U središtu

Pregled novije poredbene sudske i zakonodavne prakse, br. 2/2024.

23.01.2024

Autor u članku donosi pregled novije poredbene sudske i zakonodavne prakse s područja zaštite osobnih podataka.

Sažetak

Aktualnost kibernetičkih napada kao posljedica hibridnog ratovanja ili kriminalnih radnji sve se više odražava u osigurateljnoj i sudskoj praksi. Sud Europske unije nedavno je usvojio izrazito bitno tumačenje u vezi odgovornosti za nematerijalnu štetu uslijed neovlaštenog pristupa osobnim podacima. Sud je dodatno zauzeo važna stajališta po pitanju odgovornosti voditelja obrade podataka i tereta dokaza. U nastavku teksta donosi se kraći prikaz navedenog predmeta.

Tijekom trajanja COVID pandemije raznolike vladine mjere ograničenja kretanja i poslovanja nastojale su spriječiti širenje zaraze. Jedna od metoda provođenja i kontrole provođenja takvih mjera bilo je i korištenje pametnih aplikacija koje su skeniranjem barkoda na COVID potvrdama na brz i efikasan način službenim osobama davale povratnu informaciju ispunjava li dotična osoba propisane mjere ili ne. Ujedno, navedene aplikacije prikupljale su niz osobnih podataka koji nisu spadali pod polje primjene posebne europske uredbe koja je unutar ograničenog vremenskog perioda važenja davala pravnu osnovu obrade određenih osobnih podataka bez privole ispitanika. Sud Europske unije u nedavnom predmetu zauzeo je jasno stajalište u vezi prirode takvih podataka koji su obrađivani kroz skeniranje COVID potvrda, u vezi čega se daje kraći komentar u nastavku teksta.

Konačno, posljednja sumarna analiza obuhvaća dva predmeta u kojima je Sud Europske unije odlučivao istovremeno, a koji se tiču problematike zajedničke obrade podataka i odgovornosti voditelja obrade podataka u kontekstu izricanja upravnih novčanih kazni. Oba predmeta uključuju problematiku automatizirane obrade podataka korištenjem pametnih aplikacija.

Odgovornost voditelja obrade za nematerijalnu štetu u slučaju neovlaštenog pristupa osobnim podacima u slučaju kibernetičkog napada

Ključne riječi: C-340/21, kibernetički napad, osobni podaci, odgovornost voditelja obrade, nematerijalna šteta, teret dokaza

S obzirom na primjetan porast europske regulative u digitalnoj sferi, dio čega se odnosi na u potpunosti novi set prava i obveza na strani pružatelja digitalnih usluga i usluga informacijskog društva, voditelja obrade podataka koji se obrađuju i pohranjuju u digitalnoj formi i ostalih dionika digitalnog prostora, sve češće se u pravnim raspravama spominje pitanje odgovornosti u slučaju kibernetičkog napada i neovlaštenog pristupa podacima. U tom smislu je korisno dati kraći osvrt na odluku Suda Europske unije (Sud EU-a) u predmetu C-340/21. Sud EU-a bio je pozvan u prethodnom postupku odlučivati u vezi niza pitanja povezanih uz potencijalno pravo na naknadu nematerijalne štete uslijed neovlaštenog pristupa osobnim podacima, mogućnost voditelja obrade podataka na izuzimanje od odgovornosti u slučaju kibernetičkog napada na baze podataka koje sadrže osobne podatke, problematiku određivanja dužne pažnje u vezi tehničkih i organizacijskih postavki zaštite osobnih podataka u bazama podataka te problematiku dokazivanja izostanka dužne pažnje u vezi tehničkih i organizacijskih postavki zaštite osobnih podataka u bazama podataka.

U predmetnom slučaju riječ je o hakerskom napadu na bugarsku Poreznu upravu u 2019. godini, što je rezultiralo neovlaštenom objavom podataka milijuna bugarskih građana na internetu. Brojni građani, kao što je slučaj s predmetnim postupkom, pokrenuli su protiv Porezne uprave postupak za naknadu nematerijalne štete (sukladno čl. 82. Opće uredbe o zaštiti podataka (GDPR Uredba)) temeljem teze kako Uprava, kao voditelj obrade podataka, nije provela odgovarajuće tehničke i organizacijske mjere zaštite podataka (sukladno čl. 24. i 32. GDPR Uredbe) koje je pohranila na svojim serverima. Navedene odredbe GDPR Uredbe ne preciziraju konkretne mjere tehničke i organizacijske zaštite podataka, već govore o potrebnim mjerama i radnjama koje predstavljaju mehanizam upravljanja rizicima (čl. 32. GDPR Uredbe), koji ovisno o stupnju rizika po osobne podatke zahtjeva različitu razinu odgovornog postupanja voditelja obrade (čl. 24. GDPR Uredbe).

Temelj zahtjeva za isplatu naknade za nematerijalnu štetu jest strah koji su tužitelji navodno pretrpjeli u vezi potencijalne buduće zloupotrebe njihovih podataka koji su objavljeni na internetu. Prvostupanjski sud nije prihvatio teze tužiteljice uz obrazloženje kako Porezna uprava nije objavila podatke na internetu. Ujedno, Sud je dodatno ustvrdio kako tužitelj nosi teret dokaza u vezi propuštanja poduzimanja odgovarajućih tehničkih i organizacijskih mjera zaštite osobnih podataka. Konačno, sud je konstatirao kako u predmetnom slučaju ne postoji nikakva konkretna nematerijalna šteta, već je isključivo riječ o potencijalnoj šteti koja će se možda realizirati, ali u trenutku podnošenja tužbenog zahtjeva nije nastupila.

Sud EU-a donio je više relevantnih tumačenja i zaključaka. Sud je, prije svega, ustvrdio da činjenica nastupa kibernetičkog napada uslijed čega je došlo do neovlaštenog pristupa osobnim podacima, sama po sebi ne podrazumijeva kako se tehničke i organizacijske mjere zaštite podataka koji se nalaze u bazama podataka neadekvatne. Naprotiv, Sud je ustvrdio kako adekvatnost poduzetih tehničkih i organizacijskih mjera zaštite podataka treba vrednovati sukladno stupnju rizika u svakom pojedinačnom slučaju. Sud je, naime, ustvrdio kako obveza usklađenosti voditelja obrade podataka (čl. 5. st. 2. GDPR Urede) zahtjeva da voditelj obrade dokaže usklađenost svog poslovanja sa načelima obrade osobnih podataka koje GDPR Uredba propisuje. Dokazivanje usklađenosti postala bi bespredmetna obveza kada bi svaka realizacija rizika automatski dovodila do odgovornosti. Drugim riječima, Sud je zauzeo stav kako je u praksi nemoguće spriječiti nastup svih potencijalnih rizika, poznatih ili nepoznatih, predvidljivih ili nepredvidljivih. Potrebno je, međutim, osigurati adekvatan sustav mjere tehničke i organizacijske zaštite kako bi se spriječio nastup štetnih posljedica ili umanjile štetne posljedice onih potencijalnih rizika koji su predvidljivi i kojima je moguće upravljati. Sasvim konkretno, obzirom da je riječ o vrsti incidenta koja uključuje manje ili više sofisticirane kibernetičke hakerske napade, voditelj obrade nije u obvezi spriječiti svaki hakerski napad (što je ispravno okarakterizirano kao nemoguće), već je dužan osigurati tehničke i organizacijske mjere po pravilima struke, odnosno u skladu sa suvremenim metodama kibernetičke zaštite sustava podataka. S obzirom na to da je Sud EU-a podredno ustvrdio kako nije moguće spriječiti sve hakerske napade, ali je istovremeno nužno osiguravati adekvatne kibernetičke zaštitne mehanizme prema važećih standardima i pravilima struke, načelo objektivne odgovornosti nije primjeren niti moguć oblik utvrđivanja odgovornosti uključenih aktera, već je nužno primijeniti doktrinu subjektivne odgovornosti.

Nadalje, Sud EU-a je konstatirao da je, kako bi se utvrdila adekvatnost poduzetih tehničkih i organizacijskih mjera zaštite osobnih podataka, svaki sud dužan provesti temeljitu analizu svih pojedinačnih poduzetih tehničkih i organizacijskih zaštitnih mjera zaštite osobnih podataka. Obveza dokazivanja adekvatnosti poduzetih tehničkih i organizacijskih mjera u slučaju potencijalne odgovornosti za štetu (sukladno čl. 82. GDPR Uredbe), sukladno tumačenju Suda EU-a, pada na voditelja obrade podatka (temeljem čl. 5., st. 1. GDPR Uredbe). Konkretno, u predmetnom sporu Sud EU-a je ukazao na obvezu voditelja obveze da adekvatnim mjerama tehničke i organizacijske zaštite osobnih podataka osigura integritet i tajnost osobnih podataka (čl. 5. st. 1. (f) GDPR Uredbe; „cjelovitost i povjerljivost“ osobnih podataka). Iako tužitelj podnošenjem tužbenog zahtjeva predlaže sudu da usvajanjem tužbenog zahtjeva konstatira i posljedičnu neadekvatnost tehničkih i organizacijskih mjera zaštite osobnih podataka, Sud EU-a je utvrdio kako sama GDPR Uredba postavlja određena očekivanja od voditelja obrade osobnih podataka, jedno od kojih je i prethodno navedena obveza usklađenosti sa načelima obrade osobnih podataka (čl. 5. GDPR Uredbe). Usklađenost s načelima konkretno podrazumijeva obvezu da se poduzimaju takve tehničke i organizacijske mjere zaštite osobnih podataka, koji se obrađuju, koje su, sukladno pravilima struke, adekvatne u smislu pružanja dostatne mehanizme zaštite osobnih podataka od nastupa štetnih posljedica ostvarivanja razumno predvidljivih rizika. Prema tome, s ciljem oslobađanja od obveze naknade štete (čl. 82. GDPR Uredbe), voditelj obrade ima primarnu obvezu dokazati svoju tehničku i organizacijsku usklađenost, dok tužitelj ima pravo isto dodatno osporavati. Drugim riječima, subjektivna odgovornost voditelja obrade se presumira (načelo pretpostavljene krivnje, čl. 82. st. 2. GDPR Uredbe), no voditelj obrade zadržava mogućnost dokazivanja ulaganja dužne pažnje, što u slučaju uspješno dokazane usklađenosti sa načelima obrade podataka propisanih GDPR Uredbom dovodi do oslobođenja od odgovornosti. Sud je zaključio kako bi postavljanje obveze dokazivanja na stranu tužitelja predstavljalo prezahtjevnu zadaću za prosječnog tužitelja te time umanjilo efikasnost općih načela i specifičnih mehanizama zaštite osobnih podataka. Istovremeno, voditelji obrade podataka morati će posvetiti puno više pažnje osiguravanju adekvatnih mehanizama zaštite podataka, neovisno o činjenici kako u pravilu kibernetičku zaštitu pružaju treće osobe. Pitanje koje se dodatno nameće jest karakterizacija dužne pažnje koju je voditelj obrade dužan uložiti kako bi izabrao odgovarajućeg pružatelja usluge kibernetičke zaštite, i utjecaj tako uložene dužne pažnje na odgovornost voditelja obrade uslijed kibernetičkog napada. No o tom pitanju se u predmetnom slučaju nije vodila rasprava.

U vezi općih razloga za isključenje od odgovornosti (čl. 82. st. 3. GDPR Uredbe) Sud EU-a je zaključio kako značenje pojma „ni na koji način odgovoran“ podrazumijeva mogućnost voditelja obrade da dokaže dostatno ulaganje dužne pažnje kako je prethodno analizirano. Drugim riječima, voditelj obrade mora dokazati kako je šteta nastupila neovisno o činjenici kako je uredno održavao sve adekvatne tehničke i organizacijske mjere zaštite osobnih podataka. No sukladno istom tumačenju, čak i kada voditelj obrade nije zadovoljio sve kriterije adekvatnosti odnosno usklađenosti, voditelj obrade može se temeljem iste odredbe osloboditi od odgovornosti ako dokaže da ne postoji uzročna veza između nastale štete i propusta osiguravanja adekvatnih tehničkih i organizacijskih mjera zaštite osobnih podataka (opći razlog za isključenje od odgovornosti).

Konačno, a što također predstavlja vrlo interesantan segment ove presude, Sud EU-a je ocijenio kako strah od buduće štete može, ovisno o činjenicama konkretnog slučaja, predstavljati osnovu za potraživanje naknade za nematerijalnu štetu. Time Sud EU-a dodatno razjašnjava praksu u vezi čl. 82. st. 1. GDPR Uredbe (kako je prethodno utvrđeno u predmetu C-300/21). Sud se vodio recitalom 146. – koji poziva na široko tumačenje pojma štete, i recitalom 85. GDPR Uredbe – koji izričito spominje nematerijalnu štetu u kontekstu gubitka nadzora nad podacima, gubitka tajnosti podataka, krađe podataka, prijevare, diskriminacije, i sl. Potrebno je da tužitelj dokaže opravdanost svog zahtjeva za naknadom nematerijalne štete na konkretnim činjenicama i konkretnim i realnim budućim štetnim događajima i zloupotrebama.

Obrada podataka dostupnih iz COVID potvrda i zaštita osobnih podataka

Ključne riječi: C-659/22, COVID potvrde, obrada osobnih podataka, masovni nadzor, automatizirano donošenje odluka

Korištenje pametnih aplikacija s ciljem nadzora kretanja građana u svrhu sprječavanja širenja zaraznih bolesti poprimilo je globalne trendove postupanja država odnosno državnih agencija. Aplikacije su, u europskom kontekstu, u svojoj osnovi trebale sadržavati temeljne informacije propisane Uredbom (EU) 2021/953 o okviru za izdavanje, provjeru i prihvaćanje interoperabilnih potvrda o cijepljenju, testiranju i preboljenju bolesti COVID-19 (EU digitalna COVID potvrda) radi olakšavanja slobodnog kretanja tijekom pandemije bolesti COVID-19. Navedena Uredba, koja više nije na snazi, omogućila je pravnu osnovu za obradu osobnih podataka (u skladu s GDPR Uredbom) u svrhu izdavanja certifikata odnosno EU digitalnih COVID potvrda te autentifikacije navedenih potvrda na način da potvrde uključuju i barkod koji sadrži podatke o identitetu nositelja potvrde. Riječ je o informacijama u vezi cijepljenja, rezultata testiranja i preboljenja bolesti.

Budući da je širenje COVID pandemije redovito rezultiralo zabranama javnih okupljanja, ograničenjima kretanja, zabranama pristupa poslovnom prostoru, i sl. vladinim mjerama, jedan od načina kontrole navedenih mjera bilo je i korištenje pametnih aplikacija koje su sadržavale COVID potvrde. Izostanak predočenja COVID potvrde kroz takvu aplikaciju redovito bi dovodilo do zabrane ulaska, izlaska, kretanja, ili drugog oblika ograničenja kretanja ili druge vrste sankcije usmjerene protiv građana. Pravna osnova takvih ograničenja i sankcija vezana je uz pravnu osnovu donošenja prethodno navedenih vladinih mjera, odnosno, karakterizira se kao nužno sredstvo za provođenje i kontrolu provođenja navedenih mjera.

U predmetu C-659/22, Sud EU-a odlučivao je u prethodnom postupku u vezi legalnosti obrade osobnih podataka kroz službenu aplikaciju češkog Ministarstva zdravstva. Službena aplikacija prilikom očitavanja barkoda prikupljala je i obrađivala niz osobnih podataka sukladno GDPR Uredbi koji izlaze izvan okvira osobnih podataka koji ulaze u polje primjene Uredbe (EU) 2021/953. Aplikacija bi dodatno zabilježila osobno ime (ime i prezime) nositelja potvrde, datum rođenja nositelja potvrde te status valjanosti same potvrde. Službene osobe koje su koristile navedenu aplikaciju također su imale pristup nizu informacija u vezi samoga cijepljenja i testiranja na način su navedene informacije postale vidljive na zaslonu pametnog uređaja otvaranjem posebnog izbornika.

Sud EU-a zaključio je kako korištenje navedene aplikacije predstavlja obradu podataka u smislu GDPR Uredbe (čl. 4., st. 2. GDPR Uredbe), neovisno o činjenici što se navedeni podaci ne pohranjuju trajno. Iako je aplikacija predviđala vrlo jednostavnu uporabu – zeleno svjetlo kao znak da su ispunjeni svi zahtjevi vladinih mjera ograničenja, odnosno crveno svjetlo ako osoba nije ispoštovala određene zahtjeve vladinih mjera ograničenja – Sud EU-a zauzeo je vrlo jasno stajalište u vezi nužnosti primjene relevantnih propisa u području zaštite osobnih podataka (bilo da je riječ o primjeni GDPR Uredbe, LED Direktive (Direktiva (EU) 2016/680 o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka), ili sl. europskih odnosno nacionalnih propisa).

Navedeno stajalište izrazito je bitno u vezi problematike masovnog nadzora građana i potencijala koje relativno jednostavni algoritmi sadržani u predmetnim aplikacijama nude u vezi mogućnosti ograničenja kretanja, okupljanja odnosno djelovanja skupina ljudi. Ono što je osobito značajno jest činjenica kako je u vezi predmetnih aplikacija riječ o automatiziranom donošenju odluka kojima se izravno odlučuje o subjektima obrade podataka. Također valja naglasiti kako je u predmetnom slučaju riječ o prikupljanju i obradi osobito osjetljivih podataka. Konačno, riječ je o prisilnom prikupljanju osobnih podataka bez potrebe prethodne privole ispitanika. Drugim riječima, riječ je o izrazito osjetljivom kontekstu obrade podataka koja se događala u izrazito osjetljivom vremenskom periodu (trajanje COVID pandemije), a što je otvorilo brojna pitanja zloupotrebe tako prikupljanih podataka, odnosno korištenja takvih podataka u druge svrhe. Jedan takav primjer jest i korištenje navedenih podataka kako bi se na određenoj lokaciji onemogućio prethodno najavljeni prosvjed određene etničke skupine (etnicitet je u određenim državama također podatak koji predmetne ili slične pametne aplikacije sadrže) na način da se proglasi opća zabrana okupljanja, odnosno svim korisnicima aplikacije doznači crvena oznaka (riječ je o evidentiranom primjeru iz jedne azijske zemlje). Predmet koji se pojavio pred Sudom EU-a ukazuje na nedostatak prethodne prakse odnosno iskustva država članica u masovnom prikupljanju osjetljivih kategorija podataka u kontekstu izražene društvene krize. Analizirano tumačenje Suda trebalo bi poslužiti kao jasna poruka u smislu potrebe donošenja konkretnijeg nacionalnog (ili europskog) pravnog okvira koji će precizno uređivati opseg i svrhu obrade osjetljivih podatka.

Odgovornost voditelja, zajednički voditelji obrade i upravne novčane kazne

Ključne riječi: C-683/21, C-807/21, upravne novčane kazne, subjektivna odgovornost voditelja obrade, zajednički voditelji obrade

Treći komentar dva slična predmeta C-683/21 i C-807/21 pred Sudom EU-a koji se analizira u daljnjem tekstu spoj je dva prethodno analizirana predmeta: kombinacija propusta ulaganja dužne pažnje kroz implementaciju adekvatnih tehničkih i organizacijskih mjera zaštite osobnih podataka, i korištenja pametne aplikacije koja bilježi i obrađuje podatke (o osobama oboljelim od COVID-19 virusa, odnosno o stanarima stambenog objekta).

U prvom predmetu riječ je o aplikaciji koju je, slično prethodno analiziranom predmetu, koristilo litvansko Ministarstvo zdravstva za potrebe nadzora epidemiološke situacije. Aplikacija je prikuplja slijedeće podatke: OIB građana, geografsku lokaciju građana, prebivalište građana, osobno ime građana i telefonski broj građana. Litvanska agencija za zaštitu osobnih podataka utvrdila je niz povreda GDPR Uredbe te sankcionirala tijelo pri Ministarstvu zdravstva i kompaniju koja je proizvela i održavala pametnu aplikaciju kao zajedničke voditelje obrade.

U drugom predmetu riječ je o aplikaciji koju je koristila njemačka kompanija za vođenje evidencije o stanarima u stambenim kompleksima. Aplikacija bilježi slijedeće osobne podatke stanara: podaci o identitetu i potvrdi identiteta stanara, podaci o zdravstvenom i socijalnom osiguranju stanara, podaci o poreznim davanjima stanara, i podaci o prethodnim stambenim aranžmanima stanara. Njemačka agencija za zaštitu osobnih podataka utvrdila je kako se navedeni podaci trajno pohranjuju u elektronskoj bazi podataka bez obrazloženja odnosno opravdanja za kontinuiranu pohranu te kako voditelj obrade nije pružio konkretna jamstva odnosno mehanizme putem kojih se podaci koji više nisu svrsishodni za obradu podataka trajno uklanjaju iz baze.

Sud EU-a razmatrao je problematiku objektivne i subjektivne odgovornosti za povrede GDPR Uredbe te zaključio kako tijelo može biti prekršajno sankcionirano (čl. 83. GDPR Uredbe, upravne novčane kazne) isključivo u slučaju namjernog ili nepažljivog postupanja. Time je Sud EU-a dao izravno tumačenje čl. 83. GDPR Uredbe u kojoj nije precizirano je li riječ o objektivnoj ili subjektivnoj odgovornosti za povredu GDPR Urede te koja namjeru ili nepažnju navodi tek kao jedan od kriterija kojima se nadzorno tijelo vodi prilikom prosudbe opravdanosti izricanja odnosno kvalitativne procjene opsega upravne novčane kazne. Pritom je nebitno je li voditelj obrade svjestan da svojim postupanjem ili nedostatkom postupanja dovodi do povrede odredbi GDPR Uredbe. Navedeno je poglavito bitno za kontekst osiguravanja adekvatnih tehničkih i organizacijskih mjera zaštite podataka gdje, kako je analizirano u prethodno komentiranom predmetu, voditelj obrade uslugu kibernetičke zaštite pribavlja od treće osobe, i počesto osobno ima jako malo saznanja o metodologiji i standardima učinkovite kibernetičke zaštite. Također je nebitno je li za povredu odgovorna pravna ili fizička osoba, pri čemu je Sud EU-a posljedično utvrdio kako je, u predmetnom slučaju, njemačko zakonodavstvo, koje je mogućnost sankcioniranja predviđalo isključivo u situacijama kada je za povredu odgovorna fizička osoba (koja djeluje unutar pravne osobe), u suprotnosti s GDPR Uredbom.

Sud je dodatno potvrdio kako je voditelj obrade u pravilu odgovoran za postupanje izvršitelja obrade, osim u slučajevima kada izvršitelj obrade postupa suprotno uputama voditelja obrade ili postupa izvan okvira obrade koji je dogovoren između voditelja i izvršitelja obrade (čl. 28., st. 10. GDPR Uredbe u takvim slučajevima u smislu odgovornosti izjednačuje izvršitelja obrade sa voditeljem obrade). Navedeno tumačenje Suda relevantno je obzirom da je nadležno tijelo iz litvanskog Ministarstva zdravlja poricalo svoju odgovornost uz obrazloženje kako postupak javne nabave pribavljanja pametne aplikacije nikada nije završen čime država nije nikada otkupila prava na aplikaciju. Sud je međutim upozorio kako je za procjenu uloge u obradi podataka relevantna i uloga koju određena osoba (u konkretnom slučaju, Ministarstvo) nosi u razvoju aplikacije, korištenju aplikacije i obradi podataka za vrijeme izrade i testiranja aplikacije, bez obzira što ta osoba samostalno nije vršila obradu podataka. Sud EU-a također je ustvrdio kako je za klasifikaciju zajedničkih voditelja obrade nebitno jesu li uključene osobe prethodno obradi podataka potpisale kakav sporazum o obradi podataka.

Korisno je također za napomenuti kako je Sud u vezi pravnih osoba sa više poslovnih nastana utvrdio kako se upravna novčana kazna izračunava temeljem sveukupnog godišnjeg prihoda u svim poslovnicama, uključujući sve jurisdikcije gdje kompanija posluje (worldwide turnover), u protekloj poslovnoj godini.

izv. prof. dr. sc. Mihael Mudrić

U središtu

Glavne promjene koje donosi novi Zakon o upravnim sporovima – 5. epizoda (sudske odluke – presuda i rješenje; sudska nagodba; žalba) U prethodnoj epizodi serijala razmotrili smo raspravu i rješavanjem upravnoga spora bez rasprave, te radnje u sporu. 1 U ovoj epizodi donosimo glavne novosti na području sudskih odluka (presuda i rješenja), sudske nagodbe, te žalbe kao redovitoga pravnog lijeka u upravnome sporu. 26.04.2024 Diskriminacija po dobi u postupku brisanja s liste stečajnih upravitelja Ustavni sud je u dva predmeta (broj: U-III-1092/2023 i U-III-249/2023 ) koja je razmatrao u ožujku ove godine razmatrao slučajeve dva stečajna upravitelja koji su razriješeni dužnosti zbog navršenja 70 godina života, iako su bili imenovani na tu dužnost bez vremenskog ograničenja. Posebno su bili ... 25.04.2024 Rješavanje prigovora dužnika – novosti prema Pravilniku o sadržaju procedura za rješavanje prigovora dužnika Ministarstvo financija je donijelo Pravilnik o sadržaju procedura za rješavanje prigovora dužnika koji je stupio na snagu 21. ožujka 2024. godine te je tvrtkama koje se bave otkupom i servisiranjem potraživanja dao rok od 30 dana da se usklade sa odredbama Pravilnika. Autorica u članku piše o nov... 24.04.2024 Uz novelu Zakona o sudovima iz 2024. – o obvezi javne objave svih sudskih odluka Postoji percepcija kod pripadnika šire pravosudne zajednice, kod medija i srodnih institucija te javnosti uopće da postoji nedostatak transparentnosti u slučaju odluka koje donose sudovi. Cilj je rada analizirati dodatne napore koje je zakonodavac uložio u Noveli Zakona o sudovima iz 2024. kako bi... 22.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 4. epizoda (rasprava i rješavanje spora bez rasprave; radnje u sporu) U prethodnoj epizodi serijala bavili smo se dokazivanjem u upravnome sporu. 1 U ovoj epizodi donosimo glavne novosti na području rasprave 2 i rješavanja upravnoga spora bez rasprave, te radnji u sporu. 19.04.2024 Osvrt na Zakon o sportu i Pravilnik o preoblikovanju sportskog kluba – udruge za natjecanje u sportsko dioničko društvo Važeći Zakon o sportu omogućuje preoblikovanje sportskog kluba – udruge za natjecanje u sportsko dioničko društvo. Način, rokovi te druga pitanja značajna za provedbu preoblikovanja sportskog kluba – udruge za natjecanje u sportsko dioničko društvo sada regulira podzakonski akt, Pravilnik o preo... 18.04.2024 Kadrovske promjene nakon raspisanih parlamentarnih izbora Autorica u članku aktualizira pitanje kadrovskih promjena u državnim tijelima u postupku primopredaje državne vlasti, osobito pitanje u kojem razdoblju traje zabrana kadrovskih promjena, s obzirom na raspuštanje Hrvatskoga sabora i raspisane parlamentarne izbore. 15.04.2024 Više ...