Opća uredba o zaštiti podataka (GDPR)

KLJUČNE TOČKE

Prava pojedinaca

GDPR-om se ojačavaju postojeća prava, omogućuju nova prava i pojedincima omogućava bolja kontrola nad osobnim podatcima. Uključuje sljedeće:

• lakši pristup vlastitim podacima. To uključuje pružanje više informacija o tome kako se ti podaci obrađuju i jamčenje da su te informacije dostupne na jasan i razumljiv način;
• pravo na prenosivost podataka. Time se olakšava prijenos osobnih podataka između davatelja usluga;
• pravo na brisanje (pravo na zaborav). Kada pojedinac više ne želi da se njegovi/njezini podaci obrađuju i ne postoji zakonski razlog za zadržavanje podataka, podaci se brišu;
• pravo pojedinca da zna kad dođe do povrede njegovih osobnih podataka. Društva i organizacije moraju obavijestiti relevantno nadzorno tijelo za zaštitu podataka te zahvaćene pojedince kada dođe do ozbiljnih povreda podataka.

pravila za poduzeća

GDPR-om se sva društva koja posluju na unutarnjem tržištu EU-a stavljaju u ravnopravan položaj, stvara se tehnološki neutralan pristup i potiče se inovativnost kroz niz koraka, uključujući sljedeće:

• jedinstven skup pravila na razini EU-a. Jedinstveno pravo o zaštiti podataka na razini EU-a povećava pravnu sigurnost i smanjuje administrativno opterećenje;
• službenika za zaštitu podataka. Osobu odgovornu za zaštitu podataka dužna su imenovati tijela javne vlasti i poduzeća koja opsežno obrađuju podatke ili čija je osnovna djelatnost obrada posebnih kategorija podataka kao što su podaci o zdravlju;
• objedinjenost. Poduzeća trebaju komunicirati samo s jednim nadzornim tijelom (u državi članici EU-a u kojoj imaju glavni poslovni nastan); relevantna nadzorna tijela surađuju u okviru Europskog odbora za zaštitu podataka kad je riječ o prekograničnim slučajevima, uz dodatna postupovna pravila za prekogranično izvršenje utvrđena Uredbom (EU) 2025/2518;
• pravila EU-a za društva koja nisu u državama članicama EU-a. Društva koja imaju poslovni nastan izvan EU-a moraju primjenjivati ista pravila pri nuđenju usluga ili dobara ili pri nadzoru ponašanja pojedinaca na području EU-a;
• pravila koja pogoduju inovacijama. Jamstvo da su u proizvode i usluge ugrađene zaštitne mjere od najranije faze razvoja (tehnička i integrirana zaštita podataka);
• tehnike koje štite privatnost. Na primjer, potiču se pseudonimizacija (kada se polja za identifikaciju u evidenciji osobnih podataka zamijene jednim ili više umjetnih identifikatora) i enkripcija (kada se podaci šifriraju na način da ih mogu pročitati samo ovlaštene osobe) kako bi se ograničila nametljivost obrade;
• uklanjanje obavijesti. GDPR-om je odbačena većina obaveza u vezi s obavještavanjem te s time povezani troškovi. Jedan od njegovih ciljeva jest ukloniti prepreke koje utječu na slobodan protok osobnih podataka u EU-u. Time se poduzećima olakšava proširenje njihova poslovanja na jedinstvenom digitalnom tržištu;
• procjene učinka zaštite podataka. Organizacije će morati provoditi procjene učinka u slučajevima kada obrada podataka može dovesti do visokog rizika za prava i slobode pojedinaca;
• vođenje evidencije. Mala i srednja poduzeća ne trebaju voditi evidenciju o aktivnostima obrade, osim ako je obrada redovna ili je vjerojatno da će dovesti do rizika za prava i slobode osobe čiji se podaci obrađuju ili ako uključuje osjetljive kategorije podataka;
• Moderan skup alata za međunarodne prijenose podataka. GDPR nudi različite instrumente za prijenos podataka izvan EU-a, uključujući odluke o primjerenosti koje donosi Europska komisija kada zemlja izvan EU-a nudi odgovarajuću razinu zaštite, prethodno odobrene (standardne) ugovorne klauzule, obvezujuća korporativna pravila, kodekse ponašanja i certificiranje.

Provedba Opće uredbe o zaštiti podataka u prekograničnim slučajevima

Uredbom (EU) 2025/2518 (donesenom 26. studenoga 2025. i objavljenom u Službenom listu 12. prosinca 2025.) utvrđuju se postupovna pravila za provedbu Opće uredbe o zaštiti podataka u prekograničnim slučajevima (u kojima je uključeno više od jednog tijela EU-a, odnosno Europskoga gospodarskog prostora). Cilj je ubrzati istrage i rješavanje pritužbi te osigurati njihovu veću dosljednost u svim državama članicama.

Tom se uredbom jačaju i standardiziraju postupci, kao što su način podnošenja i ocjene pritužbi, suradnja između vodećeg nadzornog tijela i drugih predmetnih tijela te jasnija postupovna prava ključnih stranaka (odnosno, podnositelja pritužbi i stranaka pod istragom). Cilj Uredbe jest poboljšanje učinkovitosti i pravne sigurnosti u prekograničnoj provedbi Opće uredbe o zaštiti podataka, uz istodobno podupiranje neometane koordinacije među regulatornim tijelima.

Preispitivanje

Europska komisija objavila je prvo izvješće o ocjeni i preispitivanju Uredbe u lipnju 2020. Drugo izvješće objavljeno je u srpnju 2024., a sljedeće izvješće bit će objavljeno u 2028.