REPUBLIKA HRVATSKA
UPRAVNI SUD U ZAGREBU
Zagreb, Avenija Dubrovnik 6
Poslovni broj: Us I-1436/2025-5
U I M E R E P U B L I K E H R V A T S K E
P R E S U D A
Upravni sud u Zagrebu, po sucu toga suda Anti Drezgi te Branki Crnogorac, zapisničarki, u upravnom sporu tužitelja Klinički bolnički centar Zagreb, Zagreb, Kišpatićeva 12, OIB: 46377257342, protiv tuženika Agencije za zaštitu osobnih podataka, Zagreb, Ulica Metela Ožegovića 16, OIB: 28454963989, radi upravno novčane kazne, 3. veljače 2026.,
p r e s u d i o j e
I. Odbija se tužbeni zahtjev za poništavanje rješenja Agencije za zaštitu osobnih podataka, KLASA: UP/I-034-01/24-01/34, URBROJ: 576-04-01/08-24-1 od 23. prosinca 2024. u točki 2., 3., 4. i 5. izreke.
II. Odbija se zahtjev tužitelja za naknadu troškova upravnog spora.
Obrazloženje
1. Osporavanim rješenjem tuženika, KLASA: UP/I-034-01/24-01/34, URBROJ: 576-04-01/08-24-1 od 23. prosinca 2024., riješeno je: „1. Utvrđuje se da je nepoduzimanjem odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka od strane voditelja obrade Klinički bolnički centar Zagreb, Ulica Mije Kišpatića 12, 10000 Zagreb, odnosno postupanjem protivno članku 32. stavku 1. točke b) i d) te stavku 2. Opće uredbe o zaštiti podataka, došlo do kršenja sigurnosti koje je dovelo do neovlaštenog pristupa osobnim podacima ispitanika. 2. Za kršenje opisano u točki 1. izreke ovog rješenja, u skladu s odredbama članka 83. stavka 2. i stavka 4. točke a) Opće uredbe o zaštiti podataka, izriče se voditelju obrade Kliničkom bolničkom centru Zagreb, Ulica Mije Kišpatića 12, 10000 Zagreb, upravna novčana kazna u iznosu od 20.000,00 EUR (slovima: dvadesettisućaeura). 3. Voditelj obrade Klinički bolnički centar Zagreb, Ulica Mije Kišpatića 12,10000 Zagreb dužno je platiti izrečenu upravnu novčanu kaznu u korist državnog proračuna u roku od 15 dana od dana pravomoćnosti ovog rješenja u korist računa broj: [broj bankovnog računa], model HR64 i poziv na broj odobrenja 6092-25860-46377257342 s naznakom - “upravne novčane kazne koje izriče AZOP”. 4. Ukoliko voditelj obrade Klinički bolnički centar Zagreb, Ulica Mije Kišpatića 12, 10000 Zagreb, u roku od 15 dana od pravomoćnosti ovog rješenja ne plati izrečenu upravnu novčanu kaznu, Agencija će sukladno članku 46. stavku 2. Zakona o provedbi Opće uredbe o zaštiti podataka obavijestiti Područni ured Porezne uprave Ministarstva financija na čijem je području sjedište navedenog društva radi naplate upravne novčane kazne prisilnim putem prema propisima o prisilnoj naplati poreza. 5. Voditelj obrade Klinički bolnički centar Zagreb, Ulica Mije Kišpatića 12, 10000 Zagreb, je dužan u roku od 15 dana od izvršene uplate dostaviti dokaz o uplati na uvid ovoj Agenciji.“
2. Tužitelj u tužbi u bitnom osporava zakonitost rješenja tuženika u dijelu pod točkama 2., 3., 4. i 5. izreke kojima mu je izrečena upravna novčana kazna u iznosu od 20.000,00 EUR, zbog pogrešno i nepotpuno utvrđenog činjeničnog stanja, pogrešne primjene materijalnog prava i bitne povrede pravila upravnog postupka. U bitnome navodi da je nakon kibernetičkog incidenta pravodobno izvijestio tuženika i druga nadležna tijela, aktivno surađivao u postupku nadzora te poduzeo niz tehničkih i organizacijskih mjera radi sanacije posljedica i ublažavanja mogućih štetnih učinaka. Ističe da je kontinuitet pružanja zdravstvene zaštite bio osiguran te da je dostupnost sustava i podataka uspostavljena u kratkom roku. Ključni prigovor tužitelja odnosi se na njegov pravni status. Smatra da ga je tuženik pogrešno kvalificirao kao “poduzetnika” u smislu članka 83. Opće uredbe o zaštiti podataka te na toj osnovi primijenio režim upravnih novčanih kazni vezan uz promet gospodarskih subjekata. Tužitelj tvrdi da je javna zdravstvena ustanova čiji je osnivač Republika Hrvatska, da obavlja zdravstvenu djelatnost kao javnu službu te da ima status tijela javne vlasti i proračunskog korisnika. Poziva se na Zakon o ustanovama, Zakon o zdravstvenoj zaštiti, Zakon o proračunu te Zakon o pravu na pristup informacijama. Dalje ističe da člankom 83. stavkom 7. Opće uredbe o zaštiti podataka državama članicama ostaje mogućnost uređenja režima kazni za tijela javne vlasti, a da je nacionalni zakonodavac Zakonom o provedbi Opće uredbe o zaštiti podataka propisao posebna ograničenja u pogledu izricanja upravnih novčanih kazni javnim tijelima, uključujući zabranu izricanja takvih kazni tijelima javne vlasti. Slijedom toga smatra da u konkretnom slučaju nije postojala zakonska osnova za izricanje upravne novčane kazne. Predlaže da sud usvoji tužbu, poništi osporene točke rješenja i predmet vrati tuženiku na ponovni postupak.
3. Tuženik u odgovoru na tužbu u bitnom osporava sve tužbene navode i predlaže odbiti tužbu kao neosnovanu te potvrditi osporeno rješenje. Navodi da je pobijanim rješenjem od 23. prosinca 2024. utvrđeno da je tužitelj nepoduzimanjem odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka povrijedio članak 32. Opće uredbe o zaštiti podataka, zbog čega mu je izrečena upravna novčana kazna od 20.000,00 EUR, te da je postupak proveden sukladno Općoj uredbi o zaštiti podataka, Zakonu o provedbi Opće uredbe o zaštiti podataka i Zakonu o općem upravnom postupku. U odnosu na ključni tužbeni prigovor o statusu tužitelja, tuženik ističe da tužitelj nije obuhvaćen pojmom „tijela javne vlasti“ u smislu članka 3. Zakona o provedbi Opće uredbe o zaštiti podataka. Poziva se na mišljenje Ministarstva uprave iz 2018. prema kojem se tijelima javne vlasti u smislu tog Zakona smatraju tijela državne uprave i druga državna tijela te jedinice lokalne i područne samouprave, pri čemu tužitelj kao zdravstvena ustanova nije obuhvaćen tom definicijom. Slijedom toga, prema stajalištu tuženika, na tužitelja se ne primjenjuje zabrana iz članka 47. navedenog Zakona, te nije postojao zakonski razlog koji bi isključivao izricanje upravne novčane kazne. Tuženik nadalje navodi da se u osporenom rješenju pojam „poduzetnika“ navodi radi konteksta metodologije izricanja kazne, ali da kvalifikacija tužitelja kao poduzetnika nije bila odlučna za samo postojanje odgovornosti, već je odlučno bilo utvrđenje da je tužitelj pravna osoba kojoj se može izreći upravna novčana kazna. Ističe da je prilikom određivanja visine kazne uzeo u obzir status tužitelja kao javne zdravstvene ustanove i primijenio ograničenje iz članka 44. stavka 2. Zakona o provedbi Opće uredbe o zaštiti podataka, vodeći računa da kazna ne ugrozi obavljanje javne službe. Navodi da su za istovrsne povrede drugim voditeljima obrade izricane znatno više kazne, što pokazuje da je visina kazne prilagođena okolnostima konkretnog slučaja. Tuženik također ističe da smjernice Europskog odbora za zaštitu podataka nemaju obvezujuću pravnu snagu, već savjetodavni karakter, te da ne mogu derogirati odredbe nacionalnog zakona. Zaključno, tuženik smatra da je rješenje zakonito i pravilno, da je kazna izrečena u okviru zakonskih ovlasti i uz pravilnu primjenu materijalnog prava, te predlaže sudu odbiti tužbu i potvrditi rješenje.
4. Ocjenjujući zakonitost osporavanog rješenja Sud je pregledao sudski spis i spis tuženika te je održao usmenu i javnu raspravu.
5. Tužbeni zahtjev nije osnovan.
6. Iz spisa predmeta proizlazi da je tuženik proveo nadzorni postupak povodom sigurnosnog incidenta kod tužitelja te utvrdio povredu članka 32. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU LI 19. Tužitelj ne osporava točku 1. izreke osporavanog rješenja, odnosno postojanje povrede članka 32. Opće uredbe o zaštiti podataka, već osporava isključivo zakonitost izricanja upravne novčane kazne, pozivajući se ponajprije na svoj status javne zdravstvene ustanove te na pogrešno utvrđenje i primjenu pravnih pretpostavki za izricanje kazne. Stoga je predmet sudske kontrole u ovom sporu ograničen na pitanje postoji li pravna osnova i zakonska dopuštenost izricanja upravne novčane kazne tužitelju, te je li tuženik pri donošenju osporenog dijela izreke pravilno primijenio mjerodavne materijalnopravne odredbe.
7. Sukladno članku 83. stavku 7. Opće uredbe o zaštiti podataka, državama članicama prepušteno je da nacionalnim pravom odrede mogu li se i u kojoj mjeri tijelima javne vlasti izricati upravne novčane kazne.
7.1. Zakon o provedbi Opće uredbe o zaštiti podataka (Narodne novine, broj 42/18.) sadrži odredbe o izricanju upravnih novčanih kazni (članci 44. – 46.), a propisao je, među ostalim, ograničenje iz članka 44. stavka 2. za pravne osobe s javnim ovlastima ili pravne osobe koje obavljaju javnu službu jer kazna ne smije ugroziti obavljanje javne ovlasti/javne službe te zabranu iz članka 47. za tijela javne vlasti.
7.2. Dakle, Zakon razlikuje tijela javne vlasti (članak 47.), kojima se ne može izreći upravna novčana kazna te pravne osobe koje obavljaju javnu službu (članak 44. stavak 2.), kojima se kazna može izreći, ali izrečena kazna ne smije ugroziti obavljanje javne službe.
8. Tužitelj je javna zdravstvena ustanova čiji je osnivač Republika Hrvatska te obavlja zdravstvenu djelatnost kao javnu službu. Međutim, iz sustavne strukture Zakona o provedbi Opće uredbe o zaštiti podataka proizlazi da nacionalni zakonodavac razlikuje tijela javne vlasti, kojima se prema članku 47. ne može izreći upravna novčana kazna, i pravne osobe koje obavljaju javnu službu ili imaju javne ovlasti, za koje članak 44. stavak 2. izričito propisuje posebnu zaštitnu klauzulu (kazna ne smije ugroziti obavljanje javne službe), što pretpostavlja da izricanje kazne tim subjektima nije apriorno isključeno. Pojam „tijela javne vlasti“ nije jedinstven u svim zakonima, nego se tumači u okviru konkretnog zakona. Pojam „tijela javne vlasti“ u smislu članka 47. Zakona odnosi se na tijela državne uprave, druga državna tijela te jedinice lokalne i područne samouprave kako je to propisano odredbom članka 3. stavka 2. Zakona, dok pravne osobe koje obavljaju javnu službu nisu obuhvaćene tom kategorijom. Da je zakonodavac namjeravao izuzeti sve javne ustanove od izricanja kazni, zabranu bi vezao uz širi krug subjekata (primjerice sve pravne osobe koje obavljaju javnu službu). Budući da je zabrana iz članka 47. vezana uz uži pojam „tijela javne vlasti“, dok se člankom 44. stavkom 2. zasebno uređuje položaj pravnih osoba koje obavljaju javnu službu, zaključuje se da tužitelj kao javna zdravstvena ustanova spada u krug subjekata iz članka 44. stavka 2., a ne u krug iz članka 47. Zakona. Slijedom navedenog, ne postoje zakonske zapreke da se tužitelju, kao pravnoj osobi koja obavlja javnu službu, izrekne upravna novčana kazna, uz obvezu da njezina visina bude odmjerena tako da ne ugrozi obavljanje javne službe.
9. Tužitelj u bitnome ističe da ga je tuženik pogrešno kvalificirao kao „poduzetnika“ (gospodarsku jedinicu koja obavlja gospodarsku djelatnost) te da je na toj osnovi pogrešno pristupio utvrđivanju gornje granice kazne i metodologiji njezina izračuna. Tužitelj pritom upućuje na smjernice Europskog odbora za zaštitu podataka (EDPB) 04/2022 te navodi da se metodologija izračuna ne primjenjuje na tijela javne vlasti kada ne djeluju kao poduzetnici i kada nacionalno pravo predviđa drukčije zakonske maksimume.
10. Sud ističe da prigovor o tome je li tužitelj „poduzetnik“ nije odlučan u smislu dopuštenosti izricanja kazne, jer se dopuštenost izricanja upravne novčane kazne u hrvatskom pravnom poretku u ovom segmentu prvenstveno rješava kroz članak 47. Zakona (zabrana samo za tijela javne vlasti) i članak 44. stavak 2. Zakona (ograničenje visine kazne za pravne osobe koje obavljaju javnu službu). Drugim riječima, čak i ako tužitelj ne bi bio „poduzetnik“ u smislu prava tržišnog natjecanja, to samo po sebi ne bi značilo da se kazna ne može izreći, ako nije obuhvaćen zabranom iz članka 47. Zakona.
11. Stoga se pitanje „poduzetnika“ može pojaviti kao relevantno u kontekstu određivanja maksimalnih granica kazne iz članka 83. stavka 4. Opće uredbe (10.000.000 EUR ili 2% prometa, ovisno što je veće), no ne kao uvjet same mogućnosti izricanja kazne.
12. Iz obrazloženja osporenog rješenja proizlazi da je tuženik, pozivajući se na uvodnu izjavu 150. Opće uredbe i na koncept „poduzetnika“ iz prava EU, razmatrao gornju granicu propisane kazne te usporedio izrečenu kaznu s maksimalno mogućim iznosom. Pri tome je tuženik naveo i podatke o ukupnim godišnjim prihodima tužitelja te izračun 2% tog iznosa.
13. Međutim, sama činjenica da je tuženik razmotrio gornju granicu kazne ne znači da je pretpostavku izricanja kazne utemeljio na tome je li tužitelj poduzetnik, niti iz rješenja proizlazi da je tužitelj smatran „poduzetnikom“ radi sankcioniranja, već radi ilustracije maksimalnog okvira kazne predviđenog člankom 83. stavkom 4. Opće uredbe.
14. U konkretnom slučaju tuženik je izrekao kaznu od 20.000,00 EUR, što je višestruko ispod i fiksnog maksimuma od 10.000.000 EUR, a neovisno o razmatranju 2% prometa. Stoga, čak i kada bi se prihvatilo da tužitelj ne ulazi u pojam „poduzetnika“ u smislu uvodne izjave 150. i prava tržišnog natjecanja, to ne bi utjecalo na zakonitost odluke u konkretnom slučaju, budući da kazna ni po jednom kriteriju nije blizu maksimalnih granica, a njezina dopuštenost proizlazi iz nacionalnog zakona.
15. U pogledu pozivanja tužitelja na smjernice Europskog odbora za zaštitu podataka (EDPB) 04/2022, sud ističe da se radi o dokumentima koji služe ujednačavanju prakse i tumačenju pojedinih instituta, no ne predstavljaju izvor prava u hrvatskom pravnom poretku niti imaju snagu zakonskog ili podzakonskog propisa. One mogu biti pomoćno interpretativno sredstvo, ali ne mogu derogirati izričite odredbe nacionalnog zakona koji je donesen temeljem ovlasti iz članka 83. stavka 7. Opće uredbe.
16. Usto, i prema sadržaju na koji se tužitelj poziva, smjernice problematiziraju primjenu metodologije 2% prometa na tijela javne vlasti kada nacionalno pravo predviđa posebne režime. Međutim, kako je već navedeno, hrvatski zakonodavac nije izuzeo pravne osobe koje obavljaju javnu službu od mogućnosti izricanja kazne, već je propisao ograničenje iz članka 44. stavka 2. Stoga pozivanje na smjernice ne dovodi u pitanje dopuštenost kazne, već eventualno može biti relevantno kao pomoć pri odmjeravanju, što je u ovom slučaju tuženik razmatrao kroz članak 44. stavak 2. Zakona.
17. Slijedom navedenog, sud ocjenjuje da prigovor tužitelja o pogrešnoj kvalifikaciji kao „poduzetnika“ ne dovodi u pitanje zakonitost osporenog dijela rješenja jer mogućnost izricanja kazne ne ovisi o toj kvalifikaciji, već o tome je li tužitelj tijelo javne vlasti u smislu članka 47. Zakona (što tužitelj nije), te jer je kazna odmjerena u okviru koji ne ugrožava javnu službu, sukladno članku 44. stavku 2. Zakona, a sama visina kazne ne pokazuje da bi tuženik kaznu odmjerio polazeći od režima „2% prometa“ kao odlučnog kriterija.
18. Budući da tužitelj nije tijelo javne vlasti u smislu članka 47. Zakona o provedbi Opće uredbe o zaštiti podataka, tuženik je bio ovlašten izreći upravnu novčanu kaznu. Nadalje, iz obrazloženja osporenog rješenja proizlazi da je tuženik pri određivanju visine kazne uzeo u obzir posebnu zakonsku zaštitu propisanu člankom 44. stavkom 2. Zakona, odnosno da kazna ne smije ugroziti obavljanje javne službe.
20. Sud nalazi da iznos kazne od 20.000,00 EUR, uzimajući u obzir opseg i težinu povrede sigurnosti obrade (članak 32. Opće uredbe), velik broj korisničkih pristupa i prirodu podataka koji se obrađuju, nije nerazmjeran, a ujedno je dovoljno nizak da ne ugrožava obavljanje javne službe tužitelja u smislu članka 44. stavka 2. Zakona. Pri tome je tuženik u obrazloženju naveo okolnosti koje je cijenio kao olakotne (suradnja s nadzornim tijelom i postupanje nakon incidenta), što Sud prihvaća kao relevantno za odmjeravanje kazne.
21. Sud ne nalazi da su u osporenom dijelu rješenja ostvarene povrede materijalnog prava na koje upire tužitelj, niti da su počinjene bitne povrede postupka koje bi imale za posljedicu nezakonitost izreke o kazni.
22. Slijedom navedenog, ovaj Sud je utvrdio da je osporavano rješenje u pobijanom dijelu zakonito.
23. S obzirom na sve naprijed navedeno odlučeno je kao u točki I. izreke ove presude primjenom odredbe članka 116. stavak 1. Zakona o upravnim sporovima (Narodne novine, broj: 36/24., dalje ZUS).
24. O troškovima upravnog spora, Sud je odlučio na temelju odredbe članka 147. stavka 1. ZUS-a, prema kojoj stranka koja izgubi spor u cijelosti snosi sve troškove spora, ako zakonom nije drukčije propisano. Kako tužitelj nije uspio u ovom upravnom sporu, nema zakonskog osnova udovoljiti njegovom zahtjevu za nadoknadu troškova upravnog spora. Stoga je Sud odlučio kao u točki II. izreke.
U Zagrebu, 3. veljače 2026.
Sudac:
Ante Drezga
Uputa o pravnom lijeku:
Protiv ove presude dopuštena je žalba Visokom upravnom sudu Republike Hrvatske. Žalba se podnosi putem ovog suda u roku od 15 dana od dana dostave presude.
DNA:
1. Klinički bolnički centar Zagreb – elektroničkim putem
2. Agencija za zaštitu osobnih podataka, [adresa] Zagreb, Ulica Metela Ožegovića 16
3. U spis