U stručnoj i poslovnoj javnosti u protekloj 2025. godine učestalo su se iznosile tvrdnje o navodnim izmjenama Opće uredbe o zaštiti podataka (GDPR)[1]. Naime, takve tvrdnje često se temelje na pogrešnom poistovjećivanju zakonodavnih prijedloga, provedbenih propisa i smjernica nadzornih tijela s izmjenama samog teksta Uredbe. Stoga je cilj ovoga članka razjasniti normativno stanje GDPR-a na početku 2026. godine te ukazati na stvarne promjene i buduće zakonodavne tendencije.
Bit je da u protekloj 2025. godine nije došlo do izmjena teksta GDPR-a, ali da su doneseni novi provedbeni propisi te predstavljeni zakonodavni prijedlozi koji bi, ako budu usvojeni, mogli dovesti do izmjena u razdoblju od 2026. godine pa nadalje.
Važeći normativni okvir neizmijenjenog GDPR-a
Opća uredba o zaštiti podataka, Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine (u daljnjem tekstu: GDPR) i dalje se primjenjuje u svom izvornom, neizmijenjenom tekstu, bez ikakvih izmjena ili dopuna tijekom 2025. godine, kao ni tijekom 2026. godine. U razdoblju koje je predmet ovog članka odnosno analize nije donesen nijedan akt sekundarnog prava Europske unije kojim bi se izmijenile ili dopunile odredbe same Uredbe.
Svi članci GDPR-a (članci 1.–99.), uključujući temeljna načela obrade osobnih podataka iz članka 5., pravne osnove obrade iz članka 6., posebne uvjete za obradu posebnih kategorija podataka iz članka 9., prava ispitanika (članci 12.–22.) te obveze voditelja i izvršitelja obrade (članci 24.–43.), ostali su sadržajno nepromijenjeni. Jednako tako, nije došlo do promjena u sustavu nadzora i provedbe, uključujući ovlasti nadzornih tijela, mehanizam „jedinstvene točke nadzora“ (one-stop-shop) te pravila o prekograničnoj suradnji, kako su ona uređena poglavljima VI. i VII. GDPR-a.
U normativnom smislu, stabilnost teksta GDPR-a u promatranom razdoblju od posebne je važnosti za pravnu sigurnost, budući da se radi o uredbi koja se izravno primjenjuje u svim državama članicama i koja čini temeljni izvor prava u području zaštite osobnih podataka. Promjene u praksi koje su zabilježene tijekom 2025. godine proizlaze ponajprije iz razvoja sudske prakse Suda Europske unije, smjernica Europskog odbora za zaštitu podataka (EDPB) te donošenja novih sektorskih digitalnih propisa, a ne iz izmjena samog teksta GDPR-a.
Slijedom navedenog, svaki navod prema kojem je u 2025. godini stupio na snagu tzv. „novi GDPR“ ili izmijenjena…
