Objavljeno: 15.10.2025.
Agencija za zaštitu osobnih podataka (dalje: Agencija) temeljem članka 57. stavka 1. točke b) i d) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (dalje: Opća uredba o zaštiti podataka) SL EU L119, daje sljedeće preporuku:
Uvodno ističemo da je prilikom svake obrade osobnih podataka, što uključuje i aktivnosti obrade osobnih podatka u svrhu testiranja informacijsko-komunikacijskih sustava, potrebno voditi računa o načelima obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, a za svako prikupljanje i obradu osobnih podataka potrebno je odrediti odgovarajući pravni temelj iz članka 6.. stavka 1. Opće uredbe o zaštiti podataka.
Naime, u članku 5. Opće uredbe o zaštiti podataka definirana su načela obrade osobnih podataka, odnosno da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti), prikupljeni u posebne, izričite i zakonite svrhe te da se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe), primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenja količine podataka), točni i prema potrebi ažurni (načelo točnosti), čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane), obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
U tom pogledu ističemo kako načelo ograničenja svrhe, koje je utvrđeno člankom 5. stavkom 1. točkom (b) Opće uredbe o zaštiti podataka ima u ovom kontekstu posebnu važnost. Naime, spomenuto načelo ima dvije sastavnice, odnosno, osobni podaci trebaju, s jedne strane, biti prikupljeni u „posebne, izričite i zakonite” svrhe te, s druge strane, ne smiju se „obrađivati na način koji nije u skladu” s tim svrhama. Svrha je tog načela što jasnije razgraničiti upotrebu osobnih podataka osiguravanjem ravnoteže između poštovanja temeljnih prava ispitanika u pogledu privatnosti i zaštite podataka te priznavanja određene fleksibilnosti u korist voditelja obrade u upravljanju tim podacima. Drugim riječima, spomenutim načelom se nastoje utvrditi granice unutar kojih se osobni podaci prikupljeni u prvotne svrhe mogu dalje obrađivati.
Sukladno uvodnoj izjavi 50. Opće uredbe o zaštiti podataka, obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna posebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije ili pravom državne članice mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim.
Nadalje, sukladno uvodnoj izjavi 50. Opće uredbe o zaštiti podataka, radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezi između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.
S tim u vezi ukazujemo kako sukladno članku 6. stavku 4. Opće uredbe o zaštiti podataka, ako se obrada u svrhu koja je različita od svrhe koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članaka 23. stavka 1., voditelj obrade s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim:
- svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;
- kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanika i voditelja obrade;
- prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.;
- moguće posljedice namjeravanog nastavka obrade za ispitanike;
- postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.
Naprijed navedenim kriterijima se omogućuje da se ponovno korištenje prethodno prikupljenih osobnih podataka uredi tako da se osigura ravnoteža između, s jedne strane, nužnosti predvidljivosti i pravne sigurnosti u vezi sa svrhama obrade prethodno prikupljenih osobnih podataka i, s druge strane, priznavanja određene fleksibilnosti u korist voditelja obrade u upravljanju tim podacima te oni stoga doprinose ostvarenju cilja koji se sastoji od osiguranja postojane i visoke razine zaštite pojedinaca (Presuda od 20. listopada 2022., Digi Távközlési és Szolgáltató Kft. protiv Nemzeti Adatvédelmi és Információszabadság Hatóság, C-77/21, EU:C:2022:805, t. 37.).
Prema mišljenju Agencije, usklađena daljnja obrada ne mora značiti da je nova svrha obrade „pod-svrha“ inicijalne svrhe obrade. Usklađenost postoji i kada je nova svrha drugačija, ali korelira s inicijalnom svrhom u smislu da se te svrhe provode zajedno, odnosno da su neposredno povezane u vremenskom i kontekstualnom smislu ili da je daljnja obrada logična konsekvenca inicijalne obrade.
Pri tome se svaka obrada nakon prikupljanja smatra „daljnjom obradom” i ista stoga treba, uz iznimke, ispunjavati zahtjev usklađenosti. Taj zahtjev odražava potrebu za konkretnom, logičnom i dovoljno bliskom vezom između svrhe prikupljanja podataka i njihove daljnje obrade. Drugim riječima, ta obrada ne smije biti nepovezana s izvornom svrhom prikupljanja podataka niti s njom u proturječnosti, a njezin sadržaj treba biti usklađen sa svrhom prikupljanja, neovisno o problematici u pogledu trajanja zadržavanja (Mišljenje nezavisnog odvjetnika P. Pikamäea od 3. ožujka 2022., predmet C-77/21).
S tim u vezi treba imati na umu, kako je Sud Europske unije (dalje u tekstu: Sud), u prethodno navedenom predmetu, skrenuo pozornost na činjenicu da je pojam „obrada” široko definiran u članku 4. točki 2. Opće uredbe o zaštiti podataka tako da označava svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje i pohrana tih podataka.
Također, ako se voditelj obrade oslanja na usklađenost daljnje obrade, mora moći dokazati da je proveo procjenu usklađenosti, odnosno da je adresirao na odgovarajući način sve zahtjeve iz članka 6. stavka 4. Opće uredbe o zaštiti podataka.
Pri tome potrebno je procijeniti dodatne rizike za ispitanike kojima daljnja obrada može rezultirati. Daljnja obrada ne smije rezultirati značajno većim rizikom od inicijalne zakonite obrade, ako je kvalificirana kao usklađena. To će svakako ograničiti usklađenu daljnju obradu posebnih kategorija podataka. Oslanjanje na usklađenost ne može proširiti zakonitu obradu takvih podataka iznad onoga kako je to definirano člancima 9. i 10. Opće uredbe o zaštiti podataka.
U situaciji neusklađene daljnje obrade, samo privola ispitanika ili posebne zakonske odredbe sukladno članku 23. stavku 1. Opće uredbe o zaštiti podataka mogu biti zakonite pravne osnove zadiranja u načelo ograničenje svrhe. Pri tome, u stavku 2. navedenog članka je definirano koji su to minimalni zahtjevi koje zakonska odredba iz stavka 1. mora ispunjavati.
U nastavku ova preporuka slijedi preporuke Europskog nadzornika za zaštitu podataka sadržane u “Smjernicama o zaštiti osobnih podataka i vođenju i upravljanju IT unutar institucija EU” (dostupne na: IT governance and IT management | European Data Protection Supervisor). Naime, u istima se ističe kako je u razvojnom ciklusu programskih rješenja nužno provođenje različitih testiranja sustava na prethodno pripremljenim podacima. Kod pripreme podataka za testiranje programskih rješenja, voditelj obrade bi trebao koristiti podatke koji nisu osobni podaci u smislu Opće uredbe o zaštiti podataka. Drugim riječima, voditelj obrade bi trebao anonimizirati podatke ili koristiti sintetičke podatke, odnosno u fazi testiranja bi trebalo izbjegavati korištenje stvarnih osobnih podataka u procesu razvoja programskih rješenja s obzirom na činjenicu da podaci ne smiju biti korišteni u svrhe za koje nisu prikupljeni.
Ako se analizom utvrdi da korištenje anonimiziranih ili sintetičkih podataka nije moguće, odnosno da isti ne bi pružili dostatno jamstvo za valjanost samih testova, potrebno je donijeti dokumentiranu odluku za korištenje stvarnih podataka koji uključuju osobne podatke, u svrhu provođenja testiranja. U tu svrhu nužno je implementirati dodatne tehničke i organizacijske mjere sigurnosti kako bi se osigurala adekvatna zaštita testnog okruženja. S tim u vezi ističemo kako se posebne kategorije osobnih podataka iz članka 9. stavka 1. Opće uredbe o zaštiti podataka mogu koristiti za potrebe testiranja samo ako postoji za to izričita privola ispitanika.
Nadalje, u slučaju kada je u postupak testiranja informacijsko-komunikacijskog sustava uključena ugovorna strana, osobitu je pozornost potrebno posvetiti načinu postupanja s podacima koji su joj stavljeni na raspolaganje za potrebe provedbe testiranja.
Ugovorna strana smije imati pristup isključivo testnim okruženjima sustava. Ukoliko je, iz opravdanih razloga, nužan pristup produkcijskom okruženju, odnosno stvarnim osobnim podacima, takve radnje smiju provoditi isključivo ovlašteni informatički administratori ugovorne strane, i to prema izričitim uputama voditelja obrade. Prije početka testiranja potrebno je osigurati provedbu odgovarajućih tehničkih i organizacijskih mjera radi zaštite osobnih podataka i sprječavanja neovlaštenog pristupa.
Sukladno uvodnoj izjavi 83. Opće uredbe o zaštiti podataka, kako bi se očuvala sigurnost i spriječila obrada kojom se krši ista, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi. Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.
Dodatno Agencija ističe da sukladno članku 25. stavku 1. Opće uredbe o zaštiti podataka, uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je primjerice smanjenje količine podataka.
S tim u vezi, u članku 32. Opće uredbe o zaštiti podataka propisano je kako voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi, primjerice pseudonimizaciju i enkripciju osobnih podataka.
Ujedno skrećemo pažnju na obvezu iz članka 35. Opće uredbe o zaštiti podataka temeljem koje, ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka na zaštitu osobnih podataka.
