Obrada zdravstvenih podataka novaka

19.01.2026. 12:00:51

GDPR u praksi

Postupak prvih zdravstvenih pregleda novaka trebao bi predstavljati početnu i jasno definiranu fazu utvrđivanja zdravstvene sposobnosti, usmjerenu isključivo na odgovor na osnovno pitanje propisano zakonom - je li osoba sposobna ili nesposobna za vojnu službu. Takav postupak mora biti organiziran na način koji osigurava pravnu sigurnost, zaštitu dostojanstva ispitanika i razmjernu obradu osobnih podataka, osobito kada je riječ o podacima o zdravlju. Međutim, u praksi su se već na samom početku provedbe pregleda otvorila brojna pitanja u vezi s opsegom podataka koji se prikupljaju, načinom njihove dokumentacije te krugom osoba koje tim podacima imaju pristup, zbog čega je nužno jasno razgraničiti ono što je zakonom dopušteno i nužno od onoga što prelazi granice propisane svrhe.

I. Utvrđivanje zdravstvene sposobnosti: Zakon o obrani i Pravilnik

Važeći Zakon o obrani (Narodne novine, br. 136/25) u članku 21.g stavku 4. izričito propisuje da se zdravstvena sposobnost novaka za vojnu službu utvrđuje isključivo u dvije kategorije:

• sposoban za vojnu službu
• nesposoban za vojnu službu

Stavkom 5. istog članka propisano je da ministar obrane, uz prethodnu suglasnost ministra nadležnog za zdravstvo, pravilnikom uređuje mjerila i postupke za ocjenu zdravstvene sposobnosti novaka i ročnika. Na temelju te zakonske ovlasti, dana 23. prosinca 2025. u Narodnim novinama br. 155/2025 objavljen je Pravilnik o mjerilima i postupcima za ocjenu zdravstvene sposobnosti novaka i ročnika.

Međutim, članak 13. Pravilnika propisuje da se u Uvjerenje o zdravstvenoj sposobnosti, uz ocjenu „nesposoban“, obvezno unose i točke popisa bolesti i srodnih zdravstvenih problema, sukladno Metodološkim uputama, što je dodatno razrađeno u Prilogu 3. Pravilnika.

Takvo normativno rješenje, bez jasno i precizno definirane svrhe obrade s kojom su ispitanici prethodno upoznati, predstavlja izravno kršenje temeljnih načela Opće uredbe.

Načelo smanjenja količine podataka (data minimisation)

Članak 5. stavak 1. točka (c) GDPR-a propisuje da osobni podaci moraju biti:
„primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe obrade“.

Istodobno, članak 9. GDPR-a jasno određuje da se podaci o zdravlju smatraju posebnim kategorijama osobnih podataka, čija je obrada dopuštena isključivo pod strogo propisanim uvjetima i samo u mjeri koja je nužna.

S obzirom na to da Zakon o obrani zahtijeva isključivo binarnu ocjenu „sposoban“ odnosno „nesposoban“, ne postoji razvidna zakonska ni svrhovita osnova za navođenje konkretnih dijagnoza, šifri bolesti ili detaljnih zdravstvenih stanja u samom Uvjerenju, čime se povjerljive informacije o zdravlju nepotrebno stavljaju na raspolaganje širem krugu osoba za koje podatak o tome o kojoj je bolesti riječ nije od važnosti za obavljanje poslova iz njihovog djelokruga.

Takvo navođenje:
• nije nužno za ostvarenje svrhe obrade (ili takva svrha nije javno dostupna),
• nije propisano zakonom,
• te izlaže ispitanike neopravdanom otkrivanju osobito osjetljivih zdravstvenih podataka potencijalno širokom i nekontroliranom krugu osoba.

Posljedično, riječ je o prekomjernoj i nesrazmjernoj obradi osobnih podataka.

Slijedom upita većeg broja građana, Centar Feralis uputio je zahtjev za postupanje nadzornom tijelu – Agencija za zaštitu osobnih podataka (AZOP), s molbom da se izvrši provjera zakonitosti predmetne obrade.

Ukoliko Ministarstvo smatra da za navođenje dijagnoza i šifri bolesti u Uvjerenju postoji objektivna, zakonita i razmjerna nužnost, molimo:
• precizno, jasno i normativno utemeljeno obrazloženje, uz izričito navođenje konkretne pravne osnove sukladno člancima 6. i 9. GDPR-a, te
• da takvo obrazloženje bude javno dostupno, radi osiguranja transparentnosti i pravne sigurnosti ispitanika.

II. Obrada osobnih podataka od strane privatnih zdravstvenih ustanova bez ugovora iz članka 28. GDPR-a

Odlukom o određivanju zdravstvenih ustanova i privatnih praksi medicine rada i sporta za provedbu zdravstvenih pregleda i psihologijskih ispitivanja vojnih obveznika
(KLASA: 011-02/25-11/37, URBROJ: 534-06-1-1/6-25-02 od 22. prosinca 2025.) određeni su subjekti ovlašteni za provedbu predmetnih pregleda.

U tom postupku privatne prakse medicine rada i sporta obrađuju posebne kategorije osobnih podataka u ime i za račun Republike Hrvatske, čime u smislu članka 4. točke 8. i članka 28. GDPR-a imaju status izvršitelja obrade.

Sukladno članku 28. stavcima 3. i 9. GDPR-a, takva obrada dopuštena je isključivo ako je utemeljena na:

pisanom ugovoru ili drugom pravno obvezujućem aktu između voditelja i izvršitelja obrade, te
ugovoru o obradi osobnih podataka odnosno standardnim ugovornim klauzulama donesenima Provedbenom odlukom Komisije (EU) 2021/915.

U nedostatku navedenih instrumenata, svaka obrada osobnih podataka od strane privatnih zdravstvenih ustanova smatra se nezakonitom, čime se te ustanove izravno izlažu visokim upravnim novčanim kaznama iz članka 83. GDPR-a, dok tijela javne vlasti kao voditelji obrade ne podliježu istovjetnom režimu sankcioniranja – što dodatno naglašava potrebu za pravovremenim i ugovorno uređenim postupanjem.

Slijedom navedenog, Centar Feralis zatražio je od AZOP-a provjeru sljedećih pitanja:

• Jesu li s privatnim zdravstvenim ustanovama sklopljeni ugovori iz članka 28. GDPR-a?
• Jesu li tim subjektima dostavljeni ugovori o obradi osobnih podataka odnosno standardne ugovorne klauzule sukladno Odluci (EU) 2021/915?
• Ako nisu, iz kojeg razloga nisu te na temelju koje pravne osnove je obrada osobnih podataka uopće započela?

Ovo pitanje nadilazi pojedinačni slučaj i zadire u temeljna načela zakonitosti, razmjernosti i transparentnosti obrade osobnih podataka, osobito kada je riječ o posebnim kategorijama podataka u osjetljivom području obrane i zdravstva. Upravo stoga, pravna jasnoća i javno obrazložena rješenja predstavljaju nužan preduvjet za očuvanje povjerenja građana i dosljednu primjenu europskih standarda zaštite osobnih podataka u Republici Hrvatskoj.

Više: NOVI LIST Ugrožavanje privatnosti! Dijagnoze novaka dostupne širem krugu ljudi

^{Zaštita osobnih podataka u javnom interesu: uloga Centra Feralis i otvorena pitanja zakonitosti obrade zdravstvenih podataka novaka}

^{Hrvatski centar za zaštitu podataka Feralis (skr. Centar Feralis) prema javno dostupnim i provjerljivim podacima jedina je organizacija u Republici Hrvatskoj koja djeluje sukladno članku 80. Opće uredbe o zaštiti podataka (EU) 2016/679 (GDPR), s jasno definiranim ciljem zaštite prava i interesa ispitanika u području obrade osobnih podataka.}^{Centar Feralis ujedno je hrvatski predstavnik u Europska federacija službenika za zaštitu podataka (EFDPO) te je u tom svojstvu sudjelovao u provedbi niza projekata od nacionalnog i europskog značaja. Među njima se posebno ističu uspostava sustava zaštite osobnih podataka u okviru sustava e-Građani te prvi državni AI sustav za suzbijanje COVID-19 – Andrija Digitalni Asistent, projekti koji su zahtijevali najvišu razinu pravne, tehničke i organizacijske usklađenosti s europskim standardima zaštite podataka.}^{Centar je ujedno izdavač prve hrvatske stručne publikacije posvećene primjeni GDPR-a u radnim odnosima – „GDPR na radnom mjestu“, autorice Ines Krečak, Data Protection Professional, čime je dodatno potvrđena njegova uloga kao središnjeg stručnog autoriteta u području zaštite osobnih podataka u Republici Hrvatskoj.}^{Sukladno svojoj stručnoj ulozi, Centar Feralis kontinuirano postupa radi zaštite temeljnih prava građana na zaštitu osobnih podataka te osiguranja pune, dosljedne i transparentne primjene Opće uredbe u praksi javnog i privatnog sektora.}

^{U tom kontekstu, a povodom većeg broja zaprimljenih prijava zabrinutih građana i organizacija, Centar se obratio nadležnim tijelima u vezi s postupkom utvrđivanja zdravstvene sposobnosti novaka za vojnu službu, s posebnim naglaskom na zakonitost i razmjernost obrade zdravstvenih podataka.}