predmetu S. i Marper protiv Ujedinjene Kraljevine,250 oba su podnosi-

telja optuena, ali ne i osuena, za kaznena djela. No, policija je ipak zadrala i
pohranila njihove otiske, DNK profile i stanine uzorke. Neogranieno zadrava-
nje biometrijskih podataka zakonom je dozvoljeno ako je osoba osumnjiena za
kazneno djelo, ak i ako je osumnjienik kasnije osloboen od optubi ili puten
na slobodu. Europski sud za ljudska prava smatrao je da je sveobuhvatno i nese-
lektivno zadravanje osobnih podataka koje nije vremenski ogranieno i pri
kojemu osloboeni pojedinci imaju samo ograniene mogunosti zatraiti bri-
sanje predstavljalo nerazmjerno mijeanje u prava podnositelja na potovanje
privatnog ivota. Sud je zakljuio da je prekren lanak8. Konvencije.
Mnoge druge presude Europskog suda za ljudska prava odnose se na obrazloenje

mijeanja u pravo na zatitu podataka nadzorom.
Primjer: U predmetu Allan protiv Ujedinjene Kraljevine,251 nadlena su tijela tajno

snimala privatne razgovore zatvorenika s prijateljem u zatvorskom prostoru
za posjete i sa suoptuenikom u zatvorskoj eliji. Europski sud za ljudska prava
smatrao je da je uporaba ureaja za audio i video snimanje u podnositeljevoj
eliji, zatvorskom prostoru za posjete i na kolegi zatvoreniku predstavljala mije-
248 Vidjeti, na primjer, ECtHR, Leander protiv vedske, br. 9248/81, 26.oujka1987.; ECtHR, M.M. protiv
Ujedinjene Kraljevine, br. 24029/07, 13.studenoga2012; ECtHR, M.K. protiv Francuske, br. 19522/09,
18.travnja2013.
249 ECtHR, B.B. protiv Francuske, br.5335/06, 17.prosinca2009.
250 ECtHR, S. iMarper protiv Ujedinjene Kraljevine, br.30562/04 i 30566/04, 4.prosinca2008., st.119.
i125.
251 ECtHR, Allan protiv Ujedinjene Kraljevine, br.48539/99, 5.studenoga2002.
143
anje u podnositeljevo pravo na privatan ivot. Budui da nije postojao pravni

sustav kojime bi se regulirala policijska uporaba tajnih ureaja za snimanje
u danom trenutku, navedeno mijeanje nije bilo u skladu sa zakonom. Sud je
Primjer: U predmetu Klass i drugi protiv Njemake,252 podnositelji su tvrdili da

je nekoliko njemakih zakonodavnih akata kojima se dozvoljava nadzor pote
i telekomunikacija krilo lanak8. Europske konvencije o ljudskim pravima,
naroito jer dotina osoba nije bila obavijetena o nadzornim mjerama i nije se
mogla obratiti za pomo sudovima nakon to su takve mjere ukinute. Europski
sud za ljudska prava smatrao je da prijetnja nadzorom svakako ometa slobodu
komuniciranja meu korisnicima potanskih i telekomunikacijskih usluga. Meu-
tim, zakljuio je da su uvedene odgovarajue zatitne mjere protiv zlouporabe.
Njemako je zakonodavstvo opravdano smatralo takve mjere nunima u demo-
kratskom drutvu u interesu nacionalne sigurnosti i radi spreavanja nereda ili
zloina. Sud je zakljuio da nije prekren lanak8. Konvencije.
Budui da obrada podataka koju provode policijska tijela moe imati znaajan utje-
caj na dotine osobe, u tom su podruju osobito potrebna detaljna pravila za zatitu
podataka koja se odnose na voenje baza podataka. Svrha Preporuke Vijea Europe
o policiji bila je rijeiti to pitanje davanjem smjernica o nainu prikupljanja podataka
za potrebe policije; o nainu uvanja podatkovnih datoteka u tom podruju; o tome
kome je dozvoljen pristup tim datotekama, ukljuujui uvjete za prijenos podataka
stranim policijskim tijelima; o nainu na koji osobe iji se podaci obrauju trebaju
moi ostvariti svoja prava na zatitu podataka; i o nainu na koji neovisna tijela
trebaju provoditi kontrolu. Razmatra se i obveza osiguravanja odgovarajue razine
sigurnosti podataka.
Preporukom se ne propisuje otvoreno, neselektivno prikupljanje podataka policijskih

tijela. Ograniuje se prikupljanje osobnih podataka koje provode policijska tijela na
mjeru nunu za spreavanje stvarne opasnosti ili suzbijanje odreenog kaznenog
djela. Svako dodatno prikupljanje podataka trebalo bi se temeljiti na posebnom naci-
onalnom zakonodavstvu. Obrada osjetljivih podataka treba biti ograniena na mjeru
koja je apsolutno nuna u kontekstu odreenog upita.
Ako se osobni podaci prikupljaju bez znanja osobe iji se podaci obrauju, osoba iji
se podaci obrauju treba biti informirana o prikupljanju podataka im otkrivanje vie
252 ECtHR, Klass i drugi protiv Njemake, br.5029/71, 6.rujna1978.
144
ne ometa istragu. Prikupljanje podataka tehnikim nadzorom ili drugim automatskim

sredstvima takoer se treba temeljiti na posebnim pravnim odredbama.
Primjer: U predmetu Vetter protiv Francuske253 anonimni su svjedoci podnosite-

lja optuili za ubojstvo. Budui da je podnositelj redovito posjeivao prijateljevu
kuu, policija je u njoj postavila ureaje za prislukivanje uz dozvolu istranog
suca. Podnositelj je uhien na temelju snimljenih razgovora i sueno mu je zbog
ubojstva. Zatraio je da se snimka proglasi neprihvatljivim dokazom tvrdei da
nije pribavljena na nain predvien zakonom. Europski sud za ljudska prava
trebao je odluiti je li uporaba prislunih ureaja bila u skladu sa zakonom.
Postavljanje prislunih ureaja u privatne prostorije nedvojbeno nije unutar
opsega primjene lanka100. i nastavnih lanaka Zakona o kaznenom postupku
jer se te odredbe odnose na prislukivanje telefonskih linija. U lanku81. Zakona
nije dovoljno jasno naveden opseg primjene ili nain na koji nadlena tijela po
vlastitom nahoenju odluuju o nadzoru privatnih razgovora. U skladu s time,
podnositelj nije imao najmanju razinu zatite na koju graani imaju pravo u
skladu s vladavinom prava u demokratskom drutvu. Sud je zakljuio da je pre-
kren lanak8. Konvencije.
U preporuci je naveden zakljuak da pri pohrani osobnih podataka treba jasno razli-
kovati: administrativne podatke od policijskih podataka; vrste osoba iji se podaci
obrauju, kao to su osumnjienici, osuenici, rtve i svjedoci; i podatke koji se sma-
traju vrstim injenicama od onih koji se temelje na sumnjama ili nagaanjima.
Policijske podatke treba strogo ograniiti s obzirom na svrhu. To utjee na priopava-

nje policijskih podataka treim strankama: prijenos ili priopavanje takvih podataka
unutar policijskog sektora treba ovisiti o tome postoji li legitiman interes za dijelje-
njem informacija. Prijenos ili priopavanje takvih podataka izvan policijskog sektora
trebaju biti dozvoljeni samo ako postoji jasna pravna obveza ili ovlatenje. Meuna-
rodni prijenos ili priopavanje trebaju biti ogranieni na strana policijska tijela i teme-
ljiti se na posebnim pravnim odredbama, kao to su meunarodni sporazumi, osim
ako je to potrebno radi spreavanja ozbiljne i neposredne opasnosti.
Obrada podataka koju provodi policija mora podlijegati neovisnom nadzoru radi osi-
guravanja sukladnosti s nacionalnim zakonodavstvom o zatiti podataka. Osobe iji
se podaci obrauju moraju imati sva prava na pristup iz Konvencije br.108. Ako su
253 ECtHR, Vetter protiv Francuske, br.59842/00, 31.svibnja2005.
145
prava osoba iji se podaci obrauju na pristup ograniena prema lanku9. Konven-
cije br.108 u interesu uinkovitih policijskih istraga, osoba iji se podaci obrauju
mora imati pravo prema nacionalnom zakonodavstvu na albu nacionalnom nadzor-
nom tijelu za zatitu podataka ili drugom neovisnom tijelu.
7.1.2. Budimpetanska konvencija o kibernetikom

kriminalu
Budui da se u kriminalnim aktivnostima sve ee koriste elektroniki sustavi za
obradu podataka, a kriminalne aktivnosti utjeu na te sustave, potrebne su nove
kaznenopravne odredbe kojima se rjeava taj problem. Stoga je Vijee Europe usvo-
jilo meunarodni pravni instrument, Konvenciju o kibernetikom kriminalu poznatu
i kao Budimpetanska konvencija kako bi rijeila problem zloina poinjenih protiv i
putem elektronikih mrea.254 Toj konvenciji mogu pristupiti i drave koje nisu lanice
Vijea Europe. Do sredine 2013., etiri drave izvan Vijea Europe Australija, Domi-
nikanska Republika, Japan i Sjedinjene Amerike Drave bile su stranke konvencije,
a 12 drugih drava koje nisu lanice Vijea Europe potpisale su je ili su pozvane da joj
pristupe.
Konvencija o kibernetikom kriminalu i dalje je najutjecajniji meunarodni spora-

zum koji se bavi krenjima prava putem internetskih ili drugih informacijskih mrea.
Njezine stranke moraju aurirati i uskladiti svoje kaznene zakone protiv hakiranja
i ostalih povreda sigurnosti ukljuujui povrede autorskih prava, raunalno potpo-
mognutu prijevaru, djeju pornografiju i druge zabranjene kibernetike aktivnosti.
Konvencijom su propisane i proceduralne ovlasti koje obuhvaaju pretraivanje rau-
nalnih mrea i presretanje komunikacija u kontekstu suzbijanja kibernetikog krimi-
nala. Naposljetku, njome je omoguena uinkovita meunarodna suradnja. Dodatni
protokol uz konvenciju bavi se inkriminacijom rasistike i ksenofobne propagande u
raunalnim mreama.
Iako konvencija zapravo nije instrument za promicanje zatite podataka, njome se

inkriminiraju aktivnosti za koje je izgledno da e prekriti prava osobe iji se podaci
obrauju na zatitu njezinih podataka. Njome se ugovorne stranke takoer obvezuju
da pri provedbi konvencije predvide odgovarajuu zatitu ljudskih prava i sloboda,
254 Vijee Europe, Odbor Ministara (2001), Konvencija o kibernetikom kriminalu, CETS br. 185, Budimpeta,
23.studenoga2001., stupila na snagu 1.srpnja2004.
146
ukljuujui prava zajamena Europskom konvencijom o ljudskim pravima, kao to je

pravo na zatitu podataka.255
7.2. Pravo Vijea Europe o zatiti podataka

u policijskim i kaznenopravnim
predmetima
Kljune toke
Na razini Europske unije, zatita podataka u policijskom i kaznenopravnom sektoru

ureena je samo u kontekstu prekogranine suradnje policije i pravosudnih tijela.
Za Europski policijski ured (Europol) i Jedinicu Europske unije za pravosudnu suradnju

(Eurojust), tijela Europske unije koja pomau i promiu prekograninu provedbu zakona,
postoje posebni reimi zatite podataka.
Posebni reimi zatite podataka postoje i za zajednike informacijske sustave uspo-

stavljene na razini Europske unije za prekograninu razmjenu informacija izmeu nad-
lenih policijskih i pravosudnih tijela. Vani su primjeri SchengenII, vizni informacijski
sustav (VIS) i Eurodac, centralizirani sustav s podacima o otiscima prstiju stanovnika
treih zemalja koji su podnijeli zahtjev za azil u jednoj od drava lanica Europske unije.
Direktiva o zatiti podataka ne odnosi se na podruje policije i kaznenog pravosua.

U odjeljak7.2.1 opisani su najvaniji pravni instrumenti u tom podruju.
7.2.1. Okvirna odluka o zatiti podataka

Cilj je Okvirne odluke Vijea 2008/977/PUP o zatiti osobnih podataka koji se obra-
uju u okviru suradnje policije i pravosudnih tijela u kaznenopravnim predmetima
(Okvirna odluka o direktivi o zatiti podataka)256 osigurati zatitu osobnih podataka
fizikih osoba kad se njihovi podaci obrauju u svrhu spreavanja, istrage, otkriva-
nja ili progona kaznenog djela ili izvravanja kazni. U ime drava lanica ili Europske
unije djeluju nadlena tijela koja rade u podruju policije i kaznenog pravosua. Ta
su tijela agencije ili tijela Europske unije, kao i tijela drava lanica.257 Primjenjivost
255 Ibid., l.15. st.1.

256 Vijee Europske unije (2008), Okvirna odluka Vijea 2008/977/PUP od 27.studenoga2008. o zatiti
osobnih podataka koji se obrauju u okviru suradnje policije i kaznenog pravosua u kaznenopravnim
predmetima (Okvirna odluka o zatiti podataka), SL2008L350.
257 Ibid., l.2. toka(h).
147
okvirne odluke ograniena je na osiguravanje zatite podataka u prekograninoj

suradnji meu tim tijelima i ne protee se na nacionalnu sigurnost.
Okvirna odluka o zatiti podataka u velikoj se mjeri oslanja na naela i definicije

sadrane u Konvenciji br.108 i Direktivi o zatiti podataka.
Podatke smije koristiti samo nadleno tijelo i samo u svrhu u koju su preneseni ili
stavljeni na raspolaganje. Drava lanica primateljica mora potivati sva ogranienja
o razmjeni podataka koja su propisana zakonodavstvom drave lanice koja prenosi
podatke. Meutim, drava koja prima podatke smije koristiti podatke u druge svrhe
pod odreenim uvjetima. Biljeenje i dokumentiranje prijenosa posebne su dunosti
nadlenih tijela radi pomaganja u pojanjenju odgovornosti koje proizlaze iz pritubi.
Za daljnji prijenos podataka primljenih tijekom prekogranine suradnje treim stran-
kama potrebna je suglasnost drave lanice iz koje potjeu podaci, no postoje i izu-
zea u hitnim sluajevima.
Nadlena tijela moraju poduzeti potrebne mjere sigurnosti kako bi zatitila osobne
podatke od nezakonitog oblika obrade.
Svaka drava lanica mora osigurati da je jedno ili vie neovisnih nacionalnih nadzor-
nih tijela odgovorno za savjetovanje i nadzor primjene odredbi usvojenih u skladu s
Okvirnom odlukom o zatiti podataka. Moraju takoer sasluati zahtjeve koje pod-
nese bilo koja osoba u vezi sa zatitom njezinih prava i sloboda u pogledu obrade
osobnih podataka od strane nadlenih tijela.
Osoba iji se podaci obrauju ima pravo na informacije o obradi svojih podataka i
ima pravo na pristup, ispravak, brisanje ili blokiranje. Ako je ostvarenje tih prava
odbijeno na uvjerljivoj osnovi, osoba iji se podaci obrauju mora imati pravo na
albu nadlenom nacionalnom nadzornom tijelu i/ili sudu. Ako osoba pretrpi tetu
zbog krenja nacionalnog zakonodavstva kojime se provodi Okvirna odluka o zatiti
podataka, ima pravo na naknadu od nadzornika.258 Openito, osobe iji se podaci
obrauju moraju imati na raspolaganju pravni lijek u sluaju krenja prava koja su im
zajamena nacionalnim zakonodavstvom kojime se provodi Okvirna odluka o zatiti
podataka.259
258 Ibid., l.19.

259 Ibid., l.20.
148
Europska komisija predloila je reformu koja se sastoji od Ope uredbe o zatiti poda-
taka,260 i Ope direktive o zatiti podataka.261 Tom se novom direktivom zamjenjuje
trenutna Okvirna odluka o zatiti podataka i primjenjuju opa naela i pravila na
suradnju policije i pravosudnih tijela u kaznenopravnim predmetima.
7.2.2. Specifiniji pravni instrumenti za zatitu

podataka u prekograninoj suradnji policije i
tijela za provedbu zakona
Osim Okvirnom odlukom o zatiti podataka, razmjena informacija u posjedu drava
lanica u posebnim podrujima regulirana je nizom pravnih instrumenata kao to
su Okvirna odluka Vijea 2009/315/PUP o organizaciji i sadraju razmjene poda-
taka iz kaznene evidencije izmeu drava lanica i Odluka Vijea o ureenju surad-
nje izmeu financijsko-obavjetajnih jedinica drava lanica u vezi s razmjenom
podataka.262
Bitno je napomenuti da prekogranina suradnja263 nadlenih tijela sve vie ukljuuje

razmjenu imigracijskih podataka. To podruje prava nije u nadlenosti policijskih i
kaznenopravnih predmeta, no u mnogoemu je relevantno za rad policije i pravo-
sudnih tijela. Isto vrijedi za podatke o robi koja se uvozi u Europsku uniju ili izvozi iz
nje. Ukidanje unutarnjih graninih kontrola u Europskoj uniji povealo je rizik od pri-
jevare pa drave lanice moraju pojaati suradnju, naroito poboljanjem prekogra-
nine razmjene podataka radi uinkovitijeg otkrivanja i progona krenja nacionalnog
prava i carinskog prava Europske unije.
260 Europska komisija (2012.), Prijedlog Uredbe Europskog parlamenta i Vijea o zatiti pojedinaca u vezi s
obradom osobnih podataka i o slobodnom protoku takvih podataka (Opa uredba o zatiti podataka),
COM(2012)11 konano, Bruxelles, 25.sijenja2012.
261 Europska komisija (2012.), Prijedlog Direktive Europskog parlamenta i Vijea o zatiti pojedinaca u vezi s
obradom osobnih podataka u ovlatenim tijelima u svrhe spreavanja, istraivanja, otkrivanja ili progona
kaznenih djela ili izvravanja kazni te o slobodnom protoku takvih podataka (Opa direktiva o zatiti
podataka), COM(2012)10 konano, Bruxelles, 25.sijenja2012.
262 Vijee Europske unije (2009), Okvirna odluka Vijea 2009/315/PUP od 26.veljae2009. o organizaciji
i sadraju razmjene podataka iz kaznene evidencije izmeu drava lanica, SL2009L93; Vijee
Europske unije (2009), Odluka Vijea 2000/642/PUP od 17.listopada2000. o ureenju suradnje izmeu
financijsko-obavjetajnih jedinica drava lanica u vezi s razmjenom podataka, SL2000L 271.
263 Europska komisija (2012), Priopenje Komisije Europskom parlamentu i Vijeu - Jaanje policijske
suradnje u Europskoj uniji - Europski model razmjene podataka (EIXM), COM(2012) 735 zavrno,
Bruxelles, 7.prosinca2012.
149
Prmska odluka
Vaan primjer institucionalizacije prekogranine suradnje razmjenom podataka koji

se uvaju na nacionalnoj razini jest Odluka Vijea 2008/615/PUP o produbljivanju
prekogranine suradnje, posebno u suzbijanju terorizma i prekograninog kriminala
(Prmska odluka) kojom je Prmski ugovor ugraen u pravo Europske unije 2008.
godine.264 Prmski ugovor je ugovor o meunarodnoj policijskoj suradnji koji su
2005. potpisali Austrija, Belgija, Francuska, Njemaka, Luksemburg, Nizozemska i
panjolska.265
Cilj je Prmske odluke dravama lanicama pomoi u poboljanju razmjene informa-

cija radi spreavanja i suzbijanja kriminala u trima podrujima: terorizmu, prekogra-
ninom kriminalu i nezakonitoj migraciji. U tu se svrhu u odluci navode odredbe u
pogledu:
automatiziranog pristupa DNK profilima, podataka o otiscima prstiju i odreenih

nacionalnih podataka o registraciji vozila
dostave podataka u vezi s vanim dogaajima prekogranine naravi
dostave informacija radi spreavanja teroristikih kaznenih djela
drugih mjera za produbljivanje prekogranine policijske suradnje.
Za baze podataka koje se stavljaju na raspolaganje prema Prmskoj odluci u pot-

punosti je nadleno nacionalno zakonodavstvo, no razmjena podataka dodatno je
ureena odlukom i, odnedavno, Okvirnom odlukom o zatiti podataka. Tijela nad-
lena za nadzor takvih prijenosa podataka su nacionalna nadzorna tijela za zatitu
podataka.
264 Vijee Europske unije (2008), Odluka Vijea 2008/615/PUP od 23.lipnja2008. o produbljivanju
prekogranine suradnje, posebno u suzbijanju terorizma i prekograninog kriminala, SL2008L210.
265 Konvencija izmeu Kraljevine Belgije, Savezne Republike Njemake, Kraljevine vedske, Republike
Francuske, Velikog Vojvodstva Luksemburga, Kraljevine Nizozemske i Republike Austrije o o
produbljivanju prekogranine suradnje, posebno u suzbijanju terorizma, prekograninog kriminala i
nezakonite migracije, dostupno na: http://register.consilium.europa.eu/pdf/en/05/st10/st10900.en05.
pdf.
150
7.2.3. Zatita podataka u Europolu i Eurojustu

Europol
Europol, agencija za provedbu prava Europske unije sa sjeditem u Haagu ima Euro-
polove nacionalne jedinice (ENU-ove) u svakoj dravi lanici. Europol je osnovan
1998.; njegov trenutani pravni status institucije Europske unije temelji se na Odluci
Vijea o osnivanju Europskog policijskog ureda (Odluka o Europolu).266 Cilj je Euro-
pola pomoi u spreavanju i istrazi organiziranog kriminala, terorizma i drugih oblika
tekog kriminala koji se tiu dviju ili vie drava lanica, kako je navedeno u Prilogu
Odluke o Europolu.
Radi ostvarenja svog cilja, Europol je uspostavio Europolov informacijski sustav s

bazom podataka temeljem koje drave lanice razmjenjuju obavijesti i informacije
o kriminalu putem svojih ENU-ova. Europolov informacijski sustav moe se koristiti
radi stavljanja na raspolaganje podataka koji se odnose na: osobe koje su osum-
njiene ili osuene za kazneno djelo u nadlenosti Europola; ili osobe za koje se
opravdano sumnja da e takva djela poiniti. Europol i ENU-ovi mogu izravno unijeti
podatke u Europolov sustav informacija i preuzeti ih iz njega. Podatke moe izmije-
niti, ispraviti ili izbrisati samo stranka koja ih je unijela u sustav.
Ako je to nuno za izvravanje njegovih zadaa, prilikom analize radnih datoteka

Europol moe pohraniti, izmijeniti i upotrijebiti podatke koji se odnose na kaznena
djela. Radne datoteke za analizu otvorene su u svrhu prikupljanja, obrade ili uporabe
podataka radi pomaganja u odreenim kaznenim istragama koje Europol provodi
zajedno s dravama lanicama Europske unije.
Kako bi se suoio s novim promjenama, 1.sijenja2013. Europol je osnovao Europski

centar za kibernetiki kriminal.267 Centar ima ulogu sredita Europske unije za kiber-
netiki kriminal ime se omoguuje bre reagiranje u sluaju internetskih zloina,
razvijanje i primjena digitalnih forenzikih rjeenja i provodi najbolja praksa u istra-
gama kibernetikog kriminala. Centar se bavi kibernetikim kriminalom koji:
266 Vijee Europske unije (2009), Odluka Vijea od 6.travnja2009. o osnivanju Europskog policijskog ureda,
SLL2009L121 (Europol). Vidjeti takoer prijedlog uredbe Komisije u kojemu se propisuje pravni okvir
za novi Europol koji nasljeuje i zamjenjuje Europol kako je utvreno Odlukom Vijea 2009/371/PUP od
6.travnja2009. o osnivanju Europskog policijskog ureda (Europol) i CEPOL, kako je utvreno Odlukom
Vijea 2005/681/PUP o osnivanju Europske visoke policijske kole (CEPOL), COM(2013) 173 zavrno.
267 Vidjeti takoer EDPS (2012), Miljenje Nadzornika za zatitu podataka o priopenju Europske komisije
Vijeu i Europskom parlamentu o osnivanju Europskog centra za kibernetiki kriminal, Bruxelles,
29.lipnja2012.
151
su poinile organizirane skupine radi ostvarivanja velikih kriminalnih dobiti, kao

to je internetska prijevara
uzrokuje veliku tetu rtvi, na primjer, seksualno iskoritavanje djece putem

interneta
utjee na kljunu infrastrukturu i informacijske sustave u Europskoj uniji.
Poboljan je reim zatite podataka koji upravlja aktivnostima Europola. U lanku27.

Odluke o Europolu navodi se da vrijede naela navedena u Konvenciji br.108 i Pre-
poruci o policijskim podacima u vezi s obradom automatiziranih i neautomatiziranih
podataka. Prijenos podataka izmeu Europola i drava lanica takoer mora biti u
skladu s pravilima iz Okvirne odluke o zatiti podataka.
Neovisno Europolovo Zajedniko nadzorno tijelo pregledava i nadzire aktivnosti

Europola kako bi se osigurala sukladnost s primjenjivim zakonodavstvom o zatiti
podataka, tonije, kako se prava pojedinca ne bi krila obradom osobnih podataka.268
Svaki pojedinac ima pravo na pristup svim osobnim podacima koje o njemu posje-
duje Europol, kao i pravo traenja provjere, ispravka ili brisanja tih osobnih podataka.
Ako osoba nije zadovoljna Europolovom odlukom u vezi s ostvarenjem tih prava,
moe se aliti albenom odboru Zajednikog nadzornog tijela.
Ako je do tete dolo zbog pravnih ili injeninih pogreaka u podacima koji se
pohranjuju ili obrauju u Europolu, oteena strana moe se aliti samo nadlenom
sudu drave lanice u kojoj se odvio dogaaj koji je prouzroio tetu.269 Europol mora
nadoknaditi tetu dravi lanici ako je do tete dolo zbog toga to Europol nije ispu-
nio svoje pravne obveze.
268 Odluka o Europolu, l.34.

269 Ibid., l.52.
152
Eurojust
Eurojust, tijelo Europske unije osnovano 2002. sa sjeditem u Haagu, promie pra-
vosudnu suradnju u istragama i progonima tekih zloina koji ukljuuju barem dvije
drave lanice.270 Eurojust je ovlaten:
poticati i unapreivati koordinaciju istraga i progona meu nadlenim tijelima

raznih drava lanica
omoguiti izvravanje zahtjeva i odluka koji se odnose na pravosudnu suradnju.
Funkcije Eurojusta vre nacionalni lanovi. Svaka drava lanica imenuje po jednog
suca ili tuitelja Eurojusta s potrebnim strunim vjetinama za izvravanje zadaa
potrebnih za poticanje i unapreenje pravosudne suradnje. Status tog suca ili tuite-
lja podlijee nacionalnom zakonodavstvu. Osim toga, nacionalni lanovi zajedniki su
okupljeni u kolegij radi izvravanja posebnih Eurojustovih zadaa.
Eurojust moe obraivati osobne podatke ako je to potrebno da bi ostvario svoje

ciljeve. Ta je mogunost ipak ograniena na odreene informacije u vezi s osobama
osumnjienim za poinjenje kaznenog djela ili sudjelovanje u njemu, ili osuenim za
kazneno djelo u nadlenosti Eurojusta. Eurojust moe obraivati i informacije u vezi
sa svjedocima ili rtvama kaznenih djela iz nadlenosti Eurojusta.271 U iznimnim okol-
nostima i tijekom ogranienog vremenskog razdoblja Eurojust moe obraivati iri
raspon osobnih podataka u vezi s okolnostima kaznenog djela ako se takvi podaci
neposredno odnose na istragu u tijeku. Unutar podruja nadlenosti, Eurojust moe
suraivati s drugim institucijama, tijelima i agencijama Europske unije i s njima raz-
mjenjivati osobne podatke. Eurojust moe suraivati i razmjenjivati podatke i s tre-
im zemljama i organizacijama.
U vezi sa zatitom podataka, Eurojust mora jamiti razinu zatite barem jednaku
naelima Konvencije br.108 Vijea Europe i njezinim kasnijim izmjenama. Pri raz-
mjeni podataka moraju se potivati posebna pravila i ogranienja uvedena bilo
270 Vijee Europske unije (2002), Odluka Vijea 2002/287/PUP od 28.veljae2002. o osnivanju Eurojusta
s ciljem jaanja borbe protiv tekog kriminala, SL2002L63; Vijee Europske unije (2003), Odluka
Vijea 2003/659/PUP od 18.lipnja2003. o izmjeni Odluke 2002/187/PUP o osnivanju Eurojusta s
ciljem jaanja borbe protiv tekog kriminala, SL2003L44; Vijee Europske unije (2009), Odluka Vijea
2009/426/PUP od 16.prosinca2008. o jaanju Eurojusta i izmjeni Odluke 2002/187/PUP o osnivanju
Eurojusta s ciljem jaanja borbe protiv tekog kriminala, SL2009L138 (Odluke o Eurojustu).
271 Proiena verzija Odluke Vijea 2002/187/PUP kako je izmijenjena Odlukom Vijea 2003/659/PUP i
Odlukom Vijea 2009/426/PUP, l.15. st.2.
153
sporazumom o suradnji ili radnim dogovorom u skladu s Odlukama Vijea o Europolu

i Pravilima o zatiti podataka u Eurojustu.272
U okviru Eurojusta osnovano je Zajedniko nadzorno tijelo sa zadaom nadzora

obrade osobnih podataka koju provodi Eurojust. Pojedinci se mogu aliti Zajedni-
kom nadzornom tijelu ako nisu zadovoljni Eurojustovim odgovorom na zahtjev za
pristupom, ispravkom, blokiranjem ili brisanjem osobnih podataka. Ako Eurojust
takve osobne podatke obrauje nezakonito, Eurojust odgovara u skladu s nacional-
nim zakonodavstvom drave lanice u mjestu njegova sjedita, Nizozemskoj, zbog
tete prouzroene osobi iji se podaci obrauju.
7.2.4. Zatita podataka u zajednikim informacijskim

sustavima na razini Europske unije
Osim razmjene podataka meu dravama lanicama i osnivanja specijaliziranih
tijela Europske unije za suzbijanje prekograninog kriminala, na razini Europske unije
uspostavljeno je nekoliko zajednikih informacijskih sustava koji slue kao plat-
forma za razmjenu podataka izmeu nadlenih nacionalnih i tijela Europske unije u
posebne svrhe provedbe zakona, ukljuujui imigracijsko i carinsko pravo. Neki su
se od ovih sustava razvili iz viestranih sporazuma koji su kasnije nadopunjeni prav-
nim instrumentima i sustavima Europske unije, kao to su Schengenski informacijski
sustav, vizni informacijski sustav, Eurodac, Eurosur ili carinski informacijski sustav.
Europska agencija za velike informatike sustave (eu-LISA),273 osnovana 2012.,

odgovorna je za dugorono operativno upravljanje Schengenskim informacijskim
sustavom druge generacije (SISII), viznim informacijskim sustavom (VIS) i Euroda-
com. Osnovna zadaa agencije eu-LISA je osigurati uinkovit, siguran i neprekidan
rad informatikih sustava. Odgovorna je i za usvajanje potrebnih mjera sigurnosti
sustava i podataka.
Schengenski informacijski sustav
Godine 1985. nekoliko je drava lanica bivih Europskih zajednica sklopilo Spo-
razum s dravama Gospodarske unije Beneluksa, Njemakom i Francuskom o
272 Poslovnik o obradi i zatiti osobnih podataka u Eurojustu, SL2005C68/01, 19.oujka2005., str.1.
273 Uredba (EU) br.1077/2011 Europskog parlamenta i Vijea od 25.listopada2011. o osnivanju Europske
agencije za operativno upravljanje velikim informatikim sustavima u podruju slobode, sigurnosti i
pravde, SL2011L286.
154
postupnom ukidanju kontrola na zajednikim granicama (Schengenski sporazum)

kako bi se stvorio prostor za slobodno kretanje osoba, neometan graninim kon-
trolama unutar schengenskog prostora.274 Kao protutea prijetnji javnoj sigurnosti
uslijed otvaranja granica, uspostavljene su pojaane granine kontrole na vanjskim
granicama schengenskog prostora kao i uska suradnja nacionalne policije i pravo-
sudnih tijela.
Budui da je Schengenskom sporazumu pristupilo jo drava, schengenski je sustav

konano integriran u pravni okvir Europske unije Ugovorom iz Amsterdama.275 Ta je
odluka provedena 1999. Najnovija verzija Schengenskog informacijskog sustava,
takozvani SISII, putena je u rad 9.travnja2013. Trenutno se njome slue sve drave
lanice Europske unije kao i Island, Lihtentajn, Norveka i vicarska.276 Europol i
Eurojust takoer imaju pristup sustavu SISII.
SISII sastoji se od sredinjeg sustava (C-SIS), nacionalnog sustava (N-SIS) u svakoj

dravi lanici i komunikacijske infrastrukture izmeu sredinjeg sustava i nacionalnih
sustava. C-SIS sadri odreene podatke o osobama i predmetima koje unose drave
lanice. C-SIS koriste nacionalna tijela za graninu kontrolu, policijska, carinska, vizna
i pravosudna tijela diljem schengenskog prostora. Svaka od drava lanica upravlja
nacionalnom kopijom sustava C-SIS, poznatom kao nacionalni Schengenski informa-
cijski sustav (N-SIS) koji se stalno aurira, ime se aurira i C-SIS. N-SIS se pregledava
i alje upozorenje ako:
osoba nema pravo ui ili ostati u schengenskom prostoru
osobu ili predmet trae pravosudna ili policijska tijela
je osoba prijavljena kao nestala
je roba, poput novanica, automobila, kamiona, vatrenog oruja i identifikacijskih

dokumenata, prijavljena kao ukradena ili izgubljena imovina.
274 Sporazum meu vladama drava Gospodarske unije Beneluksa, Savezne Republike Njemake i
Francuske Republike o postupnom ukidanju kontrola na zajednikim granicama, SL2000L239.
275 Europske zajednice (1997), Ugovor iz Amsterdama o izmjenama Ugovora o Europskoj uniji, ugovora o
osnivanju Europskih zajednica i odreenih srodnih akata, SL1997C340.
276 Uredba (EZ) br. 1987/2006 Europskog parlamenta i Vijea od 20.prosinca2006. o osnivanju, radu i
uporabi druge generacije Schengenskog informacijskog sustava, SL2006L381 (SISII) i Vijee Europske
unije (2007), Odluka Vijea 2007/533/PUP od 12.lipnja2007. o osnivanju, radu i uporabi druge
generacije Schengenskog informacijskog sustava (SISII), SL2007L205.
155
U sluaju upozorenja treba pokrenuti pratee aktivnosti putem nacionalnih Schen-

genskih informacijskih sustava.
SISII ima nove funkcionalnosti kao to je mogunost unosa: biometrijskih podataka,

poput otisaka prstiju i fotografija; ili novih vrsta upozorenja, poput ukradenih plo-
vila, zrakoplova, spremnika ili sredstava plaanja; i pojaanih upozorenja o osobama
i objektima; kopija europskih uhidbenih naloga (EAW-ova) o osobama traenima radi
uhienja, predaje ili izruenja.
U Odluku Vijea 2007/533/PUP o osnivanju, radu i uporabi druge generacije Schen-

genskog informacijskog sustava (Schengenska odlukaII.) ugraena je Konven-
cija br.108. Osobni podaci koji se obrauju primjenjujui ovu odluku zatieni su
u skladu s Konvencijom br.108 Vijea Europe.277 Ako nacionalna policijska tijela
koriste osobne podatke primjenjujui Schengensku odlukuII., odredbe Konven-
cije br.108 kao i Preporuke o policijskim podacima moraju se uvesti u nacionalno
zakonodavstvo.
Nadleno nacionalno nadzorno tijelo u svakoj dravi lanici nadzire nacionalni N-SIS.
Tonije, ono provjerava kvalitetu podataka koje drava lanica unosi u sustav SIS
putem sustava N-SIS, a Europski nadzornik za zatitu osobnih podataka je nadlean
za nadzor sustava C-SIS. Nacionalno nadzorno tijelo osigurava reviziju postupaka
obrade podataka unutar nacionalnog sustava N-SIS barem svake etiri godine. Naci-
onalna nadzorna tijela i Europski nadzornik za zatitu podataka surauju i osigura-
vaju usklaeni nadzor sustava C-SIS. Radi transparentnosti, Europskom parlamentu,
Vijeu i agenciji eu-LISA alje se zajedniko izvjee o aktivnostima.
Prava pojedinaca na pristup koja se odnose na SISII mogu se ostvariti u bilo kojoj
dravi lanici jer je svaki N-SIS precizna kopija sustava C-SIS.
Primjer: U predmetu Dalea protiv Francuske,278 podnositelju je odbijen zahtjev za

vizom radi posjeta Francuskoj jer su francuske vlasti Schengenskom informacij-
skom sustavu javile da mu se ne smije odobriti ulaz. Podnositelj je neuspjeno
traio pristup i ispravljanje ili brisanje podataka pred francuskom Komisijom
za zatitu podataka i, konano, pred Dravnim vijeem. Europski sud za ljud-
ska prava smatrao je da je prijava podnositelja Schengenskom informacijskom
277 Vijee Europske unije (2007), Odluka Vijea 2007/533/PUP od 12.lipnja2007. o osnivanju, radu i
uporabi druge generacije Schengenskog informacijskog sustava, SL2007L205, l.57.
278 ECtHR, Dalea protiv Francuske (dec.), br.964/07, 2.veljae2010.
156
sustavu bila u skladu sa zakonom i legitimnom svrhom zatite nacionalne sigur-

nosti. Budui da podnositelj nije pokazao kako je zapravo bio oteen uskratom
ulaska u schengenski prostor i budui da su se primjenjivale odgovarajue mjere
kojima je bio zatien od proizvoljnih odluka, mijeanje u njegovo pravo na
potovanje privatnog ivota bilo je razmjerno. Stoga je podnositeljeva prituba
na temelju lanka8. proglaena neprihvatljivom.
Vizni informacijski sustav
Vizni informacijski sustav (VIS), kojim takoer upravlja eu-LISA, razvijen je kao
podrka provedbi zajednike vizne politike Europske unije.279 Zahvaljujui sustavu
VIS, schengenske drave mogu razmjenjivati vizne podatke putem sustava koji
povezuje konzulate schengenskih drava u dravama izvan Europske unije s vanj-
skim pograninim tokama svih schengenskih drava. U VIS-u se obrauju podaci u
vezi sa zahtjevima za vizama za kratkotrajni boravak ili za provozom kroz schengen-
ski prostor. Uz pomo biometrijskih podataka, sustav VIS pograninim tijelima omo-
guuje provjeru je li osoba koja je predoila vizu njen valjani imatelj kao i identifika-
ciju osoba bez ikakvih dokumenata ili s lanim dokumentima.
Prema Uredbi (EZ) br. 767/2008 Europskog parlamenta i Vijea o viznom informa-
cijskom sustavu (VIS) i razmjeni podataka meu dravama lanicama o vizama za
kratkotrajni boravak (Uredba o VIS-u), u VIS-u se smiju biljeiti samo podaci o pod-
nositelju, njegove vize, fotografije, otisci prstiju, poveznice s prethodnim prijavama i
prijavne datoteke osoba u pratnji podnositelja.280 Pristup VIS-u radi unosa, izmjene
ili brisanja podataka ogranien je iskljuivo na tijela drava lanica nadlena za izda-
vanje viza, dok je pristup radi uvida u podatke osiguran tijelima nadlenim za izda-
vanje viza i onima nadlenim za kontrole na vanjskim pograninim tokama, imigra-
cijske kontrole i azil. U odreenim okolnostima nacionalna nadlena policijska tijela
279 Vijee Europske unije (2004), Odluka Vijea od 8.lipnja2004.o osnivanju viznog informacijskog sustava
(VIS), SL2004L213; Uredba (EZ) br.767/2008 Europskog parlamenta i Vijea od 9.srpnja2008. o
viznom informacijskom sustavu (VIS) i razmjeni podataka meu dravama lanicama o vizama za
kratkotrajni boravak, SL2008L218 (Uredba o VIS-u); Vijee Europske unije (2008), Odluka Vijea
2008/633/PUP od 23.lipnja2008. o pristupu odreenih tijela drava lanica i Europola viznom
informacijskom sustavu (VIS) za traenje podataka u svrhu spreavanja, otkrivanja i istraga teroristikih
kaznenih djela i ostalih tekih kaznenih djela, SL2008L218.
280 l. 5. Uredbe (EZ) br. 767/2008 Europskog parlamenta i Vijea od 9.srpnja2008. o viznom
informacijskom sustavu (VIS) i razmjeni podataka meu dravama lanicama o vizama za kratkotrajni
boravak (Uredba o VIS-u), SL2008L218.
157
i Europol mogu zatraiti pristup podacima unesenim u sustav VIS radi spreavanja,
otkrivanja i istrage teroristikih i kaznenih djela.281
Eurodac
Naziv Eurodac odnosi se na daktilograme ili otiske prstiju. Radi se o centralizira-

nom sustavu s podacima o otiscima prstiju dravljana treih zemalja koji trae azil
u jednoj od drava lanica Europske unije.282 Sustav je u uporabi od sijenja 2003.
i slui kao pomo prilikom utvrivanja koja bi drava lanica trebala biti odgovorna
za razmatranje odreenog zahtjeva za azil prema Uredbi Vijea (EZ) br. 343/2003
o uvoenju kriterija i mehanizama za utvrivanje drave lanice odgovorne za raz-
matranje zahtjeva za azil koji dravljanin tree zemlje podnosi u jednoj od drava
lanica (Uredba Dublin II.).283 Osobne se podatke u Eurodacu moe koristiti samo u
svrhu omoguavanja primjene Uredbe Dublin II.; uporaba u bilo koju drugu svrhu je
kanjiva.
Sustav Eurodac sastoji se od sredinje jedinice, kojom upravlja eu-LISA, za pohranu

i usporedbu otisaka prstiju i sustava za elektroniki prijenos podataka meu dra-
vama lanicama i sredinjom bazom podataka. Drave lanice uzimaju i prenose oti-
ske prstiju svake osobe koja nije dravljanin Europske unije ili osobe bez dravljan-
stva u dobi od najmanje 14 godina koja zatrai azil na njihovom podruju ili koja je
uhiena radi neovlatenog prelaska njihove vanjske granice. Drave lanice takoer
mogu uzeti i prenijeti otiske prstiju osoba koje nisu dravljani Europske unije ili osoba
bez dravljanstva unutar svojih podruja bez dozvole.
Podaci o otiscima prstiju pohranjuju se u bazi podataka sustava Eurodac samo u pse-
udonimiziranom obliku. U sluaju podudaranja, pseudonim i ime prve drave lanice
koja je prenijela podatke o otiscima prstiju otkriva se drugoj dravi lanici. Zatim se
druga drava lanica obraa prvoj jer je, prema Uredbi DublinII., prva drava lanica
odgovorna za obradu zahtjeva za azil.
281 Vijee Europske unije (2008), Odluka Vijea 2008/633/PUP od 23.lipnja2008. o pristupu odreenih
tijela drava lanica i Europola viznom informacijskom sustavu (VIS) za traenje podataka u svrhu
spreavanja, otkrivanja i istraga teroristikih kaznenih djela i ostalih tekih kaznenih djela, SL2008L218.
282 Uredba Vijea (EZ) br. 2725/2000 od 11.prosinca2000. o osnivanju sustava Eurodac za usporedbu
otisaka prstiju za uinkovitu primjenu Dublinske konvencije, SL2000L316; Uredba Vijea (EZ)
br. 407/2002 od 28.veljae2002. o utvrivanju odreenih pravila za provedbu Uredbe (EZ)
br.2725/2000 o osnivanju sustava Eurodac za usporedbu otisaka prstiju za uinkovitu primjenu
Dublinske konvencije, SL2002L62 (Uredba o Eurodacu).
283 Uredba Vijea (EZ) br. 343/2003 od 18.veljae2003. o uvoenju kriterija i mehanizama za utvrivanje
drave lanice odgovorne za razmatranje zahtjeva za azil koji dravljanin tree zemlje podnosi u jednoj
od drava lanica, SL2003L50 (Uredba DublinII.).
158
Osobni podaci pohranjeni u sustavu Eurodac koji se odnose na traitelje azila uvaju
se 10 godina od datuma uzimanja otisaka prstiju, osim ako osoba iji se podaci obra-
uju dobije dravljanstvo drave lanice Europske unije. U tom se sluaju podaci
moraju odmah izbrisati. Podaci koji se odnose na strane dravljane uhiene zbog
prelaska vanjske granice uvaju se dvije godine. Ti se podaci moraju izbrisati im
osoba iji se podaci obrauju dobije dozvolu boravka, napusti podruje Europske
unije ili dobije dravljanstvo drave lanice.
Osim svih drava lanica Europske unije, sustav Eurodac redovito koriste i Island,
Norveka, Litentajn i vicarska.
Eurosur
Cilj je Europskog sustava za nadzor granica (Eurosur)284 pojaati kontrolu vanjskih

granica schengenskog prostora otkrivanjem, spreavanjem i suzbijanjem nezakonite
imigracije i prekograninog kriminala. On slui za poboljanje razmjene informacija i
operativne suradnje izmeu nacionalnih koordinacijskih centara i agencije Frontex
Europske unije koja je zaduena za razvijanje i primjenu novog koncepta integriranog
upravljanja granicama.285 Njegovi su opi ciljevi:
smanjiti broj nezakonitih migranata koji neotkriveni ulaze u Europsku uniju
smanjiti broj smrti nezakonitih migranata spaavanjem veeg broja ljudi na moru
poveati unutarnju sigurnost Europske unije u cjelini pomaui u spreavanju

prekograninog kriminala.286
284 Uredba (EZ) br.1052/2013 Europskog parlamenta i Vijea od 22.listopada2013. o osnivanju Europskog
sustava za nadzor granica (Eurosur), SLL2013L295.
285 Uredba (EU) br.1168/2011 Europskog parlamenta i Vijea od 25.listopada2011. o izmjeni Uredbe
Vijea (EZ) br.2007/2004 o osnivanju Europske agencije za upravljanje operativnom suradnjom na
vanjskim granicama drava lanica Europske unije, SL2011L394 (Uredba o Frontrexu).
286 Takoer vidjeti: Europska komisija (2008), Priopenje Komisije Europskom parlamentu, Vijeu,
Europskom gospodarskom i socijalnom odboru i Odboru regija: Ispitivanje osnivanja Europskog sustava
za nadzor granica (Eurosur), COM(2008)68 zavrno, Bruxelles, 13.veljae2008.; Europska komisija
(2011), Procjena utjecaja uz Prijedlog uredbe Europskog parlamenta i Vijea o osnivanju Europskog
sustava za nadzor granica (Eurosur), Radni dokument slubi Komisije, SEC(2011)1536 zavrno,
Bruxelles, 12.prosinca2011., str.18.
159
Poeo je djelovati od 2.prosinca2013. u svim dravama lanicama s vanjskim gra-

nicama, a od 1.prosinca2014. poet e djelovati i u drugima. Uredba e se primjenji-
vati na nadzor kopnenih, vanjskih morskih i zranih granica drava lanica.
Carinski informacijski sustav
Jo je jedan vaan zajedniki informacijski sustav uspostavljen na razini Europske

unije carinski informacijski sustav (CIS).287 Tijekom uspostave unutarnjeg trita
ukinute su sve kontrole i formalnosti vezane uz robu koja se kree unutar pod-
ruja Europske unije to je povealo rizik od prijevare. Protutea riziku je pojaana
suradnja meu carinskim upravama drava lanica. Svrha je CIS-a pomoi dravama
lanicama u spreavanju, istrazi i progonu tekih krenja carinskih i poljoprivrednih
zakona na razini drava i Europske unije.
Informacije iz CIS-a obuhvaaju osobne podatke koji se odnose na zadrane, oduzete

ili zaplijenjene proizvode, prijevozna sredstva, poduzea, osobe, robu i gotovinu.
Te se informacije mogu koristiti samo u svrhe opaanja, izvjeivanja ili izvrava-
nja odreenih inspekcija ili u svrhe strateke ili operativne analize u vezi s osobama
osumnjienim za krenje carinskih odredbi.
Pristup CIS-u doputen je nacionalnim carinskim, poreznim, poljoprivrednim, jav-

no-zdravstvenim i policijskim tijelima kao i Europolu i Eurojustu.
Obrada osobnih podataka mora biti u skladu s posebnim pravilima utvrenim Ured-
bom br. 515/97 i Konvencijom o CIS-u,288 kao i s odredbama Direktive o policijskim
podacima, Uredbom o zatiti podataka u institucijama Europske unije, Konvencijom
br.108 i Preporukom o policijskim podacima. Europski nadzornik za zatitu poda-
taka je odgovoran za nadzor ispunjava li CIS zahtjeve postavljene Uredbom (EZ) br.
45/2011 te barem jednom godinje se sastaje s nacionalnim tijelima za zatitu poda-
taka drava lanica, koji su nadleni za nadzor obrade podataka u svezi s CIS-om.
287 Vijee Europske unije (1995), Akt Vijea od 26.srpnja1995. o sastavljanju Konvencije o uporabi
informacijske tehnologije u carinske svrhe, SL1995C316, koju je izmijenilo Vijee Europske unije
(2009), Uredba br. 515/97 od 13. oujka 1997. o uzajamnoj pomoi upravnih tijela drava lanica i o
suradnji potonjih s Komisijom radi osiguravanja pravilne primjene propisa o carinskim i poljoprivrednim
pitanjima, Odluka Vijea 2009/917/PUP od 30.studenoga2009. o uporabi informacijske tehnologije u
carinske svrhe, SL2009 L323 (Odluka o CIS-u).
288 Ibid.
160
8
Ostali specifini
zakonodavni propisi
ozatiti podataka
se bavi
Direktiva o zatiti podataka Elektronike Konvencija br.108
Direktiva o privatnosti i elektronikim komunikacije Preporuka o
komunikacijama telekomunikacijskim
uslugama
Direktiva o zatiti podataka, lanak8. Radni odnosi Konvencija br.108
stavak2. toka(b) Preporuka o zapoljavanju
ECtHR, Copland protiv
Ujedinjene Kraljevine,
br.62617/00,
3.travnja2007.
Direktiva o zatiti podataka, lanak8. Medicinski podaci Konvencija br.108
stavak3. Preporuka o medicinskim
podacima
ECtHR, Z. protiv
Finske, br.22009/93,
25.veljae1997.
Direktiva o klinikim ispitivanjima Klinika ispitivanja
Direktiva o zatiti podataka, lanak6. Statistika Konvencija br.108
stavak1. toke(b) i (e) i lanak13. Preporuka o statistikim
stavak2. podacima
Uredba (EZ) br.223/2009 o europskoj Slubena statistika Konvencija br.108
statistici Preporuka o statistikim
CJEU, C-524/06, Huber protiv Njemake, podacima
16.prosinca2008.
161

se bavi
Direktiva 2004/39/EZ o tritima Financijski podaci Konvencija br.108
financijskih instrumenata Preporuka 90(19) koja se
Uredba (EU) br. 648/2012 o OTC koristi za plaanja i druge
izvedenicama, sredinjoj drugoj ugovornoj srodne aktivnosti
strani i trgovinskom repozitoriju ECtHR, Michaud protiv
Uredba (EZ) br.1060/2009 o agencijama za Francuske, br.12323/11,
kreditni rejting 6.prosinca2012.
Direktiva 2007/64/EZ o platnim uslugama
na unutarnjem tritu
U nekoliko su sluajeva na europskoj razini usvojeni posebni pravni instrumenti

kojima se u odreenim situacijama detaljnije primjenjuju opa pravila Konvencije
br.108 ili Direktive o zatiti podataka.
8.1. Elektronike komunikacije

Kljune toke
Posebna pravila o zatiti podataka u podruju telekomunikacija, s posebnim naglaskom

na telefonske usluge, sadrana su u Preporuci Vijea Europe iz 1995.
Obrada osobnih podataka koji se odnose na pruanje komunikacijskih usluga na razini

Europske unije ureena je Direktivom o privatnosti i elektronikim komunikacijama.
Povjerljivost elektronikih komunikacija odnosi se ne samo na sadraj komunikacije,

ve i na podatke o prometu, kao to su informacije o tome tko je komunicirao s kime,
kad se komunikacija odvijala i koliko dugo je trajala, kao i na podatke o lokaciji, kao to
je lokacija s koje su podaci priopeni.
U komunikacijskim je mreama vea mogunost neopravdanog mijeanja u osobnu

sferu korisnika zbog dodatnih tehnikih mogunosti prislukivanja i praenja komu-
nikacije koja se odvija na takvim mreama. Zbog toga se smatralo da su potrebni
posebni propisi o zatiti podataka radi spreavanja odreenih rizika kojima su izlo-
eni korisnici komunikacijskih usluga.
162
Ostali specifini zakonodavni propisi ozatiti podataka
Vijee Europe izdalo je 1995. godine Preporuku o zatiti podataka u podruju tele-
komunikacija koja se naroito odnosila na telefonske usluge.289 Prema toj preporuci,
svrhe prikupljanja i obrade osobnih podataka u kontekstu telekomunikacija treba
ograniiti na: spajanje korisnika na mreu, ponudu odreene telekomunikacijske
usluge, naplatu, provjeru, osiguravanje optimalnog tehnikog rada i razvoj mree i
usluge.
Posebna je panja posveena i uporabi telekomunikacijskih mrea za slanje poruka

direktnog marketinga. Poruke direktnog marketinga u pravilu ne smiju biti usmje-
rene ni na kojeg pretplatnika koji je izriito izjavio da ne eli primati promidbene
poruke. Ureaji za automatsko pozivanje koji prenose unaprijed snimljene promid-
bene poruke smiju se koristiti samo ako je pretplatnik dao svoju izriitu suglasnost
za to. Nacionalnim zakonodavstvom treba propisati detaljna pravila u tom podruju.
to se tie pravnog okvira Europske unije, nakon prvog pokuaja 1997., Direktiva
o privatnosti i elektronikim komunikacijama usvojena je 2002. i izmijenjena 2009.
radi nadopunjavanja i specificiranja odredbi Direktive o zatiti podataka za teleko-
munikacijski sektor.290 Primjena Direktive o privatnosti i elektronikim komunikaci-
jama ograniena je na komunikacijske usluge u javnim elektronikim mreama.
Direktiva o privatnosti i elektronikim komunikacijama razlikuje tri glavne vrste

podataka nastalih pri komuniciranju:
podaci koji ine sadraj poruka poslanih tijekom komuniciranja; ti su podaci

strogo povjerljivi
podaci potrebni za uspostavu i odravanje komunikacije, takozvani podaci o pro-

metu, kao to su informacije o osobama koje komuniciraju, vremenu i trajanju
komunikacije
289 CoE, Odbor ministara (1995), Preporuka Rec(95)4 dravama lanicama o zatiti osobnih podataka u
podruju telekomunikacijskih usluga, s posebnim naglaskom na telefonske usluge, 7.veljae1995.
290 Direktiva 2002/58/EZ Europskog parlamenta i Vijea od 12.srpnja2002. o obradi osobnih podataka
i zatiti privatnosti u sektoru elektronikih komunikacija, SL2002L201 (Direktiva o privatnosti i
elektronikim komunikacijama), kako je izmijenjena Direktivom 2009/136/EZ Europskog parlamenta i
Vijea od 25.studenoga2009. o izmjeni Direktive 2002/22/EZ o univerzalnoj usluzi i pravima korisnika
u vezi s elektronikim komunikacijskim mreama i uslugama, Direktiva 2002/58/EZ o obradi osobnih
podataka i zatiti privatnosti u sektoru elektronikih komunikacija i Uredba (EZ) br.2006/2004 o suradnji
nacionalnih tijela za provedbu zakona o zatiti potroaa, SL2009L337.
163
podaci o prometu, koji obuhvaaju podatke koji se posebno odnose na lokaciju

komunikacijskog ureaja, takozvane podatke o lokaciji; ti su podaci istovremeno
podaci o lokaciji korisnika komunikacijskih ureaja i naroito su bitni u pogledu
korisnika mobilnih komunikacijskih ureaja.
Podatke o prometu moe koristiti pruatelj usluge za potrebe naplate usluge i za teh-
niko pruanje usluge. Meutim, uz suglasnost osobe iji se podaci obrauju, ti se
podaci mogu otkriti drugim nadzornicima koji pruaju usluge dodane vrijednosti, kao
to je pruanje informacija vezanih uz lokaciju korisnika, o sljedeem stajalitu pod-
zemne eljeznice ili ljekarne ili vremenske prognoze za tu lokaciju.
Ostali pristupi podacima o komunikacijama u elektronikim mreama, kao to je pri-

stup u svrhu istrage kriminala, prema lanku15. Direktive o privatnosti i elektro-
nikim komunikacijama, moraju ispunjavati zahtjeve za opravdanim mijeanjem u
pravo na zatitu podataka kako je navedeno u lanku8. stavku2. Europske konven-
cije o ljudskim pravima i potvreno u lancima8. i52. Povelje.
Izmjenama Direktive o privatnosti i elektronikim komunikacijama iz 2009.291 uve-

deno je sljedee:
Ogranienja slanja e-pote u svrhu direktnog marketinga proirena su na usluge

kratkih (SMS) poruka, usluge multimedijskih poruka i ostale vrste slinih apli-
kacija; promidbena e-pota zabranjena je osim uz prethodnu suglasnost. Bez
takve suglasnosti doputeno je obraanje promidbenom e-potom samo biv-
im kupcima ako su ostavili svoje adrese e-pote nemaju primjedbi na takvo
obraanje.
Dravama lanicama nametnuta je obveza pruanja pravnih lijekova protiv kre-

nja zabrane neeljene komunikacije.292
Postavljanje kolaia, softvera koji nadzire i snima aktivnosti korisnika rau-

nala vie nije doputeno bez suglasnosti korisnika raunala. Nacionalnim
291 Direktiva2009/136/EZ Europskog parlamenta i Vijea od 25.studenoga2009. o izmjeni

Direktive2002/22/EZ o univerzalnoj usluzi i pravima korisnika u vezi s elektronikim komunikacijskim
mreama i uslugama, Direktiva2002/58/EZ o obradi osobnih podataka i zatiti privatnosti u sektoru
elektronikih komunikacija i Uredba (EZ) br.2006/2004 o suradnji nacionalnih tijela za provedbu zakona
o zatiti potroaa, SL2009L337.
292 Vidjeti izmijenjenu Direktivu, l.13.
164
zakonodavstvom treba detaljnije urediti nain na koji treba izjaviti i pribaviti

suglasnost radi osiguravanja odgovarajue razine zatite.293
Ako je do povrede podataka dolo zbog neovlatenog pristupa, gubitka ili unita-
vanja podataka, o tome je potrebno odmah obavijestiti nadleno nadzorno tijelo.
Pretplatnike treba obavijestiti ako je teta koju su eventualno pretrpjeli posljedica
povrede podataka.294
Prema Direktivi o zadravanju podataka295 (proglaena nevaljanom 8.travnja2014.)

pruatelji komunikacijskih usluga duni su staviti na raspolaganje podatke o pro-
metu, posebno u svrhu suzbijanja tekog kriminala, tijekom razdoblja od najmanje
est mjeseci i ne dueg od 24 mjeseca, bez obzira na to jesu li pruatelju ti podaci i
dalje bili potrebni u svrhu naplate ili tehnikog pruanja usluge.
Drave lanice Europske unije imenuju neovisna javna tijela odgovorna za nadzor
sigurnosti zadranih podataka.
Jasno je da zadravanje telekomunikacijskih podataka zadire u pravo na zatitu

podataka.296 U nekoliko sudskih postupaka provedenih u dravama lanicama Europ-
ske unije razmatralo se je li takvo zadiranje opravdano.297
Primjer: U predmetu Digital Rights Ireland i Seitlinger i drugi,298 CJEU je proglasio

Direktivu o zadravanju podataka nevaljanom. Prema shvaanju Suda, iroko
i posebno ozbiljno zadiranje Direktive u temeljna prava u pitanju, nije dovoljno
293 Vidjeti Ibid., l.5.; vidjeti i Miljenje 04/2012 Radne skupine iz lanka29. (2012) o izuzeu u vezi sa
suglasnosti za kolaie, WP194, Bruxelles, 7.lipnja2012.
294 Vidjeti takoer Radni dokument 01/2011 Radne skupine iz lanka29. (2011) o trenutanom okviru
Europske unije za povredu osobnih podataka i preporukama za budui razvoj politike, WP184, Bruxelles,
5.travnja2011.
295 Direktiva 2006/24/EZ Europskog parlamenta i Vijea od 15.oujka2006. o zadravanju podataka
dobivenih ili obraenih u vezi s pruanjem javno dostupnih elektronikih komunikacijskih usluga ili javnih
komunikacijskih mrea i o izmjeni Direktive 2002/58/EZ, SLL2006L105.
296 EDPS (2011), Miljenje od 31.svibnja2011. o evaluacijskom izvjeu Komisije Vijeu i Europskom
parlamentu o Direktivi o zadravanju podataka (Direktiva 2006/24/EZ), 31.svibnja2011.
297 Njemaka, Savezni ustavni sud (Bundesverfassungsgericht), 1BvR256/08, 2.oujka2010.; Rumunjska,
Savezni ustavni sud (Curtea Constituional a Romniei), br.1258, 8.listopada2009.; Republika eka,
Ustavni sud (stavn soud esk republiky), 94/2011Coll., 22.oujka2011.
298 CJEU, zajedniki predmeti C-293/12 i C-594/12 Digital Rights Ireland i Seitlinger i drugi, I8.travnja2014.,
odlomak 65.
165
ogranieno kako bi se osiguralo da to zadiranje bude u najmanjem moguem

opsegu potrebnom za postizanje svrhe.
Mijeanje javnih tijela najvei je problem u kontekstu elektronikih komunikacija.

Sredstva za nadziranje ili presretanje komunikacija, kao to su prisluni ureaji ili
ureaji za prislukivanje, doputena su samo ako su propisana zakonom i ako pred-
stavljaju mjeru nunu u demokratskom drutvu u interesu: zatite dravne sigurno-
sti, javne sigurnosti, novanih interesa drave ili suzbijanja kaznenih djela; ili zatite
osobe iji se podaci obrauju ili prava i sloboda drugih.
Primjer: U predmetu Malone protiv Ujedinjene Kraljevine299 podnositelj je optuen

za niz kaznenih djela u vezi s nepotenim postupanjem s ukradenom robom. Tije-
kom suenja pokazalo se da je telefonski razgovor podnositelja presretan na temelju
naloga koji je Ministar unutarnjih poslova izdao za Ministarstva unutarnjih poslova.
Iako je nain na koji je podnositeljeva komunikacija presretana bio zakonit u smislu
nacionalnog zakonodavstva, Europski sud za ljudska prava smatrao je da nije bilo
zakonskih pravila koja ureuju opseg i nain na koji javna tijela ostvaruju svoja dis-
krecijska prava u tom podruju te da mijeanje koje je rezultat predmetne prakse
stoga nije bilo u skladu sa zakonom. Sud je smatrao da je prekren lanak8.
Konvencije.
8.2. Podaci o zaposlenju

Kljune toke
Posebna pravila o zatiti podataka u radnim odnosima sadrana su u Preporuci o poda-

cima o zaposlenju Vijea Europe.
U Direktivi o zatiti podataka, radni odnosi spominju se konkretno samo u kontekstu

obrade osjetljivih podataka.
Valjanost suglasnosti, koja mora dobrovoljna, kao pravne osnove za obradu podataka
o zaposlenicima moe biti dvojbena s obzirom na ekonomsku neravnoteu izmeu
poslodavca i zaposlenika. Okolnosti davanja suglasnosti moraju se paljivo procijeniti.
U Europskoj uniji ne postoji poseban pravni okvir kojim se ureuje obrada poda-
taka u kontekstu zaposlenja. U Direktivi o zatiti podataka, radni odnosi spominju
se konkretno samo u lanku8. stavku2. Direktive koji se bavi obradom osjetljivih
299 ECtHR, Malone protiv Ujedinjene Kraljevine, br.8691/79, 26.travnja1985.
166
podataka. to se tie Vijea Europe, Preporuka o podacima o zaposlenju izdana je

1989. i trenutano se aurira.300
Pregled najeih problema u vezi sa zatitom podataka u konkretnom kontekstu

zaposlenja nalazi se u radnom dokumentu Radne skupine iz lanka29.301 Radna je
skupina analizirala vanost suglasnosti kao pravne osnove za obradu podataka o
zaposlenju.302 Radna je skupina utvrdila da e zbog ekonomske neravnotee izmeu
poslodavca koji trai suglasnost i zaposlenika koji daje suglasnost uvijek biti dvoj-
beno je li suglasnost dobrovoljna. Stoga pri procjeni valjanosti suglasnosti u kontek-
stu zaposlenja valja paljivo razmotriti okolnosti davanja suglasnosti.
est problem vezan uz zatitu podataka u tipinom dananjem radnom okruenju

jest legitiman opseg nadzora elektronikih komunikacija zaposlenika na radnom
mjestu. esto se tvrdi da se taj problem moe lako rijeiti zabranom privatne upo-
rabe komunikacijskih sredstava na radnom mjestu. Meutim, takva bi opa zabrana
mogla biti nerazmjerna i nerealna. Sljedea je presuda Europskog suda za ljudska
prava naroito bitna u ovom kontekstu:
Primjer: U predmetu Copland protiv Ujedinjene Kraljevine,303 tajno su nadzirani

telefon, e-pota i uporaba interneta zaposlenice vie kole kako bi se utvrdilo
koristi li prekomjerno kolska sredstva u osobne svrhe. Europski sud za ljudska
prava smatrao je da su telefonski pozivi iz poslovnih prostorija obuhvaeni poj-
movima privatnog ivota i dopisivanja. Stoga su takvi pozivi i e-pota poslani s
radnog mjesta, kao i informacije dobivene na temelju nadzora osobne uporabe
interneta zatieni lankom8. Europske konvencije o ljudskim pravima. U slu-
aju podnositeljice nisu postojale odredbe kojima se ureuju okolnosti u kojima
poslodavci mogu nadzirati zaposlenikovu uporabu telefona, e-pote i interneta.
Stoga mijeanje nije bilo u skladu sa zakonom. Sud je zakljuio da je prekren
lanak8. Konvencije.
podataka koji se koriste u svrhu zaposlenja, 18.sijenja1989. Vidjeti dodatno Savjetodavni odbor uz
Konvenciju br.108, Studija preporuke br. R (89) 2 o zatiti osobnih podataka koji se koriste u svrhu
zaposlenja i o prijedlozima za reviziju spomenute Preporuke, 9.rujna2011.
301 Miljenje 8/2001 o obradi osobnih podataka u kontekstu zaposlenja Radne skupine iz lanka29.
(2001.), WP48, Bruxelles, 13.rujna2001.
302 Radna skupina iz lanka29. (2005), Radni dokument o zajednikom tumaenju lanka26. stavka1.
Direktive 95/46/EZ od 24.listopada1995., WP144, Bruxelles, 25.studenoga2005.
303 ECtHR, Copland protiv Ujedinjene Kraljevine, br.62617/00, 3.travnja2007.
167
Prema preporuci Vijea Europe o zaposlenju, osobne podatke koji se prikupljaju u

svrhu zaposlenja treba dobiti izravno od pojedinog zaposlenika.
Osobni podaci koji se prikupljaju radi zapoljavanja moraju se ograniiti na informa-

cije koje su potrebne za procjenu prikladnosti kandidata i njihova radnog potencijala.
U preporuci se takoer posebno spominju podaci o miljenju o uinkovitosti ili poten-

cijalu pojedinih zaposlenika. Podaci o miljenju moraju se temeljiti na potenim i
pravednim ocjenama i ne smiju biti formulirani na uvredljiv nain. To je uvjetovano
naelima potene obrade podataka i tonosti podataka.
Poseban je vid zakonodavstva o zatiti podataka u odnosu izmeu zaposlenika

i poslodavca uloga predstavnika zaposlenika. Predstavnici smiju primati osobne
podatke o zaposlenicima samo ako je to potrebno da bi mogli zastupati interese
zaposlenika.
Osjetljivi osobni podaci koji se prikupljaju u svrhe zaposlenja smiju se obraivati

samo u odreenim sluajevima i u skladu sa zatitnim mjerama koje propisuje naci-
onalno zakonodavstvo. Poslodavci mogu zaposlenike ili kandidate za posao pitati o
njihovu zdravstvenom stanju ili ih podvrgnuti zdravstvenom pregledu samo ako je
to potrebno kako bi: utvrdili njihovu prikladnost za radno mjesto; ispunili zahtjeve
preventivne medicine; ili kako bi se odobrila socijalna davanja. Zdravstveni se podaci
smiju prikupljati samo od dotinog zaposlenika, a ne iz drugih izvora, osim uz izriitu i
informiranu suglasnost ili ako je to propisano nacionalnim zakonodavstvom.
U skladu s Preporukom o zaposlenju, zaposlenici trebaju biti informirani o svrsi

obrade njihovih osobnih podataka, vrsti pohranjenih osobnih podataka, tijelima
kojima se podaci redovito priopuju i svrsi i pravnoj osnovi takvih priopenja. Poslo-
davci bi takoer svoje zaposlenike trebali unaprijed obavijestiti o uvoenju ili prila-
godbi automatiziranih sustava za obradu osobnih podataka zaposlenika ili za nadzor
kretanja ili produktivnosti zaposlenika.
Zaposlenici moraju imati pravo na pristup svojim podacima o zaposlenju kao i pravo
na njihov ispravak ili brisanje. Ako se obrauju podaci o miljenju, zaposlenici moraju
imati pravo osporiti miljenje. Meutim, ta prava mogu biti privremeno ograniena u
svrhu unutarnjih istraga. Ako se zaposleniku odbije pristup, ispravak ili brisanje osob-
nih podataka o zaposlenju, nacionalnim zakonodavstvom moraju se propisati odgo-
varajui postupci kojima se osporava takvo odbijanje.
168
8.3. Medicinski podaci

Kljune toke
Medicinski podaci su osjetljivi, stoga uivaju posebnu zatitu.
Osobni podaci u vezi sa zdravstvenim stanjem osobe iji se podaci obrauju sma-
traju se osjetljivim podacima prema lanku8. stavku1. Direktive o zatiti podataka
i lanku6. Konvencije br.108. Stoga medicinski podaci podlijeu stroem reimu
obrade podataka od neosjetljivih podataka.
Primjer: U predmetu Z. protiv Finske,304 bivi suprug podnositeljice, koji je bio

zaraen virusom HIV-a, poinio je niz spolnih kaznenih djela. Kasnije je osuen
za ubojstvo jer je svoje rtve svjesno izloio riziku od zaraze HIV-om. Nacionalni
je sud naloio da cjelokupna presuda i dokumenti iz predmeta ostanu povjerljivi
10 godina unato zahtjevima podnositeljice za duim razdobljem povjerljivosti.
Te je zahtjeve odbio prvostupanjski sud ija je presuda sadravala puna imena i
podnositeljice i njezina biveg supruga. Europski sud za ljudska prava smatrao je
da mijeanje nije bilo nuno u demokratskom drutvu jer je zatita medicinskih
podataka od temeljne vanosti za ostvarenje prava na potovanje privatnog i
obiteljskog ivota, naroito kad se radi o informacijama o zarazi HIV-om, jer je
to stanje stigmatizirano u mnogim drutvima. Stoga je Sud zakljuio da bi se
odobravanjem pristupa podnositeljevu identitetu i zdravstvenom stanju, kako je
opisano u presudi prvostupanjskog suda po isteku razdoblja od 10 godina nakon
donoenja presude, prekrio lanak8. Europske konvencije o ljudskim pravima.
lankom8. stavkom3. Direktive o zatiti podataka omoguena je obrada medicin-

skih podataka potrebnih radi preventivne medicine, zdravstvene dijagnoze, pruanja
skrbi ili lijeenja ili u svrhu upravljanja zdravstvenim uslugama. Meutim, obrada je
doputena samo ako je provodi zdravstveni radnik koji ima obvezu uvanja poslovne
tajne ili druga osoba koja ima istu tu obvezu.305
304 ECtHR, Z. protiv Finske, br.22009/93, 25.veljae1997., st.94. i112.; vidjeti takoer ECtHR, M.S. protiv
vedske, br. 20837/92, 27.kolovoza1997., L.L. protiv Francuske, br. 7508/02, 10.listopada2006.;
ECtHR, I. protiv Finske, br. 20511/03, 17.srpnja2008.; ECtHR, K.H. idrugi protiv Slovake, br. 32881/04,
28.travnja2009.; ECtHR, Szuluk protiv Ujedinjene Kraljevine, br. 36936/05, 2ipnja2009.
305 Vidjeti takoer ECtHR, Biriuk protiv Litve, br.23373/03, 25.studenog2008.
169
U Preporuci Vijea Europe o medicinskim podacima iz 1997. na obradu podataka

u podruju medicine detaljnije se primjenjuju naela Konvencije br.108.306 Predlo-
ena su pravila u skladu s onima iz Direktive o zatiti podataka u pogledu zakoni-
tih svrha obrade medicinskih podataka, obveza uvanja poslovne tajne osoba koje
koriste medicinske podatke, i prava osoba iji se podaci obrauju na transparentnost
i pristup, ispravak i brisanje. Osim toga, medicinski podaci koje zdravstveni radnici
zakonito obrauju ne smiju se prenijeti tijelima za provedbu zakona ako nisu osigu-
rane odgovarajue zatitne mjere kojima se spreava otkrivanje koje nije u skladu
s pravom na potovanje [...] privatnog ivota koje je zajameno lankom8. Europske
konvencije o ljudskim pravima.307
Osim toga, Preporuka o medicinskim podacima sadri posebne odredbe o medi-

cinskim podacima neroene djece i nemonim osobama, kao i o obradi genetikih
podataka. Znanstvena su istraivanja izriito priznata kao razlog za uvanje podataka
due nego to su potrebni, iako je to najee zahtijeva anonimizaciju. U lanku12.
Preporuke o medicinskim podacima predlau se detaljni propisi za situacije u kojima
su istraivaima potrebni osobni podaci, a anonimizirani podaci nisu dovoljni.
Pseudonimizacija moe biti dobar nain za ispunjavanje znanstvenih potreba i zatitu

interesa pacijenata. U odjeljak2.1.3 detaljnije se objanjava naelo pseudonimizacije
u kontekstu zatite podataka.
Na nacionalnoj i europskoj razini provode se intenzivne rasprave o inicijativama

pohrane podataka o medicinskom lijeenju pacijenta u elektronikom zdravstvenom
kartonu.308 Poseban aspekt nacionalnih sustava elektronikih zdravstvenih kartona
jest njihova dostupnost preko granice: tema od posebnog znaaja unutar Europske
unije u kontekstu prekogranine zdravstvene skrbi.309
Druga su tema rasprave vezane uz nove odredbe klinika ispitivanja, drugim rije-
ima, isprobavanje novih lijekova na pacijentima u dokumentiranom istraivakom
okruenju; ta je tema takoer u mnogoemu povezana sa zatitom podataka. Kli-
nika ispitivanja lijekova za humanu uporabu regulirana su Direktivom 2001/20/EZ
306 CoE, Odbor ministara (1997), Preporuka Rec(97)5 dravama lanicama o zatiti medicinskih podataka,
13.veljae1997.
307 ECtHR, Avilkina i drugi protiv Rusije, br. 1585/09, 6.lipnja2013., st.53. (nije zavrno).
308 Radna skupina iz lanka29. (2007.), Radni dokument o obradi osobnih podataka vezanih uz zdravlje u
elektronikim zdravstvenim kartonima (EHR), WP131, Bruxelles, 15.veljae2007.
309 Direktiva Europskog parlamenta i Vijea 2011/24/EU od 9.oujka2011. o primjeni prava pacijenata u
prekograninoj zdravstvenoj skrbi, SL2011L88.
170
Europskog parlamenta i Vijea od 4.travnja2001. o usklaivanju zakonodavstava

i drugih propisa drava lanica koji se odnose na provedbu dobre klinike prakse
prilikom provoenja klinikih ispitivanja lijekova za humanu uporabu (Direktiva o
klinikim ispitivanjima).310 U prosincu 2012. Europska komisija predloila je uredbu
kojom bi se zamijenila Direktiva o klinikim ispitivanjima kako bi postupci ispitivanja
bili ujednaeniji i uinkovitiji.311
Na razini Europske unije u tijeku je jo mnogo drugih zakonodavnih i drugih inicijativa

vezanih uz osobne podatke u zdravstvenom sektoru.312
8.4. Obrada podataka u statistike svrhe

Kljune toke
Podaci koji se prikupljaju u statistike svrhe ne smiju se koristiti ni u koju drugu svrhu.
Podaci koji se zakonito prikupljaju u bilo koju svrhu mogu se dalje koristiti u statistike
svrhe pod uvjetom da su nacionalnim zakonodavstvom propisane odgovarajue
zatitne mjere koje korisnici primjenjuju. Zbog toga svakako treba predvidjeti anonimi-
zaciju ili pseudonimizaciju prije prijenosa treim strankama.
U Direktivi o zatiti podataka obrada podataka u statistike svrhe spominje se u

kontekstu moguih izuzea od naela zatite podataka. Prema lanku6. stavku1.
toki(b) Direktive, nacionalnim se zakonodavstvom moe odbaciti naelo ograni-
enja svrhe u korist daljnje uporabe podataka u statistike svrhe, no nacionalnim
se zakonodavstvom moraju propisati i potrebne zatitne mjere. Prema lanku13.
stavku2. Direktive, mogue je nacionalnim zakonodavstvom ograniiti prava na pri-
stup ako se podaci obrauju iskljuivo u statistike svrhe; no nacionalnim se zako-
nodavstvom i u tom sluaju moraju propisati odgovarajue zatitne mjere. U tom
se kontekstu Direktivom o zatiti podataka propisuje poseban zahtjev da se podaci
310 Direktiva 2001/20/EZ Europskog parlamenta i Vijea od 4.travnja2001. o usklaivanju zakonodavstava

i drugih propisa drava lanica koji se odnose na provedbu dobre klinike prakse prilikom provoenja
klinikih ispitivanja lijekova za humanu uporabu, SL2001L121.
311 Europska komisija (2012), Prijedlog uredbe Europskog parlamenta i Vijea o klinikim ispitivanjima
medicinskih proizvoda za humanu uporabu i stavljanju izvan snage Direktive 2001/20/EZ,
COM(2012), 369 zavrno, Bruxelles, 17.srpnja2012.
312 EDPS (2013), Miljenje Europskog nadzornika za zatitu podataka o priopenju Komisije o Akcijskom
planu za e-zdravstvo za razdoblje od 2012.-2020. - Inovativno zdravstvo za 21. stoljee, Bruxelles,
27.oujka2013.
171
dobiveni ili nastali tijekom statistikog istraivanja ne smiju koristiti za konkretne

odluke o osobama iji se podaci obrauju.
Iako podatke koje je zakonito prikupio u bilo koju svrhu nadzornik moe ponovno
koristiti u vlastite statistike svrhe za takozvanu sekundarnu statistiku podatke
treba anonimizirati ili pseudonimizirati, ovisno o sluaju, prije njihova prenoenja tre-
oj stranki u statistike svrhe, osim ako je osoba iji se podaci obrauju za to dala
svoju suglasnost ili ako je to posebno propisano nacionalnim zakonodavstvom. To
proizlazi iz zahtjeva za odgovarajuim zatitnim mjerama prema lanku6. stavku1.
toki(b) Direktive o zatiti podataka.
Najvaniji sluajevi uporabe podataka u statistike svrhe jesu slubene statistike

koje provode nacionalni zavodi za statistiku i zavodi za statistiku Europske unije na
temelju nacionalnih zakonodavstava i zakonodavstva Europske unije o slubenoj
statistici. Prema tim zakonodavstvima, graani i poduzea uglavnom su duni otkriti
podatke tijelima nadlenim za statistiku. Slubenici koji rade u zavodima za statistiku
duni su uvati poslovnu tajnu. Tu svoju dunost moraju paljivo ispunjavati kako bi
graani imali visoku razinu povjerenja te stavili svoje podatke na raspolaganje tije-
lima nadlenim za statistiku.
U Uredbi (EZ) br.223/2009 o europskoj statistici (Uredba o europskoj statistici) sadr-

ana su osnovna pravila za zatitu podataka u slubenoj statistici koja se, dakle,
mogu smatrati bitnima i za odredbe o slubenoj statistici na nacionalnoj razini.313 U
Uredbi se zastupa naelo da je za slubene statistike aktivnosti potrebna dovoljno
precizna pravna osnova.314
Primjer: U predmetu Huber protiv Njemake,315 Sud Europske unije utvrdio je

da prikupljanje i pohrana osobnih podataka koje nadleno tijelo provodi u sta-
tistike svrhe sami po sebi nisu dovoljni da bi se obrada smatrala zakonitom.
313 Uredba (EZ) br.223/2009 o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom)
br.1101/2008 Europskog parlamenta i Vijea o dostavi povjerljivih statistikih podataka Statistikom
uredu Europskih zajednica, Uredbe Vijea (EZ) br.322/97 o statistici Zajednice i Odluke Vijea
89/382/EEZ, Euratom o osnivanju Odbora za statistiki program Europskih zajednica, SL2009L87.
314 Naelo e se dalje razraditi u Eurostatovom Kodeksu prakse koji e, u skladu s lankom11. Uredbe o
europskoj statistici, navoditi etike smjernice o nainu provedbe slubene statistike, ukljuujui paljivu
uporabu osobnih podataka. Dostupno na adresi: http://epp.eurostat.ec.europa.eu/portal/page/portal/
about_eurostat/introduction.
315 CJEU, C-524/06, Huber protiv Njemake, 16.prosinca2008.; vidjeti posebno st.68.
172
Zakonodavstvo kojim se propisuje obrada osobnih podataka takoer je trebalo

ispuniti zahtjev nunosti, to u danom kontekstu nije bio sluaj.
U kontekstu Vijea Europe, Preporuka o statistikim podacima koja je izdana 1997.

koja pokriva provedbu statistike u javnom i privatnom sektoru.316 Tom se preporu-
kom uvode naela koja se podudaraju s gore opisanim glavnim pravilima Direktive o
zatiti podataka. U vezi sa sljedeim pitanjima navedena su detaljnija pravila.
Dok se podaci koje je prikupio nadzornik u statistike svrhe ne mogu koristiti ni u

koju drugu svrhu, podaci prikupljeni u svrhe koje nisu statistike prirode moraju biti
raspoloivi za daljnju uporabu u statistike svrhe. Preporukom o statistikim poda-
cima ak je dozvoljeno priopavanje podataka treim strankama ako se to ini samo
u statistike svrhe. U tim bi sluajevima stranke trebale dogovoriti i zabiljeiti opseg
zakonite daljnje uporabe u statistike svrhe. Budui da to ne zamjenjuje suglasnost
osobe iji se podaci obrauju, za pretpostaviti je da u nacionalnom zakonodavstvu
moraju biti propisane dodatne zatitne mjere radi smanjenja rizika od zlouporabe
osobnih podataka, kao to je obveza anonimizacije ili pseudonimizacije podataka
prije prijenosa.
Osobe koje se profesionalno bave statistikim istraivanjem trebaju biti dune poto-
vati obvezu uvanja poslovne tajne - kao to je to uobiajeno kod slubene stati-
stike na temelju nacionalnog zakonodavstva. To treba proiriti i na ispitivae ako su
zaposleni na prikupljanju podataka od osoba iji se podaci obrauju ili drugih osoba.
Ako uporaba podataka u statistikom istraivanju nije propisana zakonom, osobe

iji se podaci obrauju trebaju dati suglasnost za uporabu svojih podataka ili barem
imati mogunost prigovora kako bi obrada bila zakonita. Ako ispitivai prikupljaju
osobne podatke u statistike svrhe, te osobe moraju biti jasno informirane o tome
je li otkrivanje podataka obvezno prema nacionalnom zakonodavstvu. Osjetljive se
podatke nikad ne smije prikupljati na nain da se pojedinac moe identificirati, osim
ako je to izriito dozvoljeno nacionalnim zakonodavstvom.
Ako statistiko istraivanje nije mogue provesti s anonimiziranim podacima, i ako su

osobni podaci doista nuni, podatke prikupljene u tu svrhu treba anonimizirati to je
prije mogue. Na temelju rezultata statistikog istraivanja u najmanju ruku ne smije
podataka koji se prikupljaju i obrauju u statistike svrhe, 30.rujna1997.
173
biti mogue identificirati osobe iji se podaci obrauju, osim ako to jasno ne pred-
stavlja nikakav rizik.
Po zavretku statistike analize osobne podatke treba ili izbrisati ili anonimizirati. U
tom je sluaju u Preporuci o statistikim podacima predloena pohrana identifikacij-
skih podataka odvojeno od ostalih osobnih podataka. To na primjer znai da podatke
treba pseudonimizirati, a klju za kodiranje ili popis sinonima za identifikaciju pohra-
niti odvojeno od pseudonimiziranih podataka.
8.5. Financijski podaci

Kljune toke
Iako financijski podaci nisu osjetljivi podaci u smislu Konvencije br.108 ili Direktive o
zatiti podataka, za njihovu su obradu potrebne posebne zatitne mjere radi osigurava-
nja tonosti i sigurnosti podataka.
Elektroniki platni sustavi zahtijevaju ugraenu zatitu podataka, takozvanu ugraenu

privatnost.
U tom podruju dolazi do odreenih problema sa zatitom podataka, jer treba primje-
njivati odgovarajue mehanizme za autentikaciju.
Primjer: U predmetu Michaud protiv Francuske,317 podnositelj, francuski odvjet-

nik, suprotstavio se svojoj obvezi prijave sumnji vezanih uz mogue aktivno-
sti pranja novca koje provode njegovi klijenti, na to ga je obvezivalo francu-
sko zakonodavstvo. Europski sud za ljudska prava smatrao je da je zahtijevanje
od odvjetnika da upravnim tijelima prijavljuju informacije koje se odnose na
drugu osobu, a koje su dobili kroz razmjenu informacija s tom osobom, pred-
stavlja mijeanje u pravo odvjetnika na potovanje njihove korespondencije i
privatnog ivota prema lanku8. Europske konvencije o ljudskim pravima jer to
naelo obuhvaa aktivnosti profesionalne ili poslovne prirode. Meutim, mije-
anje je bilo u skladu sa zakonom i imalo je legitimnu svrhu, tonije sprijeiti
nered i kriminal. Budui da odvjetnici podlijeu obvezi prijavljivanja sumnji samo
317 ECtHR, Michaud protiv Franceuske, br.12323/11, 6.prosinca2012.; vidjeti takoer ECtHR, Niemietz
protiv Njemake, br.13710/88, 16.prosinca1992., st.29., i ECtHR, Halford protiv Ujedinjene Kraljevine,
br.20605/92, 25.lipnja1997., st.42.
174
u vrlo ogranienim okolnostima, Europski sud za ljudska prava smatrao je da je

ta obveza razmjerna i zakljuio da nije prekren lanak8.
Primjenu opeg okvira za zatitu podataka iz Konvencije br.108 na kontekst plaanja

razradilo je Vijee Europe u Preporuci Rec(90)19 iz 1990.318 U toj je preporuci razja-
njen opseg zakonitog prikupljanja i uporabe u kontekstu plaanja, naroito platnim
karticama. U njoj se nadalje nacionalnim zakonodavcima predlau detaljni propisi
o ogranienjima u pogledu priopavanja podataka o plaanju treim strankama, o
vremenskim ogranienjima za zadravanje podataka, o transparentnosti, sigurnosti
podataka i prekograninom prijenosu podataka i, naposljetku, o nadzoru i pravnim
lijekovima. Predloena rjeenja podudaraju se s kasnije propisanim opim okvirom
za zatitu podataka Europske unije u Direktivi o zatiti podataka.
U izradi je niz pravnih instrumenata za ureenje trita financijskih instrumenata i

aktivnosti kreditnih institucija i investicijskih drutava.319 Ostali pravni instrumenti
pomau u suzbijanju trgovanja na temelju povlatenih informacija i manipuliranja
tritem.320 Najvanija su pitanja u tim podrujima koja utjeu na zatitu podataka:
zadravanje zapisa o financijskim transakcijama
prijenos osobnih podataka u tree zemlje
snimanje telefonskih razgovora ili elektronike komunikacije, ukljuujui ovlate-

nje nadlenih tijela da zatrae zapise o telefonskom i podatkovnom prometu
318 CoE, Odbor ministara (1990), Preporuka br.R(90) 19 o zatiti osobnih podataka koritenih za plaanje i
druge srodne radnje, 13.rujna1990.
319 Europska komisija (2011), Prijedlog direktive Europskog parlamenta i Vijea o tritima financijskih
instrumenata i stavljanju izvan snage Direktive 2004/39/EZ Europskog parlamenta i Vijea,
COM(2011) 656 zavrno, Bruxelles, 20.listopada2011.; Europska komisija (2011), Prijedlog uredbe
Europskog parlamenta i Vijea o tritima financijskih instrumenata i izmjeni Uredbe [EMIR] o OTC
izvedenicama, sredinjoj drugoj ugovornoj strani i trgovinskom repozitoriju, COM(2011) 652 zavrno,
Bruxelles, 20.listopada2011.; Europska komisija (2011), Prijedlog Direktive Europskog parlamenta i
Vijea o pristupu aktivnosti kreditnih institucija i bonitetnom nadzoru kreditnih institucija i investicijskih
drutava i o izmjeni Direktive 2002/87/EZ Europskog parlamenta i Vijea o dodatnom nadzoru
kreditnih institucija, drutava za osiguranje i investicijskih drutava u financijskom konglomeratu,
COM(2011) 453 zavrno, Bruxelles, 20.srpnja2011.
320 Europska komisija (2011), Prijedlog uredbe Europskog parlamenta i Vijea o trgovanju na temelju
povlatenih informacija i manipuliranju tritem (zlouporabi trita), COM(2011) 651 zavrno, Bruxelles,
20.listopada2011.; Europska komisija (2011), Prijedlog direktive Europskog parlamenta i Vijea
o kaznenim sankcijama za trgovanje na temelju povlatenih informacija i manipuliranje tritem,
COM(2011) 654 zavrno, Bruxelles, 20.listopada2011.
175
otkrivanje osobnih informacija, ukljuujui objavu sankcija
ovlatenje nadlenih tijela da provode nadzor i istrage, ukljuujui terenske pre-

glede i ulazak u privatne prostorije radi oduzimanja dokumenata
mehanizmi za prijavu krenja, npr. program dojava
suradnja izmeu nadlenih tijeka drava lanica i Europskog nadzornog tijela za

vrijednosne papire i trita kapitala (ESMA).
I druga su pitanja u tim podrujima posebno obraena, ukljuujui prikupljanje poda-

taka o financijskom statusu osobe iji se podaci obrauju321 ili prekograninim pla-
anjima putem bankovnih prijenosa, to neizbjeno dovodi do prijenosa osobnih
podataka.322
321 Uredba (EZ) br.1060/2009 Europskog parlamenta i Vijea od 16rujna2009. o agencijama za kreditni
rejting, SL2009L302; Europska komisija, Prijedlog uredbe Europskog parlamenta i Vijea o izmjeni
Uredbe (EZ) br.1060/2009 o agencijama za kreditni rejting, COM(2010) 289 zavrno, Bruxelles,
2.lipnja2010.
322 Direktiva 2007/64/EZ Europskog parlamenta i Vijea od 13.studenoga2007. o uslugama platnog
prometa na unutarnjem tritu i o izmjeni direktiva 97/7/EZ, 2002/65/EZ, 2005/60/EZ i 2006/48/EZ te
stavljanju izvan snage Direktive 97/5/EZ, SL2007L319.
176
Dodatna literatura
Prvo poglavlje
Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unin
Europea, Bilbao, Fundacin BBVA.
Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Frei-

heit und Sicherheit, Vienna, Manzsche Verlags- und Universittsbuchhandlung.
EDRi, An introduction to data protection, Bruxelles, www.edri.org/files/paper06_

datap.pdf.
Frowein, J. i Peukert, W. (2009), Europische Menschenrechtskonvention, Berlin, N.P.

Engel Verlag.
Grabenwarter, C. i Pabel,K. (2012), Europische Menschenrechtskonvention, Mnc-

hen, C.H. Beck.
Harris, D., OBoyle,M., Warbrick,C. i Bates,E. (2009), Law of the European Conven-
tion on Human Rights, Oxford, Oxford UniversityPress.
Jarass, H. (2010), Charta der Grundrechte der Europischen Union, Mnchen, C.H.
Beck.
Mayer, J. (2011), Charta der Grundrechte der Europischen Union, Baden-Baden,

Nomos.
177
Mowbray, A. (2012), Cases, materials, and commentary on the European Convention

on Human Rights, Oxford, Oxford University Press.
Nowak, M., Januszewski,K. i Hofsttter,T. (2012), All human rights for all Vienna
manual on human rights, Antwerp, intersentia N. V., Neuer Wissenschaftlicher
Verlag.
Picharel, C. i Coutron,L. (2010), Charte des droits fondamentaux de lUnion

europenne et convention europenne des droits de lhomme, Bruxelles, Emile
Bruylant.
Simitis, S. (1997), Die EU-Datenschutz-Richtlinie Stillstand oder Anreiz?, Neue Juri-

stische Wochenschrift, br.5, str.281.288.
Warren, S. i Brandeis,L. (1890), The right to privacy, Harvard Law Review,

sv.4, br.5, str.193.220., www.english.illinois.edu/-people-/faculty/deba-
ron/582/582%20readings/right%20to%20privacy.pdf.
White, R. i Ovey,C. (2010), The European Convention on Human Rights, Oxford,

Oxford University Press.
Drugo poglavlje
Carey, P. (2009), Data protection: A practical guide to UK and EU law, Oxford, Oxford
University Press.
Delgado, L. (2008), Vida privada y proteccin de datos en la Unin Europea, Madrid,

Dykinson S.L.
Desgens-Pasanau,G. (2012), La protection des donnes caractre personnel, Pariz,

LexisNexis.
Di Martino, A. (2005), Datenschutz im europischen Recht, Baden-Baden, Nomos.
Morgan, R. i Boardman,R. (2012), Data protection strategy: Implementing data pro-

tection compliance, London, Sweet & Maxwell.
Ohm, P. (2010), Broken promises of privacy: Responding to the surprising failure of

anonymization, UCLA Law Review, sv.57, br.6, str.1701.1777.
178
Dodatna literatura
Tinnefeld, M., Buchner,B. i Petri,T. (2012), Einfhrung in das Datenschutzrecht:

Datenschutz und Informationsfreiheit in europischer Sicht, Mnchen, Oldenbourg
Wissenschaftsverlag.
United Kingdom Information Commissioners Office (2012), Anonymisation: mana-

ging data protection risk. Code of practice, www.ico.org.uk/for_organisations/
data_protection/topic_guides/anonymisation.
Od treeg do petog poglavlja

Brhann,U. (2012), Richtlinie 95/46/EG zum Schutz natrlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr u: Grabitz,
E., Hilf, M. i Nettesheim, M. (eds.), Das Recht der Europischen Union, BandIV, A.30,
Mnchen, C.H. Beck.
Conde Ortiz,C. (2008), La proteccin de datos personales, Cadiz, Dykinson.
Coudray, L. (2010), La protection des donnes personnelles dans lUnion

europenne, Saarbrcken, ditions universitaires europennes.
Dammann, U. i Simitis,S. (1997), EG-Datenschutzrichtlinie, Baden-Baden, Nomos.
FRA (Agencija Europske unije za temeljna prava) (2010), Data Protection in the
European Union: the role of National Data Protection Authorities (Strengthening the
fundamental rights architecture in the EUII), Luksemburg, Ured za publikacije Europ-
ske unije (Ured za publikacije).
FRA (2010), Developing indicators for the protection, respect and promotion of the
rights of the child in the European Union (konferencijsko izdanje), Be, FRA.
FRA (2011), Access to justice in Europe: an overview of challenges and opportunities,

Luksemburg, Ured za publikacije.
Simitis, S. (2011), Bundesdatenschutzgesetz, Baden-Baden, Nomos.
United Kingdom Information Commissioners Office, Privacy Impact Asse-

ssment, www.ico.org.uk/for_organisations/data_protection/topic_guides/
privacy_impact_assessment.
179
esto poglavlje
Gutwirth, S., Poullet,Y., De Hert,P., De Terwangne,C. i Nouwt,S. (2009), Reinventing
data protection?, Berlin, Springer.
Kuner, C. (2007), European data protection law, Oxford, Oxford University Press.
Kuner, C. (2013), Transborder data flow regulation and data privacy law, Oxford,
Oxford University Press.
Sedmo poglavlje
Europol (2012), Data Protection at Europol, Luksemburg, Ured za publikacije, www.
europol.europa.eu/sites/default/files/publications/europol_dpo_booklet_0.pdf.
Eurojust, Data protection at Eurojust: A robust, effective and tailor-made regime,

Haag, Eurojust.
Drewer, D., Ellermann,J. (2012), Europols data protection framework as an asset in

the fight against cybercrime, ERA Forum, sv.13, br.3, str.381.395.
Gutwirth, S., Poullet,Y. i De Hert,P. (2010), Data protection in a profiled world,

Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. i Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The

Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, sv.36, br.5, str.722.776.
Santos Vara, J. (2013), The role of the European Parliament in the conclusion of the
Transatlantic Agreements on the transfer of personal data after Lisbon, Centar za
pravo vanjskih odnosa, CLEER radni dokumenti 2013/2, www.asser.nl/upload/docu-
ments/20130226T013310-cleer_13-2_web.pdf.
180
Dodatna literatura
Osmo poglavlje
Bllesbach, A., Gijrath,S., Poullet,Y. i Hacon,R. (2010), Concise European IT law,
Amsterdam, Kluwer Law International.
Gutwirth, S., Leenes,R., De Hert,P. i Poullet,Y. (2012), European data protection: In

good health?, Dordrecht, Springer.
Gutwirth, S., Poullet,Y. i De Hert,P. (2010), Data protection in a profiled world,

Dordrecht, Springer.
Gutwirth, S., Poullet,Y., De Hert,P. i Leenes,R. (2011), Computers, privacy and data
protection: An element of choice, Dordrecht, Springer.
Konstadinides, T. (2011), Destroying democracy on the ground of defending it? The

Data Retention Directive, the surveillance state and our constitutional ecosystem,
European Law Review, sv.36, br.5, str.722.776.
Rosemary, J. i Hamilton,A. (2012), Data protection law and practice, London, Sweet
& Maxwell.
181
Sudska praksa
Odabrana sudska praksa Europskog suda za

ljudska prava
Pristup osobnim podacima
Gaskin protiv Ujedinjene Kraljevine, br.10454/83, 7.srpnja1989.

Godelli protiv Italije, br.33783/09, 25.rujna2012.
K.H. i drugi protiv Slovake, br.32881/04, 28.travnja2009.
Leander protiv vedske, br.9248/81, 26.oujka1987.
Odivre protiv Francuske [GC], br.42326/98, 13.veljae2003.
Uravnoteivanje zatite podataka i slobode izraavanja
Axel Springer AG protiv Njemake [GC], br.39954/08, 7.veljae2012.

Von Hannover protiv Njemake, br.59320/00, 24.lipnja2004.
Von Hannover protiv Njemake (br. 2) [GC], br. 40660/08 i 60641/08,
7.veljae2012.
Izazovi elektronike zatite podataka
K.U. protiv Finske, br.2872/02, 2.prosinca2008.
Dopisivanje
Amann protiv vicarske [GC], br.27798/95, 16.veljae2000.

Bernh Larsen Holding AS i drugi protiv Norveke, br.24117/08, 14.oujka2013.
183
Cemalettin Canli protiv Turske, br.22427/04, 18.studenoga2008.

Dalea protiv Francuske, br.964/07, 2.veljae2010.
Gaskin protiv Ujedinjene Kraljevine, br.10454/83, 7.srpnja1989.
Haralambie protiv Rumunjske, br.21737/03, 27.listopada2009.
Khelili protiv vicarske, br.16188/07, 18.listopada2011.
Malone protiv Ujedinjene Kraljevine, br.8691/79, 26.travnja1985.
McMichael protiv Ujedinjene Kraljevine, br.16424/90, 24.veljae1995.
M.G. protiv Ujedinjene Kraljevine, br.39393/98, 24.rujna2002.
Rotaru protiv Rumunjske [GC], br.28341/95, 4.svibnja2000.
S. i Marper protiv Ujedinjene Kraljevine, br.30562/04 i 30566/04, 4.prosinca2008.
Shimovolos protiv Rusije, br.30194/09, 21.lipnja2011.
Turek protiv Slovake, br.57986/00, 14.veljae2006.
Baze podataka o kaznenim evidencijama
B.B. protiv Francuske, br.5335/06, 17.prosinca2009.

M.M. protiv Ujedinjene Kraljevine, br.24029/07, 13.studenoga2012.
Baze podataka o DNK
Podaci GPS-a
Uzun protiv Njemake, br.35623/05, 2.rujna2010.
Zdravstveni podaci
Biriuk protiv Litve, br.23373/03, 25.studenog2008.

I. protiv Finske, br.20511/03, 17.srpnja2008.
L.L. protiv Francuske, br.7508/02, 10.listopada2006.
M.S. protiv vedske, br.34209/96, 2.srpnja 2002.
Szuluk protiv Ujedinjene Kraljevine, br.36936/05, 2.lipnja2009.
Z. protiv Finske, br.22009/93, 25.veljae1997.
Identitet
Ciubotaru protiv Moldavije, br.27138/04, 27.travnja2010.

Godelli protiv Italije, br.33783/09, 25.rujna2012.
Odivre protiv Francuske [GC], br.42326/98, 13.veljae2003.
184
Sudska praksa
Informacije u vezi s profesionalnim aktivnostima
Michaud protiv Francuske, br.12323/11, 6.prosinca2012.

Niemietz protiv Njemake, br.13710/88, 16.prosinca1992.
Presretanje komunikacije
Amann protiv vicarske [GC], br.27798/95, 16.veljae2000.

Copland protiv Ujedinjene Kraljevine, br.62617/00, 3.travnja2007.
Cotlet protiv Rumunjske, br.38565/97, 3.lipnja2003.
Kruslin protiv Francuske, br.11801/85, 24.travnja1990.
Lambert protiv Francuske, br.23618/94, 24.kolovoza1998.
Liberty i drugi protiv Ujedinjene Kraljevine, br.58243/00, 1.srpnja2008.
Malone protiv Ujedinjene Kraljevine, br.8691/79, 26.travnja1985.
Halford protiv Ujedinjene Kraljevine, br.20605/92, 25.lipnja1997.
Szuluk protiv Ujedinjene Kraljevine, br.36936/05, 2.lipnja2009.
Obveze nositelja dunosti
B.B. protiv Francuske, br.5335/06, 17.prosinca2009.

Mosley protiv Ujedinjene Kraljevine, br.48009/08, 10.svibnja2011.
Fotografije
Sciacca protiv Italije, br.50774/99, 11.sijenja2005.
Pravo na zaborav
Segerstedt-Wiberg i drugi protiv vedske, br.62332/00, 6.lipnja2006.
Pravo na prigovor

Mosley protiv Ujedinjene Kraljevine, br.48009/08, 10.svibnja2011.
M.S. protiv vedske, br.34209/96, 2.srpnja2002.
Osjetljive kategorije podataka
185
Michaud protiv Francuske, br.12323/11, 6.prosinca2012.

Nadzor i provedba (uloga raznih subjekata, ukljuujui tijela za zatitu podataka)

K.U. protiv Finske, br.2872/02, 2.prosinca2008.
Von Hannover protiv Njemake (br. 2) [GC], br. 40660/08 i 60641/08,
7.veljae2012.
Metode nadzora
Allan protiv Ujedinjene Kraljevine, br.48539/99, 5.studenoga2002.

Udruga 21 Dcembre 1989 i drugi protiv Rumunjske, br. 33810/07 i 18817/08,
24.svibnja2011.
Bykov protiv Rusije [GC], br.4378/02, 10.oujka2009.
Kennedy protiv Ujedinjene Kraljevine, br.26839/05, 18.svibnja2010.
Klass i drugi protiv Njemake, br.5029/71, 6.rujna1978.
Taylor-Sabori protiv Ujedinjene Kraljevine, br.47114/99, 22.listopada2003.
Uzun protiv Njemake, br.35623/05, 2.rujna2010.
Vetter protiv Francuske, br.59842/00, 31.svibnja2005.
Videonadzor
Kpke protiv Njemake, br.420/07, 5.listopada2010.

Peck protiv Ujedinjene Kraljevine, br.44647/98, 28.sijenja2003.
Glasovni uzorci
P.G. i J.H. protiv Ujedinjene Kraljevine, br.44787/98, 25.rujna2001.

Wisse protiv Francuske, br.71611/01, 20.prosinca2005.
Odabrana sudska praksa Suda Europske unije

Sudska praksa vezana uz Direktivu o zatiti podataka
Zajedniki sluajevi C-293/12 i C-594/12, Digital Rights Ireland i Seitling i drugi,

8.travnja2014.
[Krenje primarnog prava Europske unije Direktivom o zadravanju podataka]
186
Sudska praksa
C-73/07, Tietosuojavaltuutettu protiv Satakunnan Markkinaprssi Oy i Satamedia Oy,

16.prosinca2008.
[pojam novinarskih djelatnosti u smislu lanka9. Direktive o zatiti podataka]
Zajedniki sluajevi C-92/09 i C-93/09, Volker i Markus Schecke GbR i Hartmut Eifert
protiv Land Hessen, 9.studenoga2010.
[Razmjernost pravne obveze objavljivanja osobnih podataka o korisnicima odreenih
potpora iz poljoprivrednih fondova Europske unije]
C-101/01, Bodil Lindqvist, 6.studenoga2003.

[Zakonitost internetske objave podataka o privatnom ivotu drugih od strane fizike
osobe]
C-131/12, Google Spain, S.L., Google Inc. protiv Agencia Espaola de Proteccin de
Datos, Mario Costeja Gonzlez, Zahtjev za prethodnom odlukom suda Audiencia
Nacional (panjolska) podnesen 9.oujka2012., 25.svibnja2012., u tijeku
[Obveze suzdravanja pruatelja usluga internetskih pretraivaa od prikazivanja osob-
nih podataka u rezultatima pretraivanja na zahtjev osobe iji se podaci obrauju]
C-270/11, Europska komisija protiv Kraljevine vedske, 30.svibnja2013.

[Kazna za neprovoenje direktive]
C-275/06, Productores de Msica de Espaa (Promusicae) protiv Telefnica de

Espaa SAU, 29.sijenja2008.
[Obveze pruatelja usluga internetskog pristupa vezane uz otkrivanje identiteta kori-
snika programa razmjene datoteka KaZaA udruzi za zatitu intelektualnog vlasnitva]
C-288/12, Europska komisija protiv Maarske, tuba podnesena 8.travnja2012.

[Zakonitost ukidanja slube nacionalnog nadzornika za zatitu podataka]
C-291/12, Michael Schwarz protiv Stadt Bochum, miljenje neovisnog odvjetnika,

13.lipnja2013.
[Krenje primarnog prava Europske unije Uredbom (EZ)2252/2004 o obvezi uvoenja
otisaka prstiju u putovnicama]
C-360/10, SABAM protiv Netlog N.V., 16.veljae2012.

[Obveza pruatelja usluga drutvenih mrea vezana uz spreavanje nezakonite upo-
rabe glazbenih i audio-vizualnih uradaka od strane internetskih korisnika]
187
Zajedniki sluajevi C-465/00, C-138/01 i C-139/01, Rechnungshof protiv sterreic-

hischer Rundfunk i drugih i Neukomm i Lauermann protiv sterreichischer Rundfunk,
20.svibnja2003.
[Razmjernost pravne obveze objave osobnih podataka o plaama zaposlenika odree-
nih kategorija institucija povezanih s javnim sektorom]
Zajedniki sluajevi C-468/10 i C-469/10, Asociacin Nacional de Establecimientos

Financieros de Crdito (ASNEF) i Federacin de Comercio Electrnico y Marketing
Directo (FECEMD) protiv Administracin del Estado, 24.studenoga2011.
[Tona provedba lanka7. toke(f) Direktive o zatiti privatnosti zakoniti interesi
drugih u nacionalnom zakonodavstvu]
C-518/07, Europska komisija protiv Savezne Republike Njemake, 9.oujka2010.

[Neovisnost nacionalnog nadzornog tijela]
C-524/06, Huber protiv Bundesrepublik Deutschland, 16.prosinca2008.

[Zakonitost zadravanja podataka o strancima u statistikom registru]
C-543/09, Deutsche Telekom AG protiv Bundesrepublik Deutschland, 5.svibnja2011.

[Nunost obnavljanja suglasnosti]
C-553/07, College van burgemeester en wethouders van Rotterdam protiv M.E.E. Rij-
keboer, 7.svibnja2009.
[Pravo pristupa osobe iji se podaci obrauju]
C-614/10, Europska komisija protiv Republike Austrije, 16.listopada2012.

[Neovisnost nacionalnog nadzornog tijela]
Sudska praksa vezana uz Uredbu o zatiti podataka u institucijama Europske unije
C-28/08P, Europska komisija protiv The Bavarian Lager Co. Ltd, 29.lipnja2010.
[Pristup dokumentima]
C-41/00P, Interporc Im- und Export GmbH protiv Komisije Europskih zajednica,
6.oujka2003.
[Pristup dokumentima]
F-35/08, Pachtitis protiv Komisije i EPSO-a, 15.lipnja2010.

[Uporaba osobnih podataka u kontekstu zapoljavanja u institucijama Europske unije]
188
Sudska praksa
F-46/09 V protiv Parlamenta, 5.srpnja2011.

[Uporaba osobnih podataka u kontekstu zapoljavanja u institucijama Europske unije]
189
Popis predmeta
Sudska praksa Europskog suda pravde
Asociacin Nacional de Establecimientos Financieros de Crdito

(ASNEF) i Federacin de Comercio Electrnico y Marketing Directo
(FECEMD) protiv Administracin del Estado, Zajedniki sluajevi
C-468/10 i C-469/10,
24.studenoga2011...................................................................18, 22, 77, 79, 83, 84, 188
Bodil Lindqvist, C-101/01,

6.studenoga2003..................................................33, 34, 42, 45, 48, 92, 127, 128, 187
College van burgemeester en wethouders van Rotterdam protiv

M.E.E. Rijkeboer, C-553/07, 7.svibnja2009................................................101, 106, 188
Deutsche Telekom AG protiv Bundesrepublik Deutschland, C-543/09,

5.svibnja2011.......................................................................................................34, 58, 188
Digital Rights Ireland i Seitling i drugi, Zajedniki sluajevi C-293/12 i
C-594/12, 8. travnja 2014.............................................................................. 122, 165, 186
Europska komisija protiv Kraljevine vedske, C-270/11, 30.svibnja2013.................. 187

Europska komisija protiv Maarske, C-288/12, tuba podnesena
8.travnja2012...................................................................................................102, 115, 187
Europska komisija protiv Republike Austrije, C-614/10,
16.listopada2012............................................................................................102, 115, 188
Europska komisija protiv Savezne Republike Njemake, C-518/07,
9.oujka2010....................................................................................................102, 114, 188
191
Europska komisija protiv The Bavarian Lager Co. Ltd, C-28/08P,

29.lipnja2010...............................................................................13, 26, 29, 103, 123, 188
Europski parlament protiv Vijea Europske unije, zajedniki predmeti
C-317/04 i 318/04, 30. svibnja 2006............................................................................. 137
Google Spain, S.L., Google Inc. protiv Agencia Espaola de Proteccin

de Datos, Mario Costeja Gonzlez, C-131/12, Zahtjev za
prethodnom odlukom suda Audiencia Nacional (panjolska)
podnesen 9.oujka2012., 25.svibnja2012., u tijeku.............................................. 187
Huber protiv Bundesrepublik Deutschland, C-524/06,

16.prosinca2008................................................................. 61, 77, 79, 82, 161, 172, 188
Interporc Im- und Export GmbH protiv Komisije Europskih zajednica,

C-41/00P, 6.oujka2003...........................................................................................29, 188
M.H. Marshall protiv Southamptona i Zdravstvene ustanove za

podruje jugozapadnog Hampshirea, C-152/84, 26. veljae 1986........................ 102
Michael Schwarz protiv Stadt Bochum, C-291/12, miljenje neovisnog
odvjetnika, 13.lipnja2013............................................................................................... 187
Pachtitis protiv Komisije i EPSO-a, F-35/08, 15.lipnja2010............................................ 188

Productores de Msica de Espaa (Promusicae) protiv Telefnica de
Espaa SAU, C-275/06, 29.sijenja2008................................... 13, 22, 31, 33, 38, 187
Rechnungshof protiv sterreichischer Rundfunk i drugih i Neukomm i

Lauermann protiv sterreichischer Rundfunk, Zajedniki sluajevi
C-465/00, C-138/01 i C-139/01, 20.svibnja2003.................................................79, 188
SABAM protiv Netlog N.V., C-360/10, 16.veljae2012............................................ 32, 187

Sabine von Colson i Elisabeth Kamann protiv Land Nordrhein-
Westfalen, C-14/83, 10. travnja 1984...................................................................102, 125
Tietosuojavaltuutettu protiv Satakunnan Markkinaprssi Oy i

Satamedia Oy, C-73/07, 16.prosinca2008..................................................... 13, 23, 187
V protiv Parlamenta, F-46/09, 5.srpnja2011..................................................................... 189
192
Popis predmeta
Volker i Markus Schecke GbR i Hartmut Eifert protiv Land Hessen,

Zajedniki sluajevi C-92/09 i C-93/09,
9.studenoga2010........................................................13, 21, 29, 33, 37, 40, 61, 67, 187
Sudska praksa Europskog suda za ljudska prava
Allan protiv Ujedinjene Kraljevine, br.48539/99, 5.studenoga2002................143, 186

Amann protiv vicarske [GC], br.27798/95,
16.veljae2000............................................................................. 35, 37, 63, 64, 183, 185
Ashby Donald i drugi protiv Francuske, br.36769/08, 10.sijenja2013........................31
Avilkina i drugi protiv Rusije, br. 1585/09, 6. lipnja 2013................................................ 170
Axel Springer AG protiv Njemake [GC], br.39954/08,
7.veljae2012........................................................................................................13, 24, 183
B.B. protiv Francuske, br.5335/06, 17.prosinca2009......................... 141, 143, 184, 185

Bernh Larsen Holding AS i drugi protiv Norveke, br.24117/08,
14.oujka2013..................................................................................................... 33, 36, 183
Biriuk protiv Litve, br.23373/03, 25.studenog2008.............................25, 102, 169, 184
Bykov protiv Rusije [GC], br.4378/02, 10.oujka2009.................................................. 186
Cemalettin Canli protiv Turske, br.22427/04, 18.studenoga2008........... 101, 107, 184

Ciubotaru protiv Moldavije, br.27138/04, 27.travnja2010.........................101, 109, 184
Copland protiv Ujedinjene Kraljevine, br.62617/00,
3.travnja2007.............................................................................................15, 161, 167, 185
Cotlet protiv Rumunjske, br.38565/97, 3.lipnja2003..................................................... 185
Dalea protiv Francuske, br.964/07, 2.veljae2010..............................107, 141, 156, 184

Gaskin protiv Ujedinjene Kraljevine, br.10454/83, 7.srpnja1989.............105, 183, 184
Godelli protiv Italije, br.33783/09, 25.rujna2012.................................. 38, 105, 183, 184
Halford protiv Ujedinjene Kraljevine, br.20605/92, 25.lipnja1997.................... 174, 185

Haralambie protiv Rumunjske, br.21737/03, 27.listopada2009...................62, 73, 184
I. protiv Finske, br.20511/03,

17.srpnja2008.......................................................... 15, 78, 90, 124, 169, 184, 185, 186
Iordachi i drugi protiv Moldavije, br.25198/02, 10. veljae2009....................................63
K.H. i drugi protiv Slovake, br.32881/04,

28.travnja2009.................................................................................. 62, 74, 105, 169, 183
193
K.U. protiv Finske, br.2872/02,

2.prosinca2008......................................................................15, 102, 120, 124, 183, 186
Kennedy protiv Ujedinjene Kraljevine, br.26839/05, 18.svibnja2010...................... 186
Khelili protiv vicarske, br.16188/07, 18.listopada2011...................................61, 65, 184
Klass i drugi protiv Njemake, br.5029/71, 6.rujna1978...............................15, 144, 186
Kpke protiv Njemake, br.420/07, 5.listopada2010..................................... 41, 121, 186
Kopp protiv vicarske, br.23224/94, 25. oujka 1998........................................................63
Kruslin protiv Francuske, br.11801/85, 24.travnja1990................................................ 185
L.L. protiv Francuske, br.7508/02, 10.listopada2006........................................... 169, 184

Lambert protiv Francuske, br.23618/94, 24.kolovoza1998........................................ 185
Leander protiv vedske, br.9248/81,
26.oujka1987.......................................... 15, 61, 65, 66, 105, 111, 143, 183, 184, 185
Liberty i drugi protiv Ujedinjene Kraljevine, br.58243/00, 1.srpnja2008.......... 36, 185
M.G. protiv Ujedinjene Kraljevine, br.39393/98, 24.rujna2002.................................. 184

M.K. protiv Francuske, br. 19522/09, 18.travnja2013...........................................108, 143
M.M. protiv Ujedinjene Kraljevine, br.24029/07,
13.studenoga2012...........................................................................................72, 143, 184
M.S. protiv vedske, br.20837/92, 27.kolovoza1997..........................111, 169, 184, 185
Malone protiv Ujedinjene Kraljevine, br.8691/79,
26.travnja1985................................................................................. 15, 64, 166, 184, 185
McMichael protiv Ujedinjene Kraljevine, br.16424/90, 24.veljae1995.................. 184
Michaud protiv Francuske, br.12323/11, 6.prosinca2012.................162, 174, 185, 186
Mosley protiv Ujedinjene Kraljevine, br.48009/08,
10.svibnja2011.............................................................................................13, 25, 111, 185
Mller i drugi protiv vicarske, br.10737/84, 24.svibnja1988........................................30
Niemietz protiv Njemake, br.13710/88, 16.prosinca1992......................... 35, 174, 185
Odivre protiv Francuske [GC], br.42326/98,

13.veljae2003........................................................................................ 38, 105, 183, 184
P.G. i J.H. protiv Ujedinjene Kraljevine, br.44787/98, 25.rujna2001.....................41, 186

Peck protiv Ujedinjene Kraljevine, br.44647/98,
28.sijenja2003.............................................................................................41, 61, 65, 186
Rotaru protiv Rumunjske [GC], br.28341/95,

4.svibnja2000................................................................... 35, 61, 64, 108, 184, 185, 186
194
Popis predmeta
S. i Marper protiv Ujedinjene Kraljevine, br.30562/04 i 30566/04,

4.prosinca2008........................................................................ 15, 72, 141, 143, 184, 186
Sciacca protiv Italije, br.50774/99, 11.sijenja2005.................................................41, 185
Segerstedt-Wiberg i drugi protiv vedske, br.62332/00,
6.lipnja2006......................................................................................................101, 108, 185
Shimovolos protiv Rusije, br.30194/09, 21.lipnja2011...........................................64, 184
Silver i drugi protiv Ujedinjene Kraljevine, brojevi5947/72, 6205/73,
7052/75, 7061/75, 7107/75, 7113/75, 25. oujka1983............................................64
Szuluk protiv Ujedinjene Kraljevine, br.36936/05, 2.lipnja2009..............169, 184, 185
Trsasg a Szabadsgjogokrt protiv Maarske, br.37374/05,

14.travnja2009..............................................................................................................13, 28
Taylor-Sabori protiv Ujedinjene Kraljevine, br.47114/99,
22.listopada2003................................................................................................ 61, 64, 186
The Sunday Times protiv Ujedinjene Kraljevine, br.6538/74, 26. travnja 1979..........64
Turek protiv Slovake, br.57986/00, 14.veljae2006.................................................... 184
Udruga 21 Dcembre 1989 i drugi protiv Rumunjske, br. 33810/07 i

18817/08, 24.svibnja2011.............................................................................................. 186
Udruenje za europske integracije i ljudska prava i Ekimdzhiev protiv
Bugarske, br. 62540/00, 28. lipnja 2007.........................................................................64
Uzun protiv Njemake, br.35623/05, 2.rujna2010.................................. 15, 41, 184, 186
Vereinigung bildender Knstler protiv Austrije, br.68345/01,

25.sijenja2007..............................................................................................................13, 30
Vetter protiv Francuske, br.59842/00, 31.svibnja2005.......................64, 141, 145, 186
Von Hannover protiv Njemake (br.2) [GC], br.40660/08 i 60641/08,
7.veljae2012..............................................................................................22, 24, 183, 186
Von Hannover protiv Njemake, br.59320/00,
24.lipnja2004............................................................................................41, 183, 185, 186
Wisse protiv Francuske, br.71611/01, 20.prosinca2005.........................................41, 186
Z. protiv Finske, br.22009/93, 25.veljae1997.............................................. 161, 169, 184
Sudska praksa nacionalnih sudova
Njemaka, Savezni ustavni sud (Bundesverfassungsgericht),

1BvR256/08, 2.oujka2010......................................................................................... 165
195
Republika eka, Ustavni sud (stavn soud esk republiky),
94/2011Coll., 22.oujka2011........................................................................................ 165
Rumunjska, Savezni ustavni sud (Curtea Constituional a Romniei),

br.1258, 8.listopada2009............................................................................................... 165

Agencija Europske unije za temeljna prava
Europski sud za ljudska prava Vijee Europe

2014 195 str. 14,8 21 cm
ISBN 978-92-871-9945-4 (CoE)

ISBN 978-92-9239-333-5 (FRA)
doi:10.2811/53863
Daljnje informacije o Agenciji Europske unije za temeljna prava dostupne su na internetu putem FRA
web stranice (fra.europa.eu).
Dodatne informacije o Vijeu Europe dostupne su na internetu, putem web stranice: hub.coe.int.
Dodatne informacije o sudskoj praksi Europskog suda za ljudska prava dostupne su na web
stranici Suda: echr.coe.int. Internetski portal HUDOC omoguuje pretraivanje presuda i odluka na
engleskom i / ili francuskom jeziku, pristup prijevodima na druge jezike, kao i mjesenim biljekama
o sudskoj praksi, priopenjima za tisak i drugim informacijama o radu Suda.
KAKO DOI DO PUBLIKACIJA EU-a

Besplatne publikacije:
jedan primjerak:
u knjiari EU-a (http://bookshop.europa.eu);
vie od jednog primjerka ili posteri/karte:
u predstavnitvima Europske unije (http://ec.europa.eu/represent_en.htm);
kod delegacija u zemljama koje nisu lanice EU-a (http://eeas.europa.eu/delegations/
index_en.htm);
kontaktiranjem slube Europe Direct (http://europa.eu/europedirect/index_en.htm) or
ili pozivanjem broja 00 800 6 7 8 9 10 11 (besplatan poziv bilo gdje iz EU-a) (*).
Publikacije koje se plaaju:
u knjiari EU-a (http://bookshop.europa.eu);
Pretplate koje se plaaju:
kod jednog od prodajnih predstavnika Ureda za publikacije Europske unije
(http://publications.europa.eu/others/agents/index_en.htm).
(*) Informacije su besplatne, kao i veina poziva (mada neke mree, javne govornice ili hoteli mogu naplaivati
pozive).
Put do izdanja Vijea Europe
Naklada Vijea Europe obuhvaa djela iz svih referentnih sfera njegova djelovanja,
ukljuujui ljudska prava, pravnu znanost, zdravstvo, etiku, socijalnu politiku, okoli,
obrazovanje, kulturu, sport, mlade i arhitekturnu batinu. Knjige i elektronika izdanja iz
opsenog kataloga mogu se naruiti na internetu (http://book.coe.int/).
U virtualnoj itaonici korisnici mogu dobiti besplatan uvid u izvatke tek objavljenih djela ili
pregledati cjelovit tekst odreenih slubenih dokumenata.
Cjeloviti tekst Konvencija Vijea Europe kao i informacije o njima dostupni su na internetskoj
stranici Ureda za ugovore: http://conventions.coe.int/.
10.2811/53863
TK-01-13-772-HR-C
Sve bri razvoj informacijskih i komunikacijskih tehnologija za sobom povlai i rastuu potrebu za
snanom zatitom osobnih podataka. To je pravo zatieno i instrumentima Europske unije (EU)
i instrumentima Vijea Europe (CoE). Tehnoloka dostignua ire granice primjerice nadzora,
presretanja komunikacije i pohrane podataka pa je sve izazovnija zadaa ouvati pravo na zatitu
podataka. Cilj je ovoga prirunika upoznati pravnike koji nisu specijalizirani u podruju zatite
podataka s tom pravnom granom. Prirunik sadri pregled primjenjivih pravnih okvira Europske
unije i Vijea Europe. Saimajui glavne presude Europskog suda za ljudska prava (ECtHR) i Suda
Europske unije (CJEU), donosi objanjenja vezana uz kljunu sudsku praksu. U sluaju da nije
zabiljeena sudska praksa, daje praktine ilustracije s hipotetskim scenarijima. Prirunikom se
ukratko eli doprinijeti odlunoj i snanoj provedbi prava na zatitu podataka.
AGENCIJA EUROPSKE UNIJE ZA TEMELJNA PRAVA

Schwarzenbergplatz 11 1040 Be Austria
Tel. +43 (1) 580 30-60 Faks +43 (1) 580 30-693
fra.europa.eu info@fra.europa.eu ISBN 978-92-871-9945-4 (CoE)
ISBN 978-92-9239-333-5 (FRA)
VIJEE EUROPE
EUROPSKI SUD ZA LJUDSKA PRAVA
67075 Strasbourg Cedex Francuska
Tel. +33 (0) 3 88 41 20 00 Faks +33 (0) 3 88 41 27 30
echr.coe.int publishing@echr.coe.int

Handbook Data Protection HRV

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Handbook Data Protection HRV

Uploaded by

Copyright:

Available Formats

PRIRUNIK

Europe Direct je usluga koja Vam pomae u pronalasku odgovora na

Besplatni broj telefona (*):

Fotografija (naslovnica i unutranjost): iStockphoto

Vie informacija o Europskoj uniji pronaite na Internetu (http://europa.eu).

Podaci o kategorizaciji mogu se pronai pri kraju ove publikacije.

Luksemburg: Ured za publikacije Europske unije, 2014.

ISBN 978-92-871-9945-4 (CoE)

Tiskano na recikliranom papiru u postupku bez koritenja klora (PCF)

Cilj je ovoga prirunika doprinijeti boljoj informiranosti o propisima o zatiti podataka

Stupanjem na snagu Ugovora iz Lisabona u prosincu 2009., Povelja EU-a o temeljnim

elimo zahvaliti Institutu za ljudska prava Ludwig Botzmann za njegovo sudjelovanje

Philippe Boillat Morten Kjaerum

Glavni direktor Direktor

KRATICE I AKRONIMI .................................................................................................................................................................................................. 9

KAKO KORISTITI PRIRUNIK ........................................................................................................................................................................... 11

1. KONTEKST I POZADINA EUROPSKOG ZAKONODAVSTVA OZATITI PODATAKA ............ 13

2. TERMINOLOGIJA VEZANA UZZATITU PODATAKA .............................................................................................. 33

3.1.2. Uvjeti za zakonita ogranienja prema Povelji Europske unije ............................................ 66

3.2. Naelo svrhovitosti i ogranienja svrhe ....................................................................................................... 68

3.3.2. Naelo tonosti podataka .................................................................................................................................... 71

3.3.3. Naelo ogranienog zadravanja podataka ....................................................................................... 72

3.4. Naelo potene obrade .................................................................................................................................................... 73

3.4.2. Uspostava povjerenja .............................................................................................................................................. 74

3.5. Naelo odgovornosti ........................................................................................................................................................... 75

4. PRAVILA EUROPSKOG ZAKONODAVSTVA O ZATITI PODATAKA ...................................................... 77

4.1.2. Zakonita obrada osjetljivih podataka ........................................................................................................ 85

4.2. Pravila sigurnosti obrade ................................................................................................................................................ 88

4.2.2. Povjerljivost podataka ............................................................................................................................................ 91

4.3. Pravila transparentnosti obrade ............................................................................................................................ 93

4.3.2. Obavjeivanje ............................................................................................................................................................... 96

4.4. Pravila o promicanju sukladnosti .......................................................................................................................... 97

4.4.2. Slubenici za zatitu podataka ......................................................................................................................... 98

4.4.3. Pravila ponaanja ........................................................................................................................................................ 99

5.1.2. Pravo na prigovor .....................................................................................................................................................110

5.2. Neovisni nadzor ..................................................................................................................................................................... 112

5.3.2. Zahtjevi podneseni nadzornom tijelu ....................................................................................................118

5.3.3. Zahtjev podnesen sudu ......................................................................................................................................119

5.3.4. Sankcije ..............................................................................................................................................................................124

6. PREKOGRANINI PRIJENOSI PODATAKA ........................................................................................................................ 127

6.3.2. Slobodan prijenos podataka u posebnim sluajevima ..........................................................133

6.4. Ogranieni prijenos podataka treim zemljama ............................................................................ 134

6.4.2. Obvezujua pravila poduzea .......................................................................................................................136

6.4.3. Posebni meunarodni sporazumi .............................................................................................................137

7. ZATITA PODATAKA UKONTEKSTU POLICIJE IKAZNENOG PRAVOSUA ............................. 141

7.1.2. Budimpetanska konvencija o kibernetikom kriminalu .....................................................146

7.2. Pravo Vijea Europe o zatiti podataka u policijskim i kaznenopravnim

8. OSTALI SPECIFINI ZAKONODAVNI PROPISI OZATITI PODATAKA ............................................. 161

SUDSKA PRAKSA .................................................................................................................................................................................................... 183

CCTV Televizija zatvorenog kruga

CETS Zbirka ugovora Vijea Europe

Povelja Povelja Europske unije o temeljnim pravima

CIS Carinski informacijski sustav

CJEU Sud Europske unije (prijeprosinca2009. poznat kao Europski

CoE Vijee Europe

Konvencija br.108 Konvencija o zatiti pojedinaca pri automatskoj obradi osobnih

CRM Upravljanje odnosima s kupcima

C-SIS Sredinji schengenski informacijski sustav

EAW Europski uhidbeni nalog

EC Europska zajednica (EZ)

ECHR Europska konvencija o ljudskim pravima

ECtHR Europski sud za ljudska prava

EDPS Europski nadzornik za zatitu podataka

EGP Europski gospodarski prostor