Zaštita osobnih podataka u javnom interesu: uloga Centra Feralis i otvorena pitanja zakonitosti obrade zdravstvenih podataka novaka
Hrvatski centar za zaštitu podataka Feralis (skr. Centar Feralis) prema javno dostupnim i provjerljivim podacima jedina je organizacija u Republici Hrvatskoj koja djeluje sukladno članku 80. Opće uredbe o zaštiti podataka (EU) 2016/679 (GDPR), s jasno definiranim ciljem zaštite prava i interesa ispitanika u području obrade osobnih podataka.
Centar Feralis ujedno je hrvatski predstavnik u Europska federacija službenika za zaštitu podataka (EFDPO) te je u tom svojstvu sudjelovao u provedbi niza projekata od nacionalnog i europskog značaja. Među njima se posebno ističu uspostava sustava zaštite osobnih podataka u okviru sustava e-Građani te prvi državni AI sustav za suzbijanje COVID-19 – Andrija Digitalni Asistent, projekti koji su zahtijevali najvišu razinu pravne, tehničke i organizacijske usklađenosti s europskim standardima zaštite podataka.
Centar je ujedno izdavač prve hrvatske stručne publikacije posvećene primjeni GDPR-a u radnim odnosima – „GDPR na radnom mjestu“, autorice Ines Krečak, Data Protection Professional, čime je dodatno potvrđena njegova uloga kao središnjeg stručnog autoriteta u području zaštite osobnih podataka u Republici Hrvatskoj.
Sukladno svojoj zakonskoj i stručnoj ulozi, Centar Feralis kontinuirano postupa radi zaštite temeljnih prava građana na zaštitu osobnih podataka te osiguranja pune, dosljedne i transparentne primjene Opće uredbe u praksi javnog i privatnog sektora.
U tom kontekstu, a povodom većeg broja zaprimljenih prijava zabrinutih građana i organizacija, Centar se obratio nadležnim tijelima u vezi s postupkom utvrđivanja zdravstvene sposobnosti novaka za vojnu službu, s posebnim naglaskom na zakonitost i razmjernost obrade zdravstvenih podataka.
I. Utvrđivanje zdravstvene sposobnosti: Zakon o obrani i Pravilnik
Važeći Zakon o obrani (Narodne novine, br. 136/25) u članku 21.g stavku 4. izričito propisuje da se zdravstvena sposobnost novaka za vojnu službu utvrđuje isključivo u dvije kategorije:
• sposoban za vojnu službu
• nesposoban za vojnu službu
Stavkom 5. istog članka propisano je da ministar obrane, uz prethodnu suglasnost ministra nadležnog za zdravstvo, pravilnikom uređuje mjerila i postupke za ocjenu zdravstvene sposobnosti novaka i ročnika. Na temelju te zakonske ovlasti, dana 23. prosinca 2025. u Narodnim novinama br. 155/2025 objavljen je Pravilnik o mjerilima i postupcima za ocjenu zdravstvene sposobnosti novaka i ročnika.
Međutim, članak 13. Pravilnika propisuje da se u Uvjerenje o zdravstvenoj sposobnosti, uz ocjenu „nesposoban“, obvezno unose i točke popisa bolesti i srodnih zdravstvenih problema, sukladno Metodološkim uputama, što je dodatno razrađeno u Prilogu 3. Pravilnika.
Pravna neusklađenost s Općom uredbom o zaštiti podataka
Takvo normativno rješenje, bez jasno i precizno definirane svrhe obrade s kojom su ispitanici prethodno upoznati, predstavlja izravno kršenje temeljnih načela Opće uredbe.
Načelo smanjenja količine podataka (data minimisation)
Članak 5. stavak 1. točka (c) GDPR-a propisuje da osobni podaci moraju biti:
„primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe obrade“.
Istodobno, članak 9. GDPR-a jasno određuje da se podaci o zdravlju smatraju posebnim kategorijama osobnih podataka, čija je obrada dopuštena isključivo pod strogo propisanim uvjetima i samo u mjeri koja je nužna.
S obzirom na to da sam Zakon o obrani zahtijeva isključivo binarnu ocjenu „sposoban / nesposoban“, ne postoji razvidna zakonska ni svrhovita osnova za navođenje konkretnih dijagnoza, šifri bolesti ili detaljnih zdravstvenih stanja u samom Uvjerenju.
Takvo navođenje:
• nije nužno za ostvarenje svrhe obrade (ili takva svrha nije javno dostupna),
• nije propisano zakonom,
• te izlaže ispitanike neopravdanom otkrivanju osobito osjetljivih zdravstvenih podataka potencijalno širokom i nekontroliranom krugu osoba.
Posljedično, riječ je o prekomjernoj, nezakonitoj i nesrazmjernoj obradi osobnih podataka.
Slijedom upita većeg broja građana, Centar Feralis uputio je zahtjev za postupanje nadzornom tijelu – Agencija za zaštitu osobnih podataka (AZOP), s molbom da se izvrši provjera zakonitosti predmetne obrade.
Ukoliko Ministarstvo smatra da za navođenje dijagnoza i šifri bolesti u Uvjerenju postoji objektivna, zakonita i razmjerna nužnost, molimo:
• precizno, jasno i normativno utemeljeno obrazloženje, uz izričito navođenje konkretne pravne osnove sukladno člancima 6. i 9. GDPR-a, te
• da takvo obrazloženje bude javno dostupno, radi osiguranja transparentnosti i pravne sigurnosti ispitanika.
I. Obrada osobnih podataka od strane privatnih zdravstvenih ustanova bez ugovora iz članka 28. GDPR-a
Odlukom o određivanju zdravstvenih ustanova i privatnih praksi medicine rada i sporta za provedbu zdravstvenih pregleda i psihologijskih ispitivanja vojnih obveznika
(KLASA: 011-02/25-11/37, URBROJ: 534-06-1-1/6-25-02 od 22. prosinca 2025.) određeni su subjekti ovlašteni za provedbu predmetnih pregleda.
U tom postupku privatne prakse medicine rada i sporta obrađuju posebne kategorije osobnih podataka u ime i za račun Republike Hrvatske, čime u smislu članka 4. točke 8. i članka 28. GDPR-a imaju status izvršitelja obrade.
Sukladno članku 28. stavcima 3. i 9. GDPR-a, takva obrada dopuštena je isključivo ako je utemeljena na:
• pisanom ugovoru ili drugom pravno obvezujućem aktu između voditelja i izvršitelja obrade, te
• ugovoru o obradi osobnih podataka odnosno standardnim ugovornim klauzulama donesenima Provedbenom odlukom Komisije (EU) 2021/915.
U nedostatku navedenih instrumenata, svaka obrada osobnih podataka od strane privatnih zdravstvenih ustanova smatra se nezakonitom, čime se te ustanove izravno izlažu visokim upravnim novčanim kaznama iz članka 83. GDPR-a, dok tijela javne vlasti kao voditelji obrade ne podliježu istovjetnom režimu sankcioniranja – što dodatno naglašava potrebu za pravovremenim i ugovorno uređenim postupanjem.
Slijedom navedenog, Centar Feralis zatražio je od AZOP-a provjeru sljedećih pitanja:
• Jesu li s privatnim zdravstvenim ustanovama sklopljeni ugovori iz članka 28. GDPR-a?
• Jesu li tim subjektima dostavljeni ugovori o obradi osobnih podataka odnosno standardne ugovorne klauzule sukladno Odluci (EU) 2021/915?
• Ako nisu, iz kojeg razloga nisu te na temelju koje pravne osnove je obrada osobnih podataka uopće započela?
Ovo pitanje nadilazi pojedinačni slučaj i zadire u temeljna načela zakonitosti, razmjernosti i transparentnosti obrade osobnih podataka, osobito kada je riječ o posebnim kategorijama podataka u osjetljivom području obrane i zdravstva. Upravo stoga, pravna jasnoća i javno obrazložena rješenja predstavljaju nužan preduvjet za očuvanje povjerenja građana i dosljednu primjenu europskih standarda zaštite osobnih podataka u Republici Hrvatskoj.
