Odgovornost za naknadu štete kod povrede osobnih podataka (prema GDPR)

Trenutačno važeći Zakon o zaštiti osobnih podatka propisuje uži opseg odgovornosti od pravila koja će se temeljem Opće uredbe o zaštiti osobnih podatka početi primjenjivati od 25.05.2018. godine.

Prema Uredbi proširena je odgovornost i na Izvršitelja obrade, ali samo ako se dokaže da nije poštovao obveze propisane Uredbom koje se upravo odnose na njega ili ako je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

Nadležnost Suda je izberiva prema poslovnom nastanu ili Voditelja ili Izvršitelja obrade – pri čemu se izbor prepušta ispitaniku – oštećeniku. Uredba propisuje i nadležnost prema mjestu uobičajenog boravišta ispitanika, pa stoga svaki ispitanik unutar Europske unije ima pravo pokrenuti postupak pred stvarno nadležnim Sudom prema mjestu svoga prebivališta.Odgovornost voditelja obrade nije ograničena te je on odgovoran za sve slučajeve uzrokovanja štete.

Postojeća zakonska regulativa glasi:

Zakon o zaštiti osobnih podataka (Narodne novine br. 103/03 (proč.tekst), 118/06, 41/08 i 130/11)

Članak 26.

Za štetu koja je ispitaniku nastala zbog obrade osobnih podataka protivno odredbama ovoga Zakona odgovara voditelj zbirke osobnih podataka, sukladno općim propisima o naknadi štete.

Pravo na naknadu štete od voditelja zbirke osobnih podataka ispitanik može tražiti i u slučaju neovlaštenog korištenja, odnosno neovlaštenog davanja na korištenje njegovih osobnih podataka drugim primateljima ili fizičkim i pravnim osobama.

Pravo na naknadu štete iz stavka 1. i 2. ovoga članka ostvaruje se pred sudom opće nadležnosti.

 

 

UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (nadalje kao Uredba)

Članak 82.

Pravo na naknadu štete i odgovornost

1.   Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu.

2.   Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima.

3.   Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu.

4.   Ako je u istu obradu uključeno više od jednog voditelja obrade ili izvršitelja obrade ili su u istu obradu uključeni i voditelj obrade i izvršitelj obrade i ako su, u skladu sa stavcima 2. i 3., odgovorni za bilo kakvu štetu prouzročenu obradom, svaki voditelj obrade ili izvršitelj obrade smatra se odgovornim za cjelokupnu štetu kako bi se osigurala učinkovita naknada ispitaniku.

5.   Ako je voditelj obrade ili izvršitelj obrade, u skladu sa stavkom 4., platio punu odštetu za pretrpljenu štetu, taj voditelj obrade ili izvršitelj obrade ima pravo zatražiti od drugih voditelja obrade ili izvršitelja obrade koji su uključeni u istu obradu dio odštete koji odgovara njihovu udjelu u odgovornosti za štetu u skladu s uvjetima iz stavka 2.

6.   Sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima koji su nadležni prema pravu države članice iz članka 79. stavka 2.

(čl, 79.st.2. : Postupci protiv voditelja obrade ili izvršitelja obrade vode se pred sudovima države članice u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan. Osim toga, takvi se postupci mogu voditi pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište, osim ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti neke države članice koje djeluje izvršavajući svoje javne ovlasti.

  

Uvodna odredba Uredbe u članku 75. navodi da rizik za prava i obveze pojedinaca može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do:

 • diskriminacije,
 • krađe identiteta ili prijevare,
 • financijskog gubitka,
 • štete za ugled,
 • gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom,
 • neovlaštenog obrnutog postupka pseudonimizacije,
 • ili bilo koje druge znatne gospodarske ili društvene štete;
 • ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima;
 • ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere;
 • ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili;
 • ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece;
 • ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

Radi se o slučajevima koji su u cijelosti definirani odredbama Uredbe ili pak općim pravilima naknade štete.

 

Odmah nakon što voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja. Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza.

Više o odgovornosti Voditelja i Izvršitelja obrade navodi uvodna odredba (recital) 146 Uredbe koja navodi da bi Voditelj obrade ili izvršitelj obrade trebao nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krše odredbe Uredbe. Voditelj obrade ili izvršitelj obrade trebao bi biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda.

 

Ispitanici / oštećenici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. Ako su voditelji obrade ili izvršitelji obrade uključeni u istu obradu, svaki voditelj obrade ili izvršitelja obrade trebalo bi smatrati odgovornim za cjelokupnu štetu. Međutim ako su povezani u isti sudski postupak naknada se može podijeliti u skladu s odgovornošću svakog voditelja obrade ili izvršitelja obrade za štetu uzrokovanu obradom, pod uvjetom da se osigura puna i učinkovita naknada ispitaniku koji je pretrpio štetu. Svaki voditelj obrade ili izvršitelj obrade koji je platio punu naknadu, može naknadno pokrenuti postupak za regres protiv drugih voditelja obrade ili izvršitelja obrade uključenih u istu obradu.

Ugovorom o obradi osobnih podataka koji se sklapa između Voditelja i Izvršitelja obrade moguće je regulirati odnos između Voditelja i Izvršitelja obrade. Isključenje solidarne odgovornost Voditelja i Izvršitelja obrade, ili uopće isključenje ili ograničenje odgovornosti Voditelja i Izvršitelja prema ispitaniku smatralo bi se protivnim odredbama i smislu Uredbe.

Zagreb , 24.02.2018.