HR | EN

logo
header pozadina-min

Preporuka za provedbu testa legitimnog interesa prema članku 6. stavku 1. točki (f) Opće uredbe o zaštiti podataka

Agencija za zaštitu osobnih podataka, kao neovisno nadzorno tijelo za zaštitu osobnih podataka u Republici Hrvatskoj, u okviru zadaća iz članka 57. stavka 1. Opće uredbe o zaštiti podataka, donosi ovu preporuku radi pojašnjenja obveza voditelja obrade pri procjeni može li se određena obrada osobnih podataka temeljiti na legitimnom interesu iz članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka.

Preporuka je namijenjena voditeljima obrade, službenicima za zaštitu podataka i osobama koje sudjeluju u planiranju novih aktivnosti obrade. Oslanja se na EDPB-ove Smjernice 1/2024 o obradi osobnih podataka na temelju članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka, relevantnu sudsku praksu Suda Europske unije te dostupnu praksu nadzornih tijela u prekograničnim predmetima koji se vode u okviru mehanizma suradnje i usklađivanja iz Opće uredbe o zaštiti podataka, poznatog kao one-stop-shop mehanizam.

Preporuka ne zamjenjuje obvezu voditelja obrade da za svaku konkretnu obradu samostalno utvrdi primjenjivu pravnu osnovu, provede i dokumentira procjenu prije početka obrade te osigura poštovanje svih načela i drugih obveza iz Opće uredbe o zaštiti podataka.

Pravna osnova i područje primjene

Članak 6. stavak 1. točka (f) Opće uredbe o zaštiti podataka propisuje da je obrada zakonita ako je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Legitimni interes može se odnositi na interes samog voditelja obrade ili na interes određene treće strane. Međutim, ne može se raditi o apstraktnom, općem ili neodređenom interesu. Interes mora biti zakonit, jasno i precizno formuliran, stvaran i prisutan u trenutku obrade te povezan s konkretnom obradom koja se namjerava provesti.

Sud Europske unije u predmetima C-252/21 Meta Platforms protiv Bundeskartellamt i C-708/18 Asociaţia de Proprietari bloc M5A-ScaraA potvrdio je da se za primjenu članka 6. stavka 1. točke (f) moraju kumulativno ispuniti tri uvjeta: postojanje legitimnog interesa, nužnost obrade i činjenica da interesi ili temeljna prava i slobode ispitanika ne prevladavaju nad legitimnim interesima voditelja obrade ili treće strane.

U mišljenju nezavisnog odvjetnika Szpunara u predmetu C-394/23 Mousse (ECLI:EU:C:2024:610) istaknuto je da članak 6. stavak 1. Opće uredbe o zaštiti podataka ne uspostavlja strogu hijerarhiju između pravnih osnova. To znači da jedna pravna osnova nije sama po sebi „viša” ili „niža” od druge.

Međutim, nepostojanje hijerarhije ne znači da voditelj obrade može slobodno odabrati pravnu osnovu koja mu je operativno najjednostavnija. Pravna osnova mora odgovarati stvarnoj svrsi, kontekstu i okolnostima obrade te mora biti utvrđena prije početka obrade. Ako za konkretnu obradu poseban propis zahtijeva privolu, propisuje pravnu obvezu ili uređuje javnu ovlast, legitimni interes se ne može koristiti kao način za zaobilaženje takvog posebnog zahtjeva.

Kada tijela javne vlasti obrađuju osobne podatke u okviru svojih javnih zadaća ili službenih ovlasti, takvu obradu ne mogu temeljiti na legitimnom interesu iz članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka. U praksi će za tijela javne vlasti najčešća pravna osnova biti članak 6. stavak 1. točka (c), ako je obrada nužna radi ispunjenja pravne obveze, ili članak 6. stavak 1. točka (e), ako je obrada nužna radi izvršavanja zadaće od javnog interesa ili službene ovlasti.

U slučajevima kad tijelo javne vlasti provodi obradu koja nije povezana s izvršavanjem njegovih javnih zadaća ili službenih ovlasti, nego s drugim aktivnostima koje zakonito obavlja izvan tog okvira, može razmotriti primjenjivost članka 6. stavka 1. točke (f), ako su ispunjeni svi uvjeti trodijelnog testa čijom provedbom voditelj obrade dokazuje svoj legitimni interes za obradu osobnih podataka.

Nadalje, legitimni interes ne smije se koristiti kao rješenje kada se druge pravne osnove ne mogu primijeniti. Voditelj obrade osobito se ne bi trebao pozivati na članak 6. stavak 1. točku (f) u sljedećim situacijama:

  • kada je posebnom odredbom prava Unije ili nacionalnog prava propisana druga pravna osnova, posebna pravna obveza ili izričit zahtjev za privolu;
  • kada se obradom nastoji zaobići pravna obveza, ograničenje iz sektorskog propisa ili zahtjev iz propisa o e-privatnosti;
  • kada je interes nezakonit, nejasan, općenit, hipotetski ili nije povezan s konkretnom obradom;
  • kada obrada nije nužna jer se isti cilj može ostvariti drugim, jednako učinkovitim i manje nametljivim sredstvima;
  • kada razumna očekivanja ispitanika, priroda podataka, opseg obrade ili posljedice obrade upućuju na prevagu prava i sloboda ispitanika;
  • kada se legitimni interes nastoji naknadno koristiti kao zamjenska pravna osnova za obradu koja je već provedena na drugoj, neodgovarajućoj osnovi.

Kolačići, e-privatnost i Zakon o elektroničkim komunikacijama

Obrada osobnih podataka putem kolačića u zakonodavnom okviru Europske unije propisana je Direktivom 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) te Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. o izmjeni Direktive 2002/22/EZ o univerzalnim uslugama i pravima korisnika s obzirom na elektroničke komunikacijske mreže i usluge (Direktiva o univerzalnim uslugama), a navedene direktive su u Republici Hrvatskoj implementirane u Zakon o elektroničkim komunikacijama (NN 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17, 76/22 i 14/24, 45/26).

Agencija u preporuci o obradi osobnih podataka putem kolačića posebno naglašava da se voditelji obrade ne mogu oslanjati na legitimni interes iz članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka kao pravni temelj za pohranu podataka ili za pristup već pohranjenim podacima u terminalnoj opremi pretplatnika ili korisnika. To se osobito odnosi na kolačiće i druge tehnologije praćenja u marketinške, analitičke ili profilirajuće svrhe, osim ako je riječ o tehničkoj pohrani ili pristupu koji je isključivo potreban za prijenos komunikacije ili nužan za pružanje usluge informacijskog društva koju je korisnik izričito zatražio.

Ako se nakon zakonitog pristupa terminalnoj opremi provodi daljnja obrada osobnih podataka, za tu daljnju obradu također mora postojati odgovarajuća pravna osnova iz članka 6. Opće uredbe o zaštiti podataka. Međutim, legitimni interes ne može se koristiti kako bi se zaobišao prethodni zahtjev za privolom iz Zakona o elektroničkim komunikacijama.

Odgovornost za odabir pravne osnove

Agencija ističe da voditelj obrade ne može odgovornost za odabir pravne osnove prebaciti na vanjskog pružatelja tehničkog rješenja (izvršitelja obrade), primjerice platformu za upravljanje privolama, upravljanje kolačićima, marketinški alat ili pružatelja analitičke usluge. Pravna osnova, procjena nužnosti i test balansiranja ostaju odgovornost voditelja obrade.

Primjer 
U predmetu EDPBI:SE:OSS:D:2025:1738, prema prikazu iz One-stop-shop Case Digesta o legitimnom interesu, i  internetski medij se oslonio na preporuke pružatelja platforme za upravljanje privolama te je u cookie banneru naveo legitimni interes kao pravni temelj za profiliranje i  obradu preciznih geolokacijskih podataka. Nadzorno tijelo utvrdilo je da voditelj obrade nije dokazao svoj legitiman interes. Posebno je naglašeno da se voditelj obrade ne može osloboditi odgovornosti za postojanje pravne osnove pozivanjem na preporuke dobavljača tehničkog rješenja.

 

Test legitimnog interesa

Prije početka obrade voditelj obrade treba provesti test legitimnog interesa. Test mora biti dokumentiran, razumljiv i dovoljno konkretan da se iz njega može vidjeti zbog čega se voditelj obrade oslanja upravo na članak 6. stavak 1. točku (f), koje je alternative razmotrio i zašto smatra da prava i slobode ispitanika ne prevladavaju.

Korak Pitanje koje treba dokazati Zaključak
1. Legitiman interes Koji konkretan interes ostvaruje voditelj obrade ili treća strana? Je li interes zakonit, jasno i precizno izražen te stvaran i prisutan? Bez konkretnog i zakonitog interesa nema primjene članka 6. stavka 1. točke (f).
2. Nužnost Je li obrada osobnih podataka stvarno nužna za ostvarenje tog interesa? Postoji li jednako učinkovito, ali manje nametljivo sredstvo? Ako se cilj može jednako učinkovito ostvariti uz manje podataka ili bez osobnih podataka, obrada nije nužna.
3. Balansiranje Prevladavaju li interesi ili temeljna prava i slobode ispitanika nad interesom voditelja obrade ili treće strane? Ako prava i slobode ispitanika prevladavaju, obrada se ne može temeljiti na legitimnom interesu.

 

Prvi korak: utvrđivanje legitimnog interesa

Interes je šira korist ili potreba koju voditelj obrade ili treća strana nastoji ostvariti obradom. Svrha obrade je konkretniji razlog zbog kojeg se osobni podaci obrađuju. Primjerice, interes može biti promicanje proizvoda, dok konkretna svrha može biti slanje kataloga postojećim kupcima.

Prema EDPB-ovim Smjernicama 1/2024 i sudskoj praksi Suda Europske unije, interes mora ispunjavati tri uvjeta: mora biti zakonit, jasno i precizno izražen te stvaran i prisutan. Ovi uvjeti nisu formalnost. Ako interes nije dovoljno određen, nije ga moguće pravilno odvagnuti s pravima i slobodama ispitanika niti ga transparentno objasniti ispitaniku.

  • Zakonitost: interes ne smije biti protivan pravu Unije ili pravu države članice. U predmetu C-621/22 Koninklijke Nederlandse Lawn Tennisbond Sud Europske unije prihvatio je da i komercijalni interes može biti legitiman, ali samo ako nije protivan zakonu i ako se u konkretnom slučaju ispune uvjeti nužnosti i balansiranja.
  • Jasnoća i preciznost: interes ne smije biti opisan općenitim formulacijama poput „poboljšanje poslovanja”, „opća sigurnost” ili „interes korisnika”. Mora biti dovoljno konkretan da se zna što se točno nastoji postići.
  • Stvarnost i prisutnost: interes mora postojati u trenutku obrade. Hipotetske buduće poslovne ideje, moguće buduće usluge ili neodređene buduće potrebe ne mogu opravdati obradu.

U predmetu C-708/18 Asociaţia de Proprietari bloc M5A-ScaraA Sud Europske unije naglasio je da legitimni interes mora biti stvaran i prisutan na datum obrade, a ne hipotetski. U predmetu C-252/21 Meta Platforms protiv Bundeskartellamt Sud je dodatno naglasio da se legitimne osnove koje dopuštaju obradu bez privole trebaju usko tumačiti.

 

Interes treće strane

Legitimni interes može biti i interes određene treće strane. Treća strana mora biti konkretno određiva, a njezin interes mora ispunjavati iste uvjete kao i interes voditelja obrade. Ne preporučuje se oslanjanje na neodređene formulacije poput „interes javnosti” ili „opće dobro” ako obrada nije utemeljena na odgovarajućoj pravnoj osnovi iz članka 6. stavka 1. točke (c) ili (e).

U predmetu C-13/16 Rīgas satiksme Sud Europske unije prihvatio je da osoba koja traži podatke o osobi koja joj je prouzročila štetu može imati legitiman interes za dobivanje tih podataka radi ostvarivanja pravnog zahtjeva. Slično, u spojenim predmetima C-17/22 i C-18/22 HTB Neunte Immobilien Portfolio Sud je razmatrao legitimni interes treće strane za dobivanje podataka u kontekstu investicijskih odnosa, uz napomenu da je svaku takvu situaciju potrebno procijeniti od slučaja do slučaja.

Primjer: ostvarivanje pravnog zahtjeva treće strane
Osoba A pretrpjela je imovinsku štetu koju je uzrokovala osoba B. Podaci o identitetu osobe B nalaze se kod društva koje je u vezi s događajem raspolagalo potrebnim informacijama.Ako osoba A traži ograničeni opseg podataka nužan radi podnošenja odštetnog zahtjeva, društvo može razmotriti članak 6. stavak 1. točku (f) kao pravnu osnovu, pod uvjetom da provede test nužnosti i balansiranja. Podaci se smiju dostaviti samo u mjeri u kojoj su nužni za ostvarivanje konkretnog pravnog zahtjeva.

 

Drugi korak: nužnost obrade

Nužnost obrade ne znači da je obrada korisna, praktična ili poslovno poželjna. Obrada je nužna samo ako se legitimni interes ne može razumno jednako učinkovito ostvariti drugim sredstvom koje manje zadire u prava i slobode ispitanika. Ovaj korak usko je povezan s načelom smanjenja količine podataka iz članka 5. stavka 1. točke (c) Opće uredbe o zaštiti podataka.

U predmetu C-524/06 Huber Sud Europske unije naglasio je da je pojam nužnosti autonoman pojam prava Unije. U predmetu C-252/21 Meta Platforms protiv Bundeskartellamt Sud je naglasio da se uvjet nužnosti mora ispitati zajedno s načelom smanjenja količine podataka, a u predmetu C-621/22 Koninklijke Nederlandse Lawn Tennisbond ponovljeno je da se ne smije obrađivati više podataka nego što je potrebno za konkretnu svrhu.

Voditelj obrade treba osobito dokumentirati:

  • koje kategorije osobnih podataka obrađuje i zašto je svaka kategorija potrebna;
  • može li se cilj ostvariti anonimnim, pseudonimiziranim, agregiranim ili sintetičkim podacima;
  • može li se obraditi manji broj ispitanika, manji broj podataka po ispitaniku ili kraće razdoblje;
  • jesu li svi koraci obrade nužni ili se pojedini koraci mogu izostaviti;
  • postoji li jasno utvrđen rok pohrane i postupak brisanja;
  • jesu li tokovi podataka poznati, ograničeni i dokumentirani.
Primjer:
U više odluka nadzornih tijela obrada nije prošla test nužnosti jer su postojale manje nametljive alternative. Primjeri iz One-stop-shop Case Digesta uključuju situacije u kojima se cilj mogao postići provjerom prezimena i broja sobe umjesto fotografiranjem gosta, komunikacijom e-poštom umjesto obveznog prikupljanja telefonskog broja ili izravnom porukom unutar platforme umjesto javnom objavom kontaktnih podataka maloljetnika. Ako postoji jednako učinkovita i manje nametljiva alternativa, legitimni interes ne može biti valjana pravna osnova za širu obradu.

 

Primjer: mrežna i informacijska sigurnost
Pružatelj internetske usluge obrađuje IP adrese, vremenske oznake pristupa i tehničke zapise o sigurnosnim  događajima kako bi otkrio i spriječio kibernetičke napade, zlouporabe korisničkih računa i neovlašten pristup sustavu.Takva obrada može biti u legitimnom interesu voditelja obrade, osobito s obzirom na uvodnu izjavu 49. Opće uredbe o zaštiti podataka, ali mora biti ograničena na podatke koji su stvarno nužni, uz jasne rokove pohrane, ograničen pristup i redovito preispitivanje potrebe za daljnjom pohranom.

 

Treći korak: balansiranje interesa (test ravnoteže)

Treći korak zahtijeva objektivno odvagivanje legitimnog interesa voditelja obrade ili treće strane s interesima, temeljnim pravima i slobodama ispitanika. Cilj nije dokazati da obrada nema nikakav utjecaj na ispitanika, nego da taj utjecaj nije nerazmjeran u odnosu na konkretan legitimni interes.

EDPB-ove Smjernice 1/2024 navode da voditelj obrade u ovom koraku treba utvrditi i opisati: interese, temeljna prava i slobode ispitanika; učinak obrade na ispitanika, uključujući prirodu podataka, kontekst obrade i daljnje posljedice; razumna očekivanja ispitanika; te konačno odvagivanje, uključujući moguće dodatne mjere ublažavanja.

U predmetu C-252/21 Meta Platforms protiv Bundeskartellamt Sud Europske unije naglasio je važnost razumnih očekivanja ispitanika. U istom predmetu Sud je ocijenio da korisnik internetske društvene mreže ne može razumno očekivati da će se njegovi osobni podaci bez privole obrađivati u svrhu personaliziranog oglašavanja na temelju opsežnog praćenja. U predmetu C-708/18 Asociaţia de Proprietari bloc M5A-ScaraA Sud je također naglasio važnost konteksta i razumnih očekivanja ispitanika.

 

 Što treba uzeti u obzir kod balansiranja

 

Element procjene Što treba razmotriti
Interesi, prava i slobode ispitanika Ne samo pravo na zaštitu osobnih podataka i privatnost, nego i zabranu diskriminacije, slobodu izražavanja, pravo na fizički i mentalni integritet te financijske, društvene i osobne interese ispitanika.
Priroda podataka Posebne kategorije podataka, podaci o kaznenim osudama i kažnjivim djelima, financijski podaci, lokacijski podaci i drugi podaci koje ispitanici razumno smatraju osobito privatnima imaju veću težinu u korist ispitanika.
Kontekst obrade Odnos između voditelja obrade i ispitanika, opseg obrade, broj ispitanika, izvor podataka, javnost podataka, kombiniranje s drugim skupovima podataka i ranjivost ispitanika.
Daljnje posljedice Moguće pravne, financijske, društvene ili reputacijske posljedice; rizik isključenja iz usluge; diskriminacija; gubitak kontrole nad podacima; buduće odluke trećih strana na temelju obrađenih podataka.
Razumna očekivanja Može li ispitanik u trenutku i kontekstu prikupljanja razumno očekivati takvu obradu? Samo navođenje obrade u obavijesti o privatnosti nije dovoljno ako je obrada objektivno neočekivana.
Mjere ublažavanja Mjere koje nadilaze zakonski minimum, primjerice dodatna pseudonimizacija, kraći rokovi pohrane, dodatna prava prigovora ili brisanja, granularni opt-out mehanizmi, strože kontrole pristupa i dodatna neovisna provjera.

 

Posebne kategorije osobnih podataka

Posebne kategorije osobnih podataka iz članka 9. Opće uredbe o zaštiti podataka ne mogu se obrađivati isključivo na temelju legitimnog interesa. Ako se voditelj obrade poziva na članak 6. stavak 1. točku (f), mora dodatno utvrditi i dokumentirati primjenjivu iznimku iz članka 9. stavka 2. Ispunjavanje uvjeta iz članka 9. stavka 2. ne znači automatski da je ispunjen test legitimnog interesa.

U predmetu C-252/21 Meta Platforms protiv Bundeskartellamt Sud Europske unije pojasnio je da se podaci mogu smatrati posebnim kategorijama ako je iz njih objektivno moguće izvesti informacije koje pripadaju jednoj od kategorija iz članka 9. stavka 1., neovisno o tome je li voditelj obrade imao namjeru doći do takvih informacija. U predmetu C-667/21 Krankenversicherung Nordrhein Sud je dodatno naglasio potrebu stroge primjene pravila o obradi zdravstvenih podataka i posebnih kategorija podataka.

Primjer: obrada zdravstvene dokumentacije radi obrane pravnog zahtjeva
Trgovačko društvo primi odštetni zahtjev kupca koji tvrdi da se ozlijedio tijekom korištenja usluge. Kupac dostavlja liječničku dokumentaciju radi dokazivanja ozljede.Društvo može razmotriti članak 6. stavak 1. točku (f) kao pravnu osnovu za obradu podataka nužnih za provjeru i obranu pravnog zahtjeva, uz dodatnu iznimku iz članka 9. stavka 2. točke (f) Opće uredbe o zaštiti podataka. Obrada mora biti strogo ograničena na relevantne podatke, dostupna samo ovlaštenim osobama i odvjetniku/osiguravatelju ako je to nužno, uz jasno utvrđen rok pohrane.

 

Djeca i drugi ranjivi ispitanici

Ako se obrada odnosi na djecu, interesi djeteta moraju imati osobito veliku težinu u testu balansiranja. U predmetu C-252/21 Meta Platforms protiv Bundeskartellamt Sud Europske unije naglasio je da djeca zaslužuju posebnu zaštitu jer mogu biti manje svjesna rizika, posljedica, zaštitnih mjera i svojih prava. Obrada podataka djece u komercijalne svrhe, profiliranje ili ciljano oglašavanje u pravilu će zahtijevati osobito strogu procjenu i često neće moći proći test legitimnog interesa.

Agencija posebno ističe e da se koristi koje obrada navodno donosi samom djetetu ne mogu jednostavno pretvoriti u legitimni interes voditelja obrade ili treće strane. Ako je stvarni razlog obrade provedba želje samog ispitanika, potrebno je razmotriti je li odgovarajuća pravna osnova privola ili druga pravna osnova, a ne legitimni interes.

Javno dostupni podaci i razumna očekivanja

Činjenica da su osobni podaci javno dostupni ne znači da se mogu slobodno dalje obrađivati na temelju legitimnog interesa. To proizlazi iz sudske prakse Suda Europske unije, uključujući predmete C-13/16 Rīgas satiksme, C-708/18 Asociaţia de Proprietari bloc M5A-ScaraA i spojene predmete C-468/10 i C-469/10 ASNEF. Javni karakter podataka može biti jedan od čimbenika u testu balansiranja, ali ne zamjenjuje potrebu za legitimnim interesom, nužnošću, transparentnošću i poštovanjem razumnih očekivanja ispitanika.

Primjer: korištenje javno objavljenih fotografija u komercijalnoj kampanji
Društvo ne bi smjelo koristiti javno dostupne fotografije fizičkih osoba za vlastitu komercijalnu kampanju samo zato što su objavljene na društvenim mrežama. Ako su fotografije objavljene u osobnom kontekstu, ispitanici u pravilu ne mogu razumno očekivati takvu daljnju obradu, pa bi njihova prava i slobode vjerojatno prevladali.

 

Web scraping u kontekstu generativne umjetne inteligencije

Web scraping je automatizirana tehnika izdvajanja i pohrane velikih količina podataka s javno dostupnih internetskih izvora. U kontekstu razvoja generativne umjetne inteligencije takva obrada može obuhvatiti prikupljanje, strukturiranje, pohranu i daljnju uporabu osobnih podataka velikog broja ispitanika, često bez njihove izravne svijesti o obradi.

Ako web scraping uključuje osobne podatke, primjenjuje se Opća uredba o zaštiti podataka. Činjenica da su podaci dostupni na internetu ne znači da su „slobodni” za svaku daljnju obradu. Također, činjenica da mrežna stranica nema robots.txt ili sličnu tehničku zabranu ne znači da su ispitanici dali privolu za scraping niti da je obrada automatski zakonita.

Legitimni interes često se razmatra kao pravna osnova za web scraping koji provode privatni subjekti u svrhu razvoja ili treniranja generativnih AI modela. Međutim, takva se obrada može temeljiti na članku 6. stavku 1. točki (f) samo ako je interes zakonit, jasno određen i stvaran, ako je obrada nužna i ako prava i interesi ispitanika ne prevladavaju. Posebno je važno procijeniti opseg scrapeanja, izvore podataka, mogućnost prikupljanja podataka djece ili posebnih kategorija podataka, očekivanja ispitanika, rizik gubitka kontrole nad podacima, mogućnost memoriranja ili reprodukcije osobnih podataka u AI modelu te mogućnost ostvarivanja prava ispitanika.

Voditelj obrade koji razmatra web scraping trebao bi prije početka obrade provesti najmanje sljedeće mjere:

  • definirati precizne kriterije prikupljanja umjesto neselektivnog scrapeanja velikog dijela interneta;
  • razmotriti mogu li se koristiti sintetički, anonimni ili pseudonimizirani podaci umjesto stvarnih osobnih podataka;
  • isključiti izvore koji po svojoj prirodi sadržavaju osjetljive podatke, podatke djece ili podatke ranjivih skupina;
  • isključiti mrežne stranice koje se jasno protive scrapingu, primjerice putem robots.txt, ai.txt, CAPTCHA mehanizama ili drugih tehničkih ograničenja;
  • primijeniti filtre za isključivanje podataka koji su prepoznatljivi po formatu, primjerice telefonskih brojeva, identifikacijskih brojeva, adresa e-pošte ili financijskih podataka kada nisu nužni;
  • javno objaviti jasnu obavijest o obradi, uključujući kategorije podataka, svrhe, pravnu osnovu, kategorije izvora, razdoblje prikupljanja i način ostvarivanja prava ispitanika;
  • uspostaviti mehanizme za ostvarivanje prava ispitanika, uključujući mogućnost prigovora ili uključivanja na opt-out listu kada je to izvedivo;
  • izbrisati ili anonimizirati nepotrebne osobne podatke što je prije moguće te primijeniti mjere za smanjenje rizika memoriranja, regurgitacije ili napada na model.

Ako se voditelj obrade poziva na iznimku iz članka 14. stavka 5. točke (b) Opće uredbe o zaštiti podataka jer bi pojedinačno informiranje ispitanika bilo nemoguće ili bi zahtijevalo nerazmjeran napor, to ne znači da je oslobođen zahtjeva transparentnosti. U tom slučaju mora javno objaviti informacije o obradi i poduzeti odgovarajuće mjere za zaštitu prava, sloboda i legitimnih interesa ispitanika. Na takvu se iznimku ne smije pozivati rutinski, nego samo nakon stvarne procjene broja ispitanika, dobi podataka, dostupnosti kontaktnih podataka, učinka na ispitanike i uspostavljenih zaštitnih mjera.

Ako web scraping dovodi do namjernog prikupljanja posebnih kategorija osobnih podataka, voditelj obrade mora, uz pravnu osnovu iz članka 6., utvrditi i primjenjivu iznimku iz članka 9. stavka 2. Opće uredbe o zaštiti podataka. Ako se posebne kategorije podataka prikupe samo usputno i rezidualno, unatoč mjerama za sprječavanje takvog prikupljanja, voditelj obrade i dalje mora moći dokazati da je primijenio učinkovite tehničke i organizacijske mjere u okviru svojih odgovornosti, ovlasti i mogućnosti, uključujući filtre prije prikupljanja, brisanje nakon prikupljanja i mjere za sprječavanje otkrivanja takvih podataka kroz model ili njegove izlaze. To nije opća iznimka od članaka 9. i 10., nego zahtijeva procjenu svakog pojedinačnog slučaja.

 

Izravni marketing

Uvodna izjava 47. Opće uredbe o zaštiti podataka navodi da se obrada osobnih podataka u svrhe izravnog marketinga može smatrati provedenom radi legitimnog interesa. To ne znači da je svaki izravni marketing automatski dopušten na temelju legitimnog interesa.

Osim Opće uredbe o zaštiti podataka, kod izravnog marketinga elektroničkim putem potrebno je uzeti u obzir i Zakon o elektroničkim komunikacijama („Narodne novine“, br. 76/22, 14/24 i 45/26), kao poseban propis kojim su u hrvatsko zakonodavstvo prenesena pravila Direktive o e-privatnosti. Članak 50. stavak 1. Zakona o elektroničkim komunikacijama propisuje da je uporaba automatskih pozivnih i komunikacijskih sustava bez ljudskog posredovanja, telefaksnih uređaja ili elektroničke pošte, uključujući SMS i MMS poruke, u svrhu izravne promidžbe i prodaje dopuštena samo uz prethodno pribavljenu privolu krajnjeg korisnika.

Iznimno, članak 50. stavak 2. istog Zakona dopušta fizičkoj ili pravnoj osobi trgovca da podatke o adresama elektroničke pošte, koje je pribavila od svojih potrošača u svrhu prodaje proizvoda i usluga, koristi za izravnu promidžbu i prodaju isključivo vlastitih sličnih proizvoda ili usluga, pod uvjetom da potrošači imaju jasnu i nedvojbenu mogućnost besplatnog i jednostavnog prigovora takvoj uporabi, i to prilikom prikupljanja adrese elektroničke pošte i prilikom zaprimanja svake elektroničke poruke, ako potrošač nije unaprijed odbio takvu uporabu.

Prema tome, za slanje newslettera elektroničkom poštom, SMS-om, MMS-om ili sličnim elektroničkim komunikacijskim sredstvima pravilo je prethodna privola iz članka 50. stavka 1. Zakona o elektroničkim komunikacijama. Legitimni interes može se razmatrati samo u okviru iznimke iz članka 50. stavka 2. toga Zakona, odnosno kada su elektronički kontaktni podaci pribavljeni od postojećih potrošača u kontekstu prodaje proizvoda ili usluge, kada se promiču vlastiti slični proizvodi ili usluge te kada je potrošaču omogućeno jednostavno, besplatno i jasno pravo prigovora.

Ako se obrada provodi u svrhu izravnog marketinga, ispitanik ima bezuvjetno pravo na prigovor u skladu s člankom 21. stavkom 2. Opće uredbe o zaštiti podataka. Nakon prigovora, obrada u svrhu izravnog marketinga mora prestati, bez dodatnog balansiranja i bez potrebe da ispitanik obrazlaže razloge prigovora.

 

Sprečavanje prijevara i uporaba AI sustava

Sprečavanje prijevara može biti legitiman interes, ali samo za konkretno definirane vrste prijevara i samo u opsegu koji je strogo nužan. Općenito navođenje „borbe protiv prijevara” nije dovoljno. Voditelj obrade treba jasno opisati koju prijevaru nastoji spriječiti, koji su podaci potrebni, koji su kriteriji procjene, tko ima pristup podacima i koliko dugo se podaci čuvaju.

Primjer: uporaba AI sustava za otkrivanje prijevarnih narudžbi u internetskoj trgovini
Internetska trgovina koristi AI sustav za prepoznavanje potencijalno prijevarnih narudžbi i pokušaja zlouporabe korisničkih računa. Sustav analizira ograničeni skup podataka povezanih s narudžbom, primjerice adresu e-pošte, IP adresu, podatak o načinu plaćanja, vrijednost narudžbe, broj prethodnih neuspjelih pokušaja plaćanja te tehničke pokazatelje koji mogu upućivati na neuobičajeno ponašanje. AI sustav ne donosi konačnu odluku o odbijanju narudžbe niti automatski blokira korisnički račun, već samo označava narudžbu kao potencijalno rizičnu.Konačnu odluku donosi ovlaštena osoba nakon dodatne provjere.Voditelj obrade ima legitiman interes zaštititi svoje poslovanje, korisnike i platni sustav od prijevara, zlouporabe korisničkih računa, neovlaštenih transakcija i financijske štete.Takav interes je zakonit, stvaran i trenutačan jer je povezan s konkretnom potrebom sprječavanja prijevara u okviru pružanja internetske usluge. Obrada može biti nužna ako se prijevarne narudžbe razumno ne mogu jednako učinkovito otkriti manje nametljivim sredstvima, ali mora biti ograničena na podatke relevantne za procjenu rizika.U testu balansiranja treba uzeti u obzir mogućnost netočnih rezultata, odgode isporuke, dodatne provjere, neopravdanog odbijanja narudžbe, profiliranja i gubitka kontrole nad podacima. U korist voditelja obrade može govoriti činjenica da korisnik internetske trgovine može razumno očekivati određene sigurnosne i antifraud provjere pri online kupnji.Zaštitne mjere trebaju uključivati ljudsku provjeru prije negativnog učinka na korisnika, ograničenje pristupa, jasne rokove pohrane, transparentnu obavijest, mogućnost osporavanja ishoda i redovito testiranje točnosti i mogućih diskriminatornih učinaka sustava. Ako bi AI sustav automatski odbijao narudžbe, blokirao račune ili donosio odluke koje proizvode pravne ili slične značajne učinke bez stvarne ljudske intervencije, voditelj obrade morao bi dodatno procijeniti primjenu članka 22. Opće uredbe o zaštiti podataka i potrebu provedbe procjene učinka na zaštitu podataka.

 

Videonadzor radi zaštite osoba i imovine

Voditelj obrade može razmotriti legitimni interes iz članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka kao pravnu osnovu za videonadzor poslovnog prostora ako je svrha obrade zaštita osoba, imovine, poslovnog prostora, robe ili sprečavanje neovlaštenog ulaska, krađe, oštećenja ili drugih sigurnosnih incidenata. Takav interes mora biti konkretan, stvaran i obrazložen, primjerice ranijim incidentima, povećanim sigurnosnim rizikom, vrijednošću imovine ili posebnim okolnostima prostora. Nije dovoljno općenito navesti “povećanje sigurnosti”.

Videonadzor mora biti ograničen samo na prostore u kojima postoji stvarna potreba za snimanjem, primjerice ulaze, izlaze, blagajnički prostor, skladište ili neposredni pristup objektu. Perimetar snimanja ne smije obuhvaćati javnu površinu, prostore u kojima ispitanici imaju povećano očekivanje privatnosti, poput sanitarnih čvorova, garderoba ili prostorija za odmor, niti se videonadzor smije koristiti za praćenje radne učinkovitosti zaposlenika. Prije uvođenja videonadzora voditelj obrade treba procijeniti može li se ista svrha postići manje nametljivim mjerama, primjerice kontrolom pristupa, alarmnim sustavom, boljom rasvjetom ili fizičkom zaštitom. Ako su takve mjere jednako učinkovite, videonadzor se ne može smatrati nužnim.

Ako je videonadzor ograničen na nužne prostore, ispitanici su jasno obaviješteni o snimanju, pristup snimkama imaju samo ovlaštene osobe, snimke se čuvaju u ograničenom roku i primijenjene su odgovarajuće sigurnosne mjere, legitimni interes voditelja obrade može prevagnuti nad interesima i pravima ispitanika. Videonadzor se može temeljiti na legitimnom interesu samo ako je prije početka obrade provedena i dokumentirana procjena kojom je utvrđeno da postoji konkretan legitimni interes, da je snimanje nužno te da prava i slobode ispitanika ne prevladavaju nad interesom voditelja obrade.

Retroaktivna promjena pravne osnove

Voditelj obrade mora pravnu osnovu utvrditi prije početka obrade i o njoj obavijestiti ispitanika. Agencija neće prihvatiti naknadno pozivanje na legitimni interes kao „rezervnu” osnovu kada se pokaže da izvorno odabrana osnova nije bila valjana. Takva promjena može povrijediti pravo ispitanika na informacije o konkretnom legitimnom interesu i pravo na prigovor.

Ako voditelj obrade utvrdi da je prvotno odabrana pravna osnova pogrešna, treba zaustaviti ili prilagoditi obradu, procijeniti zakonitost već provedene obrade, informirati ispitanike ako je potrebno i, za buduću obradu, pravilno utvrditi pravnu osnovu prije nastavka obrade.

 

Transparentnost i prava ispitanika

Ako se obrada temelji na legitimnom interesu, ispitanici moraju biti jasno i precizno obaviješteni o pravnoj osnovi i konkretnim legitimnim interesima koji se nastoje ostvariti. Nije dovoljno navesti samo da se obrada temelji na „legitimnom interesu”. Informacije moraju biti razumljive, lako dostupne i pružene u skladu s člancima 12., 13. i 14. Opće uredbe o zaštiti podataka.

U predmetu C-252/21 Meta Platforms protiv Bundeskartellamt Sud Europske unije naglasio je važnost informiranja ispitanika o legitimnim interesima kada se voditelj obrade poziva na članak 6. stavak 1. točku (f). EDPB preporučuje da voditelj obrade, gdje je to primjereno, u slojevitoj obavijesti o privatnosti objasni bitne elemente testa balansiranja ili ispitanicima omogući da informacije o testu dobiju na zahtjev.

Ispitanik ima pravo na prigovor na obradu koja se temelji na članku 6. stavku 1. točki (f), u skladu s člankom 21. stavkom 1. Nakon prigovora voditelj obrade više ne smije obrađivati osobne podatke, osim ako dokaže postojanje uvjerljivih legitimnih razloga koji nadilaze interese, prava i slobode ispitanika ili ako je obrada nužna za postavljanje, ostvarivanje ili obranu pravnih zahtjeva. U spojenim predmetima C-26/22 i C-64/22 SCHUFA Holding (Libération de reliquat de dette) Sud je naglasio teret dokazivanja na strani voditelja obrade u kontekstu prigovora i brisanja.

 

Pravo ispitanika Preporuka za voditelja obrade
Pravo na informacije Jasno navesti članak 6. stavak 1. točku (f), konkretan legitimni interes, svrhu, kategorije podataka, primatelje, rokove pohrane i pravo na prigovor.
Pravo na pristup Na zahtjev, osim podataka iz članka 15., preporučljivo je pružiti i informaciju o pravnoj osnovi te osnovnim elementima testa legitimnog interesa ili mjestu gdje su dostupni.
Pravo na prigovor Uspostaviti jednostavan postupak zaprimanja i procjene prigovora. Nakon prigovora provesti novu procjenu s obzirom na posebnu situaciju ispitanika.
Pravo na brisanje Ako podaci više nisu potrebni, ako je pravna osnova bila nevaljana ili ako je prigovor uspješan, podatke treba izbrisati, osim ako postoji zakonita osnova za daljnju pohranu.
Pravo na ograničenje obrade Ako je ispitanik uložio prigovor, obradu treba ograničiti dok se ne provjeri prevladavaju li legitimni razlozi voditelja obrade.
Pravo na ispravak Osigurati učinkovite postupke ispravka netočnih podataka, osobito kada podaci nisu dobiveni izravno od ispitanika ili kada se koriste za procjene i odluke.

Dokumentiranje procjene

Načelo odgovornosti iz članka 5. stavka 2. Opće uredbe o zaštiti podataka zahtijeva da voditelj obrade može dokazati usklađenost. Zato test legitimnog interesa treba biti dokumentiran prije početka obrade i redovito preispitivan, osobito ako se promijene svrha, opseg, kategorije podataka, tehnologija, primatelji, rokovi pohrane ili očekivanja ispitanika.

Dokumentacija treba sadržavati najmanje:

  • opis obrade, svrhe, kategorija podataka i kategorija ispitanika;
  • konkretnu formulaciju legitimnog interesa i osobu/subjekt koji ga ostvaruje;
  • procjenu zakonitosti, jasnoće i stvarnosti interesa;
  • analizu nužnosti i razmatranih manje nametljivih alternativa;
  • analizu učinka na ispitanike, uključujući razumna očekivanja i moguće posljedice;
  • opis zaštitnih mjera i mjera ublažavanja;
  • zaključak testa i odgovornu osobu koja ga je odobrila;
  • mišljenje službenika za zaštitu podataka, ako je imenovan i uključen u procjenu;
  • rok i kriterije za ponovnu provjeru testa.
Preporučena praksa
Voditeljima obrade preporučuje se koristiti strukturirani obrazac testa legitimnog interesa kojeg je izradio AZOP: https://azop.hr/wp-content/uploads/2026/05/PREDLOZAK-ZA-PROVEDBU-TESTA-LEGITIMNOG-INTERESA.docx, čuvati dokumentaciju o procjeni zajedno s evidencijom aktivnosti obrade te u internim procedurama predvidjeti obvezno uključivanje službenika za zaštitu podataka kod složenijih, rizičnijih ili novih obrada.

 

Zaključno, Agencija ističe da voditelji obrade trebaju legitimni interes koristiti promišljeno, dokumentirano i samo kada je ta pravna osnova stvarno primjerena konkretnom postupku obrade. Samo postojanje poslovnog, organizacijskog ili sigurnosnog interesa nije dovoljno. Potrebno je dokazati da je interes zakonit, jasno određen i stvaran, da je obrada nužna i ograničena na ono što je potrebno te da prava, slobode i interesi ispitanika ne prevladavaju.

U slučajevima dvojbe, osobito kada se obrađuju osjetljiviji podaci, podaci djece, podaci koji mogu dovesti do značajnih posljedica za ispitanike, podaci iz više izvora ili podaci u kontekstu profiliranja, automatiziranih sustava ili web scrapinga, preporučuje se primijeniti stroži pristup, dodatno smanjiti opseg obrade, uvesti dodatne zaštitne mjere ili odabrati drugu primjereniju pravnu osnovu ako je dostupna i zakonita.

Ako test legitimnog interesa ne daje jasan i uvjerljiv pozitivan rezultat, obrada se ne bi smjela temeljiti na članku 6. stavku 1. točki (f) Opće uredbe o zaštiti podataka.

PREDLOŽAK ZA PROVEDBU TESTA LEGITIMNOG INTERESA

LEGITIMNI INTERES- INFOGRAFIKA

Smjernice 1/2024 Europskog odbora za zaštitu podataka o obradi osobnih podataka na temelju članka 6. stavka 1. točke (f) Opće uredbe o zaštiti podataka

One-stop-shop digest- legitimni interes

A

Povezano

Kodeksi ponašanja – često postavljana pitanja i odgovori

Kodeksi ponašanja – često postavljana pitanja i odgovori

Članak 40. Opće uredbe o zaštiti podataka potiče izradu kodeksa ponašanja koji doprinose pravilnoj primjeni Opće uredbe o zaštiti podataka, osobito uzimajući u obzir posebnosti pojedinih sektora i potrebe mikro, malih i srednjih poduzeća. U skladu s člankom 40....

Akreditacijski zahtjevi za tijela za praćenje kodeksa ponašanja

Akreditacijski zahtjevi za tijela za praćenje kodeksa ponašanja

Objavljeno: 20.5.2026. Kodeksi ponašanja - često postavljana pitanja i odgovori Na temelju Smjernica Europskog odbora za zaštitu podataka 1/2019 o kodeksima ponašanja i tijelima za praćenje prema Uredbi 2016/679, U skladu s člankom 41. Uredbe (EU) 2016/679 Europskog...

VIDEONADZOR
ZAHTJEV ZA UTVRĐIVANJE POVREDE PRAVA
UMJETNA INTELIGENCIJA
IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA
MIŠLJENJA, RJEŠENJA, PREPORUKE I SMJERNICE
IZVJEŠĆIVANJE O POVREDI OSOBNIH PODATAKA
Olivia-alat za usklađivanje s GDPR-om
7-edpb_logo_fullcolor_2
ARC projekt
Skip to content