Poslovni broj: Us I-2452/2024-7
REPUBLIKA HRVATSKA
UPRAVNI SUD U SPLITU
Split, Put Supavla 1.
U I M E R E P U B L I K E H R V A T S K E
P R E S U D A
Upravni sud u Splitu, po sucu Marici Goreta, kao sucu pojedincu, uz sudjelovanje zapisničarke Nataše Brajević, u upravnom sporu tužitelja MANAS d.o.o., Barakovićeva 18, Split, OIB: 77290534017, zastupan po opunomoćeniku Ivi Juričko, odvjetniku u Odvjetničkom društvu Juričko & partneri d.o.o., Split, Ćiril-Metodova 38, protiv tuženika Agencije za zaštitu osobnih podataka, Selska cesta 136, Zagreb, zastupana po opunomoćeniku (zaposleniku tuženika) ČN, radi utvrđivanja povrede prava na zaštitu osobnih podataka, nakon neposredne i javne rasprave zaključene dana 19. prosinca 2025., u prisutnosti opunomoćenice tužitelja i opunomoćenika tuženika, dana 19. siječnja 2026.,
p r e s u d i o j e
I.Odbija se kao neosnovan zahtjev tužitelja za poništenje rješenja tuženika Agencije za zaštitu osobnih podataka, Klasa: UP/I-034-01/24-01/19, Urbroj: 567-04-
01/05-24-1 od dana 29. srpnja 2024.
II.Odbija se kao neosnovan zahtjev tužitelja za naknado troškova ovog upravnog spora.
Obrazloženje
1.Osporavanim rješenjem tuženika, Klasa: UP/I-034-01/24-01/19, Urbroj:567- 04-01/05-24-1 od dana 29. srpnja 2024. (dalje: osporavano rješenje) riješeno je: „1.Utvrđuje se da je društvo MANAS d.o.o., Barakovićeva 18, Split kao voditelj obrade prikupljalo i obrađivalo osobne podatke ispitanika putem kolačića bez da je ispitanicima omogućilo da informirano i dobrovoljno daju ili povuku privolu za obradu osobnih podataka putem kolačića, čime je povrijeđen članak 6. stavak l . točka (a) te s tim u svezi članak 7. Opće uredbe o zaštiti podataka. 2.Utvrđuje se daje društvo MANAS d.o.o., Barakovićeva 1 8, Split, kao voditelj obrade nepošteno obrađivalo osobne podatke ispitanika putem prikupljanja kolačića, a što je protivno članku 5. stavku l. (a) Opće uredbe o zaštiti podataka. 3.Utvrđuje se da društvo MANAS d.o.o., Barakovićeva 18, Split, kao voditelj obrade, nije na adekvatan način obavijestilo ispitanike o obradi podataka putem kolačića, čime je povrijeđen članak 13. stavak I. i 2. Opće uredbe o zaštiti podataka. 4.Za kršenja opisana u točkama l. - 3. izreke ovog rješenja, u skladu s odredbama članka 83. Opće uredbe o zaštiti podataka, izriče se voditelju obrade društvu MANAS d.o.o., Barakovićeva 18, Split upravna novčana kazna u iznosu od:
15.000,00 EUR (slovima: petnaest tisuća eura). Voditelj obrade društvo MANAS d.o.o., Barakovićeva 18, Split dužno je platiti izrečenu upravnu novčanu kaznu u korist državnog proračuna u roku od 15 dana od dana pravomoćnosti ovog rješenja u korist računa broj: [broj bankovnog računa], model HR64 i poziv na broj odobrenja: 6092- 25860-77290534017 s naznakom - "upravne novčane kazne koje izriče AZO“'.
5.Ukoliko voditelj obrade društvo MANAS d.o.o., Barakovićeva 18, Split u roku od 15 dana od pravomoćnosti ovog rješenja ne plati izrečenu upravnu novčanu kaznu, Agencija za zaštitu osobnih podataka će sukladno članku 46. stavku 2. Zakona o provedbi Opće uredbe o zaštiti podataka obavijestiti Područni ured Porezne uprave Ministarstva financija na čijem je području sjedište navedenog društva radi naplate upravne novčane kazne prisilnim putem prema propisima o prisilnoj napati poreza.
6.Voditelj obrade društvo MANAS d.o.o., Barakovićeva 18, Split je dužno u roku od 15 dana od izvršene uplate dostaviti dokaz o uplati Agenciji za zaštitu osobnih podataka.“ 2.Tužitelj u pravodobno podnesenoj tužbi ovome sudu pobija navedeno rješenje tuženika smatrajući da isto nije zakonito jer da je u postupku pogrešno i nepotpuno utvrđeno činjenično stanje i pogrešno primijenjeno materijalno pravo. Naime, u tužbi se ističe da su kolačići (cookies) male datoteke koje Internet preglednik pohranjuje na računalo, mobitel ili neki drugi uređaj kojim je korisnik posjetio neku web stranicu. Preglednik kolačiće pohranjuje po "nalogu" te stranice, za njene potrebe, koje mogu biti različite ovisno o namjeni kolačića, pa kolačići mogu prikupljati podatke koji je jezik korisnik odabrao za prikaz stranice (ako stranica ima više jezika), slijed posjećenih stranica kako bi se korisnik mogao istim slijedom vraćati na stranice unatrag, popis artikala koje je korisnik ubacio u košaricu, do npr. IP adrese, korisničkog imena i lozinke, adrese elektroničke pošte, geolokacije, uređaja koji korisnik koristi, koje sve stranice nekog web mjesta je korisnik posjećivao. Ukazuje se na odredbu članka 43. stavak 4. Zakona o elektroničkim komunikacijama, koja odredba se u tužbi i citira. Nadalje se dijelom citira obrazloženje osporavanog rješenja te ističe da su protivno navodima iz pobijanog rješenja, posjetitelji stranice informirani o svrsi obrade osobnih podataka za svaku vrstu kolačića dokumentom nazvanim „politika privatnosti“, obavijest/banner o prikupljanju osobnih podataka putem kolačića na Internet stranici https://cornarohotel.com, koja je postavljena 2021.g., te da su svi osobni podaci obrađivani u skladu s uvjetima Opće uredbe o zaštiti podataka. Svi osobni podaci da su prikupljani u skladu sa zakonom, u posebne izričite i zakonite svrhe koje su navedene prije samog prikupljanja i obrade osobnih podatka, te da su obrađivani pošteno i transparentno s obzirom na ispitanika. Prikupljeni podaci da su ograničeni samo na ono što je nužno u odnosu na svrhe koje se obrađuju, te da su obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka. Tužitelj da je sukladno traženju tuženika, a kako je to i navedeno u pobijanom rješenju, dostavio popis svih kolačića i objašnjenje za svaki od navedenih. Protivno navodima tuženika, tužitelj, kao voditelj obrade, da nije koristio zavaravajuće mrežno sučelje, te da kod ispitanika nije stvorio obmanu da se njihovi osobni podaci prikupljaju tek nakon davanja pristanka na obradu kolačića, s obzirom da je u dokumentu „politika privatnosti“ detaljno obrazložio način uporabe kolačića, te ispitanike detaljno informirao o svim privolama, u skladu s važećim zakonskim propisima. Tužitelj da je u cijelosti postupao u skladu s propisima, pa da je očigledno u postupku pogrešno i nepotpuno utvrđeno činjenično stanje i pogrešno primijenjeno materijalno pravo. U odnosu na izrečenu novčanu kaznu ističe se da je ista, čak i u slučaju da se u postupku utvrdi da je tužitelj počinio povrede koje mu se stavljaju na teret, previsoko određena, imajući u vidu svrhu postizanja generalne i specijalne prevencije, te opće uvjete za izricanje upravnih novčanih kazni iz članka 83. Opće uredbe o zaštiti podataka. U konkretnom slučaju da nije utvrđeno da bi ispitanici tužitelja pretrpjeli ikakvu štetu prilikom obrade osobnih podataka, a svi osobni podaci da su korišteni u zakonom dozvoljene svrhe, odnosno u mjeri u kojoj su potrebni, primjereni i relevantni za svrhe kojima se namjerava služiti. Tužitelj da nije postupao s namjerom kršenja, već da je držao da je postavljenim obavijestima o kolačićima u dokumentu Politika privatnosti u cijelosti postupio sukladno važećim propisima, pa da se u konkretnom slučaju, ukoliko bi se i utvrdilo postojanje povrede, radi o nedovoljnom poznavanju procedura, a obrada podataka da ne predstavlja primarnu djelatnost tužitelja, odnosno da tužitelj nije bio svjestan da ne postupa u skladu s propisima. Tužitelj da je nakon nadzornih aktivnosti od strane tuženika odmah poduzeo sve potrebne aktivnosti u svrhu korigiranja uočenog stanja, te da je odmah konfigurirao obavijest/banner o prikupljanju osobnih podataka za svojoj web stranici, na način da se kolačići ne učitavaju prije nego se da privola za njihovo korištenje. Tužitelj da nikada ranije nije kršio odredbe o zaštiti podataka, odnosno da ne postoji ranija kažnjavanost. Tužitelj da je tijekom cijelog postupka surađivao s tuženikom, dostavljao tražene podatke i odgovarao na zahtjeve tuženika; da se u konkretnom slučaju kršenje koje se tužitelju stavlja na teret ne odnosi na posebne kategorije osobnih podataka iz članaka 9. i 10. Opće uredbe, kao ni o osjetljivim kategorijama osobnih podataka koji mogu prouzročiti visok rizik za prava i slobode ispitanika. Tužitelju da nisu izrečene mjere iz članka 58. stavak 2. Opće uredbe, s obzirom da je već tijekom postupka njegovo ponašanje usklađeno u cijelosti sa zahtjevima tuženika. Tužitelj da nije ostvario nikakvu financijsku ni drugu korist, niti je izbjegao ikakav gubitak postupanjem opisanim rješenjem, odnosno kršenje koje mu se stavlja na teret da nije ni na jedan način utjecalo na financijsku poziciju tužitelja. Imajući u vidu sve navedeno, kao i okolnost da Opća uredba ne propisuje zakonski minimum, da je očito da je kazna previsoko određena. S obzirom da se tuženik osim uslužnom djelatnošću bavi i drugim djelatnostima, osnovica za obračun kazne da se trebala temeljiti na godišnjem prometu ostvarenom obavljanjem djelatnosti u nadzoru, a ne na ukupnom godišnjem prometu, radi čega da je i činjenično stanje pogrešno i nepotpuno utvrđeno, te kazna određena u daleko većem iznosu. Slijedom svega navedenog tužitelj tužbenim zahtjevom traži da se osporavano rješenje tuženika poništi i predmet vrati na ponovni postupak te da tuženik bude obvezan naknaditi mu troškove ovog upravnog spora s pripadajućim kamatama.
3.Tuženik u odgovoru na tužbu navodi da tužbeni navodi nisu osnovani. Ističe naime, da je u navedenoj upravnoj stvari postupao sukladno odredbama članka 57.stavak 1. i članka 58. stavka 1.i 2. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SLEU L119, te da je na temelju prikupljenih i dostavljenih dokaza i utvrđenih činjenica pravilno primijenio procesno i materijalno pravo i donio osporavano rješenje te da stoga i dalje ostaje kod svih navoda iznesenih u pobijanom rješenju te da još jednom naglašava kako je postupio u granicama svoje ovlasti te u skladu s odredbama Opće uredbe o zaštiti podataka, Zakona o provedbi Opće uredbe o zaštiti podataka i Zakona o općem upravnom postupku. Tuženik osporava navode tužbe ponavljajući, u bitnome, razloge obrazloženja osporavanog rješenja. Naveo je i da u cijelosti ostaje kod osporavanog rješenja iz razloga navedenih u obrazloženju istog. Predlaže da se tužbeni zahtjev kao neosnovan odbije.
4.U sporu je održavanjem rasprave te razmjenom podnesaka strankama omogućeno izjašnjavanje o svim činjenicama i pravnim pitanjima koja su predmet spora, u smislu članka 6. Zakona o upravnim sporovima ("Narodne novine" broj 36/24 – dalje: ZUS).
5.Tužitelj je po svojoj opunomoćenici na raspravi ustajao u navodima tužbe, poriče navode iz tuženikova odgovora na tužbu te posebno ističe kako u odnosu na izrečenu kaznu nije potpuno pravilno utvrđeno činjenično stanje odnosno da nisu uzete u obzir sve olakotne okolnosti na strani tužitelja.
6.Tuženik je po svom opunomoćeniku na raspravi ostao kod svih navoda iz odgovora na tužbu dodajući da samo uključenje povrede proizlazi iz korištenja certificiranog forenzičkog alata a da kolačići predstavljaju osobne podatke da potvrđuje i niz sudskih presuda. Ističe i da je u mjesecu listopadu ove godine i sud Švedske potvrdio rješenje nadzornog tijela koju su kaznili društvo Telemach sa milion eura a u odnosu na korištenje samo jednog od kolačića Google analitics a koji da, između ostalog, koristi i ovdje tužitelj. Smatra da je izrečena novčana kazna od 15.000,00 eur ura primjerena težini povrede.
7.Sud je izveo dokaze čitanjem spisa ovog upravnog spora te spisa tuženog tijela dostavljenog uz odgovor na tužbu dok je odbijen prijedlog tužitelja za izvođenjem dokaza vještačenjem po vještaku informatičke struke, kao suvišan i nepotreban, držeći da se pravilna i zakonita odluka o zakonitosti osporenog rješenja može donijeti na temelju podatka spisa predmeta. Drugih dokaznih prijedloga stranke nisu imale.
8.Tužitelj je po svom opunomoćeniku zatražio i popisao troškove ovog upravnog spora, dok tuženik to nije učinio.
9.Nakon ocjene izvedenih dokaza i razmatranja svih pravnih i činjeničnih pitanja sukladno odredbi članka 114. stavak 3. ZUS-a ovaj sud utvrđuje da je tužbeni zahtjev osnovan.
10.Predmet ovog upravnog spora je u smislu odredbe članka 3. ZUS-a ocjena zakonitosti osporavanog rješenja tuženika.
11.Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 94/56/EZ od 27. travnja 2016 (Službeni list Europske unije L119; u daljnjem tekstu: Opća uredba o zaštiti podataka) u članku 4. stavku 1., definiran je pojam "osobni podaci", a što znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
12."Obrada" znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje (članak 4. stavak 2. Opće uredbe o zaštiti podataka).
13.Člankom 4. stavkom l. točkom 11. Opće uredbe o zaštiti podataka je definirana privola kao svako dobrovoljno posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.
14.Uređujući načela obrade osobnih podataka, Opća uredba o zaštiti podataka, u članku 5. stavku 1., propisuje da osobni podaci moraju biti: (a) zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost i transparentnost”); (b) prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”); (c) primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”); (d) točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”); (e) čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., a što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih tom uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”); (f) obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”).
15.Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha, b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora, c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade, d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe, e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
16.Člankom 7. Opće uredbe o zaštiti podataka propisano je da kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svoj ih osobnih podataka. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti Od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, medu ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.
17. Informacije koje voditelj obrade u trenutku prikupljanja osobnih podataka treba dostaviti ako se ti podaci prikupljaju od ispitanika propisani su člankom 13. Opće uredbe o zaštiti podataka. Naime, člankom 13. stavkom 1. Opće uredbe o zaštiti podataka propisana je obveza za voditelja obrade da u trenutku prikupljanja osobnih podataka ispitaniku pruži sve sljedeće informacije: identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade; kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo; svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu; (d) ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane; primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosa iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje. Stavkom 2. istog članka propisano je kako voditelj obrade treba pružiti ispitaniku i dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada: razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje; postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka; ako se obrada temelji na članku 6. stavku l . točki (a) ili članku 9. stavku 2. t. (a), postojanje prava da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena; (d) pravo na podnošenje prigovora nadzornom tijelu; informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedica ako se takvi podaci ne pruže; postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
18.Člankom 43. stavkom 4. Zakona o elektroničkim komunikacijama (Narodne novine, 76/22 i 14/24) propisano je sljedeće: "Uporaba elektroničkih komunikacijskih mreža za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi krajnjeg korisnika ili korisnika dopušteno je samo u slučaju kada je taj krajnji korisnik ili korisnik dao svoju privolu, nakon što je dobio jasnu i potpunu obavijest u skladu s propisima o zaštiti osobnih podataka, i to osobito o svrhama obrade podataka. Time se ne može spriječiti tehnička pohrana podataka ili pristup podacima isključivo u svrhu obavljanja prijenosa komunikacija putem elektroničke komunikacijske mreže ili, alco je to nužno, radi pružanja usluga informacijskog društva na izričit zahtjev krajnjeg korisnika ili korisnika"
19.Iz obrazloženja osporavanog rješenja odnosno iz podataka spisa tuženog tijela dostavljenog uz odgovor na tužbu proizlazi, a što ni tužitelj ne osporava:
-da je tužena u konkretnom slučaju po službenoj dužnosti pokrenula postupak te provela nadzorne aktivnosti na Internet stranici tužitelja, kao voditelja obrade, odnosno na obradu osobnih podataka ispitanika/posjetitelja Internet stranica putem kolačića (eng. cookies) koje su male datoteke koje Internet preglednik pohranjuje na računalo, mobilni uređaj ili neki drugi uređaj kojim je ispitanik posjetio Internet stranice te na taj način pamte i prate njegove daljnje radnje na Internet stranicama, a koja je obrada odnosna i na aspekte osobnih podataka.
-da je, nakon provedenih nadzornih aktivnosti, tužitelj, na traženje tužene od 1. prosinca 2023., dostavio dana 21. prosinca 2023. očitovanje i popratnu dokumentaciju te popis kolačića i objašnjenja za svaki od kolačića te se u tom očitovanju, između ostalog, navodi kako su posjetitelji stranice informirani o svrsi obrade osobnih podataka za svaku vrstu kolačića u dokumentu „politika privatnosti"; kako se osobni podaci posjetitelja obrađuju putem kolačića za koje je potrebno dobiti privolu za obradu na način da su isti već unaprijed označeni/omogućeni da se prihvaćaju iz razloga što su ti podaci potrebni za rad mrežne stranice prema posjetitelju; kako je Internet stranica https://cornarohotel.com izrađena od strane zaposlenika tvrtke tužitelja 2021. godine, a obavijest/banner o prikupljanju osobnih podataka putem kolačića da je na istoj postavljena 2021. godine; kako informaciju i dokaz o ukupnom broju posjetitelja Internet stranice https://cornarohotel.com ima samo za posljednjih 30 dana instalacijom plug-ina te da samostalno posluje i donosi odluke te kako je dana 21.prosinca 2023. konfigurirao stranicu da ne učitava kolačiće prije nego se da privola za njihovo korištenje.
-da je tužitelj, na traženje tužene od 15. veljače 2024., dostavio dana 26. veljače 2024. i dodatno očitovanje i popratnu dokumentaciju, u kojem je, između ostalog, dostavljena poveznica i screenshot da je 2021. postavljena obavijest/banner o prikupljanju osobnih podataka putem kolačića na internet stranici https://cornarohotel.com, kao i dokaz da je stranica konfigurirana dana 21. prosinca 2023. da se ne učitavaju kolačići prije nego se da privola za njihovo korištenje; naveo je i kako za ukupan broj posjetitelja Internet stranice https://cornarohotel.com do 22. studenog 2023. nisu imali analitiku koja to prati pa isto da nisu u mogućnosti dostaviti; da je uz očitovanje dostavljena i dokumentacija: screenshot zaslona iz 2021. godine na kojem je prikazana postavljena obavijest/banner o prikupljanju osobnih podataka putem kolačića na internet stranici, prikaz rezultata skeniranja za Internet stranicu (korištenje alata Cookiebot by Usercentrics) od dana 21.12.2023. da je ista konfigurirana i da ne učitava kolačiće prije nego se da privola za njihovo korištenje.
20.Tijekom nadzornih aktivnosti od strane tužene je utvrđeno da je tužitelj u periodu od 20. prosinca 2021. pa do 21.prosinca 2023., obrađivao osobne podatke ispitanika u statističke i marketinške svrhe bez traženja privole za obradu osobnih podatka za svrhe koje nisu nužne za pravilno funkcioniranje Internet stranica te da je tužitelj i prije nego što su ispitanici dali svoju privolu za prikupljanje kolačića, iste pohranio na terminalnoj opremi korisnika/ispitanika još u trenutku inicijalnog učitavanja stranice te su tako prikupljani osobni podaci ispitanika. To je, a kako to tuženik pravilno navodi, bilo nepošteno jer ispitanici nisu niti znali da se već u trenutku pristupa mrežnoj stranici prikupljaju njihovi osobni podaci na prikriven način. Tuženik pravilno navodi da je tužitelj koristio zavaravajuće mrežno sučelje koje je kod ispitanika stvorilo obmanu da se njihovi osobni podaci putem kolačića prikupljaju tek nakon davanja pristanka na obradu kolačića čime je došlo do nepoštene obrade osobnih podataka ispitanika, a što je protivno temeljnom načelu zaštite osobnih podataka, odnosno načelu zakonite, poštene i transparentne obrade osobnih podataka iz članka 5. stavka 1. Opće uredbe o zaštiti podataka. U konkretnom slučaju privola kao primjenjiva pravna osnova za obradu osobnih podataka iz članka 6. stavka 1. točke (a) nije udovoljavala pravnim preduvjetima valjanosti iz članka 7. Opće uredbe o zaštiti podataka. Naime, privola u situacijama kada obrada osobnih podataka koja se temelji na istoj ima višestruke svrhe (npr. marketing, analiza/statistika) tada tekst privole (u ovom slučaju tzv. cookie banner - prvotna obavijest o kolačićima) mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja (svrha), u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio izjave koji nije prezentiran na takav način nije obvezujući. Ako je voditelj obrade spojio nekoliko svrha za obradu, a nije pokušao tražiti zasebnu privolu za svaku svrhu, privola tada nije dobrovoljna. Razdvajanjem svrha privole postiže se njezina granularnost koja u konačnici omogućuje ispitanicima nadzor nad obradom njihovih osobnih podataka te im se omogućuje transparentnost u pogledu pregleda svih svrha u koje će se obrađivati njihovi osobni podaci. Nepoštivanjem uvjeta granularnosti i informiranosti privola niti ne može biti dobrovoljna te ista ne ispunjava pravne preduvjete valjanosti iz članka 7. Opće uredbe o zaštiti podataka. Budući da u konkretnom slučaju voditelj obrade nije razdvojio tzv. cookie banner te omogućio ispitanicima jasno davanje privole u različite svrhe (marketing, analitika/statistika) proizlazi da privola nije zadovoljila gore navedene pravne preduvjete te da samim time ista nije valjana kao pravna osnova iz članka 6. stavka l. točke (a) Opće uredbe o zaštiti podataka. Navedenim načinom došlo je do povrede odredbi članka 6. stavka 1. točke (a) te s tim u svezi članka 7. Opće uredbe o zaštiti podataka.
21.Suprotno tvrdnjama tužitelja posjetitelji/ispitanici u konkretnom slučaju nisu bili informirani o svrsi obrade osobnih podataka za svaku vrstu kolačića. Ovo stoga što je dokument „Politika privatnosti“ – Izjava o zaštiti osobnih podataka tužitelja općenit te ne sadrži informacije o pravnoj osnovi, skupinama/vrstama kolačića, funkciji/svrsi svakog kolačića, razdoblju pohrane kolačića te je time došlo do kršenja članka 13. stavka 1. i 2. Opće uredbe o zaštiti podataka. Činjenica je da je tužitelj u svojim očitovanjima od 21. prosinca 2023. i 26. veljače 2024. naveo da je na stranici dana 21. prosinca 2023. konfigurirana obavijest/banner o prikupljanju osobnih podataka putem kolačića na Internet stranici https://cornarohotel.com. Tužitelj je o tome dostavio i dokaz - prikaz rezultata skeniranja za Internet stranicu korištenjem alata Cookiebot by Usercentrics od dana navedenog dana iz kojeg je razvidno da je ista konfigurirana te da ne učitava kolačiće prije nego se da privola za njihovo korištenje. Činjenica je da tužitelj i u tužbi navodi da je nakon nadzornih aktivnosti od strane tužene poduzeo sve potrebne aktivnosti u svrhu korigiranja uočenog stanja te da je odmah konfigurirao obavijest/baner o prikupljanju osobnih podataka na svojoj stranici na način da se kolačići ne učitavaju prije nego se da privola za njihovo korištenje. Uzevši u obzir sve izloženo nisu osnovani navodi tužitelja da su svi osobni podaci prikupljani u skladu sa zakonom i u zakonite svrhe te da su obrađivani pošteno i transparentno.
22.U odnosu na izrečenu kaznu odnosno visinu iste tuženik se pozvao na odredbu članka 83. stavka 5. Opće uredbe o zaštiti podataka, te je prilikom odmjeravanja iste uzeo u obzir sve otegotne i olakotne okolnosti predmetnog slučaja, a što je vrlo iscrpno i obrazložio.
23.Naime, člankom 83. stavkom 1. Opće uredbe o zaštiti podataka propisano je da svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.
24.Odredbom članka 83. stavak 2. Opće uredbe o zaštiti osobnih podataka propisano je da se upravne novčane kazne izriču uz mjere ili umjesto mjera iz članka 58. stavka 2. točka od (a) do (h) i članka 58. stavka 2. točke (j) ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem: (a) prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli; (b) ima li kršenje obilježje namjere ili nepažnje; svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici; stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.; svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade; stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja; kategorijama osobnih podataka na koje kršenje utječe; načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju; ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera; poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42. i svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.
25.Člankom 83. stavak 5. Opće uredbe o zaštiti podataka je propisano da se za kršenja obveza voditelja i izvršitelja obrade u skladu s člancima 6. stavak 1., 7., i 13. stavak 1. i 2. Opće uredbe o zaštiti podataka mogu izreći upravne novčane kazne u iznosu do 20.000.000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
26.Tuženik je u konkretnom slučaju vodio računa o kriterijima propisanim člankom 83. stavak 2. Opće uredbe o zaštiti podataka kao i o tome da odabrana mjera bude učinkovita, proporcionalna i odvraćajuća. Naime, tuženik pravilno navodi da izrečena novčana kazna ne može biti odvraćajuća ako nema financijskog utjecaja na tužitelja jer se istom želi postići da se poštuju pravila o zaštiti osobnih podataka, a što ovdje nije bio slučaj. Činjenica je naime da je tužitelj u periodu od 20. prosinca 2021. pa do 21. prosinca 2024. putem Internet stranice prikupljao i obrađivao osobne podatke posjetitelja/ispitanika putem kolačića bez pravne osnove te da isti nije informirao ispitanike sukladno načelu transparentnosti. Kako je gore navedeno utvrđeno je da su ispitanicima dane općenite upute odnosne na kolačiće te je tuženik pravilno smatrao da se u predmetnom slučaju radi o nepažnji. No, ostaje činjenica da je tužitelj tek nakon nadzornih aktivnosti poduzeo potrebne radnje u svrhu korigiranja utvrđenog stanja, a kako je to sve gore pojašnjeno. Stoga navodi tužitelja kako nije utvrđeno da bi u konkretnom slučaju ispitanici tužitelja pretrpjeli bilo kakvu štetu, da tužitelj nije postupao s namjerom kršenja propisa i slično, nisu od utjecaja na rješavanje ove upravne stvari.
27.Nadalje, tuženik je uvidom u sudski registar utvrdio da godišnji promet tužitelja na temelju financijskog izvješća za 2023. iznosi 13.463.825,04 EUR, a 4[0] /0 tog iznosa je 538.553,002 EUR, odnosno manje od 20.000.000,00 EUR (iznos koji predstavlja gornju granicu za izricanje novčane upravne kazne). Tužitelj ne spori utvrđeni godišnji promet za 2023. godinu. Tužitelju je osporavanim rješenjem, radi kršenja citiranih članaka Opće uredbe o zaštiti podataka izrečena upravna novčana kazna u iznosu od 15.000,00 eur a što čini 0,075% u odnosu na navedeni maksimalni iznos upravne novčane kazne.
28.Uzimajući u obzir sva prednja utvrđenja, godišnji prihod tužitelja a imajući u vidu i prekršene, gore citirane, odredbe Opće uredbe o zaštiti podataka, izrečena upravna novčana kazna u konkretnom slučaju je po ocjeni ovoga suda primjerena te će ista dovesti do toga da tužitelj u budućnosti pravovremeno i odgovarajuće ispunjava svoje obveze u području zaštite osobnih podataka.
29.Tuženik je, suprotno navodima tužitelja, u postupku pravilno i potpuno utvrdio činjenično stanje te je pravilno primijenio materijalno pravo. Isti je naime u obrazloženju osporavanog rješenja iznio valjane i dostatne razloge bitne za odlučivanje u postupku radi zaštite osobnih podataka te je pravilno primijenio materijalno pravo. Ovaj sud stoga u cijelosti prihvaća obrazloženje tuženika te smatra da osporavanim rješenjem nije povrijeđen zakon na štetu tužitelja.
30.Obzirom na sva prednja utvrđenja ovaj sud nije smatrao potrebnim provoditi dokaz vještačenjem po vještaku informatičke struke pa je navedeni dokazni prijedlog tužitelja odbijen.
31.Slijedom svega navedenog je temeljem odredbe članka 116. ZUS-a zahtjev tužitelja je valjalo kao neosnovan odbiti odnosno odlučiti kao pod točkom I. izreke presude.
32.Obzirom da tužitelj nije uspio u ovom upravnom sporu to je temeljem odredbe članka 147. stavak 1. ZUS-a valjalo odbiti i zahtjev tužitelja za naknadom troškova ovog upravnog spora odnosno odlučiti kao pod točkom II. izreke ove presude.
U Splitu, 19. siječnja 2026.
S U D A C
Marica Goreta
UPUTA O PRAVNOM LIJEKU:
Protiv ove presude dopuštena je žalba Visokom upravnom sudu Republike Hrvatske. Žalba se podnosi putem ovog suda u dovoljnom broju primjeraka za sud i sve stranke u sporu, u roku od 15 dana od dana dostave.
DNA:
-tužitelju putem opunomoćenika,
-tuženiku,
-u spis.