Poslovni broj: Usž-3261/2024-2
REPUBLIKA HRVATSKA
VISOKI UPRAVNI SUD REPUBLIKE HRVATSKE
Z A G R E B
Frankopanska 16
U I M E R E P U B L I K E H R V A T S K E
P R E S U D A
Visoki upravni sud Republike Hrvatske u vijeću sastavljenom od sutkinja toga suda, Radmile Bolanča Vuković, predsjednice vijeća, dr. sc. Sanje Otočan i Mire Kovačić, članica vijeća, uz sudjelovanje sudske savjetnice Jelene Maltar Benjak, zapisničara, u upravnom sporu tužitelja A1 Hrvatska d.o.o., Zagreb, Vrtni put 1, kojeg zastupa opunomoćenica Ivana Markovinović Žunko, odvjetnica u Zagrebu, Ilica 191D, protiv tuženika Agencije za zaštitu osobnih podataka, Zagreb, Selska cesta 136, uz sudjelovanje zainteresirane osobe ŠZ iz [adresa], radi zaštite osobnih podataka, odlučujući o žalbi tužitelja protiv presude Upravnog suda u Zagrebu, poslovni broj: Us I-1191/23-11 od 20. lipnja 2024., na sjednici vijeća održanoj 24. rujna 2025.
p r e s u d i o j e
Žalba se odbija i potvrđuje presuda Upravnog suda u Zagrebu, poslovni broj: Us I-1191/23-11 od 20. lipnja 2024.
Obrazloženje
1. Pobijanom presudom prvostupanjskog suda u točki I. izreke odbijen je tužbeni zahtjev za poništavanje rješenja tuženika, KLASA: UP/I-041-02/23-06/01, URBROJ: 567-02/15-23-01 od 20. veljače 2023. Točkom II. izreke odbijen je zahtjev tužitelja za naknadu troškova upravnog spora.
2. Rješenjem tuženika od 20. veljače 2023. utvrđeno je da je obradom osobnih podataka zainteresirane osobe ŠZ iz ugovora o pretplatničkom odnosu za šifru pretplatnika 1.15005901, odnosno njezinim daljnjim zadržavanjem nakon proteka rokova čuvanja od strane tužitelja, došlo do povrede članka 6. stavka 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinca u vezi s obradom osobnih podataka i slobodnom kretanju takvih podatka te stavljanju izvan snage Direktive 95/46/EZ (SL EU L 119 - dalje: Opća uredba o zaštiti podataka), a u vezi s člankom 5. stavkom 1. točkom d) Opće uredbe o zaštiti podataka, te mu je za navedenu povredu izrečena upravna novčana kazna u iznosu od 20.000,00 eura.
3. Tužitelj žalbom pobija zakonitost prvostupanjske presude zbog svih zakonom propisanih razloga. Ističe da je u tužbi ukazivao da postoji zakonska osnova za obradu podataka zainteresirane osobe i nakon prestanka ugovornog odnosa sukladno Zakonu o računovodstvu („Narodne novine", 78/15., 134/15., 120/16., 116/18., 42/20., 47/20., 114/22. i 82/23.), a što je navedeno i u obrazloženju pobijane presude. Navodi da je za CZ u sustavu bio evidentiran dug po jednom neplaćenom računu, kojeg je korisnička služba označila u komunikaciji nepostojećim radi nenaplativosti zbog isteka roka zastare. Smatra proturječnim kasniji navod u obrazloženju presude pod točkom 19. u kojoj se navodi da se tužitelj tijekom postupka niti jednom nije pozvao na Zakon o računovodstvu. Ukazuje da treba razlikovati pogrešno označavanje nenaplativog računa u sustavu tužitelja od strane korisničke službe nepostojećim od greške u obradi osobnih podataka, koju tužitelj osporava. Ističe da prvostupanjski sud nije obrazložio zbog čega smatra da ne bi bio relevantan članak 3. točka d) izjave o zaštiti osobnih podataka kojom je definirano kako zadržava osobne podatke 12 mjeseci po prestanku ugovornog odnosa, a najkasnije do isteka svih zakonskih obveza pohranjivanja ili i dalje do okončanja posebnih postupaka prisilne naplate i ostalih sporova. Ističe postojanje valjane osnove za obradu osobnih podataka zainteresirane osobe jer je na temelju zakonskih propisa imao pravo čuvati osobne podatke ŠZ te izdati knjigovodstvenu ispravu: knjižno odobrenje radi konačnog brisanja takvog dugovanja. Smatra da sve i da je u konkretnom slučaju došlo do povrede osobnih podataka zainteresirane osobe, nejasno je i neobrazloženo zbog čega sud smatra da je izrečena upravna novčana kazna primjerena, a da pozivanje suda na detaljno i valjano obrazloženje razloga tuženika nije dovoljno obrazloženje, jer je u tužbi obrazlagao da postoje druge mjere kojima bi se mogla postići svrha koja je propisana Općom uredbom o zaštiti podataka i koje druga nadzorna tijela redovito primjenjuju, na što se sud nije očitovao. Poziva se na presudu Suda Europske unije, broj predmeta: C-768/21 od 11. travnja 2024. u kojoj je zaključeno da je nadzorno tijelo, u slučaju da utvrdi postojanje obrade podataka kojom se povređuju ispitanikova prava, obvezno djelovati na temelju članka 58. stavka 2. Uredbe 2016/679 ako je to potrebno da bi se zajamčilo puno poštivanje te Uredbe. U tom je pogledu dužno, uzimajući u obzir konkretne okolnosti svakog pojedinog slučaja, odabrati primjereno, nužno i proporcionalno sredstvo kako bi se povreda otklonila i osiguralo poštovanje ispitanikovih prava. Navodi da prvostupanjski sud ne obrazlaže zašto smatra da niti jedno drugo sredstvo iz članka 58. stavka 2. Opće uredbe za zaštitu podataka ne bi bilo primjereno, primjerice izdavanje upozorenja, službene opomene da se postupcima obrade krše odredbe Opće uredbe o zaštiti podataka ili naređivanje da postupke obrade uskladi s odredbama Opće uredbe o zaštiti podataka, prema potrebi na točno određen način i u točno zadanom roku i zbog čega prihvaća obrazloženje tuženika koje se odnosi na izricanje upravne novčane kazne kao korektivne mjere, što je tuženik samo paušalno naveo, bez ulaženja u bilo kakve konkretne okolnosti odnosno razloge. Ističe kako je riječ o visokom iznosu i izrečenu novčanu kaznu uspoređuje s prekršajnim kaznama propisanim Zakonom o računovodstvu, koji smatra relevantnim propisom u ovom predmetu, a u kojem se propisane kazne kreću u rasponu od 1.320,00 do 13.270,00 eura. Smatra da treba imati u vidu domaće prilike i da je potreban oprez pri izricanju novčanih kazni koje premašuju druge zapriječene kazne jer ta praksa može dovesti do stvaranja hijerarhije prava koja ne odgovara smislu i svrsi propisa kojom su ista uređena. U pogledu izrečene upravne novčane kazne ističe da iz članka 83. stavaka 4. i 5. Opće uredbe o zaštiti podataka slijedi da tuženik treba uzeti u obzir prihode na svjetskoj razini, pri čemu svjetska razina znači uzimanje u obzir prometa (ukupnih prihoda) grupacije poduzetnika, a da je kod predmetnih odredbi ključno utvrditi radi li se o poduzetniku u smislu Opće uredbe o zaštiti podataka. Navodi da je predložio vještačenje na tu okolnost, a sud je bez valjanog obrazloženja ignorirao to pitanje te mu je onemogućeno izvođenje dokaza koje smatra relevantnim za ovaj postupak. Ističe da tuženik ni sud ne uzimaju u obzir realitet u kojem se odvijaju poslovni procesi te složenost sustava koji mora funkcionirati, ne samo s aspekta zaštite osobnih podataka, nego i s aspekta brojnih drugih, ponekad i kontradiktornih zahtjeva koji proizlaze iz drugih primjenjivih propisa te nekritički pristupaju prijavi zainteresirane osobe koja se javlja s pitanjem zašto je dobila obavijest nakon hakerskog napada, iako zna da se njezin osobni podatak (e-mail adresa) i dalje koristi kao kontakt podatak za njezinog oca ŽZ, da je u sustavu i dalje zabilježeno dospjelo, a neutuženo potraživanje zainteresirane osobe te način komunikacije korisničke službe koja je uvjetovana veličinom sustava, brojnošću te standardnim potrebama korisnika. Iznosi mišljenje da se odlukom tuženika doprinosi kreiranju pogrešne prakse u kojoj se ne postupa konstruktivno, na način da se osnaži zaštita osobnih podataka, nego se voditelji obrade pred kojima su najveće odgovornosti i zadaće u tom pogledu ne tretiraju partnerski i kooperativno, već se bezrezervno podržava pozicija zainteresirane osobe koja se obraća tužitelju s presumpcijom da postoji povreda (slijedom e-maila kojim se svi korisnici obavještavaju o hakerskom napadu). Navodi da se ne uzima u obzir da je riječ o pravu koje se tek počelo razvijati, o praksi u nastajanju u kojoj se tek zauzima stav o osnovnim pojmovima i sustavima koji se „u hodu“ moraju prilagoditi novim pravilima. Predlaže da ovaj Sud usvoji žalbu.
4. Tuženik u odgovoru na žalbu predlaže istu odbiti. Napominje da je za utvrđenje povrede prava na zaštitu osobnih podataka zainteresirane osobe ključno da je tužitelj od 21. rujna 2011. (datum kada je raskinut predmetni ugovorni odnos sa zainteresiranom osobom) do 11. ožujka 2022. (datum brisanja osobnih podataka zainteresirane osobe) nezakonito, tj. bez pravne osnove iz članka 6. stavka 1. Opće uredbe o zaštiti podataka obrađivao/zadržao njene osobne podatke, protivno izjavi o zaštiti osobnih podataka, prema kojoj tužitelj može zadržati osobne podatke 12 mjeseci po prestanku ugovornog odnosa. Nadalje, ističe da je tužitelj u dva očitovanja zainteresiranoj osobi priznao da je račun od 31. prosinca 2011. greškom generiran, a tužitelj je nezakonito zadržao osobne podatke zainteresirane osobe, za što se ispričao zainteresiranoj osobi. Ističe relevantnost izjave o zaštiti osobnih podataka tužitelja, koja predstavlja dokument tužitelja kojim se ispitanicima pružaju informacije o obradi/zadržavanju njihovih osobnih podataka, rokovima brisanja osobnih podataka (konkretno 12 mjeseci od raskida ugovornog odnosa). Naglašava da je u ovoj stvari utvrđeno nepostojanje pravne osnove za obradu/zadržavanje osobnih podataka iz članka 6. stavka 1. Opće uredbe o zaštiti podataka u vezi s člankom 5. stavkom 1. točkom d) Opće uredbe o zaštiti podataka. Navodi da je utvrđeno nepostojanje minimuma uvjeta zakonite obrade osobnih podataka u vidu nepostojanja pravne osnove i povrede načela pri obradi osobnih podataka, konkretno načela točnosti (članak 5. stavak 1. točka d) Opće uredbe o zaštiti podataka), prema kojem osobni podaci moraju biti točni i prema potrebi ažurni, odnosno voditelj obrade mora poduzeti svaku razumnu mjeru radi osiguravanja da se osobni podaci koji nisu točni, bez odgode izbrišu ili isprave, što u ovom slučaju nije učinjeno. Kao relevantnu okolnost ističe dužinu obrade/zadržavanja osobnih podataka, navodeći da tužitelj, ne samo da nije poduzeo mjere radi osiguravanja točnosti i ažurnosti podataka, odnosno njihovog pravodobnog brisanja, već je iste zadržao kroz dulji vremenski period, točnije od 21. rujna 2012. (kada je trebao brisati podatke prema izjavi o zaštiti osobnih podataka) do konačnog brisanja 11. ožujka 2022. U odnosu na izrečenu upravnu novčanu kaznu ističe da su detaljno pojašnjeni razlozi zašto je izrekao takvu upravnu novčanu kaznu, pri čemu se rukovodio kriterijima propisanim člankom 83. stavkom 2. Opće uredbe o zaštiti podataka. Naglašava da je nejasna i nepotrebna usporedba raspona novčanih kazni iz drugih zakona, kao što je Zakon o računovodstvu, budući da je u ovoj upravnoj stvari utvrđena povreda propisa iz područja zaštite osobnih podataka, a ne drugih posebnih propisa koji reguliraju druga pitanja. U konkretnom slučaju pri donošenju odluke tuženika o nastaloj povredi u ovom predmetu uzete su u obzir sve relevantne odredbe Opće uredbe o zaštiti podataka primjenjive na konkretan slučaj, a isto je učinjeno i prilikom izricanja novčane kazne. Predlaže da ovaj Sud odbije žalbu.
5. Zainteresirana osoba u odgovoru na žalbu navodi da je prvostupanjski sud na temelju utvrđenog činjeničnog stanja donio pravilnu odluku. Ističe da je tužitelj naziva dužnikom, iako se radi o nepostojećem dugu. S tim u vezi navodi da to potvrđuje i činjenica da je tužitelj dostavio račun tuženiku iz kojeg je razvidno da je izdan nekoliko mjeseci nakon što je raskinula ugovor s tužiteljem, a tužitelj osporava tu činjenicu, iako je dokazana. Ukazuje na izmjenu dijela originalnog teksta u obavijesti o hakiranju. Ističe da je tužitelj omogućio dostupnost njezinih podataka koje nije smio imati ni koristiti, a što je pokušala riješiti s tužiteljem mirenjem. Ustraje u tome da se tužitelju izrekne upravna novčana kazna da takvo postupanje ne bi ponovio u odnosu na druge građane, a izrečenu kaznu smatra prenisko određenom. Navodi da se tužitelj opravdava za nepoštivanje zakona.
6. Žalba nije osnovana.
7. Ispitujući presudu prvostupanjskog suda u granicama žalbenih razloga, sukladno članku 73. stavku 1. Zakona o upravnim sporovima („Narodne novine", 20/10., 143/12.,152/14., 29/17. i 110/21., dalje: ZUS), Sud žalbene razloge ocjenjuje neosnovanim.
8. Iz spisa predmeta kao i obrazloženja pobijane presude proizlazi da je prvostupanjski sud pri utvrđivanju činjeničnog stanja u sporu, uzeo u obzir činjenice utvrđene u postupku donošenja osporenog rješenja. Nakon što je razmotrio sva činjenična i pravna pitanja koja su od značaja za donošenje pravilne i zakonite odluke u smislu članka 55. stavka 3. ZUS-a, po ocjeni ovog Suda tužbeni zahtjev je osnovano odbio pozivom na članak 57. stavak 1. ZUS-a.
9. Iz spisa predmeta proizlazi da je zainteresirana osoba ŠZ podnijela zahtjev za utvrđivanje povrede prava na zaštitu osobnih podataka vezano uz obradu njezinih osobnih podataka od strane društva A1 Hrvatska d.o.o. Tuženik je utvrdio da je zainteresirana osoba 9. veljače 2022. putem elektroničke pošte na svoju e- mail adresu: [adresa elektroničke pošte] zaprimila obavijest tužitelja kako su njezini osobni podaci bili predmetom sigurnosnog incidenta te je 11. veljače 2022. uputila poziv službi za korisnike društva A1 Hrvatska d.o.o., nakon čega je informirana kako se njezini osobni podaci i dalje obrađuju, iako nije korisnica A1 Hrvatska d.o.o. više od 10 godina.
10. Iz podataka spisa proizlazi da je tužitelj obavijestio zainteresiranu osobu da njezini podaci nisu izbrisani zbog greške u sustavu te kako su konačno izbrisani tek 5. ožujka 2022., a potom ju je izvijestio da njezini podaci nisu izbrisani zbog postojanja duga od 25 kuna, a 11. ožujka 2022. naveli su kako je uspješno provedeno brisanje osobnih podataka, dakle nakon više od 10 godina od raskida ugovornog odnosa sa zainteresiranom osobom, koji je raskinut 21. rujna 2011. Prvostupanjski sud je istaknuo da je zainteresirana osoba raskinula ugovorni odnos s tužiteljem 21. rujna 2011., a račun broj: 0000371403012012 od 25,00 kn tužitelj je izdao 31. prosinca 2011. za razdoblje od 1. prosinca 2011. do 31. prosinca 2011., dakle za razdoblje u kojemu nije bila korisnica usluga tužitelja, s tim da je i tužitelj u očitovanju od 27. siječnja 2023. naveo kako se radi o nepostojećem dugu, pa je neosnovan prigovor tužitelja, koji je isticao i u tužbi, da je obrađivao osobne podatke zainteresirane osobe sukladno Zakonu o računovodstvu.
11. Prema ocjeni ovog Suda pravilno je tuženik utvrdio da je u konkretnom slučaju došlo do povrede članka 5. stavka 1. točke d) i članka 6. stavka 1. Opće uredbe o zaštiti podataka. Naime, tužitelj je nakon prestanka pretplatničkog odnosa, bez zakonite svrhe i pravne osnove, nezakonito zadržao osobne podatke zainteresirane osobe te je pravilno zaključeno da osobni podaci zainteresirane osobe nisu obrađivani ažurno sukladno načelu točnosti kako to nalaže Opća uredba o zaštiti podataka.
12. U odnosu na ne provođenje predloženog dokaza provođenjem vještačenja treba reći da sud nije vezan prijedlozima stranaka ni u pogledu činjenica koje je trebalo utvrditi ni dokaza kojima se one mogu utvrditi (članak 33. stavak 3. ZUS-a). Osnovano je prvostupanjski sud ocijenio izvođenje dokaza koje je tužitelj predložio nepotrebnim. Iznos izrečene upravne novčane kazne određuje tuženik primjenom kriterija iz članka 83. stavka 2. točki a) - k) Opće uredbe o zaštiti podataka, a u granicama propisanim člankom 83. stavkom 5. točkom b) Opće uredbe o zaštiti podataka.
13. Tuženik je u odnosu na izrečenu upravnu novčanu kaznu cijenio sve okolnosti propisane člankom 83. stavkom 2. točkama a) - k) Opće uredbe o zaštiti podataka, a njezin iznos odredio je sukladno članku 83. stavku 5. točki b) Opće uredbe o zaštiti podataka, za što je naveo valjane razloge. Detaljno je pojasnio zbog čega nije primijenio blaže korektivne mjere, navodeći, između ostalog, da se radi o kršenju jedne od temeljnih odrednica Opće uredbe o zaštiti podataka od strane jedne od vodećih telekomunikacijskih kompanija u ovom dijelu Europe nekoliko godina nakon raskida ugovornog odnosa. S obzirom na to da sankcija mora biti učinkovita, proporcionalna počinjenoj povredi i odvraćajuća, izrečena sankcija u skladu je sa svrhom radi koje je propisana.
14. Prvostupanjski sud je presudu obrazložio sukladno članku 60. stavku 4. ZUS-a, odgovorivši na sve relevantne navode iz tužbe, pa tako i na prigovor o visini izrečene upravne novčane kazne, pravilno upućujući na detaljno obrazloženje osporenog rješenja. S tim u vezi, ovaj Sud primjećuje da je očitom pogreškom u pisanju prvostupanjski sud u točki 23. obrazloženja presude pozivanjem na članak 83. Opće uredbe o zaštiti podataka, umjesto stavka 5. napisao stavak 6.
15. Tužitelj razlozima navedenim u žalbi nije doveo u sumnju zakonitost pobijane presude koja je donesena na temelju pravilno utvrđenih relevantnih činjenica te uz pravilnu primjenu materijalnog prava, dok bitne povrede pravila postupka ovaj Sud nije našao.
16. Trebalo je stoga, na temelju članka 74. stavka 1. ZUS-a, odlučiti kao u izreci presude.
U Zagrebu 24. rujna 2025.
Predsjednica vijeća:
Radmila Bolanča Vuković