Predmet analize ovog članka odluka je Suda Europske unije (dalje u tekstu: Sud EU-a) u predmetu C-526/24 donesena 19. ožujka 2026. godine.
Pravo na zaštitu osobnih podataka nije apsolutno pravo već ga se mora razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti.1
U tom okviru, pravo na pristup osobnim podacima iz čl. 15. Uredbe2 predstavlja jedno od temeljnih jamstava zaštite osobnih podataka te ključni preduvjet za ostvarivanje svih ostalih prava ispitanika3. Ono omogućuje ispitaniku da sazna obrađuju li se uopće njegovi osobni podaci, u koje svrhe i kojom količinom čime ujedno čini polazišnu točku za ostvarivanje prava na ispravak, brisanje, ograničavanje obrade osobnih podataka kao i za podnošenje prigovora nadzornom tijelu.
Koje su granice ograničenja tog prava, pitanje je kojim se u presudi naziva Brillen Rottler, C-526/24 od 19. ožujka 2026.4 bavio Sud EU-a.
U nastavku rada autor najprije izlaže relevantne činjenice, potom prikazuje pravnu analizu Suda EU-a, dok se u završnom dijelu iznosi autorov komentar i kritički osvrt kako na potrebitost takvog zaključka suda, tako i na utjecaj navedene presude na predložene izmjene Europske komisije u sklopu Digital Omnibus-a, kojim se nastoji racionalizirati, pojednostaviti, razjasniti i unaprijediti pravna stečevina Europske unije (dalje: EU)5 u pogledu digitalnog zakonodavstva, pri čemu se, među ostalim, razmatra i uvođenje dodatnih ograničenja prava na pristup.
2. ČinjeniceU okolnostima konkretnog slučaja, TC je fizička je osoba koja živi u Austriji i koja se pretplatila na informativni bilten društva Brillen Rottler. Trinaest dana kasnije, osoba TC je društvu Brillen Rottler uputila zahtjev za pristup temeljem čl. 15. Uredbe.6
Društvo Brillen Rottler u zakonskom je roku odbilo zahtjev za pristup, dok je osoba TC ustrajala oko svog zahtjeva potražujući i zahtjev za naknadu štete. U takvim okolnostima društvo Brillen Rottler pokrenulo je postupak pred nadležnim sudom radi utvrđenja da TC nema pravo na zahtijevanu naknadu štete.7
U prilog osnovanosti svojeg zahtjeva društvo Brillen Rottler isticalo je da je iz raznih internetskih članaka, odvjetničkih biltena i reportaža uvidjelo da osoba TC podnosi zahtjeve za pristup svojim osobnim podacima s isključivim ciljem ostvarivanja naknada zbog navodnog kršenja koje namjerno prouzrokuje, prava koja ima na temelju Uredbe.8
Nacionalni sud koji je uputio zahtjev postavio je pitanje može li se prvi zahtjev za pristup koji je podnio ispitanik smatrati „pretjeranim zahtjevom“ u smislu čl. 12. st. 5. Uredbe i samim time predstavljati zlouporabu prava, te na temelju kojih se okolnosti može utvrditi takva pretjeranost, odnosno mogu li te okolnosti biti upravo razni internetski članci, odvjetnički bilteni i reportaže kojim se dokazuje postojanje brojnih zahtjeva za pristup i naknadu štete koje je isti ispitanik podnio drugim voditeljima obrade osobnih podataka.9
Osim navedenog, nacionalni sud uputio je i pitanja koja se odnose na tumačenje pojma štete u smislu čl. 82. Uredbe, kao i na kriterije za utvrđivanje štete na temelju te odredbe. Ta pitanja, međutim, neće biti predmet detaljnije analize u ovom radu.
3. Obrazloženje Suda EU-aPrije svega, potrebno je još jednom napomenuti da je pravo na pristup jedno od temeljnih prava koje je dostupno ispitanicima, a koje proizlazi iz poglavlja III. Uredbe. Koliko je ovo pravo važno u kontekstu ostvarivanja svih drugih prava iz poglavlja III. Uredbe (pravo na ispravak, pravo na ograničenje obrade, pravo na pritužbu, pravo na brisanje) govori i činjenica da je ono izravno zajamčeno primarnim pravom EU-a, konkretno u čl. 8. st. 2. Povelje Europske unije o temeljnim pravima.10
U skladu s ranije spomenutom uvodnom izjavom br. 4. Uredbe11 pravo na zaštitu osobnih podataka, a čiji sastavni dio čini pravo na pristup, nije apsolutno pravo, stoga se ono može ograničiti jedino uz poštovanje načela proporcionalnosti te uz nužno usklađivanje s drugim temeljnim pravima i interesima sudionika pravnog odnosa uspostavljenog Uredbom.
Unutar tog normativnog okvira jasno se očituje postojanje suprotstavljenih interesa. Naime, dok ispitanik ima pravo zahtijevati pristup svojim osobnim podacima, uključujući i informacije predviđene čl. 15. st. 1. Uredbe, tom se pravu suprotstavlja interes voditelja obrade, od kojeg se takav zahtjev traži. Upravo u tom odnosu međusobno suprotstavljenih interesa dolazi do izražaja potreba za njihovim uravnoteženjem u konkretnim okolnostima svakog pojedinog slučaja.
Člankom 12. stavkom 5. Uredbe utvrđuje se načelo prema kojem ostvarivanja prava na pristup ne podrazumijeva nikakve troškove za ispitanika. Međutim daljnjim dijelom navedenog članka ipak se predviđaju dva razloga zbog kojih voditelj obrade može naplatiti razumnu naknadu koja uzima u obzir administrativne troškove ili pak odbiti postupiti po zahtjevu za pristup. Ti se razlozi odnose na slučajeve zloupotrebe prava 12 kada se zahtjevi ispitanika moraju smatrati „očito neutemeljenima ili „pretjeranima“ osobito zbog njihova repetitivnog karaktera.13
O tumačenju pojma „pretjeranost“ u kontekstu čl. 12. st. 5. Uredbe treba poći od njegova značenja u svakodnevnoj jeziku.14 U tom smislu pridjev „pretjeran“ označava nešto što nadilazi uobičajenu ili razumnu mjeru ili nešto što prekoračuje poželjnu ili dopuštenu mjeru. Iz čl. 12. st. 5. Uredbe proizlazi da zahtjevi mogu biti pretjerani „osobito zbog njihova učestalog ponavljanja“. Međutim, s obzirom na to da se repetitivni karakter u toj odredbi spominje samo okvirno, kvalificiranje zahtjeva kao pretjeranog ne iziskuje nužno da taj zahtjev mora biti jedan od više zahtjeva koje je podnio isti ispitanik.15
Pri tumačenju navedenoga Sud EU-a se pozvao na svoju raniju praksu iznijetu u predmetu C-416/23 iz koje proizlazi da pojam „pretjerani zahtjevi“ odražava opće načelo prava Unije prema kojem se sudionici u postupku ne mogu pozivati na pravila Unije na prijevaran način ili zlouporabom prava.
Navedeno je bitno upravo zato što se digitalnim omnibusom u kontekstu predloženih izmjena čl. 12. st. 5. Uredbe nastoji u tekst Uredbe ubaciti dio: „Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zato što se učestalo ponavljaju ili, za zahtjeve na temelju članka 15., zato što ispitanik zloupotrebljava prava dodijeljena ovom Uredbom koristeći ga u svrhe koje nisu zaštita svojih podataka…“, dakle dodatan razlog zbog kojeg voditelj obrade može naplatiti razumnu naknadu koja uzima u obzir administrativne troškove ili pak odbiti postupiti po zahtjevu za pristup.
U tom smislu, upravo je presuda koja je predmet analize u ovome članku uz presudu Suda EU-a u predmetu C-416/23 pokazatelj da se zahtjevi u određenim okolnostima mogu smatrati pretjeranima zbog drugih razloga osim njihove učestalosti. Isto shvaćanje potvrđuje se kako u praksi nacionalnih sudova i nadzornih tijela,16 17 18 tako i u akademskoj literaturi.19 Prema stajalištu koje je zauzeo Europski odbor za zaštitu osobnih podataka to naročito obuhvaća slučajeve zlonamjerne uporabe čl. 15. Uredbe20. Stoga je pitanje unosi li predloženi dodatak kao dio novopredloženih izmjena normativnu novost ili samo potvrđuje (ne razrađuje) postojeći standard razvijen u praksi Europskog odbora za zaštitu osobnih podataka i Suda EU, odnosno ima li navedeni dodatak uistinu ikakav koristan učinak?
Kako je Sud EU-a utvrdio, sam broj zahtjeva za pristup koje je ispitanik podnio voditelju obrade nije odlučujući za primjenu mogućnosti iz čl. 12. st. 5. Uredbe. Stoga se voditelj obrade, u okolnostima svakog konkretnog slučaja, može na tu mogućnost pozvati čak i u slučaju prvog zahtjeva za pristup, pod uvjetom da, uzimajući u obzir sve relevantne okolnosti21, dokaže postojanje namjere zlouporabe prava od strane ispitanika.22 Obveza dokazivanja pretjeranosti zahtjeva je na voditelju obrade što proizlazi iz čl. 12. st. 5. Uredbe23, ali i načela odgovornosti.24
Međutim, ta se mogućnost mora tumačiti usko i u skladu s načelom proporcionalnosti jer dovodi do ograničenja prava ispitanika na pristup svojim podacima25, odnosno pravu koje mu je, kako je to ranije rečeno, zagarantirano kako Poveljom, tako i samom Uredbom.
Nadalje, da bi zadovoljio uvjet dokazanosti postojanja namjere zlouporabe od strane ispitanika potrebno je dokazati niz objektivnih okolnosti i subjektivnih okolnosti na strani ispitanika26. Te je kriterije Sud EU-a prvobitno razvio u predmetima Emsland-Stärke 27 i Halifax 28, prema kojima zlouporaba postoji kada su kumulativno ispunjena dva elementa: objektivni da se, unatoč formalnom poštovanju pravila, ostvaruje rezultat koji je suprotan cilju pravne norme i subjektivni da iz ukupnosti okolnosti proizlazi namjera stjecanja koristi iz prava na način koji nije u skladu s njegovom svrhom. Stoga, imajući u vidu navedeno, pri ocjenjivanju postojanja zlouporabe prava u predmetu koji čini predmet analize ovoga članka treba uzeti u obzir sve okolnosti konkretnog slučaja, poput činjenice da je ispitanik osobne podatke pružio iako to nije bio obvezan učiniti, cilj pružanja tih podataka, vrijeme proteklo od tog pružanja do podnošenja zahtjeva za pristup te postupanje navedenog ispitanika.29
U konačnici, odgovarajući na pitanje nacionalnog suda o tome može li se pri ocjeni postojanja zlouporabe prava uzeti u obzir postojanje javno dostupnih informacija iz kojih proizlazi da je modus operandi osobe TC bio sustavno podnošenje zahtjeva za pristup i zahtjeva za naknadu štete, Sud EU-a zauzeo je stajalište da se takva okolnost doista može uzeti u obzir. Međutim, pritom je naglasio da ona sama po sebi nije dostatna, već mora biti potkrijepljena i drugim relevantnim okolnostima koje upućuju na postojanje namjere zlouporabe prava od strane ispitanika.30
Slijedom navedenog, ocjena postojanja zlouporabe prava od strane ispitanika nužno zahtijeva individualizirani pristup u svakom konkretnom slučaju, pri čemu je potrebno uzeti u obzir sve relevantne okolnosti, uključujući i one koje upućuju na obrasce ponašanja ispitanika, kako bi se utvrdilo postupa li ispitanik s namjerom zlouporabe prava zajamčenog Uredbom.31
U tom je smislu Sud EU-a u ovoj presudi jasno dao do znanja kako se bilo koje okolnosti koje idu u prilog određenim zaključcima mogu konzumirati kao relevantne, ako se iz njih može zaključiti da postoji namjera stjecanja koristi iz prava na način koji nije u skladu s njegovom svrhom.
4. Zaključno i komentar autoraPresuda Suda EU-a u predmetu Brillen Rottler nedvojbeno predstavlja iskorak u razjašnjenju pojma „pretjeranog zahtjeva“ koji stoji kao jedan od razloga zbog kojih voditelj obrade može naplatiti razumnu naknadu uzimajući u obzir administrativne troškove ili pak odbiti postupiti po zahtjevu za pristup. Relativnu istodobnost njezina donošenja s regulatornim inicijativama Europske komisije u području digitalnog zakonodavstva teško je promatrati kao puku slučajnost (bar se tako autoru teksta čini), osobito uzme li se u obzir normativni doseg i interpretativna jasnoća koju ta presuda donosi.
Upravo stoga postavlja se ključno pitanje svrhovitosti predloženih izmjena čl. 12. st. 5. Uredbe u dijelu koji se odnosi na pravo pristupa. Kada sudska praksa već pruža dovoljno precizan okvir za tumačenje spornih elemenata, dodatne intervencije riskiraju narušavanje sustavne koherentnosti umjesto njezina jačanja. U takvim okolnostima, daljnje normiranje ne doprinosi pravnoj sigurnosti, već postiže upravo suprotan učinak.
Dakle, polazeći od činjenice kontinuiranog i ubrzanog normativnog širenja prava EU-a, predmetne izmjene teško se mogu opravdati kriterijem korisnog učinka. Naprotiv, postoji realna opasnost da će dodatno opteretiti već kompleksan regulatorni okvir, otvoriti prostor za nova interpretativna razilaženja te posljedično proizvesti dodatne troškove za građane EU-a. Osobito je to problematično u situaciji koja, prema svemu sudeći, već zadovoljava standard acte clair.
Zaključno, umjesto multipliciranja normativnih rješenja ondje gdje sudska praksa već osigurava dostatnu jasnoću, razboritiji pristup zahtijevao bi suzdržanost europskog zakonodavca. U protivnom, prijeti opasnost da se regulatorna hiperprodukcija sukobi sa samom sobom, na štetu pravne sigurnosti i učinkovitosti sustava prava na zaštitu osobnih podataka u cjelini.
Dino Čubrilo Bobesić, odvjetnički vježbenik
^ 1 Uvodna izjava br. 4. Uredbe.
^ 2 Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, Službeni list Europske unije L 119/1, 4. svibnja 2015., str. 1-88., dalje: Uredba.
^ 3 Čl. 4. toč. 1. Uredbe; „pojedinac čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.“.
^ 4 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, https://infocuria.curia.europa.eu/tabs/affair?sort=AFF_NUM-DESC&searchTerm=%22C-526%2F24%22&publishedId=C-526%2F24, (3. 4. 2026.).
^ 5 Prijedlog uredbe o pojednostavljenju digitalnog zakonodavstva, https://digital-strategy.ec.europa.eu/hr/library/digital-omnibus-regulation-proposal (1.4.2026.).
^ 6 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 12.
^ 7 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 13. i 14.
^ 8 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 15.
^ 9 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 17.
^ 10 Čl. 8. st. 2. Povelje: „Svatko ima pravo na pristup prikupljenim podacima koji se na njega ili nju odnose i pravo na njihovo ispravljanje.“.
^ 11 Vidi infra br. 1.
^ 12 Posebnu pozornost treba posvetiti pojmu „zloupotreba prava“, koji se pojavljuje u formulaciji Suda EU, iako taj pojam nije sadržan u izvornom tekstu čl. 12. st. 5. Uredbe.
^ 13 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 17.
^ 14 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 24.
^ 15 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 26.
^ 16 Tako je i dansko nadzorno tijelo, Datatilsynet, u svojoj odluci br. 2021-31-5085 od 27. lipnja 2022. zauzelo stajalište da se zahtjev za pristup može smatrati pretjeranim u smislu čl. 12. st. 5. Uredbe u situacijama kada bi postupanje po zahtjevu zahtijevalo nerazmjerno opsežan angažman voditelja obrade, osobito kada se zahtjev odnosi na iznimno veliku količinu dokumentacije koja nije izravno povezana s ispitanikom kao pojedincem. U konkretnom slučaju, nadzorno tijelo utvrdilo je da voditelj obrade nije bio dužan pretraživati i analizirati više od milijun dokumenata kako bi identificirao eventualne osobne podatke ispitanika, slijedom čega je zahtjev ocijenjen pretjeranim te je odbijanje postupanja po istome bilo opravdano. https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-31-5085 (4. 4. 2026.).
^ 17 Regionalni sud u Essenu u presudi br. 18 O 204/21 od 23. veljače 2022. zauzeo je stajalište da se zahtjev za pristup može smatrati pretjeranim u smislu čl. 12. st. 5. Uredbe i iz razloga koji nadilaze njegovu učestalost. Sud je osobito naglasio da pravo na pristup mora služiti svojoj temeljnoj svrsi, omogućavanju ispitaniku da se upozna s obradom svojih osobnih podataka i provjeri njezinu zakonitost slijedom čega se zahtjev može odbiti kao pretjeran kada očito ne služi toj svrsi, već se koristi za ostvarivanje drugih ciljeva, poput provjere valjanosti povećanja premija osiguranja. https://gdprhub.eu/index.php?title=LG_Essen_-_18_O_204/21 (4. 4. 2026.).
^ 18 Regionalni sud u Hamburgu, u presudi br. 332 O 243/21 od 26. travnja 2023. zauzeo je stajalište da se zahtjev za pristup može smatrati pretjeranim i zlouporabnim u smislu čl. 12. st. 5. Uredbe kada njegova svrha nije povezana sa zaštitom osobnih podataka. https://gdprhub.eu/index.php?title=LG_Hamburg_-_332_O_243/21 (4. 4. 2026.).
^ 19 Jurić, M., Katulić, T., Lisičar, H.: „ZAŠTITA OSOBNIH PODATAKA 1. DIO“, str. 79., Sveučilište u Zagrebu Pravni fakultet, 2024, Zagreb.
^ 20 Smjernicama 01/2022 o pravima ispitanika – pravo na pristup Europskog odbora za zaštitu osobnih podataka, https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_hr.pdf (23. 3. 2026.), toč. 188. i toč. 190.
^ 21 Vidi supra toč. 30.
^ 22 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 26.
^ 23 Čl. 12. st. 5. Uredbe: „Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva jest na voditelju obrade.“.
^ 24 Čl. 5. st. 2. Uredbe., radi se o načelu poznatijem kao načelo pouzdanosti koje se nespretno prevelo, engleski termin accountability trebalo je prevesti kao „odgovornost“, umjesto „pouzdanost“.
^ 25 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 35.
^ 26 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 36.
^ 27 Presuda od 14. prosinca 2000., Emsland-Stärke, C-110/99, ECLI:EU:C:2000:695, toč. 52-53.
^ 28 Presuda od 21. veljače 2006., Halifax, C-255/02, ECLI:EU:C:2006:121, toč. 74-76.
^ 29 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 42.
^ 30 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 43.
^ 31 Presuda od 19. ožujka 2026., Brillen Rottler, C-526/24, ECLI:EU:C:2026:216, toč. 44.
