U središtu

GDPR na recepciji: zašto hoteli moraju prestati skenirati isprave gostiju

15.07.2026

U mnogim hotelima postupak prijave gostiju još uvijek započinje na isti način: „Molim Vas osobnu iskaznicu ili putovnicu, samo ćemo je skenirati.“. Za gosta je riječ o formalnosti koju najčešće prihvaća bez posebnog propitivanja, jer je doživljava kao uvjet za korištenje smještaja. Za hotel je, s druge strane, riječ o ustaljenoj praksi koja se često provodi automatizmom.

Je li skeniranje osobnih iskaznica i putovnica gostiju doista nužno i zakonito, ili hoteli time prikupljaju više osobnih podataka nego što im je potrebno? Najnovija praksa nadzornih tijela za zaštitu osobnih podataka pokazuje da skeniranje identifikacijskih dokumenata gostiju može predstavljati prekomjernu obradu osobnih podataka, a time i povredu GDPR-a.1 U nastavku ovoga članka razmotrit će se gdje prestaje „zakonita“ identifikacija gosta, a gdje počinje nedopušteno zadiranje u njegova prava na zaštitu osobnih podataka.


1.      Pravna razmatranja

Polazišna točka svake obrade osobnih podataka prilikom prijave gosta jest postojanje odgovarajuće pravne osnove iz čl. 6. GDPR. Sama činjenica što hotel, iznajmljivač ili drugi pružatelj usluge smještaja ima organizacijsku i poslovnu potrebu prikupiti određene podatke nije dovoljna za zakonitost obrade. Svaka obrada, pa tako i obrada u turističke svrhe pružanja usluge smještaja mora biti utemeljena na jednoj od pravnih osnova koje GDPR taksativno propisuje.2

U kontekstu pružanja usluge smještaja, obrada osobnih podataka gostiju može se, bez namjere detaljnijeg teorijskog razmatranja pojedinih kategorija pravnih osnova obrade, temeljiti na čl. 6. st. 1. toč. b) GDPR-a.3 Riječ je o situacijama u kojima je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora. Pritom treba biti oprezan da se „ugovorna“ pravna osnova ne tumači preširoko. Nije svaki podatak koji je hotelu praktičan ujedno i nužan za izvršenje ugovora. Kako sam tekst GDPR-a propisuje, čl. 6. st. 1. toč. b) GDPR-a može se primijeniti samo na one obrade bez kojih se ugovorena usluga smještaja ne bi mogla izvršiti. Na toj se pravnoj osnovi mogu obrađivati oni podaci koji su nužni za rezervaciju, prijavu, pružanje ugovorene usluge smještaja, komunikaciju s gostom te ispunjenje osnovnih ugovornih obveza pružatelja smještaja.

Obrada osobnih podataka u hotelskom i turističkom sektoru ne iscrpljuje se samo u ugovornoj pravnoj osnovi. U određenim slučajevima pravna osnova obrade osobnih podataka proizlazi i iz zakonskih obveza voditelja obrade, što upućuje na pravnu osnovu iz čl. 6. st. 1. toč. c) GDPR-a. Riječ je o situacijama u kojima je obrada nužna radi poštovanja pravne obveze koja se primjenjuje na voditelja obrade.4 Pravna obveza utvrđuje se u pravu Unije ili pravu države članice kojem voditelj obrade (hotel, iznajmljivač apartmana, pružatelj usluge smještaja) podliježe.5

U tom smislu, Zakon o turističkoj pristojbi6 propisuje obvezu pravnoj i fizičkoj osobi obrtniku koja pruža usluge noćenja u smještajnom objektu da u roku od 24 sata od dolaska prijavi u sustav eVisitor sve osobe kojima pruža uslugu noćenja, te da u roku od 24 sata od odlaska odjavi njihov boravak. Nastavno na navedeni zakon, Pravilnik o sustavu eVisitor7 uređuje način prijave i odjave turista, podatke potrebne za prijavu i odjavu te način njihova utvrđivanja, prikupljanja i čuvanja. Tako čl. 4. st. 2. Pravilnika propisuje da se u Popis turista upisuju osobni podaci o turistima, i to osobito: prezime i ime, mjesto, država i datum rođenja, državljanstvo, vrsta i broj isprave o identitetu, prebivalište odnosno boravište i adresa te drugi propisani podaci. S druge strane, čl. 6. st. 2. Pravilnika propisuje da se navedeni osobni podaci u Popis turista upisuju na temelju podataka iz osobne iskaznice, odnosno putne ili neke druge isprave o identitetu.8

Upravo navedena formulacija može dovesti do pogrešnog tumačenja oko prikupljanja osobnih podataka gostiju kod hotela, iznajmljivača apartmana i drugih pružatelja usluge smještaja. Naime, činjenica da se podaci u Popis turista upisuju „na temelju podataka iz osobne iskaznice“ ne znači da je pružatelj smještaja ovlašten izraditi i zadržati presliku, sken ili fotografiju osobne iskaznice ili putovnice. Takva odredba znači da identifikacijska isprava služi kao vjerodostojan izvor za provjeru i unos propisanih podataka. Iz toga vjerojatno proizlazi i pogrešna praksa skeniranja putovnica i osobnih iskaznica turista, iako takva obrada nije nužna za ispunjenje propisane obveze prijave gosta. Sama Agencija za zaštitu osobnih podataka9 na svojim web stranicama istaknula je kako iznajmljivači najčešće pogrešno tumače obvezu prijave gosta u e-Visitor te smatraju kako moraju fotografirati ili kopirati osobnu iskaznicu gosta jer je isto njihova zakonska obveza. Dakle, gosti koji se prijavljuju u apartman ili hotel dužni su dati na uvid svoju osobnu iskaznicu kako bi pružatelj usluge mogao izvršiti prijavu, ali kopiranje ili ostavljanje osobne iskaznice vlasniku apartmana ili na recepciji hotela nije u skladu s odredbama GDPR-om.10

1.1. Zašto privola nije najbolje rješenje?

U ovom kontekstu može se postaviti pitanje zašto se hoteli i drugi pružatelji usluge smještaja za određene obrade osobnih podataka gostiju ne bi jednostavno oslonili na privolu ispitanika.

Cilj ovoga rada nije iscrpno analizirati sve elemente valjane privole, nego upozoriti na njezinu ograničenu primjenjivost u situacijama u kojima se obrada osobnih podataka uvjetuje korištenjem usluge smještaja.

Uvjeti valjanosti privole proizlaze već iz same definicije privole sadržane u čl. 4. toč. 11. GDPR-a. Prema toj odredbi, privola ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose.

Element dobrovoljnosti podrazumijeva da ispitanik ima stvaran izbor i stvarni nadzor nad obradom svojih osobnih podataka.11 Uvodna izjava 42. GDPR-a pritom izričito navodi da se ne može smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

Iz toga proizlazi da bi u kontekstu pružanja usluge smještaja privola bila osobito problematična ako bi gost bio doveden u situaciju da mora pristati na obradu osobnih podataka u vidu izrade preslike osobne iskaznice kako bi uopće mogao koristiti uslugu smještaja. U takvim okolnostima ispitanik ne bi imao stvaran izbor jer bi odbijanje privole za njega značilo gubitak ili uskraćivanje usluge smještaja. Posljedično, uvjet dobrovoljnosti privole ne bi bio ispunjen.12 13

Upravo zbog navedenoga, a radi izbjegavanja oslanjanja na neodgovarajuću ili potencijalno nevaljanu pravnu osnovu, primjerenije je da hoteli i drugi pružatelji usluge smještaja obradu osobnih podataka gostiju temelje na pravnim osnovama koje odgovaraju konkretnoj svrsi obrade i koje se mogu objektivno obrazložiti i dokumentirati.14 15 Za podatke koji su nužni radi pružanja ugovorene usluge smještaja relevantna je pravna osnova iz čl. 6. st. 1. toč. b) GDPR-a, dok je za podatke koji se obrađuju radi ispunjenja zakonskih obveza prijave gosta relevantna pravna osnova iz čl. 6. st. 1. toč. c) GDPR-a. Privola bi mogla biti razmatrana samo za one obrade koje nisu nužne ni za izvršenje ugovora ni za ispunjenje pravne obveze, i to pod uvjetom da gost ima stvarnu mogućnost odbiti takvu obradu bez ikakvih negativnih posljedica za korištenje smještajne usluge.16

Radi potpunijeg razumijevanja potrebno je naglasiti da postojanje odgovarajuće pravne osnove za obradu osobnih podataka, uključujući privolu, samo po sebi ne znači da je obrada u cijelosti usklađena s GDPR-om. Stoga ni privola, čak i kada bi bila valjano dana, ne oslobađa voditelja obrade obveze da dokaže kako je konkretna obrada primjerena, relevantna i ograničena na ono što je nužno u odnosu na svrhu obrade.17

1.2. Odluke i mišljenja španjolskog nadzornog tijela18

Španjolsko nadzorno tijelo za zaštitu podataka u vrlo sličnoj činjeničnoj situaciji zauzelo je stajalište da se prikupljanje fotokopije identifikacijskog dokumenta, zajedno sa svim podacima koji su u njemu sadržani, može smatrati neprimjerenom, nerelevantnom i nepotrebnom obradom osobnih podataka u odnosu na konkretnu svrhu obrade. Takva je obrada prema španjolskom nadzornom tijelu protivna temeljnim načelima zaštite osobnih podataka, a osobito načelu smanjenja količine podataka iz čl. 5. st. 1. toč. c. GDPR-a.

Naime, iako hotel ima pravo i obvezu utvrditi identitet gosta te prikupiti podatke potrebne za njegovu prijavu, iz toga ne proizlazi ovlast za prikupljanje, izradu i pohranu preslike cijelog identifikacijskog dokumenta. Potpuna preslika osobne iskaznice ili putovnice sadržava niz podataka koji u pravilu nisu nužni za svrhu prijave gosta.19 Pohrana preslika identifikacijskih dokumenata stvara i dodatne sigurnosne rizike za goste, osobito rizik od zlouporabe dokumenta, neovlaštenog pristupa i krađe identiteta.

U tom je smislu osobito relevantna i odluka španjolskog nadzornog tijela iz 2025. godine, oznake PS-00389-202420, kojom je voditelju obrade, pružatelju usluge rezervacije turističkih vila, izrečena upravna novčana kazna u iznosu od 70.000,00 EUR. Međutim, nadzorno tijelo utvrdilo je da je zahtijevanje od gostiju da putem vanjske platforme učitaju potpunu presliku svojeg identifikacijskog dokumenta bilo nepotrebno i nerazmjerno, čime je povrijeđeno načelo smanjenja količine podataka. U obrazloženju odluke istaknuto je da cjelovita osobna iskaznica sadržava znatno više informacija nego što je propisima potrebno.

Citirane odluke ne predstavljaju izolirane slučajeve. U odluci oznake PS/00499/202221 španjolsko nadzorno tijelo kaznilo je voditelja obrade koji je, u kontekstu pružanja usluge najma turističkih apartmana, od gostiju zahtijevao dostavu slike obiju strana identifikacijskih dokumenata. U konkretnom slučaju utvrđeno je da nisu svi obrađivani podaci bili nužni ni za pružanje usluge najma turističkih apartmana ni za ispunjenje obveze registracije gostiju propisane zakonima Španjolske. Slijedom toga, španjolsko nadzorno tijelo utvrdilo je povredu čl. 5. st. 1. toč. c. GDPR-a.

Sličan pristup može se pronaći i u stajalištima drugih europskih nadzornih tijela. Francusko nadzorno tijelo za zaštitu podataka, Commission nationale de l'informatique et des libertés22 23 na pitanje može li hotelijer napraviti kopiju osobne isprave gosta daje izričit negativan odgovor. Hotelijer, prema tom stajalištu, može zatražiti predočenje osobne isprave radi utvrđivanja državljanstva. Međutim, takva obveza ne podrazumijeva i pravo na izradu preslike identifikacijskog dokumenta.

U istom smjeru ide i stajalište nizozemskog nadzornog tijela za zaštitu podataka, Autoriteit Persoonsgegevens. Prema tom tijelu, smještajni objekt u Nizozemskoj ne smije napraviti presliku identifikacijskog dokumenta gosta. Dopušteno je zabilježiti samo određene podatke s putovnice ili osobne iskaznice koji su potrebni za propisanu svrhu.24

2.      Sigurnosni argument: kopija dokumenta kao visokorizični podatkovni objekt

Poseban problem kod skeniranja, fotografiranja ili fotokopiranja identifikacijskih dokumenata ne proizlazi samo iz činjenice što se prikuplja veći broj osobnih podataka od onih koji su nužni za konkretnu svrhu obrade, nego i u tome što se takvom praksom stvara novi, izraženi sigurnosni rizik.

Preslika identifikacijskog dokumenta ne sadrži samo podatke koji su voditelju obrade potrebni radi ispunjenja zakonskih obveza ili radi utvrđivanja identiteta gosta. Ona u pravilu sadržava skup međusobno povezanih identifikacijskih podataka, kao što su fotografija, potpis, datum rođenja, državljanstvo, broj dokumenta. Upravo zbog takve koncentracije podataka, preslika dokumenta ima znatno veći potencijal štete od pojedinačnih, izoliranih podataka koji su nužni za prijavu gosta.

Što je opseg obrađivanih podataka veći, to su veće i obveze voditelja obrade u pogledu sigurnosti obrade. Time nastaje dodatna obveza opravdanja takve obrade, odnosno potreba da se odgovori na pitanje zašto je bilo nužno zadržati cijeli identifikacijski dokument, a ne samo podatke čije prikupljanje je propisano i potrebno za prijavu gosta.

U tom se kontekstu može postaviti ključno pitanje: „isplati li se stvarati takav sigurnosni rizik ako se ista zakonska obveza može zadovoljiti manje invazivnim načinom?“

Sigurnost obrade, uređena osobito čl. 32. GDPR-a25 26, nadovezuje se na prethodnu obvezu voditelja obrade da obradu najprije uskladi s temeljnim načelima iz čl. 5. GDPR-a. Tek kada je obrada kao takva dopuštena, nužna i razmjerna, postavlja se pitanje koje su tehničke i organizacijske mjere potrebne za njezinu sigurnu provedbu. Međutim, ni najviša razina sigurnosnih mjera ne može pretvoriti prekomjernu obradu u nužnu obradu.

3.      Pravno pitanje: je li skeniranje dokumenta nužno?

Imajući u vidu prethodno izloženo, osobito praksu španjolskog nadzornog tijela za zaštitu osobnih podataka, mišljenja i odgovore na upite AZOP-a, relevantne hrvatske pravne izvore te sam tekst GDPR-a, može se izvesti nekoliko zaključaka o granicama dopuštene obrade osobnih podataka gostiju u hotelskom i turističkom sektoru. Pritom treba naglasiti da cilj ovog rada nije dati iscrpan prikaz svih pravnih izvora koji mogu zahtijevati prikupljanje osobnih podataka gostiju, nego kroz odabrane izvore prikazati temeljnu pravnu logiku: obveza identifikacije i prijave gosta ne znači ujedno i ovlast za prikupljanje, izradu ili pohranu preslike njegova identifikacijskog dokumenta.

U nastavku će se stoga, kroz ilustrativan prikaz dobre prakse, naznačiti kako bi obrada osobnih podataka gostiju mogla biti organizirana kada je njezina svrha ograničena na prijavu i odjavu gostiju, odnosno na ispunjenje zakonskih obveza (barem onim u radu iznijetih) pružatelja usluge smještaja. Takav prikaz polazi od zahtjeva da se prikupljaju samo oni podaci koji su nužni za konkretnu svrhu obrade, da se identifikacijski dokument koristi isključivo kao izvor provjere i unosa propisanih podataka te da se izbjegava stvaranje dodatnih preslika, skenova ili fotografija dokumenata koje nisu nužne za ostvarenje te svrhe.

a)      Ručni unos nakon uvida u dokument

Gost predočuje identifikacijski dokument, nakon čega zaposlenik hotela ili iznajmljivač apartmana provjerava njegov identitet te unosi isključivo propisane podatke u sustav eVisitor, internu evidenciju ili drugi sustav pohrane. Nakon toga se postavlja pitanje roka čuvanja tako prikupljenih osobnih podataka.

U tom pogledu moguće su dvije osnovne situacije. Prva, u kojoj je rok čuvanja osobnih podataka izričito određen zakonom ili drugim primjenjivim propisom. Tada voditelj obrade mora poštovati propisani rok čuvanja jer obradu i pohranu provodi radi ispunjenja pravne obveze koja se na njega primjenjuje.

Druga je situacija ona u kojoj poseban propis ne određuje rok čuvanja osobnih podataka, pa taj rok mora odrediti sam voditelj obrade. To znači da voditelj obrade mora osigurati da se osobni podaci čuvaju samo onoliko dugo koliko je nužno za ostvarenje konkretne svrhe obrade, odnosno da razdoblje pohrane bude ograničeno na strogi minimum27^ 28. U takvim okolnostima ključno je da voditelj obrade provede objektivnu i poštenu analizu koja uzima u obzir ne samo njegove interese, nego i interese, prava i slobode ispitanika. Voditelj obrade pritom mora moći obrazložiti konkretne činjenične okolnosti zbog kojih smatra da je određeni rok pohrane nužan, kao i razmotriti i dokumentirati zašto kraći rokovi čuvanja ne bi bili primjereni u konkretnoj situaciji.29

b)      Provjera dokumenta nakon online check-ina

Gost ispunjava online obrazac s propisanim podacima. Ako je potrebna dodatna provjera identiteta, hotel može koristiti manje invazivnije metode poput provjere dokumenta na dolasku, izrada korisničkog račun itd.. Ne bi se trebalo zahtijevati prijenos cijelog identifikacijskog dokumenta, budući da takav način obrade u bitnome proizvodi iste pravne učinke i rizike kao i izrada preslike dokumenta na licu mjesta.

c)      Automatizirano očitanje dokumenta bez pohrane identifikacijskom dokumenta

Jedna od suvremenijih mogućnosti prikupljanja osobnih podataka gostiju, korištenje je uređaja ili sustava za automatizirano očitanje podataka iz identifikacijskog dokumenta. Takva obrada može biti prihvatljiva samo ako hotel ili iznajmljivač može dokazati da uređaj odnosno sustav očitava isključivo potrebne/nužne osobne podatke, bez pohrane slike dokumenta, bez zadržavanja fotografije te bez prikupljanja podataka koji nisu nužni za konkretnu svrhu obrade. Osim toga, takav postupak mora biti odgovarajuće dokumentiran u evidenciji aktivnosti obrade te jasno objašnjen ispitanicima u informacijama koje im se pružaju u skladu s GDPR-o30, a to osobito uključuje pružanje informacija iz čl. 13. GDPR-a, uključujući jasnu obavijest o svrhama obrade, pravnoj osnovi, kategorijama osobnih podataka koji se obrađuju, razdoblju pohrane, načinu obrade podataka, eventualnim primateljima podataka te pravima koja ispitanik ima u vezi s obradom svojih osobnih podataka.

Iz navedenih primjera proizlazi da postoje mjere koje manje ograničavaju prava i slobode ispitanika od obrade osobnih podataka izradom i pohranom preslike identifikacijskog dokumenta. Upravo zbog postojanja manje invazivnih načina identifikacije gosta i ispunjenja obveze njegove prijave, praksa rutinske izrade preslika osobnih iskaznica ili putovnica trebala bi biti uklonjena iz redovitih poslovnih procesa hotela, hotelskih lanaca i iznajmljivača smještaja.

Dosadašnja analiza pokazuje da takva praksa otvara niz pravnih poteškoća koje bi voditelj obrade morao posebno obrazložiti, a u pojedinim slučajevima teško bi ih uopće mogao opravdati. Stav je autora da, ne isključujući mogućnost postojanja posebnih i individualiziranih okolnosti, obrada osobnih podataka izradom preslike identifikacijskog dokumenta isključivo radi ispunjenja zakonske obveze prijave gosta u pravilu ne bi bila usklađena s načelom smanjenja količine podataka iz čl. 5. st. 1. toč. c. GDPR-a.

Naime, kako je ranije istaknuto, pravna osnova obrade može proizlaziti iz zakona, pritom pridajući pojmu „zakon“ tumačenje šireg smisla u skladu s uvodnom izjavom 41. GDPR-a31 te praksom SEU32, osobito kada je obrada nužna radi poštovanja pravne obveze voditelja obrade, ili iz ugovornog odnosa između gosta i hotela, kada je obrada nužna za izvršenje ugovora o smještaju. Međutim, postojanje pravne osnove za obradu ne daje voditelju obrade neograničenu slobodu u izboru načina obrade osobnih podataka. Čak i kada je uvjet zakonitosti obrade iz čl. 6. GDPR-a ispunjen, voditelj obrade i dalje mora dokazati da je konkretan način obrade, uključujući opseg prikupljenih podataka, primjeren, relevantan i ograničen na ono što je nužno za konkretnu svrhu obrade.


4.      Zaključak

 U konačnici, pitanje koje se nameće pri zaključivanju ove analize jest: što nas odluke španjolskih nadzornih tijela mogu naučiti?

Ako ste hotel, iznajmljivač apartmana ili na bilo koji način sudjelujete u pružanju usluge smještaja, praksa izrade preslika osobnih iskaznica i putovnica nešto je što biste trebali ozbiljno preispitati. Smjer koji se može naslutiti iz prakse španjolskog nadzornog tijela prilično je jasan: rutinsko kopiranje identifikacijskih dokumenata gostiju vrlo se teško može pomiriti s načelom smanjenja količine podataka iz čl. 5. st. 1. toč. c. GDPR-a.

Zato je sigurniji i održiviji pristup obradu osobnih podataka gostiju organizirati tako da se prikuplja samo ono što je doista potrebno. Drugim riječima, dokument se može dati na uvid, identitet se može provjeriti, a propisani podaci mogu se unijeti u eVisitor ili drugu odgovarajuću evidenciju. Ono što pritom treba izbjeći jest stvaranje preslike dokumenta koji sadržava mnogo više podataka nego što je za tu svrhu potrebno.

To ne znači da hoteli i iznajmljivači ne smiju koristiti moderna tehnička rješenja ili digitalne alate za prijavu gostiju. Smiju, ali pod uvjetom da su ta rješenja postavljena tako da ne prikupljaju i ne zadržavaju više podataka nego što je nužno. Ako sustav služi samo kao pomoć za unos propisanih podataka, bez pohrane slike dokumenta i bez zadržavanja nepotrebnih podataka, takav pristup bit će u skladu s načelom smanjenja količine podataka. Ako, međutim, sustav rutinski traži prijenos ili presliku cijele identifikacijskom dokumenta, tada se voditelj obrade izlaže ozbiljnom riziku neusklađenosti s GDPR-om.

Dino Čubrilo Bobesić, odvjetnički vježbenik kod odvjetnice Višnje Drenški Lasan



^ 2 Presuda od 4. srpnja 2023., Meta Platforms Inc. i dr. protiv Bundeskartellamt, C-252/21, ECLI:EU:C:2023:537, toč. 90.

^ 3 Prema nekim autorima, najčešća pravna osnova za obradu osobnih podataka u turističkom sektoru jest nužnost obrade radi izvršenja ugovora ili poduzimanja radnji koje prethode sklapanju ugovora. (Lučić, S.: „PROTECTION OF PERSONAL DATA IN THE TOURISM SECTOR“, Hotel and Tourism Management, Vol. 11, No. 1, 2023., str. 197.)

^ 4 Presuda od 4. srpnja 2023., Meta Platforms Inc. i dr. protiv Bundeskartellamt, C-252/21, ECLI:EU:C:2023:537, toč. 127. i toč. 128.

^ 5 Čl. 6. st. 3. GDPR-a.

^ 6 Zakon o turističkoj pristojbi („Narodne novine“, br. 52/19., 32/20. i 42/20.).

^ 7 Pravilnik o sustavu eVisitor („Narodne novine“ br. 43/20., dalje: Pravilnik).

^ 8 Zakon o ugostiteljskoj djelatnosti („Narodne novine“ br. 85/15., 121/16., 99/18., 25/19., 98/19., 32/20., 42/20., 126/21., 152/24.), kao i Pravilnik o obliku, sadržaju i načinu vođenja knjige gostiju i popisa gostiju („Narodne novine“ br. 140/15.) propisuju slične obveze.

^ 9 Agencija za zaštitu osobnih podataka (dalje: AZOP).

^ 11 Smjernice 5/2020 o privoli na temelju Uredbe 2016/679  Europskog odbora za zaštitu osobnih podataka, str. 6.

^ 12 Čl. 7. st. 4. GDPR.

^ 13 Presuda od 4. srpnja 2023., Meta Platforms Inc. i dr. protiv Bundeskartellamt, C-252/21, ECLI:EU:C:2023:537, toč. 150.

^ 14 Posebice imajući na umu obvezu za voditelja obrade iz čl. 5. st. 2. GDPR-a i načela pouzdanosti, prema kojem je odgovoran dokazati usklađenost sa načelima obrade osobnih podataka, u kontekstu pravnih osnova za obradu osobnih podataka, posebice načela zakonitosti.

^ 15 Vidi infra bilj. 18.

^ 16 Vidi supra bilj. 14.

^ 17 Čl. 5. st. 2. GDPR.

^ 18 Iznijeta stajališta nacionalnih nadzornih tijela drugih država članica treba promatrati kao važan komparativni i interpretativni materijal, a ne kao formalno obvezujuće izvore prava za hrvatsko nadzorno tijelo ili hrvatske sudove. Naime, GDPR razlikuje pravno obvezujuće odluke nadzornih tijela od mjera koje po svojoj naravi nemaju obvezujući učinak. Tako se u uvodnoj izjavi 143. GDPR-a izričito navodi da pravo na učinkoviti pravni lijek ne obuhvaća mjere nadzornih tijela koje nisu pravno obvezujuće, kao što su mišljenja ili savjeti nadzornih tijela. S druge strane, pojedinačne odluke nadzornih tijela, donesene u konkretnim postupcima, proizvode pravne učinke prema adresatima tih odluka. Međutim, odluka nadzornog tijela jedne države članice, izvan posebnih mehanizama suradnje i konzistentnosti predviđenih GDPR-om, ne proizvodi obvezujući učinak prema nadzornim tijelima ili sudovima drugih država članica. Stoga odluke/preporuke/mišljenja španjolskog, francuskog ili nizozemskog nadzornog tijela ne obvezuju hrvatski AZOP niti hrvatske sudove da u činjenično sličnom predmetu zauzmu istovjetno stajalište. Ipak, izostanak formalne obvezatnosti ne znači da su takva stajališta s pravne strane nerelevantna. Naprotiv, ona imaju znatnu „uvjeravajuću vrijednost“, osobito kada se temelje na istim odredbama GDPR-a koje se izravno primjenjuju u svim državama članicama. Kada se u praksi više nacionalnih nadzornih tijela u činjenično sličnim situacijama oblikuje usporedivo tumačenje određenog načela, primjerice načela smanjenja količine podataka, takva praksa pridonosi predvidljivosti primjene prava i pravnoj sigurnosti kao sastavnicama vladavine prava. Naravno, nacionalna nadzorna tijela i sudovi nisu lišeni mogućnosti zauzeti drukčije pravno stajalište. Međutim, ako se odstupa od već oblikovane prakse, osobito u situacijama koje se temelje na istom pravnom okviru i istovjetnim/bitno sličnim činjenicama, takvo odstupanje trebalo bi biti jasno, dostatno i uvjerljivo obrazloženo. U suprotnom se otvara rizik neujednačene i nepredvidljive primjene prava, što može narušiti pravnu sigurnost i povjerenje adresata pravnih normi u stabilnost pravnog poretka. U ovome kontekstu upravo je Ustavni sud Republike Hrvatske u svojoj odluci U-III-4150/2010 od 16. siječnja 2015. istaknuo da je najčešći problem u sudskom sustavu uz koji se vezuje načelo pravne sigurnosti problem neujednačene sudske prakse u istovrsnim sudskim stvarima.

^ 22 Commission nationale de l'informatique et des libertés (dalje: CNIL).

^ 25 Čl. 32. GDPR: „1.   Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi: (a) pseudonimizaciju i enkripciju osobnih podataka; (b) sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade; (c) sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta; (d) proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. 2.   Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.3.Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.4.Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.“.

^ 26 U korelaciji s čl. 24. i čl. 25. GDPR-a.

^ 27 Čl. 5. st. 1. e) GDPR.

28 Uvodna izjava br. 39. uz GDPR.

^ 29 Jurić, M., Katulić, T., Lisičar, H.: „ZAŠTITA OSOBNIH PODATAKA 1. DIO“, Sveučilište u Zagrebu, Pravni fakultet, Zagreb, 2024., str. 40.

^ 30 Odgovor na upit AZOP-u vezan za skeniranje/fotokopiranje osobne iskaznice, da neautomatizirani uvid u identifikacijski dokument bez stvaranja sustava pohrane, odnosno bez namjene stvaranja sustava pohrane, ne potpada u područje primjene GDPR-a ovdje nije primjenjiv jer obrada osobnih podataka koja se obavlja automatizirano potpada pod domašaj GDPR-a neovisno o tome čine li osobni podaci sustav pohrane ili su namijenjeni biti dio sustava pohrane. https://azop.hr/skeniranje-i-fotokopiranje-osobne-iskaznice/ (30. lipnja 2026.).

^ 31 Uvodna izjava 41. uz GDPR: „Ako se ovom Uredbom upućuje na pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takva pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda Europske unije […] i Europskog suda za ljudska prava.“.

^ 32 Presuda od 4. lipnja 2026., CL v. Prokuratura na Republika Bulgaria, C-312/24, ECLI:EU:C:2026:449, toč. 92., toč. 94. i 95.